19 ene. 2019

"Los datos biométricos violan la garantía contra la autoincriminación"

Un jueza de California rechazó que las fuerzas de seguridad estuvieran facultadas para exigirle a una persona que desbloquee su celular mediante huella dactilar o reconocimiento facial. Considera que se viola la garantía contra la autoincriminación porque "un escaneo confirma la propiedad o el control del dispositivo", y al ser autenticados, los contenidos "no pueden ser refutados razonablemente".

En el marco de una causa en la que se estaba investigando dos individuos sospechados de estar involucrados en un caso de "sextorsión", la jueza del Noveno Distrito Norte de California, Kandis Westmore, denegó un pedido de autorización para obligar a imputados a desbloquear un teléfono mediante huella dactilar o reconocimiento facial.

Según la pesquisa, los imputados habrían usado Facebook Messenger para comunicarse con una victima a quien habrían amenazado con distribuir un vídeo íntimo si no les pagaban. Por eso, la Fiscalía que impulsó el caso solicitó la autorización de una "orden de registro" para incautar distintos elementos relacionados con el delito en un domicilio ubicado en Oakland, California, entre ellos, dispositivos electrónicos.

Si bien la magistrada consideró acreditada la "causa probable" para la orden de registro, denegó el pedido para que "se obligue a cualquier persona presente al momento del allanamiento, a presionar un dedo (incluido el pulgar) o utilizar otras funciones biométricas, como reconocimiento facial o del iris, con el fin de desbloquear los dispositivos digitales encontrados para permitir una búsqueda de los contenidos según lo autorizado por la orden de registro".

Para rechazar la petición, la jueza entendió que esa manda vulneraba las Enmiendas Cuarta y Quinta de la Constitución de los Estados Unidos, que garantizar la garantía contra la autoincriminación.

La jueza admitió que la tecnología "esta superando a la ley" ponderó que "el acto de comunicar el código de acceso es un testimonio, ya que la expresión del contenido de la mente de un individuo cae directamente dentro de la protección de la Quinta Enmienda".

Según el fallo, al que accedió Diario Judicial, incluso si existe una causa probable para incautar los dispositivos, ello no permite que se pueda obligar a un sospechoso "a renunciar a los derechos que de otro modo dispone la Constitución, lo que ocurría en el caso, donde se estaba utilizando la característica biométrica de un sospechoso para desbloquear potencialmente un dispositivo electrónico".

La magistrada concluyó entonces en que "el desbloqueo de un teléfono con un escaneo con el dedo "excede con mucho la evidencia física" creada cuando un sospechoso se presta a brindar sus huellas digitales para si, compararlas con la evidencia física encontrada en la escena del crimen, porque se requieren otras corroboraciones para confirmar una coincidencia positiva. En su lugar, un escaneo confirma la propiedad o el control del dispositivo, y la autenticación de sus contenidos “no pueden ser refutados razonablemente".

Archivos adjuntos: Fallo desbloqueo celular Reconocimiento Facial [PDF]

Fuente: Diario Judicial

18 ene. 2019

Collection #1: filtran 773 millones de usuarios y contraseñas

Hace algunas horas, la plataforma Have I Been Pwned que nos permite comprobar si circulan datos sobre nosotros en la red, daba a conocer una de las mayores filtraciones de contraseñas de la historia. Tras el nombre Collection #1 se encuentra la mayor base de datos de contraseñas filtrada en la red, una base de datos, disponible en Mega, de 87 GB con casi 773 millones de contraseñas, 22 millones de las cuales son únicas

La base de datos de Collection #1 apareció por primera vez en un popular foro de hacking y estaba formada por un total de 12.000 archivos diferentes que, en total, ocupaban los 87 GB de esta colección. Originalmente son 2.692.818.238 de registros con 1.160.253.228 combinaciones únicas de direcciones de email y contraseñas. Luego del análisis quedan un total de 772.904.991 correos únicos y 21.222.975 contraseñas únicas.
Troy Hunt, el investigador de seguridad que ha dado a conocer esta base de datos, asegura que en esta base de datos hay más de mil millones de combinaciones únicas de contraseñas y correos electrónicos, combinaciones sacadas de diferentes ataques informáticos a páginas web y otras plataformas online.

En total, esta base de datos ha filtrado más de 772 millones direcciones de correo únicas, así como 21 millones de contraseñas únicas, no repetidas. Respecto a las contraseñas, muchas de ellas ya habían sido filtradas en otros ataques informáticos y ya estaban registradas en Have I Been Pwned, aunque se calcula que en torno a un 20% de todas las contraseñas vinieran de filtraciones que no habían sido registradas antes.

Cómo comprobar si mi correo o mis contraseñas están incluidos en Collection #1

Troy Hunt ya ha añadido todos los correos y todas las contraseñas filtradas en Collection #1 a su plataforma Have I Been Pwned, por lo que, si queremos saber si nuestros datos se encontraban en esta base de datos masiva, simplemente debemos acceder a esta plataforma, introducir nuestro correo y analizar los resultados para saber si este estaba en ella o no.

También podemos utilizar el buscador de contraseñas para saber si esta se encuentra en alguna de las bases de datos filtradas, aunque, por seguridad, no podremos ver a qué correo está vinculada (puede que otra persona la utilizara) ni en qué base de datos se ha filtrado.
Collection #1 ya se ha retirado de Mega para evitar que se siga accediendo a esta enorme base de datos, sin embargo, no sabemos cuánta gente puede tener copias de la misma, igual que tampoco sabemos si se ha subido de nuevo a otra dirección y se sigue compartiendo a través de la red. El nombre "Collection #1" nos hace pensar que puede haber varias versiones diferentes de esta base de datos, por lo que es probable que muy pronto veamos nuevas filtraciones.

Fuente: Troy Hunt

Expuestos datos de más de 202 millones de usuarios de webs de búsqueda de empleo

Bob Diachenko encontró una base de datos con más de 202 millones de usuarios chinos expuesta en Internet y sin autenticación.
El investigador de seguridad Bob Diachenko, ha encontrado recientemente una base de datos accesible a través de Internet sin autenticación, accesible a cualquiera que desease conectarse y obtener los datos.

La base de datos era una base de datos MongoDB, uno de los sistemas de bases de datos NoSQL más populares hoy en día. En ella había datos personales de más de 202 millones de usuarios chinos (202.730.434 concretamente), incluyendo correo electrónico, fecha de nacimiento, número de teléfono, nombre completo, experiencia laboral, etc. En total 854,8 gigabytes de datos.

Según Diachenko, el log de la base de datos antes de que fuese retirada contenía al menos una docena de direcciones IP diferentes que habían accedido a la información.

El origen de la base de datos se desconoce, pero Diachenko cree que podría pertenecer a alguien que haya usado una herramienta llamada “data-import” para realizar scraping a diferentes páginas web chinas de búsqueda de empleo. Esta creencia se debe a que los datos encontrados tienen un formato muy similar al utilizado por dicha herramienta.

Un nuevo caso en el que una base de datos MongoDB se encuentra expuesta en Internet sin protección debido a una mala configuración. Por desgracia este tipo de problemas de seguridad suelen darse con demasiada frecuencia en estas bases de datos, como ya hemos visto en otras ocasiones.

Fuente: THN

17 ene. 2019

Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.

SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.

Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.
El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:
  • CWE-20 (CVE-2018-20685): validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío ("D0777 0 \n") o con punto ("D0777 0 .\n").
  • CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro "-r", también pueden copiarse carpetas sin validación.
  • CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
  • CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.
Algunos de los clientes afectados son OpenSSH SCP (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP SCP (hasta la versión 5.13). En el caso de WinSCP, se debe actualizar a la versión 5.14 inmediatamente.

Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.

Fuente: Hispasec

Oracle corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de enero. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:
  • Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.
  • 33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
  • 4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.
  • Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.
  • 11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
  • Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.
  • 6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).
  • 62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).
  • 6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
  • 5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).
  • Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.
  • Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.
  • En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.
  • La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.
  • Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).
  • Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.
  • También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).
  • Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.
  • 11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
  • Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.
  • Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.
  • Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.
  • Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).
Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial.

Fuente: Hispasec

Vulnerabilidades de SQLi y XSS en Fortnite permitía revelar información personal y datos bancarios de sus jugadores

Según ha comunicado la compañía de ciberseguridad Check Point, existen tres nuevas vulnerabilidades en el registro de cuentas del videojuego Fortnite que han dejado expuestos los datos personales y de tarjetas de crédito de los jugadores a través de vulnerabilidades de SQL Injection y XSS en algunos de los subdominios de la compañía.
A través de estas vulnerabilidades pueden hacerse con el control de las cuentas de usuarios de Fortnite, con la posibilidad de hacer compras de objetos del juego con la moneda virtual V-Buck.

Este problema también afecta a la privacidad, pues los atacantes podrían escuchar las conversaciones dentro de Fortnite accediendo al sonido grabado por el micrófono de los usuarios durante el juego, así como a la información personal almacenada en las cuentas.

Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso. Para ello, se aprovecha la infraestructura web de Epic Games y el sistema de autenticación basado en "tokens".

Los mecanismos de la web del videojuego, junto con los sistemas de acceso unificado Single Sign-On (SSO) como Facebook, Google y Xbox, han podido utilizarse para robar las credenciales de acceso del usuario y hacerse con la cuenta de la víctima si esta hace clic en un enlace de "phishing".

Check Point ha informado a Epic Games, la desarrolladora de Fortnite, acerca de las vulnerabilidades de su videojuego, que suma cerca de 80 millones de jugadores a nivel global. En la actualidad, el problema ya se ha solucionado, según la empresa de ciberseguridad.

Fuente: La Vanguardia

16 ene. 2019

¿Podría WhatsApp estar exponiendo tus mensajes?

Saltan las alarmas cuando leemos que una empresa puede estar tratando nuestros datos de manera irregular, y como no, WhatsApp siempre está en el punto de mira.

Las muchas noticias sobre fallos en Whatsapp y Facebook (su comprador) han conseguido generar desconfianza en la aplicación, tal es así que muchos de vosotros habéis optado por aplicaciones de mensajería alternativas.
Todo el revuelo sobre la exposición de mensajes empezó a raíz del siguiente tweet:
logged into whatsapp with a new phone number today and the message history from the previous number’s owner was right there?! this doesn’t seem right.
— Abby Fuller (@abbyfuller) 11 de enero de 2019
A partir de aquí se empezó a sugerir que la conocida aplicación de mensajería podría tener un error de privacidad enorme y podría estar exponiendo, bajo ciertas circunstancias, algunos de nuestros mensajes a otros usuarios.

Si leemos el Tweet de Abby Fuller comenta que, cuando instaló WhatsApp en su nuevo teléfono, con su nuevo número, encontró lo que sería el historial de mensajes del propietario anterior del mismo número.

Ya que para WhatsApp nuestro número de teléfono es nuestro nombre de usuario y la contraseña es la OTP (One-Time Password o contraseña de un solo uso) que envían a ese mismo número, no es una vulnerabilidad, así es como funciona el servicio.

WhatsApp mencionó en su blog que "common practice for mobile providers to recycle numbers, you should expect that your former number will be reassigned".
"Es una práctica común que los proveedores de servicios móviles reciclen números, es de esperar que su anterior número sea reasignado."
En sus tweets, Fuller dijo que el historial de mensajes "no era completo, pero eran conversaciones reales". Queda por confirmar si esos mensajes incluían algún mensaje enviado por el anterior propietario del número.

A pesar de todo, la configuración de WhatsApp en un nuevo dispositivo con un número de teléfono nuevo no permite restaurar el archivo de mensajes del propietario anterior porque la empresa nunca realiza copias de seguridad de las conversaciones cifradas en sus servidores, actualmente las copias de seguridad de WhatsApp son almacenadas en nuestro Google Drive o localmente en el dispositivo.

Sin embargo, la empresa de mensajería mantiene los mensajes pendientes 45 días en su servidor hasta que el destinatario está en línea y los puede entregar. Después de esos 45 días los mensajes son eliminados.

Esto sugiere que los mensajes que Fuller encontró en su nueva cuenta de WhatsApp fueron, probablemente, mensajes no entregados que enviaron los contactos del antiguo propietario antes de que éste dejara de usar el número.

Para evitar que sus mensajes anteriores lleguen a otros dispositivos, WhatsApp recomienda a los usuarios eliminar su cuenta antes de dejar de usar una tarjeta SIM o cambiar de cuenta con la función "cambiar de número" que está disponible en la configuración de la APP.

Esto es lo que podría haber pasado

Algunos usuarios de sitios web como Reddit o Twitter sugieren que el mecanismo de eliminación de mensajes tras los 45 días en los servidores de WhatsApp contiene un error que, eventualmente, mantiene los mensaje sin entregar almacenados en el servidor de la compañía durante más tiempo. Pero todavía queda un detalle importante por mencionar: el antiguo usuario del número no necesitaba su tarjeta SIM para seguir usando su cuenta de WhatsApp, una vez que esté configurada en el teléfono. Eso significa que es probable que el antiguo propietario del número aún estuviera usando su cuenta después de deshacerse de su SIM hasta que Fuller configuró el mismo número y verificó la cuenta usando el OTP recibido.

Fuente: Hispasec | Whatsapp | THN

15 ene. 2019

Windows 7 comienza a morir. Actualiza!

Un nuevo recordatorio para aquellos que aún se aferran al sistema operativo Windows 7: le queda un año hasta que Microsoft finalice el soporte para su sistema operativo de 9 años.
Por lo tanto, es hora de que actualice su sistema operativo y se despida de Windows 7, ya que sus cinco años de soporte extendido finalizarán el 14 de enero de 2020, eso es exactamente un año a partir de hoy.
Después de esa fecha, el gigante tecnológico ya no lanzará actualizaciones de seguridad gratuitas, correcciones de errores y nuevas funcionalidades para el sistema operativo que aún es ampliamente utilizado por las personas, lo que eventualmente podría dejar a un número significativo de usuarios más susceptibles a los ataques de malware.

Sin embargo, el fin de la asistencia gratuita no finaliza la compatibilidad de Windows 7 para grandes empresas y clientes empresariales. Como siempre, Microsoft hace excepciones para ciertas compañías que están dispuestas a pagar una gran cantidad de dinero para continuar con su soporte.

Según un informe de 'La muerte de Windows 7' de la firma de entrega de contenido Kollective, el 43% de las empresas aún están ejecutando el sistema operativo de nueve años, de los cuales el 17% no sabía cuándo llegó el fin del plazo de soporte de Microsoft .

Millones de usuarios siguen usando Windows 7

Incluso después de impulsar agresivamente las instalaciones de Windows 10 desde su lanzamiento en 2015, su cuota de mercado finalmente logró superar al Windows 7 favorito de los usuarios solo para fines del año pasado.

Windows 7 se lanzó en 2009 y, según las estadísticas de diciembre de 2018 de Netmarketshare, actualmente se ejecuta en aproximadamente el 37 por ciento de la flota de PC del mundo, lo que está muy por delante de su sucesor radicalmente rediseñado, Windows 8 y 8.1 combinados.

Microsoft detuvo el soporte general para Windows 7 en enero de 2015, pero los usuarios de Windows han continuado recibiendo actualizaciones de seguridad y parches para problemas de seguridad conocidos como parte del soporte extendido de la compañía, que se ejecuta durante al menos cinco años.

En marzo de 2017, Microsoft también comenzó a bloquear nuevos parches de seguridad y actualizaciones para los usuarios de Windows 7 y Windows 8.1 que ejecutan los últimos procesadores de Intel, AMD, Qualcomm y otros.

"Para que Windows 7 se ejecute en cualquier silicio moderno, los controladores de dispositivo y el firmware deben emular las expectativas de Windows 7 para el procesamiento de interrupciones, el soporte de bus y los estados de energía, lo que representa un desafío para WiFi, gráficos, seguridad y más", dijo la compañía.

"El ciclo de vida comienza cuando se lanza un producto y termina cuando ya no se admite. Conocer las fechas clave de este ciclo de vida lo ayuda a tomar decisiones informadas sobre cuándo actualizar, actualizar o realizar otros cambios en su software".

Además de finalizar el soporte para Windows 7 el próximo año, Microsoft también finalizará el soporte para MS Office 2010, Windows Server 2008/2008 R2, SQL Server 2008/2008 R2, Exchange 2010 y Windows Embedded 7 en 2020.

En cuanto a Windows 8, el soporte extendido del sistema operativo está programado para finalizar el 10 de enero de 2023.

¿Qué deben hacer los usuarios de Windows 7 afectados?

Si usted y / o su negocio aún están ejecutando Windows 7, aún le queda un año para cambiar al último sistema operativo.

Las agencias gubernamentales y las grandes empresas aún pueden pagar costosos servicios de soporte extendido para continuar recibiendo actualizaciones de seguridad y parches de la compañía si necesitan más de un año para migrar a la versión más nueva.

Sin embargo, los usuarios normales deben actualizar su sistema operativo inmediatamente a Windows 10 o una distribución de Linux, en lugar de ejecutar una versión no parchada y cada vez más vulnerable del sistema operativo Windows.

Fuente: THN

NOC, SOC, CSIRT y CERT no son lo mismo

La misión del Blog del CISO es "Educar sobre Seguridad de la información para [email protected]", bajo esa lógica, es necesario que usemos los términos correctos para referirnos sobre todo a tecnicismos, no todo se llama SOC, a continuación les presento los estándares de vulnerabilidades que existen hoy.

Network Operations Center (Centro de operaciones de Red)

Es la ubicación central donde se encuentran los servidores de una empresa y los equipos de red. El NOC puede residir dentro del campus de una compañía o en una ubicación externa. Las empresas y organizaciones más pequeñas a menudo tienen un NOC interno, en el que los técnicos locales administran y supervisan los servidores. Las compañías más grandes pueden tener una configuración de NOC en una ubicación desarrollada específicamente para alojar el equipo servidor.

Security operations center (Centro de operaciones de Seguridad)

Un SOC está relacionado con las personas, los procesos y las tecnologías que brindan conocimiento situacional a través de la detección, la contención y la reparación de las amenazas de TI. Un SOC se encargará, en representación de una institución o empresa, de cualquier incidente informático amenazante y garantizará que se identifique, analice, comunique, investigue y notifique adecuadamente. El SOC también supervisa las aplicaciones para identificar un posible ataque cibernético o intrusión (evento) y determina si se trata de una amenaza maliciosa (incidente) genuina y si podría afectar el negocio.

CSIRT, Computer Security Incident Response Team | Equipo de respuesta ante incidentes informáticos

Un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT, pronunciado "see-sirt") es una organización que recibe informes de violaciones de seguridad, realiza análisis de los informes y responde a los remitentes. Un CSIRT puede ser un grupo establecido o un conjunto ad hoc.Hay varios tipos de CSIRTS. Un CSIRT interno se ensambla como parte de una organización matriz, como un gobierno, una corporación, una universidad o una red de investigación. Los CSIRT nacionales (un tipo de CSIRT interno), por ejemplo, supervisan el manejo de incidentes para todo un país. Normalmente, los CSIRTS internos se reúnen periódicamente durante el año para tareas proactivas, como las pruebas de DR, y según sea necesario en caso de una violación de la seguridad. Los CSIRT externos brindan servicios pagados de forma continua o según sea necesario.

Computer Emergency Response Team (CERT) Equipo de respuesta ante emergencias informáticas

En general, la designación de CERT es útil para aplicar soluciones del mundo real a diversos problemas de ciberseguridad. Pueden ser contratistas del gobierno o empleados de una corporación importante. Por ejemplo, el Equipo de preparación para emergencias informáticas de EE.UU. (US-CERT) opera bajo el Departamento de Seguridad Nacional de EE.UU.

Aunque muchos aspectos de las operaciones del grupo están dirigidos a métodos tradicionales de pirateo como virus y malware, es reductivo pensar en un CERT como un “equipo antivirus”. Nuevos tipos de ciberataques están surgiendo todo el tiempo, y los profesionales de la seguridad deben estar a la vanguardia de estos problemas. Deben considerar la seguridad del punto final, así como la seguridad de los datos en uso y los datos en reposo. Necesitan hacer pruebas y simulaciones para anticipar los problemas de seguridad antes de que surjan. También necesitan controlar el daño rápidamente en cualquier problema que no se haya anticipado. El trabajo de un CERT abarca un amplio espectro de actividades de seguridad destinadas a prevenir y minimizar los ataques cibernéticos desde donde se originan, y también implica hacer un trabajo productivo para reducir las ocurrencias de estos problemas en el futuro.

Fuentes: Blog del CISO | Techopedia | CSIRT

14 ene. 2019

Las empresas de ciberseguridad se ofrecen a pagar si hackean a sus clientes

No es justo que una compañía que contrata a una empresa de ciberseguridad sufra todas las consecuencias en caso de ciberataque. Así que los responsables de seguridad están empezando a ofrecer programas de garantía (que además les distinguen de la competencia)

El mercado de seguros de ciberseguridad está en auge. Las empresas son conscientes de que es probable que sufran un ataque informático, independientemente de cuánto inviertan en seguridad, así que están empezando a buscar a alguien para pagar el pato a medias. Pero establecer el precio del riesgo es bastante complicado. Y eso ha generado una nueva oportunidad para las empresas de seguridad con la suficiente autoconfianza como para ofrecer garantías sobre los productos y servicios que ofrecen.

Las empresas destinarán unos 6.500 millones de euros en seguros de seguridad cibernética en 2020, frente a los 2.200 millones de euros invertidos en 2015, según una proyección reciente de PricewaterhouseCoopers. El mercado en auge es una prueba de que el delito cibernético es cada vez más común, pero también es una prueba de que las empresas de ciberseguridad no tienen ninguna responsabilidad económica cuando algo sale mal.

El jefe de estrategias de seguridad de SentinelOne, especializada en sistemas antimalware, Jeremiah Grossman, cree que esta situación debe cambiar. Para alinear sus intereses financieros con los de sus clientes, SentinelOne ofrece una garantía que compromete a la empresa a indemnizar con hasta 900.000 euros al cliente en caso de que sufra un ataque ransomware, Esta estrategia cibercriminal consiste en penetrar en los sistemas del cliente y encriptar los datos para poder exigir un rescate por su liberación. Otras start-ups de ciberseguridad, así como grandes empresas como Symantec y McAfee, también se comprometen a pagar en caso de que su producto falle.

Grossman dice que su programa de garantía, lanzado hace de 10 meses, ya le ha dado a su empresa ventaja frente a sus competidores.

Es demasiado pronto para afirmar si las pólizas de seguridad cibernética llegarán a ser algo más que una simple estrategia de marketing, según el director gerente del Foro de Seguridad de la Información, Steve Durbin, cuya organización sin ánimo de lucro desarrolla recomendaciones de la mejor manera de gestionar los riesgos de seguridad de la información. Pero algunos proveedores han recopilado daros muy valiosos al monitorizar el rendimiento de sus productos a lo largo de los años, y eso les permitiría "llenar en parte ese vacío del mercado de seguros", señala.

Al evaluar estos riesgos, las empresas de ciberseguridad tienen una ventaja frente a las aseguradoras tradicionales, porque poseen datos cruciales que sólo pueden provenir del análisis de situaciones reales como las filtraciones de datos que ellas mismos han experimentado. Las aseguradoras tradicionales, en cambio, no han hecho más que empezar a evaluar los riesgos de hacer negocios en el ciberespacio. Eso ayuda a explicar por qué algunas aseguradoras, incluida AIG, están empezando a ofrecer estos nuevos programas de garantía. (AIG rehusó hacer comentarios para este artículo).

La empresa de Grossman tiene sus propios datos sobre los riesgos existentes de que su sistema obvie impedir un ataque de ransomware. Esos números ayudaron a convencer a una aseguradora establecida (SentinelOne no puede revelar públicamente cuál) de que respalde su garantía.

Muchas de las filtraciones de datos recientes podrían haberse evitado si las empresas hubiesen parcheado sus sistemas adecuadamente. Por ejemplo, el ataque de ransomware WannaCry que comenzó en mayo se aprovecha de antiguos sistemas operativos de Microsoft sin actualizar. Las empresas que se inscriban en estos programas sólo recibirán una indemnización si siguen las prácticas de seguridad recomendadas.

AsTech Consulting, cuyo servicio analiza el código fuente de una empresa para identificar vulnerabilidades, trabajar con la empresa para solucionarlas y capacitar a los empleados para que no las reintroduzcan, empezó a ofrecer una garantía hace poco por la que los clientes que hayan seguido este proceso y aun así sufran un ataque serán compensados con hasta otros 900.000 euros. Si el riesgo de una compañía está "disminuyendo de manera medible", un resultado que AsTech afirma que su proceso ha demostrado lograr durante los últimos 20 años, eso atraerá a las aseguradoras porque conocerán y manejarán mejor su riesgo, explica su CEO Greg Reber. "Eso un mercado bastante bueno", concluye.

Fuente: Technology Review