2018 un año de incidentes en Latinoamérica

«Es urgente contar con aliados estratégicos expertos y con capacidad de apoyarnos en la prevención, detección y control de los incidentes.»

El 2018 fue un año en el que la Ciberseguridad tomó gran importancia, debido a varios factores, como la puesta en marcha de normas para la protección de los datos personales en la Comunidad Europea, el uso inapropiado de redes sociales en campañas políticas, incremento de vulnerabilidades en dispositivos móviles, ataques dirigidos a países y la exposición en medios de muchos de los incidentes, esto sin duda está generando una conciencia colectiva sobre la importancia de proteger nuestra información.

Latinoamérica no es ajena a esta problemática, como se evidencia en el informe de estado de la ciberseguridad en el sector financiero, que publicó a principio de año la OEA, demostrando que el 92% de las entidades han sido víctimas de ataques cibernéticos. Sin lugar a dudas, los incidentes de México y Chile fueron los más sonados, por su impacto económico y su avanzadas características técnicas, como el malware detectado en operaciones contra sitios web de la banca chilena, que saltaba las protecciones de smartscreen que se usan.

Pero este no es el único tipo de ataque orientado a la región, que según estudios presentados en la conferencia de CyberCrimeCon, en la región de Latinoamérica se incrementó en un 60% el número de incidentes, logrando una medía de 9 detecciones por segundo, usando el ransomware y el cryptojacking como las principales herramientas de ataque, debido principalmente  la lenta implementación de las empresas en controles efectivos a las nuevas amenazas, convirtiéndolas en un blanco fácil para el crimen organizado.

En un estudio de Ransomware que realizo ESET en Latinoamérica, se puede ver que Colombia tiene el 30% de las detecciones de este tipo de malware en la región, debido a un evento puntual que inicio en agosto y que prácticamente iba dirigido contra ese país, situándolo en el séptimo puesto mundial de los países afectados por Ransomware.

Y fue un ransomware llamado Crysis o Crytowall, que en agosto inicio el ataque contra Latinoamérica, pero principalmente Colombia, usando técnicas de phishing e ingeniería social, lograban engañar a sus víctimas con un correo electrónico que indicaba una deuda con alguna entidad privada o estatal con un documento adjunto que contenía los detalles de la deuda. Y con este engaño Colombia pasó a ser el país más afectado por ransomware en agosto, disminuyendo paulatinamente en el resto del año.

Sin embargo, en la no deseada lista le siguen México y Perú, donde también fueron afectados por campañas puntuales, pero más diversas. En el caso de Perú son dos versiones diferentes de malware con los que han sido atacadas las empresas del país, pero con un agravante pues adicional a ser Ransomware tienen características de un malware denominado RAT, que permite control remoto a los atacantes sobre las maquinas infectadas.

En México es muy variado el espectro de malware usado para los incidentes, detectando los usados en Colombia y Perú se le suma GandCab, el cual es un peligroso Ransomware que tiene la particularidad de mutar según las necesidades del atacante y de las características de la víctima en un Cryptojacking que aproveche el hardware afectado para minar ilegalmente criptomonedas. Con lo cual se vieron afectadas varias instituciones en el país, generando perdidas no solo de datos sino economicas al no poder facturar sus labores por periodos prolongados de tiempo.

En el mundo móvil

Las organizaciones criminales usan las tendencias de tecnología para así mismo migrar sus atacas a estas plataformas, por lo que en los últimos 10 años se han enfocado en usar las tiendas de aplicaciones de iOS y de Android para desplegar malware y robar información. Por supuesto el 2018 no fue la excepción, pero con unas características diferentes, pues se han detectado menos muestras de malware pero más peligrosas. Como se ve en las imágenes a continuación del informe de ciberseguridad del segundo semestre generado por ElevenPaths

Donde para Android el 18% de las detecciones generan una calificación de riesgo igual o superior a 7 sobre 10 y en iOS el 56% tiene una calificación de riesgo igual o superior a 7 sobre 10. Detectando que cerca de la tercera parte de las aplicaciones con malware que se cargan en Google Play están disponibles por un plazo entre 22 y 42 días.

Esto supone un riesgo crítico para las empresas, teniendo en cuenta que la mayoría de los empleados usan sus dispositivos móviles para desarrollar procesos laborales sin ningún tipo de protección ni control por parte de las empresas.

Nuestros datos personales

Por último, este 2018 fue el año donde las fugas de información y el uso de datos personales sin autorización generó la mayor cantidad de noticias, siendo Facebook el centro de la mayoría de estas notas, pero desafortunadamente no es el único que tuvo estos incidentes, pues Google, Twitter, Equifax, Marriot, entre otros, expusieron la información de sus clientes y con ella su reputación.

El año pasado propició que estás empresas y las de su sector tomaran medidas de seguridad contundentes, como en el caso de Facebook, que cambió toda su política de seguridad en TLS, lo que supone una inversión considerable de desarrollo e implementación, aunque de cara al usuario no genera impacto ni entrega una sensación de mejoría en su privacidad, esta medida permite controlar mejor la seguridad de las conexiones y del cifrado de los datos en curso.

Google tomó una medida que se podría calificar como más drástica, al anunciar el cierre definitivo de Google+, su red social, debido a la exposición de la información de más de 500 millones de sus usuarios, en incidentes presentados en Octubre y en Diciembre.

Estos incidentes cada vez más comunes tienen unos costos económicos y reputacionales muy altos para  las empresas afectadas, según un informe de IBM en promedio a una empresa le cuesta US$148 cada dato filtrado, por lo que incidentes como los antes mencionados tienen unas repercusiones multimillonarias para las empresas y ahora con normas como el GDPR estos incidentes deben ser reportados en menos de 72 horas a cada uno de los usuarios afectados.

¿Qué podemos hacer?

Es evidente que las amenazas del mundo de la ciberseguridad crecen a un ritmo alarmante y que las medidas de control no se implementan con la velocidad y capacidad suficiente para contener de manera eficiente los riesgos. Por lo que, los expertos recomiendan que se tome un papel activo en las medidas de control, que no se espere que el incidente ocurra, sino que se tengan mecanismos para prevenirlos, detectarlos y controlarlos en el menor tiempo posible. Para que esto sea efectivo no pueden seguir actuando como “el llanero solitario en el salvaje oeste”, es obligatorio y necesario, tener aliados estratégicos expertos y con capacidad de apoyar a las empresas y organizaciones en la prevención, detección y control de los incidentes, solo así podrán combatir de manera efectiva las principales amenazas en ciberseguridad.

Escrito por:

Diego Samuel Espitia Montenegro
Chief Security Ambassador
ElevenPaths Cybersecurity Unit Telefónica
@dsespitia

Imagen Principal: Pixabay

Hackers éticos ¿Quiénes son y qué hacen?

¿Ellos pueden ser éticos?  ¿Hackers éticos? Fueron las preguntas obligadas durante un conversatorio sobre transformación digital en el que participé hace un par de semanas. Los ejecutivos presentes dudaban de la veracidad del título y más aún de los salarios que se les pagan.  Este escenario fue propicio para que me interesase en escribir acerca de los hackers que están del lado de las corporaciones, más aún cuando comparto virtualmente con algunos de ellos, casi a diario.

Iniciamos este artículo contándoles que hay universidades referentes en Europa que tienen maestrías online con doble titulación en temas de Ciberseguridad, como es el caso de la Universidad Rey Juan Carlos de Madrid que promueve la Maestría online en Seguridad de la Información y Continuidad de Negocio (Ciberseguridad).  Investigando al respecto llegué a conocer que van más allá de la maestría, tienen un doctorado en estos menesteres. Lo que nos hace pensar que es un tema muy amplio e importante que estudiar con miras en la competitividad y estar a la vanguardia en el mundo de la digitalización.  Pero este es solo uno de los hallazgos con los que me encontré mientras investigaba.

¿Qué se aprende en una maestría de Ciberseguridad?

Se aprende a garantizar la seguridad informática, los participantes adquieren los conocimientos necesarios para combatir el hacking no ético. Los estudiantes se forman en el dominio de herramientas de seguridad digital, estándares internacionales de ciberseguridad, y aquí es dónde deseábamos llegar: Ponen en práctica procesos de seguridad y hacking ético, familiarizándose con la normativa actual y los planes operacionales establecidos.

¿Son bien pagados estos perfiles profesionales?

Todo apunta a asegurar que están muy bien valorados. Existe un informe de Deloitte que ubica a los hackers éticos como el perfil mejor pagado en el sector de las tecnologías de la información con unos salarios que oscilan entre $ 75.000 y $ 115.000 al año. El mismo informe asegura que para 2020 las compañías brindarán 9,3% más de vacantes vinculadas a perfiles digitales.

Se dice que para los próximos años se requerirán entre 1 y 1.5 millones de especialistas en Ciberseguridad a nivel mundial. Es así uno de los ámbitos tecnológicos de mayor proyección internacional y con mayores perspectivas de empleo.

¿De qué lado de la fuerza están?

Las empresas de tecnología y telecomunicaciones hacen uso de los conocimientos y la experticia de estos talentosos profesionales que miran lo que el resto pasamos por alto.

No se imaginarían las múltiples áreas donde un hacker ético puede colaborar en nuestra sociedad y el espectro se amplía en la medida que migramos hacia ciudades inteligentes.  Leyendo he encontrado casos donde centros educativos que ofrecen plataformas online han sido alertados por hackers éticos sobre las debilidades existentes en sus plataformas de estudio, lo que ha ayudado a salvaguardar la reputación (activo invaluable) y evitado que personas puedan obtener títulos de forma inescrupulosa por una plataforma poco segura.

Otros han sido noticia como en un artículo que del periódico El País que se titulaba ‘Hackers’ éticos al servicio de la ley en Holanda, explicaba la nota acerca del “Proyecto Yoda”, enfocado en la reinserción hackers menores de edad a la sociedad productiva. Los que antes fueran delincuentes cibernéticos se les ubicaba en trabajos en empresas tecnológicas, obligándoles a aprovechar su habilidad informática con fines legales. Propiciando lo que ellos llamaron una especie de salteadores éticos de Internet al servicio de la policía. Este fue el caso de dos jóvenes hackers, uno atacó el sistema de su propia escuela durante exámenes, causando caos, el otro robó correos electrónicos. La policía resolvió ambos casos delictivos y los chicos tuvieron como condena elaborar un plan de seguridad para la entidad, afrontar las consecuencias de sus actos y resolverlos. En su labor social y fuera de la escuela se les supervisa y educa para que logren encontrar un futuro como hackers éticos, en un contexto legítimo.

Por otro lado, vemos a empresas como Google que hace un par de años contrató a George Hotz, un joven hacker reconocido por desbloquear el primer teléfono iPhone.  Para los curiosos y lectores ávidos de temas de ciberseguridad los nombre de los pioneros descubriendo vulnerabilidades en empresas como Google, Facebook Mozilla, PayPal, Vine y Microsoft los llevará directamente a Reginaldo Silva Neel Metha, Sanmay Ved, Pinkie Pie, Jordan Wiens,, James Forshaw o Alex Miller. Y por supuesto que al Chairman de ElevenPaths, la Unidad de Ciberseguridad de Telefónica: Chema Alonso, Ingeniero de Sistemas de TI por la Universidad Politécnica de Madrid y Doctor en Seguridad informática por precisamente la Universidad Rey Juan Carlos de Madrid que mencionamos al inicio. Mediático y reconocido, no deja de ser noticia en los medios digitales e impresos.

Un ‘hacker’: un experto en ciberseguridad

Al leer el blog “El otro lado del mal”, podemos estudiar con mayor detenimiento la personalidad de un experto en ciberseguridad disruptivo. Un blogger y chairman que se ha convertido en el hacker más conocido de España y una de las figuras más reconocidas del mundo tecnológico, brindando consejos y su visión sobre los temas de avanzada en telecomunicaciones. Tiene muchísimos seguidores con los que interactúa a través de sus redes sociales, haciendo de su pasión un campo deseable para las nuevas generaciones. Siempre alega que “un hacker es un experto en ciberseguridad que no tiene nada que ver con los delitos en la red.” Enfatizando así en la ventaja de contar con especialistas que cuiden y mantengan las redes de sus organizaciones lo más seguras posible.

Informe sobre hacking

Es tan importante la actividad que HackerOne, una comunidad de ciberseguridad impulsada por hackers desarrolló el Informe Hacker 2018 donde se encuestaron a 1.698 encuestados. La comunidad tiene más de 166.000 hackers registrados en total, más de 72.000 vulnerabilidades válidas han sido enviadas, y la plataforma ha pagado más de 23,5 millones de dólares en recompensas. Cifras que hacen meditar en su impacto en esta era.

El resumen ejecutivo del Informe 2018 Hacker concluye que «Internet se vuelve más seguro cada vez que se encuentra y repara una vulnerabilidad». Esto es lo que hacen los hackers éticos e investigadores de seguridad, encuentran problemas potenciales y los denuncian a las organizaciones afectadas para que se eliminen los problemas antes de que puedan ser explotados por cibercriminales.

Hallazgos del Informe Hacker 2018

  • Más del 35% de los participantes consideran que hackear vulnerabilidades es un pasatiempo. De los encuestados, el 12% tiene un ingreso anual de bonificaciones de errores de 20.000 dólares o más, con un 3% que dice ganar más de 100.000 dólares por año y un 1% que gana más de 350.000 al año.
  • India (23%) y los EE. UU. (20%) son los dos países principales representados en el grupo de encuesta.
  • Más de la mitad de los encuestados estudió ciencias de la computación a nivel de pregrado o posgrado, con 26% estudiando informática en la escuela secundaria.
  • Casi todos los miembros de la comunidad HackerOne son menores de 35 años, con una mayoría (45%) entre 18 y 24 años.

Y aunque no todas las empresas aceptan la piratería ética, a pesar de que es cada vez más aceptada por las empresas, aún existen importantes obstáculos y oportunidades para su profesionalización.  «El noventa y cuatro por ciento de las empresas del Forbes Global 2000 no tiene una política de divulgación de vulnerabilidad publicada» y «El 72% de los hackers encuestados informaron que las empresas están cada vez más abiertas a recibir vulnerabilidades».

 ¿Quiénes son los hackers éticos?

Hombres y mujeres que estudian muchísimo, dedicándose a comprender lo que puede ser una amenaza para las empresas donde trabajan.  Interesante es resaltar que dos de los hackers más conocidos del mundo forman parte de ElevenPaths de Telefónica, tanto el Dr. Chema Alonso como a Yaiza Rubio. Licenciada en Ciencias de la Información y con tres masters (Análisis de Inteligencia, Logística y Economía de la Defensa, y Derecho Tecnológico y de las TIC), se ha convertido en una #mujerhacker referente en el mundo de la ciberseguridad.

Yaiza es la primera mujer hacker española  que  participó en las dos de las conferencias más importantes de ciberseguridad: DefCON & BlackHat en Las Vegas el pasado julio del 2017. La joven profesional se ha convertido en un referente para las futuras generaciones de chicas que aspiran a convertir la tecnología como su forma de vida.

Con mucho orgullo en este mes que dedicamos a la Ciberseguridad y a resaltar el aporte de las mujeres en las telecomunicaciones les invitamos a disfrutar un video excepcional. Mostrando que las carreras no tienen género, tras la seguridad de su empresa posiblemente esté una chica que domina la  ciberseguridad.

Esos son los hackers éticos, personas a cargo de la seguridad de su mayor activo,. Hombres y mujeres que cuidan lo que otros damos por sentado, cada vez que hacemos clic en un dispositivo móvil o accedemos al sistema informático de nuestras organizaciones.

Vale la pena promoverlos y darlos a conocer. Le animamos a compartir en sus redes esta nota.