loader
talkie

 

Estos registros representan información sobre nosotros que pueden servir a terceros para ganar dinero o bien conocer nuestras preferencias y poder vender mejor sus productos.

¿De qué manera dejamos huellas digitales?

Cuando navegamos y visitamos una web, estamos entregando una información concreta al dueño de la página web. Primero de todo nuestra IP, que revela la ubicación geográfica, además nuestra ubicación geográfica, navegador, sistema operativo del ordenador o dispositivo, idioma, sexo, edad… e incluso el último lugar que hemos visitado.

Estos datos habitualmente no suponen una intrusión en nuestra privacidad. No estamos revelando de manera involuntaria ningún dato personal o privado, sino estadístico que se utiliza para crear perfiles de comprador o de visitante a un site. Las webs, a su vez, dejan una cadena de dígitos en nuestro navegador que se conoce como cookie (literalmente ‘galleta’). Estas cadenas quedan en nuestro navegador hasta que optamos por borrarlas y tienen un uso práctico muy claro.

Cada vez que accedemos a nuestro servicio de correo o red social, la cookie nos permite no tener que estar escribiendo el usuario y contraseña cada vez que queramos entrar, a no ser que indiquemos lo contrario.

 

Pero las cookies pueden contener muchos tipos de datos y en ocasiones pueden generarse a partir de ellas, perfiles sorprendentemente completos que contengan información personal que va más allá de los datos estadísticos sobre el ordenador desde el que nos conectamos: puede incluir detalles sobre compras, sexo, salud, información financiera…

El 90% de la huella digital la podemos observar en el correo electrónico cuando nos damos de alta en algún servicio, red social, etc. Por lo tanto no importa tanto lo que se haga en línea , sino lo que importa es que se sepa que tipo de huella está dejando y cuales pueden ser sus posibles efectos(positivo o negativo).

Para descubrir mi huella digital es necesario iniciar con una auditoría de mis cuentas de correo electrónico, sean personales o corporativas. Esto para verificar si estas cuentas han sido comprometidas en algún incidente informático en algún sitio en el cual se ha dado de alta con esta cuenta de correo, y además de su cuenta de correo otros datos han sido comprometidos; por lo que toda esta información ya la tiene en su poder un ciberdelincuente y este puede suplantar su identidad o vender esta información a un tercero.

Estos servicios nos permiten verificar si nuestros datos personales se han visto comprometidos en algún incidente informático. Estos servicios recopilan y analizan cientos de volcados de bases de datos que contienen información sobre miles de millones de cuentas filtradas y permite a los usuarios buscar su propia información ingresando su nombre de usuario o dirección de correo electrónico.

Esto nos puede dar dos resultados:

Verde: la cuenta no está comprometida.

Rojo: la cuenta ha sido comprometida pero tiene varias categorías:

Unverified: no verificado, no se puede comprobar exactamente cual fue la violación de datos de donde se obtuvo la información

  • Spamlist: la cuenta ha sido utilizada para enviar spam a otros usuarios en la red.
  • Retired Breach: los datos no se comercializaron ni se distribuyeron en la red.
  • Fabricated: lo datos provienen del algún supuesto sitio pero aun pueden venderse o negociarse bajo la premisa que son datos legítimos.
  • Sensitive Breach: los datos ha sufrido una violación de datos, y se han utilizado para sitios de adultos, salud etc., como una suplantación de identidad.

Para seguir descubriendo nuestra huella digital necesitamos conocer y tener control sobre nuestros datos personales. Todos tenemos una a dos cuentas de correo, o más , y registramos actividad en varios servicios digitales. Y si nuestros datos han sido comprometidos, los mismos pueden ser utilizados para suplantar nuestra identidad y hacer uso de otros servicios digitales de los cuales no tenemos conocimiento.

La herramienta que nos puede ayudar a esto es Mine (saymine.com). Es un servicio gratuito que está a favor de la privacidad digital. Este servicio consta del análisis de 3 factores para determinar cuál es su control de sus datos personales:

  • Cuantas empresas retienen sus datos: en otras palabras, usted se registró en cierta plataforma de compras por ejemplo y te dice cuanto tiempo esa empresa va a retener sus datos personales.
  • Riesgo de violación de datos en cada industria.
  • Sensibilidad de los datos que cada empresa retiene.

Y el resultado que nos presenta está dividido en 4 categorías:

  • Información financiera.
  • Información de identidad.
  • Información de comportamiento en línea.
  • Información de redes sociales.

Ahora que hemos visto conceptos como la auditoria de nuestras cuentas de correo y hemos visualizado como pueden estar  comprometidas en servicios digitales de los cuales hemos hecho algún uso durante el tiempo, es necesario realizar una correcta gestión de nuestras cuentas de correo, esto porque el mismo ya no es privado, y que con el pasar de los años lo hemos utilizado para:

Alguna red social

  • Sitios de compras por internet.
  • Enviar un currículo.
  • Para la cuenta del banco.
  • Como correo de recuperación.

Se pueden usar correos temporales cuando se quiere realizar alguna prueba de un servicio y no dar nuestra cuenta temporal, o participar de un webinar o curso virtual sin tener que dar el correo principal para futuras informaciones de otros cursos, que después se vuelven molestos.

Los correos públicos los podemos usar para redes sociales, otro para vida empresarial o compras por internet donde se tiene que compartir información de medios de pago.

Por ultimo los correos privados se utilizan para lo que son correos de recuperación por motivos de seguridad, o si se desea utilizar alguna información confidencial es importante utilizar un servicio de este tipo (servicios como mailfence , tutanota, protonmail, que ofrecen privacidad completa de nuestros datos, libres de anuncios, libres de spam, y completamente libres de cualquier intervención gubernamental, y se rigen por estándares internacionales de seguridad de información como la ISO27001, tienen opciones gratuitas y de pago).

 

La contraseña es nuestro candado digital y personal a todas las cuentas y servicios digitales que se utilicen en la red. Hay diferentes factores que hacen que las contraseñas sean inseguras:

  • Utilizar información personal en la contraseña (nombre, apellido, apodo, fecha de nacimiento, etc), ya que basta con revisar perfiles para poder utilizar estos datos para averiguar una contraseña.
  • Utilizar patrones de teclado (qwerty) o números en secuencia (1234 se encuentra con más frecuencia en las violaciones de datos). Este tipo de contraseñas son las que los ciberdelincuentes van a utilizar en primera instancia para hackear una cuenta o servicio digital.
  • Únicamente números, mayúsculas o minúsculas en la contraseña.
  • Utilizar caracteres repetidos, ya sean números, letras o símbolos especiales

Para construir una contraseña segura podemos partir de una FRASE, pero con las siguientes características:

  • Utilizar números.
  • Letras Mayúsculas y minúsculas.
  • Caracteres especiales.
  • Convertir vocales a números.
  • No utilizar vocales.

Para evaluar la robustez de una contraseña podemos utilizar la página de karspersky para validar la contraseña que utilizamos

https://password.karspersky.com/es

Como vimos anteriormente crear una contraseña segura se ha vuelto todo un tema, pero que pasa cuando tenemos que crear y acordarnos de varias contraseñas, y tenemos que aplicar lo visto anteriormente para poder construir y mantener contraseñas seguras, pues ya manipular de 5 a 10 contraseñas con estas características se vuelve todo un reto, pero afortunadamente existen herramientas que nos pueden facilitar esta tarea. Estas herramientas se llaman gestores de contraseñas, este tipo de herramienta nos permite almacenar nuestros usuarios con sus respectivas contraseñas. Esta herramienta tiene que cumplir con lo siguiente:

  • Protegido con una única contraseña (contraseña maestra).
  • Debe almacenar contraseñas de modo cifrado.
  • Debe tener la capacidad de generar contraseñas seguras.
  • Brindar disponibilidad en la nube.
  • Tiene que tener doble factor de autenticación.

Además de las anteriores debemos de utilizar un gestor que tenga extensiones para todo tipo de navegador y que sea multiplataforma.

El respaldo de la información es una de las mayores tareas que debemos de realizar para proteger nuestra huella digital independientemente de la profesión de cada persona, los respaldos de información se vuelve un as debajo de la manga si nos enfrentamos a un incidente de seguridad informática. Cuando hablamos de respaldo de datos nos referimos a realizar una copia de los datos importantes que tenemos en un dispositivo primario o en varios dispositivos secundarios. La regla del 3 2 1 nos dice que debemos de

  • Tener 3 copias de los datos importantes de un dispositivo primario en uno o varios dispositivos secundarios.
  • La segunda regla habla de mantener las copias de seguridad en dos medios de almacenamiento distinto (memoria USB y disco duro).
  • Almacenar al menos una copia de los datos en otro lugar, puede ser en el hogar.

Se pueden utilizar servicios de almacenamiento en la nube como one drive, google drive, Mega o puede utilizarse owncloud. Dependiendo de que se quiera invertir más en seguridad va a depender del presupuesto que se tenga para invertir en este tipo de almacenamiento en la nube, la recomendación es owncloud.

Windows 10 actualmente es el SO más utilizado, pero eso no quiere decir que sea el más fiable o que no cuente con problemas que nos puedan llevar a tener un fallo de seguridad.

Es importante que tomando en cuenta la actualidad en la que vivimos, un equipo en el hogar puede ser compartido por varias personas, es por esto que debemos de crear y gestionar distintos roles de usuario para toda la familia y para algún invitado si se requiere. Cada uno tendrá privilegios diferentes de que puede y que no puede realizar en el equipo. Esto permite que en caso de que un invitado o un usuario estándar no posean privilegios muy elevados, algún malware que quiera instalarse el equipo no funcione del modo cual fue programado ya que muchos de los malware requieren de privilegios elevados para funcionar. Además realizando esta práctica reducimos en un 80% las posibilidades de una afección a la seguridad del equipo manteniendo perfiles con diferentes privilegios.

Estas características pueden ser deshabilitadas para que no sea enviada información a Windows que no queramos y mantener un grado de privacidad con respecto a lo que se entrega a Microsoft.

Especificar si se comparte información de análisis

Puedes ayudar a Apple a mejorar la calidad y el rendimiento de sus productos y servicios. macOS puede recopilar de forma automática información de análisis de tu Mac y enviarla a Apple para su análisis. Dicha información se envía a Apple sólo con tu consentimiento y de forma anónima. Consulta Compartir la información de análisis de tu Mac con Apple.

Para configurar si se envía información sobre análisis a Apple, usa el panel Privacidad del panel de preferencias “Seguridad y privacidad”.

Selecciona menú Apple  > Preferencias del Sistema, haz clic en “Seguridad y privacidad” haz clic en Privacidad y selecciona “Análisis y mejoras”.

Configurar un firewall.

 

Puedes usar un firewall para proteger tu privacidad mediante el bloqueo de comunicaciones de red no deseadas con la Mac. Si el firewall está activado, también puedes usar el “Modo encubierto”, que evita que tu Mac pueda ser descubierta en Internet. Consulta Bloquea las conexiones hacia tu Mac con un firewall.

Para configurar y personalizar el firewall, utiliza el panel Firewall del panel de preferencias “Seguridad y privacidad”.

Selecciona menú Apple  > Preferencias del Sistema, haz clic en “Seguridad y privacidad” y elige Firewall.

Malware, acrónimo para el inglés “Malicious Software” (Software malicioso), es cualquier código que pueda utilizarse para robar datos, evitar los controles de acceso, ocasionar daños o comprometer un sistema.

A diferencia de un antivirus:

  • El antivirus protege contra virus.
  • Su detección es basada en firmas.
  • Previene la ejecución de scripts maliciosos.
  • Solo puede identificar amenazas ya conocidas.

Para identificar qué tipo de antimalware necesito debo de conocer mis necesidades:

  • Usuario estándar (actualizaciones en tiempo real, escudo contra ransomware, protección básica, limpieza y optimización, safe cam, cloud backup, supervisión de redes inalámbricas) (Windows defender, Imunet)
  • Usuario profesional (protección de compras,escudo de datos confidenciales, destructor de datos, sandbox, datos cifrados) (F-Secure, Ahnlab, Eset)
  • Usuario familiar (protección para niños, uso compartido familiar, safe search, protección de la privacidad, cloudsecure vpn, local backup, localización del equipo) (MalwareBytes, Kaspersky, BullGuard(gamer), McAfee, Norton, Avast).

Por lo general estamos navegando con nuestros navegadores de forma predeterminada, usamos chorme, Firefox y edge siempre con un perfil de usuario, y por lo general nuestro motor de búsqueda siempre es Google, sin extensiones con respecto a la seguridad y con algunos favoritos, lo que tenemos que hacer es buscar navegadores y motores de búsqueda que se enfoquen en la privacidad de los usuarios, esto con el apoyo de extensiones para la seguridad y la utilización de favoritos para una navegación más segura.

Cookies: Según parece se llaman Cookies por una analogía del rastro que dejaban Hansel y Gretel en el cuento. Ya que el rastro que dejamos con las visitas a los sitios de Internet se deposita en nuestro ordenador con el nombre de cookies.

Para empezar, hay que saber que existen dos tipos de cookies: las temporales y las permanentes. Las primeras, también llamadas de sesión, sólo persisten mientras dura la misma y una vez cerrado el navegador, desaparecen. Las permanentes, por el contrario, se mantienen en el tiempo durante un número variable de sesiones o hasta que el usuario las elimina manualmente. Estas son las que permiten, por ejemplo, obtener información meteorológica de un lugar sin que tengamos que especificar cada vez nuestra ubicación. En definitiva, personalizan la experiencia de uso.

Además, existen las llamadas cookies de terceros que, creadas por determinadas webs, rastrean nuestro comportamiento online con fines comerciales y publicitarios. De este modo, los anunciantes pueden ofrecernos artículos y servicios que se ajusten al perfil elaborado según nuestras preferencias de navegación.

Más allá de las ventajas que puedan ofrecernos las cookies al convertir nuestra experiencia de navegación en algo más personalizado, son muchas las voces en su contra. Aunque en sí mismas no son peligrosas para nuestro equipo, sí pueden aprovechar ciertos elementos para propiciar un ataque.

Privacy Badger es una extensión de navegador gratuita para Google Chrome, Mozilla Firefox y Opera creada por la Electronic Frontier Foundation (EFF).

Su propósito es promover una aproximación equilibrada a la privacidad en internet entre consumidores y proveedores de contenido bloqueando anuncios y cookies rastreadoras que no respetan las configuraciones de No Seguimiento del usuario. Una parte de su código está basado en Adblock Plus pero Privacy Badger solo bloquea aquellos anuncios que tienen rastreadores integrados.

AdGuard es una línea aplicaciones para los sistemas operativos Windows, Linux, macOS, Android e iOS, que permite bloquear anuncios, ventanas emergentes, banners y otros elementos no deseados en sitios web. También se puede instalar como una extensión para los navegadores más populares (Mozilla Firefox, Google Chrome, Opera, Safari, Microsoft Edge y Yandex).

Nos referimos a todos los perfiles tanto profesionales como personales que contamos en la red, que forman parte de nuestra identidad digital, y forman parte de la huella digital que estamos dejando en internet. Todas estas cuentas digitales cuentan con mecanismos de seguridad donde se nos solicita la creación de contraseñas robustas para nuestra seguridad, pero estos servicios cuentan con otras características que requieren de la intervención del usuario para poder activarlas como la autenticación de dos factores. Esto se trata de una medida de seguridad extra que frecuentemente requiere de un código con una duración determinada de tiempo.

Apps de doble factor de autenticación BCR.

Llamada o SMS un numero de teléfono.

Código al correo electrónico Apps del ICE.

Códigos de recuperación.

Estos son algunos ejemplos

¿Dónde lo podemos configurar?

En redes sociales.

Sitios ecommerce.

Nubes privadas.

Servicios de Correos no institucionales.

Proteger el acceso al dispositivo. La primera medida que se ha de tomar en materia de seguridad en dispositivos móviles es establecer medidas de autenticación del usuario. El bloqueo de pantalla por medio de contraseña o las autenticaciones biométricas hacen que sea más difícil acceder al dispositivo y sus datos.

Cifrar los datos. Ya que nos hemos referido a los datos, su cifrado es fundamental para proteger tanto la información corporativa almacenada en el dispositivo como la que se envía –en este caso también se aconseja contar con una VPN–. 

Lo bueno de cifrar el teléfono

La principal ventaja de cifrar tu móvil es que tus datos personales van a estar a salvo de casi cualquier ataque malintencionado. Esto quiere decir que, en primer lugar, puedes tener la tranquilidad de que tus datos los verás sólo tú y, además, decidirás quién los verá y quién no.

Incluso si te roban el terminal, el malhechor en cuestión no podrá acceder a tus datos personales (fotos, vídeos, cuentas bancarias, etc) si no conoce la clave para ello. Si los extrae lo único que conseguirá es ver un montón de caracteres que no podrá entender.

Lo malo de cifrar el teléfono

Como decíamos, incluso esto tiene sus desventajas, pero que quizás no sean lo suficientemente graves como para echarte para atrás. La que más te puede afectar es que el rendimiento del smartphone se vea algo mermado, algo que se puede notar especialmente en móviles de gama media-baja. En la actual gama media y alta probablemente este descenso de rendimiento ni siquiera se note.

El otro problema, por llamarlo así, es que en algunos modelos de smartphones es un proceso que no se puede deshacer fácilmente, únicamente haciendo un restablecimiento de fábrica. Por lo tanto, desde que cifres tu móvil, cada vez que enciendas la pantalla deberás introducir la clave para poder usar tu teléfono y acceder a la información que contiene.

Actualizar el sistema operativo. Es muy importante disponer de la última versión del sistema operativo y de los programas y aplicaciones instalados en el dispositivo. Las actualizaciones deben llevarse a cabo regularmente.

No conectarse a redes wifi públicas. Estas conexiones pueden suponer un riesgo para la seguridad en dispositivos móviles, ya que son fácilmente hackeadas a través de ataques Man-in-the-Middle. Una buena forma de evitarlo es apagando la función de conexión automática.

Conectarse a las redes WiFi públicas y gratuitas que nos rodean es tentador. Nos evitan tener que usar los datos móviles de nuestro contrato, pero los riesgos que asumimos al conectarnos a ellas son enormes. La mayoría de usuarios utilizan este tipo de redes alegremente, pero como decimos al usarlas exponemos nuestros datos, nuestro tráfico y nuestra identidad de forma casi total. Puede haber graves consecuencias al conectarnos a una WiFi pública, pero afortunadamente hay formas de protegernos y seguir usando esas conexiones públicas y gratuitas.

Estas redes gratuitas que solemos utilizar en aeropuertos, cafeterías, centros comerciales, restaurantes u hoteles nos dan acceso gratuito a internet, y basta con un par de clics para conectarnos a estas WiFi públicas. Localizaciones tan atractivas para los usuarios como los medios de transporte o puntos turísticos que nos invitan a conectarnos a sus redes WiFi gratuitas son cada vez más populares y numerosas.

Riesgos de las wifis públicas.

 Cuando nos conectamos a una red wifi pública desconocemos quién es el administrador o qué medidas de seguridad utiliza para impedir acciones malintencionadas de otros usuarios conectados y por tanto, podemos exponernos sin necesidad a una serie de riesgos que describiremos a continuación.

Robo de datos transmitidos.

Si la conexión la realizamos sin contraseña, lo que conocemos como red “abierta”, los datos que transmitimos pueden ser leídos por cualquiera, tanto el administrador como otros usuarios conectados a la red. La información está expuesta a cualquiera que sepa cómo leerla, y para ello no es necesario tener unos conocimientos técnicos muy elevados.

Si el sistema nos pide una contraseña y aparece un candado, como “red protegida”, la información se transmite de forma cifrada. No obstante, esto está condicionado por el sistema de seguridad utilizado y la contraseña escogida. De menor a mayor seguridad, los sistemas son WEP, WPA y WPA2.

Nunca debemos conectarnos a una red WEP ya que se ha demostrado que es vulnerable y que su seguridad equivale a una red abierta (sin contraseña).

Robo de datos almacenados en nuestro equipo.

 Al formar parte de una red pública en la que existen otros usuarios conectados, nuestro dispositivo está expuesto y visible a los demás usuarios presentes en la misma.

Por tanto, somos susceptibles de recibir cualquier tipo de ataque desde uno de estos equipos conectados.

Infección de los dispositivos.

Al conectarnos a una wifi ajena, un usuario malintencionado conectado a la misma red podría tratar de infectar nuestro equipo con algún tipo de virus.

Es importante mantener siempre nuestro equipo actualizado con las últimas actualizaciones de seguridad para el sistema operativo y para las aplicaciones que tengamos instaladas.

Equipos intermediarios malintencionados.

Un usuario malintencionado conectado a la red podría configurar su equipo para hacer de intermediario de la comunicación entre nosotros y el servicio (por ejemplo, Facebook) modificando o eliminando la información intercambiada, que pasaría a través del ciberdelincuente.

El hacker “inocente”.

En un momento dado, podemos sentir la tentación de conectarnos a una red ajena abierta o protegida utilizando herramientas de hacking wifi. Sin embargo, esta práctica constituye un uso ilícito de servicios de terceros que puede tener consecuencias legales. Además, puede darse el caso de que esa red wifi no presente contraseña o sea especialmente fácil de hackear precisamente para atraer víctimas a ella y así robar los datos al pícaro usuario.

Descargar aplicaciones de fuentes fiables.

Cada vez es mayor el número de apps disponibles. Si estamos interesados en alguna, lo mejor es descargarlas de tiendas oficiales. No hacerlo puede poner en peligro la información e integridad del dispositivo.

Junto con un asistente de instalación, o incluso en lugar de este, es posible que aplicaciones peligrosas entren en los dispositivos de los usuarios y roben datos personales, dinero o ambas cosas.

Estos son algunos ejemplos de estos ataques:

Una tienda de aplicaciones alternativa popular se infectó con un troyano y comenzó a distribuir malware.

Con el permiso para instalar aplicaciones desconocidas, unos delincuentes distribuyeron ransomware disfrazado de una versión beta de un juego llamado Cyberpunk 2077.

Otros delincuentes hicieron pasar el malware Loapi (Loapi, un nuevo troyano que recluta tu smartphone para realizar ataques DDoS, bombardearlo con anuncios o usarlo para minar criptomonedas.) como una herramienta antivirus y una aplicación de contenido para adultos. El troyano convirtió los smartphones en bots para ataques DDoS e hizo que minaran criptomonedas o solo los inundó de anuncios.

Los ejemplos anteriores son una muestra de por qué en los teléfonos nuevos la opción de instalar software externo está deshabilitada. Para evitar ser víctima de estrategias que dependen de instalaciones externas, no cedas a la tentación de habilitar la instalación de aplicaciones desconocidas y, si tienes que hacerlo, desactívala de inmediato.

Realizar copias de seguridad.

Los ciberdelincuentes continúan sirviéndose del ransomware para lograr sus objetivos. Por ello, conviene hacer un backup de los datos almacenados, algo que también será de ayuda en casos de robo o pérdida del dispositivo.

Habilitar el acceso y el borrado de datos en remoto. Asimismo, en situaciones en las que se sufra el robo o la pérdida del dispositivo hay que disponer de herramientas que faciliten bloquearlo y borrar la información corporativa que contenga.

 

Prevenir los ataques de mobile phishing. El phishing consiste en el envío de un correo electrónico, una llamada telefónica o un mensaje SMS con el que los emisores intentan robar los datos del receptor. Es preciso conocer los ciberataques más frecuentes para reforzar la seguridad en dispositivos móviles.

Visitar páginas web seguras. Hay que asegurarse de que un sitio web esté protegido con un certificado de seguridad SSL. Comprobar que se ha habilitado el protocolo https antes del dominio nos dará más confianza.

 

Realizar auditorías de seguridad. Por último, un chequeo periódico facilitará detectar vulnerabilidades y agujeros de seguridad en dispositivos móviles.

Los incidentes pueden producir impactos directos e indirectos en las operaciones de una organización, y pueden ser leves o muy graves. La preparación insuficiente de una organización para hacer frente a estos incidentes hará que cualquier respuesta se torne ineficaz e incrementará el grado del impacto potencial adverso en la organización.

Es esencial que cualquier organización tenga un enfoque estructurado y planificado respecto de:

– Detectar, informar y evaluar incidentes,

– Responder a los incidentes y activar controles apropiados para la prevención, reducción y recuperación de impactos,

– Informar sobre vulnerabilidades de seguridad que todavía no hayan sido identificadas y/o explotadas para causar incidentes de seguridad, evaluándolas y tratándolas apropiadamente.

– Aprender de los incidentes y vulnerabilidades de seguridad, instituir controles preventivos, y hacer mejoras al enfoque general sobre la gestión de incidentes de seguridad de la información.

 

Evento de ciberseguridad.

Un evento de seguridad es una ocurrencia identificada de un sistema, servicio o red que indica una posible ruptura de la seguridad, de la política o una falla en los controles, o una situación desconocida previamente que pueda ser relevante para la seguridad.

Es importante distinguir entre un evento y un incidente debido a que los dos términos se utilizan a menudo como sinónimos, a pesar de que tienen diferentes significados. Un evento es cualquier cambio, error o interrupción dentro de una infraestructura de TI como un fallo del sistema, un error de disco o un usuario que olvide su contraseña.

NIST (Instituto Nacional de Estándares y Tecnología, https://www.nist.gov/) define un evento como “cualquier ocurrencia observable en un sistema o red”.

Incidente de ciberseguridad.

Un incidente es un evento o una serie de eventos no deseados o inesperados, que tienen una probabilidad importante de comprometer las operaciones de una organización y de amenazar la seguridad.

No todos los eventos de seguridad están clasificados como incidentes de seguridad, porque la ocurrencia de un evento de seguridad de la información no significa necesariamente que un intento haya sido exitoso o que haya cualquier implicación sobre la confidencialidad, integridad y/o disponibilidad.

Otra definición comúnmente utilizada es: “El intento o éxito en el acceso no autorizado, uso, revelación, modificación o pérdida de información o la interferencia con las operaciones de red o de sistemas”.

Un incidente se caracteriza por presentar comportamientos o situaciones inusuales en sistemas y operaciones registradas como normales en una organización. El incidente se presenta cuando existen vulnerabilidades no descubiertas y por ende no son atendidas. De allí la recomendación de establecer los mecanismos de monitoreo y de detección que contribuyan a conocer mejor que sucede en red, y no impacte negativamente a la organización.

Basta con notar que algunos de los componentes de la triada de seguridad de la información: Confidencialidad, Integridad y Disponibilidad se hayan afectado, para sospechar que se ha producido un incidente. Entre las características que pueden ayudar a reconocer un incidente, tenemos:

−  Anomalías en el tráfico de red interno y de salida: Pueden deberse a diversos factores, desde el uso de aplicaciones o servicios no reportados hasta la presencia de terminales comprometidos de usuarios que originan tráfico intencional o no hacia destinos sospechosos.

− Registro inusual de actividad de acceso a servicios: Esto puede indicar intentos de ingreso provenientes de usuarios no registrados para tal uso o una actividad maliciosa remota a través de algún terminal que haya sido infectado. Los intentos de acceso a servicios internos de la red, servidores y datos fuera de horario habitual de trabajo también deben ser considerados, así como los intentos de acceso inusuales a cuentas de usuario con privilegios.

− Información sospechosa adjunta en comunicaciones: La recepción de información adjunta en correos electrónicos de remitentes desconocidos no debería ser abierta, podría contener algún malware que actúa directamente o sirva para generar algún potencial ataque. Es importante desplegar una cultura de seguridad a través de programas de concientización acompañados de una evaluación constante que determine la efectividad de estos programas.

− Información modificada o no está disponible cuando es requerida: Puede deberse a que el canal de comunicación entre el usuario y la fuente de información haya sido interceptado, o el servidor de información este comprometido de tal forma que bloquea el servicio. Deben registrarse y monitorearse las conexiones remotas si se tratan de usuarios de la organización, así como establecer el seguimiento de aumento de uso de recursos computacionales en los servidores de forma tal que se garantice la disponibilidad del servicio.

Los incidentes de ciberseguridad pueden ser involuntarios (error de configuración), o intencionales (ataque dirigido). Estos eventos también se pueden clasificar como técnicos o físicos. Los incidentes técnicos incluyen virus, malware, ataques de denegación de servicio (DoS) y fallos del sistema. Los incidentes físicos pueden incluir ingeniería social y la pérdida o robo de equipos de cómputo.

Hay muchos tipos de incidentes relacionados con la ciberseguridad. En la siguiente tabla se presentan los tipos de incidentes según el US-CERT:

Es inevitable que en una organización se presente un incidente de ciberseguridad que tenga un impacto suficiente para afectar la continuidad de operaciones.

La respuesta a incidentes es un proceso formal que prepara a una entidad para un incidente. Las fases de respuesta a incidentes son:

  • Preparación: para establecer los roles, responsabilidades y planes de cómo será manejado un incidente. Preparación de la organización para desarrollar un plan de respuesta a incidentes antes de que ocurra un incidente. Una preparación suficiente facilita una ejecución sin problemas. Las actividades en esta fase incluyen: establecer un enfoque para manejar incidentes, establecer la política y las advertencias en los sistemas de información para disuadir a intrusos y permitir la recopilación de información, establecer un plan de comunicación para las partes interesadas, desarrollar criterios sobre cuándo reportar un incidente a las autoridades, desarrollar un proceso para activar el equipo de gestión de incidentes, establecer un lugar seguro para ejecutar el plan de respuesta a incidentes, asegurar que el equipo necesario está disponible.
  • Detección y análisis: se debe tener la capacidad para identificar incidentes tan pronto como sea posible y evaluar eficazmente la naturaleza del incidente; así como la capacidad de investigación si se requiere la identificación de un adversario.

El objetivo es verificar si un incidente ha ocurrido y conocer más detalles sobre el incidente. Los informes sobre posibles incidentes pueden provenir de sistemas de información, de los usuarios finales u otras organizaciones. No todos los informes son incidentes válidos, ya que pueden ser falsas alarmas o no calificarse como un incidente. Las actividades en esta fase incluyen: asignar la propiedad de un incidente o potencial incidente a un gestor de incidentes, verificar que los informes o eventos se califican como un incidente, establecer la cadena de custodia durante la identificación al manipular evidencias potenciales, determinar la gravedad de un incidente y escalarlo según sea necesario.

  • Contención, erradicación y recuperación: debe contarse con procedimientos de mitigación y recuperación para contener el incidente, reducir las pérdidas y volver las operaciones a la normalidad.

Después de que un incidente haya sido identificado y confirmado, el equipo de gestión de incidentes se activa y la información del gestor del incidente es compartida. El equipo llevará a cabo una evaluación detallada y se pondrá en contacto con el propietario de la red o el gerente de negocio de los sistemas/activos de información afectados para coordinar nuevas acciones. La medida adoptada en esta fase es la de limitar la exposición. Las actividades en esta fase incluyen: activación del equipo de gestión/respuesta de incidentes para contener el incidente, notificación a las partes interesadas pertinentes afectadas por el incidente, acordar las medidas adoptadas que puedan afectar a la disponibilidad de un servicio o el riesgo del proceso de contención, conseguir involucrar al representante de TI y los miembros del equipo virtual relevantes para implementar los procedimientos de contención, obtener y conservar evidencias, documentar y realizar copias de seguridad de las acciones desde esta fase en adelante, y controlar y gestionar la comunicación al público por el equipo de relaciones públicas .

Cuando se han desplegado medidas de contención, es el momento de determinar la causa raíz del incidente y erradicarla. La erradicación puede hacerse de varias maneras: restaurar las copias de seguridad para lograr un estado limpio del sistema, eliminar la causa raíz, mejorar las defensas y realizar un análisis de vulnerabilidades para encontrar otros daños potenciales de la misma causa raíz. Las actividades en esta fase incluyen: determinar las señales y la causa de los incidentes, localizar la versión más reciente de copias de seguridad o soluciones alternativas, eliminar la causa raíz, mejorar las defensas mediante la implementación de técnicas de protección, realizar un análisis de vulnerabilidades para encontrar nuevas vulnerabilidades introducidas por la causa raíz.

La fase de recuperación asegura que los sistemas o servicios afectados son restaurados a una condición especificada en los objetivos de prestación de servicios o en el plan de continuidad del negocio. Las actividades en esta fase incluyen: restaurar las operaciones a la normalidad, validar que las medidas adoptadas en los sistemas restaurados tuvieron éxito, conseguir la participación de los propietarios del sistema para probar el sistema, facilitar que los propietarios del sistema declaren la operación normal.

  • Actividades post-incidentes: determinar y tomar las acciones correctivas para prevenir incidentes similares en el futuro.

Al final del proceso de respuesta a incidentes, siempre se debe realizar un informe para compartir lo que ocurrió, qué medidas fueron tomadas y los resultados una vez que el plan fue ejecutado. Parte del informe debe contener lecciones aprendidas que proporcionen al equipo de gestión de incidentes y a otras partes interesadas puntos de aprendizaje valiosos de lo que se podría haber hecho mejor. Estas lecciones deben desarrollarse en un plan para mejorar la capacidad de gestión de incidentes y la documentación del plan de respuesta a incidentes. Las actividades en esta fase incluyen: escribir el informe del incidente, analizar los problemas encontrados durante los esfuerzos de respuesta a incidentes, proponer mejoras en base a los problemas encontrados, presentar el informe a las partes interesadas relevantes. Una planificación e implementación adecuada de la respuesta a incidentes permite a una organización responder a un incidente de una manera eficiente. Las organizaciones que no se planifican para un incidente de ciberseguridad sufrirán mayores pérdidas durante un período más largo de tiempo. La tendencia actual muestra un aumento en las ocurrencias de incidentes. Los ataques son cada vez más sofisticados y se traducen en pérdidas crecientes.

Además, muchos reglamentos nacionales y normas internacionales exigen el desarrollo de las capacidades de respuesta a incidentes. Por ejemplo, el sector de banca siempre es obligado por la regulación y normativa estar preparado para los incidentes.

  1. Detectar el incidente

Es importante contar con herramientas y mecanismos que permitan detectar incidentes, incluso si fueron reportadas por los usuarios (vía telefónica, presencialmente o por medios electrónicos como formularios web, correo electrónico, chatbots y similares).

  1. Registrar el incidente

Todo incidente debe quedar registrado de forma individual y debe incluirse la mayor cantidad de información posible para así disponer de datos que faciliten su resolución. El registro debe contener información relevante del incidente (hora y fecha en que se produjo o se reportó, canal por el que se reportó el incidente, la persona que registró el incidente, los datos del usuario, descripción del problema).

El incidente, a lo largo del ciclo de vida, generará nuevos datos como por ejemplo: actividades realizadas para la resolución, personal encargado de la resolución, fecha y hora de la resolución, errores asociados, hora del cierre de la incidencia, y otros datos relacionados.

  1. Categorización

La categorización implica asignar una categoría y al menos una subcategoría al incidente teniendo en cuenta lo siguiente:

  1. a) Clasificar los incidentes según sus categorías y subcategorías.
  2. b) Permite priorizar algunos problemas. Por ejemplo, un incidente puede clasificarse como “red” con una subcategoría de “interrupción de la red”. Esta categorización, en algunas organizaciones, se consideraría un incidente de alta prioridad que requiere una respuesta a un incidente mayor.
  3. c) Proporcionar un seguimiento preciso de incidentes. Cuando se clasifican los incidentes, surgen patrones. Es fácil cuantificar con qué frecuencia surgen ciertos incidentes y señalar tendencias que requieren capacitación o gestión de problemas.

Este proceso queda registrado por niveles de prioridad, siendo estos los más habituales:

✓ Incidente Crítico

✓ Incidente Alto

✓ incidente Medio

✓ Incidente Bajo

Esto se basará en la cantidad de usuarios afectados y el nivel de interrupción que está causando dicha incidencia. En este sentido, la gravedad de los incidentes —es decir, que sus consecuencias negativas (impacto) sean mayores o menores— permite priorizarlos a lo hora de acometer su resolución.

Cuando se presentan los incidentes, estos pueden ser diversos e identificables por etapas previas de reconocimiento como tal, es decir, que califican como un incidente. Las fases coincidentes de identificación según tabla comparativa de modelos de referencia, se tiene a: NIST SP 800-61 R2 que considera la fase de detección y análisis; Good Practice Guide for Incident Management ENISA considera el reporte de incidente, el registro y el triaje (categorización, usualmente utilizado en el sistema hospitalario para determinar el grado de urgencia de un paciente); y por último ISO 27035 considera a la detección y reporte además de la evaluación y presentación de informes.

En el caso de Good Practice Guide for Incident Management – ENISA indica que después de la verificación inicial de ser realmente un incidente, pasa a la etapa de clasificación. Durante la verificación se debe tener toda la información que ayude a determinar que realmente es un incidente. La verificación puede resultar compleja y desafiante desde un inicio, por ser precisamente el punto de partida para las siguientes fases. Se debe monitorear posibles cambios de estado u ocurrencias en otros puntos, realizar un análisis de la información reportada, reconocer y diferenciar un ataque de otro, entre otras acciones.

Luego pasa a la etapa de priorización del evento, en donde puede surgir varios criterios como por ejemplo que tanto afecta al activo de información y el daño e impacto negativo que causaría en la organización, por lo tanto, la gravedad tiene un peso en la categorización del incidente. Teniendo previamente una clasificación de la clase y tipo de ataque, podría establecer el nivel de gravedad para establecer la priorización del incidente.

Luego de la clasificación pasa a la categorización del nivel de gravedad, el cual también puede variar con el tiempo. Se recomienda realizar las evaluaciones para la nueva categorización. La siguiente tabla muestra un ejemplo de categorización por gravedad.

Cuando ya se tiene identificado, clasificado y categorizado el incidente, este pasa al nivel del manejador del incidente, quien puede ser único, o quizás derivarlo a un manejador especialista en este tipo de incidente, lo cual puede ser adecuado para una rapidez en la resolución. Por otro lado, la resolución del incidente lo puede asumir el manejador de incidentes con disponibilidad. Estos aspectos de asignación de resolución son parte de la gestión y debería evaluarse cuál es la mejor alternativa a escoger.

Los procesos de resolución de incidentes según ENISA son: análisis de datos, investigación de la resolución, acción propuesta, acción realizada, erradicación y recuperación.

Análisis de datos:

Para el análisis de datos se necesita información precisa de las partes involucradas que permita difundir a las partes y a su vez informar. Verificar si anteriormente ha sido registrado un incidente igual o de la misma fuente informante.

Investigación de la resolución:

En esta fase se intercambian ideas entre los miembros del equipo, partiendo de los datos obtenidos y analizados. Es muy probable que se tengan diferentes puntos de vista para la resolución del incidente, lo mejor es tratar de ordenar ideas discutirlas y buscar la más adecuada.

Acción propuesta:

Al llegar a esta fase, se inicia la programación y asignación de tareas para los miembros del equipo de respuestas. Considere que es probable la comunicación a proveedores, equipos de respuesta de mayor nivel, incluso participar de estas acciones a los CERT, oficinas de gobierno que tiene que ver con delitos informáticos, entre otros.

Acción realizada:

Se han descrito varias acciones que se pueden realizar, y como se lee, hay acciones que involucran terceras partes, por lo que la decisión tomada respecto a seguir un plan ya es responsabilidad de quien propuso las acciones.

Se debe tener en cuenta que no siempre las terceras partes van a organizarse y atender las indicaciones dentro del plan, pues estas terceras partes no están bajo el orden jerárquico de mando del que propone el plan. Sucede algo diferente si el plan o las indicaciones vienen desde un nivel superior de equipos de respuesta, o entidad coordinadora como un CERT (Computer Emegency Response Team).

El caso de un CERT de proveedor de servicio puede servir de ejemplo cuando es este CERT quien define un plan de acción o encuentra que la fuente del incidente proviene de uno de sus clientes, y le solicita adecuarse a las condiciones de uso, y de no hacerlo podría restringir el servicio.

Erradicación y recuperación:

Si las respuestas a las interrogantes planteadas anteriormente son las esperadas, es que restauró el servicio a la normalidad. Se recomienda que se realice un seguimiento para la comprobación de que los activos víctimas de ataque funcionan como deben ser, con los niveles y respuestas esperadas.

Luego de la fase de resolución empieza la del post-análisis, que consiste en analizar el incidente o los incidentes que se hayan presentado. Se recomienda considerar aquellos que, por sus características, objetivo de ataque, complejidad y uso de nuevos vectores de ataque sean los indicados para tratarlos en las reuniones de intercambio de ideas. Los aportes y conclusiones a que se llegan deberían ser parte de una fuente de información de lecciones aprendidas para el equipo.

Estos aportes y conclusiones pueden también ser utilizados con la finalidad de sensibilizar a usuarios en aspectos de seguridad, y también compartirlos de alguna forma con las terceras partes que participaron y colaboraron en la resolución del incidente.

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) surge por las siguientes motivaciones:

  1. a) Incremento general de la cantidad de incidentes de ciberseguridad.
  2. b) Incremento general de la cantidad y tipo de organizaciones que están siendo afectadas por incidentes de ciberseguridad.
  3. c) El reconocimiento o concientización por parte de las organizaciones sobre la necesidad de políticas y prácticas de ciberseguridad como parte de sus estrategias generales de manejo del riesgo.
  4. d) Nuevas leyes y reglamentaciones que impactan en la forma en que las organizaciones requieren proteger sus activos en el ciberespacio.
  5. e) Comprensión de que los administradores de sistemas de información y de redes, solos no pueden proteger los sistemas y activos de la organización.

El tiempo que puede llevar diseñar, planificar e implementar un equipo variará de acuerdo con la situación de la organización. Los CSIRT se ponen en funcionamiento en un plazo de pocos meses hasta un par de años. Esto es porque se requiere desarrollar los procesos y procedimientos. Incluso, luego que un equipo entra en funcionamiento, puede llevarle otros 12 a 18 meses obtener un buen nivel de confianza y comodidad con su área de operaciones. Muchos equipos muestran un gran crecimiento en la cantidad de incidentes informados durante su primer año de funcionamiento.

FIN