Ciberseguridad – ‘Hackearon’ al DANE: la entidad confirmó que fue víctima de un ataque informático desde la medianoche del martes
Pese a que la entidad informó durante todo el día sobre un daño técnico, luego de la noticia publicada por SEMANA confirmó el ataque informático. Este medio conoció el mensaje enviado por un presunto ‘hacker’, quien dice haber capturado 130 TB de datos, un volumen inimaginable de información. He aquí lo que indica el DANE sobre la situación. Confirmado. Tal como lo adelantó SEMANA, el DANE fue víctima de un ataque informático en la medianoche del martes 9 de noviembre. Durante todo el día (miércoles) el acceso a la información del Departamento Administrativo Nacional de Estadísticas (DANE) a través de la web ha permanecido bloqueado. Inicialmente, la entidad empezó a informar que se trataba de dificultades técnicas, pero SEMANA conoció un mensaje enviado por un presunto ‘hacker’, según el cual habría capturado 130 Terabytes (TB), un volumen gigantesco de datos de la entidad que maneja las estadísticas en el país. La primera comunicación emitida por el DANE para avisar de su problema técnico para el acceso de los usuarios se produjo hacia las 8:00 a. m., a través de su cuenta de Twitter. A las 3: 00 p. m. volvió a informar que continuaban trabajando en la solución del problema. Sin embargo, el bloqueo de los servidores se presentó en la noche del martes, desde las 11:34 p. m., según confirmó la entidad, luego de la divulgación de la noticia por parte de este medio de comunicación. Al interior del DANE las investigaciones en las áreas de sistemas no han parado, con el acompañamiento de la Policía informática. La parálisis de toda la actividad lleva más de 12 horas, lo cual no es un tema menor. Se trataría de un retraso en el registro de estadísticas vitales: nacimientos, muertes, pero también de encuestas y procesamiento de datos para resultados de los estudios que hace el DANE y que sirven para tomar decisiones en materia de política pública en el país. Seguimos trabajando para restablecer nuestra página web. Entretanto, a través del siguiente enlace pueden acceder a los anexos y boletines de los especiales de #empleo de la #GEIH para el periodo julio-septiembre de 2021 👉🏼 https://t.co/fUps9zZAa8 — DANE Colombia (@DANE_Colombia) November 10, 2021 La caída es total Según logró establecer SEMANA, la caída en los sistemas del DANE sería total. No funcionan los aplicativos para hacer las encuestas, el correo, el acceso a la web, entre otros servicios. De comprobarse que se trata de un hacker, sería una situación sin precedentes, pues esa entidad recopila información de los colombianos que muchas veces es privada, pero que está allí porque prima el interés nacional. El DANE confirma el ataque Hacia las 5:20 de la tarde de este miércoles, la entidad de las estadísticas confirmó el ataque informático. Sobre la información de los ciudadanos, enfatizó en que se encuentra a salvo, gracias a las labores realizadas con el acompañamientos de la Policía entrenada en este tipo de ataques informáticos (Centro Cibernético de la Policía). De igual manera, la entidad pidió a los ciudadanos que hagan caso omiso de cualquier comunicación electrónica proveniente de “supuestos funcionarios” del DANE, toda vez que la entidad es la única vocera oficial y continuará informando sobre el momento en que se reestablecerán los servicios estadísticos. El DANE informa que el martes 9 de noviembre de 2021 a las 23:34, los sistemas de la entidad fueron objeto de un ataque informático.Seguimos trabajando en el restablecimiento de nuestros servicios. pic.twitter.com/SLM3tRSnoe — DANE Colombia (@DANE_Colombia) November 10, 2021 ¿Qué pide el ‘hacker’? En términos de la información que, según el presunto hacker, tendría en su poder, se trataría de 16.259.000 megabytes de información. En el mensaje conocido, escrito en dos idiomas, inglés y español, la petición es contactar al mánager (gerente, director). Fuente: https://www.semana.com/economia/macroeconomia/articulo/hackearon-al-dane-la-entidad-confirmo-que-fue-victima-de-un-ataque-informatico-desde-la-medianoche-del-martes/202140/
Ciberseguridad – ‘BrakTooth’, la vulnerabilidad que está afectando a millones de dispositivos con Bluetooth a través de códigos maliciosos
El equipo de investigadores en ciberseguridad de la Universidad de Tecnología y Diseño de Singapur han descubierto un total de 16 vulnerabilidades llamadas ‘BrakTooth’ que afectan al software de Bluetooth que se incluyen en los chips ‘System-on-Chip’ (SoC). Estos problemas permiten a los hackers desde bloquear y congelar dispositivos hasta ejecutar códigos maliciosos para hacerse con el control de los sistemas, además, afecta a una gran variedad de aparatos electrónicos que se emplean en ámbitos domésticos e industriales. En total se han listado más de 1.000 conjuntos de chips que se han visto afectados por BrakTooth, debido a que se encuentran en teléfonos, ordenadores, auriculares y sistemas de entretenimiento para el hogar. Esta vulnerabilidad es diferente según la placa de SoC que utilicen los dispositivos y la pila de software de Bluetooth que lleven instalada, aunque los más afectados han sido los portátiles de Microsoft Surface, los ordenadores de sobremesa Dell y varios teléfonos con SoC Qualcomm. ¿Cómo afecta esta vulnerabilidad? Los hackers consiguen hacerse con el control de un aparato en remoto al ejecutar su propio código malicioso en los dispositivos afectados a través de paquetes LMP (Link Manager Protocol). Otros problemas de los problemas no son tan graves como el anterior, por ejemplo, existen vulnerabilidades que pueden usarse para bloquear el servicio Bluetooth en móviles y portátiles a través de paquetes LMP de Bluetooth que están incompletos. Existen parches de seguridad Todos los proveedores que sufren este fallo de seguridad no pudieron tener una solución a tiempo, Espressif Systems, Infineon y Bluetrum han sido las únicas que han conseguido lanzar sus parches de seguridad hasta el momento. Por otro lado, el resto de empresas no han podido poner fin a esta vulnerabilidad, es decir, millones de dispositivos aún siguen siendo vulnerables a este ataque cibernético. Fuente: https://www.20minutos.es/tecnologia/ciberseguridad/braktooth-la-vulnerabilidad-que-esta-afectando-a-millones-de-dispositivos-con-bluetooth-a-traves-de-codigos-maliciosos-4815186/
Ciberseguridad – Cómo evitar que nos timen con QR y Bizum, los nuevos objetivos de los ciberdelincuentes
En las últimas semanas, los cuerpos de seguridad han alertado de nuevas modalidades de cibercrimen basados en códigos QR y aplicaciones de pago telemático como Bizum. La sociedad tiende a hacerse cada vez más digital y los ciberdelincuentes están constantemente innovando y aprovechándose de las tecnologías más populares para engañar a los usuarios. En 2019, ya antes de la pandemia, la ciberdelincuencia se había convertido en el segundo delito más común en España, según el último informe del Ministerio de Interior, solo por detrás de los hurtos. Desde entonces, la tendencia no ha parado de crecer. Según un estudio de Datos101, en el último año, España ha registrado un incremento del 125 % en los ciberataques, convirtiéndose así en el tercer país más atractivo para los ciberdelincuentes. Desde Entelgy Innotec Security nos presentan algunos consejos para evitar caer en las tácticas de los ciberdelincuentes: Los QR fraudulentos Los códigos QR se hicieron muy populares durante el desconfinamiento para sustituir a las cartas de papel de bares y restaurantes. Generalmente, al leerlos podemos acceder a enlaces, pero sus funciones van más allá. De hecho, en algunos países de Asia es habitual usarlos para hacer pagos sin contacto, lo que los convierte en el atractivo perfecto para la ciberdelincuencia. Con el objetivo de acceder a datos personales, los delincuentes pegan códigos fraudulentos encima de aquellos colocados por la restauración o incluso por organismos oficiales como instituciones o museos. Además, y aunque es más fácil desconfiar de enlaces que no están asociados a ninguna marca o entidad, otra modalidad de fraude es colocar un QR sin necesidad de sustituir otros, ofreciendo entrar en sorteos de premios asegurados. Para evitar caer en esta trampa, los expertos recomiendan configurar la app de lectura de estos códigos para que no acceda directamente al enlace, sino que puedas ver la dirección a la que se dirige y comprobar que el enlace no tiene caracteres especiales. De este modo, a la hora de dar permisos e introducir datos personales o descargar algún archivo, lo harás con la seguridad de que la web es segura. En caso de duda, lo mejor es no seguir el enlace y teclear lo que quieres encontrar en tu buscador de confianza. Los peligros de Bizum Uno de los fraudes más recientes con este método se realiza a través de un SMS que llega al móvil de la víctima en nombre de la Seguridad Social, asegurando que tiene un pago pendiente de realizar y que se hará por medio de bizum. En este caso, los delincuentes solicitan un pago camuflándolo de ingreso para que la víctima acepte rápidamente. En otras ocasiones contactan a la víctima solicitando la devolución de un pago por Bizum que se ha enviado por error, haciéndose pasar incluso por amigos o conocidos. En ambos casos se debe dar el consentimiento para realizar la transacción, por eso se recomienda que, si recibes algún mensaje de este tipo, recuerda leer con calma cualquier notificación y asegurarte de la veracidad de lo que te están diciendo. Además, procura no clicar en enlaces que no sabes a donde se redirigen, no aceptar transacciones de personas que no formen parte de tu lista de contactos y nunca facilitar tus datos de acceso. Por último, no te olvides de que ningún organismo oficial realiza pagos a través de Bizum, tal y como ha recordado la Seguridad Social. “Las aplicaciones de pago y los QR son tecnologías muy seguras, pero es cierto que cuanta más gente las usa, más posibilidades existen de ser vulneradas. Sin embargo, todos estos ciberdelitos se pueden evitar simplemente con un poco de atención y desconfiando del más mínimo signo de alarma. Ciberseguridad también implica responsabilidad en el uso de la tecnología”, apunta Félix Muñoz, Director de Entelgy Innotec Security. Fuente: https://cybersecuritynews.es/como-evitar-que-nos-timen-con-qr-y-bizum-los-nuevos-objetivos-de-los-ciberdelincuentes/
Protección de Datos – Buenas prácticas para evitar incidentes de seguridad de datos personales
El propósito de mantener la confidencialidad, integridad y disponibilidad de los datos personales es tomado directamente del mundo de la seguridad de la información; seguridad que es importante, no solo porque es un principio contemplado en la Ley Estatutaria 1581 de 2012 de protección de datos personales, conocida como la LEPDP, sino también porque es el respaldo de un buen gobierno de datos y puede ayudarle a la empresa a demostrar el cumplimiento de otros aspectos de dicha ley. Por el contrario, la inseguridad pone en riesgo sus sistemas y servicios y puede ocasionar la pérdida, modificación, destrucción, comunicación o acceso no autorizado a los datos personales; es decir, incidentes de seguridad que pueden causar daños a los derechos y libertades de las personas, y acarrear sanciones de la Superintendencia de Industria y Comercio (SIC). Estos sucesos, además de ser situaciones problemáticas y estresantes para la empresa y las personas, son síntomas de que las medidas técnicas, humanas y administrativas aplicadas son vulnerables y no cumplieron con el objetivo de evitar la adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento de los datos personales. Los incidentes de seguridad de datos se clasifican de acuerdo con los tres pilares de la seguridad de la información: Incidente que afecta la confidencialidad: el uso o acceso accidental o deliberado a los datos. Incidente que afecta la integridad: cuando los datos son usados, alterados o modificados afectando su exactitud y completitud. Incidente de disponibilidad: cuando se pierde la capacidad de acceder a la información por la destrucción accidental no autorizada o deliberada de los datos. En la actual economía digital, que es impulsada por los datos personales como moneda de cambio que «viaja» por todo el mundo, los riesgos de que se presenten estos incidentes aumentan y pueden ocurrir en cualquier momento y en cualquier organización. Por esta razón, la manera en la que una organización se prepara para evitarlos es lo que marca la diferencia. Enfoque de riesgo proactivo para evitar incidentes de seguridad de datos personales La responsabilidad demostrada demanda un enfoque de riesgo que sea proactivo, no reactivo. Por lo tanto, implementar controles o medidas de seguridad para resolver un incumplimiento de la LEPDP luego de que ya ocurrió, no demuestra ningún tipo de responsabilidad. Cada empresa es única, por lo tanto, estas medidas deben ser apropiadas, efectivas y proporcionales al tamaño de la organización, a la naturaleza de los datos, al tratamiento aplicado y a los riesgos potenciales que ese tratamiento pueda causar sobre los derechos y libertades de las personas (artículo 26, Decreto 1377 de 2013). Algunos asuntos a los que se debe prestar atención para mantener o aumentar el cumplimiento de la ley en materia de ciberseguridad y protección de datos son los siguientes: Destinar recursos suficientes para el establecimiento e implementación de un programa integral de gestión de datos y de un sistema que permita gestionar la información de manera segura. Designar un oficial de protección de datos y uno de seguridad de la información para que velen por el cumplimiento de la LEPDP en la empresa. Revisar las medidas técnicas (certificados SSL/TLS y cifrado de datos, entre otros), legales (contratos de encargo y acuerdos de confidencialidad, entre otros) y organizacionales (políticas y procedimientos de seguridad de la información y protección de datos) necesarias según el tamaño empresarial, el volumen y tipo de datos e información, las operaciones que aplican sobre la información y el potencial riesgo que el tratamiento puede causar en las personas y la organización. Buenas prácticas para incrementar la seguridad contra ataques y detectar ataques de ransomware, phishing, ingeniería social y errores humanos Un alto nivel de cumplimiento de la seguridad de los datos será la mejor estrategia de defensa frente a incidentes de seguridad y requerimientos de la autoridad de protección de datos, asegúrese en todo momento de: Contar con un procedimiento de gestión de incidentes de seguridad de datos personales y de que los colaboradores estén en la capacidad de contactar al área o persona encargada de atender y gestionar las dudas, preguntas o reportes de estos sucesos. Entrenar a los colaboradores periódicamente frente a cómo reconocer y prevenir ataques de ransomware, phishing o ingeniería social; recordarles los peligros de reaccionar impulsivamente, y reforzar la obligación de reportarlos de forma inmediata al área o persona encargada de gestionar estos incidentes. Mantener cifrado en los discos con herramientas como BitLocker, VeraCrypt, DiskCryptor, Cryptomator y GnuPG, entre otras. Incorporar medidas de cifrado en los procesos de transmisión de correos electrónicos que contengan información personal de tipo sensible o secretos empresariales o comerciales. Contar con certificados SSL/TLS para el cifrado de todas las páginas web de la empresa. Contar con un software tipo anti-malware. Mantener un firewall y, de ser necesario, un software de detección de intrusos, y tenerlos actualizados. Revisar las configuraciones de seguridad predeterminadas, otorgadas o proporcionadas por cualquier servicio de correo electrónico como Gmail o Outlook, entre otros; y de aplicaciones de videoconferencias y trabajo colaborativo como Zoom, Teams, Google Meet, Slack y Trelo. Utilizar autenticación de múltiples factores para usuarios externos o basados en servicios de computación en la nube. Implementar controles para evitar que los usuarios respondan automáticamente a correos electrónicos provenientes de direcciones externas. Requerir e implementar medidas de cifrado en los procesos de transmisión de correos electrónicos y en los buzones de correo. Cifrar los datos en tránsito cuando se autentiquen usuarios o se transfiera información personal. Contar con mecanismos de autenticación como usuarios y contraseñas. Estos deberán ser almacenados con cifrado y de forma segura; por ejemplo, con un valor criptográfico de comprobación aleatoria de cifrado. Verificar los detalles de los remitentes de los correos electrónicos. Por ejemplo, que el dominio de donde proviene el mensaje sea realmente el de la empresa que dice porque, en ocasiones, puede tratarse de una suplantación. Crear reglas o políticas sobre cómo manejar los mensajes y archivos adjuntos en relación con el asunto de la comunicación. Establecer políticas claras y concretas, que no permitan interpretaciones, sobre el envío de correos electrónicos, y entrenar a los colaboradores frente a esto. Deshabilitar, en la
Protección de Datos – La nueva táctica para robar datos de los usuarios en internet
Por medio de una nueva táctica, los ciberdelincuentes buscan robar la información personal y privada de usuarios de entidades financieras y bancarias con el fin de cometer posteriormente fraudes, suplantación de identidad y robos por medios informáticos. Esta modalidad se apalanca en una técnica que desde hace años se utiliza en las páginas de internet, que es conocida como web scraping o raspado web, que recolecta los datos que están contenidos en un determinado sitio de manera automatizada, lo que permite hacer investigaciones o comparar el valor de un tiquete aéreo entre una compañía y otra. “Así como es usado con fines de estudios de mercados o tendencias en redes, también es utilizado por los cibercriminales, y el scripting de redes sociales es su favorito, ya que de esa manera logran contactar a los usuarios con el fin de poder engañarlos para robar datos personales o incluso credenciales”, señala Sol González, especialista en seguridad informática de Eset Latinoamérica. La técnica permite que los atacantes recojan los datos de cuentas oficiales de bancos en redes sociales, con el fin de conocer la lista completa de seguidores, las interacciones en las publicaciones, entre otros datos. Con esta información recolectada, minutos después proceden a tomar nuevamente los datos de ese sitio, lo que permite comparar las dos listas de seguidores con el fin de identificar cuáles son los usuarios nuevos. Una vez se establece cuáles son las nuevas cuentas que recientemente siguieron a la entidad financiera, los atacantes por medio de una cuenta falsa, que simula ser una de ‘Atención al cliente’ de esa compañía, contactan a la persona por un mensaje privado. En la conversación el delincuente simula ser un asesor virtual de la entidad y solicita una línea de teléfono con el fin de poder comunicarse directamente. Ese dato permite que los cibercriminales continúen la estafa por vía telefónica y, al simular ser un canal oficial del banco, solicitan datos como los accesos a las cuentas digitales o datos de tarjetas de crédito. “Para esto proceso los estafadores usan datos personales que tiene el usuario en su red social, como su dirección, su lugar de trabajo, su número de identificación, para hacer creer que se trata de un asesor del banco que brindará ayuda”, detalla González. Por medio del web scraping también se han ejecutado campañas de phishing, en el que se hace uso de ingeniería social, con el propósito de ganarse la confianza de la víctima. “El atacante puede usar esa misma información para enviar correos electrónicos que dirigen a páginas maliciosas, dado que conoce los patrones de comportamiento e información personal. Los atacantes cada vez están sofisticando más sus ataques”, asegura. Los estafadores usan datos personales que tiene el usuario en su red social, como su dirección, su lugar de trabajo, su número de identificación ¿Cómo protegerse? Cuidar la información que se comparte a través de las redes sociales es la principal recomendación de los expertos para prevenir ser víctimas de este tipo de ataques o fraudes. “Es fundamental reconocer que el scraping no es más que una recolección automatizada de datos que generalmente figuran como públicos en los sitios. Es por esto que, como usuarios, se debe tomar conciencia de los datos que decidimos hacer públicos, principalmente en redes sociales”, señala González. Como usuarios, se debe tomar conciencia de los datos que decidimos hacer públicos, principalmente en redes sociales En esto también coincide Martínez, quien asegura que se debe revisar a quiénes les damos acceso y aceptamos en nuestras cuentas. “Podría tratarse de un perfil falso que busca obtener información para luego crear mensajes o correos que estén relacionados con los gustos y consumos de la persona”, detalla. Así mismo, puede acceder a plataformas como haveibeenpwned.com, Identity Leak Checker y HackNotice, que le notificarán si en los sitios en los que ha creado una cuenta ha sufrido alguna vulneración de su seguridad, generando que los datos personales del usuario queden expuestos. TECNÓSFERA Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/web-scraping-nueva-forma-de-robo-de-informacion-personal-617560
Protección de Datos – ‘Pandemónium’
El trabajo de las autoridades de competencia durante la pandemia fue determinante para garantizar el acceso a bienes y servicios a través del monitoreo, la denuncia e investigación, así como la prevención con el fin de evitar conductas como la especulación, el acaparamiento y los precios excesivos al consumidor. Para hacer frente a este reto la Superintendencia de Industria y Comercio (SIC) desarrolló e implementó dos herramientas tecnológicas que nos permiten, además de las visitas, verificar precios, facturación y comportamiento. Esto permitió enfocarse en los productos más sensibles y así poder comparar la situación con otros Estados y advertir posibles prácticas anticompetitivas, así como informar al consumidor acerca de su oferta. Otro tema fundamental fue el comercio electrónico, determinante para garantizar el acceso a bienes y productos durante el confinamiento. En Colombia tenemos la ventaja de que la SIC es la autoridad de competencia y de comercio electrónico, lo que le garantiza una mayor efectividad en capacidad preventiva y de reacción cuando se presentan situaciones que vulneran los derechos de los consumidores. Aunque en Colombia no haya ‘gigantes tecnológicos’, si hay un mercado muy grande para estos, las redes y aplicaciones tienen millones de usuarios, lo que aunado a la juventud de su población lo hace atractivo, y por ello debemos ser vigilantes de los derechos de los consumidores y de la protección de sus datos personales. En el mundo globalizado las discusiones de competencia están asociadas a algoritmos, poder de mercado y el uso de datos personales como un activo de estos negocios, por lo que el hecho de que Colombia tenga una autoridad como la SIC es determinante para tener una visión holística de la situación, así como un liderazgo internacional como presidenta de la Red Iberoamericana de Autoridades de Protección de Datos y la presencia del Superintendente en el buró de economía digital de la Ocde. La mayoría de estos gigantes tecnológicos son estadounidenses y ante la ausencia de una legislación federal sobre protección de datos y su visión acerca de cómo desarrollan sus actividades, esto genera tensiones en muchas jurisdicciones, es así como Europa ha optado por los impuestos tecnológicos, y otras por adelantar investigaciones por posibles posiciones de dominio y asfixia de los competidores. En materia de protección de datos la SIC ha adelantado acciones frente a Facebook, Uber, TikTok y Alphabet (Google), esta última de la cual esperamos cumplimiento de la orden emitida, como se ha dado con las otras compañías. El mundo es globalizado también para la cooperación, es por ello que las empresas, gigantes o no, han optado por cumplir, mejorar y entender su responsabilidad, esto no debe obedecer solo a la acción coordinada, independiente y contundente de las autoridades de competencia, sino ojalá de una nueva ética empresarial en donde el ciudadano digital merece especial protección. Andrés Barreto González superintendente@sic.gov.co Fuente: https://www.portafolio.co/opinion/andres-barreto/pandemonium-columnista-portafolio-556269
Ciberseguridad – Entendiendo la dinámica de los incidentes de seguridad con Ransomware
El fenómeno ransomware Si hay un término que se ha ganado a pulso los primeros puestos en los titulares en medios de comunicación durante los dos últimos años, ransomware es sin duda, el claro ganador. Es rara la semana en la que los medios no nos hablan de un incidente utilizando este tipo de aproximación y es raro el sector que se ha librado de esta especie de maldición bíblica de última generación. Se entienda realmente el trasfondo o no, la ciudadanía traduce siempre este término como sinónimo de graves ataques informáticos y un nivel de daño importante para las empresas. Normalmente, la narrativa de los medios es algo confusa pues se habla del impacto (la página web que no está operativa o la fábrica que no puede abrir) y no tanto del incidente en sí mismo, que suele haber ocurrido tiempo atrás y que suele tener otras historias que contar. Esta publicación inicia una serie de cuatro artículos donde vamos a tratar de compartir nuestra visión cercana al fenómeno, narrando como se vive la dinámica de este tipo de incidentes de ciberseguridad cuando son una realidad en nuestra organización. Respuesta a incidentes Ransomware de un vistazo En un incidente de este tipo, un actor habrá conseguido acceso a la infraestructura del cliente y habrá comenzado una secuencia de pasos fácilmente previsibles donde se descargará herramientas (para analizar su entorno, detectar máquinas y direcciones IP, para enumerar sistemas y usuarios, etc.) para luego intentar ir realizando distintos movimientos laterales hacia un escalado progresivo de privilegios que optimicen culminar su actividad eliminando la resistencia propia del entorno. Las conexiones con su C2 (centro de operaciones del atacante, conocido como Command & Control) serán frecuentes en estos movimientos. Los plazos de tiempo necesarios para realizar las múltiples fases solían necesitar de varias semanas para producirse, aunque en las últimas experiencias durante 2021, hemos podido confirmar plazos más cortos (alrededor de una semana en total, en muchos casos) lo que hace, si cabe, más necesarias y urgente las plataformas de detección y respuesta (EDR, XDR, etc.). Una vez el actor tiene el nivel de conocimiento y acceso deseados, se producirá realmente el ataque, bien porque se exfiltran y cifran gran cantidad de datos, bien por filtrarse únicamente (no todos los actores que siguen esta pauta exfiltrando los datos). Sea como sea, en un plazo muy corto, una cantidad importante de carpetas y ficheros de nuestro cliente habrán sido comprometidos y cifrados, apareciendo ahora las célebres “notas de rescate” (análogas a las tradicionales cuando se trata de secuestros de personas) donde se nos suele informar del ataque, sobre sus autores (que se identificarán por algún nombre de guerra, de organización, etc.) y sobre las condiciones del “rescate”. La recuperación de los archivos cifrados en el ataque suele ser muy compleja (los mecanismos de cifrado son muy robustos) y por ello, el actor nos invitará a visitar alguna página en TOR (Darkweb) donde podremos comprobar cuanto tiempo tenemos para realizar el pago (cuenta atrás) y la forma esperada de hacerlo (normalmente, con criptomonedas, para dificultar su rastreo). Es importante resaltar el hecho de que, en los últimos meses, el enfoque RaaS (Ransomware as a service, utilizando la nomenclatura de los servicios en la nube) se han utilizado de forma muy intensa. En estos casos, un primer actor desarrolla un software para realizar ataques con Ransomware y es compartido con otro actor distinto que en base a distintos modelos (compartición de beneficios, pago mensual, etc.) realizará finalmente los ataques. En este modelo, el primer actor proporcionará soporte técnico al segundo por lo que el actor que realmente ataca no debe tener grandes conocimientos de tecnología ofensiva. Una vez la organización es víctima de un ataque con Ransomware, un número importante de equipos (suelen ser siempre servidores y colateralmente, estaciones de trabajo) serán cifrados y su funcionamiento comenzará a degradarse (los atacantes no cifran los sistemas de forma completa para permitir que se muestre la nota de rescate) o a pararse por completo. En muchos casos, los servicios de IT/Seguridad del propio cliente detectarán el ataque o al menos algunos aspectos. Quizás puedan con suerte, contener parte del ataque. En cualquier caso, la situación será obvia en cuestión de minutos el impacto en servicios será absoluto. Cuando una organización sufre un incidente de seguridad basado en Ransomware, iniciará un proceso de respuesta al incidente (IR) que normalmente sigue diversas mejores prácticas de entidades internacionales como el NIST (USA) o ENISA (Europa). Durante este proceso se intentará esencialmente cubrir tres etapas: La contención (evitar que se extienda el daño y la amenaza crezca) La erradicación (eliminar la presencia del actor/malware de forma que no se reactive en el futuro) La recuperación (de sistemas y servicios, de forma segura). Es poco frecuente que la compañía/organización tenga suficientes recursos o activados (empresas de servicios ya activas) como para afrontar este proceso de IR con solo recursos propios y es por ello que la oferta de servicios DFIR (Digital Forensics, Incident Response) de Telefónica Tech suelen ser requeridos. Como llevamos a cabo un proceso de IR-Ransomware El equipo de respuesta a incidentes de Telefónica Tech tiene recursos en varios países y ofrece diversos servicios de tipo IR a nivel global, habiendo realizado trabajos para clientes en Europa, USA y LATAM. El servicio de IR se entrega tanto en castellano como en inglés. El elemento principal sobre el que orbita todo el trabajo es una plataforma de tipo EDR (Endpoint Detection & Response). En caso de que el cliente no disponga de un sistema de este tipo ya desplegado, el equipo activa en la nube y despliega en cuestión de minutos alguna de las soluciones de nuestros aliados tecnológicos. La primera reunión con el cliente es fundamental para poder dar unas primeras pautas de orientación y para dar soporte a la toma de decisiones del cliente: cortar o minimizar las comunicaciones externas, desplegar o reutilizar alguna plataforma EDR, apagado preventivo de otros sistemas y comunicaciones, comunicación a medios, usuarios, clientes etc. Así como la correspondiente comunicación con la agencia de protección de datos que aplique en el caso concreto. Una vez el cliente toma las primeras decisiones, se conforma un equipo de trabajo mixto en el que participan distintos roles técnicos tanto de Telefónica Tech como del cliente (o
CIberseguridad – Ciberataques aumentaron 47% en el primer semestre de 2021
La compañía de ciberseguridad Trend Micro presentó este martes su informe de seguridad de la primera mitad de 2021, en el que detalla que ha bloqueado 40.900 millones de amenazas de correo electrónico, archivos y URL maliciosas para sus clientes, lo que supone un incremento interanual del 47 %. El sector bancario se ha visto “desproporcionadamente afectado” en este periodo, convirtiéndose en uno de los principales objetivos de los cibercriminales y experimentando un aumento interanual del 1.318 % en los ataques de ‘ransomware’ (un tipo de ‘malware’ que, tras comprometer un equipo, secuestra la información y exige el pago de un rescate para recuperar los datos y evitar otros daños colaterales). Según detalla el informe, el ‘ransomware’ siguió siendo la amenaza más destacada en el primer semestre del año, ya que los ciberdelincuentes continuaron apuntando a víctimas de renombre. Trabajando con terceros para obtener acceso a las redes objetivo, utilizaron herramientas y técnicas de Amenazas Persistentes Avanzadas para robar y cifrar los datos de las víctimas. Ataques a los correos de trabajo y estafas COVID El informe de Trend Micro también revela que los ataques de Business email compromise (BEC) aumentaron un 4 %, como “resultado de las nuevas oportunidades del Covid-19 para los actores de amenazas”. Por otra parte, los mineros de criptomonedas se convirtieron en el ‘malware’ más detectado, habiendo superado a WannaCry y a los ‘web shells’ (interfaz que permite acceder de forma remota a un servidor web) en los últimos meses. Una nueva amenaza que utiliza los recursos de la víctima para minar monedas. Asimismo, el programa Zero Day Initiative de Trend Micro detectó 770 vulnerabilidades, lo que supone una ligera caída (2%) respecto a la primera mitad de 2020. También se detectaron un total de 164 apps maliciosas relacionadas con las estafas de Covid-19, el 54 por de las cuales se hicieron pasar por TikTok. Mitigar los riesgos cibernéticos “El primer paso para mitigar eficazmente los riesgos cibernéticos es comprender la escala, la complejidad y las características específicas del panorama de las amenazas”, afirma Jon Clay, vicepresidente de Inteligencia de Amenazas de Trend Micro. “Además de la protección integral contra las amenazas en rápida evolución como el ‘ransomware’, el ‘phishing’ y el BEC (ataques de compromiso por correo electrónico, por sus siglas en inglés) que ofrece Trend Micro, nuestros informes semestrales ofrecen a las organizaciones globales y a las partes interesadas una visión de inestimable valor para ayudarles a construir un mundo conectado más seguro”, ha apostillado. Las conclusiones generales del informe ponen de manifiesto “la eficacia y la creciente necesidad de una solución de ciberseguridad holística y escalable a nivel empresarial”. A medida que las amenazas siguen aumentando en frecuencia y sofisticación, los equipos de los Centros de Operaciones de Seguridad (SOC) de las empresas “necesitarán una plataforma que pueda agilizar los procesos de seguridad sin sacrificar la fiabilidad”. Fuente: https://www.elespectador.com/tecnologia/ciberataques-aumentan-47-en-el-primer-semestre-de-2021/
Protección de Datos – ‘Data Brexit’: Reino Unido sí dejará que los algoritmos se supervisen a sí mismos en contra de lo que defiende Europa
La decisión de Reino Unido de abandonar la Unión Europea (UE) obligó a redefinir la forma en la que ambas partes se relacionarían una vez se hizo efectivo el brexit, unos cambios que afectaron a numerosos aspectos como la política exterior, la seguridad y la defensa, el orden público, la cooperación policial, la pesca o las relaciones comerciales. A estos puede sumarse ahora uno más en el ámbito tecnológico. Y es que Reino Unido acaba de lanzar su propuesta de reforma de la legislación en torno a los datos y el borrador apunta la intención del Gobierno de Boris Johnson de alejarse de la postura más humanista de Europa en torno al desarrollo de la tecnología y, en concreto, de la inteligencia artificial (IA). Esta decisión de Reino Unido de distanciarse de la Unión Europea (UE) en materia de protección de datos queda patente en el mismo prólogo del documento de 146 páginas sobre la reforma de la legislación de datos, que data de 2018 y a través de la cual el país traspuso el Reglamento General de Protección de Datos (GDPR) europeo. En el documento, el que hasta el pasado miércoles era el ministro de Digital, Cultura, Medios y Deporte de Reino Unido, Oliver Dowden, señala que, una vez que ha abandonado la UE, el país tiene ahora la libertad de crear un «nuevo y valiente» régimen de datos. En este sentido, apunta que algunos aspectos siguen siendo «innecesariamente complejos o vagos» y siguen causando una persistente incertidumbre tres años después de su introducción. «Nuestro objetivo final es crear un régimen de datos que favorezca el crecimiento y la innovación, manteniendo al mismo tiempo los estándares de protección de datos líderes en el mundo del Reino Unido», insiste. Adiós a la supervisión humana El principal cambio que plantea el texto es la modificación o supresión del artículo 22, que es el que garantiza que una persona tiene derecho a solicitar la revisión de una decisión que tomado un algoritmo. Esto afectaría, por ejemplo, a los sistemas de IA que emplean los bancos para decidir si una persona puede tener acceso a un crédito o los departamentos de recursos humanos para valorar los candidatos a un proceso de selección. En su nueva propuesta, el Gobierno de Reino Unido reconoce que las salvaguardas del Artículo 22 son «significativas» en algunos casos de uso, ya que podría haber una necesidad legítima de que ciertas decisiones derivadas de IA de «alto riesgo» requieran una revisión humana, incluso si este proceso restringe el alcance de uso de dichos sistemas o los hace más lentos. Sin embargo, advierte de que el funcionamiento y la eficacia actuales del artículo 22 están sujetos a incertidumbre por dos motivos principales: la falta de certidumbre sobre cómo y cuándo se pretenden aplicar las salvaguardas actualmente en vigor y la limitada aplicación del artículo. En este contexto, añade que hay que tener en cuenta que es probable que el uso de la toma de decisiones automatizada aumente enormemente en muchas industrias en los próximos años. «La necesidad de mantener la capacidad de proporcionar una revisión humana puede, en el futuro, no ser factible o proporcionada, y es importante evaluar cuándo se necesita esta protección y cómo funciona en la práctica», afirma. El texto apunta que es fundamental que las disposiciones del GDPR de Reino Unido para la toma de decisiones automatizada y la elaboración de perfiles funcionen tanto para las organizaciones como para las personas. Por ello, considera que es importante examinar si el artículo 22 y sus disposiciones están a la altura de la probable evolución de una economía y una sociedad impulsadas por los datos, y si proporciona la protección necesaria. Antes de tomar una decisión definitiva sobre el diseño final de este artículo, el Gobierno ha lanzado una consulta pública al respecto. Además, recuerda que el Grupo de trabajo sobre innovación, crecimiento y reforma regulatoria, creado por el Ejecutivo británico y formado por tres parlamentarios británicos conservadores, ya ha recomendado la supresión del artículo. Relaciones entre Europa y Reino Unido En declaraciones a D+I, el profesor y abogado experto en Derecho, Estrategia y Comunicación Digital, Borja Adsuara, cree que la decisión de Reino Unido es «una mala idea», ya que no va a mejorar la redacción actual del texto en materia de protección de datos y una modificación unilateral va a desconectar al país del continente y del reglamento europeo. En este sentido, remarca que, de confirmarse finalmente este cambio, tendrá consecuencias en el proceso de intercambio de datos entre el país y el Viejo Continente, ya que, por muy potente que sea el sistema de datos que cree Reino Unido, quedará «aislado» del resto de economías. «Si quitan el artículo 22 hacen un dique en el canal de la Mancha porque no puede haber un intercambio de datos con la Europa continental, ya que Gran Bretaña se coloca en un nivel inferior de protección de datos al no comulgar con todo el GDPR«, incide Adsuara, quien remarca el «follón» que puede ser para una empresa de Londres pedir una transferencia internacional de datos en este escenario. Por su parte, Idoia Salazar, presidenta de OdiseIA, Observatorio del Impacto Social y ético de la IA, también considera que si Reino Unido, finalmente, sigue adelante con esta iniciativa, se distanciará de la legislación europea en IA que requiere, como obligatorio, la supervisión por parte de las personas, siempre que no se trate de una mera automatización, sin ningún tipo de impacto, tanto a nivel social como laboral. Además, añade que también tomaría una tendencia contraria a la que siguen, en la actualidad, la mayoría de los países en el mundo, en la que se busca poner al ser humano en el centro en la toma de decisiones y a los sistemas de IA como una ayuda en este proceso para ayudarnos a mejorar como humanidad. En esta línea, el despacho de abogados Linklaters apunta que, de confirmar que Reino Unido suprime o modifica este artículo, el país «nadará contracorriente» en un momento en el que tanto la UE como China busquen regular esta área para proteger mejor a los consumidores. Solución a un problema inexistente Por otra
