Servicio de Atención al Cliente: 902 170 000 comercial@extrasoft.es
Compra on-line segura ¿Cómo saber si esta tienda web es fiable?

Compra on-line segura ¿Cómo saber si esta tienda web es fiable?

Artículo elaborado por Roberto Carrancio, especialista en seguridad en Extra Software.

Hoy en día, con la revolución tecnológica y de internet, cada vez es más fácil comprar esa mesa que es tan barata y quedaría genial en nuestro salón. Pero, ¿cómo podríamos saber si ese vendedor es quien dice ser y no un estafador que quiere quedarse con nuestro dinero?

Aunque pocas veces podremos hacer una compra on-line segura 100%, hay una serie de cosas que debemos mirar si no queremos acabar la tarde en comisaria denunciando al supuesto estafador. El carding, o robo de tarjetas, es una de las actividades favoritas de los cibercriminales para lucrarse. Tanto es así, que al año se roban 40.000.000 de tarjetas de crédito en todo el mundo. Nosotros os vamos a dar tres simples consejos que os ayudarán a no caer en estos engaños.

1- Conexión segura y certificado.

Lo primero que debemos hacer para lograr una compra on-line segura es poner a punto nuestros dispositivos. De nada sirve todo lo demás, si tenemos un malware en nuestro ordenador o móvil que nos robe las credenciales del banco. Una vez que por nuestro lado hemos repasado que todo está bien, es el momento de pasar a la comunicación, esta debe ser segura. Comprobaremos que la página web cuenta con el protocolo HTTPS, esto significa que nuestros datos viajan cifrados y no a la vista de cualquiera. En los navegadores de internet veremos un candado verde al lado de la web. No es necesario que todos los apartados de la web dispongan de esta seguridad, pero sí como mínimo los formularios de contacto y pago. Otra cosa que debemos mirar y que se ve en el mismo sitio es el certificado. Aunque la web disponga de certificado, comprobaremos que pertenece a la web y que lo emite una entidad acreditada. Si no es así, abandona esa web inmediatamente.

Compra On-line segura

Certificado para Amazon emitido por VeriSign (Izquierda). Presunto sitio falso sin certificado (derecha)

 

Recuerda que para compras o acceso a bancos nunca es recomendable usar ordenadores compartidos o redes públicas.

2- Información del vendedor

Otra cosa que nos ayudará a comprobar la legitimidad de la web es que los datos del vendedor y la política de privacidad tienen que estar disponibles según la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI). Debemos ser capaces de encontrar como mínimo el nombre completo o razón social, NIF o CIF, domicilio físico y los datos de contacto. Con la entrada en vigor del RGPD también se nos deberá informar sobre qué datos personales recoge y que uso hace de ellos, así como informar qué política de privacidad aplicará y si dichos datos serán cedidos a otra empresa.

Compra on-line segura 2

Aunque esta web está en español, su política de privacidad no lo está, no tiene datos del vendedor y dice que la información viaja cifrada por SSL cuando el sitio no usa HTTPS

Nunca compres en una web si los datos del vendedor no están claramente indicados.

3- Sentido común

Por último, tenemos que revisar que las políticas de envío y devoluciones se especifican de forma clara, si no es así no es una compra on-line segura y mejor descartarla. Otro indicativo que puede ser sospechoso es el precio de los productos. Comparando en varios negocios es normal encontrar una oferta mejor que otra, pero si encuentro por ejemplo un descuento del 80% o un precio mucho más bajo que en el resto de sitios sin ser una liquidación por cierre o un día de ofertas especiales, es motivo de desconfianza.

Desconfía de las webs con precios llamativamente bajos o que no indiquen claramente su política de envío y devoluciones.

Son tres consejos que nos ayudarán a realizar una compra on-line segura. Nadie nos puede asegurar que una web con los requisitos que hemos visto no sufra un fallo de seguridad o sea un fraude muy logrado, pero desde luego si no los cumple es mejor no dar nuestros datos de pago y evitar un posible fraude.

Nota: Desde Extra Software respetamos la presunción de inocencia de los sitios web que salen de ejemplo en este artículo, asumiendo que las malas prácticas encontradas son errores no intencionados.

¡SI TE GUSTÓ, COMPÁRTELO!
¿Cómo estar seguro en tu móvil? Seguridad en Smartphones.

¿Cómo estar seguro en tu móvil? Seguridad en Smartphones.

Artículo elaborado por Roberto Carrancio, especialista en seguridad en Extra Software.

En anteriores ocasiones hemos escrito sobre cómo mantener a salvo nuestra información. Aunque hasta ahora siempre nos habíamos centrado más en el apartado de los ordenadores, hay otros dispositivos que no debemos descuidar, nuestros “Smartphones”. Hoy en día todos llevamos un teléfono móvil encima, y no solo eso, almacenamos en ellos toda clase de información personal y privada e incluso corporativa y confidencial. Las herramientas que tenemos a nuestro alcance para la seguridad en smartphones no son pocas, aunque, por desgracia, su uso no está tan extendido como en el caso de los ordenadores. En esta ocasión queremos ayudaros a evitar problemas con los teléfonos móviles. Antes de empezar, debemos dejar claro que no existe el sistema perfecto. Los dispositivos, sean Android, Apple o Windows están expuestos de igual manera; y no por usar uno u otro debemos pensar que estamos automáticamente a salvo.

Paso 1. Seguridad física en smartphones

Al igual que comentamos cuando hablamos sobre los ordenadores lo más fácil y primero que tenemos que hacer con nuestro teléfono es protegerlo contra ataques para los que se requiera un acceso físico al terminal. Para ello es indispensable establecer un sistema de desbloqueo del terminal seguro, ya sea patrón de desbloqueo, pin, contraseña o medidas biométricas (escáner de iris, reconocimiento facial o lector de huellas).

desbloqueo smartphone

Desbloqueo de un terminal mediante huella dactilar

Si manejamos información confidencial, es recomendable tomar unas medidas extras de seguridad y poner a nuestro dispositivo un filtro de privacidad para mantenernos a salvo de miradas indiscretas. Además, algunos fabricantes como Samsung ofrecen en sus teléfonos de gama alta la posibilidad de crear un ecosistema seguro dentro del terminal al que se accedería con una contraseña distinta a la anterior. Esto en concreto es lo que antes se llamaba “My Knox” y ahora se llama carpeta segura. Esta medida en concreto le ha servido a Samsung para obtener la cualificación del Centro Criptológico Nacional (CCN), un organismo español adscrito al Centro Nacional de Inteligencia (CNI) que se encarga de la evaluación y certificación de la seguridad de las tecnologías de la información.

Paso 2. Seguridad en Smartphones y actualizaciones

Una vez que tengamos nuestro dispositivo protegido contra miradas indiscretas y robos, lo siguiente que debemos tener en cuenta son las actualizaciones de nuestro dispositivo, tanto del sistema como de las aplicaciones que tengamos instaladas. Puede no parecernos importante, pero es mediante actualizaciones como los desarrolladores solucionan las brechas de seguridad que se van detectando. En este punto debemos romper una lanza a favor de los de la manzana, pues sus actualizaciones del sistema llegan a todos sus dispositivos con soporte desde el primer momento. El caso de Android es preocupante, pues desde que en google publican una nueva versión, son los fabricantes de teléfonos los encargados de comprobar si es compatible con su dispositivo. No solo eso, han de adaptarla para que funcione correctamente. Es un proceso tedioso que requiere invertir mucho tiempo y dinero en dispositivos que ya has vendido por lo que no vas a sacar ningún beneficio directo. Tiempo y dinero que prefieren invertir en nuevos dispositivos que ya sí incorporen la última versión del sistema.

Paso 3. Seguridad en Smpartphones con Antivirus

Pocas veces nos encontramos con teléfonos que tengan entre sus aplicaciones un antivirus, pero es igual de importante que en nuestros ordenadores. Aunque con sentido común evitamos la mayoría de los problemas, un buen antivirus será una última línea de defensa. Como norma general las mismas marcas que usamos en nuestro ordenador las podremos encontrar en móviles. Os dejamos el ranking de antivirus móviles elaborado por la consultora independiente AV referente en este sector.

Paso 4. Seguridad en Smartphones “antirrobo”

Tanto los sistemas operativos iOS como Android disponen de una aplicación para poder detectar nuestro teléfono en caso de pérdida o robo. En el mercado existen diversas alternativas con más o menos funciones. Todas nos permiten localizar el teléfono, pero además hay algunas que nos permitirán hacerlo sonar, borrar los datos que tenga, hacer una copia de seguridad o incluso hacer una foto con la cámara frontal cuando alguien lo intente desbloquear. No voy a entrar a comparar aplicaciones, porque requeriría un artículo entero. Pero si queréis más información sobre este tema, solicitádnoslo en los comentarios.

No quiero cerrar este apartado sin comentar que, aunque no nos pueden localizar el teléfono, nuestro operador sí puede bloquear el terminal para que no se pueda volver a usar. Para esto será necesario presentar una denuncia por pérdida o robo del terminal y facilitarles el número IMEI que es algo así como el DNI de nuestro móvil, un código único con el que identificarlo. Es importante por tanto que lo guardéis por si en algún momento es necesario, lo podemos encontrar en la caja del móvil o pulsando *#06#.

Paso 5. Seguridad en Stmartphones al instalar aplicaciones

A la hora de instalar aplicaciones es importante que tengamos cuidado también. Algunas no son lo que dicen ser y buscan secuestrar nuestro terminal para hacernos miembros de una bootnet, infectarnos con algún tipo de virus o robar nuestra información. Para esto nos fijaremos en si el desarrollador de la APP es legítimo. También podemos basarnos en el nº de descargas y en la valoración y comentarios de otros usuarios que ya han instalado la APP

desarrollador app

Debajo del nombre de la app vemos quien la ha desarrollado

Paso 6. Seguridad en Smartphones en las redes públicas

En muchos lugares públicos las podemos encontrar y nos vienen como anillo al dedo cuando vamos justos de megas… Pero (y que no cunda el pánico ahora) no debemos olvidar que cuando nos conectamos a una red WiFi abierta cualquiera que esté conectado a ella puede estar monitorizando el tráfico que sale de nuestro móvil y así robar nuestra información. Esto lo solucionamos usando una VPN que cifre nuestros datos, pero cuidado tiene que ser una VPN legítima, al usarla estaremos pasando los datos por sus servidores y pueden ser ellos los que nos roben. Puedes contactar con nuestro departamento de soporte para que te montemos un servicio de VPN en tu servidor y así olvidarte de este problema.

Si seguimos estas sencillas medidas que no nos llevarán más que unos minutos estaremos mucho más seguros. Si además a todo esto le añadimos hacer cada poco tiempo una copia de seguridad de los datos, nos aseguraremos de no perder nada en caso de pérdida o deterioro del terminal.

¡SI TE GUSTÓ, COMPÁRTELO!
Ciberseguridad empresarial: balance de 2017

Ciberseguridad empresarial: balance de 2017

El año pasado, la expansión del WannaCry y las alarmas que se crearon a nivel mundial demostraron dos cosas. Una, la existencia de ataques globales se vuelve algo cada vez más habitual. La otra, que la ciberseguridad empresarial es algo que debe tomarse muy en serio. De hecho, el mercado de la ciberseguridad sigue creciendo. Se calcula que en España este apartado ha crecido a un ritmo del 7% en 2017.

1- Expansión y proliferación de ransomware

WannaCry es un ransomware, software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el equipo y encriptar nuestros archivos. Normalmente a cambio de la posibilidad de acceder a los mismos suelen pedir un rescate.

El Cryptolocker en sus diversas versiones, también es un ransomware que ha causado estragos el año pasado.

Por tanto, la primera tendencia del 2017 no es tanto la aparición de los ransomware, como su expansión cada vez mayor y a nivel global.

2- Ataques DDOS basados en Botnets

Las botnets son grupos de ordenadores o dispositivos secuestrados que funcionan de manera automática y coordinada. Un ataque DDOS (Distributed Denial of Service) consiste en provocar el ataque a un solo ordenador o servidor desde muchos equipos de modo que se provoca el colapso del mismo. Los hackers pueden convertir ordenadores o dispositivos móviles en zombis al apoderarse de ellos para este tipo de ataques. Tu propio equipo es vulnerable a este tipo de operación, aunque ya te explicamos cómo detectarlo.

En 2017 se realizaron ataques DDOS o a webs de noticias como Al Yaseera, Le Monde y Figaro. También se paralizó la web de votaciones del Brexit o la de la Comisión Federal de Comunicaciones. En España, en medio de la agitación por el “procés” catalán, Anonymous bloqueó el acceso a la web del Tribunal Constitucional mediante este sistema.

3- Mercado del cibercrimen en la dark web

Otra gran tendencia ha sido la creación de un mercado del cibercrimen, basado en el anonimato de la dark web. Se denomina así al contenido público de la web que se aloja en darknets, que requiere de software específico, configuraciones o autorización para acceder él. En ella es posible comprar herramientas sofisticadas incluso como servicio. Por ejemplo ransomware as a service. Obviamente a través de la internet profunda (parte de internet no indexada en buscadores) se pueden realizar crímenes de mayor calado, como el tráfico de armas o de pornografía infantil.

4- Vulnerabilidad de los endpoint

La multiplicación de los endpoint (punto de conexión donde se exponen los archivos HTML o páginas Active Server: Un PC, una Tablet o un terminal TPV) ha hecho que cada vez se haga más hincapié en ellos. Los dispositivos móviles son cada vez más objetivos de ataques. Según los proveedores de seguridad, la presencia de ransomware en dispositivos móviles se multiplicó por 3 la primera mitad del 2017.

También podemos considerar importante la presencia mayor de dispositivos IoT, cada vez más desprotegidos. Y esta tendencia va a seguir en 2018.

5- Preparación para el RGPD

Por supuesto, la implantación del RGPD (Reglamento General de Protección de Datos), aunque se implantará en 2018, ya estaba aprobado con mucha anterioridad. Si el 2016 fue el año de la ignorancia respecto a esta normativa, el 2017 se puede considerar el de la información y el 2018 será de la concienciación y aplicación.

Algunos cambios que promoverá el RGPD:

  • Importancia de los sistemas de gestión y acreditación de consentimiento (que ahora debe ser activo y explícito)
  • Sistemas de cifrado y anonimización de datos, otro elemento que va a tener ocupados a los desarrolladores.
  • También, la normativa obliga al control del acceso a la información y a la prevención de la pérdida de datos en el perímetro de la empresa. De hecho, habrá obligación de informar en menos de 72 horas cuando se produzca una brecha de seguridad, tanto a la autoridad de protección de datos como a los afectados. Solo hay una excepción para esto, y es que la información perdida esté cifrada.

¡SI TE GUSTÓ, COMPÁRTELO!
La información, el nuevo oro. Mantén tus datos a salvo

La información, el nuevo oro. Mantén tus datos a salvo

Artículo elaborado por Roberto Carrancio, especialista en seguridad en Extra Software.

Como técnicos hemos notado que desde hace aproximadamente un año se han incrementado las llamadas por virus en nuestros clientes. Es por esto que nos hemos decidido a escribir este artículo sobre ciberseguridad, con unas pautas básicas para que vuestros datos estén a salvo y vuestros sistemas funcionen como deberían.

Lo primero que tenemos que tener claro es qué fin tienen estos ataques para así saber qué y cómo protegernos. Existen diversos tipos de ataques, aunque en la actualidad los más comunes son el ransomware y los robos de información. Lo normal es que los ciberdelincuentes lancen los ataques para que afecten al mayor número de usuarios posibles por lo que no hay que pensar eso que tanto hemos escuchado de “Quién va a querer mis datos si somos una empresa muy pequeñita…”

Ransomware: golpe a la ciberseguridad

Como hemos comentado, este tipo de virus es el que más se está viendo últimamente, todos conocemos a alguien que ha sufrido un ataque de este tipo, ya sea en sus modalidades más antiguas como el virus de la policía allá por el 2012 o, el también conocido por todos, WannaCry, que el año pasado se propagó por más de 200.000 dispositivos en 150 países.

Tweet de la Oficina de Seguridad del Internauta con imagen de Saturno

Tweet de la Oficina de Seguridad del Internauta

Para prevenirnos de este tipo de virus, así como de cualquier otro te recomendamos las siguientes medidas:

Como usuarios, no debemos abrir mails sospechosos ni navegar por páginas web que podemos llamar “de reputación dudosa” (todos sabéis a qué tipo de web me refiero…) Para descargar aplicaciones lo haremos siempre desde la web de su fabricante y desconfiaremos de todos esos sitios que nos ofrecen de manera gratuita contenidos de pago.

Las contraseñas son como la ropa interior: no dejes que otros las vean, cámbialas con frecuencia y no las compartas con desconocidos.” Chris Pirillo

A nivel de los equipos, debemos mantener el sistema operativo, las aplicaciones y el antivirus actualizado. Siguiendo con estos consejos, activar el firewall de Windows puede ayudar, tanto para que no nos entre malware, como para que si entra no sea capaz de llevarse nuestra información. Si tenemos un firewall físico dedicado en nuestra red la protección será mayor. Por último, es imprescindible realizar copias de seguridad fuera de la red.

Robos de información: ¿cómo puedo defenderme?

Las fugas de datos se pueden dar de forma física, por medio de malware o porque un empleado lo filtre (no tiene por qué ser de manera intencionada). Defenderse físicamente es relativamente fácil, deberemos controlar el acceso a los equipos y servidores y usar por ejemplo filtros de privacidad en las pantallas de nuestros dispositivos. Los filtros de privacidad oscurecen tu pantalla evitando que la información sea visible a partir de un ángulo de visión de 30⁰, por lo que protege tu información de las miradas curiosas. Tu información es claramente visible cuando miras de frente, lo que te permite trabajar sin preocupaciones, incluso en espacios públicos. ¿De qué sirve usar aplicaciones que cifran nuestras comunicaciones si después dejamos que todo el mundo vea lo que estamos escribiendo?

pantalla filtro de ciberseguridad

Fuera del ángulo de visión del filtro de privacidad verán la pantalla como si estuviese apagada

Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado.” Eric S. Raymond

Para prevenirnos de aplicaciones malintencionadas, es importante que usemos todas las herramientas que tenemos a nuestro alcance, antivirus y firewall serán imprescindibles, así como definir unas pautas de buenas prácticas o tener unas políticas de seguridad correctamente configuradas. Una buena gestión de usuarios, con sus permisos de acceso bien definidos, limitarán en gran medida el alcance de los virus que a pesar de todos nuestros esfuerzos se cuelen en nuestra organización.

Como siempre decimos los que nos dedicamos a esto, una cadena es tan fuerte como su eslabón más débil y, en temas de seguridad informática, este siempre es el usuario. Es por esto que es importante llevar a cabo labores de concienciación y formación con nuestra gente para que estén lo más precavidos posibles y sepan cómo actuar en caso de infección. Esta formación podemos darla nosotros si estamos preparados o confiar en cursos de expertos en la materia como el que desde Extra Software vamos a impartir el 3 de mayo, con el título “¿Cómo proteger tus datos en Gextor?”. Si estás interesado en este curso ponte en contacto con nosotros indicando el nombre del curso, las plazas son limitadas.

¡SI TE GUSTÓ, COMPÁRTELO!
Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 2)

Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 2)

Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software

En el artículo anterior sobre ciberseguridad empresarial poníamos el supuesto de David, un empleado de una empresa dedicada al comercio online. Para entrar en materia os voy a poner otra situación similar para tratar el tema de este artículo: La ingeniería social.

Una empresa dedicada al diseño y publicidad llamada Disecor (nombre ficticio) tiene una relación laboral con otra empresa dedicada al desarrollo de páginas Web, Webcor (nombre ficticio). Las dos empresas trabajan codo con codo en la elaboración de páginas Web. Cuando a Disecor le encargan un nuevo proyecto relacionado con el diseño Web, la parte de desarrollo Web del proyecto lo realiza Webcor, pagándole lo pactado en el acuerdo. Cuando el proyecto se lo encargan a Webcor, Disecor se encarga de la parte de diseño y en este caso es Webcor la que le paga lo pactado a Disecor.

La colaboración entre las dos empresas les ha hecho crecer mucho y darse a conocer. Llevan trabajando durante más de 5 años y nunca han tenido ningún problema. De repente, un día los pagos que debería realizar Webcor a Disecor por los proyectos realizados dejan de llegar.

El departamento de administración de Disecor se pone en contacto con el departamento de administración de Webcor para pedirles explicaciones de por qué han dejado de ingresar su porcentaje de los proyectos. Webcor les comunica que hace unos días recibieron un correo del CEO de Disecor comunicándoles el cambio de cuenta bancaria para los ingresos.

El CEO de Disecor dice que no ha mandado en ningún momento ese correo y que no han cambiado de cuenta bancaria. Pero que el día anterior le había pasado una cosa muy rara. Le había llamado un técnico de Microsoft para decirle que tenía un virus en su ordenador, que le tenía que dar acceso para poder limpiarlo y así lo hizo.

La ingeniería social, ataque a la ciberseguridad empresarial

Lo que le ha pasado al CEO de Disecor es que ha sido engañado mediante una técnica conocida como ingeniería social.

La ingeniería social es la práctica de engañar o manipular a un usuario para conseguir que revele información que es confidencial o que realice alguna acción deseada por el atacante.

En realidad, son engaños sutiles diseñados de manera que parece que procedan de un sitio o una persona de confianza. En algunosIngeniería Social casos utilizan información que nos resulta familiar o relacionada con nosotros para que bajemos la guardia y no sospechemos.

La ingeniería social se basa en cuatro principios básicos:

  • Todos queremos ayudar.
  • El primer movimiento es siempre de confianza hacia el otro.
  • No nos gusta decir No.
  • A todos nos gusta que nos alaben.

Ejemplos de ataques de ingeniería social

Unos ejemplos de ataques basados en ingeniería social serían los siguientes:

  • Suplantación de la empresa de servicios: Un atacante se hace pasar por su compañía de internet o su compañía de teléfono para pedirle sus datos de conexión, contraseñas, cuentas bancarias, etc.
  • Suplantación de una Autoridad: Un atacante se hace pasar por un agente de la policía, bombero o técnico de hacienda para solicitarle datos como nombres, teléfonos, etc.
  • Suplantación de una empresa de encuestas: Un atacante se hace pasar por una empresa de encuestas y solicitan sus datos para verificar la encuesta.
  • POP-UP maliciosos: Ventanas emergentes que piden instalar software o complementos en el ordenador para que puedan verse videos o programas, pero que realmente esconden software malicioso.
  • Phishing: Un correo electrónico o web falsa que se hace pasar por una persona o empresa de confianza (banco, Hacienda, etc.), en una aparente comunicación oficial electrónica. Al seguir las instrucciones que esta comunicación proporciona, acabamos siendo infectados o enviándoles nuestras credenciales de acceso al servicio.

Contramedidas

Podemos implantar medidas más o menos complejas o aplicar políticas de seguridad, pero tenemos que recordar siempre que es el empleado el que trata al final con la información de la empresa y el que tiene que cumplir con esa política.

El tratamiento de la información por parte de los empleados es necesario y se pueden producir situaciones de riesgo tanto de forma intencionada como no intencionada.

Una contramedida imprescindible es formar a los empleados en buenas prácticas de ciberseguridad empresarial.

Definir una política de ciberseguridad empresarial no es suficiente, ha de ser de cumplimiento obligatorio. Recordemos que la política de seguridad es solo tan buena como lo es su aplicación.

Recomendaciones importantes de ciberseguridad empresarial

Os dejamos algunas recomendaciones importantes a tener en cuenta:

  • No facilitar datos confidenciales por mensaje, teléfono o e-mail.
  • No instalar en los equipos programas de origen desconocido.
  • Al iniciar sesión en cualquier web, comprobar que la URL es correcta.
  • Comprobar el contenido de la web y si resulta sospechoso, no acceder a ningún enlace de dicha web.
  • Evitar enviar datos personales en páginas web desconocidas y con contenido sospechoso.
  • Acceder directamente a la URL (dirección) de la web y no a través de enlaces o links desde otras páginas web.

RECUERDA SIEMPRE: Ningún banco, ninguna empresa con la que tengas un contrato en vigor, ni nadie ha de pedirte por email, por mensajes ni por teléfono datos confidenciales. Es decir , nadie te pedirá tus contraseñas, claves o coordenadas de cuentas corrientes, PIN o SVN de las tarjetas de crédito,…

Una cadena es tan fuerte como su eslabón más débil. El usuario es el eslabón más importante en la cadena de seguridad

¡SI TE GUSTÓ, COMPÁRTELO!
Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 1)

Tu empleado te puede estar hackeando aunque él no lo sepa (Ciberseguridad empresarial 1)

Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software. Este artículo consta de dos partes. Ciberseguridad empresarial 2 será publicado el mes que viene.

David acaba de entrar a formar parte del departamento de administración de una pequeña empresa dedicada a la venta online de productos para mascotas. Lleva únicamente un par de meses, pero tanto su jefe como sus compañeros están muy contentos con su trabajo.

En la empresa están pensando en implementar el teletrabajo ya que la gestión de la tienda online se puede hacer directamente desde la Web. Únicamente se tienen que conectar a la empresa para la gestión del CRM y del ERP, la cual realizan mediante una intranet. Para David es una alegría ya que podrá disfrutar más tiempo con su familia.

Antes de activar el servicio, la empresa le crea a cada empleado un usuario con el que accederán remotamente a la oficina. La empresa tiene establecida una política de seguridad para el uso de contraseñas seguras. Para David es una lata, ya que ayer también le hicieron poner una contraseña de esas tan difícil de aprender, en un servicio de correo electrónico.

Para no tener que recordar tantas contraseñas, decide poner la misma que puso en ese servicio de correo. Además, ha pensado en crearse una cuenta en Linkedin y Twitter como tienen sus compañeros y así estar conectado con ellos… También utiliza esa misma contraseña para las dos cuentas y las vincula al correo que se había configurado anteriormente.

Para hacer más sencillo el teletrabajo, se configura en su móvil todas las cuentas, incluidas las de la empresa, así se puede conectar desde cualquier parte. David en su móvil no ha configurado ningún control de acceso, le parece una pérdida de tiempo innecesaria. Además, deja que Google Chrome le recuerde todas las contraseñas así no tiene que estar poniéndolas cada vez que quiera acceder.

Un viernes David sale de cena con los amigos, después de la cena se van a tomar unas copas a una serie de pubs. En el ajetreo y el vaivén de las copas, David, pierde el móvil en uno de los pubs, sin recuperarlo.

El lunes, al llegar al trabajo, le comunican desde el departamento de sistemas que desde el sábado por la mañana se ha estado accediendo a la empresa con la cuenta de David y les han sustraído toda la base de datos de clientes, información privada sobre la facturación de la empresa, los datos de todos los empleados y además todo esto ha sido publicado en un sitio llamado pastebin.com. Y esto no termina ahí, ya que se han estado realizando pagos no autorizados con la tarjeta de la empresa. A David lo primero que le viene a la mente es una pregunta:

¿Esto cómo ha podido pasar?

Lo que le ha pasado a David le puede pasar a cualquier trabajador, ya que es más habitual de lo que se piensa. Cuando se diseña una política de ciberseguridad empresarial se ha de tener en cuenta el factor humano, el cual suele ser el causante de un porcentaje muy alto en las fugas de información. Imagínate una empresa que hace un desembolso enorme en seguridad física y perimetral, antivirus, etc. Y viene un empleado conecta su pendrive donde tiene almacenada la música que le pasó un amigo el día anterior, infectando con un virus que llevaba incorporado el propio pendrive a toda la empresa. De nada les ha servido el desembolso tan grande en ciberseguridad.

Vamos a ver las posibles amenazas que supone el no tener en cuenta el factor humano en la ciberseguridad empresarial y cómo podemos defendernos.

 

BYOD (Bring your own device o Trae tu propio dispositivo)

Cada vez es más frecuente en las empresas que los usuarios se lleven sus propios dispositivos: portátiles, móviles, tabletas, pendrives, etc., y que trabajen o traten con la información sensible de la empresa con ellos.

Por ejemplo, centralizar la información de la empresa en su móvil para no tener que llevar dos (personal y empresarial).

Estos dispositivos tratan la información con aplicaciones que normalmente no ofrecen las mismas medidas de seguridad que las orientadas a servicios de uso empresarial. Y aunque no se produzca ninguna fuga de seguridad, la empresa deja de tener control sobre donde están almacenados sus datos sensibles. Lo que puede llevar al incumplimiento de las normativas de seguridad como la LOPD o el GDPR.

Otro problema que pueden tener estos dispositivos es la capacidad de crear redes de uso personal, por ejemplo, crear un punto de acceso a través del Smartphone para dar Internet a otros dispositivos. Estos pueden ser usados por los usuarios para acceder a páginas que la empresa ha bloqueado: juego online, redes sociales, etc. Estas redes que se crean sin ningún tipo de seguridad por parte de los usuarios, suelen ser usadas muchas veces para acceder a herramientas de trabajo a través de ellas, pudiendo causar fuga de información de la empresa o entrada de malware a la misma.

El fenómeno BYOD va a ser un problema por lo menos durante los próximos 10 años.

Aunque estos dispositivos suponen una amenaza para la seguridad de la empresa, también tienen sus ventajas, como el incremento de la productividad de los empleados, debido a que se encuentran más cómodos trabajando con sus propias herramientas, y también el ahorro de costes para la empresa.

Para proteger la empresa en la medida de lo posible, de este y otros fenómenos, muchos organismos han creado la figura de lo que se conoce como Chief Security officer (CSO), que será el encargado de supervisar la implementación de un SGSI (Sistema de Gestión de la Seguridad de la Información) siguiendo algún estándar internacional. La implementación de un SGSI se puede realizar en varias etapas. Una de las etapas más importante es la de “Capacitar a todos los trabajadores sobre los riesgos de seguridad y en el manejo seguro del hardware y software y respecto a la seguridad física”.

POLÍTICAS DE CIBERSEGURIDAD EMPRESARIAL ORIENTADAS AL BYOD

Las prohibiciones o normas internas en la empresa sin más no suelen funcionar. Lo recomendable es definir unas políticas de seguridad. En el caso del BYOD podemos contemplar aspectos como:

  • Elección de contraseña segura obligando a que el usuario la cambie con frecuencia.
  • No reutilizar esta contraseña en otros servicios, ni internos ni externos. No apuntar la contraseña en ningún sitio ni facilitársela a nadie.
  • Antivirus, firewall y parches de seguridad actualizados en el dispositivo.
  • No almacenar información en dispositivos no controlados por la empresa, o hacerlo cifrando los datos y bloqueando el dispositivo con algún tipo de patrón: biométrico, pin, contraseña, etc.
  • Llevar en el dispositivo algún filtro de pantalla.
  • Cifrar la información enviada por la red.
  • No utilizar redes WiFi públicas, en caso necesario realizar la conexión por VPN.

En la segunda parte del artículo conoceremos otras amenazas a la ciberseguridad empresarial que tienen como vector de ataque el factor humano.

¡SI TE GUSTÓ, COMPÁRTELO!