En JSA sumamos a un especialista en ciberseguridad y te contamos en este artículo por qué es importante contar con él.

¿Qué hace un auditor de ciberseguridad?

El especialista en ciberseguridad no sólo se encarga de mantener al día los equipos, antivirus y monitorizar las redes, sino que también es el encargado de realizar la auditoría de ciberseguridad que marcará tanto las pautas a seguir en el futuro para evitar un ataque, como los puntos débiles de nuestra empresa.

¿Qué es auditoría de ciberseguridad?

La auditoría de seguridad informática es uno de los medios que puede aplicar la empresa para tener un control de la situación de la seguridad de sus sistemas informáticos e infraestructura de it. Esta tiene la finalidad de detectar posibles vulnerabilidades y deficiencias para, de este modo, poder proponer medidas para mejorar y asegurar la protección de los datos e información crítica de la empresa.

¿Qué es una vulnerabilidad?

Una vulnerabilidad informática implica una deficiencia por la que los sistemas de una empresa en mayor o menor grado están expuestos a sufrir una amenaza de seguridad.

Una vulnerabilidad es una debilidad en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad (información correcta y libre de modificaciones y errores), disponibilidad (información accesible cuando sea necesario) o confidencialidad (información accesible solo por el personal autorizado) de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible y por tanto, encontrar dichas vulnerabilidades constituye el objetivo de las auditorías – Incibe.

Principios de protección de información

La ausencia de algún tipo de medida de seguridad implica un alto riesgo de exposición a fugas de información. En consecuencia, La protección de la información se estructura alrededor de tres principios básicos:

Confidencialidad

Implica la acción de reservar la información a las personas de adecuadas, es decir, limitar el acceso a información confidencial.

Integridad

Garantizar la calidad de la información. Trabajar con información alterada o errónea puede llevarnos a tomar decisiones equivocadas.

Disponibilidad

Comprende que pueda ser utilizada libremente cuando sea necesario por el personal autorizado.
Dichas vulnerabilidades pueden tener distintos orígenes, por ejemplo: fallos de diseño y/o programación, (¡importante, seguridad por defecto y desde el diseño!), errores de configuración, etc.

En este sentido, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. Obviamente, si existe una vulnerabilidad, siempre existirá alguien que intentará sacar provecho de su existencia.

En el proceso de auditoría de seguridad debe reflejarse por igual tanto medidas técnicas como organizativas, ya que las amenazas pueden tener un origen externo e interno (fugas de información inconsciente o voluntariamente), técnico y humano. Según el origen externo de las amenazas, podemos destacar p. ej.:

Hacktivismo

Ataque de terceros que realizan prácticas de Hacking, basadas en una causa específica para mostrar su desacuerdo contra la empresa.

Robo de información.

Competencia desleal.

Prevención de amenazas en ciberseguridad

Una vez terminadas la auditoría deben eliminarse las vulnerabilidades encontradas e implementar en la organización una serie de “Best Practices” tanto técnicas como organizativas destinadas a la prevención de futuras amenazas. La ciberseguridad comprende una de las áreas fundamentales de la transformación digital. En esta línea:

Clasificar la Información. Esto es obvio. No podemos limitar el acceso a la información si no tenemos claro que es confidencial y quien debe acceder a ella. Esta confidencialidad puede establecerse dependiendo del valor que tenga para la organización, el nivel de sensibilidad, si tiene datos de carácter personal, etc.

Desarrollar políticas de acceso a la información. Como hemos dicho, un usuario solo debe tener acceso a la información confidencial estrictamente necesaria para su trabajo diario y debe ser informado de los límites de su trabajo diario y los procedimientos para disminuir el riesgo en aquellas actividades que puedan implicar fugas de información. Es muy importante que en las organizaciones existan acuerdos de confidencialidad con los empleados. Dichos acuerdos, además de otras medidas, pueden servir como elementos disuasorios para evitar usos malintencionados de la información.

La formación de los usuarios. En este punto hay que tener dos conceptos muy claros. La ciberseguridad total no existe y la información es manipulada por personas. Existe el factor humano y, por consiguiente, el error humano. “El usuario es el eslabón más importante de la cadena”. La fuga de información, voluntaria o no, tiene un componente humano, ya sea por motivaciones económicas, personales o el simple y el comentado error humano.
Controles de acceso e identidad Usuarios y passwords robustas para acceder al sistema. A partir de ahí, podremos controlar a base de políticas quien accede a la información.

Soluciones anti-malware y anti-fraude, y obviamente, un buen antivirus actualizado.

Seguridad perimetral y control de las comunicaciones. Cuantas empresas tienen conectado los servidores al router wifi de su proveedor de telefonía… segmentación de la red, firewalls, uso de DMZ (zona desmilitarizada) para aplicaciones web que dificulten el acceso a servidores, base de datos desde Internet, etc. etc.

Control de contenido, control de tráfico y copias de seguridad

Actualizaciones de seguridad de sistemas operativos y software en general. Normalmente las vulnerabilidades en el software y sistemas operativos son detectadas y utilizadas para tomar el control sobre nuestras infraestructuras y acceder a los sistemas. Estar al día con las actualizaciones es esencial.

La implementación de productos o servicios destinados a la gestión del ciclo de vida de la información (ILM, del inglés Information Life-Cycle Management) o específicos para evitar la fuga de información (DLP, del inglés Data Loss Prevention).

El asesoramiento profesional, no solo durante la gestión de un incidente (¡normalmente nos acordamos de Santa Bárbara cuando truena… error!) sino para el diseño y mantenimiento de las medidas de prevención.

¿Qué es el cibercrimen?

El cibercrimen es una actividad delictiva que afecta o abusa de una computadora, una red informática o un dispositivo en red.

La mayor parte del cibercrimen, pero no todo, lo perpetran cibercriminales o hackers que desean ganar dinero. El cibercrimen lo cometen personas u organizaciones.

Algunos cibercriminales están organizados en grupos, utilizan técnicas avanzadas y cuentan con grandes habilidades técnicas. Otros son hackers novatos.

En raras ocasiones, el cibercrimen tiene como objetivo dañar las computadoras por motivos distintos a la obtención de dinero. Estos pueden ser políticos o personales

Tipos de cibercrimen

Estos son algunos ejemplos de los diferentes tipos de cibercrimen:

• Fraude por correo electrónico e Internet.
• Fraude de identidad (en caso de robo y uso de información personal).
• Robo de datos financieros o de la tarjeta de pago.
• Robo y venta de datos corporativos.
• Ciberextorsión (amenazar con un ataque para exigir dinero).
• Ataques de ransomware (un tipo de ciberextorsión).
• Cryptojacking (en el que los hackers consiguen criptomoneda con recursos que no les pertenecen).
• Ciberespionaje (en el que los hackers acceden a datos gubernamentales o empresariales).

La mayor parte del cibercrimen se divide en dos categorías principales:

-Actividad delictiva dirigida a las computadoras.

-Actividad delictiva que utiliza computadoras para cometer otros delitos.
El cibercrimen dirigido a las computadoras suele implicar virus y otros tipos de malware.

Los cibercriminales pueden infectar computadoras con virus y malware para dañar dispositivos o hace que dejen de funcionar. También pueden utilizar malware para eliminar o robar datos.

El cibercrimen que impide que los usuarios utilicen una máquina o red, o que hace que una empresa deje de prestar un servicio de software a sus clientes, se denomina ataque de denegación de servicio (DoS, del inglés “Denial-of-Service”).

El cibercrimen que utiliza computadoras para cometer otros delitos puede implicar el uso de computadoras o redes para propagar malware, información ilegal o imágenes ilegales.

A veces, los cibercriminales cometen ambas categorías de cibercrimen a la vez. Pueden infectar primero a computadoras con virus, para después utilizarlas para propagar malware a otros equipos o a través de una red.

Los cibercriminales también pueden llevar a cabo lo que se conoce como un ataque de denegación de servicio distribuido (DDoS, del inglés “Distributed-Denial-of-Service”). Es similar a un ataque DoS, pero los cibercriminales utilizan numerosas computadoras afectadas para llevarlo a cabo.

El Departamento de Justicia de EE. UU. reconoce una tercera categoría de cibercrimen, en el que una computadora se utiliza como un accesorio para cometer un delito. Un ejemplo de este tipo es el uso de una computadora para almacenar datos robados.

Estados Unidos ha firmado el Convenio europeo sobre la ciberdelincuencia. El convenio define una red muy amplia, y existen numerosos delitos informáticos maliciosos que tipifica como cibercrimen. Por ejemplo:

• Interceptar de forma ilegal o robar datos.
• Interferir con los sistemas de forma que pueda poner en peligro la red.
• Infracción de copyright.
• Casinos y subastas ilegales.
• Venta online de artículos ilegales.
• Solicitar, producir o poseer pornografía infantil.

Ejemplos de cibercrimen

Entonces ¿qué debemos considerar cibercrimen? ¿Hay ejemplos conocidos?

En esta sección veremos ejemplos famosos de diferentes tipos de ataques de cibercrimen utilizados por los cibercriminales. Siga leyendo para saber lo que se considera un cibercrimen.

Ataques de malware

Un ataque de malware es aquel en el que un sistema informático o una red están infectados con un virus informático u otro tipo de malware.

Los cibercriminales pueden utilizar una computadora infectada por malware para varios fines. Por ejemplo, robar datos confidenciales, utilizarla para llevar a cabo otros actos delictivos o dañar datos.

El ransomware es un tipo de malware que se utiliza para retener los datos o el dispositivo de la víctima a fin de extorsionarla para que pague. WannaCry es un tipo de ransomware que aprovechó una vulnerabilidad en las computadoras que ejecutaban Microsoft Windows.

Phishing

Una campaña de phishing es aquella en la se envían en masa correos electrónicos de spam u otras formas de comunicación con la intención de engañar a los destinatarios para que hagan algo que ponga en peligro su seguridad o la de la organización para la que trabajan.