Estándar Internacional ISO/IEC 27002

¿Qué es ISO?

Monografias.com

ISO es el acrónimo de International Organization for Standardization. Aunque si se observan las iniciales para el acrónimo, el nombre debería ser IOS, los fundadores decidieron que fuera ISO, derivado del griego “isos”, que significa “igual”. Por lo tanto, en cualquier país o en cualquier idioma, el nombre de la institución es ISO, y no cambia de acuerdo a la traducción de “International Organization for Standardization” que corresponda a cada idioma. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales más grande en el mundo. ISO es una red deinstituciones de estándares nacionales de 157 países, donde hay un miembro por país, con una Secretaría Central en Geneva, Suiza, que es la que coordina el sistema.

ISO es una organización no gubernamental que forma un puente entre los sectores públicos y privados.

Respecto al origen de la organización ISO, oficialmente comenzó sus operaciones el 23 de febrero de 1947 en Geneva, Suiza. Nació con el objetivo de “facilitar la coordinación internacional y la unificación de los estándares industriales.”

  • ¿Qué es IEC?

Monografias.com

IEC es el acrónimo de International Electrotechnical Commission. Esta es una organización sin fines de lucro y también no gubernamental. Se ocupa de preparar y publicar estándares internacionales para todas las tecnologías eléctricas o relacionadas a la electrónica.

IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a lasindustrias electrotécnicas mundiales. Aunque como se acaba de decir, IEC nació en el Reino Unido, en el año de 1948 movieron su sede a Geneva, Suiza, ciudad en la que también se encuentra la sede de ISO.

  • ISO/IEC JTC1

ISO e IEC han establecido un comité técnico conjunto denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee). Este comité trata con todos los asuntos de tecnología de la información. La mayoría del trabajo de ISO/IEC JTC1 es hecho por subcomités que tratan con un campo o área en particular. Específicamente el subcomité SC 27 es el que se encarga de las técnicas de seguridad de las tecnologías de información. Dicho subcomité ha venido desarrollando unafamilia de Estándares Internacionales para el Sistema Gestión y Seguridad de la Información. La familia incluye Estándares Internacionales sobre requerimientos, gestión de riesgos, métrica y medición, y el lineamiento de implementación del sistema de gestión de seguridad de la información. Esta familia adoptó el esquema de numeración utilizando las series del número 27000 en secuencia, por lo que a partir de julio de 2007, las nuevas ediciones del ISO/IEC 17799 se encuentran bajo el esquema de numeración con el nombre ISO/IEC 27002.

  • Seguridad de la información

Monografias.com

Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.

La información puede existir en muchas formas, por ejemplo puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, hablada en una conversación, etc. Sea cual sea la forma en la que se tenga la información, debe estar en todo caso protegida.

La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos,procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo.

Es importante y necesario para las empresas realizar una evaluación de riesgos para identificar amenazas para los activos, así como también para conocer y analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o alteración de la información, y el impacto potencial que esto llegaría a tener. Una vez se hayan identificado los riesgos, se procede a seleccionar controles apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel aceptable.

Vulnerabilidad

Es una debilidad o agujero en la seguridad de la información, que se puede dar por causas como las siguientes, entre muchas otras:

  • Falta de mantenimiento

  • Personal sin los conocimientos adecuados o necesarios

  • Desactualización de los sistemas críticos.

Amenaza

Es una declaración intencionada de hacer un daño, como por ejemplo mediante un virus, un acceso no autorizado o robo. Pero no se debe pensar que únicamente personas pueden ser los causantes de estos daños, pues existen otros factores como los eventos naturales, que son capaces de desencadenar daños materiales o pérdidas inmateriales en los activos, y son también consideradas como amenazas.

Ataque

Es una acción intencional e injustificada (desde el punto de vista del atacado). Consiste en un intento por romper la seguridad de un sistema o de un componente del sistema.

Riesgo

Es una potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como unafunción del impacto, amenaza, vulnerabilidad y de la probabilidad de un ataque exitoso.

Atacante

Es alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.

Los atacantes pueden ser internos (que pertenecen a la organización) o externos (que no pertenecen a la organización). Respecto a los atacantes internos, son difíciles de detener porque la organización está en muchas maneras forzada a confiar en ellos. Estos conocen cómo trabaja el sistema y cuáles son sus debilidades. Quizás el error más común de seguridad es gastar considerables recursos combatiendo a los atacantes externos, ignorando las amenazas internas.

Estándar Internacional ISO/IEC 27002 (antiguamente ISO/IEC 17799)

Luego de haber definido algunos conceptos y conocimientos preliminares y de hablar de manera general sobre la organización ISO y el comité IEC, es momento de entrar en detalle y profundizar específicamente en el tema concerniente a esta investigación: el Estándar Internacional ISO/IEC 27002).

El documento del Estándar Internacional ISO/IEC 27002, después de la introducción, se divide en quince capítulos. En este documento se presentará un resumen y análisis de cada uno de los quince capítulos, de manera breve, pues el objetivo no es plasmar nuevamente lo que ya se encuentra en el documento original, sino que resaltar las ideas básicas de forma muy resumida y con un análisis propio sobre cada tema del cual se habla en éste importante Estándar Internacional para la seguridad en las tecnologías de información.

2.1. Alcance

Monografias.com

Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

2.2. Términos y definiciones

Monografias.com

En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en elGlosario, que son las definiciones de:

  • Activo
  • Control
  • Lineamiento
  • Medios de procesamiento de la información
  • Seguridad de la información
  • Evento de seguridad de la información
  • Incidente de seguridad de la información
  • Política
  • Riesgo
  • Análisis de riesgo
  • Evaluación del riesgo
  • Gestión del riesgo
  • Tratamiento del riesgo
  • Tercera persona
  • Amenaza
  • Vulnerabilidad

2.3. Estructura de este Estándar

Monografias.com

Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas:

2.4. Evaluación de los riesgos de seguridad

Monografias.com

Se deben identificar, cuantificar y priorizar los riesgos de seguridad. Posterior a ello se debe dar un tratamiento a cada uno de los riesgos, aplicando medidas adecuadas de control para reducir la probabilidad de que ocurran consecuencias negativas al no tener una buena seguridad.

La reducción de riesgos no puede ser un proceso arbitrario y regido por la voluntad de los dueños o administradores dela empresa, sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los requerimientos y restricciones de la legislación y las regulaciones nacionales e internacionales, objetivos organizacionales, bienestar declientes y trabajadores, costos de implementación y operación (pues existen medidas de seguridad de gran calidad pero excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una empresa, afectando larentabilidad).

Se debe saber que ningún conjunto de controles puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos que amenacen con afectar la seguridad en una organización.

2.5. Política de seguridad

Monografias.com

Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un “Documento de la política de seguridad de la información.” Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes.

El Documento de la Política de Seguridad de la Información debe contar con un claro lineamiento de implementación, y debe contener partes tales como una definición de seguridad de la información, sus objetivos y alcances generales, importancia, intención de la gerencia en cuanto al tema de seguridad de la información, estructuras de evaluación ygestión de riesgos, explicación de las políticas o principios de la organización, definición de las responsabilidades individuales en cuanto a la seguridad, etc. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar susdatos personales, etc.)

Las políticas de seguridad de la información no pueden quedar estáticas para siempre, sino que por el contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier tipo de cambio que se dé. Por ejemplo, si aparece un nuevo virus o nuevas tecnologías que representen riesgos, las políticas de seguridad podrían cambiar o ser mejoradas de acuerdo a las necesidades actuales. Un caso práctico sería el aparecimiento de las memorias USB. Antiguamente esa tecnología no existía, entonces no se esperaba que existieran robos de información a través de puertos USB. Ahora las memorias USB son de uso global y por lo tanto, las políticas de seguridad deberían considerar bloquear puertos USB o algo por el estilo, para no permitir que se extraiga información de esa manera de forma ilícita o por personas no autorizadas.

Otro problema sería tener excelentes políticas de seguridad, pero que no sean implementadas correctamente o que simplemente se queden a nivel teórico y que no se apliquen. En la vida real se suelen dar casos donde las leyes están muy bien redactadas, pero que no se cumplen. Sucede en muchos países, que la legislación puede estar estructurada muy bien, pero que no se respeta. Igualmente podría darse que se tengan excelentes políticas, pero que no se cumplan o que no se sepan implementar correctamente. Por lo tanto, se requieren lineamientos de implementación adecuados.

2.6. Aspectos organizativos de la seguridad de la información

Monografias.com

La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.

En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.

Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La gerencia debe invertir en seguridad, y no verlo como un aspecto que no tiene relevancia. Algunas veces la seguridad requiere inversión económica, y parte del compromiso de la gerencia implica tener un presupuesto especial para seguridad, por supuesto de una forma razonable que no afecte la rentabilidad de la empresa. Por ejemplo, implementar un método carísimo de seguridad podría ser de gran beneficio, pero representar un costo demasiado elevado.

Es fundamental también asignar responsabilidades. Es típica una tendencia humana el echarle la culpa a otros. Entonces cuando la seguridad es atacada, casi siempre las personas dentro de la organización tratan de buscar un culpable y quedar libres de todo cargo. Por esa razón se deben asignar claramente responsabilidades para que cuando se den los problemas, cada quien responda por sus actos y por lo que estaba bajo su cargo. La asignación de responsabilidades no solamente tiene que ser verbal, sino que escrita y en muchas ocasiones, incluso bajo un contratolegal.

Deben también existir acuerdos de confidencialidad. También se debe tener en cuenta mantener los contactos apropiados con las autoridades relevantes, por ejemplo con la policía, departamento de bomberos, etc. También se debe saber en qué casos se debe contactar a estas instituciones. También se deben mantener contactos apropiados congrupos de interés especial u otros foros de seguridad especializados y asociaciones profesionales, así como contar con capacitaciones en materia de seguridad.

La organización en materia de seguridad de la información debe también considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información.

2.7. Gestión de activos

Monografias.com

Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventarioactualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia.

2.8. Seguridad ligada a los recursos humanos

Monografias.com

El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad yresponsabilidad de los recursos humanos en este ámbito.

También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.

2.9. Seguridad física y ambiental

Monografias.com

La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información.

Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse.

En cuanto a la seguridad ambiental, se debe controlar la temperatura adecuada para los equipos, seguridad del cableado, mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de los equipos también debe ser adecuada y de tal manera que evite riesgos. Por ejemplo si algún equipo se debe estar trasladando con frecuencia, quizá sea mejor dejarlo en la primera planta, en vez de dejarlo en la última planta de un edificio, pues el traslado podría aumentar los riesgos de que se caiga y dañe, especialmente si no se cuenta con un ascensor. Se debe igualmente verificar y controlar el tiempo de vida útil de los equipos para que trabajen en condiciones óptimas.

2.10. Gestión de comunicaciones y operaciones

Monografias.com

El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información.

En primer lugar, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.

Otro aspecto fundamental es la gestión de cambios. Un cambio relevante no se debe hacer jamás sin documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego de un estudio y análisis de los beneficios que traerá dicho cambio.

Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorización o detección. Para ello debe haber una bitácora de accesos, con las respectivas horas y tiempos de acceso, etc.

Es completamente necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales.

Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.

A la hora de aceptar un nuevo sistema, se debe tener especial cuidado, verificando primeramente las capacidades y contando con evaluadores capacitados para determinar la calidad o falta de calidad de un sistema nuevo a implementar. Se tienen que establecer criterios de aceptación de los sistemas de información, actualizaciones o versiones nuevas, y se deben realizar pruebas adecuadas a los sistemas durante su desarrollo y antes de su aceptación.

La protección contra el código malicioso y descargable debe servir para proteger la integridad del software y laintegración con los sistemas y tecnologías con que ya se cuenta. Se deben también tener controles de detección, prevención y recuperación para proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de información. De hecho, los respaldos de información son vitales y deben realizarse con una frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran impacto negativo.

En cuanto a las redes, es necesario asegurar la protección de la información que se transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que ser igualmente seguros, especialmente considerando cómo la tendencia de los últimos años se encamina cada vez más a basar todas las tecnologías de la información a ambientes en red para transmitir y compartir la información efectivamente. Los sistemas tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la arquitectura de red con la que se cuenta.

Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. Además de las medidas directas para proteger el adecuado intercambio de información, se le debe recordar al personal el tomar las precauciones adecuadas, como no revelar información confidencial al realizar una llamada telefónica para evitar ser escuchado o interceptado por personas alrededor suyo, intervención de teléfonos, personas en el otro lado de la línea (en el lado del receptor), etc. Igualmente para los mensajes electrónicos se deben tomar medidas adecuadas, para evitar así cualquier tipo de problema que afecte la seguridad de la información.

Cuando se haga uso del comercio electrónico, debe haber una eficiente protección cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta, divulgación no autorizada, modificación, entro otros.

Debe haber un continuo monitoreo para detectar actividades de procesamiento de información no autorizadas. Lasauditorías son también necesarias.

Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.

Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad deben estar sincronizados con una fuente que proporcione la hora exacta acordada. Asimismo, todo acceso a la información debe ser controlado.

2.11. Control de acceso

Monografias.com

En primer lugar, se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.

Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida.

Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso.

Deben también existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización.

2.12. Adquisición, desarrollo y mantenimiento de los sistemas de información

Monografias.com

Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen.

Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.

La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en la organización, utilizando técnicas seguras.

Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe controlar el acceso a los archivos del sistema y el código fuente del programa, y los proyectos de tecnologías de información y las actividades de soporte se deben realizar de manera segura.

Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias.

Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de daño a la propiedad de código fuente con que se cuente.

La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida.

Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una mejor manera.

2.13. Gestión de incidentes en la seguridad de la información

Monografias.com

La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.

Aprender de los errores es sabio. Por ello, se deben establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información, siempre con la idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de los errores que ya otros cometieron.

A la hora de recolectar evidencia, cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debe recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

2.14. Gestión de la continuidad del negocio

Monografias.com

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.

Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y reevaluación.

Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. Por supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando siempre la protección e integridad de la información y tratando de poner el negocio en su estado de operación normal a la mayor brevedad posible.

2.15. Cumplimiento

Monografias.com

Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida.

Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general.

Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos.

Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad.

En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema de información. Durante las auditorías de los sistemas de información deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría. También se requiere protección para salvaguardar la integridad y evitar el mal uso de las herramientas de auditoría.

Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.

Conclusión

Luego de estudiar el Estándar Internacional ISO/IEC 27002, se puede ver cómo muchos de los aspectos resaltados por este Estándar son aspectos generales que muchas organizaciones los toman en cuenta aún sin tener el certificado ISO/IEC 27002. Pero también existen muchas deficiencias en la gran mayoría de organizaciones en materia de seguridad. Algunos podrían considerar que apegarse a este tipo de estándares es en cierta forma caro y complicado, pero en realidad resulta mucho más caro sufrir las consecuencias que suele traer la falta de seguridad en un importantesistema de información.

El hecho de cumplir a cabalidad con el Estándar Internacional ISO/IEC 27002 no garantiza al 100% que no se tendrán problemas de seguridad, pues la seguridad al 100% no existe. Lo que sí se logra es minimizar al máximo las probabilidades de sufrir impactos negativos y pérdidas originados por la falta de seguridad.

Este documento proporciona una idea bastante clara de cómo se debe trabajar en materia de seguridad de tecnologías de información al apegarse a un Estándar Internacional (y por lo tanto mundialmente aceptado y conocido) como lo es el ISO/IEC 27002.

Recomendaciones

La primera recomendación es precisamente implementar el Estándar Internacional ISO/IEC 27002 a la mayor brevedad posible, o de no ser posible (por aspectos económicos, de infraestructura, etc.), por lo menos estudiar el documento oficial de este Estándar y estar conocedores de todos los elementos que se pueden implementar y de cómo esto podría beneficiar y minimizar la posibilidad de problemas por falta de seguridad.

La segunda recomendación es tener en claro, como ya se dijo, que la seguridad al 100% no existe pero que sí se puede maximizar la seguridad y minimizar los riesgos por falta de seguridad.

De ser posible, se debería considerar adquirir la certificación de este Estándar Internacional, pues esto representa un gran activo no sólo por los beneficios que de por sí trae el tener excelentes mecanismos de seguridad, sino también por el prestigio de contar con certificaciones internacionales de calidad.

Se recomienda también tener un equipo de analistas que evalúen las condiciones particulares de una organización, pues cada caso es único, y lo que a uno le funcionó, a otro podría no funcionarle debido a los aspectos particulares de cada empresa. Por esa razón, se debe estudiar cada caso en concreto, aunque nunca está de más aprender de los errores o del éxito de otros.

¡¡¡¡¡Los archivos PDF también pueden tener virus!!!!!!!

Logo PDF

Los ficheros PDF que descargamos de Internet o recibimos a través del correo podrían estar infectados con algún tipo de virus. Analízalos antes de abrirlos.

La mayoría de los mortales somos conscientes de que no debemos abrir cualquier fichero adjunto que nos llegue a través de un correo, especialmente de mensajes de correo basura (spam). Sabemos que éstos podrían descargar algún virus capaz de infectar nuestro ordenador. Sin embargo, cuando se trata de documentos PDF, los usuarios no tomamos las mismas precauciones a la hora de abrirlos. El motivo de esto es que, por desconocimiento, no asociamos a este tipo de documentos con virus.

En los últimos tiempos, tanto Adobe Reader como Adobe Acrobat -los programas que permiten leer y modificar ficheros en formato PDF- han sido noticia por sus innumerables fallos de seguridad que permitían a un atacante, entre otras cosas, acceder al ordenador de un usuario si éstos tenían instalada una versión vulnerable de dichos programas. ¿Cómo conseguían infectar un equipo de un usuario o acceder a él? Manipulando los ficheros PDF, de tal forma que, el usuario al abrirlo, sin ser consciente de ello, estaba dando “vía libre” al atacante para hacer a su antojo cierto tipo de actividades en el equipo de la víctima.

Es importante saber que existen mafias organizadas que se dedican a explotar fallos de seguridad de los programas de Adobe para atacar ordenadores de usuarios y… ¡lo consiguen! Como se ve en la siguiente gráfica publicada por Microsoft, al final del año 2012, casi 3.000.000 de ordenadores se vieron afectados por documentos PDF maliciosos.

Captura de pantalla Microsoft

Hasta aquí debemos tener dos cosas claras, por un lado, los ficheros PDF no están exentos de peligro, y por otro, un programa si tiene fallos de seguridad puede ser aprovechado, por alguien con malas intenciones, para atacar el equipo de un usuario.

Ahora os preguntaréis, ¿cómo llegan esos ficheros PDF “corruptos” a nosotros?

Principalmente a través del correo electrónico. Los delincuentes, haciendo uso de la ingeniería social, consiguen engañarnos para que de una forma u otra, acabemos abriendo los documentos adjuntos. Suplantar la identidad (phishing) de de alguna empresa u organismo funciona en muchas ocasiones…

Tampoco debemos olvidarnos de los sistemas de compartición de ficheros P2P (Emule, uTorrent, etc.) ya que abren otra puerta de entrada de virus en nuestro equipo, creemos que estamos descargando el documento A y al abrirlo resulta que no es A, es B, o dicho en otras palabras, el fichero PDF en cuestión está manipulado de tal forma que es capaz de realizar actividades maliciosas.

Finalmente, a través de buscadores o navegando por distintas webs también podemos llegar hasta este tipo de documentos fraudulentos. Cuando os decimos, ¡mucho cuidado donde hacemos clic! no es por incordiar o ser pesados, sino para evitar que accedáis sitios web fraudulentos capaces de descargar virus en los equipos.

¿Qué medidas debemos tomar para estar seguros?

  1. Mantener siempre actualizado los programas instalados en el ordenador. Los fabricantes, para corregir los fallos de seguridad que tienen sus programas y evitar que los ciberdelincuentes se aprovechen de ellos, lanzan las actualizaciones de software. Cuanto más tardemos en actualizar nuestro equipo, más probabilidades tendremos de quedar infectados o poner en riesgo la información almacenada en él. ¡Actualizaciones, una tarea prioritaria!
  2. Configurar las actualizaciones automáticas de Adobe, para que, siempre que se publique una nueva, nos avise. Los programas de Adobe pueden configurarse de tal forma, que siempre que publique una nueva actualización, nos avise. Más información sobre cómo realizar esto en su web.

    Captura de pantalla Adobe Reader

  3. Usar un lector de PDF alternativo en el caso de que se detecte un fallo grave en Adobe Reader o Acrobat y no esté solucionado. Suscribiéndote a nuestros boletines de avisos de seguridad podrás estar informado de estos incidentes.
  4. No abrir correos spam o de personas desconocidas. Aunque la mayoría de servicios de correo incluyen unos filtros que evitan que los correos spam o fraudulentos vayan a tu bandeja de entrada, en muchas ocasiones, estos mensajes burlan dichos filtros y se cuelan en tu bandeja de entrada. Por tanto, ¡mucho cuidado!
  5. No hacer clic en cualquier enlace que se nos facilite o veamos publicado en Internet. Sé precavido antes de seguir un enlace al navegar, en el correo, en la mensajería instantánea o en una red social. Los mensajes falsos que los acompañan pueden ser muy convincentes con el fin de captar tu atención y redirigirte a páginas maliciosas.
  6. Analizar con un analizador de ficheros los documentos PDF antes de abrirlos. Además de los antivirus, existen servicios gratuitos como Virustotal que analizan ficheros de una forma fácil y rápida facilitándonos información sobre si el documento es fiable o no.

    Captura de pantalla Virus Total

Herramientas para el análisis de documentos PDF maliciosos

El formato PDF siempre ha sido un vector interesante para la propagación de malware, ya sea por ser un tipo de archivo abierto y multiplataforma, como por las posibilidades de explotar el software que lo interpreta.

Como ejemplo nos referiremos al popular Adobe Reader, ampliamente extendido entre la comunidad… algo que lo hace estar en el punto de mira de muchos atacantes. La elevada posibilidad de ejecución de este tipo de ficheros – por ejemplo mediante una simple campaña de phising – y la escasa percepción entre los usuarios de que puedan contener algún tipo de código nocivo lo hace más que atractivo.

El caso es que el formato PDF ofrece posibilidades de contenidos extensos, entre los que se encuentra la capacidad de ejecución de código JavaScript, una importante funcionalidad que abre un abanico de posibilidades para embeber código e incluso pasar desapercibido mediante técnicas de ofuscación.

Así pues, en el día de hoy vamos a crear un fichero PDF “dañino” como los que podríamos encontrar en cualquier web comprometida o un adjunto de correo… para posteriormente ver cómo podríamos analizar su contenido.

Partimos generando el documento malicioso mediante la utilización del módulo “adobe_pdf_embedded_exe” con las opciones oportunas:

Una vez lo tengamos, vamos a tratar con diferentes herramientas para ver su estructura interna sin ejecutar el contenido dinámico, incluso podríamos comenzar utilizando el comando strings para mostrar la secuencia de cadenas de caracteres imprimibles, etc.

Como podemos observar, existen partes que evidencian que existe código más que sospechoso encargado de lanzar procesos secundarios para su ejecución.

Por nombrar algunas herramientas específicas comenzaremos por pdfid, una aplicación sencilla para explorar “de un vistazo” la estructura del documento (cabecera, objetos, streams…) antes de analizarlo en profundidad. En este caso, confirmaremos que existen el par de objetos (/JS, /JavaScript) sospechosos detectados anteriormente.

Del mismo desarrollador (Didier Stevens) contamos con pdf-parser para analizar el documento e identificar sus elementos fundamentales (opciones como búsqueda de cadenas en objetos indirectos, filtros, salida raw…). Mencionar que existe la alternativa gráfica (wxPthon) conocida como PDFScope que combina las funcionalidades de las dos anteriores.

Otra utilidad común es Origami, un framework escrito en Ruby para el parseo, análisis, modificación y creación de documentos PDF maliciosos. Soporta características avanzadas para cifrado, firmas digitales, formularios, Flash, archivos adjuntos… También dispone de una versión gráfica (pdfwalker).

No podíamos terminar de repasar la lista sin nombrar una las principales herramientas para la exploración y creación/modificación de archivos PDF, peepdf. Esta herramienta nos permitirá realizar todas las funciones necesarias sin tener que recurrir a otras utilidades: visualización de todos los objetos del documento, metadatos, elementos sospechosos, análisis de shellcode y JavaScript (requiere de PyV8 y Pylibemu), modificaciones entre versiones, filtros y codificaciones, vinculación con VirusTotal…

Finalmente, también pueden sernos de ayuda ciertos recursos en línea que nos facilitarán la tarea de extracción de información de un documento dado e incluso la correlación con las vulnerabilidades encontradas [Malware Tracker | Wepawet].

Como hemos visto, la generación de un documento PDF malicioso no tiene mayor complejidad y su simple ejecución podría suponer un grave riesgo para nuestro “sistema”.

Es importante tener conciencia sobre las posibilidades de este tipo de ficheros y no caer en la ciega confianza prestada a nuestra aplicación antimalware, llevando a cabo buenas prácticas como es el análisis específico como los detallados en este artículo.

Para terminar, recalcar la importancia de mantener actualizado nuestro software a sus últimas versiones, o incluso huir de las herramientas comúnmente utilizadas y que contarán con el mayor número de vulnerabilidades.

Error al actualizar Metasploit Framework (Gemfile)

La semana pasada tuve que actualizar Metasploit Framework, ya que llevaba unas semanas sin utilizar el entorno en mi maquina virtual con Backtrack 5 R3.  Así que me puse con ello, ejecute “apt-get update“, para actualizar los repositorios, luego “apt-get update“, para buscar posibles actualizaciones recientes e instalar-las, y finalmente ejecute “msfupdate“, para actualizar el entorno de Metasploit.

*En teoría  con la orden “msfupdate” bastaría, pero nunca esta de más actualizar el sistema antes de actualizar Metasploit Framework.

Cuando ejecute la orden “msfupdate” en una terminal, me lleve esta gran sorpresa:

Gem::Installer::ExtensionBuildError: ERROR: Failed to build gem native extension.

        /opt/metasploit/ruby/bin/ruby extconf.rb 
checking for pg_config… yes
Using config values from /opt/metasploit/postgresql/bin/pg_config
checking for libpq-fe.h… *** extconf.rb failed ***
Could not create Makefile due to some reason, probably lack of
necessary libraries and/or headers.  Check the mkmf.log file for more
details.  You may need configuration options.

Provided configuration options:
   –with-opt-dir
   –without-opt-dir
   –with-opt-include
   –without-opt-include=${opt-dir}/include
   –with-opt-lib
   –without-opt-lib=${opt-dir}/lib
   –with-make-prog
   –without-make-prog
   –srcdir=.
   –curdir
   –ruby=/opt/metasploit/ruby/bin/ruby
   –with-pg
   –without-pg
   –with-pg-dir
   –without-pg-dir
   –with-pg-include
   –without-pg-include=${pg-dir}/include
   –with-pg-lib
   –without-pg-lib=${pg-dir}/lib
   –with-pg-config
   –without-pg-config
   –with-pg_config
   –without-pg_config
/opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:381:in `try_do’: The compiler failed to generate an executable file. (RuntimeError)
You have to install development tools first.
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:506:in `try_cpp’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:970:in `block in find_header’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:790:in `block in checking_for’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:284:in `block (2 levels) in postpone’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:254:in `open’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:284:in `block in postpone’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:254:in `open’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:280:in `postpone’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:789:in `checking_for’
   from /opt/metasploit/ruby/lib/ruby/1.9.1/mkmf.rb:969:in `find_header’
   from extconf.rb:43:in `<main>’

Gem files will remain installed in /opt/metasploit/ruby/lib/ruby/gems/1.9.1/gems/pg-0.15.0 for inspection.
Results logged to /opt/metasploit/ruby/lib/ruby/gems/1.9.1/gems/pg-0.15.0/ext/gem_make.out

Estuve unos minutos buscando por Google y encontré una solución al problema.

-Lo primero que debemos hacer es dirigir-nos a la ruta /opt/metasploit/ruby/lib/ruby/1.9.1/i686-linux/ y abrir el archivo rbconfig.rb con el editor de textos que se suela utilizar. (vi, nano).

-Dentro del fichero debemos localizar la línea:

CONFIG[“LIBRUBYARG_STATIC”] = “-Wl,-R -Wl,$(libdir) -L$(libdir) -l$(RUBY_SO_NAME)-static”

-Una vez localizada, la editamos de manera que quede así:

CONFIG[“LIBRUBYARG_STATIC”] = “-Wl,-R -Wl,$(libdir) -L$(libdir) “

-Finalmente nos dirigimos a la ruta “/opt/metasploit/msf3” desde la terminal, y ejecutamos “/opt/metasploit/ruby/bin/bundle install” . Es muy importante situar-nos en la ruta  “/opt/metasploit/msf3” antes de ejecutar “/opt/metasploit/ruby/bin/bundle install“, ya que este ultimo comando depende del archivo “Gemfile” ubicado en la carpeta de Metasploit.

Después de estos pasos ya se podrá volver a ejecutar el  “msfupdate” con normalidad! Espero que os sirva!

Prueba de Penetración (PenTest)

La Prueba de Penetración (Penetration Test o PenTest en Inglés) consiste en una evaluación activa de las medidas de seguridad de la información. El propósito es detectar los puntos débiles que puedan ser capitalizados para violar cualquiera de las tres condiciones necesarias de la información: confidencialidad, integridad y disponibilidad.

Generalmente, las vulnerabilidades potenciales resultan de: fallas en el software, de configuraciones inapropiadas de los sistemas,  de la operación deficiente en los procesos o protecciones técnicas y del factor humano.

La Prueba de Penetración se realiza desde la posición de un atacante potencial de manera remota y local, buscando explotar activamente las vulnerabilidades de seguridad para obtener información relevante. Tal como lo intentaría un intruso con propósitos adversos para la organización, pero sin dañar la información, sistemas e infraestructura informática.

En código verde nos distinguimos por realizar las Pruebas de Penetración evaluando la gente, procesos, tecnología, controles técnicos y administrativos. Nuestro método es exhaustivo y por lo tanto más certero.

¿Qué beneficios aporta una Prueba de Penetración?

  • Se determina la factibilidad real de un ataque y su impacto en el negocio.
  • Provee la información necesaria para enfocar la implementación de controles de seguridad y mitigar los riesgos descubiertos.
  • Eleva la conciencia de la alta gerencia acerca de la seguridad de la información.

Entregables

  1. Clasificación y priorización de las vulnerabilidades encontradas
  2. Crónica del ataque
  3. Evidencias obtenidas durante la penetración
  4. Plan de remediación
  5. Recomendaciones para elevar el nivel de Seguridad Informática
  6. Presentación para la Alta Dirección
  7. Presentación Técnica

Principales razones para realizar una Prueba de Penetración:

  1. Es el método más efectivo para determinar el nivel real de seguridad de la información. Sólo con un ataque simulado es posible identificar las vulnerabilidades que plantean riesgos significativos para la organización, tales como:
    • Pérdidas financieras por fraude (hackers, extorsión o empleados molestos) o debido a sistemas de información y procesos poco confiables.
    • Pérdida de confianza de los clientes o cualquier otra parte interesada.
    • Crisis de relaciones públicas si el caso trasciende a los medios masivos.
  2. Ofrece un punto de vista independiente y analítico por un tercero, enriqueciendo la labor del equipo interno responsable de la seguridad de la información.

Las técnicas de Ingeniería Social evolucionaron, ¡presta atención!

Según su definición de referencia, la Ingeniería Social consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.

Se busca generar una situación creíble, de confianza, sin dejar nada libre al azar. Un ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace poco les mostramos cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.

Cuando un atacante lleva a cabo una técnica de Ingeniería Social, su efectividad depende del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria, “contribuye” a que un ciberdelincuente se salga con la suya y logre realizar el engaño. Por lo tanto, la clave es la precaución del usuario final, que tiene el poder de frenar la propagacióm de una campaña.

¿Cómo puede esto afectar a la seguridad informática?

La respuesta es simple: con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. ¿Qué sucede, por ejemplo, cuando combinamos la curiosidad humana con la explotación de una vulnerabilidad en un sistema informático? Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.

Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, el usuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.

Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:

  • Todos queremos ayudar
  • Siempre, el primer movimiento hacia el otro, es de confianza
  • Evitamos decir NO
  • A todos nos gusta que nos alaben

Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas, 37.3 millones de usuarios reportaron ataques de phishing el año pasado.

La evolución de las técnicas de Ingeniería Social

Es increíble ver cómo han evolucionado hasta la fecha los ataques de este tipo. Algo que en sus inicios comenzó siendo una impersonalización vía telefónica, hoy busca hacer una experiencia imperceptible al usuario.

Los comienzos de esta técnica se basaban en llamadas telefónicas, haciéndose pasar por entidades que brindan un determinado servicio. La finalidad de este llamado era recabar información sobre la víctima. Con la llegada de Internet a cada hogar, comenzaron a aparecer técnicas de Ingeniería Social vía clientes de mensajería instantánea. Comenzó a ser muy común el famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviando código malicioso a los contactos de la cuenta, hubo muchos casos de infección mediante esta técnica.

Hoy en día, los ciberdelincuentes buscan engañar a sus víctimas para que entreguen voluntariamente su información personal. La mutación se dio no sólo hacia sitios web, sino también se ha transformado en mensajes de texto, y cualquier tipo de mensajería móvil. La importancia de este vector de ataque radica en que estos dispositivos móviles almacenan gran cantidad de información personal, como contactos, fotos, conversaciones, usuarios y contraseñas de redes sociales, de correos electrónicos, inclusive geo localización.

También han aparecido técnicas como pharming, muy similar al phishing, pero que en vez de engañar al usuario mediante un enlace enviado por correo electrónico, busca el robo de información mediante la modificación en tiempo real de las consultas realizadas a los servidores DNS o mediante la toma de control del equipo víctima; así, modifica el archivo lmhost, que se encarga de resolver las consultas web, asociando la dirección IP al dominio.

Distinguiendo una noticia real de una falsa

Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.

Uno de los factores más aprovechados son las temáticas populares de actualidad. En el Laboratorio de Investigación de ESET Latinoamérica, hemos podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas. A continuación recordaremos 6 campañas destinadas a usuarios de Latinoamérica:

Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.

Sólo es cuestión de estar alertas

Lo más importante de todo esto, es que no debemos ser paranoicos a la hora de usar un equipo informático. Existen peligros reales y por eso los compartimos con ustedes, para que tomen los recaudos necesarios y así puedan navegar tranquilos, haciendo un uso consciente y responsable de la tecnología.

Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si no hablas con desconocidos en la calle, ¿por qué lo harías en Internet? Tengamos en cuenta que a pesar de los peligros que existen en las calles, seguimos saliendo, porque confiamos en que estamos tomando los recaudos necesarios para que no nos pase nada. Bien, en Internet sucede lo mismo: no todo el mundo es quien dice ser, y nunca sabemos cuáles son sus intenciones reales, pero es posible tener una experiencia segura, si se siguen buenas prácticas como las siguientes:

  • En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.
  • No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.
  • Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.
  • Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.
  • En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.
  • La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.
  • En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.

Con estas prácticas, podrán usar Internet sin tantas preocupaciones; la responsabilidad y el sentido común, junto con las buenas prácticas a la hora de navegar, harán que las campañas de Ingeniería Social no tengan el éxito que los cibercriminales esperan.

Malheur: el aprendizaje automático aplicado al análisis de malware

Cuando nos enfrentamos al análisis de códigos maliciosos tenemos múltiples herramientas y métodos para obtener información sobre el comportamiento de una muestra en particular. Pero cuando queremos determinar patrones de comportamiento entre varias muestras o encontrar semejanzas u otras características que puedan ser comunes, debemos pasar a utilizar algoritmos de machine learning que nos permitan este tipo de análisis.

El equipo de investigación en Computer Security de la universidad alemana de Göttingen desarrollaron Malheur, una herramienta bastante interesante desarrollada en lenguaje C que a partir de los resultados de análisis dinámicos de muestras de códigos maliciosos permite descubrir y clasificar el malware en diferentes clases utilizando algoritmos de aprendizaje automático. Como característica adicional, Malheur tiene algunas funciones para integrarse con entornos basados en Matlab.

Los análisis realizados con esta herramienta, se pueden complementar con opciones para visualizar los datos de otros algoritmos como sdhash, para encontrar similitudes entre códigos maliciosos.

Funcionamiento de la herramienta

Malheur a partir de los resultados de análisis dinámicos permite realizar un perfil del comportamiento de diferentes muestras de códigos maliciosos. La base para hacer este tipo de análisis son los patrones de comportamiento que tiene cada malware. Características como la creación o modificación de archivos del sistema, llaves de registro u otros comportamientos sobre un sistema operativo afectado permite encontrar patrones que pueden ser explotados con algoritmos de agrupamiento y clasificación.

Lo interesante del enfoque en el funcionamiento de esta herramienta, es que a partir del análisis del comportamiento de cada muestra se evita lidiar con problemas como la ofuscación de código o el empaquetamiento de la muestra. Obviamente hay que ser cuidadosos con aquellas muestras que tengan algún tipo de protección para no ejecutarse en un entorno controlado como puede ser una sandbox.

Una característica de Malheur es el análisis incremental para grandes conjuntos de datos. Con el uso de procesamiento por secciones los requisitos de tiempo de ejecución y de memoria se reducen significativamente.

Algoritmos utilizados por Malheur

En particular la herramienta utiliza dos conceptos de aprendizaje para el análisis. La implementación de algoritmo de clustering de acuerdo al comportamiento de la muestra, que permite la identificación de nuevas clases de malware de acuerdo a las acciones realizadas sobre el sistema y la implementación de algoritmos de clasificación.

Con el algoritmo de clustering a partir del comportamiento se pueden identificar grupos de muestras con un comportamiento similar. Estos algoritmos de agrupamiento permiten descubrir nuevas clases de malware y pueden ser utilizados para detectar familias de amenazas que puedan ser utilizadas para crear firmas por ejemplo.

También tiene la opción de utilizar algoritmo de clasificación, de tal forma que a partir de los resultados de clustering se pueden asignar nuevos comportamientos a grupos conocidos de códigos maliciosos. Con esto es posible llegar a detectar nuevas variantes y obtener información relevante para análisis más profundos.

Con el análisis realizado se logra la extracción de prototipos, que son un subconjunto de muestras que tengan características representativas para todo el conjunto de datos completo. Estos prototipos proporcionan una visión rápida de la conducta registrada y se puede utilizar para disparar algunos análisis que se hagan manualmente.

Este tipo de técnicas resultan interesantes para entender cuál es la lógica detrás de la creación de este tipo de amenazas o determinar, por ejemplo, cuáles son las características de las campañas de propagación. Además con estas herramientas los investigadores tienen alternativas eficientes para adaptar los modelos de seguridad a las amenazas que cada vez son más cambiantes.

Cómo detectar direcciones web maliciosas (sin pincharlas)

Las infecciones causadas por enlaces o sitios web maliciosos son uno de los mayores problemas a los que se enfrenta la seguridad informática actualmente. Estas URLs acostumbran a ejecutar programas en el ordenador del usuario, en la mayor parte de los casos furtivamente. Por lo que a este le parece que el sitio funciona con total normalidad. Pero nada más lejos de la realidad.

El malware explota vulnerabilidades en los programas instalados de nuestro ordenador para, de esta forma, sustraer nuestra información, datos personales, desviarnos hacia contenidos indeseables, ilegales o spam, o llevar a cabo cualquier otra actividad con alguna finalidad fraudulenta.

Hacer click en algunos de estos links es más fácil de lo que parece. Sin embargo, existen algunas claves que nos pueden ayudar a no caer en la trampa.

Alterando letras o caracteres

Es una de las prácticas más habituales. Puede parecer que estamos entrando en una dirección web determinada, pero hacerlo en realidad en otra maliciosa. El error se produce porque no hemos leído detenidamente la URL.

Un ejemplo de esto lo tenemos en el dominio http://www.rnicrosoft.com en lugar del correcto http://www.microsoft.com. ¿Les ha resultado complicado distinguirlos? No se preocupen. Es normal. La r y la n juntas parecen una m. Y como este caso hay mil más. Algo de lo que se valen los ciberdelincuentes para crear dominios fraudulentos. Ahora supongan que les sucede con la dirección web de su banco.

No es el único efecto visual del que se aprovechan. En otras ocasiones directamente cambian el tipo de letra logrando que ni el ojo más experto se percate. “Estamos hablando de aquellos hackers que utilizan enlaces con caracteres Unicode pertenecientes a otros alfabetos como el cirílico, pero que pueden confundirse con el nuestro”, ha explicado a Teknautas Josep Albors, director de Comunicación y Laboratorio de Eset España.

Veamos un ejemplo: http://www.exɑmple.com. Aparentemente no hay nada extraño en este enlace, ¿verdad?. Pero en realidad sí que lo hay. “Si nos fijamos con atención veremos que el carácter que nosotros identificamos como una a es en realidad una ɑ. Puede que para nosotros esto no suponga mucha diferencia, pero cuando hablamos de ordenadores que se comunican entre sí hay todo un mundo entre el carácter Unicode U+0061 (a) y el carácter U+0251 (ɑ)”, ha concluido el experto en informática.

Direcciones abreviadas

Cada vez hay más direcciones abreviadas en internet. Sin embargo, esto conlleva muchos peligros. “No sabes dónde estás entrando. Puedes estar metiéndote en una página falsa que te lleve a otra maliciosa y no saberlo. Todos los peligros de los que hablamos cuando navegamos por la red están reunidos en una dirección abreviada. Es como entrar a ciegas. Pero la gente se fía”, ha argumentado a este diario Fernando de la Cuadra, director de Educación de Eset España.

La clave en estos casos está en comprobar la procedencia en aquellos supuestos en los que sospechamos.

Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLsSegún Daniel Creus, informático de Kaspersky: “Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLs. Se aconseja tener en cuenta el contexto en el que nos llega. Si nos hace sospechar lo recomendable es comprobar que la dirección es segura acudiendo al proveedor”. Por ejemplo, el servidor bit.ly ofrece la posibilidad de ver un preliminar de la dirección. Te dice hacia qué sitio apunta e incluso ofrece una captura de pantalla. Esto es una buena medida cautelar, aunque también es cierto que resulta algo incómodo.

En este último caso también se puede además copiar y pegar la URL en el navegador añadiendo un símbolo + al final. De esta forma se accede a la vista preliminar de bit.ly en lugar de ir al destino.

“Si el proveedor no ofrece este servicio se puede buscar en Google y escribir la URL que nos han enviado. Puede ser que haya sido denunciada por el resto de usuarios”, ha añadido Creus.

Por otro lado existen complementos para navegadores que hacen la traducción a la URL larga. Un ejemplo lo tenemos en longURL.

Trampas imposibles de distinguir

Por último, también es habitual que los ciberdelincuentes se aprovechen de la característica de la escritura derecha-a-izquierda de la codificación Unicode para ocultar la verdadera extensión de un fichero malicioso. Es decir, que creen ficheros con una terminación determinada, pongamos por caso, fdp en hebreo, y que al convertirlo nuestro navegador lo transforme en pdf.

“Con esto consigues engañar al usuario y que se crea que está abriendo un documento pdf seguro, cuando en realidad está accediendo a un troyano”, ha explicado Fernando de la Cuadra. No podemos detectar a simple vista este tipo de malware pero sí hacer uso de webs que analizan ficheros como por ejemplo VirusTotal o URL X-ray.

Fuente:http://www.elconfidencial.com/

Servicio Antibotnet, la amenaza de las redes zombies

Imagen decorativa post servicio AntiBotnet

El servicio AntiBotnet de la OSI te permite conocer si desde tu conexión a Internet hay algún equipo que pueda estar afectado por una botnet y en caso afirmativo, te orienta con información y herramientas de desinfección.
El Servicio AntiBotnet pone a tu disposición un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets (ordenadores infectados con un tipo de virus que es capaz de controlar el equipo de forma remota para llevar a cabo acciones maliciosas) asociados a tu conexión a Internet. Para ello se chequea la dirección IP pública que tengas asignada en cada momento contra nuestra base de datos. La finalidad del servicio es proporcionarte información y herramientas que puedan ayudarte en la desinfección de los dispositivos afectados, contribuyendo así a un Internet más confiable y seguro para todos. El servicio AntiBotnet es fruto de una estrecha colaboración público-privada, entre la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), INTECO y los principales operadores de Internet nacionales.
El servicio AntiBotnet complementa a otros nuevos servicios que hemos puesto en marcha a lo largo de este año (CONAN mobile, Historias reales, y “Qué deberías saber”). Con una nueva imagen desde junio, la OSI evoluciona manteniendo la esencia. A través de nuestra página web (www.osi.es) queremos ayudarte a evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet. Por eso, hemos puesto a tu disposición contenidos multimedia, herramientas para proteger tu smartphone y tableta, un sistema de alerta de amenazas, etc. Además contamos con un servicio de atención al internauta donde podremos resolver tus dudas y problemas relacionados con la seguridad online.

Fuente:https://www.osi.es/es/

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco ha presentado hoy el primer firewall de próxima generación (NGFW, Next-Generation Firewall) de la industria enfocado en las amenazas avanzadas, diseñado para cambiar la forma en que las organizaciones se protegen frente a las amenazas más sofisticadas.

Cisco ASA con Servicios FirePOWER proporciona toda la información contextual y los controles dinámicos necesarios para analizar las amenazas de manera automática, correlacionar inteligencia y optimizar las defensas con el fin último de proteger todas las redes.

Al integrar el contrastado firewall Cisco ASA 5500 Series con control de aplicaciones con los sistemas de Prevención de Intrusiones de próxima generación (NGIPS, Next-Generation Intrusion Prevention Systems) y la Protección frente a Malware Avanzado (AMP, Advanced Malware Protection) de Sourcefire, Cisco proporciona una defensa integrada frente a las amenazas en todas las etapas de los ataques: antes, durante y después.

Cisco ASA con Servicios FirePOWER constituye así una nueva generación de sistemas NGFW con mayores capacidades, adaptivos y enfocados en las amenazas que facilitan una protección multi-capa superior. Hasta ahora, los equipos NGFW se han centrado en el control de políticas y aplicaciones, siendo incapaces de proteger frente a las amenazas avanzadas y los ataques de día cero. Cisco ASA con Servicios FirePOWER transforma este escenario, ofreciendo una aproximación con completa visibilidad, enfocada en las amenazas y basada en plataforma:

  • Completa visibilidad, ofreciendo información contextual de usuarios, dispositivos móviles, aplicaciones cliente, comunicaciones máquina-a-máquina virtuales, vulnerabilidades, amenazas, URLs y otra información telemétrica relevante. Sus capacidades de gestión de clase empresarial proporcionan a los usuarios cuadros de mando e informes estructurados sobre hosts, aplicaciones, amenazas e indicadores de compromiso (IoCs) descubiertos para obtener así una completa visibilidad.
  • Enfocada en las amenazas, incorporando sistemas de Prevención de Intrusiones de próxima generación para facilitar una completa protección frente a amenazas conocidas y avanzadas, así como Protección frente a Malware Avanzado, ataques de día cero y ataques persistentes. Su analítica de Big Data, la funcionalidad de análisis continuo y Cisco Collective Security Intelligence (CSI) trabajan conjuntamente para proporcionar capacidades de detección, bloqueo, seguimiento, análisis y eliminación que permiten a las organizaciones protegerse frente a todo el espectro de ataques, conocidos y no conocidos.
  • Basada en plataforma, combinando en un mismo dispositivo funcionalidad firewall contrastada y control de aplicaciones, capacidad de prevención de intrusiones de próxima generación líder y detección y eliminación avanzada de brechas de seguridad. Esta integración proporciona a las organizaciones una mayor protección a la par que minimiza la complejidad y los costes operativos reduciendo el número de dispositivos de seguridad que se necesitan desplegar y gestionar, además de evitar la adquisición de licencias añadidas que tradicionalmente se necesitan para ampliar la funcionalidad de los equipos heredados.

Como consecuencia del actual escenario de amenazas -que evolucionan rápidamente en número y complejidad- y de los cambiantes modelos de negocio, las organizaciones deben transformar sus estrategias de seguridad reduciendo el tiempo que se tarda en mitigar las amenazas mediante una aproximación verdaderamente integrada y enfocada en las amenazas.

Igualmente, frente a la posibilidad del robo de propiedad intelectual o información confidencial y la consecuente pérdida de credibilidad, se requiere una completa cobertura de todos los vectores de ataque potenciales y la capacidad de aprender de nuevos métodos de ataque para después aplicar dicha inteligencia en beneficio propio. Cisco ASA con Servicios FirePOWER ofrece esa defensa integrada frente a amenazas para ayudar verdaderamente a los negocios a protegerse frente al mayor riesgo de seguridad: las amenazas avanzadas y los ataques de día cero.

Cisco ASA con Servicios FirePOWER proporciona una visibilidad superior y un análisis continuo para detectar amenazas avanzadas multi-vector y optimizar y automatizar la respuesta tanto para el malware conocido como para el no conocido. También ofrece funcionalidad holística de Indicadores de Compromiso para acelerar el análisis de amenazas y la eliminación retrospectiva, así como respuesta integrada frente a incidentes y detección de actualización de políticas automática.

Todas estas novedades se apoyan en un firewall con seguimiento de estado de clase empresarial, VPN, clustering avanzado y controles granulares de capa de aplicaciones y basados en el riesgo que evocan las políticas NGIPS personalizadas de detección de intrusiones para optimizar su efectividad. Además, la integración de seguridad open source con Snort, OpenAppID y ClamAV permite a las organizaciones personalizar la seguridad de forma sencilla para responder a nuevas amenazas o amenazas y aplicaciones específicas tan rápido como sea posible.

Las organizaciones pueden aprovechar las ventajas de esta nueva solución de dos maneras:

  • Cisco ASA con Servicios FirePOWER (los clientes pueden adquirir los equipos ASA 5500-X Series y ASA 5585-X Series con una licencia de Servicios FirePOWER).
  • Servicios FirePOWER para Cisco ASA (los clientes pueden habilitar los servicios FirePOWER en sus actuales equipos ASA 5500-X Series y ASA 5585-X Series).

Junto a sus partners, Cisco también ofrece servicios de seguridad técnicos y profesionales para ayudar a los negocios a acelerar la migración desde sus actuales entornos de seguridad hacia la nueva aproximación de defensa integrada frente a amenazas que proporciona Cisco ASA con Servicios FirePOWER. Avalados por una gran experiencia, herramientas y procesos contrastados y disponibilidad global, los servicios de seguridad de Cisco ayudan a las organizaciones a realizar esta transformación con rapidez y de manera sencilla.