Sebastián Molinetti Qué es un lead y cómo aumentar las oportunidades de venta Saber abordar a los clientes y prospectos es determinante para los objetivos comerciales de cualquier empresa. En ese sentido, el término lead aparece constantemente tanto en los departamentos de...
Raúl Alonso 12 ayudas públicas para empezar a exportar Pese a que los fondos públicos siguen de vacas flacas, hay un sector para el que el esfuerzo no se escatima: la exportación. Son muchas las iniciativas públicas encaminadas a...
David Ballester Novedades y recomendaciones para el cierre 2018 en las pymes Ya entrados en el mes de enero, se presenta de nuevo el cierre del ejercicio 2018 para las pymes. En este artículo comparto los aspectos más relevantes que han de...
Raúl Salgado Slack, una herramienta para cambiar la forma de trabajar en las empresas «La forma de trabajar de la gente está cambiando y estamos comprometidos a ofrecer el mejor producto y la mejor experiencia para nuestros clientes», destacaba hace unos días el...
Carlos Rodríguez Morales Blockchain y ciberseguridad: una breve aproximación (I) Blockchain va a cambiar las reglas de la informática de la misma manera que lo hizo el software de código abierto hace años, igual que hizo Linux en el...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-22 de mayo NXNSAttack: Nuevo ataque contra protocolo DNS Se ha dado a conocer la existencia de un nuevo ataque de denegación de servicio que aprovecha una vulnerabilidad del protocolo DNS que afecta...
Catherina Cuervo Innovación abierta en las empresas: usos y claves para su aplicación La innovación abierta, como modalidad de innovación empresarial que cada vez toma más acogida, parte de entender que fuera de una organización siempre hay más talento, ideas y oportunidades que dentro...
Innovation Marketing Team Mejoramos la calidad de experiencia de nuestros clientes La combinación de innovación externa y estratégica para ser transformadores nos hace ser competitivos en un mercado que está en constante movimiento. Para ello, como ya contábamos en “Innovación para...
‘Insiders’ en Ciberseguridad: “Atrápame si puedes”Martiniano Mallavibarrena 25 abril, 2022 Si a cualquiera de nosotros nos preguntaran sobre el hipotético aspecto y perfil de los responsables de un incidente grave de ciberseguridad en una gran empresa, creo que todos pensaríamos automáticamente en el arquetipo que el cine nos presenta de forma constante: adolescentes con capuchas, trabajando con ordenadores portátiles llenos de pegatinas en una casa comunitaria donde la música suena demasiado alta y el ambiente es de los más “delictivo”. Lo curioso del asunto es que hay un espacio importante de oportunidad para incidentes de seguridad y ciberseguridad en el ámbito interno de las organizaciones: empleados, personal temporal, empresas de servicios, contratistas, etc. Tipologías de ‘insiders’ Vamos a ver las distintas tipologías de “insiders” que es el nombre común que se suele utilizar en este campo para denominar, de forma genérica, a todas las tipologías que producen el mismo efecto: incidentes de seguridad cuyo autor está dentro del “perímetro” de la organización (como concepto, las murallas del castillo medieval donde vive la población a proteger): Empleados descontentos o resentidos Con mucha frecuencia, las organizaciones tienen empleados con bajo rendimiento o con situaciones difíciles que suelen generar situaciones de tensiones, sanciones, estancamiento en las carreras, amenaza de despido, etc. Estas personas asumen o saben que serán despedidas o que su carrera en la compañía ha terminado o está en vía muerta. Ante esa perspectiva, algunas personas deciden dañar a la compañía, robar datos, realizar actos de vandalismo (incluso físicos) o facilitar a terceros accesos remotos con fines maliciosos. Adicciones y problemas personales Otro grupo que suele tener presencia en las organizaciones es el de personas que por diversos motivos están en una situación personal complicada: a nivel económico, a nivel emocional, sufriendo alguna adicción, etc. Ello facilita muchas veces la realización de actos desesperados por conseguir dinero o por llamar la atención de sus superiores. También facilita, como veremos a continuación, los escenarios de tipo extorsión. Sobornos y extorsión Sobre todo relacionado con el ecosistema militar y con las industrias ligadas a patentes (farmacéuticas, ingeniería aeroespacial, fabricantes de dispositivos móviles, etc.), los casos de sobornos y extorsiones (sobre todo por el uso de engaños, prostitución, etc.) es tristemente frecuente. Por estos medios, actores externos logran influir sobre personal interno para convertirlos en sus colaboradores (“insiders”). Motivación política, religiosa. Activismo En algunos casos, sobre todo en sectores donde la ética y las creencias personales pueden jugar un papel importante, las motivaciones de tipo “opinión o creencia” pueden ser críticas: sectores como el armamentístico, el farmacéutico, etc. Pueden provocar reacciones extremas entre su personal (el caso de los empleados que dejaron Google en 2018 por las relaciones de la compañía con el Dpto de Defensa en USA en los proyectos JEDI o Marven, es muy significativo). Negligencia y accidentes Este grupo también tiene su lugar en la estadística general: personal interno que por negligencia provoca incidentes de seguridad: bien por un efecto constante (ejemplo: no haber configurado bien un sistema y dejarlo expuesto a Internet sin la debida protección), bien por un acto específico en un momento dado (Ejemplo: Olvidar un pendrive o unos documentos confidenciales en una cafetería lo que provoca un escándalo en los medios). La importancia del factor humano en ciberseguridad ¿Qué pueden hacer las compañías para protegerse? Todas estas casuísticas provocan con frecuencia comportamientos de tipo “insider” donde no podemos olvidar que tenemos también a otros colectivos como el personal temporal, becarios y trabajadores en prácticas, consultores y auditores temporales o empresas de servicios (limpieza, cáterin, mantenimiento) que tienen acceso a nuestras oficinas, a veces en horarios poco habituales y con acceso especial a sistemas o dependencias. La pregunta clave ahora es ¿Qué podemos hacer como compañía? Es realmente un problema complejo pues la casuística es muy amplia (¿Qué empresa no tiene con frecuencia personas aisladas o en soledad en ubicaciones remotas?). 1. Detección temprana El principal aspecto para comentar es de la detección temprana de posibles personas de este tipo de perfil o de alto riesgo. Normalmente, la seguridad corporativa tiene un vínculo regular con el área de Recursos Humanos (dirección de personas) y se suelen identificar estas personas de forma conjunta para su supervisión, sanción, etc. Como se ha comentado, un caso posible sería el de personas realmente enojadas con la empresa realizando actos vandálicos o personas con adicciones claras que piden todos los meses adelantos económicos a su salario. Las quejas o comentarios suelen llegar primero a recursos humanos: broncas en la cafetería, destrozos en ciertas dependencias, personas con síntomas de alcoholismo o de trabajar bajo los efectos de sustancias, etc.En este mismo bloque, algunas organizaciones utilizan plataformas denominadas de forma genérica “People Analytics” para detectar patrones incoherentes o sospechosos de comportamientos que pueden resultar predictivos de futuros problemas: conexiones largas fuera de horario, intentos fallidos de acceso a sistemas corporativos, cambios de horario bruscos no justificados, giro radical en su actividad social en la compañía (en redes sociales internas, portales de tipo Intranet, etc.) 2. Centrarse en el riesgo (no en la motivación) Desde el campo de la ciberseguridad, debemos tener nuestros sistemas de protección, prevención y detección bien configurados para poder cubrir el caso del actor interno de la forma debida. Obviamente, el enfoque es centrarse en el riesgo y no analizar la motivación. Algunas plataformas que normalmente se utilizan son: Plataformas de tipo CASB (Cloud Access Security Broker) suelen detectar muchas situaciones anómalas que debidamente tratadas pueden estar relacionadas con incidentes “desde dentro” (movimientos masivos de ficheros fuera de horario a servicios de almacenamiento personales, por ejemplo) o uso recurrente de software no autorizado para conectar con ubicaciones atípicas en Internet.Funcionalidades de tipo DLP (Data Loss Prevention) que estando orientados a problemas legales con pérdidas o robo de datos (data leaks) pueden ser la primera fase de un problema mucho mayor, caso de tener éxito pues el insider seguirá escalando su ataque buscando el mayor daño posible.Servicios de tipo IAM (Identity & Access Management) que nos alertarán en caso de situaciones incoherentes o excepcionales en cuanto a las conexiones (inicios de sesión, intentos fallidos, etc.). Un caso típico podría ser uso de una cuenta no privilegiada en un ordenador personal de una persona que utiliza información clasificada. Este caso se puede corresponder con el de un insider espiando el ordenador de su persona responsable o del Dpto financiero (quizás el propietario o propietaria no dejó bloqueado el sistema en su parada para almorzar). 3. Realizar un informe forense Si finalmente tenemos un incidente por “insiders”: En este caso, la forma de trabajo suele ser la convencional (servicios de tipo DFIR, análisis de tipo Threat Hunting sobre plataformas de tipo SIEM o EDR/XDR) pero con el matiz importante de que es posible que tengamos que realizar un informe forense utilizable en un proceso judicial. En estos casos, la extracción y custodia de evidencias deberá seguir unas pautas y lo mismo con los aspectos legales (sobre todo si se ha realizado denuncia ante la policía o cuerpo de seguridad correspondiente). La mayoría de las investigaciones sobre este tipo de situaciones tendrán que pasar indiscutiblemente por dos tipos de sistemas: Autenticación y acceso: Ya comentados de tipo IAM o similares, donde podremos realizar búsquedas y comprobaciones sobre todo tipo de accesos o intentos de acceso para conectarlos con un relato que se completará en otras plataformas. Actividad en ordenadores personales: Normalmente los actores de este tipo utilizarán sus propios ordenadores o personales o los de compañeros o responsables para realizar su actividad maliciosa. Por ello, las investigaciones de este tipo suelen utilizar plataformas de tipo EDR o XDR para en base a consultas complejas obtener esos patrones sospechosos ya comentados. El resto de los sistemas a utilizar serán casi siempre los finales afectados (si aplicara): plataformas financieras o comerciales, sistemas de gestión documental, etc. Y los ya comentados de protección perimetral (SASE, CASB, DLP, etc.). Conclusiones No asumir que podemos tener al “enemigo en casa” es un error fundamental que precede a muchos incidentes graves de seguridad. Las motivaciones son diversas pero el riesgo es siempre el mismo. Si como organización no ponemos la misma atención al exterior que al interior, estaremos generando un riesgo importante.La “detección temprana” es la mejor medida que podemos tomar para intentar minimizar la ocurrencia de este tipo de sucesos. Muchas de estas personas solo buscan venganza, lanzar un mensaje o solucionar compulsivamente un problema personal. Si podemos identificarles, hay un espacio para la solución pacífica. No olvidemos nunca la cita de “El Padrino (parte II)” “Ten cerca a tus amigos, pero más cerca a tus enemigos”.FF Coppola, 1974 ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? Boletín semanal de ciberseguridad 16–22 de abrilLos 0days en números: Chrome, Windows, Exchange… ¿Qué buscan los atacantes y los fabricantes?
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Marina Salmerón Uribes AI of Things en el deporte Hace unas semanas, Carolina Marín, la joven deportista española se convirtió, por sexta vez consecutiva en campeona europea de bádminton. Título que suma a su grandísimo palmarés tras ser...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Víctor Vallejo Carballo AI of Things (V): Recomendación y optimización de contenido publicitario en pantallas inteligentes Conoce los beneficios que tecnologías como las pantallas inteligentes y el Big Data ofrecen al sector de la publicidad exterior
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Santiago Morante La Inteligencia Artificial en las películas de ciencia ficción: un patrón recurrente de fascinación y terror Así retrata Hollywood los avances en Inteligencia Artificial: descubre qué es el "patrón R.U.R" y por qué lo aplican muchas películas de ciencia ficción