Un jefe a su empleado: 'Si vuelve a traer su notebook a la oficina, lo echo'

Blackberries, notebooks y demás dispositivos móviles abundan cada vez más en las oficinas corporativas. Por un lado, permiten una mayor flexibilidad para trabajar. Aunque también pueden ser serios riesgos...

En la actualidad, en los ámbitos de negocios e industria, se nota un incremento cada vez mayor en la utilización de dispositivos de tipo PDA (asistentes digitales personales) y otros que pueden enmarcarse bajo el concepto de [Solo los usuarios registrados pueden ver los links. ]. Se trata de dispositivos móviles con menor capacidad de procesamiento que una PC, pero gran funcionalidad y fácil traslado.

Cada vez es más frecuente que los altos ejecutivos utilicen esta clase de herramientas para almacenar información confidencial como estrategias y presupuestos. La ventaja: flexibilidad para acceder a los sistemas y conectarse desde cualquier lugar.

Sin embargo, los riesgos también acechan. Estos dispositivos son pasibles de sufrir ataques que van desde una interferencia en las comunicaciones hasta agresiones directas como robos (con la consecuente sustracción de información confidencial).

Por otra parte, debido su naturaleza y funcionalidad, las PDA se encuentran fuera del alcance de los controles y políticas de seguridad informática que las organizaciones implementan para sus computadoras de escritorio.

Y, lo más alarmante: actualmente, la mayor parte de las compañías carece de políticas para sus dispositivos móviles. Cuando un ejecutivo conecta su PDA a la PC de la empresa, es probable que en la transmisión de información traspase un virus a su PC y, en consecuencia, a toda la red. Con lo cual echa por la borda la implementación de seguridad informática de la firma.

Ante este panorama, resulta imprescindible que desde el directorio hasta las áreas operativas se tome conciencia de los riesgos que trae aparejada la utilización de dispositivos móviles y que se adopte una serie de medidas para reducir riesgos:

1) Dar cuenta de la presencia de estos dispositivos y entender que la red de la organización está coexistiendo con ellos, lo que puede provocar la vulnerabilidad de la seguridad informática.

2) Esta toma de conciencia implica la definición de un ciclo de vida y administración de los dispositivos de 'Mobile Computing' dentro de la compañía, de modo que se establezcan, por ejemplo, ciertas normas para dar de alta o de baja un PDA. Se deberá definir un procedimiento para permitir la conexión de ese equipo a la red.

3) Estas acciones se complementan con la generación una política de seguridad que establecerá qué información se puede guardar en una PDA y a cuál debe restringir o impedirse su ingreso.

El oficial de seguridad tecnológica de la empresa debe dirigir su atención sobre unos ítems específicos:

a) La comunicación que se establece entre dispositivos móviles y la red de la empresa debe utilizar un protocolo seguro que encripte la información, de modo que nadie pueda capturarla en el camino. También se deben utilizar contraseñas de difícil acceso.

b) Otro aspecto a tener en cuenta son las interfases, como el bluetooth, el wireless y los puertos USB. La empresa deberá definir cuáles se permitirá utilizar a sus empleados y cuáles se les bloqueará.

c) Las políticas de seguridad adoptadas deben plasmarse en algún software de control que verifique si el equipo cumple con dichas medidas antes de permitir su conexión a la red.

En definitiva, la administración y puesta en funcionamiento de un modelo de seguridad corporativo para los dispositivos de 'Mobile Computing' es un largo camino por recorrer, un camino donde se requieren muchas mejoras, ya que por el momento existen sólo algunas soluciones para paliar los riesgos de su utilización. Es fundamental la concientización de la empresa, para que cuando se quiera implementar una solución no sea demasiado tarde.

Fuente: [Solo los usuarios registrados pueden ver los links. ][Solo los usuarios registrados pueden ver los links. ]
[Solo los usuarios registrados pueden ver los links. ]

“Los troyanos actuales son cada vez más peligrosos'

Entrevista a Sergio de los Santos / Consultor de seguridad de Hispasec

Internet es hoy por hoy un instrumento básico en el desarrollo de nuestra vida cotidiana; un elemento que nos permite comunicarnos con otras personas, realizar negocios o ejercer una profesión. Sin embargo, las posibilidades que ofrece Internet son también una puerta abierta a la intimidad, al acceso a datos bancarios o a detalles profesionales que nos hacen tremendamente vulnerables. Así, a finales de 1998, con el lanzamiento de 'una-al-día', el primer servicio diario de información técnica en español sobre seguridad informática, nace Hispasec con el propósito de divulgar y concienciar a los usuarios de la importancia de la seguridad informática en el campo de las nuevas tecnologías.

El éxito cosechado por 'una-al-día' originó una creciente demanda de servicios por parte de profesionales y empresas lo que originó la creación del laboratorio de seguridad informática, Hispasec Sistemas, en el año 2000. Sergio de los Santos es consultor de seguridad de Hispasec.

diarioDirecto: Uno de sus servicios principales es la realización de auditorias que estudian los sistemas informáticos para identificar vulnerabilidades y proponer soluciones ¿Qué niveles de seguridad tienen los sistemas informáticos en España?

Respuesta: En general la situación es más grave de lo que realmente pueda parecer. Habría que distinguir a varios niveles.

- Con respecto a los usuarios domésticos que usan Windows, los niveles de infección vírica son los más elevados de la historia. En España, según un estudio realizado con la colaboración de Hispasec sobre 3500 usuarios, el 70 por ciento estaba infectado por algún tipo de malware. Aunque ya no existen infecciones masivas como hace cuatro años, los troyanos de hoy en día son mucho más silenciosos y persistentes. Además están destinados a robar las credenciales de la banca online, con lo que el daño que pueden infligir es más que real.

- Con respecto a las empresas, los niveles de seguridad de sus redes internas se han elevado de forma notable en los últimos años, aunque todavía tienen muchas asignaturas pendientes. Si hablamos de seguridad de los servidores de las compañías, aquí suspenden la inmensa mayoría. De hecho, uno de los métodos de infección “de moda” en los últimos tiempos, consiste en conseguir comprometer o manipular una web de una empresa legítima para que sea foco de infección de malware. El atacante manipula la página y hace que todo el que la visite, quede infectado.

dD: A nivel nacional y creando un mapa de estado ¿cuáles son las comunidades autónomas que están a la cola en este sentido (Andalucía, Extremadura…)?

R: No tenemos datos al respecto. Comunidades como Andalucía han apostado por el software libre en sus administraciones, y eso en cierta manera los libra del ataque de malware “industrial” actual, aunque no de los problemas de seguridad de configuración o propios de las distribuciones que usen. Los usuarios usan por igual Windows, la mayoría en cualquier comunidad.

dD: Y en un contexto internacional ¿cómo nos situamos?

R: España es el quinto país por número de sistemas infectados que pertenecen a una Botnet. Una botnet es un pequeño ejército de sistemas infectados que están a las órdenes del creador de la red, y lo utilizan como infraestructura para enviar malware, spam, realizar ataques de denegación de servicio... Madrid, de hecho, era una de las ciudades con más sistemas infectados (pertenecientes a una botnet) del mundo. En general no hemos asimilado los problemas del malware actual. Ni en el mundo en general ni en España en particular.

dD: ¿Las empresas dan a la seguridad informática el papel que merece o es sólo una acción secundaria que desarrollan dentro de su actividad?

R: Actualmente se le da mayor importancia. Se depende mucho de los sistemas informáticos y las infecciones pueden realmente llegar a paralizar la actividad. Lo malo es que normalmente tienen que pasar por una situación traumática para poner en marcha un sistema de prevención.

dD: Los inicios de Hispasec se remontan a una iniciativa llamada ‘Una al día’, un servicio de información técnica con las últimas novedades. Actualmente, la entidad dispone de una de las más completas bases de datos de vulnerabilidades y virus del mundo ¿realmente es posible detectar la cantidad de virus que a diario nos amenazan?¿Qué virus son los más peligrosos?¿Cómo se puede luchar contra ellos?

R: En virustotal.com recibimos 30000 archivos diarios para que sean comprobados por 33 motores antivirus distintos. De esos, unos 15000 son realmente malware, o al menos es detectado por los antivirus. Las casas antivirus están teniendo serios problemas para asimilar la avalancha de malware que se produce hoy en día. Tanto en cantidad como por calidad. Si hace cinco años se conocían 70000 muestras de virus, hoy en día pasa del millón y medio. Han tenido que investigar mucho más en los últimos cuatro años que en los 15 anteriores. Los niveles de detección son aceptables todavía, pero a costa de muchos falsos positivos (detección heurística paranoide) que hace que la sensación del usuario usando el antivirus no sea la más adecuada.

De los 15000 positivos que recibimos diariamente, el 30 por ciento de ellos pertenecen a los llamados troyanos bancarios. Estos son sin duda los más peligrosos. Existe toda una industria del malware dedicada a crear este tipo de troyanos, que roba las contraseñas de la banca online. En estos casos el daño del troyano al infectado es real, pues puede, literalmente, robarle del banco, realizando transferencias a otras cuentas una vez que ha obtenido las contraseñas adecuadas que utiliza el usuario para operar online.

dD: ¿A quién le interesa más crear un virus y por qué? ¿Qué motiva la creación de un virus (causar problemas, intereses económicos…)?

R: Hoy en día sólo se tienen intereses económicos. Poco queda de la época romántica (anterior a 2004) en la que se creaban virus por ego, investigación... prácticamente sólo queda el interés comercial, el robo y el lucro. No hay interés en crear malware que no sea para un fin económico concreto. La gran mayoría se decanta por el “adware” (mostrar publicidad no deseada) y el resto al robo de información sensible del sistema. Lo hacen mafias organizadas específicamente dedicadas a la creación en masa de malware, de manera que funcionan como cualquier otra empresa (clandestina).

dD: ¿Qué tipos de empresas son las que más se hackean? (bancos, multinacionales…)

R: En general les sirve cualquiera. Les interesa más los recursos de ese sistema (la capacidad del ordenador del que puedan obtener el control) que los datos en sí. Los datos los obtienen de forma mucho más sencilla de los sistemas de los usuarios. No es necesario asaltar un servidor muy protegido de un banco, cuando puedes robar los datos directamente de los usuarios. Para ellos, prácticamente, es como robar un caramelo a un niño.

dD: ¿Cuál es el perfil de su principal cliente?

R: Trabajamos principalmente con empresas que necesitan auditar sistemas o código y con banca. Con la banca trabajamos para prevenir phishing y troyanos que puedan afectarles. Al disponer de Virustotal.com, tenemos una posición privilegiada para conocer qué se mueve en el mundo del malware, a quién están atacando y cómo. Esto les permite protegerse de una manera más adecuada.

dD: De los navegadores que existen actualmente en la red ¿Cuál ofrece más seguridad al usuario (Microsoft, Firefox)?

R: La seguridad la marca los hábitos del usuario, no tanto la tecnología usada como se cree. Sí es cierto que los atacantes prefieren Internet Explorer. En general, cuanto menos usado (un porcentaje menor de usuarios) más “seguro” es su uso, puesto que no se convierte en objetivo preferente para los atacantes.

dD: ¿Qué cinco consejos básicos se podrían dar a los usuarios para tener el ordenador protegido?

R: - No usar la cuenta de administrador en Windows. Usar la cuenta de un usuario sin privilegios.

- Actualizar el sistema. No sólo Windows, sino todos los programas que tengamos instalados.

- Mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red.

Estos tres consejos anteriores, sin lugar a dudas, son los más importantes. Por desgracia no son los que se dan habitualmente en los medios no especializados. Además:

- Utilizar un antivirus actualizado a diario. No confiar en él totalmente.

- Utilizar un antispyware y cortafuegos. Informarse sobre su uso en lo posible. Si no se saben manejar, se vuelven inútiles.

dD: ¿Hacia dónde se dirige el futuro del sector?

R: Hacia troyanos cada vez más específicos, peligrosos y complicados de analizar. Últimamente utilizan cada vez técnicas más complejas para impedir que sean estudiados por empresas como Hispasec, ofuscando y complicando el código para que pasen desapercibidos la mayor cantidad de tiempo posible. Con respecto a los ataques, están cada vez más automatizados, tienen mayor efectividad y resultan más devastadores.

Fuente: [Solo los usuarios registrados pueden ver los links. ][Solo los usuarios registrados pueden ver los links. ]
[Solo los usuarios registrados pueden ver los links. ]

Fraudes corporativos, ¿cómo combatirlos desde la seguridad informática?

Ulrich Sieber, profesor de Derecho en la Universidad de Wurzburg y experto internacional en fraudes corporativos, señala el caso de un empleado que ingresó un programa al sistema informático de la empresa donde trabajaba para imputar pagos correspondientes a salarios de empleados ficticios en su propia cuenta.
Como el ardid habría sido descubierto por los mecanismos de seguridad del banco, el autor introdujo modificaciones en el programa de pago de salarios para que los 'empleados ficticios' y los pagos realizados no aparecieran en los listados de control. La situación era particularmente grave porque, tras descubrir la falla en el sistema, el agresor tenía la posibilidad de repetir el hecho delictivo cuantas veces quisiera.

Según un estudio de la Asociación de Examinadores de Fraude de los Estados Unidos, los fraudes corporativos causan pérdidas de nueve dólares diarios por empleado y una merma del seis por ciento en los ingresos anuales de las empresas.

La Ley Sarbanes-Oxley (SOX) dictada por el gobierno estadounidense tras los escándalos de Enron y WorldCom, exige que las empresas y sus auditores evalúen los controles internos de las compañías, es decir, las prácticas o sistemas para mantener los registros e impedir fraudes o abusos.
En diciembre de 2006, el Banco Central de la República Argentina emitió la Comunicación 'A' 4609 sobre Registros de seguridad y pistas de auditoría. Esta comunicación se refiere específicamente a las 'normas sobre requisitos mínimos de gestión, implementación y control de los riegos relacionados con tecnología informática y sistemas de información', y en el punto 8.2 señala concretamente: 'todos los sistemas aplicativos deben generar registros de auditoría que contengan mínimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas...'

Sin embargo, más allá de las regulaciones públicas, es sorprendente la escasa concientización sobre la necesidad de implementar medidas de seguridad anti fraude. En 2006, la filial local de la consultora Ernst & Young realizó la 1º Encuesta Nacional sobre Fraude. Entre otras cosas, determinó que el 51 por ciento de las compañías combate el fraude a través de la auditoría interna. Esto implica que NO lo hace un 49 por ciento de las empresas (¡casi la mitad!).
A diferencia de lo que creen muchas empresas, los auditores internos no resuelven todos los problemas de control. Los sistemas de seguridad, por su parte, permiten o deniegan el acceso a las aplicaciones y datos pero no controlan lo que hacen los usuarios autorizados.
Así, ya sea motivadas por seguridad interna, regulaciones del BCRA o de la Comisión Nacional de Valores (CNV), las empresas hoy necesitan obtener una pista completa de las aplicaciones utilizadas; cumplir regulaciones de protección de datos; tener controles detallados en los sistemas 'legacy' (esto requiere de conocimiento y recursos que normalmente no están disponibles o son muy costosos) y realizar un control y seguimiento sobre los accesos malintencionados.
Los sistemas más avanzados de seguridad informática permiten, por ejemplo, analizar la actividad del usuario a través de múltiples plataformas, reconstruir las pantallas y acciones realizadas, identificar transacciones efectuadas, seguir patrones de comportamiento y generar alertas sobre excepciones en tiempo real.

Accediendo al repositorio de datos colectados e indicadores de comportamiento, los investigadores pueden analizar la actividad de usuarios sospechosos y compararla con el comportamiento de sus pares. Muchas empresas argentinas y del exterior conocen estas herramientas y ya las están utilizando (principalmente, las grandes corporaciones y firmas de los rubros de finanzas y seguros).

De esta manera, la informática ayuda a las grandes organizaciones a manejar sus exigencias de control interno, así como las provenientes de directivas del BCRA, la Comisión Nacional de Valores o instituciones del exterior, y a protegerse del fraude corporativo.Ulrich Sieber, profesor de Derecho en la Universidad de Wurzburg y experto internacional en fraudes corporativos, señala el caso de un empleado que ingresó un programa al sistema informático de la empresa donde trabajaba para imputar pagos correspondientes a salarios de empleados ficticios en su propia cuenta.
Como el ardid habría sido descubierto por los mecanismos de seguridad del banco, el autor introdujo modificaciones en el programa de pago de salarios para que los 'empleados ficticios' y los pagos realizados no aparecieran en los listados de control. La situación era particularmente grave porque, tras descubrir la falla en el sistema, el agresor tenía la posibilidad de repetir el hecho delictivo cuantas veces quisiera.

Según un estudio de la Asociación de Examinadores de Fraude de los Estados Unidos, los fraudes corporativos causan pérdidas de nueve dólares diarios por empleado y una merma del seis por ciento en los ingresos anuales de las empresas.

La Ley Sarbanes-Oxley (SOX) dictada por el gobierno estadounidense tras los escándalos de Enron y WorldCom, exige que las empresas y sus auditores evalúen los controles internos de las compañías, es decir, las prácticas o sistemas para mantener los registros e impedir fraudes o abusos.
En diciembre de 2006, el Banco Central de la República Argentina emitió la Comunicación 'A' 4609 sobre Registros de seguridad y pistas de auditoría. Esta comunicación se refiere específicamente a las 'normas sobre requisitos mínimos de gestión, implementación y control de los riegos relacionados con tecnología informática y sistemas de información', y en el punto 8.2 señala concretamente: 'todos los sistemas aplicativos deben generar registros de auditoría que contengan mínimamente las actividades de los usuarios, las tareas realizadas, las funciones monetarias y no monetarias utilizadas...'

Sin embargo, más allá de las regulaciones públicas, es sorprendente la escasa concientización sobre la necesidad de implementar medidas de seguridad anti fraude. En 2006, la filial local de la consultora Ernst & Young realizó la 1º Encuesta Nacional sobre Fraude. Entre otras cosas, determinó que el 51 por ciento de las compañías combate el fraude a través de la auditoría interna. Esto implica que NO lo hace un 49 por ciento de las empresas (¡casi la mitad!).
A diferencia de lo que creen muchas empresas, los auditores internos no resuelven todos los problemas de control. Los sistemas de seguridad, por su parte, permiten o deniegan el acceso a las aplicaciones y datos pero no controlan lo que hacen los usuarios autorizados.
Así, ya sea motivadas por seguridad interna, regulaciones del BCRA o de la Comisión Nacional de Valores (CNV), las empresas hoy necesitan obtener una pista completa de las aplicaciones utilizadas; cumplir regulaciones de protección de datos; tener controles detallados en los sistemas 'legacy' (esto requiere de conocimiento y recursos que normalmente no están disponibles o son muy costosos) y realizar un control y seguimiento sobre los accesos malintencionados.
Los sistemas más avanzados de seguridad informática permiten, por ejemplo, analizar la actividad del usuario a través de múltiples plataformas, reconstruir las pantallas y acciones realizadas, identificar transacciones efectuadas, seguir patrones de comportamiento y generar alertas sobre excepciones en tiempo real.

Accediendo al repositorio de datos colectados e indicadores de comportamiento, los investigadores pueden analizar la actividad de usuarios sospechosos y compararla con el comportamiento de sus pares. Muchas empresas argentinas y del exterior conocen estas herramientas y ya las están utilizando (principalmente, las grandes corporaciones y firmas de los rubros de finanzas y seguros).

De esta manera, la informática ayuda a las grandes organizaciones a manejar sus exigencias de control interno, así como las provenientes de directivas del BCRA, la Comisión Nacional de Valores o instituciones del exterior, y a protegerse del fraude corporativo.

Fuente: [Solo los usuarios registrados pueden ver los links. ][Solo los usuarios registrados pueden ver los links. ]
[Solo los usuarios registrados pueden ver los links. ]