Hackear sin tecnología: ingeniería social
Eso es. Habéis leído bien. Sin tecnología. Nada. Cero. Imagino que ahora estáis pensando que bromeo, que lo último y lo más elite es hacer uso de un Log4j para obtener un RCE y tomar el control de la máquina, o mejor aún, aprovechar un zero day, desarrollar nuestro propio exploit y seguir hasta que los desarrolladores nos pillen. Pero no. Las vulnerabilidades en el software se parchean, pero las del ser humano…ay amigos, esas permanecen inalterables por los siglos de los siglos. En efecto, hoy hablaremos de ingeniería social. Como dijo Tony Dientes de Bala en Snatch “nunca subestimes lo predecible que puede ser la estupidez”, y tenía mucha razón pese a que posteriormente en el metraje el no tuviera en cuenta su propio axioma y las cosas acabaran terriblemente mal para su sesera. En realidad, lo triste, es que no hace falta ser estúpido para caer en las trampas de ingeniería social. Jugando con el miedo El primer grupo de ataques suelen basarse en el miedo de las personas. La gente somos miedosos por naturaleza, y ante una situación de urgencia presentada por un personaje investido de cierta autoridad (jefes, policía…) tendemos a ser mansos cuan corderitos y nos comportamos tal y como suponemos que esa persona va a reaccionar mejor. Uno de los ejemplos más maravillosos de este grupo es la estafa del CEO: Un ciberdelincuente llama a uno de los empleados del departamento financiero de la empresa, preferiblemente ese que ves en Linkedin jovencito y con cara asustada de recién llegado al océano del mundo laboral. Con un tono imperativo y agresivo, insta al empleado a hacerle una transferencia URGENTE a cierta cuenta debido a ciertos problemas surgidos en uno de sus viajes de índole ejecutiva para negociar la compra de un edificio, compañía, nave espacial…Cosas importantes, ya saben. No conviene calentar al CEO– piensa nuestro pececito recién llegado- Además, suena muy seguro de sí mismo. Si nuestro pezqueñin osa poner algún tipo de pega, como querer confirmar la transferencia con el director financiero, o cualquier otra, despertará de inmediato la ira de nuestro estafador. Parece que se esta rifando un despido y nuestro amigo empieza a comprar papeletas. Si empezaba a plantearse alguna objeción, rápidamente se disipa. – A sus órdenes, oh, mi señor. Nuestro pececito acaba de descubrir que en el océano hay tiburones…pero aún no lo sabe, claro, lo averiguará cuando su jefe le pregunte donde han ido a parar esos 150.000 euros que acaba de transferir. Otro excelente ejemplo de este tipo de ataques es lo que a mi me gusta llamar las ONGs de soporte técnico: ¿De qué va esto? Pues es fácil. El ciberdelincuente llama a un usuario vulgaris, aquel que usa el ordenador para trabajar de vez en cuando pero su experiencia no es especialmente amplia. Alguien al que le da miedo romper las cosas. Vuestro tío Juan, o mi padre, por ejemplo. Rápidamente le informa de que es el servicio técnico de Microsoft, y que ha detectado que su ip está haciendo cosas malas y remalas, que seguramente tenga uno de esos virus informáticos que causan estragos y que hay que detenerlo o el mundo arderá en llamas…o lo que es peor, van a llover las denuncias. Mi padre es un tipo cabal, pero esas cosas de los ordenadores como que no, que los carga el diablo, que ya lo vió en “La rebelión de las maquinas” y no quiere que esto se convierta en una masacre, así que se presta a colaborar con el señor Soporte de Microsoft para arreglar el entuerto. -Esto es muy fácil, señor-dice el estafador– solo necesita instalar este pequeño programita para poder darle soporte remoto y yo me encargo de fumigar su equipo con un puñado grande de antivirus para que no se le infecte la impresora. Después de una descarga, unos clicks aquí y allá, el equipo y las cuentas de mi padre ya están en manos del ciberdelincuente. Adiós a mi herencia. Avaricia Muchas veces no es el miedo lo que nos hace movernos, si no la avaricia. Todos somos muy buenos, pero cuando alguien nos pone dinero fácil ante nuestras narices tendemos a querer cogerlo…materialista que es uno. En este tipo de cosas se basan los mails típicos de estafa a la nigeriana, que no siempre vienen de Nigeria, pero son como la tortilla francesa, que ellos llaman simplemente “tortilla”. Estos mails esconden un largo discurso explicando la grata noticia de que el señor Mongonga Mhamba acaba de fallecer dejando la cantidad de 635342 millones de dólares en el banco y oh fatalidad, no hay nadie para reclamarlos, de forma que el fondo monetario internacional ha decidido bloquear los fondos a perpetuidad por no poder darles a nadie. Si es que estas cosas pasan, y el mundo esta lleno de millones bloqueados que nadie puede gastarse. Afortunadamente te han encontrado a ti, querido lector, que debido a tus apellidos tan comunes puedes actuar como pantalla ante el fondo monetario internacional y recibir esos millones para poder desbloquearlos. Una vez hecho esto, saldrán de tu cuenta, pero te dejarán una jugosa comisión de unos cuantos milloncejos como propinilla. No está mal por responder un mail. Ay, pero funesto destino, en mitad de esa transacción algo se tuerce y es necesario pagar unas comisiones por la transferencia. Nada muy alto. 1000 o 2000 euros. Rápidamente te contactan para que puedas solucionar esta fruslería. Una vez hecho, el dinero alcanza el destino que siempre tendría que haber tenido: los bolsillos del estafador. Baja tecnología Finalmente mencionaremos esas soluciones que yo denomino baja tecnología, porque, aunque se hacen mediante esta, forman más parte de la ingeniería social que de lo que tiene luces y botones. Estas se basan en el despiste y en el arte del trilero. Consiste en enviar masivamente mails con todo tipo de engaños, desde el clásico “Hotmail va a cerrar, haz click aquí para activar tu cuenta” al más moderno “Su cuenta de Netflix ha tenido un problema
Seguridad y Cumplimiento Normativo, juntos y necesariamente revueltos
El objetivo del presente artículo no es otro que explicar de forma simple, resumida y para todos los públicos la cada vez mayor relación entre la seguridad y el cumplimiento normativo de cualquier empresa o negocio. Así que, si está familiarizado con conceptos como resiliencia organizacional, desarrollo de negocio, continuidad, posicionamiento e imagen corporativa, le recomiendo el artículo “seguridad y cumplimiento normativo, simbiosis para un enfoque holístico de la seguridad” que trata estos temas de una manera más técnica y profunda. Si, por el contrario, ha escuchado alguna vez estos conceptos, pero no los tiene del todo claros, está usted en el lugar indicado. Para entender la creciente relación entre cumplimiento normativo, seguridad y el beneficio económico de nuestro negocio debemos comprender mejor qué abarca la seguridad, cómo se relaciona con el cumplimiento normativo y cómo afectan estos a nuestra empresa. Para ello, debemos hacernos una pequeña idea sobre a qué nos referimos cuando nos referimos a imagen corporativa, posicionamiento, continuidad del negocio o resiliencia organizacional de cualquier empresa. De una manera simple, se podría decir que la imagen corporativa es la idea que tienen los clientes, o posibles clientes, de un negocio y lo que hace, la calidad que perciben de sus productos o servicios. Esa imagen influye en la confianza que tienen las personas en cualquier empresa y definirá el valor que le dan respecto al de sus competidores o, dicho de otra forma, su posicionamiento en el mercado o en el sector que desarrolla la actividad empresarial. La imagen corporativa influye directamente en el valor de un negocio y sus servicios. Generalmente, una empresa que se percibe con mayor calidad de productos o mejores servicios vende mucho más. Por otra parte, cuando se habla de continuidad del negocio, se habla de la capacidad de las empresas para asegurar que su actividad se realizará de manera continuada en el tiempo; y para asegurar esa continuidad, las empresas necesitan diseñar estrategias e implementar medidas de seguridad frente a los imprevistos, incidentes o cualquier circunstancia que amenace esta, así como, estar preparadas para adaptarse a los cambios y retos que puedan surgir en su entorno. Dicho de otro modo, ser resiliente, es decir, tener la capacidad para enfrentarse a los riesgos, y adaptarse a los imprevistos y/o cambios del entorno de la mejor y más rápida forma posible para asegurar la continuidad de la actividad. El cumplimiento normativo en las empresas muchas veces es visto como algo secundario, de menor importancia, que genera gastos, acapara recursos y tiempo, y que aporta poco valor. Pero, es cada vez más evidente el impacto que tiene en las empresas y los beneficios que aporta. Se debe cambiar la percepción del cumplimiento normativo y pasar de verlo como un gasto a verlo como una inversión. Para ello, debemos tener clara, sin lugar a duda, la importancia y el impacto de este en el desarrollo del negocio y, por qué influye en su seguridad. Cuando se habla de seguridad, tradicionalmente se piensa en la seguridad física. En lugares y ubicaciones seguras frente al accesos de ladrones, en poner puertas seguras, barreras, alarmas, cámaras y todo para prevenir robos en el interior de un local. Pero la realidad, es que la visión de la seguridad ha cambiado considerablemente. Desde hace ya algunos años, la seguridad abarca muchas más acciones, preocupaciones y necesidades de las que se consideraban de manera tradicional. La seguridad de las empresas va mucho más allá de proteger sus bienes frente al robo, la manipulación o, la destrucción de estos. Ahora, el objetivo de la seguridad pasa de centrarse en la búsqueda de la protección a, preocuparse por la implementación de todas las medidas necesarias para tratar los riesgos que amenazan el correcto funcionamiento de la actividad diaria de las empresas, para asegurar la continuidad del negocio. Entre las múltiples preocupaciones actuales de la seguridad, además de las medidas de seguridad física, se encuentran: la protección de la información relevante para la empresa, entendida como aquella información que si se conociese por personas ajenas a la empresa podría causar un daño a la misma; la protección de los sistemas y equipos informáticos o ciberseguridad, la protección frente a los cambios imprevistos que puedan ocasionar daños a la organización, la protección de la reputación de la empresa o imagen corporativa; y el cumplimiento normativo entre otros. Todas estas preocupaciones se entremezclan e interactúan de manera que, los riesgos que afectan a alguna de ellas causan a su vez repercusiones graves en las otras, afectando al correcto desarrollo de la actividad y causando daños o perdidas de oportunidades, que a su vez se traducen en pérdidas económicas. Uno de los factores que cada día más influye en la seguridad y el desarrollo de negocio de las empresas es el cumplimiento normativo. Independientemente del sector de actividad o el tamaño del negocio, el cumplimiento normativo está presente siempre en mayor o menor medida y puede marcar la diferencia entre el crecimiento empresarial o el cierre total de la actividad. Bien estructurado, el cumplimiento normativo puede ser un escudo que proteja a la empresa ante muchos riesgos y un salvavidas para el desarrollo de cualquier negocio. Por el contrario, mal gestionado, puede ser el arma que lo hiera y el ancla que lo frene o incluso lo hunda. A las empresas se les exige el cumplimiento de unas determinadas leyes para el desarrollo de su actividad, la mayoría de estas leyes cuentan con régimen sancionador en caso de incumplimiento. que se traducen en multas considerables, retirada de licencias, e incluso, cese de actividad, etc. Además, la competencia empresarial, y en muchos casos los clientes, exigen que las empresas cumplan con determinadas normas y buenas prácticas reconocidas que avalen y certifiquen que realizan su actividad de la mejor manera posible. Siendo percibidas las empresas con una mayor implicación y desarrollo del cumplimiento normativo, como aquellas de mayor calidad, los que les proporciona una mejor imagen corporativa, ofreciéndoles una ventaja competitiva frente al resto de empresas de su
Acciones de concienciación frente al phishing
El phishing es un término que se ha popularizado en los últimos años entre los usuarios Internet y que hace referencia a las técnicas utilizadas por los ciberdelincuentes para conseguir que una empresa o persona realice determinadas acciones o revele información valiéndose del engaño, el fraude y la suplantación. El phishing se encuadra dentro de los ataques que utilizan prácticas de ingeniería social para conseguir su objetivo. Es bien conocido que el usuario es el eslabón más débil de los elementos que intervienen en la protección de los sistemas de información. La curiosidad humana, la vorágine del día a día o la falta de concienciación son circunstancias que los ciberdelincuentes aprovechan para alcanzar sus objetivos. Mediante sencillas técnicas son capaces de captar la atención de los usuarios y ganar su confianza para lograr que realicen determinadas acciones. El correo electrónico es la vía principal a través de la cual los ciberdelincuentes canalizan este tipo de ataques. Haciéndose pasar por una fuente de confianza que no genera duda sobre su fiabilidad consiguen engañar al destinatario final con el objetivo de que revele ciertos datos de interés para el atacante: credenciales, datos bancarios, etc. Los mensajes SMS y las llamadas telefónicas también son otras vías que los ciberdelincuentes utilizan para desplegar ataques de phishing. En estos casos, su pretensión es que el usuario realice una acción de forma rápida. La formación a los usuarios es un elemento fundamental en la estrategia para evitar que este tipo de ataques obtengan el éxito deseado por los ciberdelincuentes. Tan importante como disponer de sistemas de seguridad perimetrales y herramientas antispam eficaces, además de soluciones antimalware en los equipos de los usuarios, es la difusión de buenas prácticas entre los usuarios para conseguir que sean capaces de identificar elementos sospechosos que puedan afectar a la seguridad de la información. Dado que el riesgo que supone la amenaza del phishing es constante y que los métodos utilizados por los ciberdelincuentes se actualizan constantemente adaptándose a las circunstancias del momento, como hemos podido comprobar con la pandemia del Covid-19, es recomendable definir un programa regular de concienciación. No todas las acciones a realizar tienen que basarse en sesiones en las que un experto en ciberseguridad exponga una serie de pautas para identificar y remediar los riesgos del phishing. Si bien éstas son altamente recomendables, no lo son menos otras complementarias como las píldoras informativas, las infografías o los recordatorios puntuales coincidiendo con eventos o situaciones clave, todo ello con el ánimo de conseguir que el usuario esté en una situación de alerta permanente frente a este tipo de amenazas. Para que estos programas de concienciación alcancen el objetivo requerido es importante que estén diseñados en base a situaciones realistas que tengan que ver con el día a día de la empresa y captar así el interés del usuario. Uno de los retos a los que se enfrentan los responsables de seguridad de las empresas es el de conocer el grado de concienciación que poseen los usuarios frente a la amenaza del phishing, especialmente tras la realización de los programas formativos. Con tal fin, se han desarrollado herramientas que permiten realizar campañas de simulación de phishing de forma muy ágil y sencilla. Estas campañas se pueden personalizar y automatizar por los administradores en base a plantillas y pueden ser dirigidas contra los colectivos que se desee. Los resultados se obtienen con un amplio nivel de detalle, llegando a determinar las acciones realizadas por cada usuario. Cuando se planifique la realización de una campaña de este tipo habrá que tener en cuenta los aspectos legales que puedan verse afectados y hacer partícipe a los órganos de dirección de la empresa. Es recomendable no realizar una única campaña de simulación dado que no será suficiente para diagnosticar el comportamiento de los usuarios. La realización de varias campañas permitirá establecer una línea base de comportamiento que permitirá valorar la efectividad de las acciones formativas y adoptar medidas complementarias si la situación lo requiere. Su repetición en el tiempo servirá para demostrar el cambio de comportamiento. La rapidez con la que se ejecutan y se obtienen los resultados las convierten en un instrumento muy útil para los gestores de la seguridad de las empresas.
Consecuencias de un ciberataque
Los ciberataques han tenido un crecimiento exponencial en los últimos tiempos siguiendo la progresión de la implantación de la tecnología en nuestro día a día. Y todo el mundo, en mayor o menor medida, es consciente de lo peligrosos que pueden ser. Aunque en la mayoría de los casos infravaloramos la extensión del daño que infligen. Por eso hoy vamos a profundizar sobre este tema al detalle para comprobar cómo afectan a las empresas y en qué frentes. Los daños propios: primeras consecuencias de un ciberataque Los daños propios son, sin duda, la más evidente consecuencia de un ciberataque. Es la cara más visible en un ataque, independientemente de si es más o menos invasivo. Sus efectos repercuten en toda la infraestructura empresarial bloqueando sus sistemas e, incluso, pudiendo paralizar su proceso de producción. El funcionamiento normal de la empresa es imposible en estos casos lo que puede generar graves repercusiones económicas. Unas repercusiones económicas que se agravan con los secuestros de datos y la petición de rescates por parte de los ciberdelincuentes. Estas extorsiones son cada vez más populares y las sumas solicitadas pueden llegar a ser inasumibles por las compañías. Daños a terceros y sus efectos legales Sin embargo, los daños propios no son los únicos que afectan a una empresa en un ciberataque. Sus clientes y proveedores también se ven afectados. Los datos personales que manejan las compañías, independientemente de su tamaño y actividad, son uno de los activos más valiosos para los hackers. Por eso es uno de los elementos que más peligro corren en un ciberataque. Una correcta protección y tratamiento de esos datos es crucial en dichas circunstancias y puede ser determinante a nivel legal. Ya que hay que tener en cuenta que la ley ampara esos datos personales de los que la empresa es responsable a través del Reglamento General de Protección de Datos de la Unión Europea. Pero, además, las compañías también están sujetas a otras obligaciones legales que pueden verse vulneradas en un ciberataque. Una de ellas es el deber del secreto que afecta también al tratamiento de datos. Por lo que, en caso de ataque y si se demostrara negligencia en su protección por parte de la empresa, podría llegar a incurrir en un delito de revelación de secretos. La responsabilidad contractual que la empresa asume tanto con sus clientes como con sus proveedores también se ve afectada en caso de ciberataque. Lo que supone otro frente legal que la empresa tenga que asumir. En estos casos la proactividad y la honestidad pueden ayudar a mitigar sus efectos. En referencia a la protección de datos, es de obligado cumplimiento comunicar las brechas de seguridad en el plazo de 72 horas desde que se tenga conocimiento de las mismas. De lo contrario incurriría en delito. Además, la empresa también debe considerar la obligación que tiene con sus clientes y proveedores. Por lo que notificar la situación a los afectados en el menor tiempo posible puede ayudar a paliar la situación desde el punto de vista de la reputación. Marketing y reputación, los grandes olvidados en un ciberataque Se podría pensar que los daños acaban en este punto, pero las ramificaciones un ciberataque se expanden a todos los estamentos de la organización. Uno de los que generalmente suele quedarse en el tintero es la estrategia de marketing y de marca. Y, sin embargo, jamás deberíamos olvidarnos de ella ya que juega un papel fundamental. El marketing abarca gran cantidad de acciones dentro de la compañía que no solamente se ocupan de la comunicación. Una correcta estrategia de marketing tiene en cuenta posibles escenarios de crisis a los que puede enfrentarse una organización, como un ciberataque, y cómo debe afrontarlos para salir airosa. Tampoco nos podemos olvidar de la reputación de la compañía, que es otro de los grandes elementos que se ven afectados en un ataque. Este bien intangible está basado en la confianza que transmite de cara al exterior y cualquier tipo de asalto a sus sistemas puede romper esa confianza. Esa confianza es muy difícil de reparar una vez rota. Y sin ella recuperar la reputación de marca es prácticamente imposible. Dadas las graves consecuencias que implican los ciberataques es vital para cualquier organización prepararse para ellos. Y, mejor aún, implementar sistemas de protección que eviten cualquier posible ataque a cualquier nivel. Desde Global Technology te ayudamos para proteger tu empresa con nuestro equipo de profesionales ampliamente cualificado en todos los ámbitos de la seguridad. ¡Contacta con nosotros para más información!
Entrevista con Joan Bergadà, Director de Seguridad Corporativa, en el Diari De Tarragona
El pasado domingo 21 de febrero, el Diari de Tarragona publicó una extensa entrevista a nuestro Director de Seguridad Corporativa Joan Bergadà, con motivo de la apertura de nuestra oficina ubicada en Port Tarraco. En la misma, además de hacer un somero repaso de los distintos servicios que componen el portfolio de Global Technology y EON Transformación Digital, se comentan los riesgos de seguridad corporativa a los que cualquier empresa puede estar expuesta, haciendo especial hincapié en los riesgos de seguridad lógica motivados por el avance de los distintos tipos de ciberataques. Hemos dejado la entrevista en PDF en este enlace.
Auditoría y Pentesting: ¿estás preparado para un ciberataque?
Auditoría y pentesting: comprobando la seguridad de los sistemas
Las empresas se enfrentan a numerosas amenazas externas e internas. Si hablamos de ciberseguridad, hay que tener en cuenta también ambos aspectos. Con el aumento progresivo de la digitalización y la implementación de nuevos servicios y tecnologías, estos riesgos aumentan, pero no de forma progresiva sino de manera exponencial. El hecho de incorporar herramientas informáticas y de digitalizar toda la información de la compañía conlleva muchos beneficios, entre ellos el aumento de la eficiencia, la productividad y la competitividad. Pero también llevan consigo ese aumento de los riesgos inherentes a cualquier tecnología. Implementar las tecnologías y servicios de seguridad que ayuden a proteger los sistemas, además de adoptar buenas políticas y cultura de ciberseguridad es fundamental. Pero para hacer todo esto de la forma más efectiva posible, hay que empezar por el principio. Conocer cuál es el estado inicial de la compañía en términos de ciberseguridad, cuáles son sus puntos fuertes y débiles así como posibles vulnerabilidades ayudará a implementar la mejor estrategia posible en cada caso. Esto permitirá, además, realizar una óptima gestión de los riesgos y establecer las mejores capacidades de respuesta ante posibles ciber incidentes. En este sentido, las auditorías informáticas así como sus diferentes variantes son el mecanismo que nos permite obtener esa visibilidad. Básicamente nos permiten responder a varias preguntas, entre ellas: ¿Qué nivel de ciberseguridad tengo? La auditoría informática ¿En qué estado se encuentran mis sistemas informáticos? Para responder a esta pregunta debemos recurrir a las auditorías. Estas van a ayudar a las empresas a comprobar la eficiencia de sus equipos, sus sistemas y a tener una mayor visibilidad de dónde y cómo se encuentra la información corporativa. No necesariamente tienen que estar enfocadas únicamente a los aspectos de seguridad, sino que se puede comenzar realizando una auditoría general para comprobar si todo está funcionando de forma correcta, si se utilizan los recursos de forma adecuada o si existe algún problema que corregir. Estos aspectos en realidad están completamente hilados con los de seguridad en sí mismos, ya que para que un sistema sea seguro en primer lugar debe funcionar de forma correcta, sin fallos. Las auditorías exclusivas de seguridad se centrarán en aspectos más concretos como la seguridad de los sistemas, equipos y programas que se están usando en la empresa, detectando debilidades y posibles vulnerabilidades. En el caso de los datos corporativos, hay que tener en cuenta que además de auditorías técnicas también conviene llevar a cabo controles y auditorías de cumplimiento, que verifiquen y velen porque se están llevando a cabo de forma apropiada las políticas y procedimientos tanto internos como en base a normativas aplicables de protección de datos. Además de lograr esa imagen inicial del estado de los sistemas, las auditorías deben llevarse a cabo de forma periódica, ya que debido a la velocidad con la que se implementan nuevos servicios tecnológicos y crece la información, ese estado va cambiando con el tiempo. No olvidemos además que la ciberseguridad es un proceso continuo, y conocer en qué situación nos encontramos ayudará a protegernos de posibles amenazas. Estas auditorías se pueden llevar a cabo tanto de forma interna, llevada a cabo por la propia organización, como de forma externa, contratando empresas especializadas para llevar a cabo estos controles. Controles que, por otro lado, deberían ser llevados a cabo por todas las empresas, con independencia de su tamaño. Pentesting ¿Y si nos ponemos en la piel de un ciberdelincuente y ponemos a prueba nuestros sistemas ante un ataque? Esta es la base de un test de penetración o pentesting. Esta técnica permite llevar a cabo ataques simulados contra los sistemas de la empresa para detectar posibles vulnerabilidades y poder corregirlas adecuadamente antes de que puedan ser explotadas por terceros. Sus métodos incluyen desde la recogida de información en fuentes abiertas hasta simulaciones de ciberataques a nivel técnico e incluso de ingeniería social, para comprobar la capacidad de los empleados de actuar frente una amenaza de ciberseguridad que use esta técnica. En este sentido, existen diferentes tipos de pentesting, en función de la información de base con la que cuenta el profesional que va a realizar el test de intrusión. Por ejemplo, si disponen de mucha información sobre los sistemas y políticas de seguridad de la empresa se denominan “White Box” o de caja blanca. Al contrario, si no conocen absolutamente nada, estaríamos ante un test “Black Box”, que sería prácticamente lo que haría un ciberdelincuente. En medio, encontramos los pentesting “Grey Box” que disponen de algo de información pero no toda, variable en cada caso. Estas pruebas se realizan por empresas y profesionales que lógicamente han sido contratados y autorizados previamente para llevar a cabo estas intrusiones de forma legal, firmando los contratos de confidencialidad pertinentes. Al igual que antes, lo ideal es llevar a cabo estos test de penetración de manera periódica. No solamente porque las propias características de la empresa van cambiando con el tiempo, sino porque los ciberataques y amenazas de seguridad van adaptándose y sofisticándose con el tiempo. Realizar pruebas de intrusiones teniendo en cuenta las nuevas técnicas de ataque nos permitirá estar un paso por delante. Comprobar el estado antes, durante y después Este tipo de controles que hemos mencionado se llevan a cabo idealmente “antes” de que haya ocurrido un incidente. Una vez que la empresa ha sido víctima de un ataque de ciberseguridad, se deberá llevar a cabo un análisis específico para conocer el alcance, así como una auditoría forense que permita conocer qué es lo que ha ocurrido y obtener la información relacionada con el incidente. Aunque lo ideal es realizar las auditorías para prevenir posibles intrusiones, es importante en el caso de que ocurra una llevar a cabo también este tipo de mecanismos para poner las medidas adecuadas que no se hayan puesto antes y aprender de los errores. En definitiva, cualquier auditoría o pentesting de seguridad que se realice en la empresa será beneficioso gracias a la enorme cantidad de información que nos facilitará su informe final. NOTA: Hemos preparado
Ciberseguridad en Instalaciones Portuarias
El reto y la importancia de la ciberseguridad en las instalaciones portuarias
Cuando hablamos de seguridad en entornos de puertos, como es el caso de puertos marítimos, en primer lugar seguramente pensaremos en la seguridad física. Obviamente esta es fundamental, pero no es la única. Cada vez más, y desde que las propias instalaciones portuarias se han ido conectando a internet y de ella dependen sus operaciones, la seguridad cibernética y ciberseguridad son extremadamente relevantes. Esto es así porque como infraestructuras críticas, están en el punto de mira de todo tipo de amenazas de seguridad digital. Es muy suculento para los atacantes tratar de paralizar, por ejemplo, mediante un ransomware los sistemas de un puerto y exigir un elevado rescate económico a cambio de devolver el control sobre ellos. Saben que las operaciones en este tipo de instalaciones no pueden detenerse ni un minuto. Las innovaciones tecnológicas de los puertos han mejorado los procesos, pero, como todo lo que está conectado, también ha abierto una ventana a la vulnerabilidad. Y no solamente debido al creciente número de ataques. Existe asimismo una normativa específica que se aplica a este tipo de instalaciones, la cual exige a las Autoridades Portuarias contar con una estrategia adecuada de ciberseguridad en sus puertos. Así son los ciberataques a instalaciones portuarias Para hacernos una idea de qué tipo de ataques están afectando a estas infraestructuras estratégicas no tenemos que irnos muy lejos. Por ejemplo, en septiembre de 2018 el Puerto de Barcelona sufrió un ciberataque que puso en jaque varios de sus servidores internos. La misma entidad reconocía que preveían que algunas entregas de mercancías podrían sufrir retrasos. Según apuntan diferentes fuentes, tardaron por lo menos seis días en recuperarse del todo. El incidente salpicó a algunas de las empresas que trabajan con el puerto, como fue el caso de la naviera danesa Moller-Maersk. Esta compañía también sufrió en 2017 un ciberataque, que se calcula que le costó entre 171 y 256 millones de euros, además de afectarles negativamente durante dos semanas. De hecho, si echamos la vista atrás, en los últimos años las cuatro principales compañías de transporte marítimo de mercancías han sido víctimas de ataques cibernéticos. Uno de los últimos afectando a las infraestructuras de la compañía francesa CMA CGM en China. La propia Organización Marítima Internacional (IMO) también ha sufrido en sus carnes un ataque informático. El organismo dependiente de Naciones Unidas ha sido víctima de un ataque sofisticado contra sus sistemas que ha afectado a su página web y a servicios internos de comunicación. Tan solo unas muestras que reflejan que, efectivamente, estos sistemas están siendo objeto de ciberataques, las consecuencias son muy graves, y poner las medidas adecuadas es una necesidad y una prioridad. Retos y buenas prácticas en la gestión de riesgos Según explica el Consejo Nacional de Seguridad Marítima en su “Guía de buenas prácticas para la gestión de riesgos de ciberseguridad en buques e instalaciones portuarias”, la creciente interacción del entorno marítimo con el ciberespacio son considerados “espacios globales comunes”, y son objeto de atención en la Estrategia de Seguridad Nacional de 2017 como en la Estrategia de Seguridad Marítima Nacional de 2013, destacando que “una de las Líneas de Acción Estratégicas de esta última es, precisamente, “la mejora de la ciberseguridad en el ámbito marítimo”. En esta guía basan esta estrategia de ciberseguridad en las máximas de identificar, proteger, detectar, responder y recuperar. Según el informe “Buenas prácticas de ciberseguridad en el sector marítimo” de ENISA, algunos de los principales desafíos a los que se enfrentan los puertos para implementar medidas de seguridad digital adecuadas comienzan por la falta de concienciación y cultura digital del propio ecosistema portuario, al tratarse de un entorno tradicional en el que se han ido “agregando” capacidades tecnológicas rápidamente. Por otro lado, se señalan como retos la falta de presupuesto así como de personas que puedan llevar a cabo e implementar las diferentes estrategias de ciberseguridad. Y no menos importante: la propia complejidad de toda la infraestructura portuaria, que sumada a esa transformación digital acelerada de los puertos aumenta los peligros a los que se exponen. Acciones a nivel nacional Y es que la dependencia de los sistemas informáticos es cada vez mayor, pero no siempre el proceso de transformación hacia la digitalización de estas infraestructuras va aparejada con la seguridad. Sin embargo, durante los últimos años se han puesto en marcha distintas iniciativas a nivel nacional para atender esta situación, lo que supone una muestra de la importancia de todo esto. En 2019, El Centro Nacional de Infraestructuras y Ciberseguridad y Puertos del Estado presentaron una Guía de Redacción del Plan de Protección Específico complementario al Plan de Protección del Puerto que integra los distintos planes concernientes a la protección marítima. El documento servirá para que las Autoridades Portuarias puedan elaborar sus respectivos Planes de Protección Específicos para cada puerto que haya sido considerado crítico. En junio de 2020 se publicó la ya mencionada “Guía de buenas prácticas para la gestión de riesgos de ciberseguridad en buques e instalaciones portuarias” por parte del Consejo Nacional de Seguridad Marítima. A nivel estatal se han venido desarrollando asimismo diferentes iniciativas. Una de las últimas ha sido el ejercicio MARSEC 20 de Ciberseguridad, un seminario online y una simulación práctica llevada a cabo en aguas de Cartagena y organizado por la Fuerza de Acción Marítima. Diversas instituciones, como Puertos del Estado, Centro Criptológico Nacional, el Mando Conjunto de Ciberdefensa o INCIBE han participado en estos ejercicios el pasado mes de noviembre, con el objetivo de concienciar sobre la necesidad de mejorar las capacidades de ciberseguridad en el entorno marítimo. En definitiva, contar con una estrategia definida, políticas de seguridad y protocolos establecidos para mitigar los riesgos y amenazas de seguridad es fundamental. Contar con la cultura digital necesaria para detectar esta necesidad y realizar una evaluación previa son los primeros pasos necesarios para abordar estos retos con la mayor eficacia. NOTA: hemos preparado esta infografía que recoge los aspectos más importantes de un modo más visual.
Formación Operadores Centro de Control y Vigilancia (CCV)
FORMACIÓN OPERADORES CENTRO DE CONTROL Y VIGILANCIA (CCV) Creamos cultura de seguridad corporativa. FORMACIÓN CCV En Global Technology estamos convencidos de la importante, trascendente y fundamental misión que los Centros de Control y Vigilancia, así como los recursos humanos que en ellos operan, desempeñan en el complejo engranaje de la Seguridad Corporativa e Integral. Por este motivo, ponemos a su disposición las experiencias y conocimientos de reputados profesionales vinculados directamente, con el diseño, creación, gestión y supervisión de Centros de Control y Vigilancia. Contando con el amplio bagaje de nuestros expertos, pretendemos garantizar una excelente preparación del recurso más valioso del Centro de Control y Vigilancia, el Operador CCV. Nuestro método se basa en provocar la motivación e implicación de nuestros alumnos, generando un auténtico clima de confianza, realizando ejercicios y resolviendo casos prácticos de forma conjunta y supervisada constantemente por nuestros especialistas. a quién va dirigido Profesionales vinculados al ámbito de la seguridad integral, que concretamente ejerzan su actividad ordinaria realizando funciones de gestión o supervisión en Centros de Control y Vigilancia, así como a todos los interesados en ampliar sus conocimientos, preparación y formación en este espacio. CURSO BÁSICO OPERADORES CENTRO CONTROL Y VIGILANCIA Cada día más empresas confían en nosotros llámanos Sistemas de Seguridad convergentes Security, Safety & Ciber-seguridad. Rol del Operador Perfil y competencias. Factor humano. Definición y funciones de Centro Control y Vigilancia Fundamentos Gestión ordinaria y extraordinaria. (servicios e incidentes) Recogida, gestión y recopilación de información. Activación y desactivación de recursos. Coordinación de intervinientes y Aplicación de Procedimientos. Traspaso de turno y novedades. Chequeo, funcionamiento y mantenimiento. Introducción a los sistemas de seguridad integrada Centrales alarmas de incendios. Sistemas anti intrusión. Controles de accesos. Sistemas de geolocalización. Sistemas de comunicaciones en el CCV (ordinarias y extraordinarias) Conceptos básicos en Plataformas tecnológicas de integración (PSIM). Introducción a la organización de las emergencias y complementación de servicios e incidentes Planes de seguridad y de protección. Gestión y Coordinación intervinientes. Planificación y recogida de la información. Coordinación con el Centro de Mando Avanzado. Seguridad en el CCV Aproximación a RGPD. Aproximación Seguridad de la Información. Logins y contraseñas. Confidencialidad Resolución de ejemplos y casos prácticos FORMACIÓN CCV Las charlas se diseñan a medida de las necesidades del cliente. De manera que ayudan a comprender, al personal de la organización, las medidas de seguridad propias, su funcionamiento, importancia, necesidad, y buen uso. Fomentando una cultura de seguridad corporativa. CONTACTA CON NOSOTROS