Entradas Por :

Prestigia Seguridad

Ransomware Calavera Hacker Hacking
Consecuencias de una mala planificación IT ante un ciberataque.
1024 693 Prestigia

Uno de los negocios más lucrativos para los delincuentes es la Ciberdelincuencia. Se considera que ya suponen un valor de alrededor de un 0,8% del PIB Mundial (entre 445.000 y 600.000 millones de dólares). Y esto es debido al anonimato y protección de internet, y a la par, a la facilidad para hacerlos. Además, los ciberdelincuentes se aprovechan de los errores humanos en la mayoría de casos para que sus ataques sean efectivos. Los últimos estudios indican que el 95% de los casos de ciberataques necesitan de un fallo humano (o más) para ser efectivos.

Uno de los ataques más efectivos (y lucrativos) son los ataques Ransomware (o también conocidos como Cryptolockers). Estos ataques aprovechan un descuido de un usuario o una mala implementación de seguridad de un entorno empresarial para poder ejecutar un programa (conocidos como Ransomware) que encriptará la información de la empresa.

Como muestra, os explicamos uno de los últimos casos que hemos conocido. En este caso fallaron muchas cosas, y los atacantes pudieron hacer uno de los ataques más efectivos que hemos visto.

Vamos a exponer desde el punto de vista técnico un ejemplo en el que la afectación ha sido importante y en que unas medidas de seguridad insuficientes y ciertos errores en la planificación IT propiciaron unos importantes quebraderos de cabeza a la empresa.

La empresa empieza a detectar ficheros encriptados, con afectación a un número importante de servidores, lo que le impide trabajar con normalidad hasta el punto de dejar la empresa totalmente inoperativa ya que dejan de estar operativos los sistemas IT. Cuando se intenta recurrir a las copias de seguridad estas también están afectadas ya que el ataque se propaga también a través del sistema de copias de seguridad que no esta correctamente aislado y además uno de los equipos de backup esta averiado.

Se identifica que el ataque se ha propagado y generado distintos códigos desde varios servidores, lo que dificulta la recuperación de los datos. Se analiza el ataque en busca de soluciones para su recuperación pero no hay ningún sistema conocido que permita esta gestión, con lo que a la empresa solo le queda la opción de contactar con el atacante y pagar el rescate, la peor de las opciones y que genera muchas dudas sobre la efectividad, a parte del alto riesgo que conlleva.

Esta gestión finalmente les permite una recuperación parcial de los datos, al ser diferentes servidores el ataque genera diferentes códigos y incluso pagando el rescate resulta complicado recuperar los datos. Con la ayuda de los especialistas técnicos en ciberseguridad se consigue agilizar la localización de las fuentes del ataque y agilizar el proceso de recuperación, así como lo mas importante de cara al futuro, que es evitar que vuelva a ocurrir este grave suceso.

Todo ello lleva a esta empresa a estar con graves afectaciones durante mas de dos semanas, y afectaciones menores que se prolongan durante meses hasta volver a la normalidad. Analizando el ataque y con una posterior auditoria podemos resumir qué ha fallado y los principales errores cometidos que han permitido esta grave afectación:

  1. Errores en la planificación de la infraestructura IT: gran cantidad de usuarios (incluso externos) con permisos de administrador que permiten al atacante llegar hasta todos los recursos y datos de la red. Insuficiente seguridad en el acceso a los datos críticos de la empresa. Configuración DNS errónea que impide identificar correctamente el origen del ataque detectado por la herramienta de seguridad perimetral y endpoint.
  2. Copias de seguridad incorrectamente configuradas: sin copia o réplica aislada y encriptada en la nube u offline en soporte externo.
  3. Ausencia de elementos adecuados de protección a nivel perimetral y endpoint. Las soluciones avanzadas permiten detectar ataques desconocidos de este tipo mediante nuevos sistemas de análisis: deep inspection, escaneo en la nube via sandboxing, análisis de comportamiento y machine learning, entre otros.
  4. Comunicaciones inseguras: accesos desde fuera de la empresa no suficientemente controlados, aun disponiendo de conexiones VPN. Wifi insegura con acceso a los datos de la empresa. Redes incorrectamente segmentadas.
  5. Carencia de formación y phishing experiment a los usuarios: es necesario que los usuarios dispongan de una formación adecuada en el uso de la tecnología y la prevención de ataques, focalizado principalmente a la detección precoz de phishing, spear phishing y spoofing. Se recomienda también testear mediante herramientas de phishing experiment y similares la efectividad de la formación realizada a los usuarios.
  6. Ausencia de plan de contingencia. El hecho de no disponer de un plan de contingencia ante este tipo de situaciones provoca una crisis importante, disponer de este plan ayudará a volver cuanto antes a la normalidad y operativa diaria en un breve plazo de tiempo.

Todos estos puntos nos permiten llegar a conclusiones sobre las acciones a realizar para minimizar las probabilidades de recibir este tipo de ataques y evitar que nos puedan afectar gravemente, ya que a día de hoy nos es posible evitarlos al 100%. El paso previo para la mayoría de empresas es realizar una auditoria de seguridad, para luego implantar las soluciones recomendadas en las conclusiones.

Hoy en día la inversión en tecnologías y concienciación en ciberseguridad es una prioridad para proteger debidamente la empresa ante afectaciones directas a tesorería, reputación y productividad y así deben valorarlo los consejos de administración y dirección de las empresas.

*Post invitado, por Jordi Bartes, IT Consultant en Infoself Grouppartner de Prestigia Seguridad

Qué son y qué hacer ante las Brechas de Seguridad
1024 576 Prestigia

Hace poco más de un año nos hacíamos eco en este blog de que la ciberseguridad era, para el Foro de Davos, un desafío global. La seguridad en Internet, decíamos, es un riesgo que tiene un coste global anual de 500.000 millones de dólares. Ahí es nada.

La inmensa mayoría de los ataques los sufren empresas corrientes, pymes como la nuestra. Así, según el INCIBE, el 70% de los ataques informáticos son dirigidos a PYMES. Con todo, también las grandes marcas se ven afectadas y nos recuerdan que ninguno estamos a salvo. En lo que llevamos de año, tenemos constancia de que han sufrido ataques Facebook, Xiaomi, Toyota, Nokia y Twitter, entre otras. Muchas de estas empresas trabajan y se nutren de nuestros datos.

Desde Prestigia Seguridad queremos recordaros cuáles son las principales medidas que hay que tomar cuando tus datos personales se ven comprometidos por una brecha de seguridad.

¿Qué es una brecha de seguridad?

Las brechas de seguridad son fallos o violaciones de seguridad en las empresas que almacenan datos personales y que conllevan la pérdida o robo de estos. Cualquier empresa es susceptible de sufrir una brecha de seguridad, siendo el factor humano la causa principal.

Los cibercriminales pueden utilizar una brecha de seguridad para conseguir datos como contraseñas, números de tarjetas de crédito, archivos personales, etc.

Hace unos días, por ejemplo, Microsoft anunciaba que unos ciberdelincuentes tuvieron acceso a cuentas personales de correo electrónico de sus usuarios a causa de una brecha de seguridad. Los hackers lo lograron gracias a la contraseña de un trabajador de la empresa. Incluso en un gigante tecnológico como Microsoft, la formación de sus empleados se ha demostrado insuficiente.

Otro ejemplo muy comentado este 2019, ha sido la brecha de seguridad que sufrió el popular videojuego multiplataforma Fortnite, donde quedaron expuestos datos personales de las cuentas de los jugadores, incluyendo los números de las tarjetas de crédito. Los atacantes pudieron hacer compras dentro del juego aprovechando los datos bancarios que obtuvieron.

La aerolínea British Airways, sufrió una brecha de seguridad entre los días 21 de agosto y 5 de septiembre del 2018, donde le robaron 300 mil números de tarjetas de crédito, de usuarios que realizaron reservas a través de la página web de la compañía y de la aplicación móvil.

Facebook, la red social con más usuarios del mundo, ha sufrido varios ciberataques desde su aparición en 2004. En septiembre de 2018 la compañía escribió una publicación en su blog, dando a conocer un fallo de seguridad que afectó a 50 millones de cuentas que los cibercriminales aprovecharon para acceder a las cuentas afectadas.

Qué hacer como usuario ante una brecha de seguridad

Lo primero que podemos hacer nosotros como usuarios es prevenir.

Como os explicamos en nuestro post sobre la sextorsión, un hacker puede aprovechar una brecha de seguridad en una web, plataforma o aplicación donde estés registrado, y con ello, conseguir tu información personal, mandarte un email utilizando alguna de tus contraseñas como gancho y pedirte dinero a cambio de no compartir tus datos personales. Así son las extorsiones modernas.

Puede que tus datos se hayan visto comprometidos y te enteres por alguna noticia aparecida en los medios, por aviso de la propia empresa afectada o por contrastarlo tú mismo usando alguna herramienta pública como ésta: https://haveibeenpwned.com

Desde Prestigia recomendamos:

Mantener la calma: cuando recibes algún chantaje o extorsión, ignora al remitente. En general, negociar con un cibercriminal que hace del engaño y el robo su medio de vida no acostumbra a ser una buena idea. Denúncialo a la Policía.

Cambia tus contraseñas en todas tus redes y dispositivos: esta es la primera medida de choque cuando tus datos se han visto comprometidos. Tus nuevas contraseñas deben ser distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas, de forma que puedas incluir mayúsculas, minúsculas, letras, números y símbolos (mínimo 8 caracteres).

¿Hemos dicho contraseñas distintas? Sí, así es. Si utilizas la misma contraseña en todas las plataformas, con solo conseguir la contraseña en un sitio, los cibercriminales pueden entrar en todos los demás donde estés registrado. De forma que deberías usar una contraseña por sitio web o aplicación. Y tener todas las contraseñas custodiadas a buen recaudo, hay distintas aplicaciones para hacerlo, pero esto daría para otro post.

Configura la verificación en dos pasos: La mayoría de grandes empresas como Google, Android, Epic Games o las bancas digitales, nos ofrecen la llamada verificación en dos pasos, es decir, nos ofrecen la posibilidad de activar una confirmación de inicio de sesión vía sms a nuestro móvil personal.

Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

Evita que te graben y te vigilen con una cubierta para tu webcam. Deshabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

Y tú, ¿has sido víctima de alguna brecha de seguridad?. ¿Cómo te has dado cuenta?. ¿Te ha notificado alguna empresa la pérdida o robo de tus datos personales?

Si aún no tienes protegida la seguridad de tu empresa, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. Puedes contactar con nuestros especialistas en ciberseguridad.

Prevencion Ciberseguridad
Prevención y reacción frente a los ciberataques
1024 692 Prestigia

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras y estar más protegidas frentes a los ciberincidentes

Según los últimos datos publicados por el Ministerio del Interior, las denuncias por incidentes en el ámbito digital han pasado de casi 50.000 denuncias en 2014 a más de 81.000 en 2017. Además, de estas últimas, solamente el 27,2 % se han esclarecido, lo cual pone de relieve las dificultades que existen para perseguir este tipo de delitos.

A medida que una organización crece en Internet, aumentan las posibilidades de sufrir un ataque, aumenta su grado de vulnerabilidad y resulta, por tanto, más necesario reforzar los mecanismos de prevención y de reacción, algunos de los cuales ya están previstos por el propio legislador.

El nuevo Reglamento General de Protección de Datos (RGPD), que consagra los principios de responsabilidad proactiva y de privacy by design en el sentido de exigir más responsabilidad a las organizaciones en el cumplimiento de la normativa, prevé una serie de herramientas que ayudan a las empresas a ser más cuidadosas con el tratamiento de los datos personales y a ser más robustas en el ámbito de la seguridad.

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras. Clic para tuitear

Así, actualmente, y según el RGPD, las empresas deben realizar –con carácter obligatorio– una evaluación de seguridad, que determine las medidas técnicas de seguridad más adecuadas a implantar en función de los riesgos detectados.

Además, cuando las actividades empresariales consistan en tratamientos masivos de datos sensibles o los departamentos de marketing realicen un volumen elevado de evaluaciones de perfiles (profiling), las empresas deberán someterse a un tipo de auditoría denominada “Evaluación de Impacto” que deberá determinar cómo tiene que realizarse dicho tratamiento para alinearse con los nuevos requisitos y principios de la normativa, y a designar una persona –el Delegado de Protección de Datos– que les guíe, acompañe y asista en dicho cumplimiento.

A nivel reactivo, conviene tener en cuenta que, cuando una entidad sufra un incidente o brecha de seguridad que afecte a datos personales deberá notificarlo a la Autoridad de Protección de Datos, a poder ser, en un plazo de 72 horas, siendo necesario informar previamente/sobre el asunto a los afectados, si se ha puesto en grave riesgo su intimidad.

Por otro lado, de acuerdo con el Real Decreto 12/2018, desde el pasado mes de septiembre las empresas que vendan o presten servicios en línea, de motores de búsqueda o de servicios cloud, que no sean microempresas o empresas pequeñas (esto es, que tengan más de 50 trabajadores o tengan un volumen de negocio superior a los 10 millones de euros) deberán realizar una evaluación de riesgos en materia de seguridad (distinta a la prevista por la normativa de protección de datos) que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

También deberán  notificar a las autoridades competentes (equipos de respuesta) los incidentes de seguridad que tengan efectos relevantes en la prestación de sus servicios digitales y resolver los mencionados incidentes, solicitando, en su caso, ayuda especializada, adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes y comunicar su actividad a la Secretaría de Avance Digital del Ministerio de Economía.

A pesar de que ambas regulaciones prevén sanciones administrativas muy elevadas (de hasta de 20 millones o el 4% del volumen de negocio del ejercicio fiscal anterior, en el ámbito de los datos y de hasta 10 millones de euros, en el ámbito de la ciberseguridad) las empresas deben ver el cumplimiento de dichas obligaciones no únicamente como una vía para evitarlas, sino como una oportunidad para ser más seguras y estar más protegidas frente a los ciberincidentes.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad

¿Cómo saber si nuestro ordenador está infectado o pertenece a una botnet?
400 266 Prestigia

En noticias relacionadas con ciberdelincuentes, encontramos multitud de términos, expresiones técnicas o jerga tecnológica que el lector, en general, desconoce. En la siguiente publicación vamos tratar una de ellas: las botnets.

Antes de hablar de ellas vamos a explicar qué son. Una botnet es el término que se aplica a una gran red de ordenadores interconectados a un anfitrión u ordenador que los controla a todos a través de malware o algún otro programa informático.

Las botnets no tienen tamaños fijos, las más pequeñas pueden tener cientos de ordenadores y las más grandes cuentan con millones de ordenadores repartidos por todo el mundo, que han sido infectados con malware y están a la espera de ejecutar cualquier ataque coordinado que el gestor de la red prepare. El malware que las gestiona se vende al mejor postor, por lo que es habitual encontrar multitud de botnets funcionando bajo un mismo malware. Su uso habitual es para realizar ataques DDoS, ya que este tipo de ataques requieren una cantidad importante de ordenadores y su ancho de banda, conectándose al mismo tiempo a un servidor o página web para sobrecargar el sistema y provocar su desconexión. Otro uso habitual de una botnet es para hacer envío de spam o ataques de phishing.

Según informa La Vanguardia, «un total de 92 países fueron víctimas de ciberataques de botnet DDoS durante el cuarto trimestre de 2017, seis menos que en los tres meses anteriores, según datos de Kaspersky Lab. La compañía de ciberseguridad ha explicado que las motivaciones detrás de los incidentes más importantes fueron políticas.

¿Cómo infectan nuestro equipo y lo unen a una botnet?

Los ciberdelincuentes suelen utilizar dos tipos de ataques o formas de infectar nuestros equipos; el más común y fácil de ejecutar es enviar multitud de correos electrónicos, adjuntando ficheros PDF o Word, con código ejecutable en su interior. Una vez que el usuario abre el fichero y se ejecuta el código, su ordenador se infecta y se une a la botnet.

El segundo método es más laborioso y se conoce como drive-by downloads, y consiste en infectar un servidor web, aprovechando vulnerabilidades en su código y cargando el malware en él, infectando a los ordenadores de los usuarios que visitan la página, o dirigiéndolos a otras páginas desde donde poder infectar los equipos para poder controlarlos más tarde.

En ambos casos, un ordenador infectado está en manos del ciberdelincuente que gestiona la botnet, pudiendo hacer lo que quiera con él.

¿Cómo saber si nuestro ordenador pertenece a una botnet?

¿Habéis detectado alguna vez que la velocidad de Internet se vuelve lenta sin motivo aparente? ¿Que vuestro ordenador deja de responder? ¿Que los ventiladores de vuestro ordenador están funcionando a toda velocidad? Estos son algunos de los síntomas que indican que vuestro ordenador está infectado y puede estar vinculado a una botnet.

Lo primero es realizar un escaneo a nuestro equipo con la solución de seguridad o antivirus que tengamos instalada. Este escaneo debe ser a fondo y completo, ya que los antivirus suelen hacer escaneos rápidos para no consumir demasiados recursos de los equipos y no escanean todo el sistema de ficheros. Una vez finalizado, deberemos revisar el informe de resultados y realizar las acciones que se indiquen.

Si la solución de seguridad no indica ninguna infección, pero nuestro equipo se sigue comportando de forma errónea, se pueden usar programas específicos para detectar si el equipo pertenece a una botnet. Microsoft ofrece gratuitamente su Safety Scanner, como complemento a otros antivirus cuya misión es encontrar spyware, malware o rastros de las botnets más conocidas.

Si queremos comprobar si nuestra conexión o equipos pertenecen o han pertenecido a alguna botnet, la Oficina de Seguridad del Internauta (OSI) ofrece un servicio antibotnets desde el cual se puede comprobar la conexión o instalar alguno de los plugins para navegadores para hacer la comprobación de forma regular.

¿Cómo evitar que nuestro ordenador se una a una botnet?

Lo más importante es seguir unas sencillas pautas que nos protegerán en la mayoría de los casos:

1. No abrir ficheros adjuntos que no estemos esperando, aunque el remitente sea conocido. Como hemos comentado anteriormente, una de las formas de infección es vía correo electrónico. Se han infectado miles de ordenadores abriendo ficheros adjuntos en correos de compañías de mensajería, cuando el usuario no esperaba ningún paquete, o reclamos de premios en sorteos que nunca hemos participado, etc. Ante la duda, borrar siempre el mensaje.

2. Tener siempre nuestro ordenador actualizado y, en la medida de lo posible, contar con la última versión del sistema operativo existente instalado. En caso de no poder actualizar nuestro sistema operativo, debemos tener instaladas las últimas actualizaciones disponibles.

3. En entornos Windows, disponer de alguna solución de seguridad y antivirus instalada. Existen multitud de ellas, gratuitas y de pago. En entornos Mac se recomienda disponer de alguna solución antimalware, al igual que en entornos Linux sobre todo si instalamos software de sitios de dudosa reputación. Este tipo de soluciones suelen disponer de herramientas de monitorización del correo electrónico y del tráfico de internet en tiempo real, cuya misión es detectar el intento de instalación o ejecución de cualquier programa que conecte nuestro ordenador a la botnet. Por ejemplo, Malwarebytes.

¿Conoces lo que sucede en tu red informática? ¿Están seguros tus equipos o servidores? Si necesitas revisar tu red, servidores o equipamiento informático, podemos ayudarte.

El mantenimiento técnico de tu proyecto: no te la juegues
1024 682 Prestigia

Sí, te la juegas. Algunos clientes tienen pánico a los costes fijos. No escatiman en gastos para el lanzamiento de su proyecto, pero luego no acaban de entender la necesidad del mantenimiento técnico posterior. Y, aunque siempre avisamos, en ocasiones no reaccionan hasta que es tarde y ya han sufrido un ataque. Entonces te llaman angustiados. Y descubren que la intrusión se podría haber evitado actualizando sus sistemas, o implementando un parche de seguridad de su proveedor de software, o con la última versión del core de su CMS o de los plugins que utiliza su Web. ¿En serio? Sí, en serio. Un plugin de WordPress y un Drupal antiguo fueron los causantes de la filtración de los Papeles de Panamá, la mayor de la historia del periodismo.

La realidad es que el mantenimiento técnico incluye muchísimas cosas que a simple vista no se ven, como copias de seguridad, monitorización del servidor, protección ante ataques, seguridad del proyecto web, actualización del servidor o de los componentes… Ya lo dice el refrán: Más vale prevenir que curar. Y por eso hoy os hablamos de la importancia del mantenimiento técnico y del mantenimiento web, fundamentales para garantizar la seguridad de tu empresa en internet.

Dos tipos de mantenimiento: web y técnico

Mantenimiento web: Tener nuestro proyecto web actualizado quizás parece una tarea sencilla. Muchos de los gestores de contenidos disponen de funciones de actualización automática o semiautomática cuando lanzan nuevas versiones o corrigen fallos de seguridad. Sin embargo, una mala configuración nos puede dejar desprotegidos, como comentábamos hace poco en nuestro post sobre los mejores plugins de seguridad para WordPress. No sólo es de vital importancia mantener el software actualizado sino que, además, se deben realizar otras tareas asociadas para comprobar que nuestro proyecto funciona correctamente. Por ejemplo: revisar los registros de errores del servidor web para detectar fallos en nuestro proyecto web, revisar el consumo de ancho de banda para optimizar imágenes o detectar linkbuilding negativo, entre otras muchas.

Con el uso mayoritario de gestores de contenidos open source como WordPress, Joomla, Drupal, la seguridad web se ha convertido en el talón de aquiles de estos CMS. Así, tener una buen mantenimiento web – no solo del core y los plugins – es la primera defensa a la hora de tener protegido nuestro proyecto.

Mantenimiento técnico: Se refiere sobre todo a la parte física de nuestro proyecto, que en los casos de empresas pequeñas suele ser únicamente el servidor. Sin embargo, en proyectos más complejos también incluye el firewall, los balanceadores de carga, switches, routers y el resto de componentes de conectividad a la red.

Este mantenimiento gestiona la monitorización del servidor, las copias de seguridad tanto de ficheros como de las bases de datos, la correcta actualización del software de los servidores y sus componentes y, en el caso de componentes de hardware, su firmware siempre que aparezcan nuevas versiones, se detecten fallos o agujeros de seguridad.

El verano pasado, por ejemplo, se detectó un fallo de seguridad que afectaba a 500.000 routers conectados a la red, que permitía controlarlos de forma remota. Los fabricantes reaccionaron sacando nuevos firmwares para los dispositivos pero, en muchos casos, depende del administrador de sistemas o de la empresa encargada del mantenimiento implementar estas actualizaciones. Los routers domésticos son usados habitualmente por los ciberdelincuentes ya que conocen las contraseñas predeterminadas de los fabricantes, y los usuarios no cambiamos o actualizamos estas contraseñas. Es importante cambiar la contraseña del router y usar claves seguras para aumentar nuestra seguridad.

El ataque con ransomware más grave sufrido el año pasado en España, lo padeció Telefónica. Una infección masiva de sus sistemas y ordenadores de escritorio que se podría haber evitado (o al menos minimizado) si todos los equipos hubiesen estado actualizados a las últimas versiones.

Mantenimiento técnico y web: cuando lo barato sale caro

Él “mientras todo funcione no se toca” ya no vale. Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revise los sistemas operativos del servidor, se actualicen siguiendo un calendario programado y de forma inmediata cuando que se detecten fallos de seguridad que puedan ser usados por ciberdelincuentes. El informe de Kaspersky Lab de diciembre de 2017 indicaba que las medianas y pequeñas empresas han tenido que pagar una factura media de 74.000 euros por cada incidente de seguridad. Ahí es cuando entiendes que lo barato te puede salir caro.

¿Estás seguro de que tus servidores y proyectos web están actualizados? Si necesitas revisar tu mantenimiento web y técnico, podemos ayudarte.

test de intrusión
Test de intrusión: prevención ante el ciberataque que puede sufrir tu empresa
1024 688 Prestigia

Hace tiempo que no pasa un día en que se produzca un nuevo ataque informático. No se salva nadie. Ni los bancos, que aunque podrían parecer inexpugnables, no lo son. Tampoco ha salido bien parado IESE, una de las escuelas de negocio más prestigiosas del mundo, que esta semana sufría un hackeo grave y aún no se ha recuperado.

El Internet de las Cosas (IoT), la presencia constante de servicios en la nube, las redes sociales e Internet en general esconden debilidades en sus sistemas o infraestructuras que ciberdelicuentes pueden usar para robar información, realizar ciberespionaje industrial o incluso dejar a una empresa sin servicios de comunicación online.

La mejor defensa ante la ciberdelincuencia es la prevención. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión que nos permita evaluar los sistemas informáticos y su fortaleza ante posibles ataques intrusivos.

Test de intrusión: qué es y objetivos

El test de intrusión consiste en simular un ataque informático con el objetivo de infiltrarse en los sistemas. En otras palabras, se realiza una auditoria de seguridad pactada con el cliente a fin de llevar a cabo un acceso no autorizado a las redes y sistemas informáticos de la compañía. Todo ello de forma controlada.

El objetivo del test de intrusión es:

  • Detectar fallos y vulnerabilidades que necesitarán una corrección.
  • Descubrir el nivel de seguridad frente a ataques externos.
  • Prevenir intrusiones ajenas a la empresa
  • Mejorar el entorno de trabajo consiguiendo afianzar la seguridad de los sistema de información.

¿Cómo se realiza un test de intrusión?

Desde Prestigia Seguridad utilizamos la metodología de auditoría OWASP TOP 10 en nuestros trabajos de auditoría web desde un punto de vista de seguridad y evaluación de riesgos.

Este proceso para realizar un test de intrusión consta de las siguientes fases:

1. Recogida de información pública del cliente: Dominios, IP’s, servicios que ofrecen, todo ello a través de un análisis de sus páginas web, redes sociales, listas de IP’s, etc… buscando obtener el mayor número de información posible para preparar las siguientes fases de test.

2. Testeo la seguridad de sistemas de información y redes: analizar el hardware y el software, obtener toda la información de los servicios que funcionan en un servidor (web, correo, idap, nas, ftp…), … Los protocolos usados y los puertos abiertos son algunos de los puntos que ofrecen información sobre cómo acometer la intrusión o ataque a esos sistemas. Además se evalúan las políticas de control o acceso, la calidad de las contraseñas, las reglas del firewall y otros sistemas de seguridad de la empresa en caso de existir.

3. Evaluación de la capa de aplicaciones web, es decir, las accesibles desde internet, como extranets, e-commerces, crm, páginas web u otros…: formularios de entrada de datos, back-ends o gestores de contenido, directorios y cualquier código propio o de terceras partes (como plugins) que exista y sea accesible desde Internet para detectar vulnerabilidades que permitan efectuar ataques SQLi, XSS, DDoS, inyección de scripts que redireccionan a publicidad o al minado de criptomonedas.

Estos dos puntos se puede evaluar en diferente orden y dependerá de la información obtenida y la planificación anterior.

¿Por qué realizar un test de intrusión?

La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.

¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.

Wordpress plugins seguridad
Plugins de seguridad: qué son y cuáles son los mejores para WordPress
1024 546 Prestigia

La semana pasada os hablamos en el blog sobre la importancia de tener en cuenta factores vinculados a la seguridad a la hora de escoger un hosting web. Una vez tu alojamiento es seguro, hay que poner el ojo en la seguridad del propio CMS. Para ello serán necesarias una serie de medidas de seguridad, como instalar los mejores plugins de seguridad.

Teniendo en cuenta que WordPress es el gestor de contenidos más usado a nivel mundial, hoy ponemos el foco en los plugins de seguridad para este CMS.

Los plugins son un elemento necesario y de un valor añadido para que la seguridad de tu web sea inquebrantable. Sin embargo, es muy importante recordar que un plugin sin actualizar es una fuente de riesgo. De hecho, suelen ser la principal vía de ataques a páginas desarrolladas con WordPress. Por lo tanto, el primer consejo en relación a cualquier plugin que tengas instalado en tu CMS es que lo tengas siempre actualizado.

Cabe matizar, sin embargo, que si el plugin que tienes instalado es de pago y no está activado, debes estar atento a las notificaciones del WordPress o en web del desarrollador porque habitualmente las actualizaciones no se realizan de forma automática.

5 plugins de seguridad gratis para tu WordPress

1. All in One WP Security & Firewall. Es uno de los más completos porque incluye firewall, antivirus y un auditor de seguridad. De esta forma, por ejemplo, protege los permisos de los ficheros, busca código malicioso o bloquear ataques de fuerza bruta, entre otros aspectos. Es 100% gratuito, pero dispone de una versión más completa de pago que mejora la detección y protección.

2. iThemes Security. Ofrece hasta 30 formas distintas de proteger tu página web de ataques y hackers que intentan acceder a tu web a través de cualquier error o agujero de seguridad. La versión de pago aumenta considerablemente las funcionalidades de autenticación, escaneo de ficheros y defensa de nuestro CMS.

3. Sucuri Security. Se encarga de realizar una auditoría y análisis de malware a fin de reforzar la seguridad del CMS, monitorización en blacklist de las conexiones, notificaciones de seguridad. La funcionalidad de Firewall solo se incluye en la versión premium.

4. BulletProof Security. Tiene versión gratis y de pago y aunque no es el plugin más fácil de usar, incluye muchas funcionalidades con alto nivel de protección. Cuenta con medidas anti spam, firewall y escáner de malware, entre otras.

5. WordFence. Con más de 2 millones de instalaciones, es el plugin más utilizado por la comunidad de usuarios de WordPress. Detecta posibles virus y malware, analiza el tráfico de tu web en tiempo real para detectar rápidamente cualquier peligro y actúa como firewall. Por cierto, también tiene una función de cacheo que hará que la velocidad de carga de tu web sea mayor. La versión de pago, mejora los tiempos de respuesta ante incidencias, tiene una reglas de protección más eficientes y dispone de bloqueo de trafico a nivel geográfico.

Cualquiera de estos 5 plugins de seguridad para WordPress será un plus para la seguridad de tu página web. La correcta configuración del plugin es fundamental, la mayoría de términos y opciones de configuración son técnicas y para eso necesitarás seguramente ayuda profesional. Configurar erróneamente un Firewall puede bloquear las visitas de posibles clientes. Una incorrecta configuración en los ficheros genera fallos de seguridad que pueden ser usados por hackers para infectar la web.

Uno de los últimos clientes que nos vino a Prestigia Seguridad tenía el problema de tener dos plugins de seguridad, incorrectamente configurados y que eran incompatibles (se pisaban mutuamente). Es decir, a veces lo que abunda sí daña.

Por tanto, si no sabes qué plugin de seguridad de WordPress es el mejor para tu página web, contacta con nosotros y te ayudaremos a proteger tu web, no sólo con el mejor plugin de seguridad, sino también con otras medidas especiales para proteger tu CMS y tu servidor WEB.

¡Que la seguridad no sea tu talón de Aquiles!

alojamiento web
Claves para escoger el mejor alojamiento web
1024 690 Prestigia

Elegir un hosting web es el primer paso a la hora de poner en marcha una web, blog o ecommerce. Para hacerlo es importante tener unas nociones básicas sobre aquellos aspectos en los que fijarte a la hora de escoger un alojamiento web adecuado para tu negocio.

En Internet encontrarás infinidad de proveedores de alojamiento web. La mayoría ofrecerá el mismo tipo de servicio. Por eso, el nivel de seguridad y protección del hosting es un factor diferenciador entre proveedores.

La mejor solución de hosting será aquella que combine tecnologías punteras en materia de hardware y software. Por ejemplo, contar con un software seguro es especialmente imprescindible cuando tu web forma parte de un hosting compartido.

En estos casos, necesitarás un software completo para protegerse ante posibles ataques externos o incluso infecciones procedentes de otras páginas web que también forman parte de ese alojamiento. Y es que el servidor es la primera barrera ante las amenazas de la red. Así, asegúrate de que la empresa:

  • cuente con programas contra malware
  • disponga de filtros de detección de Spam y Virus
  • actualice con asiduidad los servidores y los aisle para evitar infecciones entre diferentes webs del mismo alojamiento
  • tenga un equipo o servicio de atención al cliente con el que contactar ante cualquier imprevisto
  • incluya un sistema de backups, es decir, que realice copias de seguridad a diario

Por otra parte, el mantenimiento web es otro de los aspectos que tienes que tener en cuenta a la hora de contratar un hosting web de calidad. En la mayoría de casos, el proveedor se encarga únicamente del servidor y el hosting pero no del mantenimiento de la web. Sin embargo, de nada sirve tener un servidor de calidad si nadie se encarga de actualizar el gestor de contenidos de tu página (CMS), los pluggins que utiliza, etc. Recuerda que la seguridad web es el talón de Aquiles de los mejores CMS.

También es importante contratar un servicio para que la web cuente con el certificado SSL de cuyas ventajas os hablamos aquí. Además, recientemente también dedicamos un post a conocer los inconvenientes de no implementarlo. En este punto cabe destacar que disponer del https también supone garantizar la seguridad del cliente y ganarse su confianza, mejorar el posicionamiento en Google y evitar que en tu web aparezca el aviso “no seguro” de Chrome que alejaría a los usuarios de tu página.

Por último, aunque no esté vinculado a la seguridad de tu web, escoge un servidor que garantice una óptima velocidad de carga si quieres que tu web se posicione bien y de sus frutos. Una web lenta puede marca el éxito o fracaso de tu proyecto o negocio.

¿Qué te ha parecido este artículo? Esperamos que te haya sido útil para saber cómo escoger el mejor hosting web para ti. En Prestigia Seguridad ofrecemos soluciones de hosting web adaptadas para cada cliente y proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

8 vulnerabilidades que hacen tu app insegura
1024 690 Prestigia

A menudo se habla sobre los riesgos de seguridad en redes sociales, Internet en general, correos electrónicos, etc. Sin embargo, también hay que vigilar que una app sea segura, especialmente teniendo en cuenta que según el estudio anual Mobile Marketing 2017 de IAB Spain, el uso de aplicaciones es mucho más intensivo de lo que los usuarios se imaginan.

Vulnerabilidades y riesgos más frecuentes en apps móviles

Según datos de Nowsecure, el 25% de las aplicaciones móviles contiene al menos una vulnerabilidad de seguridad de alto riesgo. El uso de dispositivos móviles es más intenso que nunca por lo tanto las vulnerabilidades también son más frecuentes y tanto empresas como particulares están más expuestos a ellas. A continuación, comentamos algunas de las vulnerabilidades más comunes:

  • Intentos de copiar el código fuente. Las aplicaciones suelen recopilar data sobre los usuarios, por lo tanto son muy golosas para los hackers. En este sentido, para evitar que se copie el código fuente, se lleva a cabo una ofuscación del mismo. Aunque no es definitivo frena muchos intentos de copiarlo.
  • Controles frágiles en el servidor. Las llamadas que realiza la app al servidor y viceversa es un foco peligroso. Por ello, se trabaja la securización de las llamadas de Webservice para evitar peligros. Se trata de un foco peligroso en el ámbito de las aplicaciones móviles.
  • Fuga de datos personales involuntaria. En el código fuente de una aplicación hay funciones más sensibles y otras menos. Por ejemplo, datos como los pagos, área de usuario, contraseñas o información personal son más sensibles que los datos generados en la aplicación. En este sentido, se recomienda llevar a cabo un cambio de nombre en comandos clave para que estos datos sean difíciles de reconocer e interpretar, y con una búsqueda simple de texto no sea posible encontrarlos.
  • Carencia de SSL. Al igual que sucede en las páginas webs con el certificado SSL, si una aplicación no dispone del mismo, no es segura. Por eso es importante que cuando una empresa desarrolla una aplicación móvil, está disponga del certificado SSL. Si al usuario le llega una alerta de que está ante una aplicación no segura, lo más posible es que no la descargue o incluso la desinstale.
  • Encriptación rota o débil: Estamos ante este caso cuando la comunicación a través de la red sin ningún tipo cifrado o uno muy débil que no garantizan la privacidad y seguridad de las conversaciones. Se trata de un aspecto muy importante a tener en cuenta durante el desarrollo de la aplicación móvil ya que si el algoritmo de encriptación no es lo suficientemente fuerte será un blanco fácil para los hackers.
  • Código abierto: El desarollo de una aplicación con código abierto implica que el desarrollador da acceso a su código fuente. Por un lado, facilita más ojos que puedan detectar los fallos pero…también mayor exposición y riesgo a que manos ajenas con fines delictivos o malignos también tengan a su alcance el código de tu aplicación. De hecho, dos de cada tres aplicaciones que usan código abierto son vulnerables.

Y como sucede en cualquier ámbito digital, las aplicaciones no están exentas de sufrir ataques por parte de hackers y malwares maliciosos. Estos son algunos de los más conocidos:

  • El DDoS es un ataque por derribo muy común. Consiste en lanzar miles de consultas a un servidor hasta que este cae. Para evitarlos, se implementan métodos anti DDoS que frenen, penalicen o cancelen ataques de esta clase.
  • Ataque XSS: Con este tipo de ataque el hacker consigue es capaz de inyectar un script, normalmente Javascript, en la app. De esta forma, el ataque se produce debido a una incorrecta validación de los datos de usuario. Con el XSS el delincuente informático puede robar cookies, sesiones de usuarios, modificar la app, instalar malware o incluso dirigir al usuario a sitios malignos.

Aunque a priori las vulnerabilidades más habituales en apps sean desconocidas o invisibles para el usuario, la realidad es que pueden causar importantes estragos. Especialmente en relación al robo de datos personales. El mismo riesgo corren las empresas que, además, si son víctimas de una vulnerabilidad pueden ver cómo se pierde la confianza de los usuarios en ellas, afectando al reconocimiento y uso de la aplicación por parte de los usuarios.

Si quieres desarrollar una aplicación móvil totalmente segura para ti y para los usuarios, ¡contáctanos y descubre cómo podemos ayudarte!

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.