Seguridad en internet

mejorar ciberseguridad pymes clud backup
Consejos para mejorar la ciberseguridad de tu pyme
1020 690 Prestigia

El 60% de las pymes caen en quiebra pasados los 6 meses de sufrir un ciberataque. Un dato muy preocupante, teniendo en cuenta que en 2018 se registraron aproximadamente 120.000 ciberataques dirigidos a pymes.

Hace aproximadamente un año, en nuestro blog, escribíamos sobre los principales riesgos de ciberseguridad a los que te enfrentas si eres una pyme. Hoy vamos a redactar un post para mejorar la ciberseguridad de tu pyme.

Es muy posible que pienses que por ser una pequeña empresa, la ciberseguridad no debería preocuparte a ser foco de un ataque informático, pero eso no es así: el 70% de los ciberataques en España se dirigen contra las pymes.

¿Cómo mejorar la ciberseguridad de tu pyme?

Como mencionamos en nuestro post, 10 errores en la gestión de la seguridad en la empresa, con un antivirus y un firewall no estás completamente protegido, aun siendo dos factores esenciales para la protección. Para proteger a una pyme de ciberdelincuentes, hay que estar muy bien preparado, estos son algunos consejos para mejorar la ciberseguridad de tu empresa:

  • Realizar una auditoría de ciberseguridad. Consiste en simular un ataque informático para evaluar el estado de los sistemas informáticos y su fortaleza ante posibles ciberataques.
  • Preparar un plan de ciberseguridad. Vamos a redactar en este plan, las herramientas, protocolos, y medidas que vamos a tomar en caso de un fallo de ciberseguridad. Es imprescindible que en este se incluya un plan de contingencia, para garantizar la recuperación del negocio y, buenas prácticas que deberán cumplir los empleados tanto de la organización, como terceros que colaboren en esta. 
  • Mantener la red segura. La conexión a internet u otro tipo de redes, expone nuestros sistemas y tecnología a los ciberdelincuentes atacantes y a fugas de información. Utilizar contraseñas WPA2 para acceder a la red, utilizar el filtrado de direcciones MAC o gestionar la configuración de la red únicamente desde la red cableada o 802.1x para autenticación en red, bloqueando el acceso desde la red WiFi, son algunas de las medidas que podemos tomar para mantener la red de nuestra pyme más segura.
  • Utilizar contraseñas complejas. El uso de contraseñas robustas por nuestra parte y la de nuestros empleados en los ámbitos relacionados con la empresa, ayudan a mantener nuestras cuentas seguras. Adicionalmente invitamos a utilizar 2 factores de autenticación para sistemas o aplicaciones.
  • Gestionar los privilegios de los empleados. Es muy importante no proporcionar privilegios innecesarios y gestionar los accesos de nuestros empleados a información sensible. Cada usuario debe tener solo los accesos necesarios para poder ejecutar bien su trabajo.
  • Realizar operaciones seguras. Utilizar métodos de encriptación o plataformas seguras de pago, para realizar transferencias de dinero, de documentos u otras operaciones que requieran un plus en seguridad.
  • Realizar copias de seguridad. Se deben realizar copias de seguridad cada cierto tiempo, dependiendo de la cantidad de información generada y de su carácter más o menos crítico. Realizar copias de seguridad en servidores seguros de terceros tiene ventajas como poseer las copias de seguridad fuera de la empresa, nos asegura disponibilidad en cualquier momento y las copias están protegidas de cualquier ciberataque dirigido a la pyme.
  • Formación y concienciación para empleados. Es imprescindible independientemente del cargo que uno ocupe dentro de la pyme, conocer los riesgos a los que podemos enfrentarnos, para saber cómo actuar y cuáles son los protocolos y medidas marcados por nuestro plan de ciberseguridad.
  • Cumplir la normativa. En nuestro post, Prevención y reacción frente a los ciberataques,  comentábamos que las pymes deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras.
  • Realizar el mantenimiento técnico.  Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revisen los sistemas operativos del servidor, actualizarlos siguiendo un calendario programado y de forma inmediata cuando se detecten fallos de seguridad foco de ataques.

Esperamos que estos consejos hayan sido de ayuda para mejorar la seguridad de tu pyme, así tener una menor vulnerabilidad a sufrir ciberataques. En Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

Login Contraseña password
Qué son y qué hacer ante las Brechas de Seguridad
1024 576 Prestigia

Hace poco más de un año nos hacíamos eco en este blog de que la ciberseguridad era, para el Foro de Davos, un desafío global. La seguridad en Internet, decíamos, es un riesgo que tiene un coste global anual de 500.000 millones de dólares. Ahí es nada.

La inmensa mayoría de los ataques los sufren empresas corrientes, pymes como la nuestra. Así, según el INCIBE, el 70% de los ataques informáticos son dirigidos a PYMES. Con todo, también las grandes marcas se ven afectadas y nos recuerdan que ninguno estamos a salvo. En lo que llevamos de año, tenemos constancia de que han sufrido ataques Facebook, Xiaomi, Toyota, Nokia y Twitter, entre otras. Muchas de estas empresas trabajan y se nutren de nuestros datos.

Desde Prestigia Seguridad queremos recordaros cuáles son las principales medidas que hay que tomar cuando tus datos personales se ven comprometidos por una brecha de seguridad.

¿Qué es una brecha de seguridad?

Las brechas de seguridad son fallos o violaciones de seguridad en las empresas que almacenan datos personales y que conllevan la pérdida o robo de estos. Cualquier empresa es susceptible de sufrir una brecha de seguridad, siendo el factor humano la causa principal.

Los cibercriminales pueden utilizar una brecha de seguridad para conseguir datos como contraseñas, números de tarjetas de crédito, archivos personales, etc.

Hace unos días, por ejemplo, Microsoft anunciaba que unos ciberdelincuentes tuvieron acceso a cuentas personales de correo electrónico de sus usuarios a causa de una brecha de seguridad. Los hackers lo lograron gracias a la contraseña de un trabajador de la empresa. Incluso en un gigante tecnológico como Microsoft, la formación de sus empleados se ha demostrado insuficiente.

Otro ejemplo muy comentado este 2019, ha sido la brecha de seguridad que sufrió el popular videojuego multiplataforma Fortnite, donde quedaron expuestos datos personales de las cuentas de los jugadores, incluyendo los números de las tarjetas de crédito. Los atacantes pudieron hacer compras dentro del juego aprovechando los datos bancarios que obtuvieron.

La aerolínea British Airways, sufrió una brecha de seguridad entre los días 21 de agosto y 5 de septiembre del 2018, donde le robaron 300 mil números de tarjetas de crédito, de usuarios que realizaron reservas a través de la página web de la compañía y de la aplicación móvil.

Facebook, la red social con más usuarios del mundo, ha sufrido varios ciberataques desde su aparición en 2004. En septiembre de 2018 la compañía escribió una publicación en su blog, dando a conocer un fallo de seguridad que afectó a 50 millones de cuentas que los cibercriminales aprovecharon para acceder a las cuentas afectadas.

Qué hacer como usuario ante una brecha de seguridad

Lo primero que podemos hacer nosotros como usuarios es prevenir.

Como os explicamos en nuestro post sobre la sextorsión, un hacker puede aprovechar una brecha de seguridad en una web, plataforma o aplicación donde estés registrado, y con ello, conseguir tu información personal, mandarte un email utilizando alguna de tus contraseñas como gancho y pedirte dinero a cambio de no compartir tus datos personales. Así son las extorsiones modernas.

Puede que tus datos se hayan visto comprometidos y te enteres por alguna noticia aparecida en los medios, por aviso de la propia empresa afectada o por contrastarlo tú mismo usando alguna herramienta pública como ésta: https://haveibeenpwned.com

Desde Prestigia recomendamos:

Mantener la calma: cuando recibes algún chantaje o extorsión, ignora al remitente. En general, negociar con un cibercriminal que hace del engaño y el robo su medio de vida no acostumbra a ser una buena idea. Denúncialo a la Policía.

Cambia tus contraseñas en todas tus redes y dispositivos: esta es la primera medida de choque cuando tus datos se han visto comprometidos. Tus nuevas contraseñas deben ser distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas, de forma que puedas incluir mayúsculas, minúsculas, letras, números y símbolos (mínimo 8 caracteres).

¿Hemos dicho contraseñas distintas? Sí, así es. Si utilizas la misma contraseña en todas las plataformas, con solo conseguir la contraseña en un sitio, los cibercriminales pueden entrar en todos los demás donde estés registrado. De forma que deberías usar una contraseña por sitio web o aplicación. Y tener todas las contraseñas custodiadas a buen recaudo, hay distintas aplicaciones para hacerlo, pero esto daría para otro post.

Configura la verificación en dos pasos: La mayoría de grandes empresas como Google, Android, Epic Games o las bancas digitales, nos ofrecen la llamada verificación en dos pasos, es decir, nos ofrecen la posibilidad de activar una confirmación de inicio de sesión vía sms a nuestro móvil personal.

Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

Evita que te graben y te vigilen con una cubierta para tu webcam. Deshabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

Y tú, ¿has sido víctima de alguna brecha de seguridad?. ¿Cómo te has dado cuenta?. ¿Te ha notificado alguna empresa la pérdida o robo de tus datos personales?

Si aún no tienes protegida la seguridad de tu empresa, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. Puedes contactar con nuestros especialistas en ciberseguridad.

Prevencion Ciberseguridad
Prevención y reacción frente a los ciberataques
1024 692 Prestigia

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras y estar más protegidas frentes a los ciberincidentes

Según los últimos datos publicados por el Ministerio del Interior, las denuncias por incidentes en el ámbito digital han pasado de casi 50.000 denuncias en 2014 a más de 81.000 en 2017. Además, de estas últimas, solamente el 27,2 % se han esclarecido, lo cual pone de relieve las dificultades que existen para perseguir este tipo de delitos.

A medida que una organización crece en Internet, aumentan las posibilidades de sufrir un ataque, aumenta su grado de vulnerabilidad y resulta, por tanto, más necesario reforzar los mecanismos de prevención y de reacción, algunos de los cuales ya están previstos por el propio legislador.

El nuevo Reglamento General de Protección de Datos (RGPD), que consagra los principios de responsabilidad proactiva y de privacy by design en el sentido de exigir más responsabilidad a las organizaciones en el cumplimiento de la normativa, prevé una serie de herramientas que ayudan a las empresas a ser más cuidadosas con el tratamiento de los datos personales y a ser más robustas en el ámbito de la seguridad.

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras. Clic para tuitear

Así, actualmente, y según el RGPD, las empresas deben realizar –con carácter obligatorio– una evaluación de seguridad, que determine las medidas técnicas de seguridad más adecuadas a implantar en función de los riesgos detectados.

Además, cuando las actividades empresariales consistan en tratamientos masivos de datos sensibles o los departamentos de marketing realicen un volumen elevado de evaluaciones de perfiles (profiling), las empresas deberán someterse a un tipo de auditoría denominada “Evaluación de Impacto” que deberá determinar cómo tiene que realizarse dicho tratamiento para alinearse con los nuevos requisitos y principios de la normativa, y a designar una persona –el Delegado de Protección de Datos– que les guíe, acompañe y asista en dicho cumplimiento.

A nivel reactivo, conviene tener en cuenta que, cuando una entidad sufra un incidente o brecha de seguridad que afecte a datos personales deberá notificarlo a la Autoridad de Protección de Datos, a poder ser, en un plazo de 72 horas, siendo necesario informar previamente/sobre el asunto a los afectados, si se ha puesto en grave riesgo su intimidad.

Por otro lado, de acuerdo con el Real Decreto 12/2018, desde el pasado mes de septiembre las empresas que vendan o presten servicios en línea, de motores de búsqueda o de servicios cloud, que no sean microempresas o empresas pequeñas (esto es, que tengan más de 50 trabajadores o tengan un volumen de negocio superior a los 10 millones de euros) deberán realizar una evaluación de riesgos en materia de seguridad (distinta a la prevista por la normativa de protección de datos) que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

También deberán  notificar a las autoridades competentes (equipos de respuesta) los incidentes de seguridad que tengan efectos relevantes en la prestación de sus servicios digitales y resolver los mencionados incidentes, solicitando, en su caso, ayuda especializada, adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes y comunicar su actividad a la Secretaría de Avance Digital del Ministerio de Economía.

A pesar de que ambas regulaciones prevén sanciones administrativas muy elevadas (de hasta de 20 millones o el 4% del volumen de negocio del ejercicio fiscal anterior, en el ámbito de los datos y de hasta 10 millones de euros, en el ámbito de la ciberseguridad) las empresas deben ver el cumplimiento de dichas obligaciones no únicamente como una vía para evitarlas, sino como una oportunidad para ser más seguras y estar más protegidas frente a los ciberincidentes.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad

Wordpress plugins seguridad
Plugins de seguridad: qué son y cuáles son los mejores para WordPress
1024 546 Prestigia

La semana pasada os hablamos en el blog sobre la importancia de tener en cuenta factores vinculados a la seguridad a la hora de escoger un hosting web. Una vez tu alojamiento es seguro, hay que poner el ojo en la seguridad del propio CMS. Para ello serán necesarias una serie de medidas de seguridad, como instalar los mejores plugins de seguridad.

Teniendo en cuenta que WordPress es el gestor de contenidos más usado a nivel mundial, hoy ponemos el foco en los plugins de seguridad para este CMS.

Los plugins son un elemento necesario y de un valor añadido para que la seguridad de tu web sea inquebrantable. Sin embargo, es muy importante recordar que un plugin sin actualizar es una fuente de riesgo. De hecho, suelen ser la principal vía de ataques a páginas desarrolladas con WordPress. Por lo tanto, el primer consejo en relación a cualquier plugin que tengas instalado en tu CMS es que lo tengas siempre actualizado.

Cabe matizar, sin embargo, que si el plugin que tienes instalado es de pago y no está activado, debes estar atento a las notificaciones del WordPress o en web del desarrollador porque habitualmente las actualizaciones no se realizan de forma automática.

5 plugins de seguridad gratis para tu WordPress

1. All in One WP Security & Firewall. Es uno de los más completos porque incluye firewall, antivirus y un auditor de seguridad. De esta forma, por ejemplo, protege los permisos de los ficheros, busca código malicioso o bloquear ataques de fuerza bruta, entre otros aspectos. Es 100% gratuito, pero dispone de una versión más completa de pago que mejora la detección y protección.

2. iThemes Security. Ofrece hasta 30 formas distintas de proteger tu página web de ataques y hackers que intentan acceder a tu web a través de cualquier error o agujero de seguridad. La versión de pago aumenta considerablemente las funcionalidades de autenticación, escaneo de ficheros y defensa de nuestro CMS.

3. Sucuri Security. Se encarga de realizar una auditoría y análisis de malware a fin de reforzar la seguridad del CMS, monitorización en blacklist de las conexiones, notificaciones de seguridad. La funcionalidad de Firewall solo se incluye en la versión premium.

4. BulletProof Security. Tiene versión gratis y de pago y aunque no es el plugin más fácil de usar, incluye muchas funcionalidades con alto nivel de protección. Cuenta con medidas anti spam, firewall y escáner de malware, entre otras.

5. WordFence. Con más de 2 millones de instalaciones, es el plugin más utilizado por la comunidad de usuarios de WordPress. Detecta posibles virus y malware, analiza el tráfico de tu web en tiempo real para detectar rápidamente cualquier peligro y actúa como firewall. Por cierto, también tiene una función de cacheo que hará que la velocidad de carga de tu web sea mayor. La versión de pago, mejora los tiempos de respuesta ante incidencias, tiene una reglas de protección más eficientes y dispone de bloqueo de trafico a nivel geográfico.

Cualquiera de estos 5 plugins de seguridad para WordPress será un plus para la seguridad de tu página web. La correcta configuración del plugin es fundamental, la mayoría de términos y opciones de configuración son técnicas y para eso necesitarás seguramente ayuda profesional. Configurar erróneamente un Firewall puede bloquear las visitas de posibles clientes. Una incorrecta configuración en los ficheros genera fallos de seguridad que pueden ser usados por hackers para infectar la web.

Uno de los últimos clientes que nos vino a Prestigia Seguridad tenía el problema de tener dos plugins de seguridad, incorrectamente configurados y que eran incompatibles (se pisaban mutuamente). Es decir, a veces lo que abunda sí daña.

Por tanto, si no sabes qué plugin de seguridad de WordPress es el mejor para tu página web, contacta con nosotros y te ayudaremos a proteger tu web, no sólo con el mejor plugin de seguridad, sino también con otras medidas especiales para proteger tu CMS y tu servidor WEB.

¡Que la seguridad no sea tu talón de Aquiles!

8 vulnerabilidades que hacen tu app insegura
1024 690 Prestigia

A menudo se habla sobre los riesgos de seguridad en redes sociales, Internet en general, correos electrónicos, etc. Sin embargo, también hay que vigilar que una app sea segura, especialmente teniendo en cuenta que según el estudio anual Mobile Marketing 2017 de IAB Spain, el uso de aplicaciones es mucho más intensivo de lo que los usuarios se imaginan.

Vulnerabilidades y riesgos más frecuentes en apps móviles

Según datos de Nowsecure, el 25% de las aplicaciones móviles contiene al menos una vulnerabilidad de seguridad de alto riesgo. El uso de dispositivos móviles es más intenso que nunca por lo tanto las vulnerabilidades también son más frecuentes y tanto empresas como particulares están más expuestos a ellas. A continuación, comentamos algunas de las vulnerabilidades más comunes:

  • Intentos de copiar el código fuente. Las aplicaciones suelen recopilar data sobre los usuarios, por lo tanto son muy golosas para los hackers. En este sentido, para evitar que se copie el código fuente, se lleva a cabo una ofuscación del mismo. Aunque no es definitivo frena muchos intentos de copiarlo.
  • Controles frágiles en el servidor. Las llamadas que realiza la app al servidor y viceversa es un foco peligroso. Por ello, se trabaja la securización de las llamadas de Webservice para evitar peligros. Se trata de un foco peligroso en el ámbito de las aplicaciones móviles.
  • Fuga de datos personales involuntaria. En el código fuente de una aplicación hay funciones más sensibles y otras menos. Por ejemplo, datos como los pagos, área de usuario, contraseñas o información personal son más sensibles que los datos generados en la aplicación. En este sentido, se recomienda llevar a cabo un cambio de nombre en comandos clave para que estos datos sean difíciles de reconocer e interpretar, y con una búsqueda simple de texto no sea posible encontrarlos.
  • Carencia de SSL. Al igual que sucede en las páginas webs con el certificado SSL, si una aplicación no dispone del mismo, no es segura. Por eso es importante que cuando una empresa desarrolla una aplicación móvil, está disponga del certificado SSL. Si al usuario le llega una alerta de que está ante una aplicación no segura, lo más posible es que no la descargue o incluso la desinstale.
  • Encriptación rota o débil: Estamos ante este caso cuando la comunicación a través de la red sin ningún tipo cifrado o uno muy débil que no garantizan la privacidad y seguridad de las conversaciones. Se trata de un aspecto muy importante a tener en cuenta durante el desarrollo de la aplicación móvil ya que si el algoritmo de encriptación no es lo suficientemente fuerte será un blanco fácil para los hackers.
  • Código abierto: El desarollo de una aplicación con código abierto implica que el desarrollador da acceso a su código fuente. Por un lado, facilita más ojos que puedan detectar los fallos pero…también mayor exposición y riesgo a que manos ajenas con fines delictivos o malignos también tengan a su alcance el código de tu aplicación. De hecho, dos de cada tres aplicaciones que usan código abierto son vulnerables.

Y como sucede en cualquier ámbito digital, las aplicaciones no están exentas de sufrir ataques por parte de hackers y malwares maliciosos. Estos son algunos de los más conocidos:

  • El DDoS es un ataque por derribo muy común. Consiste en lanzar miles de consultas a un servidor hasta que este cae. Para evitarlos, se implementan métodos anti DDoS que frenen, penalicen o cancelen ataques de esta clase.
  • Ataque XSS: Con este tipo de ataque el hacker consigue es capaz de inyectar un script, normalmente Javascript, en la app. De esta forma, el ataque se produce debido a una incorrecta validación de los datos de usuario. Con el XSS el delincuente informático puede robar cookies, sesiones de usuarios, modificar la app, instalar malware o incluso dirigir al usuario a sitios malignos.

Aunque a priori las vulnerabilidades más habituales en apps sean desconocidas o invisibles para el usuario, la realidad es que pueden causar importantes estragos. Especialmente en relación al robo de datos personales. El mismo riesgo corren las empresas que, además, si son víctimas de una vulnerabilidad pueden ver cómo se pierde la confianza de los usuarios en ellas, afectando al reconocimiento y uso de la aplicación por parte de los usuarios.

Si quieres desarrollar una aplicación móvil totalmente segura para ti y para los usuarios, ¡contáctanos y descubre cómo podemos ayudarte!

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

redes sociales seguridad
Las redes sociales ponen en riesgo la seguridad de tu empresa
1024 690 Prestigia

Que las redes sociales forman parte de nuestra vida es una realidad innegable. De hecho, han llegado incluso a colarse en nuestro trabajo. Algo que para muchos es un error y no les gusta. Sobre si el uso de las redes sociales en el trabajo es bueno o malo…no debatiremos en este post. Lo que nos atañe hoy es hablar sobre la seguridad en las redes sociales que usamos durante la jornada laboral.

Existen millones de usuarios con un perfil en Facebook, Twitter, Instagram, LinkedIn, WhatsApp, Telegram y otras decenas de redes sociales habidas y por haber. En las redes se publican a diario millones de contenidos e información. Por eso, no es de extrañar que sea un nicho muy atractivo para hackers deseosos de llevar a cabo algún tipo de actividad maliciosa. Y los perfiles en redes sociales de las empresas no están exentos de estos riesgos de seguridad.

Riesgos en el uso de redes sociales en el trabajo

WhatsApp: A pesar de disponer email o de poder realizar llamadas telefónicas, hay quien comenta cuestiones laborales a través de los grupos de WhatsApp. Sabemos que es realmente cómodo y rápido, sobre todo desde que existe WhatsApp Web, sin embargo, también es arriesgado. De hecho, hasta el CNI cuenta con un informe sobre los riesgos de uso de WhatsApp.

En primer lugar, esta aplicación no fue diseñada para compartir información confidencial o delicada de los negocios. En este sentido, a pesar de que los mensajes están encriptados, la empresa no tiene ningún tipo de control sobre la información que se comparte. Eso sin tener en cuenta el uso del metadata en este tipo de plataformas, lo que puede dar pie a revelar más información de la que nos gustaría.

Por otra parte, para los que usan la versión de escritorio de WhatsApp, cabe recordar que se desconoce si las conversaciones están realmente protegidas en el ordenador. Además, existe el riesgo de no cerrar la sesión al marcharte de la oficina y que las conversaciones, tanto personales como laborales, estén al alcance todos.

Telegram. Se ha convertido en un canal de riesgo para empresas y usuarios que pueden caer en manos de ciberdelincuentes. Un informe del CNI alerta de riesgos de seguridad especialmente en dos puntos: el protocolo MTProto y el cifrado de mensajes en la nube de Cloud Chat.

Una de las grandes ventajas de Telegram es que los grupos de chat, es decir, los canales, permiten enviar mensajes a un número ilimitado de suscriptores. Sin embargo, la respuesta a cualquier mensaje público es privada. Por lo tanto, los hackers lo tienen fácil para esconderse y atacar en esta red social. En este sentido, según un artículo de Check Point, en la red social se pueden encontrar anuncios de usuarios ofreciéndose a cometer delitos cibernéticos, lo que facilita que, bajo mensajes cifrados y con una personalidad anónima, puedan contactar de forma segura y fácil con interesados en este tipo de  “servicios”.

Facebook: Según Kaspersky, el 60% del phishing en redes sociales se relaciona con páginas falsas de esta red social. Estas cifras son realmente alarmantes y nos ponen al día sobre la necesidad de ser más  precavidos con nuestra actividad en redes sociales.

Tampoco podemos olvidarnos sobre los riesgos de privacidad, sobre todo desde que se supiera el escándalo de Facebook y Cambridge Analytica. Otro riesgo también habitual es el scamming, es decir, la estafa en medios electrónicos. Lo habitual en estos casos es que la cuenta de Facebook (o de otra red social) sea infectada con un virus que comparte imágenes y contenido que enlazan a webs fraudulentas. En el momento en que alguno de los usuarios haga clic en ese enlace malicioso, correrá el riesgo de que sus datos personales sean robados.

Tampoco podemos olvidarnos de los fallos de seguridad. No hace mucho tiempo que Facebook informó que las webs que ofrecen la opción de registrarse con Facebook pueden contener scripts con acceso a los datos del usuario.

Si no quieres que los datos de tu perfil o empresa caigan en las manos equivocadas, no peques de ingenuo y preocúpate por tu seguridad en las redes sociales. En nuestro siguiente post de Prestigia Seguridad, te daremos algunos consejos para conseguirlo.

gestion-de-la-seguridad-en-la-empresa
10 errores en la gestión de la seguridad en la empresa
1024 690 Prestigia

No hace mucho os hablamos en el blog de Prestigia Seguridad sobre los principales riesgos de la pyme en ciberseguridad. En ocasiones, algunos de estos riesgos derivan no sólo de una falta de seguridad y precaución sino de errores en la gestión de la seguridad en la empresa. Y aunque equivocarse es de sabios, mejor es aprender de los errores.

Hoy en el blog queremos hablaros de algunos errores en la gestión de la seguridad que las empresas cometen a menudo. Toma nota y…¡evítalos!

  1. La información de mi empresa no interesa a nadie. Este es uno de los grandes errores que suelen cometer muchas empresas, especialmente las más pequeñas. Creen que por ser pequeñas no son objetivo de hackers. Se confían y bajan los niveles de seguridad, convirtiéndose así en un blanco fácil. En este sentido, también es muy común infravalorar, por ejemplo, la importancia de la confidencialidad, como si no fuera necesario proteger la información a través de acuerdos de confidencialidad con todos los grupos de interés (clientes, proveedores, empleados,…)
  2. La seguridad es una cuestión puramente informática. La gestión de la seguridad en una compañía va más allá de los controles técnicos e informáticos. Los aspectos legales y organizativos, si se descuidan también hay que vigilarlos si no puede pasar que, por ejemplo, seamos víctimas de phishing.
  3. Con un antivirus y un firewall ya estoy protegido. Aunque son dos productos básicos para estar protegido, también es cierto que no es suficiente. Existen muchísimas amenazas que no se evitan únicamente con un antivirus.
  4. Los problemas de seguridad vienen del exterior. A menudo las empresas consideran que los riesgos de seguridad son ajenos a la compañía. Sin embargo, algo tan sencillo como utilizar un USB infectado o abrir un enlace malicioso que nos llega al e-mail puede poner en jaque la seguridad de la empresa. Por eso, es importante sensibilizar y concienciar al personal sobre medidas y hábitos para proteger la seguridad de la empresa. Es importante que conozcan las amenazas a las que se enfrentan.
  5. Descuidar el mantenimiento es algo muy habitual entre pequeñas empresas para las que la seguridad está en el última escalón de la compañía. No llevar un control y mantenimiento de la red y los sistemas puede derivar en una red vulnerable que sea fácil de atacar para acceder a la información corporativa. Lo mismo sucede con programas o software que se pasan meses sin actualizar, facilitando ser víctima de un ataque porque, al no haber actualizado, tu programa o sistema no dispondrá de los últimos parches de vulnerabilidad que se hayan aplicado.
  6. Copias de seguridad. Si no las tienes, estás perdido. Pero también lo estarás si no se mantienen ni realizan de forma periódica.
  7. No comprobar que el plan de recuperación funciona. Es posible que muchas compañías ni siquiera tengan plan de recuperación ante desastres. Pero casi peor es tenerlo y no haber probado si funciona correctamente.
  8. Utilizar contraseñas débiles. Sí, sabemos que nunca te olvidarás del día de tu cumpleaños pero es una contraseña tan previsible que no te protege de los ciberataques. Recuerda: usa contraseñas largas, combinando letras minúsculas y mayúsculas y también símbolos y números. Tampoco utilices la misma contraseña para diferentes cuentas.
  9. El Wi-Fi público no es seguro. Conectarse a cualquier Wi-Fi para ahorrar algunos datos en nuestra tarifa telefónica puede salirte caro. Recuerda que el Wi-Fi público no es tan seguro como el de tu oficina o de tu casa. Por eso, evita usar las redes Wi-Fi para realizar acciones como consultar tu saldo o hacer una transferencia. Los piratas informáticos pueden estar al acecho.
  10. Fiarse de los desconocidos. ¿Recuerdas cuando de pequeño tus padres te decían que no te fueras con desconocidos? Aplica esta norma básica en el día a día de tu empresa: no abras emails de remitentes desconocidos o sospechosos porque puede contener enlaces maliciosos ni descargues apps de fuentes no oficiales. Evita también visitar páginas que te adviertan de que no tienen el certificado SSL.

Confiésalo…¿cuántos de estos errores en la gestión de la seguridad cometes en tu empresa? Esperamos que este post te sirva de ayuda pero si necesitas protegerte de posibles riesgos y ciberataques, consulta nuestros servicios de seguridad en Internet o contáctanos.

seguridad en los cms
Seguridad web, talón de Aquiles de los mejores CMS
1024 690 Prestigia

Al poner en marcha una web, blog o negocio online es fundamental plantear bien el desarrollo, la programación web. En muchos casos, y por las características del proyecto, convendrá una programación web a medida. En otros, sin embargo, puede ser suficiente trabajar con alguno de los CMS (Content Management System) open source que nos ofrece el Mercado: WordPress, Drupal, ….. En este sentido, uno de los factores olvidados a la hora de escoger un sistema de gestión de contenidos es la seguridad. Nos centramos en aspectos como el diseño, la usabilidad, la capacidad… olvidándonos de la seguridad web en los CMS.

Según un informe de Sucuri, los tres CMS más infectados en 2017 fueron WordPress (83%), Joomla! (13.1%) y Magento (6.5%). Son tres de las plataformas más utilizadas (WordPress es el CMS más usado del mundo) por pequeñas empresas, tiendas, bloggers, etc. Por eso, no es de extrañar que también estén en el punto de mira de hackers y delincuentes.

Estos datos no implican que WordPress, Joomla! o Magento sean más o menos seguras que otras plataformas. De hecho, desde Sucuri explican que los riesgos o compromisos registrados en estos gestores de contenidos estaban relacionados con “un despliegue, configuración y mantenimiento general inadecuado por los webmasters y no con el núcleo de la aplicación CMS en sí”. Sea como sea, es importante que tengas en cuenta aspectos de la seguridad en los CMS a la hora de escoger uno y que también sepas protegerlo.

Problemas de seguridad en los CMS

Pueden ser muchas las causas que provocan que un CMS sea infectado o atacado. Sin embargo, como decíamos, en la mayoría de ocasiones estos ataques están relacionados con una mala gestión de la plataforma desde una óptica de seguridad y protección.

Por ejemplo, el informe de Sucuri revela que muchas de las plataformas estaban desactualizadas en el momento de la infección. De hecho, en 2016, el 61% de las webs desarrolladas con WordPress que fueron hackeadas registraron instalaciones desactualizadas. También en años anteriores, el 80,3% de los sitio Magento estaban en su mayoría desactualizados (80.3%) en el momento en que se infectaron.

Otra de las formas más habituales entre los hackers para infectar un CMS es a través de los ataques de fuerza bruta. Este tipo de ataque consiste en consiste en probar sistemáticamente diferentes credenciales hasta que….¡voilà! encuentran la combinación correcta. En otras palabras, sería como intentar abrir un candado con 1001 opciones posibles. Te llevaría muchísimo tiempo pero en algún momento darás con la combinación acertada. Y, cuando quién lo hace es un robot de forma automatizada, el tiempo deja de ser un problema.

Otra variante de este método muy conocida es el ataque diccionario. En este caso, se deja de lado el intento sistemático de encontrar la combinación de acceso para probar únicamente aquellas combinaciones con más probabilidad de éxito. En este punto no está de más recordarte la importancia de tener una contraseña fuerte y segura para ponérselo difícil a los hackers.

Los ataques de fuerza bruta pueden afectar a cualquier web. Sin embargo, WordPress repite como uno de los objetivos favoritos de los hackers.

¿Y qué sucede cuando descubren el usuario y contraseña? El hacker puede entrar en el panel de administración y hacerse con el control de la web. De esta manera, puede desde robar datos y credenciales hasta alojar archivos maliciosos o hacer que la página web se convierta en parte de una infraestructura de malware específica.

10 consejos para fortalecer la seguridad en los CMS

En algún momento de este artículo se ha comentado que bloggers, pequeños empresarios, propietarios de tiendas, etc suelen utilizar CMS de código abierto. Lo hacen porque son fáciles de usar, rápidos, gratuitas y no requieren grandes conocimientos. Sin embargo, estamos ante un arma de doble filo porque, como decíamos, también los hace más vulnerables ante un posible ataque.

En este contexto, es importante tener a mano unos consejos de seguridad en los CMS para garantizar que tu plataforma esté protegida:

  1. Mantén actualizado el CMS. Si, es la norma más básica y es una cuestión de sentido común. Si no actualizas tu gestor de contenidos no estarás protegido ante riesgos que se hayan detectado recientemente.

  2. Usa una contraseña fuerte y segura: que sea aleatoria y poco común. En este sentido, ten en cuenta que sea de al menos 12 caracteres y no la utilices en diferentes sitios a la vez.

  3. Descarga contenidos solo de webs oficiales

  4. Introduce Captchas en tus formularios para que sean más seguros. Esto te ayudará también a evitar que te envían spam o se infiltren en tu aplicación.

  5. Haz revisiones periódicas para detectar vulnerabilidades y anomalías. Ya sabes, mejor prevenir que curar.

  6. Intenta escoger un CMS con una comunidad online fuerte, es decir, que tenga un equipo de desarrolladores a los que consultar dudas y problemas.

  7. Configura tu hosting de forma segura, con unos parámetros básicos de segurida en los CMS y en relación a los permisos y accesos al servidor.

  8. Controla los permisos de usuario y contraseñas de acceso

  9. Suscríbete a foros y newsletter relacionadas con la seguridad en los CMS. Mientras más informado estén, con más rapidez podrás actuar ante un riesgo.

  10. Contacta con Prestigia Seguridad si quieres más garantías de seguridad en los CMS que utilizas 😉

bug bounty
Bug bounty: cazarrecompensas en ciberseguridad
1024 674 Prestigia

Suena raro decirlo pero en cuestión de seguridad en Internet, no hay mejor defensa que un buen ataque. Es decir, si quieres detectar tus vulnerabilidades, ¡ponlas a prueba! Y eso es precisamente lo que hacen hoy en día muchas compañías: contratan a hackers éticos que atacan sus sistemas para encontrar errores. De hecho, hace tiempo que se conocen los bug bounty, algo así como unos cazarrecompensas de errores y vulnerabilidades.

Los grandes expertos en ciberseguridad están muy solicitados en corporaciones y organizaciones de todo tipo que deciden integrar hackers externos para garantizar la seguridad de su estrategia. ¿Su misión? Detectar fallos, errores y vulnerabilidades a cambio de recompensas que cada vez incluyen más ceros en sus cifras. Y es que las empresas ya se han dado cuenta de los riesgos de ciberseguridad que están al acecho por la red.

Programas de bug bounty

Como decíamos, cazar errores se ha vuelto un gran oportunidad en los últimos años para hackers de todo el mundo. Las grandes empresas han decidido poner toda la carne en el asador por su seguridad y crean programas de bug bounty para animar a los hackers éticos a encontrar sus vulnerabilidades. Aquí puedes consultar un listado exhaustivo de los programas de bug bounty actuales.

Una de las primeras en crear un programa de bug bounty fue Apple en el verano de 2016. Y lo hizo con premios de hasta 200.000 dólares para los guardianes de la seguridad que encontraran los mayores descubrimientos. Microsoft también ha llegado a dar hasta 100.000 dólares y Twitter invirtió –sí, la seguridad es una inversión– 300.000 dólares en dos años.

Facebook: en busca de bugs informáticos

El caso de Facebook requiere mención a parte. En 2013 la compañía se gastó más de un millón de dólares en recompensas por detectar vulnerabilidades de la mano de hackers éticos. Y no sería de extrañar que en 2018 Facebook supere con creces esta cifra.

La plataforma que dirige Zuckerberg acaba de pasar por la peor crisis de reputación de la historia de Facebook y ahora quiere recuperar a toda costa la confianza de los usuarios. Por eso, la red social ha decidido lanzar un programa de Recompensa por Vulnerabilidad de Datos (Data Abuse Bounty) por el que podría ofrecer recompensas de hasta 40.000 dólares a aquellos hackers que informen de cualquier mal uso de datos por parte de los desarrolladores de aplicaciones.

¿Te preocupa tu seguridad? ¿Crees que necesitas detectar vulnerabilidades? Quizás no puedas permitirte ofrecer cifras astronómicas en bug bounty. Por eso, nuestros expertos de Prestigia Seguridad pueden guiarte para desarrollar tu propio programa de recompensas.

  • 1
  • 2

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.