Cómo protegerse (efectivamente) de un Ransomware o la RansomSociety (la Sociedad Secuestrada)

El Ransomware es un programa que aprovecha una vulnerabilidad para “colarse” en tu PC, encriptar todos los datos y pedirte dinero a cambio, además en medios empresariales se propaga de forma que infecta todas las unidades de red a las que tengas acceso.

Un Ransomware es un Virus?
Un virus es un programa cuya finalidad es la infección alterando o no su comportamiento. Hay un tipo de virus llamado “gusano” [Worm] cuya finalidad es la dispersión (la infección masiva).

Un ramsonware es un programa “malicioso” de ahí el nombre de MalWare [Software Malintencionado], cuya finalidad como programa es el secuestro de la información de nuestro equipo. 

En el caso de WannaCry, es un programa malicioso, dado que secuestra nuestra información y nos pide dinero para liberarla y al mismo tiempo se dispersa (Worm).

La RansomSociety es la sociedad secuestrada por la amenaza de este tipo de acciones, cada día hay más preocupación por la “amenaza digital”, hemos visto robos de información que han influido en resultados electorales, países que abandonan las máquinas para hacer el recuento de sus elecciones “analógicamente” (Holanda) por miedo a intervenciones de un tercero. Ataques a infraestructuras críticas con éxito, Ucrania… La amenaza existe, y más desde que ha pasado a tener plan de negocio. Conviene recordar que la “industria” del malware mueve miles de millones de dólares hoy en día, por tanto, hay negocio y hay gente dispuesta a beneficiarse de este mercado, así que vamos a tener amenazas ahora y en el futuro.

¿Cómo podemos protegernos de forma efectiva contra un Ransomware?
Hay dos principios básicos:
  1. Preventivo: previniendo la pérdida, anticipándome y protegiendo el equipo previo a que esto pase.
  2. Reactivo: actuando una vez estoy siendo atacado.
En función de dónde esté:

¿Qué hago en casa?

Preventivo
  • Unificar la información personal en una carpeta (Mis Documentos, Mis Imágenes…), ¿por qué? Para facilitar la copia de seguridad, si tenemos la información dispersa en el disco duro hacer un backup será más complejo.
  • Comprar un disco duro externo y hacer copia de los datos a este medio externo.
  • Establecer una rutina de actualización de la información, éstas acciones tienen que tener continuidad, tener un backup de hace 3 años puede que no me sirva de nada, por tanto, a la hora de establecer un proceso de copia debe establecerse una rutina de actualización (cada día, cada semana, cada mes…).
  • Revisar que Windows Update o el sistema operativo utilizado esté al día, si no es así actualizar el equipo.
  • Actualizar Antivirus/Malware en todos los equipos (recordemos que si es un ZeroDay no habrá definición de antivirus aún pero siempre es recomendable).
  • Explicar a todos los usuarios del PC que:
    • No deben abrir correos sospechosos,
    • No deben ejecutar programas que “aparecen” en la web tipo “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, suele ser malware.
    • Usar un bloqueador de elementos emergentes en los navegadores
    • Usar UAC (Control de cuentas de usuario de Windows).
      Inicio – Cuentas de usuario:


      Haga clic en Activar o desactivar Control de cuentas de usuario.
      Nota: Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o haga clic en Continuar.
      Haga clic para activar la casilla de verificación Usar el Control de cuenta de usuario (UAC) para ayudar a proteger el equipo y, a continuación, haga clic en Aceptar.
      Reinicie el equipo para aplicar el cambio.
      • Controlar las opciones de privacidad de los navegadores.
      • Borrar la memoria caché de Internet y el historial del navegador. [Basados en los métodos de protección pasivos de la definición de Virus].
      Generalmente en un domicilio los Pc’s comparten un grupo de trabajo, por lo que todos los usuarios de todos los Pc’s del domicilio debieran observar éstas recomendaciones.
Reactivo
Si mi equipo se comporta de forma anómala ¿qué puedo hacer?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre o bien el equipo se queda “colgado”, es posible que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Buscar asesoramiento para restaurar la información, evaluar hasta dónde ha llegado o bien probar la solución de la infección completa.  O bien restaurar la información desde el punto de restauración anterior y revisar que la información se halle actualizada.
  • Si ya me han infectado del todo y al abrir cualquier archivo lo que veo es el aviso del Ransomware conforme debo pagar:
    • Intentar buscar soluciones ya existentes en www.nomoreransom.org
      Asistente de NomoreRansom.org

      Nomoreransom.org
      Es una iniciativa sin ánimo de lucro que agrupa herramientas gratuitas para los usuarios. En caso de haber sido infectado por alguno de los malwares que ya disponen de desencriptador, es posible desencriptar la información sin necesidad de pagar al Ciberdelincuente.

      CryptoSheriff permite enviar un archivo cifrado a nomoreransom para que ellos identifiquen el tipo e indiquen si tienen “vacuna”.

    • O utilizar Telefonica WannaCry File Restorer, si apagamos el PC antes de que se cifre todo aún puede recuperarse desde la carpeta Temp.
    • Si esto no funciona, ir a buscar directamente el backup y despedirse de la información que no hubiera guardada en la copia de seguridad.
    • No se recomienda pagar el rescate, no hay garantía que el pago vaya a permitir desencriptar la información (hay quien ha pagado y no ha podido rescatar la información, hasta los procesos de pago de los Ransomwares tienen un “HelpDesk” para ayudar a los usuarios…).
¿Qué hago en la oficina?
Preventivo
  • No emplear los medios de la oficina para otra cosa que el cometido de tu puesto de trabajo.
  • Comunicar un incidente cuando se produzca mediante los cauces establecidos y si estos no existen mediante cualquier medio a nuestro alcance
  • No abrir correos sospechosos o que tengan algo que los haga sospechosos, como por ejemplo:
    • Texto extraño o contenido poco habitual, el cuerpo del mensaje “pide dinero” o pide algo no habitual como que se realice un acceso a su web.
    • Otro ejemplo, es un correo de publicidad con un ZIP anexo, ¿Para qué es el Zip? Sospechar
    • Oferta novedosa o mail del banco: “estamos actualizando la información debe acceder a su cuenta e introducir su número de cuenta”. Los bancos nunca piden el número de cuenta, lo único que piden son el identificador de acceso y la clave que debe ser oculta. Si un banco pide que le envíes la clave en texto, llama al banco.
  • No ejecutar programas que “aparecen” en la web tipo: “instale esto y le permitiremos bajar el archivo” o “su pc es vulnerable, escanéelo ahora con este programa”, “llame a este 908 para bajar…” suele tratarse de malware.
Reactivo:
Si recibo un mail y al abrir el adjunto la pantalla parpadea o bien el adjunto de Office no se abre o bien se abre y el Excel/Word se cierra a continuación, es posible que haya sido infectado. En ese caso: Avisar a los equipos de soporte

¿Cómo identifico que mi equipo está teniendo un ataque?
  • Si veo que la información ya no está disponible o bien los archivos cambian de nombre y el equipo se queda “colgado”, lo más probable es que tenga un malware cifrando la información. En ese caso:
    • Apagar el equipo
    • Avisar inmediatamente a los equipos de soporte
  • Avisar a los compañeros que si reciben un mail nuestro puede ser fraudulento
  • Si veo que información en la red a la que tengo acceso no está o bien ha cambiado de nombre:
  • Avisar a los equipos de soporte
Existen asimismo métodos de infección en donde no es necesario que yo haya abierto “nada”, sino que el ransomware busca equipos vulnerables a determinada vulnerabilidad en el sistema (el caso de WannaCry, se vale de un ZeroDay para infectarse) y por el hecho de estar conectados a la red los infecta. Por lo que nosotros, como monitores debemos estar atentos al comportamiento de nuestro PC y si vemos que alguna de las casuísticas mencionadas antes se produce avisar de inmediato para que los equipos de respuesta puedan identificar y neutralizar lo antes posible la amenaza.

QUÉ ES UN ZERO DAY?
Son vulnerabilidades de los programas desconocidas para su fabricante –por tanto, no ha podido emitir un parche que la subsane- no estamos protegidos contra ellas dado que son desconocidas para los equipos que administran los sistemas. Ante ellas las protecciones más efectivas son el aislamiento “cortamos internet” o bien la concienciación “sospechar de un correo extraño o no solicitado”.

Una Vulnerabilidad Zero Day puede permitir por ejemplo que un archivo se copie entre todos los Pcs vulnerables a dicha vulnerabilidad de una red. Este es el caso de WannaCry que explota una vulnerabilidad de SMB

Conclusión
Por tanto, aunque seamos un usuario que no entra en ninguna web extraña ni recibe ningún mail extraño podemos vernos infectados por otro usuario que sí lo haga por la naturaleza “gusano” de algunos malwares. Lo primero que debemos hacer como usuarios es evitar la infección evitando actividades que puedan poner en riesgo la compañía/información doméstica. Hemos visto cómo, aún sin haber sido nosotros quienes realizan estas actividades, podemos resultar infectados, en cuyo caso la recomendación es disponer de información de copia de seguridad actualizada, de forma que esta pueda ser restaurada de forma eficaz y rápida y no nos haga depender del pago de un rescate, también hemos visto cómo, aunque se haya encriptado toda la información aún queda esperanza con recursos como nomoreransom.org.

Por tanto, todos debemos observar reglas de uso adecuado de los medios para preservar las tres dimensiones de la Seguridad de la Información que son la Confidencialidad, la Integridad y la Disponibilidad de mis datos, si el cumplimiento no es por parte de todos, estas dimensiones pueden verse afectadas:
  • Confidencialidad: Exfiltración, publicación de información a quien no debiera verla
  • Integridad: Alteración, modificación de la información, caso de ransomware
  • Disponibilidad: Denegación, impedir el acceso a la información, caso de los Ataques que saturan los sistemas, ataques de Denegación de Servicio (DOS) o bien si son a gran escala Ataques Distribuidos de Denegación de Servicio (DDOS).
Y nuestros técnicos deben velar para que los sistemas que empleamos se hallen actualizados de forma que al menos dispongamos de la protección que el fabricante ha suministrado vía actualización de los parches o definición de virus.

Internet Security Auditors asesora y ayuda a las empresas a conseguir un entorno en donde se cumpla la conclusión de éste artículo, ayudando a gestionar su seguridad y aportando un enfoque práctico orientado a negocio que aporte valor a todos los involucrados implantando las mejores prácticas y una metodología contrastada para reducir el riesgo de ataques.


Autor: Carlos Ortiz de Zevallos - ISO 27001 L.A., Scrum Manager, MCP, ITILF, 
ITIL Service Management.
Dpto. Consultoría

Crónica Mundohackerday 2017



Mundohackerday es uno de los eventos de ciberseguridad y hacking más importantes de España y en este evento (que es ya la 4ªedición) se analizaron las últimas tendencias en materia de ciberseguridad con diversas ponencias y mesas redondas en las que participaron expertos de todo el mundo.
En este evento se ha querido concienciar sobre la importancia de la ciberseguridad. Se habló de que los ciberataques son cada vez más sofisticados y difíciles de detectar, por lo que es importante divulgar y concienciar a empresas y ciudadanos sobre la ciberseguridad.

El inicio del evento lo efectuó Víctor Aznar (director de Globb TV) con una breve introducción y posteriormente Antonio Ramos, presentador del programa de televisión Mundohacker y director de StackOverflow.es dio comienzo al evento. Antonio Ramos en su charla “Keynote: Sociedad 4.0 - la cuarta revolución industrial, bienvenidos al infierno!” habló sobre las sociedades actuales y cómo afecta la tecnología y los problemas que nos acontecerán próximamente con la robótica (la automatización de tareas/trabajos por estos mismos).

Para continuar Ricardo Maté y Antonio Ruiz, de “Sophos Iberia”, explicaron como el uso de técnicas de cifrado que pueden ser de gran ayuda a la hora de cumplir el nuevo reglamento europeo de protección de datos (Reglamento (UE)”.
La siguiente charla fue la mesa redonda, compuesta por Rosa Díaz (Panda), Carlos Tortosa (ESET), Pedro Garcia (Kaspersky), Melchor Sanz (HP), Isaac Gutiérrez (Prosegur), Silvia Barrera (Policía Nacional) y Juan Navarro (HPE Software), con moderación de Carlos Alberto Saiz Peña (ISMS Forum). La charla trató sobre la nueva normativa europea en materia de seguridad y privacidad, la GDPR o el Reglamento General de Protección de Datos, que ya está en vigor y será de obligado cumplimiento a partir del 25 de mayo de 2018.

La siguiente ponencia la realizó Julien Blanchez, (Google), que nos habló de cómo securizar las plataformas cloud y nos describió las tecnologías que utiliza su compañía para mantener los datos seguros en los servicios que ofrecen.

Para continuar, la siguiente charla fue protagonizada por Gadi Naveh, (Check Point), que habló sobre la historia del cibercrimen hasta los tiempos de hoy, en los que actualmente es posible contratar servicios de phising, exploit o ransomware, por lo que, estas técnicas, para fines maliciosos están al alcance de cualquiera, aunque sus conocimientos informáticos sean muy básicos. A lo largo de su charla enumeró las fases por las que un ataque llega a ser exitoso.

Después del café continuamos con Carlos Gómez Gallego, (HPE Aruba), el cual nos relataba que cada vez hay más riesgos de seguridad asociados a los dispositivos móviles.
El siguiente ponente fue Agustín Muñoz-Grandes, (S21sec), que habló sobre los servicios gestionados vs APTs (advanced persistent Threats), indicando también a su vez que las personas son el punto de entrada de la mayoría de los ataques,

La última charla de la mañana fue la mesa redonda “Hacking Spain: el rol de las comunidades en la ciberseguridad”, Esteban Dauksis (FAQin), Miguel Ángel Cazalla (Hack & Beers), Igor Lukic (Hackron), Juan Antonio Robledo (HoneyCON),David Albela (María Pita DefCon),Luis Jurado Cano (Moscow C0n),Juan Carlos Gutiérrez (Mundo Hacker),Rubén Ródenas (Navaja Negra),María José Montes Díaz (Qurtuba),Sergio Sáiz García (Sh3llCon), Adrián Ramírez Correa (SEC/ADMIN9, Ángel-Pablo Avilés (X1RedMasSegura) y Raúl Riesco (Incibe) como moderador.

Después de comer, siguió David Marugán, explicando como la tecnología se ha abaratado para el ciberespionaje y puede estar al alcance de todos. A su vez nos enseñó dispositivos y técnicas que se utilizan para rastrear y tener la seguridad de que no existen micrófonos u otros elementos espiándonos.

Siguiendo con el evento Enrique Serrano nos alertaba de como roban tus credenciales mientas navegas.

El siguiente ponente fue Carlos Loureiro, que se centró en la realización de análisis de la deep web y como era posible rastrear IPs y usuarios.

Seguimos con Alberto Cartier, que nos apartó un poquito de la seguridad, pero nos mostró técnicas de memorización con ejemplos prácticos, como por ejemplo recordar palabras en nuevos idiomas y recordar largas secuencias de números.

Luego Yago Hansen (Mundo Hacker y Stack Overflow) explicaba cómo realizar chats secretos mediante canales Wi-Fi encubiertos.

Deepak Daswani (Deloitte) nos habló sobre Whatsapp y distintas técnicas para espiar su contenido.
Simon Roses (Vulnex), hizo referencia en su charla a las puertas traseras que se encuentran actualmente.

Javier Espejo (Raipson) nos habló de Red Team y como ser “malo” y no acabar entre rejas.
Pedro Candel (Deloitte) y Carlos Barbero nos explicaron como explotar sistemas de escritorio de última generación mediante browser hooking.

Lorenzo Martínez (Securízame) hizo mención a las APTs (Amenazas Persistentes Avanzadas).
Y ya para finalizar Gabriel Lazo hablo sobre la ciberguerra, exponiendo que la OTAN ha reconocido al ciberespacio como un nuevo campo militar, junto con los campos que ha habido siempre como son los de tierra, mar y aire.

Por otro lado, la CTF Academy, en la que miembros del equipo español que han participado en los campeonatos Europeos “European Cyber Security Challenge 2016” enseñaban a los futuros expertos en seguridad cómo aprender a competir en retos de hacking en cuatro sesiones a lo largo de la jornada.


Una mirada del Ransomware WannaCry desde el punto de vista de PCI DSS

Desde hace algunos días la comunidad Internet ha estado siendo agobiada por el ataque de un virus informático que, desde el punto de vista de diferentes estándares de seguridad y en especial de la norma Payment Card Industry Data Security Standards PCI DSS v.3.2 (https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf?agreement=true&time=1494941625673 ), no ha debido ocurrir.

Veamos algunos elementos de información que se han hecho públicos y que nos permiten hacer un análisis de los eventos que resumo a continuación:
  • Microsoft publicó un parche para todos los sistemas operativos soportados para una vulnerabilidad clasificada como crítica en el protocolo Server Message Block (SMB) versión 1.0 el 14 de marzo de 2017 (MS17-010).
  • La vulnerabilidad usada por este virus (EternalBlue), junto con el exploit fue hecha pública por el grupo de hackers Shadow Broker el 14 de abril de 2017.
  • El 12 de mayo de 2017 se viraliza el Ransomware WannaCry iniciando uno de los ataques más serios de los últimos tiempos.
  • El 12 de mayo, algunos fabricantes de antivirus publicaron las firmas que detectan este virus.
  • Debido a la seriedad del ataque Microsoft publicó parches para algunos sistemas operativos no soportados el 13 de mayo de 2017.
Si revisamos con detenimiento las fechas encontramos que entre la fecha de publicación del parche y el ataque pasaron dos meses, y, la norma fija que no deben pasar más de 30 días desde la publicación de un parche de una vulnerabilidad crítica y su aplicación (requerimiento 6.2 de la norma PCI DSS v.3.2).



El virus está atacando a sistemas que tienen activo el servicio SMB 1.0, el cual en la mayoría de casos no es requerido y ha debido ser desactivado después de un proceso de configuración inicial de las máquinas (requerimiento 2.2 de la norma PCI DSS v.3.2).


El vector de ataque del virus es el puerto 445, lo que significa que para ser atacado, este puerto debe estar expuesto ya sea por internet o una máquina de la empresa que se conectó fuera del ambiente corporativo a Internet y luego la llevó y la conecto a la red corporativa; esto nos presenta dos puntos posibles (en términos generales) de infección: una regla de firewall que permite el acceso a este puerto (es muy raro que una empresa requiera exponer a través de sus portales públicos este puerto), lo que significaría que hay reglas no requeridas, o extremadamente abiertas en el firewall y que no fue eliminada en ninguna de las revisiones semestrales (requerimientos 1.1.6 y 1.1.7 de la norma PCI DSS v.3.2).




El segundo escenario es el de una estación que se conecta de manera directa a Internet, en este escenario la estación o portátil debería estar operando con un firewall de host o personal con reglas definidas para dar acceso a los recursos necesarios para poder trabajar, cerrando todo tipo de acceso remoto e impidiendo su desactivación o reconfiguración por parte del usuario final (requerimiento 1.4 de la norma PCI DSS v.3.2).


Teniendo en cuenta que algunas empresas que producen antivirus lograron sacar firmas que protegen contra el virus en mención, su aplicación temprana ha podido prevenir una infección de las máquinas que fueron contaminadas los días posteriores a su publicación (requerimiento 5.2 de la norma PCI DSS v.3.2).


Por la información de prensa se evidenció que en muchas empresas los planes de respuesta a incidentes no incluyeron los procedimientos adecuados para dar continuidad al negocio como, por ejemplo, copias de seguridad y una adecuada comunicación de las tareas a seguir para evitar que los daños se siguieran propagando (requerimiento 12.10.1 de la norma PCI DSS v.3.2).

Finalmente es importante recordar que muchos de estos controles requieren el concurso directo de los empleados ya que los dispositivos que se conectan a la red son operados por ellos, por tanto, una adecuada concientización en temas de seguridad realizada de manera periódica asegura el correcto funcionamiento de los controles (requerimiento 12.6.1 de la norma PCI DSS v.3.2).


Hacer el análisis de todos estos elementos desde el punto de vista de cualquier otra norma de seguridad nos llevaría a la misma conclusión, el ataque se pudo haber prevenido mediante la correcta aplicación de buenas prácticas de seguridad.
La seguridad no es un tema de un ataque aislado ni de un evento en la operación, es un tema de todos los días de tratarla desde un punto de vista sistémico como parte de la operación del negocio.


Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Vicente Aguilera participa nuevamente en el programa 8aldia de 8TV

El viernes saltaban las alarmas debido al ataque informático masivo que se extiende a nivel global. En las últimas 24 horas se identificaron más de 100.000 equipos infectados por la variante de WannaCrypt.A en un total de 166 países distintos.

En el programa 8aldia del canal 8TV quisieron contar, una vez más, con la opinión y experiencia de Vicente Aguilera.

En el siguiente enlace se encuentra la entrevista completa:
http://www.8tv.cat/8aldia/8-al-dia-amb-josep-cuni/vicente-aguilera-al-final-depenem-dun-ordinador/

Crónica de la Charla Sobre el Registro Nacional de Bases de Datos

El 4 de mayo se llevó a cabo la segunda charla sobre el registro de bases de datos de información personal en las instalaciones de la Superintendencia de Industria y Comercio, las personas a cargo de esta charla fueron Carolina López y René Sierra. Durante esta charla se hicieron clarificaciones sobre diferentes aspectos del proceso del registro.

Como punto de partida se hizo una revisión del marco legal vigente que tiene como pilares la ley 1581 de 2012 y el decreto 1074 de 2015.

Durante la charla se reforzó la definición de un dato personal como aquel que permite identificar a un individuo, la clasificación de estos se da por su naturaleza: los datos públicos son el nombre y la cédula, un dato semiprivado aquel que no tiene naturaleza íntima, reservada ni pública y cuyo tratamiento le interesa a la persona y a un grupo específico de personas, por ejemplo los datos financieros; los datos privados son aquellos que solo son relevantes para el titular, como por ejemplo, fotos o información relacionada con el estilo de vida; los datos sensibles que son aquellos que afectan la intimidad de las personas y el uso indebido puede generar discriminación.

Durante la charla se reforzó el hecho de que para hacer tratamiento de datos de menores de edad se requiere la autorización de un mayor responsable de este y que tenga una relación de primer grado de consanguinidad. Ej. Los datos de los hijos para registrarlos en la caja de compensación.

El registro se debe actualizar en los 10 primeros días de cada mes en cambios significativos, esto es cuando cambie:
  • Finalidad
  • Encargado
  • Los canales de atención al titular
  • Las medidas de seguridad de la información implementadas
  • La política de tratamiento de la información
  • Transferencia y transmisión internacional de datos personales.

Igualmente recordaron que las bases de datos nuevas se deben registrar dentro de los dos meses siguientes a su creación.

En el momento de presentar las fechas límite de registro (30 de junio de 2017 para personas jurídicas privadas inscritas en cámara de comercio, 30 de junio de 2018 para el resto), fueron enfáticos en informar que la SIC no dará más plazos y que quien no registre sus bases de datos se atiene a posibles multas.

En cuanto a la solicitud de autorizaciones de uso de información, estas se solicitan de dato semi privado en adelante.

En cuanto al inventario de bases de datos hicieron las siguientes aclaraciones: se debe tener en cuenta que si los mismos datos están en medio físico y medio digital, se consideran bases de datos independientes, si el mismo conjunto de información se tiene en sitios separados con propósitos diferentes, se consideran bases de datos diferentes, para el caso de las tarjetas de presentación de negocios se debe evaluar por ejemplo se manejan tarjeteros o si la información de estas se sube a una aplicación que maneja una base de datos ya registrada, con estos criterios se deberá tomar la decisión de si se registra o no.

En referencia a la política de tratamiento mencionaron que puede haber una política diferente para cada base de datos dependiendo de la finalidad o puede haber una general.

Los datos que se da a las entidades de salud, pensiones, impuestos, cajas de compensación, etc. Antes eran tratados como “cesión” pero el criterio cambió y ahora ya no se registran estos procesos de cesión o transferencia. Cada una de las entidades que reciben esos datos deben hacer su propio registro y se clasifican como responsables de la información.

Si el responsable y el encargado son diferentes se deben crear canales de comunicación independientes para cada perfil.

En cuanto a la sección de medidas de seguridad del proceso de registro, se resaltó la importancia de documentarlas para cualquier proceso probatorio en caso de investigaciones.

Cuando se habló del proceso de autorización al tratamiento recordaron que el artículo 7 del decreto 1377 de 2013 menciona 3 mecanismos de autorización (por escrito, oral, conducta inequívoca) y recomendaron ampliamente usar el mecanismo escrito que es el único trazable y sustentable en un proceso jurídico. Mencionaron como ejemplo que en el caso de una factura que recoja los datos de una persona, el mismo formato de la factura debe hablar de la autorización.

Para los casos en que se requiera transferir información a un país donde la legislación no sea equivalente se requiere autorización expresa o llevar a cabo el proceso de hacer una solicitud de declaración de conformidad que aclararon es un proceso que toma mucho tiempo.

Autor: Javier Roberto Amaya Madrid, ISO 27001 LA, PCI QSA, PCI PCIP
Consultor en Seguridad

Crónica GigaTIC 2017: "Más allá del futuro: Negocio, tecnología y robótica"



El pasado día 26 de Abril de 2017 tuvo lugar GigaTIC, uno de los eventos en materia de mejores prácticas en gobierno y gestión de servicios TIC de referencia, y consolidado en la capital catalana. El evento fue organizado por itSMF España en Catalunya e ISACA Barcelona.

La jornada contó con la apertura institucional, a cargo de Jordi Puigneró (secretari per a la Governança de les Tecnologies de la Informació i la Comunicació). A continuación, se inició la tanda de conferencias y talleres.

Adrià Morron con “Revoluciones tecnológicas en el siglo XXI: impacto económico y retos sociales”, nos expuso una visión histórica de los sucesos más significativos con importante impacto económico (véase aparición de la máquina de vapor, el ferrocarril, la 2ª revolución industrial etc.). Actualmente, la situación es muy distinta. Se producen avances o revoluciones tecnológicas, pero el impacto de éstas no es el mismo a nivel económico.

Así pues, se intenta analizar el futuro, principalmente teniendo en mente la aparición, instauración y consolidación progresiva de los robots en los puestos de trabajo.  Si estás leyendo este artículo, probablemente te estés preguntando si tu trabajo podría ser reemplazado por un robot. Obviamente, es una pregunta muy compleja, en la que intervienen no uno sino múltiples factores, pero es cierto que algunas profesiones son más propensas a ser “robotizadas”.  A continuación, y a modo de ejemplo a muy alto nivel, se muestra el riesgo de automatización según empleo:

Si se analiza el gráfico anterior, se puede llegar a la conclusión de que los trabajos que son más susceptibles de ser ‘robotizados’ son aquellos con un grado de repetición más elevado.
Además, se debe tener en cuenta que los salarios elevados son los que tienen un menor riesgo de automatización. Los salarios medios son propensos a ser robotizados, de forma que los trabajadores que pierden el trabajo por dicha situación, se ven desplazados hacía lugares de trabajo con menor calificación, produciéndose un incremento de las desigualdades.

La segunda conferencia estuvo a cargo de Antonio Valle, con “Un BOT en la vida del Service Manager”. Cómo un robot crea el nexo de unión entre ITSM y DevOps.

Se analizó una situación actual, que se puede dar en cualquier empresa. La diferencia está en si la situación se gestiona de una forma tradicional o en si se utiliza DEVOPS como herramienta de soporte.

Vamos por partes, la situación a analizar es la gestión de un incidente. La gestión de un incidente grave conlleva que múltiples trabajadores estén involucrados en su gestión y resolución. El contenido de las llamadas telefónicas no queda registrado, la información de configuración se tiene que localizar y consultar, del mismo modo que el estado de las máquinas. Una vez determinada la raíz del problema y resuelto el incidente, la gestión de este aún no finaliza, queda por documentar todo lo sucedido, manualmente.

Pero, ¿qué puede aportar DevOPS? Con la implementación de un ‘robot’, o en términos más correctos, un ‘bot’ que participe en la conversación, se puede obtener asistencia en:
  • Ejecución de tareas no cognitivas y repetitivas, como por ejemplo las siguientes:
    • Creación automática de un chat room.
    • Inserción de tema y descripción.
    • Invitación de empleados que se ven afectados por el incidente sucedido.
    • Dar información del estado y los detalles del ticket.
    • Modificar y cerrar el ticket.
    • Facilitar información sobre las personas de contacto.
    • Facilitar información sobre los problemas y cambios relacionados.
    • Facilitar información de la base de datos de conocimiento.
La lista de tareas puede ser muy extensa, simplemente se muestran unas cuantas a modo de ejemplo.
Los beneficios que se obtienen con la utilización de un bot en la gestión de incidentes anteriormente analizada son múltiples. La comunicación fluye con más facilidad, y todo lo que se sucede en el chat room queda registrado. Además, la velocidad o el tiempo de actuación es menor, dado que directamente se puede crear un chat con todo el personal afectado y responsable de su resolución, sin tener que dedicar tiempo en buscar las personas que pudieren tener responsabilidad, llamarlas y gestionarlas.

La estandarización en la resolución del incidente, así como la trazabilidad, son también dos factores muy importantes que se ven mejorados.

Después de una pequeña pausa, los conferenciantes se dividían en tres salas distintas.  En la sala 1 – Auditorio, se encontraba Carlos Ortiz de Zevallos, miembro de itSMF, moderando el debate “Debatiendo con… Ramón Lopez de Mántaras, Miquel Barceló y Josep Puyol – Inteligencia Artificial y Robótica: De la ficción a la realidad”. A la misma hora, Vicente Aguilera presentó, en la sala 2, “Strength level before hacking – técnicas de evaluación de Seguridad en el software”.

Se hizo hincapié en la complejidad que tiene el SW, y en el gran entendimiento técnico que se tiene que tener para poder explotarlo.  La creación del SW seguro es un elemento muy importante, que se tiene que tener en cuenta desde un primer momento, y que debe comprender:
  • Diseño, construcción y realización de pruebas para la seguridad
  • Ejecución correcta bajo un ataque malicioso (que el comportamiento esté ‘controlado’)
  • Diseño teniendo en mente las fallas.
Además, es posible añadir una capa adicional de seguridad, mediante la implantación de buenas prácticas: OWASP, CLASP, BSMM etc.

El resto de la presentación giró alrededor de las distintas técnicas de evaluación que pueden ser utilizadas, valorando sus ventajas y desventajas. Algunas de las técnicas tratadas se listan a continuación:
  • Revisiones manuales
  • Modelado de amenazas
  • Revisión de código
  • Pentest (Prueba de Penetración)
  • Machine Learning
El Machine Learning es un campo de la inteligencia artificial que está dedicado al diseño, el análisis y el desarrollo de algoritmos y técnicas que permiten que las máquinas evolucionen. Se trata pues, de crear programas que sean capaces de generalizar comportamientos a partir del reconocimiento de patrones o la clasificación.

Se analizaron las distintas soluciones de Machine Learning presentes en el mercado, desde soluciones que analizan el código fuente, identificando la forma de código vulnerable hasta la aplicación automática de parches para solucionar vulnerabilidades (corrección automática e independiente del código).
Se constató, después de analizar las distintas soluciones de Machine Learning presentes en el mercado, que esta ‘tecnología’ ha llegado para quedarse, ya que aún tiene mucho por ofrecer.
A continuación, en la misma sala, fue el turno de Ivan Lalaguna, con “Experiencias innovadoras en la transformación digital”.

Ivan nos mostró la evolución de diferentes proyectos en la transformación digital, haciendo especial hincapié en el factor humano, y es que la solución técnica a un problema, por muy buena que sea, no será útil si no se ha tenido en cuenta el factor humano de todos los afectados.

A modo de ejemplo, voy a exponer uno de los escenarios tratados en la presentación. El escenario evaluado trataba de la instalación de un parque eólico. Se tenía que localizar una zona que permitiera la generación suficiente de electricidad, pero, además, como se quería estar generando siempre a máxima potencia, se tuvo que idear un sistema para tener X aerogeneradores, y, en función del viento, activar o desactivar aerogeneradores para poder generar siempre a potencia máxima (y no sobrepasarla).

La implementación del SW, tenía que realizarse teniendo en cuenta la localización remota de la instalación. Se empezó con la realización del software y las posteriores pruebas, y se determinó que ya estaba listo para poder ejecutarse. Pero, un día cualquiera, el SW se desactivó, y dejó de funcionar. Se analizó lo que estaba ocurriendo, y efectivamente se había desactivado, pero activándolo de nuevo, volvía a funcionar con total normalidad, sin apreciarse ningún error o fallo.

Finalmente, los responsables del SW, cansados ya de dedicar personas y personas a revisar el código y posibles fallos que pudiera tener, decidieron monitorear manualmente el funcionamiento, para poder actuar de forma inmediata delante una desconexión de éste. Un día dado, se desconectó, y los responsables intentaron conectarse de forma remota, pero ésta también se desconectaba. ¿Cuál era el problema? El factor humano, ya que era una tercera persona quién utilizaba el ordenador bajo el cual corría el SW, y quién lo cerraba (sin saber lo que realmente estaba haciendo).

¿Qué se puede aprender de la situación anterior? Pues que no solamente se deben tener en cuenta los factores técnicos de la solución, sino toda la interacción (directa e indirecta) con humanos, también debe ser analizada y tratada debidamente.

Antes de la comida, en la sala 3, Luis Benítez realizó la presentación “IoT: In-Security of Things”. En ella, se analizó la situación actual de este tipo de dispositivos, dejando clara una tendencia en aumento del número de dispositivos por persona.

A continuación, Luís, nos expuso tres escenarios distintos, con ‘deficiencias’ en seguridad, mostrando los problemas que pueden suceder (y que ya se están empezando a suceder).
  1. Smart TVs
    Nos mostró cómo, algunas de las TV analizadas, tenían distintas vulnerabilidades conocidas clasificadas como graves sin corregir. Se abarcó también el tema de la privacidad y la seguridad de la función ‘botón rojo’.
  2. Barra de sonido empresa X
    Es un claro ejemplo de lo que podría pasar, a medio o largo plazo, con los distintos dispositivos IoT en uso.  La barra de sonido tenía múltiples vulnerabilidades críticas, altas, medias etc. así que lo primero que le viene a uno en la cabeza es actualizarla. Hasta aquí todo bien y muy coherente. ¿Entonces, cuál es el problema? La empresa X se encuentra bajo concurso de acreedores, y ya no da soporte de sus productos.

    ¿Resultado? Tenemos un HW funcional, completamente operativo, pero que por su naturaleza (IoT) se encuentra conectado permanentemente a Internet sin tener unas medidas de seguridad mínimas, facilitando que un hacker pudiera acceder a ella.
  3. Dispositivo de control eléctrico
    El tercer escenario evaluado, hace referencia a un conjunto de dispositivos que permiten tener un control del consumo energético de una casa. Mediante el análisis de tráfico se determinó un problema muy importante, y que tiene una relación directa con lo tratado en la presentación de Vicente Aguilera, el uso de buenas prácticas.

    El SW transmite la latitud y la longitud de cada uno de los sensores, y además, envía un número identificador de dashboard (pantalla principal de la aplicación para controlar y administrar todos los sensores). Pues bien, en la información transmitida con la aplicación, se sabía no solamente el lugar exacto de los sensores (y por lo tanto de la posible víctima) sino que además se podía acceder a los dashboard de cualquier cliente mediante la modificación manual del código…
Después de la comida, en el auditorio, fue el turno de Conxi Pérez y Enric Arola con “¿Cómo me muevo hacia el futuro?”. Se analizó la situación actual, y la influencia que tiene la tecnología en el siglo XXI, poniendo como ejemplo la figura de embajador tecnológico creada por el gobierno de Dinamarca para actuar de interlocutor con las empresas tecnológicas. También se trató la importancia de llegar a un equilibrio entre la “cultura1 y las “estructuras2 de una organización, y lo importante que es involucrar a todo el equipo.  Finalmente, se analizaron los distintos tipos de organización y los estilos de liderazgo, abarcando la importancia de todo el equipo en la empresa y en los distintos roles que poseen.

A continuación, fue el turno de Robert Falkowitz, con la ponencia “Managing the robots that manage services”. Se analizó el futuro de los robots y los cambios que podrían conllevar en las disciplinas actuales de gestión del servicio, debatiendo, por ejemplo, el impacto que podría tener si los robots fueran capaces (por sí solos) de conocer cómo han sido configurados y los cambios que se han ido produciendo en el tiempo.

Para la gestión de peticiones de servicio, se constató que los robots podrán evaluar los riesgos de una forma mucho más precisa, sin tener en cuenta todos los temas emocionales humanos, así como realizar cambios de forma rápida y efectiva, sin tener que esperar a la disponibilidad de una persona. Además, se pueden actualizar de forma automática y pueden realizar distintas pruebas de testing mucho más complejas de forma más rápida. Por si fuera poco, la transferencia de conocimiento de un robo a otro, también se produce de forma mucho más efectiva, dado que no hay un ‘tiempo de aprendizaje’.

Para finalizar la jornada, y antes de la clausura institucional, tuvo lugar un debate titulado “CDO-CEO-CIO: ¿Cómo liderar la transformación digital?” entre Sergio Martínez (Pronovias), Jordi Priu (MMM) y Benito Cerrillo (Vichy). En él, se debatió la forma en la que se debe introducir y gestionar la innovación en la organización, y en la forma de llevar a cabo la transformación digital, maximizando la involucración de todos los empleados, analizando los puntos fuertes y los puntos débiles, y haciendo frente a la aversión al cambio.

1. Cultura de una organización: Se trata de ver con el factor humano (uso de poder, dinámicas de influencia, liderazgo etc.)
2. Estructura de una organización: Conjunto de estrategias, políticas y procedimientos de una organización.


Autor: Marc de Tébar 
Dpto. Consultoría

Vicente Aguilera participa en el ciberdebate ¿Qué es OWASP? en el canal Palabra de Hacker

Vicente participará en la mesa de ciberdebate que se retransmitirá en directo desde el canal de Youtube Palabra de Hacker.

Palabra de Hacker es un canal dedicado al mundo de la seguridad informática donde el verbo hackear y el sustantivo seguridad se dan la mano para aprender con los mejores profesionales y construir entre todos una red más segura. Palabra de hacker acerca, a través de YouTube, el mundo de la ciberseguridad mediante entrevistas y hangouts en directo y con el foco abierto a las redes sociales para formar una comunidad cibersegura e interactiva.

En el ciberdebate se explicará en qué consiste OWASP, cuáles son los pilares fundamentales de la iniciativa, porqué es tan importante que las aplicaciones sigan unos estándares/consejos de seguridad desde su diseño, cómo es la comunidad que sustenta el proyecto, qué tipo de eventos se organizan, así como diversas cuestiones que surgirán durante el debate y a la que se sumarán las preguntas que puedan lanzar los usuarios que visualicen el directo.

Más info:
https://www.yolandacorral.com/ciberdebate-que-es-owasp

Vicente Aguilera participa como ponente en el evento GigaTIC

Una vez más itSMF España en Cataluña e ISACA Barcelona, unen sus fuerzas para celebrar el que es ya el evento más consolidado y de mayor relevancia en Cataluña en materia de Mejores Prácticas en Gobierno y Gestión de Servicios TIC, unificando en un solo congreso anual, los anteriormente bi-anuales denominados CIMA y gigaTIC, en “gigaTIC 2017”.

El Congreso gigaTIC 2017, bajo el lema "Más allá del futuro: Negocio, tecnología y robótica", se celebrará el día 26 de abril de 2017, en el auditorio de Telefónica Diagonal 00 de Barcelona, donde se hablará y se compartirán contenidos y mejores prácticas de Gobernanza y Gestión de Servicios TI, (Cobit tm 5, ITIL® 2011, ISO / IEC 20000, ISO 38500, ISO 27000, Lean IT, Ciber- Seguridad, Big Data, Smart Cities, Cloud Computing , etc.), se presentarán casos prácticos de Gobernanza y Gestión y se debatirán los temas más candentes de la profesión (Innovación, Factor Humano y Cambios Organizativos, Movilidad, Tendencias en la Era Digital, etc.), con posibilidad de conexión simultánea con Ibero América.

Vicente Aguilera participará como ponente en el evento con la presentación: Strength level before hacking - Técnicas de evaluación de Seguridad en el software. En la que presentará una evolución de las técnicas de seguridad en el software, desde las clásicas  (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio.

Más info:
http://www.itsmf.es/index.php?option=com_content&view=article&id=2518

IATA dejará de operar con las agencias que no cumplan con PCI DSS

Desde principios de este año, IATA ha estado notificando a las agencias de viajes asociadas en todo el mundo sobre la necesidad de implementar el cumplimiento de PCI DSS en sus operaciones de Medios de Pago. De hecho, ya en la Resolución 854 del 1 junio de 2016 (se recogía este punto, y que venía de una resolución anterior). En una de sus últimas notificaciones, tras la reunión de su grupo de trabajo del IATA's Passenger Agency Conference Steering Group (PSG) se decidió modificar las fechas de cumplimiento.

Esta nueva ACTA del 3 de abril es muy relevante dado que confirma la importancia que IATA concede a que las agencias asociadas cumplan con PCI DSS, pero también asume que el cumplimiento de esta norma no es trivial e implica cambios importantes para éstas. Por tanto, el cumplimiento obligatorio de PCI DSS se retrasa del 1 de junio de 2017 al 1 marzo de 2018.

A la pregunta principal de ¿qué implicará el no cumplimiento llegada la fecha? IATA deja claras las diferentes responsabilidades, y entre estas se encuentra la posibilidad de impedir seguir operando a la agencia incumplidora, pero hay más:
  • Pérdida de confianza de los clientes.
  • Repudio en ventas.
  • Pérdidas por fraude.
  • Mayores inversiones por un cumplimiento tardío.
  • Costes legales, judiciales y de compensación a terceros.
  • Multas y taxas.
  • Terminación de operaciones con pago electrónico.
  • Finalización del negocio.

Sin duda alguna, IATA le da la importancia que se merece a PCI DSS y, en el nuevo microsite de "PCI DSS & Travel Agent Compliance Requirements" las agencias van a poder encontrar información relevante en cuanto al cumplimiento.

IATA está haciendo esfuerzos importantes intentando concienciar a las agencias en los puntos sensibles de compromiso y las situaciones en las cuales pueden producirse el robo de datos de tarjetas de pago como son:
  • Compromiso de lectores de tarjetas
  • Acceso a documentos en papel que incluyen los datos de tarjeta.
  • Datos de pago en Bases de Datos de sistemas de pago.
  • Cámaras ocultas en sistemas de introducción de PIN en ATM o en PoS
  • Accesos ilegítimos en redes cableadas o inalámbricas.

¿Cómo cumplir con PCI DSS y los requerimientos de IATA?
IATA establece un proceso de 3 pasos que deben seguir las Agencias:

1. Revisar los requerimientos de las marcas de tarjetas.
Cada agencia deberá validar con su entidad adquiriente los procedimientos particulares asociados a las franquicias de tarjetas.

De hecho, este punto será sencillo dado que los adquirientes suelen unificar el que el criterio debe pasar por un ejercicio de evaluación que deberá tener en cuenta el tipo de procesos de pago que se realizan.

2. Evaluación con un QSA.
Será necesario contar con una empresa certificada QSA (Qualified Security Assesor) por el PCI SSC para llevar a cabo la evaluación de cumplimiento.

Es importante tener presente que en la sección de Preguntas Frecuentes del microsite sobre el cumplimiento de PCI DSS y en el documento ampliado de FAQs de IATA se menciona la existencia de los SAQ (Self Assesment Questionarie o Cuestionarios de AutoEvaluación). Cuando las agencias (que será en la mayoría de los casos) no deban llevar a cabo la Auditoría on-site, será necesario disponer del SAQ apropiado y será conveniente (si no necesario) que este esté supervisado y firmado por un QSA que garantice que el contenido es correcto y la agencia está reportando correctamente su cumplimiento.

Según el criterio de IATA, el QSA aportará en la evaluación, además:
  • Verificar toda la información técnica facilitada por el comercio (la agencia) o el proveedor de servicios.
  • Disponer del criterio evaluador adecuado para confirmar que el cumplimiento es el correcto.
  • Proveer el soporte y la guía durante el proceso de implementación.
  • Llevar a cabo las revisiones en sitio durante el proceso de Evaluación cuando sea requerido.
  • Seguir los procedimientos exigidos por PCI DSS en todas las actividades de evaluación.
  • Validar que el ámbito de cumplimiento es correcto.
  • Evaluar los controles compensatorios viables e implementados.
  • Redactar la documentación final de Reporte del Cumplimiento (RoC y AoC)

3. Reporting.
Los informes de cumplimiento son las herramientas documentales mediante las cuales los comercios y otras entidades (en este caso agencias y/o proveedores de servicio), reportan su cumplimiento con PCI DSS a las marcas de tarjetas o a sus correspondientes entidades financieras adquirientes. Estos informes deberán ser entregados a IATA como evidencia del cumplimiento.
Es por esto que resulta de suma importancia que un reporte de cumplimiento defectuoso podría poner en riesgo las operaciones de la agencia en condiciones de compromiso de datos de pago por llegar a suponer un reporte fraudulento de su cumplimiento (fuera por error u omisión). Dependiendo de la cantidad de transacciones, la agencia deberá entonces tener en cuenta el tipo de reporte a presentar:
  • El Atestado de Cumplimiento de PCI DSS (AOC) que deberá ser cumplimentado y firmado por el QSA que realizó la tarea.
  • El Cuestionario de Auto-Evaluación (SAQ) adecuado según el tipo de procesos de pago, firmado por un oficial o representante autorizado de la compañía (y que podrá ser supervisado, validado y firmado también por un QSA).
  • El resultado del escaneo de vulnerabilidades trimestral, que deberá ser realizado por un ASV (Approved Scaning Vendor) homologado también por el PCI SSC.
Cómo ayudamos a las Agencias
Internet Security Auditors cuenta con más de 10 años de experiencia en la implementación de los controles de PCI DSS en el sector del turismo, siendo España uno de los países donde éste es uno de los más relevantes en el PIB y la cantidad y diversidad de empresas del sector es de los mayores a nivel mundial.

El hecho de haber formado y ayudado a multitud de empresas para la AutoEvaluación, la supervisión y soporte de reporte mediante los SAQs, su selección y cumplimentación, pero también en procesos complejos de implementación y auditoría o de análisis de vulnerabilidades trimestral, nos permite cubrir, como empresa certificada como QSA, PA-QSA y ASV cualquier escenario, donde uno de las primeras acciones será la de definir procesos de acotación y reducción del ámbito de cumplimiento.


Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors

Crónica de la Jornada de Seguridad en entornos Cloud y Protección de Datos de BSI

Introducción y Bienvenida
Sylvia Ariza, Directora de Marketing – BSI Iberia
David Díaz, Director Regional Cataluña – BSI Iberia


Sylvia dio inicio a la jornada, presentando a cada uno de los ponentes. Posteriormente, David realizó una presentación sobre BSI, centrada en el nuevo catálogo de formación y servicios de la empresa. Del nuevo catálogo destacó, el nuevo servicio de Certificación en PCI DSS y la nueva formación en Seguridad Online “Wombat”, estructurada en microcursos especializados para los diferentes niveles de personal dentro de las organizaciones.

Objetivo 2018: Cumplir con el RGPD
Belén Durán, Directora – NEOLEGIS, Abogados y Consultores S.L.P.

En primer lugar, Belén agradeció a BSI la oportunidad de participar en esta Jornada de Seguridad. Entrando en materia, expuso las diferencias entre Reglamento y Directiva europeas, destacando que una de ellas es que el nuevo RGPD pasa a ser de aplicación directa a todos los estados miembro de la Unión. A pesar de ello, es necesario encontrar su encaje en el ordenamiento jurídico español (ej. en el régimen sancionador). En este sentido, informó que próximamente se hará público el anteproyecto de reforma la LOPD , para adaptar la legislación española al RGPD.

Posteriormente, expuso el concepto de reversibilidad de la identidad del titular de los datos, como determinante para establecer si un determinado tratamiento de datos, debe necesariamente o no cumplir el RGPD. En este sentido, indicó que las técnicas de seudonimización/anonimización pueden ayudar a reducir el alcance del cumplimiento.

También, destacó toda una serie de cambios respecto a la LOPD. A continuación, se indican resumidamente algunos de ellos:
  • Las implicaciones derivadas de la creación de las nuevas figuras del DPD y el Representante del Responsable/Encargado.
  • El cambio de obligatoria a no obligatoria, de la notificación de los ficheros a las Agencias.
  • La implementación del nuevo derecho a la Portabilidad.
  • La idea de la capacidad de demostrar el cumplimiento del RGPD / Responsabilidad proactiva (Accountability).
  • La elaboración del nuevo Registro interno de Actividades de tratamiento.
  • Las nuevas obligaciones respecto a las Notificaciones de violaciones de datos.
  • La realización de Evaluaciones de impacto sobre los nuevos tratamientos. La necesaria consulta a la Agencia de aquellos que puedan comportar un riesgo alto.
Finalmente, respecto a la nueva figura del DPD, destacó la promoción que está realizando la AEPD, de la acreditación de ENAC para la certificación de estos profesionales.

Cloud & the privacy vs security issue
Gigi Robinson, Product Technical Manager – BSI Iberia

Gigi, inició su presentación partiendo de una definición de Privacidad y Seguridad. Expuso, algunas de las diferencias de estos conceptos solapados, respecto al objetivo que persigue cada uno.

Posteriormente, centró gran parte de su ponencia en la presentación de la norma ISO/IEC 27018, específica para organizaciones (business, academia, government), que traten datos personales (PII) en entornos Cloud (privado y público).

De dicha norma destacó su Anexo A, que incluye un conjunto nuevo de controles específicos alineados con la norma ISO/IEC 29100 (Privacy framework), los cuales proporcionan una buena combinación con ofrecidos por la ISO/IEC 27002.

Ciberseguridad y Cumplimiento en Entornos Cloud
José Luis Colom Planas, Compliance, Management & IT Advisor – Govertis

José Luis, empezó su presentación exponiendo que la implementación de un SGSI (ISO 27001), proporciona una adecuada base para el cumplimiento en el Cloud. Sin embargo, aclaró que para proporcionar dicha base, es necesario que este se trate de un sistema material (efectivo) un sistema que establezca acciones, en contraposición a un sistema formal (de papel).

Posteriormente, realizó un repaso de las diferentes extensiones de ISO/IEC 27001, que existen hoy en día para la Seguridad en entornos Cloud:
  • ISO 27017: El Anexo A de esta norma, incluye un conjunto de controles extendidos para servicios Cloud. A su vez, la estructura de dichos controles distingue separadamente las responsabilidades de cumplimiento que recaen sobre los Clientes, de las que recaen sobre los Proveedores Cloud.
    • ISO 27018: Esta norma se centra en la seguridad de los datos de carácter personal en este tipo de entornos. Se trata de una norma que, como su hermana, es de adscripción voluntaria, y que a pesar de no garantizar, ayuda al cumplimiento del nuevo RGPD europeo.
      • CSA STAR: La certificación define la batería de controles conocida como CCM (Cloud Controls Matrix), cuyos controles se encuentran alineados con ISO/IEC 27001. Se diferencia de las certificaciones ISO, en que es una certificación cualificada (puntuaciones bronce, plata y oro).

    • NIST Cybersecurity Framework: También mencionó este marco específico, debido a que establece claramente las equivalencias de sus controles con los que se incluyen en la ISO/IEC 27001.
    • Finalmente, trasladó a los asistentes la clara y reciente tendencia de las empresas a moverse al Cloud. Entre los motivos, destacó el atractivo que representa en términos de economías de escala (por el hecho de poder convertir CAPEX en OPEX). A su vez, indicó que este movimiento en el caso de las PYMEs puede proporcionar, en gran parte de los casos, más seguridad/protección que mantenerse en un modelo totalmente autogestionado.

      Caso Práctico ISO/IEC 27001 – Seguridad de la Información
      Manel González, Information Security Manager – Ricoh

      Manel González, se encargó de cerrar la Jornada compartiendo con los asistentes su experiencia en Ricoh España. Desde sus inicios con la implantación de ISO/IEC 27001, hasta la construcción un Sistema integrado de gestión (ISO 9001/14001/20000-1/27001, OHSAS 18001, etc.), con el objetivo de lograr la gestión total de riesgos (ISO 31000).

      En primer lugar, nos explicó cómo se encuentra estructurado el SGSI del Grupo Ricoh. Dicha estructura se compone de los siguientes niveles:
      • Ricoh Japón: Propietaria del SGSI, y responsable de establecer las políticas a alto nivel del sistema.
      • EMEA (Ricoh Group PLC): Zona económico-geográfica que dispone de cierta autonomía, encargada de adaptar las políticas de alto nivel a las normativas de la región (ej. normativa europea).
      • Ricoh España: Centro perteneciente a EMEA con capacidad de gestión del SGSI en modo semi-autónomo, encargado de adaptar finalmente las políticas del nivel anterior a la normativa española.
      En relación al Modelo de Auditoría, y concretamente a la hora de definir un alcance “tratable” para ellas, Manel expuso el sistema de categorización de sedes utilizado por la compañía. Dicha categorización distingue:
      • Sedes obligatorias: Aquellas que necesariamente deben ser auditadas, por sus especiales características, o su elevado nivel de riesgo.
      • Sedes preparadas: Aquellas que pueden ser seleccionadas y que se encuentran listas para ser auditadas en cualquier momento.
      Respecto al Modelo de Análisis de riesgos utilizado, explicó que este se encuentra modalizado en los siguientes dos niveles:
      • Base line: Definido por una Directriz global, que establece el nivel mínimo de riesgo a cubrir.
      • “Top up”: Formado por el conjunto de riesgos superiores a la Base line, que se deciden tratar en detalle a través de la elaboración de diferentes planes.
      Finalmente, expuso el Modelo de Gobierno establecido, basado en la creación de un Risk Management Board (RMB). Dicho RMB, formado por miembros de la dirección y de las diferentes áreas/departamentos, ha ido ampliando su alcance de autoridad a todos los ámbitos de Compliance de la organización.


      Autor: Carlos Antonio Sans - ISO 27001 L.A. ISO 22301 L.A.
      Departamento de Consultoría.

      Internet Security Auditors Authorized Training Organization de ISACA en España y Colombia

      La organización ISACA ha seleccionado a Internet Security Auditors para firmar un acuerdo que la convierte en Authorized Training Organization en España y Colombia para ofrecer sus cursos de certificación Core (CISA, CISM, CGEIT y CRISC) y de sus cursos del programa CyberSecurity Nexus.

      CISA y CISM son las certificaciones de ISACA de mayor reconocimiento a nivel mundial entre Auditores de Sistemas de Información y Responsables de Seguridad de la Información, que están acreditadas por ANSI bajo la norma ISO/IEC 17024:2012, y que más de 129.000 y 32.000 profesionales de la Seguridad poseen en todo el mundo desde su creación el año 1978 y 2002 respectivamente.

      Gracias a este nuevo acuerdo de colaboración Internet Security Auditors amplia y pone a la disposición del sector el mayor y más valorado portfolio de cursos oficiales preparatorios para certificaciones del mundo en ciberseguridad.


      Para más información sobre los cursos y las fechas disponibles, consulte nuetra página web.

      Vicente Aguilera vuelve a participar en el programa 8aldia de la cadena 8TV

      Con motivo de las próximas elecciones en Holanda y Francia, y después del revuelo causado en EE.UU. tras el ascenso tan controvertido de Donald Trump a la Casa Blanca, Vicente Aguilera fué como invitado nuevamente al programa 8aldia de Josep Cuní en el canal 8TV para hablar de los riesgos de un ciberataque y de las probabilidades de sufrir alteraciones en los resultados de las votaciones electrónicas.

      Para los que queráis ver la entrevista al completo:
      http://www.8tv.cat/8aldia/8-al-dia-amb-josep-cuni/vicente-aguilera-es-factible-modificar-manipular-la-informacio/

      Crónica del Mobile World Congress 2017

      El Mobile World Congress es el mayor evento del mundo en área de exposición para marcas de la industria de la telefonía móvil, y uno de los congresos de referencia a nivel mundial. Está organizado por GSMA, una asociación de operadores móviles y compañías que dan soporte a la estandarización, desarrollo y promoción del sistema de telefonía móvil GSM1. Desde sus inicios el MWC ha ido incrementando su superficie. En Barcelona, se ha realizado en dos localizaciones distintas, en Fira Montjuïc y en Fira Gran Vía. Actualmente, el evento cuenta con exposiciones y conferencias en Fira Gran Vía, y con el 4YFN (una plataforma del Mobile World Capital orientada a las startup) en Fira Montjuïc. Pero el MWC no solamente es un congreso de móviles, sino que la presencia de otras tecnologías ha ido en aumento, llegando a ser un encuentro tecnológico (móviles, ciberseguridad, realidad virtual, robótica, sistemas operativos…)

      En la edición de este año estaba presente el grupo Ingenico, así como algunas marcas de pago.
      Ingenico Group tenía, entre muchos otros elementos, tres tipos de TPV novedosos expuestos (desde los más comunes hasta los más sofisticados).

      1. TPV Move/5000: Se trata de un terminal móvil funcionando bajo el sistema operativo Telium Tetra. Dispone de conectividad 3G, GPRS, Bluetooth y WiFi. Certificado en PCI PTS (Pin Transaction Security) 4.x Online y Offline.



      2. TPV APOS: Se trata de un point-of-sale de reducidas dimensiones (para poder sujetarlo con una mano), y está basado en Android 5.1 con sistema de seguridad en el pago integrado. Dispone de conectividad 4G, 3G, 2G y WiFi. Certificado en PCI PTS (Pin Transaction Security) 4.x Online y Offline.



      3. Point-of-Sale Integrado: Se trata de un POS integrado, que consta de distintos periféricos (lector de código de barras, terminal de pago TPV, impresora, tablet personalizable por el cliente (puede ser Android, Windows o Mac) y pantallas customizables para el negocio).

      Por su parte, VISA, tenía organizado su expositor en distintas secciones, las que más me llamaron la atención fueron los pagos mediante Contactless y VISA Checkout. Es bien sabido que los pagos contactless han llegado para quedarse, y es que es muy cómodo poder pagar simplemente acercando la tarjeta a un terminal. Pues bien, VISA mostraba los últimos proyectos llevados a cabo con esta tecnología:

      1. Anillos para los juegos olímpicos
      Durante los juegos olímpicos, se dotó a los profesionales con dos tipos de anillos distintos, dichos anillos contenían todo el hardware necesario para permitir el pago sin contacto.



      2. Pulseras Contactless
      Un ejemplo que nos viene más de cerca es el caso de Caixabank Payments, con sus pulseras contactless.


      3. Relojes tradicionales
      Se trata de un reloj (no smartwatch) con componentes tecnológicos añadidos en la correa. Dichos relojes utilizan la tecnología de GoTappy, e incorporan el siguiente chip:


      https://www.gotappy.com/flexitag

      4. Joyas expresamente diseñadas
      Joyas realizadas con la colaboración del grupo DCK,  para poder incorporar los componentes que permiten realizar los pagos sin contacto.



      Cabe destacar que, actualmente, los sistemas usados para utilizar los dispositivos mencionados anteriormente, son de prepago. El servicio se llama bPay, y permite realizar recargas desde cualquier tipo de tarjeta, ya sea MasterCard o Visa.

      Ejemplos en uso de pagos mediante Contactless:
      CaixaBank ha realizado pulseras Contactless personalizadas según equipo de futbol. El precio de mantenimiento de dichas pulseras es de 10 € al año. En el siguiente enlace pueden observarse distintas pulseras según equipo de fútbol.

      https://www.caixabank.cat/particular/tarjetas/pulseraclubsfutbol_ca.html#fc-barcelona

      En el siguiente enlace se pueden observar las pulseras normales que ofrece (sin personalizar, pero con distintos colores para escoger).
       
      Además, CaixaBank también dispone de una tarjeta adicional llamada Tap Contactless. Se trata de un adhesivo que se puede pegar en el dorso del móvil, y efectuar pagos.

      https://www.caixabank.cat/particular/tarjetas/tapcontactless_ca.html

      VISA Checkout:
      VISA Checkout es una aplicación que permite la realización de pagos mediante el móvil. En el caso de uso realizado, el usuario se tenía que registrar y dar una muestra de voz. (El factor de validación del usuario para realizar la compra con el número de tarjeta asociado era la voz.) Todo esto se combinaba con la realidad virtual, de manera que mientras se estaba jugando, se podían comprar elementos adicionales.

      Transportes basados en tarjetas inteligentes
      También estaba presente la “Autoritat del Transport Metropolità (ATM)”, mostrando el proyecto de la “T-Mobilitat”. “T-Mobilitat” es un proyecto para modernizar los sistemas de pago integrado actuales en los transportes públicos de Catalunya (basados en tarjetas de cartón) hacía una única tarjeta inteligente para realizar los pagos mediante terminales contactless. El proyecto abarcará todo tipo de transportes (Metro, Ferrocarrils de la Generalitat de Catalunya, Rodalies de Catalunya, Tram, Bus) de distintos municipios.

      Además, se contará con una aplicación para móvil y relojes inteligentes (para poder realizar los pagos, consulta de saldo y validaciones) mediante la tecnología NFC. No solo se plantea un cambio de tarjeta, sino también un cambio en lo que respeta a la tarificación. Como bien es sabido, la tarificación en el área de Barcelona se organiza según 6 zonas (siendo Barcelona zona 1), el precio se va incrementando a medida que se realicen viajes que pasen por más de una zona. Dicho sistema tiene un inconveniente, y es que puede discriminar negativamente a los ciudadanos, dado que no se basa en la distancia real (km recorridos). Con la T-Mobilitat, se quiere poner fin a las zonas, y empezar a cobrar por km recorrido y frecuencia de viajes realizados.

      Ejemplo de una de las máquinas validadoras con el nuevo sistema implementado:


      Otro aspecto positivo que brindará la T-Mobilitat es la trazabilidad. Las tarjetas de cartón actuales, aunque disponen de número de identificación, no son trazables. Así pues, en caso de pérdida de títulos unipersonales (entendiendo los abonos mensuales, trimestrales, T-Jove etc.) es imposible anular la tarjeta perdida y realizar un duplicado, y, por lo tanto, se tiene que volver a comprar otra. Con la T-Mobilitat, será posible desactivar una tarjeta y realizar duplicados.

      Dicho sistema entrará en vigor, en la corona de Barcelona, a finales del año 2018, realizándose una prueba piloto entre febrero y marzo de 2018 en la línea L9 Sud. En un primer momento coexistirán ambos tipos de tarjetas (cartones y T-Mobilitat).

      Finalmente, en el congreso de este año, había mucha presencia de tecnologías relacionadas con la realidad virtual y las redes 5G. A continuación, se enumeran algunos ejemplos:
      1. Transmisión de vídeos de realidad virtual con resolución 8K en tiempo real. (Intel)
      2. Juegos basados en realidad virtual. (HTC VIVE)
      3. Cines de realidad virtual. (Samsung Galaxy VR)
      4. Atracciones basadas en realidad virtual. (Samsung Galaxy VR)
      5. Juegos basados en realidad virtual, mediante el uso de sensores específicos en las manos y los pies, para poder determinar el movimiento del jugador. (Samsung Galaxy VR)
      1GSM hace referencia a ‘Global System for Mobile Communications’, un sistema estándar de telefonía móvil digital.



      Autor: Marc de Tébar
      Dpto. Consultoría

      Crónica del workshop: IoT – Privacidad y Seguridad en el Internet de las Cosas. RootedCon 2017

      La semana pasada tuvo lugar en Madrid una nueva edición de la Rooted CON 2017, uno de los congresos de seguridad de referencia.

      Nuestro compañero del departamento de auditoría Luis Enrique Benítez estuvo presente entre el grupo de ponentes, presentado el WORKSHOP@WARFARE “IoT – Privacidad y Seguridad en el Internet de las Cosas

      Durante su workshop se montó un pequeño laboratorio de análisis en el que se interceptaban y manipulaban las comunicaciones de un Smart TV, quedando expuesto el comportamiento de estos dispositivos.

      La tendencia es que los fabricantes cada vez más apuestan por elaborar productos conectados: “Nuevas tendencias, antiguas vulnerabilidades”, todo apunta que dentro de una década lo que se echará en falta es la intimidad y la privacidad.



      Para consultar la presentación completa:
      https://www.isecauditors.com/presentaciones-2017#2017-001


      Autor: Luis Enrique Benítez
      Departamento de Auditoría

      La SIC declara USA país no confiable para los datos personales de los ciudadanos colombianos

      El pasado 22 de febrero se publicó en el sitio web de la SIC (Superintendencia de Industria y Comercio) de Colombia, una Circular Externa para "Adicionar un capítulo tercero al Título V de la Circular Única" sobre Transferencia Internacional de Datos.

      Lo importante de esta modificación es que, por fin, la SIC pasa a tomar la decisión referente a los países en los que se "confía" para que datos de carácter personal de ciudadanos colombianos puedan ser transmitidos. La SIC hace referencia a que el artículo 26 de la Ley 1581 de 2012 regula la transferencia internacional de datos personales, para lo cual establece como regla general la prohibición de transferir datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos, salvo las excepciones que expresamente señala, y prevé que “Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.

      La SIC pretende dejar claro que esta circular está basada en la necesidad de establecer con claridad (hasta hoy no se hacía así, quedando la decisión ambiguamente bajo la responsabilidad de los Responsables del Tratamiento) que países cuentan con un nivel adecuado de protección de datos personales, a los cuales se podrán transferir y transmitir datos personales en atención a los mandatos de la ley.

      Los estándares que define la SIC como necesarios para "confiar" si un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, se basa en 6 criterios orientados a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
      • Existencia de normas aplicables al tratamiento de datos personales.
      • Consagración normativa de principios aplicables al Tratamiento de datos, en otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
      • Consagración normativa de derechos de los Titulares.
      • Consagración normativa de deberes de los Responsables y Encargados.
      • Existencia de medios y vías judiciales y/o administrativas para garantizar la tutela de los derechos de los Titulares y exigir el cumplimiento de la ley.
      • Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares.
      Y lógicamente, la SIC ha realizado el ejercicio, pues sólo quedaba eso, de enumerar qué países cumplen con estos 6 criterios de "confiabilidad", resultando una lista no especialmente extensa que por continentes resulta:
      • América: Argentina, Canadá, Costa Rica, México, Perú, Uruguay
      • Europa: Albania, Alemania, Austria, Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovaquia, Eslovenia, Estonia, España, Finlandia, Francia, Grecia, Hungría, Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, Malta, Noruega, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania, Serbia, Suecia, Suiza
      • Asia: República de Corea
      • Oceanía: Nueva Zelanda
      • África: Ninguno
      Resulta llamativo que, definitivamente, en este listado quedan fuera Estados Unidos, donde proveedores de servicios Cloud como Amazon, Google, Microsoft entre otros, se convierten en empresas, a priori, donde no se podrá confiar la información de ciudadanos colombianos, siempre y cuando no se tenga la capacidad de seleccionar y seleccione el país donde se alojarán los datos del proveedor. Sobre todo, resulta llamativo cuando entre la UE y EUA se aprobó el marco de Privacy Shield para el intercambio de datos personales, sobre el que ya escribimos algún artículo en nuestro blog (ver [1], [2], [3] y [4]). Aunque, claro está, este acuerdo se realizó entre la UE y USA, y Colombia debería desarrollar el suyo propio para poder justificar la equiparación. Pero es también a tener en cuenta como gran cantidad de países con estrechas relaciones comerciales también quedan fuera de este "círculo de confianza" como son: Bolivia, Brasil, Chile, Ecuador, Panamá, toda Centroamérica (excepto Costa Rica) y todos los países del Caribe.

      La primera duda que surgirá en las empresas colombianas cuyos servicios de alojamiento de datos se encuentren en USA es ¿y ahora qué? Pues lo primero será asegurar que cuando la Transferencia de datos personales se vaya a realizar a un país que NO se encuentre en el listado anterior, corresponderá al Responsable del tratamiento verificar si ese país cumple con los estándares fijados (los 6 puntos enumerados anteriormente), caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.

      A parte de que la SIC exige la existencia de un contrato, acuerdo o autorización que permita la transferencia internacional de datos personales en los términos del artículo 2.2.2.25.5.2 del Decreto 1074 de 2015, si no se tiene dicho contrato, acuerdo o autorización, deberá cumplirse con alguna de las siguientes reglas:
      • Informar al Titular la transmisión de datos y contar con su autorización para ello, o
      • Observar lo previsto en el artículo 26 de la Ley 1581 de 2012, a saber:
        • Transmitir datos personales solo a países que proporcionen niveles adecuados de protección de datos, para lo cual se deberá tener en cuenta que se cumplan los 6 requerimientos y estén en la lista de países "confiables", o
        • Estar dentro de una de las excepciones establecidas en los literales contenidos en el artículo 26 de la Ley 1581 de 2012 para justificar la trasferencia y son que la:
          • Información respecto de la cual el Titular haya otorgado su autorización expresa e inequívoca para la transferencia.
          • Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del Titular por razones de salud o higiene pública.
          • Transferencias bancarias o bursátiles, conforme a la legislación que les resulte aplicable.
          • Transferencias acordadas en el marco de tratados internacionales en los cuales la República de Colombia sea parte, con fundamento en el principio de reciprocidad.
          • Transferencias necesarias para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento, o para la ejecución de medidas precontractuales siempre y cuando se cuente con la autorización del Titular.
          • Transferencias legalmente exigidas para la salvaguardia del interés público, o para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
        • Obtener una declaración de conformidad emitida por la SIC.
      Por tanto, las empresas colombianas a lo que ya debían que era informar inequívocamente a los titulares de los datos personales que sus datos van a transferirse a terceros países y pedir su autorización; segundo y añadido a esto, cuando el país destinatario no esté en la de países confiables, estar seguros que se cumple alguna de las excepciones y tener permiso explícito del Titular para evitar problemas legales; y tercero, en caso de duda, pedir aclaración y autorización a la SIC para que esta determine lo que bajo el punto (iii) queda bajo su responsabilidad. Va a ser a partir de esta última situación, cuando tendremos la certeza sobre qué hacer con la transferencia de datos a estos proveedores en USA (u otros).

      Está claro que el legislador y los reguladores competentes en Protección de Datos de Colombia han hecho estos últimos 4 años lo que no se había hecho en dos décadas en materia de Datos Personales y está intentando aclarar y ayudar a marchas forzadas sobre todo aquello que está generando mayores incertidumbres. Lo importante ahora será que el cumplimiento de la Ley no pueda suponer un quebradero de cabeza para las empresas del país. En breve empezaremos a verlo.

      Esta circular externa cerraba el plazo de comentarios el 8 de marzo y está por ver si no sufre cambios antes de llegar su confirmación.

      Referencias:
      [1] http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
      [2] http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
      [3] http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
      [4] http://blog.isecauditors.com/2016/02/por-fin-un-safe-harbour-2-0.html

      Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
      Global Sales Manager, Internet Security Auditors

      Se filtran más de 35.000 datos de pago de clientes de Acer

      Aprovechando un error de configuración en un sitio web, un grupo de cibercriminales tomaron datos de pago de más de 35.000 clientes, esto generó a Acer una multa de USD 115.000

      ¿Qué sucedió?
      Después de una investigación realizada por la oficina del Fiscal General Schneiderman se determinó que “Acer Service Corporation”, no protegió de manera adecuada la información de datos de tarjetas de crédito de más de 35.000 clientes.

      La brecha fue detectada por un análisis realizado por Discover a cientos de tarjetas fraudulentas, y se determinó que el último sitio donde todas estas habían hecho una transacción legal fue en el sitio web de Acer.

      La investigación subsecuente determinó que al menos un atacante fue capaz de explotar vulnerabilidades del sitio de comercio electrónico.

      ¿Por qué sucedió?
      La investigación determinó que el sitio web pasó por diferentes momentos de configuraciones erróneas que permitieron ampliar la superficie de ataque y abrieron las posibilidades de que el o los atacantes pudieran sacar provecho de estas.

      Por ejemplo: entre jul 4 de 2015 y abril 28 de 2016 se dejó habilitado el modo de depuración en la aplicación de comercio electrónico, este modo dejó toda la información que paso por la aplicación guardada en archivos de texto plano fácilmente accesibles, esta información incluía nombre completo, número de la tarjeta de crédito, fecha de expiración, código de verificación, usuario, contraseña, correo electrónico, dirección, ciudad, estado y código postal.

      Adicionalmente a esto, la configuración del servidor permitió indexación de directorios para usuarios no autorizados.

      Como resultado de este conjunto de errores de configuración se permitió el acceso a archivos no autorizados al atacante con un simple navegador.

      ¿Cómo se hubiera podido detectar/evitar este ataque?
      • Haciendo una separación de los ambientes de tarjetahabiente: Todas las labores de desarrollo (incluyendo depuración) se deben realizar en ambientes de controlados de desarrollo. En caso de requerir casos especiales en ambientes productivos se deberán activar controles adicionales, limitar los accesos, monitorear la actividad y eliminar cualquier archivo que contenga información sensible.
      • Haciendo configuraciones seguras de las aplicaciones y los equipos: Todas las aplicaciones, equipos y dispositivos que son parte del ambiente de tarjetahabiente, deben estar configurados de manera segura y no deben permitir que un usuario con bajos privilegios pueda tener acceso a información para la que no ha sido previamente autorizado.
      • Monitoreando los archivos de configuración de las aplicaciones y los sistemas: Todos los servidores o estaciones de trabajo que sean parte del ambiente de tarjetas, deben tener un monitoreo de todos los archivos críticos, entre estos tenemos los directorios, ejecutables, librerías, archivos de configuración y páginas web del sistema operativo, marcos de trabajo, motores de bases de datos, aplicaciones y cualquier componente que haya sido modificado para mantener un estado de configuración segura.
      • Cualquier cambio en estos archivos debe levantar alarmas.
      • Centralización o monitoreo de logs: todos los registros de actividad que se generen deben llevarse a una plataforma o punto centralizado diferente del dispositivo donde se producen, el tiempo en que deben llevarse a esta plataforma debe ser muy corto.
      • Diariamente se debe hacer una revisión de estos logs en búsqueda de actividades ilícitas o no autorizadas.
      • Formación y concientización en seguridad: Se debe dar formación y concienciación a todos los usuarios sobre las buenas prácticas del uso de los diferentes medios de comunicación electrónicos y prácticas de seguridad.
      • Los desarrolladores de aplicaciones deberán recibir formación periódica en prácticas de desarrollo seguras.
      • Los administradores de plataforma deberán tener formación en la aplicación de los diferentes controles de seguridad y aplicar de manera consistente las guías de configuración de servidores y aplicaciones.
      Fuente:
      https://ag.ny.gov/press-release/ag-schneiderman-announces-settlement-computer-manufacturer-after-data-breach-exposed

      Autor: Javier Roberto Amaya Madrid - ISO 27001 LA, PCI QSA, PCIP
      Departamento de Consultoría