Seleccionar página

Últimamente recibo muchas consultas de este tipo, bien porque a los clientes los han estafado en Internet con técnicas de hacking – phising, pharming o robo de wifi – o de empresas/personas que empiezan a interesarse por la ciberseguridad. Sinceramente la privacidad no existe pero si se conocen los riesgos se puede ser consciente de los peligros del mundo digital tomando ciertas cautelas o utilizando determinadas herramientas.

Los ciberdelitos han pasado de no ser una preocupación a ser la mayor preocupación de los Gobiernos junto al de la Privacidad y la interoperabilidad de la Inteligenica Artificial aplicada al Big Data que diseccionará a cualquier empresa o persona para tomar decisiones … decisiones como las de concederte un préstamo, o un seguro de vida serán adoptadas por Inteligencia Artificial … en cierto modo ya se aplica en el sector asegurador cuando tras la toma de datos del tomador le hacen esperar unos minutos para verificar si en sus bases de datos o cruzando datos eres un cliente rentable para el seguro, tras su comprobación tan solo te informan de si pueden asegurarte o simplemente le informan “de que el sistema no les deja” pero no facilitan la información de por qué el sistema no lo permite … quizás hayan cruzado datos (redes sociales, datos de salud, datos de otros pólizas, etc) y no seas rentable.

Cuando ejerces los derechos ARCO (acceso, rectificación, cancelación u oposición) frente a una multinacional tipo LINKEDIN, FACEBOOK o TWITER te facilita previa petición todo tu historial de datos pero no te facilita el análisis que han hecho de esos datos al cruzarlos con otros usuarios o bases de datos a las que tengan acceso, de donde te pueden etiquetar como – “simpático, listo, tonto, bueno, infiel, mentiroso, honesto, trabajador, despistado” – y aquí es donde está el KIT de la cuestión que las compañias no están obligadas a facilitar este análisis tan solo los datos que tu has volcado ¿aunque no lo publiques? por ejemplo escribes algo en Twitter o Facebook pero lo borras ¿lo analizan? por supuesto, por lo tanto cuando te dan todos tus datos esto no aparece pero ellos saben lo que no te atreviste o quisiste publicar y EMHO debería regularse por la interoperabilidad de la Inteligencia Artificial si la misma acceso a todas las Bases de Datos, es un tema complejo desde varios puntos de vista pero dejo la reflexión.

Actualmente es muy complicado proteger los datos y la privacidad de empresas o particulares, se debe contratar a expertos informáticos en hacking y esto supone un coste que las empresas y particulares comienzan a valorar como un activo importante, un ataque tipo rasomware a una empresa o particular le puede llevar a la bancarrota  además del daño reputacional al verse afectada su honor, intimidad personal familar o su propia imagen lo que es una consecuancia de la falta de privacidad en la red.


 

A partir de aquí herramientas hay muchas, la mejor es el sentido común y también las que nos brindan las distribuciones Linux como KALI, CENTOS, TAIL, RED HAT …, además de las funciones añadidas de estos sistemas operativos los mismos permiten encriptar el disco duro de instalación y por lo tanto los datos en origen.

En matería de móviles la aplicación SIGNAL parece la única segura y cifrada de expremo a extremo, de código abierto para comprobar que no tiene puertas traseras y la única que no almacena los datos en sus servidores a diferencia de las inseguras WHATSAPP, SNAPCHAT, etc, todas ellas bien implementadas pueden suponer un plus de garatías en la protección de los datos y privacidad al igual que crear una Virtual Private NetWork (VPN) o Red Privada Virtual donde tus datos van a tu proveedor de servicios de internet y de aquí al servidor VPN que conecta con la página que quieres buscar, tampoco es tan privado porque tu proveedor de servicios siempre analizará tu tráfico o se lo puede vender a un tercero, pero son herramientas que pueden ayudar al igual que el navegador Tor.

Kali Linux es una distribución Linux basada en Debian destinada a pruebas avanzadas de penetración y auditoría de seguridad. Kali contiene varios cientos de herramientas que están orientadas a diversas tareas de seguridad de la información, tales como pruebas de penetración, investigación de seguridad, informática forense e ingeniería inversa. Kali Linux es desarrollado, financiado y mantenido por Offensive Security, una compañía líder en capacitación en seguridad de la información.

La instalación la puedes hacer desde un ISO a partir de un USB o directamente descargarte la IMAGEN para arrancarlo desde una máquina virtual pero aquí solo podrás trabajar como invitado y no como root donde establecen la contraseña por defecto “toor”, como novedad tenemos la incorporación a Amazon Web Services (AWS) y poder trabajar la instancia EC2 aunque parecen limitados las funciones de KALI y los datos y la privacidad dejarían de existir al utilizar los servidores de Amazon pero es una novedad importante. También se ha viralizado por ser la herramienta utilizada por los hackers en la serie Mr.Robot

 

 


Todo esto está muy bien pero de aquí a creernos que nuestra privacidad o datos son infranqueables queda un buen trecho, recientemente los servidores de EE.UU fueron hackeados, según el FBI por hackers rusos, tras analizar el informe lo detallo a continuación porque es muy interesante:

El Gobierno de los Estados Unidos confirma que dos diferentes actores RIS participaron en la intrusión en un partido político estadounidense. El primer grupo de actores, conocido como Advanced Persistent Threat (APT) 29, entró en los sistemas del partido en el verano de 2015, mientras que el segundo, conocido como APT28,entró en la primavera de 2016.

Ambos grupos se han centrado históricamente en organizaciones gubernamentales, think tanks, universidades y corporaciones de todo el mundo. APT29 se ha observad la elaboración de campañas de spearphishing dirigidas aprovechando enlaces web maliciosos; Una vez ejecutado, el código entrega las herramientas de acceso remot(RAT) y evita la detección utilizando una gama de técnicas. 

A través de scripts con programación SQL INJECTION y utilizando técnicas de PHISING – delito de estafa – han conseguido penetrar en los servidores y posteriormente conseguir que las victimas ejecuten código malicioso haciéndose con el control de las máquinas extrayendo la información que las mismas contienen aunque el paper también describe técnicas de PHARMING que es una variante del phising algo más compleja que consiste en simular la web variando las DNS por lo que la victima no detecta si la página que visita es diferente ya que es una copia exacta pero al introducir su búsqueda no la lleva a la página original sino a la copia exacta donde todos los datos que introduzcan son leidos y almacenados por los hackers … no se menciona el cifrado producido por el software ransomware también muy peligroso.

Las recomendaciones para una buena ciberseguridad y proteger las redes y sistemas son las siguientes:

  • Copias de seguridad: ¿Hacemos copia de seguridad de toda la información crítica? ¿Están las copias de seguridad almacenadas sin conexión? ¿Hemos probado nuestra capacidad de volver a copias de seguridad durante un incidente? a la que añadiría ¿ciframos los datos en origen?.
  • Análisis de Riesgos: ¿Hemos realizado un análisis de riesgo de seguridad cibernética de la organización? Capacitación del personal: ¿Hemos capacitado al personal en las mejores prácticas de seguridad cibernética? Escaneo y parcheo de vulnerabilidades: ¿Hemos implementado escaneos regulares de nuestra red y sistemas y un parche apropiado de vulnerabilidades conocidas del sistema? Lista blanca de aplicaciones: ¿Permitimos que sólo se ejecuten programas aprobados en nuestras redes? Respuesta a incidentes: ¿Tenemos un plan de respuesta a incidentes y lo hemos practicado?.
  • Continuidad del Negocio: ¿Somos capaces de sostener operaciones comerciales sin acceso a ciertos sistemas? ¿Por cuanto tiempo? ¿Hemos probado esto?.
  • Pruebas de Penetración: ¿Hemos intentado hackear nuestros propios sistemas para probar la seguridad de nuestros sistemas y nuestra capacidad de defendernos de los ataques?

A nivel de usuario algunas recomendaciones para una buena ciberseguridad:

  • Educar a los usuarios para que sospechen de llamadas telefónicas no solicitadas, interacciones de redes sociales o mensajes de correo electrónico de personas que preguntan acerca de empleados u otra información interna. Si una persona desconocida afirma ser de una organización legítima, trate de verificar su identidad directamente con la compañía.
  • No proporcione información personal o información sobre su organización, incluyendo su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información.
  • No revele información personal o financiera en medios sociales o correo electrónico, y no responda a las solicitudes de esta información. Esto incluye los siguientes enlaces enviados por correo electrónico.
  • Preste atención a la URL de un sitio web. Los sitios web maliciosos pueden parecer idénticos a un sitio legítimo, pero la URL a menudo incluye una variación en la ortografía o un dominio diferente al sitio web válido (por ejemplo, .com vs. .net).
  • Si no está seguro de si una solicitud de correo electrónico es legítima, intente verificarla comunicándose directamente con la empresa. No utilice la información de contacto proporcionada en un sitio web conectado a la solicitud; En su lugar, revise las declaraciones anteriores para obtener información de contacto. La información sobre los ataques de phishing conocidos también está disponible en línea desde grupos como el Grupo de Trabajo Anti-Phishing (http://www.antiphishing.org).
  • Aproveche las funciones antiphishing que ofrece su cliente de correo electrónico y su navegador web.
  • Corregir todos los sistemas para vulnerabilidades críticas, priorizando el parche oportuno del software que Procesa datos de Internet, como navegadores web, complementos de navegador y lectores de documentos.

Todas recomendaciones que un auditor de seguridad, hacker legal o incluso el FBI recomienda,  ¿estas medidas son fáciles de aplicar? NO, ¿es seguro 100 %? TAMPOCO, pero eleva la seguridad de las empresas o personas en la red o dificulta el ataque de hackers aunque el mejor software que pueden desarrollar – en vez de tanta recomendación que además es compleja – es aquel que en tiempo real te dice que aplicación o software está enviado datos y la descripcion de los datos, por ejemplo si tuvieras instalado WhatsApp que el mismo te dijera que le está mandando a Facebook todas tus fotos y pudieras bloquearlo ¿lo veremos desarrollado o como ocurrío con el software que bloqueaba publicidad desaparecerá? … quizás un visionario fue un clásico como PLATÓN que metía a los humanos en cuevas y solo les dejaba salir a ver la luz a unos pocos (mode ironic off).


Recomendaciones de INCIBE – Instituto Nacional de Ciberseguridad y un KIT para simular un proceso de auditoria atacando tu sistema.

 

Share This

¡ Gracias por recomendarlo !

Más información en www.ccrabogados.com

¡ Gracias por recomendarlo !

Más información en www.ccrabogados.com