Seguridad de entornos web archivos — Página 3 de 3

Test de intrusión: prevención ante el ciberataque que puede sufrir tu empresa

https://seguridad.prestigia.es/wp-content/uploads/2018/09/test-de-intrusion-1024x688.png 1024 688 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/09/test-de-intrusion-1024x688.png 20 septiembre, 2018 20 septiembre, 2018

20 septiembre, 2018

Hace tiempo que no pasa un día en que se produzca un nuevo ataque informático. No se salva nadie. Ni los bancos, que aunque podrían parecer inexpugnables, no lo son. Tampoco ha salido bien parado IESE, una de las escuelas de negocio más prestigiosas del mundo, que esta semana sufría un hackeo grave y aún no se ha recuperado.

El Internet de las Cosas (IoT), la presencia constante de servicios en la nube, las redes sociales e Internet en general esconden debilidades en sus sistemas o infraestructuras que ciberdelicuentes pueden usar para robar información, realizar ciberespionaje industrial o incluso dejar a una empresa sin servicios de comunicación online.

La mejor defensa ante la ciberdelincuencia es la prevención. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión que nos permita evaluar los sistemas informáticos y su fortaleza ante posibles ataques intrusivos.

Test de intrusión: qué es y objetivos

El test de intrusión consiste en simular un ataque informático con el objetivo de infiltrarse en los sistemas. En otras palabras, se realiza una auditoria de seguridad pactada con el cliente a fin de llevar a cabo un acceso no autorizado a las redes y sistemas informáticos de la compañía. Todo ello de forma controlada.

El objetivo del test de intrusión es:

Detectar fallos y vulnerabilidades que necesitarán una corrección.
Descubrir el nivel de seguridad frente a ataques externos.
Prevenir intrusiones ajenas a la empresa
Mejorar el entorno de trabajo consiguiendo afianzar la seguridad de los sistema de información.

¿Cómo se realiza un test de intrusión?

Desde Prestigia Seguridad utilizamos la metodología de auditoría OWASP TOP 10 en nuestros trabajos de auditoría web desde un punto de vista de seguridad y evaluación de riesgos.

Este proceso para realizar un test de intrusión consta de las siguientes fases:

1. Recogida de información pública del cliente: Dominios, IP’s, servicios que ofrecen, todo ello a través de un análisis de sus páginas web, redes sociales, listas de IP’s, etc… buscando obtener el mayor número de información posible para preparar las siguientes fases de test.

2. Testeo la seguridad de sistemas de información y redes: analizar el hardware y el software, obtener toda la información de los servicios que funcionan en un servidor (web, correo, idap, nas, ftp…), … Los protocolos usados y los puertos abiertos son algunos de los puntos que ofrecen información sobre cómo acometer la intrusión o ataque a esos sistemas. Además se evalúan las políticas de control o acceso, la calidad de las contraseñas, las reglas del firewall y otros sistemas de seguridad de la empresa en caso de existir.

3. Evaluación de la capa de aplicaciones web, es decir, las accesibles desde internet, como extranets, e-commerces, crm, páginas web u otros…: formularios de entrada de datos, back-ends o gestores de contenido, directorios y cualquier código propio o de terceras partes (como plugins) que exista y sea accesible desde Internet para detectar vulnerabilidades que permitan efectuar ataques SQLi, XSS, DDoS, inyección de scripts que redireccionan a publicidad o al minado de criptomonedas.

Estos dos puntos se puede evaluar en diferente orden y dependerá de la información obtenida y la planificación anterior.

¿Por qué realizar un test de intrusión?

La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.

¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.

8 vulnerabilidades que hacen tu app insegura

https://seguridad.prestigia.es/wp-content/uploads/2018/08/vulnerabilidades-app-1024x690.png 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/08/vulnerabilidades-app-1024x690.png 29 agosto, 2018 5 agosto, 2018

29 agosto, 2018

A menudo se habla sobre los riesgos de seguridad en redes sociales, Internet en general, correos electrónicos, etc. Sin embargo, también hay que vigilar que una app sea segura, especialmente teniendo en cuenta que según el estudio anual Mobile Marketing 2017 de IAB Spain, el uso de aplicaciones es mucho más intensivo de lo que los usuarios se imaginan.

Vulnerabilidades y riesgos más frecuentes en apps móviles

Según datos de Nowsecure, el 25% de las aplicaciones móviles contiene al menos una vulnerabilidad de seguridad de alto riesgo. El uso de dispositivos móviles es más intenso que nunca por lo tanto las vulnerabilidades también son más frecuentes y tanto empresas como particulares están más expuestos a ellas. A continuación, comentamos algunas de las vulnerabilidades más comunes:

Intentos de copiar el código fuente. Las aplicaciones suelen recopilar data sobre los usuarios, por lo tanto son muy golosas para los hackers. En este sentido, para evitar que se copie el código fuente, se lleva a cabo una ofuscación del mismo. Aunque no es definitivo frena muchos intentos de copiarlo.
Controles frágiles en el servidor. Las llamadas que realiza la app al servidor y viceversa es un foco peligroso. Por ello, se trabaja la securización de las llamadas de Webservice para evitar peligros. Se trata de un foco peligroso en el ámbito de las aplicaciones móviles.
Fuga de datos personales involuntaria. En el código fuente de una aplicación hay funciones más sensibles y otras menos. Por ejemplo, datos como los pagos, área de usuario, contraseñas o información personal son más sensibles que los datos generados en la aplicación. En este sentido, se recomienda llevar a cabo un cambio de nombre en comandos clave para que estos datos sean difíciles de reconocer e interpretar, y con una búsqueda simple de texto no sea posible encontrarlos.
Carencia de SSL. Al igual que sucede en las páginas webs con el certificado SSL, si una aplicación no dispone del mismo, no es segura. Por eso es importante que cuando una empresa desarrolla una aplicación móvil, está disponga del certificado SSL. Si al usuario le llega una alerta de que está ante una aplicación no segura, lo más posible es que no la descargue o incluso la desinstale.
Encriptación rota o débil: Estamos ante este caso cuando la comunicación a través de la red sin ningún tipo cifrado o uno muy débil que no garantizan la privacidad y seguridad de las conversaciones. Se trata de un aspecto muy importante a tener en cuenta durante el desarrollo de la aplicación móvil ya que si el algoritmo de encriptación no es lo suficientemente fuerte será un blanco fácil para los hackers.
Código abierto: El desarollo de una aplicación con código abierto implica que el desarrollador da acceso a su código fuente. Por un lado, facilita más ojos que puedan detectar los fallos pero…también mayor exposición y riesgo a que manos ajenas con fines delictivos o malignos también tengan a su alcance el código de tu aplicación. De hecho, dos de cada tres aplicaciones que usan código abierto son vulnerables.

Y como sucede en cualquier ámbito digital, las aplicaciones no están exentas de sufrir ataques por parte de hackers y malwares maliciosos. Estos son algunos de los más conocidos:

El DDoS es un ataque por derribo muy común. Consiste en lanzar miles de consultas a un servidor hasta que este cae. Para evitarlos, se implementan métodos anti DDoS que frenen, penalicen o cancelen ataques de esta clase.
Ataque XSS: Con este tipo de ataque el hacker consigue es capaz de inyectar un script, normalmente Javascript, en la app. De esta forma, el ataque se produce debido a una incorrecta validación de los datos de usuario. Con el XSS el delincuente informático puede robar cookies, sesiones de usuarios, modificar la app, instalar malware o incluso dirigir al usuario a sitios malignos.

Aunque a priori las vulnerabilidades más habituales en apps sean desconocidas o invisibles para el usuario, la realidad es que pueden causar importantes estragos. Especialmente en relación al robo de datos personales. El mismo riesgo corren las empresas que, además, si son víctimas de una vulnerabilidad pueden ver cómo se pierde la confianza de los usuarios en ellas, afectando al reconocimiento y uso de la aplicación por parte de los usuarios.

Si quieres desarrollar una aplicación móvil totalmente segura para ti y para los usuarios, ¡contáctanos y descubre cómo podemos ayudarte!

10 consejos de seguridad en redes sociales

https://seguridad.prestigia.es/wp-content/uploads/2018/06/errores-seguridad-redes-sociales-1024x692.jpg 1024 692 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/06/errores-seguridad-redes-sociales-1024x692.jpg 27 junio, 2018 27 junio, 2018

27 junio, 2018

En nuestro último post os hablábamos sobre los riesgos de seguridad en redes sociales. Internet es el caldo de cultivo perfecto para miles de hackers que atacan bajo el anonimato y aprovechan nuestra desprotección.

Para evitar los riesgos no hay nada mejor que tener sentido común y actuar de forma preventiva. Si un ataque te pilla con la guardia alta será más fácil que puedas combatirlo y frenarlo. Así que aquí os dejamos con 10 consejos de seguridad en redes sociales:

Utiliza contraseñas seguras. Es el más repetido de nuestros consejos pero es que es una verdad como un templo. Olvídate de nombres, día de nacimiento o fechas de aniversarios. Crea una contraseña única, de al menos ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales (asterisco, barra,…). A eso se le llama contraseña robusta y es la que mejor te protege.
No guardes tus contraseñas en el navegador. De nada sirve tener una contraseña fuerte si tu ordenador las tiene guardadas de forma automática. Es muy cómodo pero cualquiera que hackee tu ordenador o si te lo roban, podría acceder a ellas y a toda tu información y contactos.
Desconfía de los sitios que no empiecen por https. Implementar un certificado SSL tiene sus ventajas y no hacerlo sus desventajas. Si estás en una web cuya URL no incorpora el certificado de seguridad, ándate con más ojo, el riesgo es mayor.
¿Compartes ordenador? Usa sesión privada y no olvides cerrar la sesión en todas tus redes sociales para evitar que alguien pueda acceder a tus datos personales.
Lee antes de autorizar. Seguro que en más de una ocasión Facebook, Instagram o cualquier red social que tienes instalada en tu móvil te ha solicitado permisos por parte de alguna app asociada a estas redes antes de realizar algún tipo de acción. Destierra la mala costumbre de aceptar sin leer y tu seguridad en redes sociales será más fiable. Existen apps maliciosas que logrando estos permisos de tus principales redes, te roban la información.
Configura tu privacidad. Como en el punto anterior de estos consejos de seguridad en redes sociales, es probable que no te hayas preocupado mucho de tu privacidad. ¡Hazlo! Tan solo te llevará cinco minutos acceder a la configuración y ver hasta qué punto están tus datos expuestos. Revisa y actualiza en función de tus necesidades o preferencias. Y sobretodo, si de verdad no quieres que algo se sepa, no lo cuelgues porque no hay medio digital que sea infranqueable.
Piensa y luego publica. Las redes sociales ofrecen anonimato pero también exposición a tu vida personal y privada. Todo lo que publiques quedará registrado en Internet y algún día puede ser público.
Cuidado con la localización y el GPS. Tu actividad deja rastro en la red y no es muy difícil rastrear dónde has estado o qué has hecho con tan solo leer algunos comentarios o ver tus imágenes. Especialmente si también usas las opciones de localización. Por ejemplo, ¿estás seguro de publicar a cada minuto tu ubicación? Podrías estar alertando a posibles ladrones de que no estás en casa.
¡Ojo con los links! En redes sociales circulan miles de links al día que ocultan malware. Antes de hacer clic, fíjate en el enlace y quien te lo ha enviado. Ante cualquier sospecha, mejor no lo abras.
Sentido común. El menos común de los sentidos y el que más flojea cuando nos dejamos llevar por la inmediatez y la rapidez en las redes sociales. La mayoría de malware o ataques requiere interacción por parte del usuario para llevarse a cabo…así que afina tu olfato en internet y no se lo pongas fácil a los delincuentes que circulan por la red.

¿Qué te han parecido estos 10 consejos de seguridad en redes sociales? Sencillos, ¿verdad? Son fáciles de aplicar así que ya no tienes excusas para navegar tranquilo por las redes sociales. ¡Disfrútalas pero con precaución!

¿Eres una PYME? Estos son los principales riesgos de ciberseguridad a los que te enfrentas

https://seguridad.prestigia.es/wp-content/uploads/2018/04/riesgos-de-ciberseguridad-en-las-pymes-1024x682.png 1024 682 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/04/riesgos-de-ciberseguridad-en-las-pymes-1024x682.png 10 abril, 2018 10 abril, 2018

10 abril, 2018

Los ciberdelincuentes están cada vez más y mejor preparados. Las corporaciones con miles de empleados son conscientes de los peligros en Internet y destinan una gran inversión a protegerse. Sin embargo, las pymes, que tienen una percepción más limitada del peligro, también tienen riesgos de ciberseguridad si no toman las medidas necesarias para protegerse.

El año pasado el CERTSI gestionó un total de 123.064 incidentes de seguridad, un 7% más que en 2016. La mayoría de estos incidentes afectaron a empresas y ciudadanos. Y en 2016, según datos de INCIBE, el 70% de los ataques informáticos fue dirigido a pymes.

Si quieres estar a salvo de cualquier riesgo de seguridad, lo primero que debes hacer es conocer los riesgos potenciales a los que te enfrentas. Los mencionamos a continuación:

1. Suplantación y robo de identidad. La Encuesta Mundial de Seguridad de la Información 2018, elaborada por PwC, revela que las compañías de nuestro país pierden más de 1 millon de euros debido a los ciberataques. Los ataques más habituales que sufren es el robo de identidad y las estafas de tarjetas.

En cuanto al robo de la identidad, la modalidad de ciberataques más usada es el spear pishing, un método con el que los hackers logran información confidencial. Este tipo de ataque no se produce de forma general en toda la compañía sino que pone el foco en una persona o grupo de personas concretas. Normalmente el delincuente informático utiliza el correo electrónico que parece similar al de un remitente de confianza y le pide información confidencial a través de una web que, sin el usuario saberlo, está repleta de malware y riesgos.

2. Vulnerabilidad en Redes Wi-Fi. Bares, restaurantes y miles de lugares públicos ofrecen Wi-Fi de forma gratuita. Aunque para los usuarios o clientes es un incentivo por la oportunidad de utilizar internet sin gastar datos de su tarifa móvil, para el negocio es una ventana abierta a los ataques.

No hablamos solo de los riesgos asociados a redes inalámbricas gratis sino también a la vulnerabilidad propia del cifrado WPA2 de estas redes. En estos casos, aunque los hackers no pueden descubrir la contraseña Wi-Fi sí tienen acceso al tráfico de usuarios y dispositivos que la utilizan.

Por otra parte, cuando una red es gratuita y abierta, cualquier persona ajena a la compañía puede conectarse o robar información interceptando transferencias de datos.

3. Falta de prevención ante los ataques. Entre muchas pymes existe la falsa creencia de que, por ser pequeñas, no están en el punto de mira de los ciberataques. Es normal que esto suceda porque piensan en el delincuente informático como una persona de carne y hueso a la que no le interesan los datos de una pequeña empresa. Sin embargo, en muchas ocasiones estos ataques informáticos son de máquina a máquina, es decir, son indiscriminados y lo único que puede salvarte de ellos es la prevención y la protección.

Para evitar riesgos, se recomienda contar con protocolos y planes de seguridad. En este sentido, cabe destacar que el próximo mes de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), del que Eloi Font, CEO de Font Advocats y partner legal de Prestigia Seguridad, nos hablaba en nuestro último post. Esta nueva normativa obliga a las pymes a ser más responsables con los datos de los clientes y, consecuentemente, deben protegerse más.

4. Ransomware. Es una de las amenazas de seguridad más conocidas a nivel internacional, sobre todo desde el ataque Wannacry que el año pasado afectó a empresas de todo el mundo.

Este tipo de ataque surte efecto cuando el usuario descarga un archivo malicioso o visita una web comprometida. En ese momento, bloquea el acceso a la web y, en los casos más graves, como sucedió en 2017, piden un rescate para liberar el sitio secuestrado.

Los ransomware cada vez están afectando más a las pymes, precisamente por lo que comentamos unos párrafos más arriba sobre la falta de concienciación sobre su seguridad informática.

Consejos para minimizar los riesgos de ciberseguridad en una pyme

No existe una solución única para todos los riesgos de ciberseguridad. Entre otros motivos porque los ataques evolucionan, haciéndose más sofisticados y difíciles de detectar. Sin embargo, hay algunas recomendaciones básicas que pueden ayudarte a proteger a tu pyme de cualquier amenaza:

1.- Dispón, como mínimo, de un antimalware y un cortafuegos. También es importante mantener el antivirus actualizado o realizar auditorías para detectar posibles agujeros de seguridad.

2.- Presta atención a las actualizaciones de seguridad de tu sistema operativo para estar al día

3-. Realiza backups, es decir, copias de seguridad en función de tus necesidades y cifra la información.

4.- Mantente informado sobre estafas e incidentes recientes. De esta manera, podrás identificar posibles riesgos.

5.- Protege la navegación de tus empleados y utiliza contraseñas seguras.

6.- Sentido común. Es el mejor y más útil de los consejos. Si detectas una situación sospechosa navegando por internet, ten precaución y no caigas. Si sospechas de un enlace, email o archivo adjunto…¡no lo abras, bórralo!

¿Está tu negocio suficientemente protegido de los ciberataques? Si quieres saber a qué riesgos se enfrenta tu pyme y cómo protegerte, ¡contáctanos!

Davos confirma que la ciberseguridad es un desafío global

https://seguridad.prestigia.es/wp-content/uploads/2017/12/ataques_header_2-1024x536.jpg 1024 536 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2017/12/ataques_header_2-1024x536.jpg 1 febrero, 2018 14 febrero, 2018

1 febrero, 2018

Cada año, el mes de enero, se celebra el Foro Económico Mundial, al que asisten grandes empresas, Gobiernos y líderes de Estado de todo el mundo. En este encuentro se ha presentado este año el Global Risks Report 2018 que evalúa los desafíos globales, entre los que se ha incluido la ciberseguridad.

No hay que formar parte del Foro Económico Mundial para darse cuenta de que la seguridad en Internet se está convirtiendo en un gran reto para miles de empresas de todo el mundo. Solo hay que echar un vistazo a la hemeroteca para recordar ataques recientes como el ramsonware en junio de 2017, que afectó a países como Ucrania, Italia, Alemania o Estados Unidos, llegando a afectar a 300.000 equipos de todo el mundo.

Poco tiempo antes, en mayo, se había producido Wannacry, un ataque masivo que afectó a empresas, particulares e incluso organismos públicos. El mismo mes unos piratas informáticos hackearon la campaña presidencial del presidente francés Emmanuel Macron, haciendo público un botín de 9 GB de correos electrónicos.

Éstos son solo algunos ejemplos de cómo la seguridad en Internet se ha convertido en un riesgo potencial para empresas de todo el mundo. Un riesgo que tiene un coste global anual de 500.000 millones de dólares, según manifestó en Davos el director gerente del Foro, Alois Zwinggi.

La seguridad en Internet es un riesgo que tiene un coste global anual de 500.000 millones de dólares Clic para tuitear

Un Centro Global para la Ciberseguridad

Ante esta situación, el Foro Económico Mundial ha decidido lanzar un Centro Global para la Ciberseguridad. Empezará a funcionar a partir del próximo mes de marzo con el objetivo de fomentar la colaboración pública-privada para luchar contra las amenazas cibernéticas.

El Centro se centrará en cinco áreas. Entre las principales medidas destacada la creación de un “depósito” que contenga información cibernética. De esta manera, sector público y privado podrán compartir datos.

Por otra parte, este nuevo organismo contra las amenazas cibernéticas busca reforzar sus defensas generando y aportando oportunidades educativas en ciberseguridad. Asimismo, elaborará una serie de recomendaciones para regular este campo y definir posibles escenarios futuros que permitan controlar y prevenir ataques.

Desde Prestigia Seguridad estaremos atentos a todo el conocimiento y buenas prácticas que se compartan desde el nuevo Centro Global para compartirlos con nuestros lectores y clientes.