Entradas Por :

Prestigia Seguridad

leyes ciberseguridad prestigia seguridad
Qué leyes nos afectan en el ámbito de la ciberseguridad
1020 680 Prestigia

La ciberseguridad se compone de un compendio de leyes, ya que no existe una única que regule todo. Más precisamente, las Leyes de Ciberseguridad introducen un sistema de certificación de seguridad de las TIC a cumplir por las organizaciones. Este objetivo específico, intentará resolver el problema de los numerosos esquemas de certificación existentes en algunas compañías. Hace algunos meses ya hablamos sobre el reglamento general de protección de datos (GDPR) y por ello, las leyes de Ciberseguridad proporcionarán un marco general, con un conjunto de reglas que regirán los esquemas de certificación para categorías específicas de productos y servicios, para garantizar que esos futuros esquemas de certificación serán reconocidos válidamente con el fin de seguir una unificación de pauta a seguir.

Obligaciones para las empresas

El primer paso que deben ejecutar todas las pymes o grandes organizaciones es identificar y analizar las áreas de riesgo durante el procesamiento de datos personales, mediante la preparación de un inventario de todas las actividades de tratamiento realizadas por la compañía. Este enfoque requiere una actitud proactiva de cada organización, que debe establecer las medidas necesarias para minimizar sus riesgos. En los casos en que se detecten tratamientos con un alto nivel de riesgo para los derechos y libertades de las partes interesadas, se debe realizar una Evaluación de Impacto de Protección de Datos (DPIA) y la empresa debe introducir las medidas necesarias para mitigar los riesgos.

Esta obligación también se extiende a las compañías, que pueden tener consecuencias importantes económicas. Por lo tanto, las empresas deben asegurarse de implementar todos los procedimientos que permitan detectar, informar e investigar violaciones de seguridad.

Algunas leyes que te pueden afectar

A continuación, te comentamos algunas leyes que pueden afectar a tu pyme o compañía:

  • LOPD: La LOPD establece un conjunto de principios, derechos y deberes que las organizaciones deben cumplir. Su objetivo principal es garantizar que los datos proporcionados por los usuarios se traten de la manera correcta. Por esta razón, aquellas empresas, asociaciones, administraciones o trabajadores independientes que manejan datos personales a diario.
  • GDPR: El 25 de mayo de 2016, entró en vigencia el Reglamento General de Protección de Datos (GDPR). Este nuevo Reglamento es aplicable a partir del 25 de mayo de 2018 a nivel Europeo. A diferencia de lo que sucedió con la Directiva 95/46 / CE, GDPR es directamente aplicable y, por lo tanto, no necesita ninguna ley nacional para implementarlo. Por lo tanto, desde el 25 de mayo de 2018, el GDPR se aplica a todas las empresas que operan en la Unión Europea, reemplazando a la LOPD.
  • ISO 27001: El estándar ISO 27001 está diseñado para funcionar como un marco para el sistema de gestión de seguridad de la información (SGSI) de una organización. Esto incluye todas las políticas y procesos relevantes sobre cómo se controlan y usan los datos. ISO 27001 no exige herramientas, soluciones o métodos específicos, sino que funciona como una lista de verificación de cumplimiento.
  • PCI-DSS: La normativa PCI DSS se aplica a cualquier organización (independientemente del tamaño o número de transacciones) que acepte, almacene, transmita o procese los datos del titular de la tarjeta. Si tu compañía o pyme trabaja con tarjetas de crédito, la normativa PCI-DSS te aplica. Incluso si has subcontratado todas las actividades de PCI DSS a un tercero, aún serás responsable de garantizar que todas las partes contratadas cumplan con el Estándar. Si eres un proveedor de servicios, incluido un desarrollador de software, la normativa PCI DSS te aplica si procesas, transmites o almacenas datos del titular de la tarjeta, o si tus actividades afectan la seguridad de los datos del titular de la tarjeta mientras se procesan, transmiten o almacenan.

¿Sabías que puede haber normativas que podrían afectar y desconocías? ¿Tienes dudas específicas de alguna de ellas? Desde Prestigia Seguridad, nuestros expertos pueden asesorarte en este tipo de directivas al igual que realizar distintas auditorias de seguridad para su cumplimiento, no dudes en contactar con nosotros para informarte.

SDLC
Ciclo de desarrollo seguro en código
1020 680 Prestigia

El Ciclo de vida de desarrollo de software (o SDLC) es el proceso que se sigue para desarrollar un producto de software de forma segura. Es una forma estructurada de crear aplicaciones de software, puesto que la mayoría de las organizaciones cuentan con un proceso para desarrollar software; este proceso puede, a veces, personalizarse según los requisitos y el marco de la organización, seguidos por la organización e incluyendo en su ciclo la seguridad como parte del desarrollo en el ciclo.

El conocimiento y la cultura sobre SDLC es muy importante para cualquiera que quiera entender algunos de los pasos principales que son comunes en todo el proceso SDLC, independientemente de la organización o tipo de proyecto, como podría ser la seguridad en eCommerce. A menudo se hace difícil para los desarrolladores administrar todas las diferentes complejidades de implementar esta metodología, pero a futuro aporta más ventajas que inconvenientes. Para manejar estos diversos sistemas de software, se han creado muchos modelos SDLC para diferentes factorías de software, para evitar la creación de software con vulnerabilidades.

Tendencias y porque realizar SDLC

La tendencia actual es identificar problemas mediante una evaluación de seguridad de las aplicaciones, después de que se desarrollen y luego solucionar estos problemas. Corregir los fallos en el software de esta manera, puede ayudar, pero es un enfoque más costoso para solucionar los fallos de seguridad. En este ciclo de pruebas y parches, las nuevas pruebas se ejecutan en múltiples iteraciones y se pueden evitar en gran medida, al abordar problemas anteriores en el ciclo de desarrollo, puesto que la siguiente sección cubre un aspecto muy importante, la necesidad de programas como el ciclo de desarrollo seguro o SDLC.

Aquí es donde el SDLC entra en escena, si bien el empleo de un equipo de auditores de seguridad ayuda para realizar pruebas de test de intrusión, tener procesos como SDLC puede ayudar a las organizaciones y compañías a abordar problemas discutidos anteriormente de una manera mucho más rentable, ya que la identificación de problemas de seguridad de forma temprana en el ciclo de vida del desarrollo reduce los costes finales.

Fases para el Ciclo de vida de desarrollo de software

Para cualquier metodología de desarrollo de software que implemente tu organización, encontrarás una estructura muy común entre los distintos modelos. Estas cinco fases de un ciclo de vida de desarrollo de software o SDLC se pueden identificar:

  • Planificación: comienza tu desarrollo de software seguro trazando una línea de tiempo, requisitos y cualquier detalle preliminar necesario.
  • Análisis: la organización define objetivos, metas del proyecto y las funciones y operaciones de la aplicación.
  • Diseño: se presentan diseños detallados, reglas de negocio, diagramas de proceso, pseudocódigo y otra documentación. Comienza el desarrollo y se escribe un código seguro.
  • Implementación: las pruebas y la integración reúnen todas las piezas en un entorno que verifica errores, vulnerabilidades, fallos e interoperabilidad.
  • Mantenimiento: una vez que se desarrolla su software, mantener actualizaciones, evaluaciones de rendimiento y realizar cambios en el software inicial son procedimientos de mantenimiento clave siempre teniendo en cuenta la seguridad.

En definitiva, el proceso de desarrollo y creación de software seguro puede ayudar a tu equipo de desarrollo a comprender las dificultades de seguridad comunes que deben evitarse. En el complejo mundo del desarrollo de software, es fácil pasar por alto problemas en el código cuando no está implementando un plan de acción detallado. Al utilizar las herramientas adecuadas para ayudar en el desarrollo de software seguro, puedes reducir los costes, aumentar la eficiencia e implementar pruebas continuas para reducir el riesgo como podrían ser Inyecciones SQL u otro tipo de vulnerabilidades. Si la seguridad de la información es tu prioridad, asegúrate de que tu ciclo de vida de desarrollo de software cumpla con los estándares.

Los clientes demandan productos seguros listos para usar, por lo que la seguridad debe ser una prioridad que debe ser la prioridad de todos. Pero sin un enfoque estándar de seguridad, es casi imposible cumplir con las expectativas de los clientes. Ahí es donde entra en juego el Ciclo de vida de desarrollo seguro (SDL). Desde Prestigia Seguridad, nuestros expertos realizan auditorias de código para verificar deficiencias en el ciclo del desarrollo seguro, no dudes en contactar con nosotros para informarte.

ciberseguridad sector educativo prestigia seguridad
Ciberseguridad en el sector educativo
1020 680 Prestigia

Si eres padre, entonces sabes lo complejo que puede ser explicar ciberseguridad a un niño o adolescente, cuando muchos no entienden completamente cómo funciona Internet, y mucho menos los peligros que Internet puede tener mediante un mal uso. Afortunadamente, tenemos excelentes recursos para compartir con los más pequeños y muchos consejos para que su educación en este aspecto, desde pequeños, sea lo más idónea ante las nuevas tecnologías.

También deben ser advertidos sobre los riesgos que acompañan a todas las aplicaciones para teléfonos móviles y computadoras, que cada día vemos en auge. Con demasiada frecuencia, esto no está sucediendo, los maestros de escuela primaria deberían incluir estos conceptos básicos de ciberseguridad en sus planes de estudio anuales. Como mínimo, cada niño o adolescente debería saber cómo mantener su información privada, abstenerse de responder a extraños e informar sobre cualquier cosa inusual a un adulto. Hoy, muchos no lo hacen y es esto lo que debemos poco a poco ir mejorando.

Los niños pueden absorber esta información como esponjas, en solo un día, a través de varias iniciativas internacionales, existen centros como puede ser INCIBE en España o las propias FCSE que aconsejan a los niños y adolescentes sobre cómo evitar, las contraseñas más comunes, qué información se recopila cada vez que usan las redes sociales y sus peligros al igual que tipo de información deben o no compartir.

Ciberseguridad en el sector educativo, las escuelas

Aprender ciberseguridad, tanto en general como como parte de una carrera profesional, es algo que beneficia a los niños y adolescentes desde una edad muy temprana. Además, los maestros y las escuelas pueden desempeñar un papel importante y fundamental al enseñarles los principios sobre la privacidad y las tecnologías que los pueden mantener seguros.

Los maestros pueden comenzar modelando una buena formación en ciberseguridad, particularmente dado que el conocimiento de la tecnología, es ahora un requisito laboral para la mayoría de empleos y un futuro donde se implanta cada vez más día a día. La educación es un objetivo de alto valor para los padres, que, además del uso de los equipos tecnológicos en la escuela, deberían está mucho más supervisado en el hogar, lo que presenta oportunidades para que los niños desarrollen buenos hábitos que llevan a sus vidas hogareñas.

En definitiva, las escuelas son un lugar ideal para formar conceptos de ciberseguridad de los más pequeños. No solo les permite aprender los principios básicos, sino también formar buenos hábitos y aprender las tecnologías en evolución relacionadas con la ciberseguridad.

Consejos para padres

A continuación, te dejamos una serie de consejos o pautas que podrían ayudar a dar consejos de ciberseguridad básicos a los más pequeños y para vosotros, como padres o tutores:

  • Asegúrate de que todos los dispositivos estén protegidos con las últimas actualizaciones de software y contraseñas robustas para cualquier servicio, aplicaciones, correo, etc.
  • Ten cuidado con lo que acceden en redes Wi-Fi abiertas.
  • Enseña a compórtate en Internet como te gustaría que se comportaran tus hijos.
  • Asegúrese de que cada niño tenga su propia cuenta con los mínimos privilegios posibles.
  • Mantén un equipo solo para niños, en un área que puedas vigilar y ayudarles con cualquier duda.

Estas son solo algunas ideas para ayudar a los más pequeños a mantenerse seguros y saludables mientras crecen en la era digital. Ayudar a los niños a proteger sus vidas digitales les proporciona las herramientas para usar Internet de manera respetuosa y responsable como adultos. Es una oportunidad no solo para asegurar que los niños crezcan para evitar los desafíos que enfrentaron sus padres en los primeros años de Internet, sino también para ser el cambio que queremos ver en el futuro.

Por último, desde Prestigia Seguridad, aparte de los artículos con este tipo de consejos, tenemos varias formaciones a empresas y compañías sobre ciberseguridad, concienciación, etc, no dudes en contactar con nosotros para informarte.

teletrabajar ataques prestigia seguridad
Consejos de Ciberseguridad para teletrabajar y evitar ataques
1020 680 Prestigia

Un número cada vez mayor de empresas está adoptando el teletrabajo, una práctica de rápido crecimiento que es popular entre los empleados y más aún, desde el inicio de la pandemia por el Covid-19. No obstante, las empresas que adoptan esta tendencia deben tomar algunas precauciones de ciberseguridad para teletrabajar, así evitar sorpresas desagradables en términos de protección de datos y ataques.

Cuando utilizas equipos comerciales fuera de los perímetros de seguridad de TI de tu organización, puedes crear un punto de vulneración en la infraestructura de IT de tu organización. Si no estás protegido adecuadamente, estas conexiones remotas desde casa pueden ser explotadas por atacantes o cibercriminales. Es importante proteger tus dispositivos móviles, portátiles, así como cualquier información y datos confidenciales. Las amenazas pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de la información de tu compañía.

Riesgos del teletrabajo

En una encuesta reciente de ciberseguridad, el 86% de los empleados entrevistados dijeron que usaron su equipo personal para fines de trabajo. Al mismo tiempo, el 42% dijo que no actualizaba sus equipos regularmente. Por lo tanto, el desarrollo del teletrabajo, donde los empleados tienen acceso regular a información confidencial, podría ser una pesadilla para los gerentes de TI de la organización.

Se deben planificar tres tipos de riesgo en particular para:

  • Los empleados no puedan acceder a los recursos desde sus equipos personales.
  • Infección de la red organizativa por una brecha de seguridad en el equipo del empleado, donde ya comentamos en los pasos para prevenir malware en tu ordenador.
  • Datos filtrados o perdidos hacia sitios externos a la organización.
  • El acceso físico a dispositivos perdidos, donde recomendamos como borrar de forma correcta tus dispositivos
  • Ingeniería social mediante la cual, los atacantes engañan para que comparta información u otorgue acceso a sus dispositivos.

Para evitar este tipo de problemas, es claramente esencial sensibilizar a los usuarios sobre los problemas de seguridad relacionados con el teletrabajo. Los teletrabajadores necesitan recordatorios periódicos sobre buenas prácticas.

Medidas y trucos de Ciberseguridad para Teletrabajar

Las empresas necesitan implementar medidas prácticas y soluciones técnicas para limitar los riesgos de TI derivados del teletrabajo, te comentamos algunas:

  • Alertar a los empleados sobre posibles intentos de phishing o ataques APT.
  • Es esencial planificar con anticipación y establecer los perfiles de los teletrabajadores, en función de sus atribuciones y la información confidencial a la que pueden tener acceso o no.
  • Implementar la doble autenticación en todas las conexiones VPN para aumentar la seguridad. La principal forma de evitar el ataque de la red comercial es establecer un sistema para identificar a los teletrabajadores cuando inician sesión.
  • Protegiendo los sistemas informáticos, más allá del software antivirus básico, la forma más fácil de evitar la infección cruzada entre la computadora del empleado y la red organizativa es minimizar los derechos de gestión. Esto significa proporcionar a los teletrabajadores un equipo que es estrictamente para uso profesional y que el departamento de TI actualiza regularmente, desde el punto de vista de la seguridad.
  • Garantizar el acceso seguro a los datos cifrados, para asegurar el flujo de datos entre el equipo de trabajo del empleado y la red organizativa, por ejemplo, puedes implementar una VPN (Red Privada Virtual) para evitar fallos en SSL y TLS como ya comentamos en este artículo.

La seguridad para dispositivos es esencial, para proteger tus sistemas y datos, se alienta a los teletrabajadores y a las pequeñas organizaciones a configurar los dispositivos de red teniendo como una buena base de seguridad para evitar que un beneficio como e teletrabajo, pueda tener más perjuicios para a empresa que beneficios.

Por último, desde Prestigia Seguridad, podemos implementar en tu empresa las medidas de seguridad mencionadas en el presente artículo, con el fin de mejorar la seguridad y visibilidad de tu compañía y adicionalmente, realiza Test de Intrusión de forma perimetral para minimizar los riesgos de Seguridad de tu compañía, no dudes en contactar con nosotros para informarte.

peligros vpn gratuitas prestigia seguridad
Los peligros de las VPN gratuitas
1020 680 Prestigia

En el artículo de hoy, revisaremos algunos de los peligros y riesgos más comunes del uso de los servicios de tipo VPN (Virtual Private Network) gratuitos y explicaremos, qué revisar y tener en cuenta cuando elijas una VPN gratuita. Es por esto que, debes tener mucho cuidado cuando uses una VPN gratuita sin limitaciones ni cobros adicionales. Pero no te preocupes ya que hay proveedores gratuitos en los que se puede confiar, aunque aun así, deberíamos tener cuidado y ser precavidos, como ya te indicamos en nuestro articulo sobre medidas de seguridad en Internet.

Si utilizas una VPN gratuita, debes preguntarse cómo gana su proveedor dinero para cubrir sus propios costes de mantenimiento. La respuesta a menudo implica publicidad, pero también puede ser a través de medios mucho más siniestros. Navegar mediante un servicio VPN cuesta una cantidad significativa de dinero para a persona que ofrece el servicio, hay costes de instalación, costes de infraestructura, operadores y otros costes de funcionamiento y mantenimiento. Las compañías detrás de estos servicios generalmente también quieren obtener ganancias, a continuación, te comentamos los riesgos.

Riesgos de una VPN gratuita

Realmente depende de su caso de uso, pero en general, las VPN se utilizan para mejorar tanto la privacidad como la seguridad en línea de aquellos que usan una. La privacidad y la seguridad tienden a involucrar confianza, lo que se vuelve especialmente importante cuando consideramos las VPN a la hora de navegar. Para entender esto, correctamente, tenemos que dar un paso atrás y examinar cómo las VPN protegen a sus usuarios. La analogía más común es que una VPN proporciona un túnel cifrado para las comunicaciones entre el cliente VPN en el dispositivo de un usuario, como podría ser un equipo informático o un dispositivo móvil y el servidor VPN.

Este túnel esencialmente significa que ninguna otra parte puede ver las conexiones y los datos que está transfiriendo entre tu dispositivo y el servidor de salida. Tu ISP, el Gobierno y otros espías podrán ver que está enviando datos cifrados a través de una VPN, pero no podrán ver qué datos son.

Sin embargo, si alguien está examinando el tráfico entre el servidor de salida y el sitio web que está visitando, podrá ver que alguien del servidor de la VPN se está conectando al sitio, pero no sabrán de dónde se origina la conexión, es decir, tu conexión.

Sin embargo, ¿cuáles son los riesgos? Las VPN gratuitas suelen utilizar protocolos menos seguros y no tienen muchos recursos para proteger su infraestructura de servidores. Eso significa que su conexión es menos segura y es más probable que se vea comprometida por piratas informáticos en comparación con un VPN de pago, o acabar incluso en una lista de SPAM si el servicio VPN gratuito esta en listas negras de proveedores de Internet.

«Gratis» no es completamente gratis cuando se trata de acceder a sitios web bloqueados a través de una VPN gratuita. Estos proveedores de VPN realmente podrían espiar ellos mismos tus datos personales, o peor, muchos de estos servicios «gratuitos» venderán tu información personal a terceros, y algunos incluso llegarán a colocar publicidad adicional (a veces maliciosa).

VPN gratuitas para móviles

La tienda de aplicaciones Google Play tiene alrededor de 250 aplicaciones de Android que proporcionan acceso a servicios de VPN gratuitos.

¿Las malas noticias? Muchas de estas aplicaciones VPN podrían estar saboteando tu seguridad y privacidad. Un estudio reciente realizado por investigadores estadounidenses y australianos descubrió que, muchas aplicaciones VPN de Android eran potencialmente maliciosas, dejaban que terceros espiaran las comunicaciones «seguras», rastreaban usuarios o simplemente no funcionaban, es por esto que desaconsejamos el uso de servicios de VPN gratuitos como regla genera si vas a consultar datos confidenciales desde tus dispositivos.

Por último, desde Prestigia Seguridad, nuestros expertos podrían testear la seguridad de tus sistemas VPN en el caso de que dispongas de ellos, mediante los Test de Intrusión que realizamos, no dudes en contactar con nosotros para informarte.

fake news prestigia seguridad
Cómo combatir las Fake News
1020 680 Prestigia

Los expertos recomiendan evitar el término fake news o noticias falsas, o al menos limitar su uso, ya que el término fake news está estrechamente relacionado con la política y esta asociación puede limitar el enfoque de la terminología. El término desinformación es preferible ya que puede referirse a una amplia gama de hitos que cubre temas como salud, medio ambiente y economía en todas las plataformas y géneros, mientras que fake news se entiende más estrechamente como noticias políticas, aunque día a día vemos como se extiende mas el uso de esta palabra.

Qué son las Fake News

Muchas de las noticias que lees en Internet, especialmente en tus redes sociales, pueden parecer ciertas, pero a menudo no lo son. Las fake news son noticias, historias o engaños creados para desinformar deliberadamente a los lectores. Por lo general, estas historias se crean para influir en las opiniones de las personas o causar confusión y, a menudo, pueden ser un negocio rentable para los editores de las noticias. Las fake news puede engañar a las personas al parecer sitios web confiables o al usar nombres y direcciones web similares a organizaciones con buena reputación y evitar incluso que tu reputación se vea afectada.

El termino fake news no es nuevo, sin embargo, se ha convertido en un tema candente desde 2017. Tradicionalmente, recibimos nuestras noticias de fuentes confiables, periodistas y medios de comunicación que deben seguir estrictos códigos de práctica. Sin embargo, Internet ha permitido una nueva forma de publicar, compartir y consumir información y noticias con muy poca regulación o estándares editoriales. Muchas personas ahora reciben noticias de las redes sociales y, a menudo, puede ser difícil contar si las historias son creíbles o no. La sobrecarga de información y la falta general de comprensión sobre cómo funciona Internet por las personas también ha contribuido a un aumento de fake news o noticias falsas. Las redes sociales pueden desempeñar un papel importante para aumentar el alcance de este tipo de historias.

Consejos para detectar las Fake News

A continuación, comentamos los principales consejos:

  • Desarrollar una mentalidad crítica: Una de las principales razones por las que las fake news son un problema tan grande que a menudo son creíbles, lo que significa que es fácil ser engañado. Muchas fake news también se escriben para crear un valor de «choque», esto significa que es esencial que mantengas tu respuesta emocional a tales historias bajo control. En cambio, acercarte a lo que ves y oyes de manera racional y crítica seria lo ideal.
  • Verificar la fuente de la noticia: Si te encuentras con una historia de una fuente de la que nunca has oído hablar antes o no esté bien posicionada, ¡duda! Investiga más sobre el editor. Siempre dudar de URL extrañas que terminan en extensiones como «.infonet» y «.offer», en lugar de «.com» o «.co.uk», o que contienen errores ortográficos, pueden significar que la fuente es sospechosa.
  • Verificar quién más está informando la historia: Comprobar si la historia ha sido recogida por otros editores de noticias conocidos. Las historias de organizaciones como Reuters, CNN y BBC, habrán sido revisadas y verificadas de antemano. Si la información que tienes no proviene de una fuente conocida como estas, existe la posibilidad de que pueda ser falsa.
  • Examinar las evidencias: Una noticia creíble incluirá muchos hechos: citas de expertos, datos de encuestas y estadísticas oficiales, por ejemplo. Si faltan o la fuente es un experto desconocido o un «amigo», ¡duda!
  • Buscar imágenes falsas: El software de edición de imágenes moderno ha facilitado a las personas la creación de imágenes falsas que se ven profesionales y reales. De hecho, la investigación muestra que solo la mitad de nosotros puede saber cuándo las imágenes son falsas. Sin embargo, hay algunas señales de advertencia que puede tener en cuenta. Sombras extrañas en la imagen, bordes irregulares alrededor de una figura, etc.
  • Comprobar que «suene bien»: Finalmente, usa tu sentido común, si una historia suena increíble, probablemente lo sea. Tened en cuenta que las fake news están diseñadas para alimentar sus prejuicios o miedos.

En conclusión, las fake news o noticias falsas se refieren a falsedades o historias deliberadas que contienen algo de verdad, pero que no son completamente precisas. Algunas personas también afirman que las historias verdaderas son «noticias falsas», simplemente porque no están de acuerdo con ellas.

Por último, desde Prestigia Seguridad, nuestro equipo tiene la capacidad de analizar en fuentes abiertas este tipo de noticias y estamos especializados en posicionamiento en Internet, con el fin de mejorar la seguridad y visibilidad de tu compañía.

filtraciones de datos prestigia
Mayores filtraciones de datos hackeados de la historia
1020 680 Prestigia

Desde Prestigia Seguridad, en múltiples ocasiones hemos compartido artículos relacionados con consejos y buenas prácticas a seguir sobre cómo puede afectar un ataque de inyección SQL a tu web, donde comentábamos como mediante este tipo de ataque, un atacante podría obtener información de nuestra base de datos y provocar fugas de información. Sin embargo, al hilo de las brechas de información, hemos recopilado las que más impacto han tenido en los últimos años.

Las brechas de datos ocurren a diario, en demasiados lugares a la vez, donde en muchas ocasiones no sabremos si han ocurrido. Pero, ¿qué constituye una gran brecha versus una pequeña? ¿Cómo afecta ante la regulación de protección de datos? Hemos recopilado una lista de las mayores brechas de seguridad de la historia, donde millones de usuarios se han visto afectados.

Esta lista se basa no necesariamente en la cantidad de registros comprometidos, sino en la cantidad de riesgo o el daño que la brecha causó a compañías, aseguradoras y usuarios o titulares de cuentas. En algunos casos, las contraseñas y otra información estaban bien protegidas cifradas, ante estos casos, las compañías siempre han obligado a los usuarios a cambiar sus contraseñas.

¿Cuáles han sido las mayores filtraciones de datos?

A continuación, os contamos cuales han sido las mayores filtraciones de datos a lo largo de la historia:

  • Yahoo: en septiembre de 2016, el gigante de Internet, que una vez fue dominante, en negociaciones para venderse a Verizon, anunció que había sido víctima de la mayor violación de datos de la historia, probablemente por «un atacante patrocinado por el Estado», en 2014. El ataque comprometió los nombres reales, las direcciones de correo electrónico, las fechas de nacimiento y los números de teléfono de 500 millones de usuarios. La compañía dijo que la «gran mayoría» de las contraseñas obtenidas, habían sido procesadas utilizando el robusto algoritmo de cifrado bcrypt, dificultando obtener la contraseña en claro.
  • Marriott Hotels: en noviembre de 2018, Marriott International anunció que los cibercriminales habían robado datos de aproximadamente 500 millones de clientes. La violación realmente ocurrió en los sistemas que admiten marcas de hoteles Starwood a partir de 2014. Los atacantes permanecieron en el sistema después de que Marriott adquirió Starwood en 2016 y no se descubrieron hasta septiembre de 2018.
  • FriendFinder Network: La red FriendFinder, que incluyó sitios casuales de conexión y contenido para adultos como Adult Friend Finder, Penthouse.com, Cams.com, iCams.com y Stripshow.com, fue atacada en algún momento a mediados de octubre de 2016. Los cibercriminales recopilaron 20 años de datos en seis bases de datos que incluían nombres, direcciones de correo electrónico y contraseñas.
  • eBay: el gigante de las subastas en línea informó un ataque cibernético en mayo de 2014 que contenía nombres, direcciones, fechas de nacimiento y contraseñas cifradas de todos sus 145 millones de usuarios. La compañía dijo que los cibercriminales ingresaron a la red de la compañía utilizando las credenciales de tres empleados corporativos, y tuvieron acceso interno completo durante 229 días, tiempo durante el cual pudieron acceder a la base de datos de usuarios.

Una imagen vale más que mil palabras

El año 2019 ha sido bastante movido en cuestión de brechas de datos. Entonces, está claro que necesitamos recordar de que tenemos un largo camino por recorrer para hacer del mundo en línea un lugar más seguro, basándonos en los datos.

La preocupante realidad es que la mayoría de las brechas de datos de 2019, incluidas todas las que hemos contado de años anteriores, podrían haberse evitado con políticas e inversión en seguridad.

Debemos evitar a toda costa caer en la mentalidad hastiada de «otro día” u “otra brecha de datos», porque proteger la información ahora es más importante que nunca. Si alguna vez has proporcionado datos personales a alguna empresa, ya sea en línea o fuera de línea, lamento decir que esta, es un posible objetivo de ciberataques.

Desde Prestigia Seguridad no queremos dejar de aconsejar como lectura recomendada la entrada sobre errores comunes en la gestión de la seguridad en empresa y recomendar la contratación de profesionales para ejecutar test de seguridad que eviten poner en riesgo los datos de la compañía frente a cibercriminales.

herramientas sast dast prestigia seguridad
Qué son las herramientas SAST y DAST
1020 680 Prestigia

Se estima que el 90 por ciento de los incidentes de seguridad son el resultado de atacantes que explotan errores de software conocidos. Debemos decir que, eliminar esos errores en la fase de desarrollo del software, podría reducir los riesgos de seguridad que enfrentan muchas organizaciones hoy en día. Para hacer eso, hay varias tecnologías disponibles para ayudar a los desarrolladores a detectar fallas de seguridad, antes de que se conviertan en una versión final de software, donde incluiríamos SAST (Static application security testing) y DAST (Dynamic Application Security Testing).

Conceptos de SAST y DAST

SAST y DAST son metodologías de pruebas de seguridad de aplicaciones que se utilizan para encontrar vulnerabilidades o deficiencias de seguridad que pueden hacer que una aplicación, sea susceptible a ataques. La prueba de seguridad de aplicaciones estáticas (SAST) es un método de prueba de caja blanca, donde se examina el código fuente para encontrar fallos y debilidades del software, como las inyecciones de SQL y otras que figuran en el Top 10 de OWASP.

Las pruebas de seguridad de aplicaciones dinámicas (DAST) son una metodología de pruebas de caja negra que examinan una aplicación mientras se ejecuta, para encontrar vulnerabilidades que un atacante podría aprovechar.

A esto debemos sumar elegir un alojamiento web seguro, protegido e implementando siempre los últimos parches de seguridad.

SAST vs DAST

A continuación, comentamos las principales diferencias:

  • SAST: es una prueba de seguridad de aplicaciones estáticas, es decir, analiza una aplicación sin ejecutarla. Hay una variedad de formas de hacerlo, desde la revisión manual hasta análisis de métricas con herramientas automáticas, análisis de patrones y análisis de flujos de datos. Esto se considera prueba de caja blanca. Con mayor frecuencia, los usuarios de SAST se preocupan por el análisis del flujo de datos porque les permite buscar problemas de seguridad, como datos no validados antes de que se ejecute en la aplicación.

Las pruebas anteriores son mejores, porque cuestan mucho menos, por lo que la principal ventaja de SAST es que se puede auditar antes, mucho antes de que la aplicación o el sistema completo esté listo. Con el análisis SAST, se tiene un profundo conocimiento interno del código fuente para que se sepa exactamente qué código está involucrado con un fallo de seguridad y poder solventarlo.

  • DAST: DAST es prueba de seguridad de aplicaciones dinámico. Esto significa que auditaremos una aplicación (o dispositivo) en funcionamiento, generalmente a través de sus entradas e interfaces (aplicación web, móvil, etc). Esto es una prueba de caja negra, en el sentido de que está utilizando la aplicación sin mirar sus componentes internos (código fuente).

La mayor ventaja de DAST es que obviamente serán pruebas realistas que tendrán en cuenta la aplicación completa y su uso por parte del usuario final para identificar vulnerabilidades. En segundo lugar, las pruebas DAST no dependen de un conocimiento profundo del código fuente.

Tener una estrategia SAST sólida que incorpore revisiones y auditorias de código de detección temprana de vulnerabilidades y estándares de codificación seguros, como CERT es la forma más completa de asegurar una aplicación y dejar de tener los mismos problemas de seguridad una y otra vez. Pero, para complementar, con una auditoria de tipo DAST podemos conectar SAST con lo que DAST está haciendo y ejecutando en tiempo real, reportando nuestras actividades SAST con información obtenida de DAST y evitar por ejemplo que nuestros sistemas formen parte de una Botnet por un ataque.

Al usar SAST y DAST combinados, trabajas con lo que nos gusta pensar como una mentalidad a prueba de fallos de seguridad, previniendo a futuro incidentes de seguridad. En un entorno seguro por diseño, a prueba de fallos, es interesante también que adoptamos el enfoque de la arquitectura, ciframos bases de datos, aplicando parches de vulnerabilidades, etc. De esa manera, el comportamiento de nuestra aplicación o proyecto, de forma predeterminada será seguro o minimizaremos de forma considerable potenciales fallos o vulnerabilidades, gracias a las pruebas de SAST y DAST.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad tanto a nivel de código (SAST) como auditorias dinámicas (DAST) a una de aplicaciones web y CMS, que contemplan auditorias en sistemas de acceso con Smart Cards, con el fin de mejorar la seguridad de tu compañía.

smart cards prestigia seguridad
La ciberseguridad en los Smart Cards
1020 680 Prestigia

Una tarjeta inteligente o también denominada Smart Card es una tarjeta de plástico típica que contiene un chip incrustado que es del tipo microprocesador o memoria. Los datos que el chip es responsable de almacenar y transmitir contienen la información o una combinación de datos y procesos programados. Los datos de la tarjeta se transmiten a través de un lector, que es el componente externo del sistema informático de seguridad en las Smart Cards. Varios sectores comerciales, como la banca, la salud, las finanzas, el entretenimiento y los medios de comunicación hoy en día, utilizan sistemas de seguridad de tarjetas inteligentes en sus aplicaciones y sistemas como medida de seguridad para prevenir ataques. Las aplicaciones que utilizan tarjetas inteligentes se benefician de las diversas características de seguridad robustas que proporcionan estas tarjetas con chip.

Seguridad en Smart Cards

La necesidad de seguridad en cualquier transacción ha hecho que el despliegue de tarjetas inteligentes sea muy relevante. Uno de los principales usos de las tarjetas inteligentes, es proporcionar un almacenamiento seguro de la información confidencial de los usuarios, como la identidad de la cuenta del mismo. En general, se prefieren las tarjetas inteligentes ya que conllevan un coste de mantenimiento mucho menor. Además, a diferencia de otros sistemas de seguridad de tarjetas como las tarjetas de banda magnética usadas en el sector bancario sobre todo, los sistemas de seguridad de tarjetas inteligentes ponen toda la información y funciones necesarias en la propia tarjeta. Las tarjetas de banda magnética dividen la información y la carga de funciones entre ellos y el lector o el servidor central. Gracias a esto, el usuario no necesita acceder a bases de datos externas durante los procesos de transacción.

Las tarjetas inteligentes también facilitan la transacción segura de datos a través de cualquier tipo de red virtual. A diferencia de las bandas magnéticas que almacenan cantidades insignificantes de datos de solo lectura, las tarjetas inteligentes están equipadas con microprocesadores que permiten a las tarjetas recibir, almacenar, actualizar y tomar decisiones sobre los datos. Esto significa que, si se ha emitido una tarjeta inteligente, pero su información se actualiza, no necesitas una nueva tarjeta, sino que puedes actualizar la información directamente en tu tarjeta existente sin cambiarla. Esto reduce en gran medida el riesgo de perder la tarjeta o extraviar la anterior y comprometer su seguridad.

Tipos de Smart Cards

Las tarjetas inteligentes se pueden dividir ampliamente en tres categorías, dependiendo de la tecnología del chip de seguridad que contienen:

  • Tarjetas de microprocesador de circuito integrado: también conocidas como tarjetas con chip, ofrecen mucho más almacenamiento de memoria y seguridad de datos, que las tarjetas magnéticas tradicionales. Estas tarjetas tienen procesadores de datos integrados, todos incluidos en el chip inteligente. Como resultado, estas tarjetas inteligentes se utilizan principalmente para identidades digitales de seguridad (tarjetas de identificación) como si fuera un certificado SSL personal y se implementan en aplicaciones que requieren la manipulación de grandes cantidades de datos. Esta tarjeta en particular puede agregar, eliminar y alterar información en la tarjeta.
  • Tarjetas de memoria de circuito integrado: estas tarjetas pueden almacenar hasta 1 a 4 kb de datos, pero no tienen procesadores de datos. Por lo tanto, estas tarjetas se basan en un dispositivo de lectura de tarjetas para el procesamiento de datos. La tarjeta de memoria solo se puede utilizar en el caso de una tarea preestablecida. Las tarjetas telefónicas son el ejemplo más común de este tipo de tarjeta inteligente, ya que su único propósito es agregar una cantidad fija de valor a un teléfono. No necesita actualizarse ni cambiar sus datos.
  • Tarjetas de memoria óptica: las tarjetas de memoria óptica parecen almacenar hasta 4 mb de datos, mucha más información que las tarjetas de circuito integrado. Sin embargo, una vez que se escriben los datos, no se pueden eliminar ni reemplazar. Esto los hace óptimos para almacenar una gran cantidad de datos a los que desea acceder en el futuro, pero que no necesitará modificar de ninguna manera. Las tarjetas de memoria óptica son ideales para aplicaciones que implican el mantenimiento de registros, como archivos médicos.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad a una inmensidad de sectores empresariales, que contemplan auditorias en sistemas de acceso con Smart Cards, con el fin de mejorar la seguridad de tu compañía.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.