NOISE
REVISTA DE CIBERSEGURIDAD
Estrategia empresarial y el delito informรกtico
Ciber-Cumplimiento como estrategia corporativa Educaciรณn como estrategia contra el cibercrimen
Anรกlisis de Metadatos
03
CONTENIDO
Estrategia Empresarial y El Delito Informรกtico.
04
Ciber-Cumplimiento como estrategia corporativa.
06
Educaciรณn como estrategia contra el cibercrimen.
09
Anรกlisis de Metadatos.
12
NOISE
REVISTA DE CIBERSEGURIDAD
EDITORIAL Es claro que los servicios web seguirán creciendo como un potenciador económico y la empresa privada deberá reaccionar y tomar en sus manos la elaboración de una estrategia que les permita enfrentar al Cibercrimen, capacitar a su personal técnico, sensibilizar a sus empleados para no ser víctimas, o exponer los activos de la empresa a los ciber criminales.
Director General Nelson Chacón Reyes, CDFE Asesor en Gobierno de TI Mg. Leonardo Castillo, CISA Asesor en Auditoria de TI Héctor Jiménez,CSX Cuerpo Técnico Daniel Benavides Arte y Diseño Milagro Jiménez
NOISE REVISTA DE CIBERSEGURIDAD
El Salvador tiene un poco más de un año de tener una ley de delito informático, y todavía sigue sin ser conocida por los profesionales de la informática, abogados, jueces y fiscales. Se han materializado diferentes tipos de delitos, sin embargo no se han podido judicializar debido a que se desconoce cómo proceder, no existe reglamento de la ley aun cuando esta es bastante difícil de delimitar las fronteras. A nivel mundial existen buenas prácticas del manejo de la evidencia, pero El Salvador no tiene una política de gobierno sobre el delito informático, o Ciberseguridad, aún cuando todos los meses se vulneran diferentes sitios de gobierno, y se ha iniciado un plan de gobierno electrónico. La OEA ha realizado capacitaciones durante los últimos tres meses en Latinoamérica en temas de Ciberseguridad, estrategia corporativa para combatirlo, y educación a profesionales, pero El Salvador no fue incluido en este recorrido, eso nos deja en clara desventaja, ante los diferentes países de la región.
Estrategia Empresarial y El Delito Informático El incremento de los servicios web, aplicaciones móviles, comercio electrónico se han convertido la principal herramienta para potenciar la actividad económica de las empresas alrededor del mundo, El Salvador no es la excepción durante los últimos años ha habido un incremento de más del 100% en sitios web en el país, servicios de pasarela de pago para comercio electrónico, etc. Pero ¿qué están haciendo para proteger toda esa infraestructura tecnológica? ¿Cómo se garantiza que los productos usados están libres de vulnerabilidades? Durante los últimos tres años se han contabilizado 270 casos documentados de ciber ataques de defacement (Desfiguramiento)a los sitios web empresariales salvadoreños, sin embargo
muchos de esos sitios todavía siguen con remanentes de archivos que fueron dejados por los atacantes, algunos han sido atacados más de una vez, y otros ni siquiera saben que han sido atacados. A esto hay que agregar que han sido expuestos en la red de hackers, lo que conlleva que otros hackers puedan aprovecharse de esto y realizar otro tipo de ataques convirtiendo estos servidores en zombies de botnets para atacar a otros. En otras latitudes el marco legal obliga a las empresas que fueron vulneradas a reportar el delito y las consecuencias con el objetivo que los clientes de dichas empresas sepan la magnitud del ataque, pérdida de información, exposición de datos personales, etc. Incluso este año fue aprobado en Europa el uso de sanciones
04
NOISE REVISTA DE CIBERSEGURIDAD
Por Nelson Chacon @noise503
económicas a las empresas que no reportó los ataques y los efectos del mismo.
Esto es debido a que la mayoría de negocios son regulados por algún tipo de estándar, o marcos legales, en nuestro país a pesar que existen “entes reguladores” estos no hacen su trabajo como tal, permitiendo que industrias de servicios como el financiero, telefónicas, eléctrica no cumplan lo poco que indican sus regulaciones. De aquí que las mismas empresas deben te auto regularse, imponerse sus propios límites, adoptar estándares que les permitan protegerse del cibercrimen. Las empresas deberán apoyar su estrategia de negocio con una de Ciberseguridad que deberá tener al menos los siguientes ejes:
Noise puede ayudarte a definir tu estrategia y a realizar diferentes evaluaciones y crear una línea base para definir tu hoja de ruta en la visión de estar preparados ante un incidente y lograr ser penalizado, hemos incluido un nuevo servicio de asesoría legal con un abogado experto en la materia de Cibercrimen, tenemos peritos informáticos certificados que pueden recolectar la evidencia y prepararla para interponer una denuncia, recuerda que no somos un proveedor, somos un aliado en contra del ciber crimen
1. Capacitación de personal, es necesario que todo el personal técnico o no técnico reciba educación relacionada a los riesgos cibernéticos. 2. Adopción de un estándar de seguridad, esto permitirá un manejo sistemático de todos los procesos de negocio, el desarrollo de aplicaciones, análisis de vulnerabilidades, gestión de riesgos, test de penetración, auditorias.
05
NOISE REVISTA DE CIBERSEGURIDAD
3. Monitoreo de los servicios, la adecuada administración de los incidentes informáticos, reguardo de la evidencia, ayudaran a penalizar en caso de ser necesario. 4. Denunciar los delitos, es de suma importancia sentar precedentes, para evitar que los delitos informáticos se propaguen. Durante el año 2016 la Fiscalía General de la Republica (FGR) solo reporta delitos de tipo personal, es decir robo de identidades, acoso, fraude y estafa, no se contabilizo ni un solo delito informático de tipo empresarial, en el 2017 la tendencia es la misma, por lo que es un claro indicio que las empresas no están conscientes que es un delito informático, y cómo actuar ante la presencia del mismo.
Ciber-Cumplimiento como estrategia corporativa. Cuando hablamos de Cumplimiento (Compliance) generalmente buscamos cubrir objetivos específicos en nuestra organización o compañía. Sin embargo, el tema de las certificaciones y de manejarnos sobre ciertas normas sean locales o internacionales, es precisamente la estandarización, así, el lenguaje que yo utilice en mi infraestructura, redes, bases de datos, políticas, etc. me asegurará (Assurance) que será el mismo que toda mi industria hablará también. Con el crecimiento notorio que ha tenido la Ciberseguridad, a la cual ya no es válido llamarla Seguridad Informática, el tema de cumplimiento ha sido sin duda el tema más relevante, cada vez hay más conciencia que invertir en hardware y software para prevenir intrusiones o proteger la seguridad tecnológica e
información de una empresa ya no es suficiente y todo esto nos ha llevado a una madurez dentro de la organización como para requerir (Mandatory) una regularización que debe ser alcanzada para cumplir no solamente los elementos tradicionales que ya contemplábamos sino por ejemplo nuevos sujetos como la privacidad, la integridad de la identidad, información privilegiada, etc. ¿Que retos conlleva esto de tener una industria regulada en el área de ciberseguridad? Para comenzar, el estado de conciencia (Awareness) que tiene no solo una compañía sino la cabeza de ésta, estos son temas que deben ser impulsados empezando desde arriba para que realmente tenga un impacto positivo y que todos los esfuerzos tanto de operaciones como económicas realmente logren los
06
NOISE REVISTA DE CIBERSEGURIDAD
Por Gema Landaverde @gemalandaverde
Luego está el tema de cómo nos aseguramos que toda la inversión que hemos hecho para implementar una norma ha valido la pena, y aquí viene el tema de las auditorías. Una auditoría sea de la naturaleza que sea va a validar el cumplimiento de una organización contra una norma ya sea para un ente regulatorio, stakeholders o clientes finales. Entonces, aquí es donde verdaderamente se puede apreciar si una empresa está haciendo una inversión para salir bien en las auditorías y verse bien antes las entidades antes mencionadas o si realmente lo hace para proteger los activos, la operación y la reputación de una entidad. Las principales preguntas que nos debemos hacer antes de aventurarnos a implementar una norma internacional
MOF en algunos casos específicos para clientes con servicios gestionados Microsoft. Es por eso que debemos seccionar lo que corresponde a cada una de las tecnologías que utilizamos para estudiar a profundidad que protección nos daría adoptarlas en nuestra organización. Todas estas normas internacionales son un esfuerzo conjunto de múltiples organizaciones que tienen objetivos en común. Por supuesto está el tema económico, el presupuesto.
07
NOISE REVISTA DE CIBERSEGURIDAD
Claramente implementar una estandarización primero requiere de una planificación extensiva en la cual se debe incluir la priorización de las actividades a realizar y hacer un análisis de las áreas críticas donde vamos a implementar una norma. Esto no solo se debe de ver en términos de lo que representaría todo un esfuerzo consultivo sino también el costo de hacer cumplimiento a un punto de una norma. Es decir que si dentro de ISO 27001 hay un punto que me requiere que yo tenga un plan de recuperación de desastres, claramente tengo que pensar en la inversión que tengo que hacer para poder contar con un esquema de alta disponibilidad por ejemplo
objetivos de estar en cumplimiento. Otro tema importante es, conocer qué tipo de certificaciones debo poseer, hacia que estandarización debo construir mis políticas o a que normativa me debo apegar dependiendo el área en la que quiera estar en cumplimiento. Por ejemplo, todo lo que va orientado a servicios debe cumplir con las actividades y disciplinas de ITSM (IT Service Management) con lo cual nos lleva a centrarnos en ITIL (Information Technology Infrastructure Library), COBIT (Control Objectives for Information and Related Technologies) y toda la familia de las ISO/IEC 20000.
son, ¿En qué áreas está mi organización más desprotegida? ¿Cuáles de las normas locales me llevarían a sancionamientos o multas sino cumplo con un punto? (generalmente las normas locales se basan en normas internacionales) ¿Cúal es la relación costo-beneficio de hacer una estandarización? ¿Cúal es el nivel de interés vs el nivel de riesgo que tiene mi compañía frente a temas sensibles de ciberseguridad? (la cual ya hablamos que no es solo seguridad tecnológica) ¿Está preparada mi organización para sobrevivir los próximos 10 años sin apegarme a normas internacionales?
Si quieres
ser encontrado Publícate AQUÍ
Todas estas preguntas son al menos una puerta para comenzar un camino para asegurar la continuidad del negocio y evitar disrupciones que pongan en riesgo nuestra organización, y si aún no nos las estamos haciendo, nos estamos quedando atrás en la transformación digital por la que todas las organizaciones están atravesando y que no lo dicta la industria sino el comportamiento económico y social de nuestros tiempos. Cloud, Virtualización, IoT, Mobile, etc. nos están dando un manejo más complejo de nuestra infraestructura tradicional y debemos incluirlas en nuestra estandarización y políticas para que se integren al aseguramiento de la ciberseguridad.
08
NOISE REVISTA DE CIBERSEGURIDAD
Escribenos a: informacion@noise-sv.com Tel. 7930-2011 / 7235-5175
Educación como estrategia contra el cibercrimen. El sector de la Ciberseguridad sigue evolucionando muy rápido. Diariamente salen a la luz nuevos casos de empresas atacadas, como, el caso del ataque que recientemente han sufrido las empresas tecnológicas, televisoras, sistemas crediticios, telefónicas, bancos alrededor del mundo, entre muchos otros más y no siempre se dan a conocer a la opinión pública todos estos casos. Según un reciente estudio, una de las principales causas de estos delitos es la falta de profesionales con un adecuado conocimiento en Seguridad Digital. Esto estaría provocando vulnerabilidades en multitud de empresas y en los propios países, que no pueden afrontar los retos a los que se enfrenta el mercado en estos momentos.
Lamentablemente, según las estadísticas, existe una crisis mundial de este tipo de talento y que afecta fuertemente el sector de la seguridad. Se estima que hace falta de más de un millón de profesionales, en esa rama, a nivel mundial. Proteger los equipos pasa porque las empresas tengan a su disposición profesionales que puedan realizar esta tarea y sean capaces de mantener las barreras altas para prevenir los daños. Sin embargo, la abundancia y complejidad de los ataques cada vez más elaboradas de los ciberdelincuentes hacen que, en muchas ocasiones, los departamentos de informática de las firmas se vean sobrepasados.
09
NOISE REVISTA DE CIBERSEGURIDAD
Rene Marenco @remarenco
Entidades de Gobierno
Sector Privado
Los países latinoamericanos son los que más impactan en este tipo de déficit, ya que, los Gobiernos no consideran que es un rubro al que deben prestar mucha atención, se esmeran en tener un ejército de personas que puedan defender los límites territoriales de una nación, pero no logran dimensionar el enorme problema en que las tecnologías no tienen límites físicos que puedan frenar. A diferencia de otras potencias mundiales, nuestra región no es visiblemente atacada constantemente, sin embargo, hay una guerra diaria entre los cibercriminales y las entidades de Gobierno, las cuales han sido vulnerables a estos ataques en diversas ocasiones.
El rubro privado, en cambio, ha empezado a concientizarse de la problemática y la falta de recurso humano y profesional en esta área, a tal grado de empezar a crear unidades especializadas en la Seguridad Informática y sus ramas; es difícil aún hablar de un departamento enfocado específicamente al control interno y externo de la Seguridad Informática de una entidad en nuestro país, pero han nacido nuevas formas de poseer esta seguridad a través de empresas consultoras, con profesionales en el área y con una vasta experiencia.
Las entidades responsables de la seguridad y la educación, muchas veces, no poseen una unión para llegar a la fortaleza de este gran problema actual; se conoce que los sistemas educativos no están enfocados en llevar al estudiante a un pensamiento entorno a la Seguridad Informática, sino, únicamente llevado al desarrollo de software o implementación de comunicaciones. Es necesario promover nuevos modelos educativos y descubrir esos talentos necesarios para este tema, se necesita dotar de estas capacidades a los profesionales actuales y que estén bien formados. 10
NOISE REVISTA DE CIBERSEGURIDAD
Así, también, universidades privadas, con o sin el apoyo de otras entidades, se han dado a la tarea de formar a personas, que con alto deseo de superación y aprendizaje, para poder defender sus puestos de trabajo, negocios, empresas e inclusive el personal del lugar donde laboran.
Una guerra diaria Tanto las explotaciones de vulnerabilidades en sistemas de comunicación, espionaje, ataques de fuerza bruta y otros son el pan de cada día en este ámbito, y no podemos dejar a un lado la falta de disciplina que debe de poseer una empresa y sus encargados de Seguridad Informática para poder contrarrestar todos esos y más ataques. Muchos de la comunidad de inteligencia han advertido que “estamos en un punto crítico”. El jefe de la Agencia de Seguridad Nacional y del Comando Cibernético estadounidense testificó al Congreso en el 2015, que el país no poseía un preventivo adecuado contra los ataques cibernéticos. Él y varios otros han discutido sobre una capacidad ofensiva con suficiente fuerza para disuadir amenazas futuras. Debemos de estar preparados para esas batallas, que no siempre son armas y municiones físicas, saber que depende de nosotros como informáticos estar al tanto de las novedades de ataques y de cómo contrarrestarlos o defendernos de ellos. No podemos quedarnos atrás en este tema ya que día a día los que están del otro lado, están buscando más y mejores formas de poder infiltrarse hacia nuestro lado.
Perfil Digital Empresarial
¿Sabes que tan expuesta es tu plataforma web? NOISE Ciber Seguridad te ofrece: · Reporte digital de tu empresa en la web. · Documentos expuestos · Información sensible, personal y tecnológica.
NOISE brinda, también, cursos, capacitaciones y certificaciones para que todos puedan conocer y defender su empresa de la mejor manera.
11
NOISE REVISTA DE CIBERSEGURIDAD
Quieres Ganarte un Perfilamiento?, para obtenerlo envíanos un correo a: revista@noise-sv.com con tu cuenta de twitter, los primeros 10 correos recibidos y sean seguidores en twitter y Facebook, recibirán su perfil empresarial.
TUTORIAL
ANÁLISIS DE METADATOS AUTOR: DANIEL BENAVIDES
¿Qué son los metadatos?
En pocas palabras, para un hacker este tipo de información es vital en la fase de recopilación de información, porque le permite conocer mejor su objetivo (ya sea una persona o una empresa), es un grave riesgo de seguridad, pues exponer este tipo de información en internet puede jugarnos en contra y lo que lo hace peor, es que ni si quiera sepamos lo que estamos divulgando.
El concepto de metadatos es muy simple de entender, se trata de aquellos datos que describen un recurso informático, se centra en abordar detalles del mismo que no son vistos superficialmente hablando, por ejemplo, con los metadatos de un documento de word, es posible saber quien es el autor, donde y cuando fue creado el archivo, desde que dispositivo se creó, incluso hasta la versión de word o libre office writer que se utilizó, otro ejemplo podría ser con el análisis de metadatos de una fotografía (.jpg, png, etc), es posible saber de igual forma el dispositivo de origen, diafragma, si se utilizó flash o no, modelo del móvil, incluso hasta las coordenadas de latitud y altitud que permiten geolocalizamiento.
Para esta prueba, utilizaremos la herramienta FOCA, que la pueden descargar gratis del sitio oficial de elevenpath: https://www.elevenpaths.com/es/labstools/foca-2/index.html
12
NOISE REVISTA DE CIBERSEGURIDAD
A continuación se ejemplificará concretamente lo que podemos conocer con los metadatos.
Lo primero que haremos, será crear un nuevo proyecto, en este ejemplo le colocaremos PruebaNOISE, especificamos el dominio y la ubicación en donde se almacenará el proyecto. Damos clic en crear.
Luego de guardar, se nos mostrará el panel principal. Observe que en la esquina superior derecha se encuentran los filtros de archivos a buscar en el sitio objetivo (pdf, doc, docx, jpg, etc). En el lado izquierdo, se muestra el desglose de información que se obtendrá con la búsqueda. Damos clic en buscar y en unos minutos (con suerte segundos) los archivos irán apareciendo en pantalla, como se muestra.
El siguiente paso consiste en sombrear todos los archivos, dar clic derecho y descargar para posteriormente extraer su metadata (que es lo que nos interesa). .
13
NOISE REVISTA DE CIBERSEGURIDAD
Confirmamos la ubicación en donde se almacenará el proyecto.
Empezarán a descargarse uno a uno, cuando todos tengan un punto verde es que ya ha finalizado la descarga, cuando esto suceda observe en la parte de abajo que los archivos se van clasificando según el nivel de criticidad encontrado.
Se encontraron un total de 36 usuarios y un total de 37 programas que utiliza nuestro dominio objetivo. El detalle se puede mostrar por archivo, que en este caso ese documento pdf en específico fue creado el 6 de mayo de 2014 a las 4:46 por el usuario bcmanager:
Volvemos a sombrearlos todos, damos clic derecho y esta vez seleccionamos la opción “extraer todos los metadatos”.
El detalle también puede verse de forma general: Este es el listado de los usuarios encontrados, puede ser peligroso porque si aparece listado un usuario administrador, se puede validar el tipo de información que este maneja y así poder potenciar un ataque de phishing por mencionar uno de tantos posibles.
Todos los documentos empezarán a ser analizados, en el panel de la izquierda puede ver el conteo de archivos analizados, así como ver los detalles de lo que ha encontrado.
14
NOISE REVISTA DE CIBERSEGURIDAD
.
Este es el listado de software manejado por la empresa:
ción sensible de sus documentos antes de subirlos a Internet.
Afortunadamente esta prueba solo obtuvo nombres de usuarios y software utilizado, en el peor de los casos podríamos adquirir contraseñas, sistemas operativos y/o información de servidores, lo curioso es que toda esa información es posible conocerla a través de los metadatos almacenados en los archivos que las empresas y/o personas hacen públicos en internet.
El tema está para abordar muchas cosas más, pero hemos tratado de presentar lo más crucial para una empresa, si tienen dudas sobre la implementación de alguna otra herramienta para la limpieza de metadatos o si gustan de nuestros servicios para prevenir la fuga de información sensible a través de archivos, pueden escribirnos al correo: informacion@noise-sv.com y para nosotros será un placer atenderte.
¿Qué podrían hacer para no poner en riesgo la seguridad de su empresa a través de los archivos que suben a internet? Bueno, si se trata de documentos word, power point, excel pueden hacer lo siguiente: 1. Microsoft lanzó una nueva característica de inspección de documentos (Inspect Document) a partir de Office 2010 en adelante, que les permitirá eliminar informa
Disclaimer: Este contenido es sólo para fines educativos. Cualquier acción o actividad relacionada con el material contenido en esta revista es de su exclusiva responsabilidad. El mal uso de la información en esta revista puede resultar en cargos criminales contra las personas en cuestión. Los autores y NOISE Ciberseguridad no serán responsables en caso de que se presenten cargos penales contra cualquier persona que abuse de la información de esta revista para violar la ley.
.
15
NOISE REVISTA DE CIBERSEGURIDAD
Existen herramientas de paga, una de las más famosas y bastante efectivas, es la que ofrece elevenpath: Metashield Clean-up Online.
ESPERA NUESTRA Cuarta EDICIÓN 03 04 03
E S I O N E S I N O O N I E S I O N u impoPretnaTnecsita,Nseun eOl piaIllaSny SEE rirapelrsyaesriaimarplo. rt PenTest, sEstrategia em
03 04
IDAD RCSIREBEGEVARUIDSSR E G U R I D A D E B I C E D E D DS T A TA DE RI R E V I S RT EA V II B E R S E G U CIBER C SEGU DE A T RIDAD S I V R E V E I S TA DE CIBERS R EGURIDAD
adep segurático. ancia en s m e e r d a p d i m r e u g a e i el plan .rm idad emp fo in o o it c i t á m Es Estdreatselgitoelindfel r tr a r o te g e ia s em presa ar el de el delito informátirciaol. iyal.
icenasfo át , rense, e Infocrm r o f i aeserva ciaid. encia. ridlaenev ormoátpr v e Infco a l r serva Informática fo re nsiva e, rporat como pre comoegiapr estrategia co orativa rpes co er va at r tr la evidencia. iento como es Ciber-Cumplim
http://www.noise-sv.com/ Teléfonos : 7930-2011/ 7235-5175