Ciberseguridad 2020 Rberny – Tercera Parte

Ciberseguridad 2020 Rberny – Tercera Parte

Si bien es cierto que, en algunas organizaciones, pueden creer que el enfoque de la seguridad de la información es exclusivamente técnico y prescriptivo, entonces asumen que el uso de los controles para la defensa de la ciberseguridad está más allá de sus recursos, esto no debe de suceder así.

Pues bien, esta es la tercera parte de Ciberseguridad 2020 Rberny, sean ustedes bienvenidos, en esta ocasión analizaremos las herramientas de trabajo muy comunes, el correo electrónico e internet, algunas recomendaciones y buenas prácticas, recuerden los ambientes donde podemos desarrollarnos no nos excluyen de tener en cuenta este tema, ya que no siempre seremos los especialistas de sistemas, seremos y somos también usuarios cuando hacemos uso de aplicaciones en la nube, o soluciones de gobierno, bancarias y un gran etcétera, así como también, tenemos familia, hijos, esposa que tienen equipos de cómputo y obviamos su ciberseguridad.

Si bien es cierto que, en algunas organizaciones, pueden creer que el enfoque de la seguridad de la información es exclusivamente técnico y prescriptivo, entonces asumen que el uso de los controles para la defensa de la ciberseguridad está más allá de sus recursos, esto no debe de suceder así, por lo que, recomiendo, un enfoque de implementación que proporcione y garanticé los beneficios más importantes logrados mediante la implementación de los controles de mayor prioridad en la seguridad de la información.

Por experiencia sé que la seguridad empieza por uno mismo, anteriormente podías escudarte en la falta de información del tema, cuando uno mismo se convertía en la propia amenaza, sin embargo se persiste en algunos lugares con esa ideología, recordemos un mal hábito, no procurábamos actualizar los sistemas y aplicaciones que utilizábamos para nuestras actividades, no almacenábamos correctamente nuestras credenciales y otros tipos de información sensible, no nos preocupábamos por añadir más seguridad como factores de doble autenticación para acceder más cómodo y rápido a dichas aplicaciones, las organizaciones evadían formar y capacitar al personal de tecnologías de la información en las mejores prácticas de seguridad y cómo deberíamos actuar antes los ataques, en especial los de ingeniería social, desafortunadamente una mayoría se centran en esperar a que suceda la incidencia para luego implementar la seguridad que debió de haberse realizado anteriormente.

Entonces, la implementación del inventario de Hardware y Software, así como las configuraciones estándar, si se implementan correctamente genera ahorro de costos generales para la empresa, ya que se requieren menos sistemas y administradores de red para gestionar el entorno de ciberseguridad de la organización.

Considerando que el costo de implementación de los controles será proporcional al tamaño de la organización, es directamente exponencial  que las organizaciones más grandes pueden invertir más recursos generales para la defensa, mientras que las organizaciones más pequeñas probablemente ocuparan un mayor porcentaje de su presupuesto en defensa debido a las economías de escalas, lo cual se percibe como un gasto y no una inversión, sin duda esto es lo que detiene muchas veces implementar controles de seguridad en las pequeñas y medianas empresas.

La seguridad es un proceso, aun cuando puede ser parte de un proyecto en sí, ya que debe de estar siempre funcionando, las organizaciones debemos darnos cuenta de que proteger a una empresa de ciberataques, se ha convertido en una inversión necesaria, que en la actualidad está asociada con el uso de la tecnología como una de las herramientas del negocio en la era del Internet.

Puede resultar redundante y repetitivo, sin embargo, tenemos que el factor humano, es clave en la estrategia para impedir los eventos en los procesos tecnológicos, por lo que es necesario implementar estrategias de educación, ampliar la cultura de uso de la tecnología, consideremos que, si no se educa a las personas vamos a seguir teniendo vulnerabilidades, fallos de seguridad, denegación de servicios, inconsistencia en los servicios de TI, por decir algunos, por ejemplo una empresa, cuenta con personal preparado y con dispositivos de seguridad, entonces, de esta reflexión surge la pregunta de esta tercera publicación:

¿Por qué seguimos observando eventos en la seguridad, si ya se implementaron los primeros controles?

Como encargado del área es muy importante la información que brindemos, porque el recurso humano es el eslabón más débil, pienso que este punto es medular, ya que es donde una persona interactúa con el dato, entonces es donde el dato corre el mayor riesgo, por lo que una de las cosas que no debemos permitir que suceda con los usuarios, es que no sean conscientes de los riesgos.

Protecciones de correo electrónico y navegador web

Debemos concientizar, al usuario que, al estar utilizando navegadores web y clientes de correo electrónico, informándoles que estos son puntos de entrada y ataque, de los más comunes, debido a su la movilidad de clientes, proveedores, vendedores y por supuesto su interacción directa con los usuarios.

El contenido de estas herramientas de internet, se puede diseñar para atraer y engañar a los usuarios a tomar medidas que aumenten en gran medida el riesgo y permitan la introducción de código malicioso, ocasionando la pérdida de datos valiosos y/o dejando el ambiente preparado para otros ataques, entonces debemos minimizar la superficie de ataque y las oportunidades en las que puedan manipular el comportamiento humano a través de su interacción con los navegadores web y los sistemas de correo electrónico.

Buenas prácticas en el uso del correo electrónico

Siempre tener cuidado al abrir correos electrónicos de remitentes desconocidos con documentos adjuntos, es prudente reflexionar que es muy extraño que una persona que te contacta por primera vez te envíe un documento adjunto para tu consulta, hay que desconfiar de estas situaciones, seguramente ese documento adjunto esconde algún tipo de malware, un troyano e infectara nuestro equipo de cómputo, a los encargados o personal de TI, es necesario explicar a los usuarios de los riesgos que supone abrir los adjuntos que se reciben a través del correo electrónico que no solicitaste.

Otra forma de comprometernos es no tener cuidado al hacer clic en enlaces incluidos en correos electrónicos de remitentes desconocidos, regularmente esta práctica del atacante, se observa en quienes nos envían correo basura, lo cual consiste en una técnica de malware en el cuerpo del correo en forma invitación a obtener un premio, por ejemplo, entonces, la tendencia natural del usuario mal informado es hacer clic en dichos enlaces, por lo que se debe de hacer campaña para enseñar al empleado en general a tener cautela ante estas situaciones, sobre todo si el correo procede de remitentes desconocidos.

Es necesario que la empresa disponga de una solución anti malware empresarial que, entre otras tareas, escanee los correos electrónicos que reciba la empresa, un filtro anti spam que impida que los correos sospechosos, como correo basura, spam, lleguen al buzón de los empleados, este filtro debe estar activado y configurado, es labor del área de sistemas revisar de forma continua los reportes de esta aplicación o suite de herramientas, de esta manera, se evita que el empleado tome la decisión de abrir ficheros adjuntos o que haga clic en enlaces potencialmente peligrosos para él y para la empresa.

 Para garantizar la seguridad de una contraseña, se sugiere que sea mínimo de 8 caracteres e incluir mayúsculas, minúsculas y caracteres especiales, considero que esta recomendación es la que más trabajo les cuenta a los usuarios y muchas veces a los integrantes del área de tecnologías de información, sin embargo, la política de seguridad de la empresa debe exigir que el empleado utilice siempre contraseñas robustas y las cambie periódicamente.

Para los usuarios que tienen movilidad se recomienda, evitar utilizar el correo electrónico desde conexiones públicas, por ejemplo, cuando nos conectamos a una red abierta, la wifi de una cafetería, un hotel, etc., como dato pensemos que el tráfico de red que envía o recibe nuestro equipo de cómputo, puede ser interceptado por cualquiera de los usuarios conectados a dicha red, comprendamos que no podemos controlar quien se conecta a una red pública, debemos ser nosotros mismos los que pongamos trabas a un posible ataque o a que cualquiera pueda capturar nuestra información.

Esta tarea del área de tecnologías de la información que los correos electrónicos estén cifrados y establecer una red privada virtual con nuestra empresa de manera que todo el tráfico viaje cifrado o como última opción, pero sin duda la más utilizada, es utilizar redes de telefonía móvil, como el 3G o el 4G.

Una buena política del negocio es no publicar direcciones de correo electrónico de la empresa en sus redes sociales, en alguna ocasión nos hemos preguntado alguna vez cómo obtienen los ciber delincuentes, los millones de direcciones de correo para el envío de correo basura, una de las formas más comunes, es utilizando aplicaciones que hacen un barrido de las páginas web y que buscan direcciones de correo electrónico dentro de la misma, hay que tener cuidado, no solo escanean páginas web empresariales, también las redes sociales son una gran fuente de información para los atacantes, hay formas de proteger las cuentas de contacto, de información o soporte, mismas que no deben estar personalizadas.

Nunca responder al correo basura, son correos que solicitan a menudo respuestas respecto al contenido de sus mensajes, o incluso llegan a pedir el envío de un correo electrónico para evitar recibir más spam, esa es una trampa, porque con ellas estamos confirmando al spammer que la cuenta de correo está activa y que hay alguien leyendo el correo, imaginen cuando piden datos de cuentas bancarias o datos personales, incluso hay las que piden reenvíen usuario y contraseña para darle mantenimiento a la cuenta, es muy alarmante que esto suceda y desafortunadamente, me he encontrado con personas que han mandado su NIP de tarjeta de crédito.

Es buena práctica el desactivar el HTML en las cuentas de correo críticas, comúnmente, esto no es de dominio de los usuarios normales, pero si te interesa es correcto hacerlo, hay que tener en cuenta que muchos de los correos electrónicos se envían en formato HTML, esto permite utilizar colores, negritas, enlaces, etc., sin embargo, este formato también permite incluir un lenguaje de programación como JavaScript, el cual es muy utilizado para funcionalidades que nos ofrece el correo electrónico, desafortunadamente esta funcionalidad, también se puede mal utilizar y puede hacer que los spammers verifiquen que la dirección de correo electrónico es válida o redirigir el navegador web del usuario a una página web maliciosa que acabe infectando al usuario.

Esta recomendación de envío de correo electrónico, aparte de ser una buena práctica para prevenir spam, es también de imagen, me refiero al uso de la copia oculta conocida como: BCC o CCO, esto es, cuando se envíen mensajes a múltiples destinatarios, consideremos que puede haber destinatarios que no quieran que su dirección de correo electrónico se haga pública, es importante tener respeto hacia ellos y les hago énfasis, recomiendo usar siempre copia oculta (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios, un resultado involuntario es que el correo electrónico que enviamos deja de estar bajo nuestro control desde el mismo momento que sale nuestro servicio al exterior, no sabemos si será reenviado o publicado por uno o más de los destinatarios, dejando así accesible no solo nuestra dirección de correo si no la de todos los destinatarios y todos se enteran de los comentarios, adjuntos, información confidencial que no deben de ver.

Como hemos visto, las soluciones a muchos de los problemas del correo electrónico en la empresa se basan en la formación y concientización de los usuarios, estoy convencido de que al inducir a una buena formación en ciberseguridad a los empleados, supone una gran inversión de valores, que traerá consigo un enorme beneficio en términos de evitar ataques, fraudes y mejorar la imagen de la empresa.

 Defensas de malware

Entonces, ¿Qué podemos decir que es el malware?, se entiende por malware o software malicioso a un tipo de programa informático diseñado para infectar la computadora de un usuario legítimo y dañarla de diversas maneras, esta técnica de ataque se presenta en una infinidad de formas y puede infectar computadoras y dispositivos de varias maneras, algunas de las cuales incluyen virus, gusanos, troyanos, spyware y muchos elementos más, recomiendo el hacer campaña para que todos los usuarios sepan cómo reconocer y protegerse del malware, ya que el software malicioso es un aspecto integral y peligroso de las amenazas de Internet.

Su objetivo se dirige a usuarios finales y organizaciones a través de la navegación web, archivos adjuntos de correo electrónico, dispositivos móviles y otros vectores, este puede alterar el funcionamiento de un sistema operativo, capturar datos confidenciales y propagarse a otros sistemas.

Muy bien, en esta parte hablaremos de capas en la prevención del malware, la primera capa de protección es estar atento y tener cuidado, aun cuando se puede pensar que esto no es suficiente y que la seguridad empresarial no es perfecta, podemos encontrarnos incluso, que las descargas desde sitios legítimos pueden contener malware, por consiguiente, aún el usuario más prudente está en riesgo, a menos que tome medidas adicionales.

Cybersecurity Best Practices

Un paquete de software antivirus eficaz es el componente principal de las defensas tecnológicas que todo sistema informático personal y empresarial debe tener, esta protección de seguridad contra malware constituye la segunda capa de protección fundamental para tu computadora o red.

Ninguna protección es absoluta

La combinación de atención del personal y las herramientas de protección bien diseñadas, son responsabilidad del área de sistemas para garantizar que las firmas antivirus estén actualizadas, para ello deben de estar automatizadas y centralizadas.

Alguna de sus características es que utilizan las funciones administrativas integradas de las suites de seguridad de endpoints empresariales para verificar que las funciones de antivirus, anti spyware y sistemas de detección de intrusiones (IDS) basadas en host estén activas en cada sistema administrado, también realizan evaluaciones automáticas diariamente y revisan los resultados para encontrar y mitigar los sistemas que han desactivado tales protecciones o no tienen las últimas definiciones de malware y debe identificar cualquier software malicioso que esté instalado o intentó instalarse, ejecutarse o intentar ejecutarse.

Limitación y control de puertos de red, protocolos y servicios

Esta recomendación es un poco más técnica, sin embargo, considero importante mencionárselas, hoy en día los atacantes buscan servicios de red accesibles de forma remota que sean vulnerables a la explotación.

La mayoría de los paquetes de software instalan servicios automáticamente y los activan como parte de la instalación del paquete de software principal, si esta situación se presenta, el software rara vez informa al usuario que servicios y puerto de comunicaciones se han habilitado.

Les recomiendo el uso de herramientas de escaneo de puertos, estos nos pueden ayudar a determinar qué servicios están escuchando en la red para una gran diversidad de sistemas de destino, así como detectar qué puertos están abiertos, se pueden configurar escáneres de puertos efectivos para identificar la versión del protocolo y el servicio de escucha en cada puerto abierto que haya sido descubierto.

La estructura de una política de seguridad es mucho más extensa en infraestructura y dispositivos, pero un simple, escaneo de puerto, nos permitirá ser capaces de identificar cualquier puerto de red de escucha no autorizado que esté conectado a la nuestra red corporativa o en casa.

Capacidad de Recuperación de Datos

La resiliencia ante eventos de virus y atacantes es la capacidad que se tiene en la recuperación de los sistemas y de la información, cuando los atacantes comprometen las máquinas a menudo realizan cambios significativos en las configuraciones y el software o también hacen sutiles alteraciones de los datos almacenados en equipos o dispositivos comprometidos, sin duda esto puede poner en peligro la eficacia de la organización con información contaminada.

De esta manera, recomiendo respaldos automatizados y centralizados de la información crítica de la organización, el periodo de respaldo depende en gran medida a respondernos:

  • ¿A qué punto en el tiempo puedo restablecer la información?
  • ¿Qué tan importante es la información para el negocio?
  • ¿Cuánto tiempo puede estar fuera de línea las soluciones informáticas?

Se puede ahondar más en el tema, este es solamente un punto de partida, ya que cada negocio es diferente, así como la administración y la gestión de TI correspondiente, no está de más recomendarles también hacer respaldos en casa, también nuestra información personal es importante.

Configuraciones seguras para dispositivos de red

Dentro de las configuraciones seguras para soluciones y dispositivos de red, les comento que los atacantes penetran las defensas buscando agujeros electrónicos en Firewall, Router Switch, etc., una vez que estos dispositivos de red han sido explotados, los atacantes pueden obtener acceso a las redes objetivo, redirigir el tráfico en esa red a un sistema malicioso que se hace pasar por un sistema confiable e interceptar y alterar información durante la transmisión.

Este tema es bastante técnico, no lo abordaré en esta tercera parte de ciberseguridad, ya que mi objetivo es hacer conciencia, con información de prevención y de que puede a llegar a suceder en caso de que ocurra unos eventos de los mencionados, mi recomendación va encausada a que las organizaciones utilicen herramientas, ya sea comerciales u Open Source que evaluarán el conjunto de reglas de los dispositivos de filtrado de red, que determinan si son consistentes o si se encuentran en conflicto, de la misma forma, que les proporcionen una verificación automática de los filtros de red.

Es muy recomendable que además se busquen errores en conjuntos de reglas, ya sea con las herramientas o que a criterio se contravengan dichas reglas, hay que documentar los cambios en red, sobre todo cada vez que se realicen cambios significativos en los conjuntos de reglas de firewall, las ACL del enrutador u otras tecnologías de filtrado, IPS, IDS.

Un aspecto que va sin duda siempre nos va a colocar en un estado de alerta es un caso fortuito o eventual, por ejemplo:

El internet de las cosas industrial (IIoT), recuerden los atacantes están buscando cada vez más vulnerabilidades en el hardware y la infraestructura en la nube de las compañías que aplican soluciones en sus procesos productivos, además si le sumamos el internet de las cosas (Lot), el asunto no ha sido tratado con el debido respeto y si consideramos el incorporar  asuntos industriales para manufactura con frentes como cadenas de distribución, procesos de producción, etc., es muy probable que se pueda hacer uso de esas vulnerabilidades para acceder a la red e interrumpir los procesos de negocio.

Ciberseguridad Rberny 2020, proporciona en sus tres primeras publicaciones una parte sustancial de concientización sobre el tema, una visión personal desde tecnologías de la información, una alerta para los responsables del área, así como al empresario tener la posibilidad de cuestionarse, ¿En la empresa como está la seguridad de nuestra información, está informado el personal, hay políticas de continuidad del negocio?, entre otras muchas más.

Saludos,

Firma 2021 Rberny - Ing. Rubén Bernardo Guzmán Mercado

Referencias:

Ofcom (2008) “Social Networking: a quantitative and qualitative research report into attitudes, behaviours and use. Sitio Web: www.ofcom.org.uk/advice/media_literacy/medlitpub/medlitpubrss/socialnetworking/report.pdf.

International Network Against CyberHate- INACH (2007) “Second INACH Report”. Sitio Web: http://www.inach.net/content/second-INACH-report.pdf.

Urcuqui López, Christian & Peña, Melisa & Osorio Quintero, Jose & Navarro, Andres. (2018). Ciberseguridad: un enfoque desde la ciencia de datos. 10.18046/EUI/ee.4.2018.

Global Knowledge. (2017). 2017 IT Skills and Salary Report. A comprehensive Study from Global Knowledge. Sitio web:https://mindhubpro.pearsonvue.com/v/vspfiles/documents/2017_Global_Knowledge_SalaryReport.pdf

ISACA. (2018). State of Cybersecurity 2018 – Contours of the Skills Gap. Sitio Web: https://cybersecurity.isaca.org/state-of-cybersecurity

Views: 5

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.