Ciberseguridad en Colombia

Ciberseguridad en Colombia

En una economía cada vez más digital, los comercios electrónicos ofrecen grandes oportunidades para acceder a bienes y servicios que muchas veces no se logran acceder en entornos alejados. Esto hace que el comercio electrónico sea un gran instrumento de equidad para que todos los colombianos, independientemente de nuestra ubicación geográfica puedan contar con artículos de gran valor a bajos costos.

Por: Oscar Elías Herrera Bedoya, decano de la Escuela de Ingeniería TIC de la Universidad Piloto de Colombia

¿Qué tal esta Colombia en cuestión de ciberseguridad para esta época de comercio electrónico? 

Colombia es uno de los países más avanzados en la región en lo relacionado con transacciones financieras a través de medios digitales, no solo desde el sector bancario, pasarelas de pago (Payu, MercadoPago, etc) y Superintendencias de forma preventiva, si no de mecanismos para atender situaciones de fraude a través de Centro Cibernético de la Policía Nacional.

De igual forma el comercio se ha fortalecido en la cultura de las transacciones digitales gracias a plataformas como Mercadolibre, Rappi, Domicilios.com, Cabify, Uber, Mensajeros Urbanos, Avianca.com, etc. así como tiendas digitales de comercio con presencia física como Falabella, Alkosto, Jumbo y desde luego acompañamiento desde la Cámara Colombiana de Comercio Electrónico.

Hoy el comercio electrónico mueve cerca del 5% del PIB de Colombia y eso representa una gran oportunidad y responsabilidad para empresas serías y comprometidas con la seguridad y el desarrollo de la sociedad.

¿Qué beneficios tengo al comprar a través de internet y no en los comercios directamente?  

Además de lograr en muchos casos mejores precios, se logra acceder a un mayor catálogo de productos y servicios que no siempre están exhibidos en entornos digitales, pudiendo además compararlos en precio y en características de forma fácil y desde la comodidad del lugar favorito del usuario.

¿Qué se debe tener en cuenta a la hora de realizar compras a través de Internet? 

Como en todo lo relacionado a los negocios físicos o virtuales, siempre es fundamental interactuar con comercios reconocidos o que expongan información fácil de contrastar, elementos de garantía, política de devoluciones y que desde luego generen confianza o que alguien cercano ya hubiese utilizado de forma exitosa.

Otro elemento fundamental es que, a la hora de realizar la transacción financiera, la pasarela de pago utilizada se una pasarela reconocida y preferiblemente vigilada por la Superintendencia de Sociedades. Desde lo tecnológico como mínimo que se acceda a ella a través del protocolo HTTPS

¿Son o no reales estas promociones que aparecen en Internet? 

Siempre existirá la letra pequeña tanto en las transacciones físicas como por medios digitales, de allí la importancia de leer muy bien y de conocer la política de retracto o devolución del comercio.

Una vez revisados estos elementos, desde luego que pueden existir grandes promociones en los distintos comercios electrónicos, muchos de los gastos o costos indirectos en los que incurre el comercio tradicional, son transferidos a los clientes en forma de descuentos, sin afectar los márgenes de ganancia o utilidades de los propios comercios.

¿Qué tipo de señales son alertas para desconfiar de un comercio electrónico? ¿cómo las identifico?

Antes que nada, validar que sea un comercio vigilado por autoridades colombianas o de amplia reputación internacional, que cuente con certificaciones nacionales y/o internacionales, que tecnológicamente utilice pasarelas de pago reconocidas y que al intentar contactarla por medios digitales se logre una comunicación efectiva. Una señal importante de alerta inmediata es si se piden datos de la tarjeta de crédito para que sean almacenadas en el propio comercio, o si no se muestran de forma clara políticas de entrega, devolución e información detallada de los productos.

¿Qué hacer en caso de que me copien mis datos personales y los de mis tarjetas de crédito? 

En relación con la información sensible de los usuarios, es preferible no entregarla al comercio, salvo que sea necesaria para la realización del negocio, por ejemplo, la dirección de entrega del producto.

Si llegado el caso se tiene alguna duda o desconfianza es importante denunciar al comercio y comunicarse lo más pronto posible con el banco o entidad financiera para ponerlos en conocimiento de lo sucedido, ya sea para iniciar procesos de reversión de pagos o para hacer cambio de plásticos.

Es importante anotar que algunos bancos o entidades financieras ofrecen tarjetas virtuales prepago, específicas para pagos en comercio electrónico que no colocan en riesgo alguno los recursos financieros de la tarjeta habiente, al no acceder a la línea de crédito del cliente.

Si realizo compras ante un comercio legal y el producto no corresponde a lo que la descripción dice o no llega ¿qué puedo hacer en estos casos? ¿ante qué entidad puedo quejarme? 

En el país es posible, cuando el vendedor y la entidad bancaria utilizada sea colombiana, reversar el pago total o parcial si ha existido fraude, una operación no solicitada, cuando el producto no se reciba o cuando esté defectuoso. Esta devolución se realiza durante los 5 días hábiles después del pago y la entidad financiera hace lo propio en máximo 15 días hábiles para reversar la operación aún sin el consentimiento del vendedor (decreto 587 de 2016 del ministerio de Comercio, Industria y Turismo).

La vulnerabilidad de Marriot que uso a 500 millones de víctimas en riesgo

La vulnerabilidad de Marriot que uso a 500 millones de víctimas en riesgo

El hotel Marriott reveló que su base de datos de reservas para huéspedes Starwood fue sujeta a acceso no autorizado desde 2014. El alcance de la brecha de datos es enorme, abarca casi cinco años y aproximadamente 500 millones de huéspedes.

Por: Mark Stockley de Sophos

Extraído del portal Naked Security  

La compañía creó un sitio web para hacer frente a la violación en info.starwoodhotels.com (tenga en cuenta que en el momento de escribir esto redirige a answers.kroll.com).

¿Quiénes  fueron afectados?

En una comunicación a la prensa, la compañía advierte que si realizó una reserva en una de sus marcas Starwood en los últimos cinco años, está en riesgo:

“Si realizó una reserva antes del 10 de septiembre de 2018 en una propiedad de Starwood, la información que proporcionó puede haber estado involucrada”.

Según Marriott, sus marcas Starwood incluyen:  Propiedades de tiempo compartido de la marca Starwood, W Hotels, St. Regis, Sheraton Hotels & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton y Design Hotels.

¿Qué datos están en riesgo?

Parece que diferentes invitados pueden estar sujetos a diferentes niveles de exposición, según la cantidad de datos que compartieron.  Hasta que haya confirmado exitosamente su nivel de exposición con Marriott, debe asumir lo peor.

La información puesta en riesgo por el incumplimiento incluye “algunas combinaciones de” nombre, dirección postal, número de teléfono, dirección de correo electrónico, número de pasaporte, cuenta de Starwood Preferred Guest (“SPG”), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva , preferencias de comunicación, números de tarjetas de pago y fechas de vencimiento de las tarjetas de pago.

Aunque los números de las tarjetas de pago estaban encriptados, los ladrones pueden haber robado la información requerida para desencriptarlos.

¿Qué pasó?

Marriott no ha revelado qué eventos o fallas de seguridad ocurrieron, pero ha publicado algunos detalles sobre cómo descubrió la violación.

La compañía dice que el 8 de septiembre de 2018 se alertó sobre un intento no autorizado de acceder a la base de datos de reservas de invitados de Starwood. Los expertos en seguridad que llamaron para tratar el incidente revelaron que el acceso no autorizado a la red de Starwood comenzó en 2014, dos años antes de la adquisición de Starwood por parte de Marriott.

El 19 de noviembre de 2018, Marriott se enteró de que un reciente intento de cifrar y eliminar datos de la red incluía datos de la base de datos de reservas de Starwood.

Como se ve, por lo que Marriott ha revelado hasta el momento, puede ser difícil para todos los involucrados diferenciar entre los datos que se pusieron en riesgo y los datos que realmente fueron robados.

Hasta que no puedan confirmar lo contrario, las víctimas serían prudentes al asumir que equivalen a lo mismo.

¿Qué hacer?

  • Esté alerta al spearphishing: Marriott ha dicho que los datos personales asociados con las cuentas de Starwood Preferred Guests se han visto comprometidos y que las direcciones de correo electrónico personales son vulnerables. Esto crea el escenario perfecto para que los cibercriminales realmente ahuyenten a los consumidores porque tienen este tipo de información detallada.
  • Esté alerta a phishing oportunista: Marriott ha dicho que enviará un correo electrónico a los Invitados Preferidos de Starwood a aquellos que puedan verse afectados. No haga clic en los enlaces en correos electrónicos u otras comunicaciones que parecen provenir de los hoteles Marriott o Starwood. Es posible que los delincuentes traten de aprovecharse de esto mediante el envío de tweets  o correos electrónicos maliciosos de suplantación de identidad que parecen provenir de la empresa. Pase el cursor sobre las URL y los enlaces para ver la dirección antes de hacer clic. Mira la dirección de correo electrónico para ver de dónde es.
  • Supervise sus cuentas financieras: los informes indican que los atacantes pueden tener acceso a la información de la tarjeta de crédito encriptada de algunos miembros, pero aún no está claro si esta información puede ser descifrada. En general, vigile su tarjeta de crédito por actividad sospechosa. Como medida de seguridad, cambie la contraseña de su cuenta de tarjeta de crédito en línea. Si usa la misma contraseña para sitios web de administración financiera similares, cambie inmediatamente la contraseña en esos sitios web. Como una buena práctica de seguridad, siempre elija una contraseña diferente y segura para cada cuenta confidencial.
  • Cambie las contraseñas: aún no está claro si los atacantes tienen acceso a las contraseñas de las cuentas de Starwood Preferred Guest, pero como medida de seguridad, los consumidores pueden cambiar su contraseña. Si esta contraseña también se usa para cuentas financieras, cámbielas inmediatamente. Controle su cuenta Starwood Preferred Guest para detectar actividades sospechosas.
  • No busque en Google “Web Watcher”: Marriott está ofreciendo a las víctimas en los EE. UU., El Reino Unido y Canadá una suscripción gratuita de un año a algo que se llama WebWatcher, que describe como un servicio que controla los sitios de Internet donde se comparte información personal. No haga la busqueda en Google,  si busca en Google “WebWatcher” no encontrará el servicio de monitoreo, encontrará muchos enlaces a spyware del mismo nombre. No se registre para eso ya que pueden ser enlaces maliciosos. Siga los enlaces a las versiones específicas del país del sitio oficial de incumplimiento. No puede registrarse para monitorear desde la página principal de la brecha, tiene que ir a las versiones de la página de los Estados Unidos, el Reino Unido o Canadá.

Refuerce su seguridad: Asegúrese de que sus dispositivos (PC, laptop, smartphones, tablets y otros) cuenten con una suite de seguridad actualizada. Sophos recomienda actualizar a la última versión de Sophos Home.

Dell admite ataque en el que se han podido robar direcciones de correo y contraseñas de usuarios

Dell admite ataque en el que se han podido robar direcciones de correo y contraseñas de usuarios

Dell Technologies anunció que sufrió un ciberataque que comprometió las contraseñas y la información personal de sus usuarios.

El pasado 14 de noviembre, la firma restableció las credenciales robadas, cinco días después de que se forjase el ataque, aunque la firma no avisó en el mismo instante a los afectados.

En cualquier caso, los investigadores no han encontrado pruebas de que los atacantes hayan tenido éxito en su infiltración, aunque tampoco descartan la posibilidad de que se hayan robado datos, aunque solo buscaron nombres de clientes, direcciones de correo electrónico y contraseñas codificadas, según la empresa.

Por su parte, afirman desde la organización, y a pesar de que ya está en vigor el Reglamento General de Protección de Datos (GDPR, por sus siglas inglesas), no había motivos reglamentarios o legales para haber sacado a la luz el incidente, aunque lo han decidido así “pensando en la confianza de los clientes”, según informa Reuters.

El 80% de los ciberataques se realizan en las aplicaciones

El 80% de los ciberataques se realizan en las aplicaciones

La seguridad en las aplicaciones es una de las preocupaciones que más se manifiesta por parte de los empresarios, por los riesgos que en ocasiones representa el acceso y uso de estas herramientas.

Por lo anterior, el grupo A3SEC dio a conocer las nuevas tendencias de integración de seguridad en el desarrollo de código seguro, para reducir la brecha de interacción entre el equipo de desarrollo y el equipo de seguridad.

El director de la oficina de México de A3SEC, Israel Gutiérrez, anotó que para tener un entorno libre de amenazas, es necesario asegurar las aplicaciones mediante la búsqueda, reparación y prevención de las vulnerabilidades de seguridad. Dijo que hay que reducir los riesgos y mejorar el funcionamiento de la autenticación, cifrado y auditoría, con el fin de integrar los mecanismos de defensa a la seguridad corporativa.

El ejecutivo aseguró que el 80% de los ataques informáticos son contra las aplicaciones y de estos el 30% son exitosos, por lo que se requiere una acción rápida y oportuna por parte de los desarrolladores para proteger las aplicaciones en caso de un ataque. “La protección debe ser parte de un proceso y no una función extra en el desarrollo de las aplicaciones” sostuvo.

Señaló que se utilizan para detectar los ataques y defender a las aplicaciones de estos, varias herramientas como el SATS, que es el análisis estático, el DAST, el análisis dinámico y al IAST, que es el análisis interactivo.

Por su parte Ronen Riesenfeld, ingeniero en Seguridad en Aplicaciones Checkmarx LATAM, dijo que hay que actuar a tiempo y rápidamente para evitar que los ataques tengan efectos negativos en la seguridad de las corporaciones. Dijo que para reducir la vulnerabilidad hay que construir competencia de seguridad en los desarrolladores, hacerlos partícipes en el valor de la seguridad y entender que este es un compromiso de todos.

Señaló Riesenfeld, que retos importantes para desarrollar las defensas, entre ellos, una liberación rápida, el cumplimiento de los procesos, el mejoramiento de las habilidades del personal, reducir el tiempo y los costos a través del empoderamiento de los desarrolladores.

Para el experto, lo ideal es que el desarrollo de los aspectos de seguridad en las aplicaciones se dé dentro del ciclo de construcción, con el fin de prevenir los posibles ataques o hacerles frente de forma oportuna en caso de que se presenten.

DevSecOps

Para Gutiérrez, a través de DevSecOps se mejora el desarrollo de las aplicaciones y su puesta en operación y se puede asegurar que tiene 5 veces menos fallas que sus contrapartes, lo que hace más efectivo a la hora de la seguridad, pues recupera las fallas 96 veces más rápido.

Señaló que a través de este mecanismo se tiene un proceso mucho más rápido y con menor riesgo y resaltó que la cultura del desarrollo seguro debe formar parte de todo el proceso. “Debemos tener soluciones para integrarlas de forma más natural en el proceso de seguridad”, sostuvo Gutiérrez.

Al hacer una demostración Riesenfeld señaló que al realizar un escaneo de las aplicaciones se permite incorporar reglas de seguridad o calidad de cada empresa lo que permite una mayor integración.

Predicciones de seguridad para 2020

Predicciones de seguridad para 2020

Los delitos informáticos en el mundo han experimentado un incremento constante durante los últimos años. En Latinoamérica, la transformación digital que vienen desarrollando las empresas y gobiernos de la región con el objetivo de hacerse competitivos en el panorama mundial, ha incrementado el interés de los ciberdelincuentes en sectores como el bancario, energético, telecomunicaciones, retail, e-commerce, entre otros.

Según el informe “Digital in 2018”, elaborado por We Are Social y Hootsuite, el 53% de la población mundial está conectada a internet. Para John Galindo, CEO de Digiware,  empresa multinacional de origen colombiano calificada por la firma Frost and Sullivan como la 5ta de Latinoamérica en este sector, la penetración rápida y constante de internet obliga a las organizaciones a adoptar políticas digitales en el corto plazo.

En este contexto, Galindo detalla cinco predicciones de ciberseguridad que toda empresa debería tener en cuenta durante los próximos dos años:

  1.    Para el 2020 la inversión en inteligencia artificial se va a triplicar en pro de reducir los fallos y/o caídas de las organizaciones. Esta medida será impulsada por la poca tolerancia a los fallos en las áreas de TI, debido al impacto que puede generar en la sostenibilidad de la empresa. Por ejemplo, cada segundo que una sucursal energética o bancaria deja de operar, se traduce en pérdidas de millones de dólares.
  2.    Uno de cada mil ciberataques serán incidentes nunca antes vistos o “Zero Day Attack”. Se espera que más del 90% de ataques en la región y en el mundo sean variaciones de ataques ya ejecutados como WannaCry o NotPetya. Lo anterior, debido a que a los ciberdelincuentes se les facilita generar una variación de ransomware, en vez de crear un nuevo modo de infectar sistemas.
  3.    Se espera que el 70% de las organizaciones monitoreen su información en la nube. Cada vez más empresas optan por el Cloud Computing, ya que es una forma eficiente y económica de manejar e integrar sus datos. Sin embargo, todavía muy pocas compañías han implementado medidas de seguridad al respecto, lo cual resulta de vital importancia ya que se estima que el 50% de las grandes empresas usarán esta tecnología en el año 2020.
  4.    Al menos un incidente de ciberseguridad cobrará vidas humanas. Sectores como salud o servicios públicos, que se encuentran en una etapa de transformación digital temprana, no están tomando las medidas necesarias para proteger y defender sus sistemas. Especialistas aseguran que las organizaciones aún están en proceso de entender los riesgos de la digitalización en la vida diaria. En esta línea, por ejemplo, ya existen pruebas de cómo, a través de Bluetooth, se puede alterar un marca pasos.
  1.    El 40% de las organizaciones usarán técnicas de Data Masking para proteger sus bases de datos. Debido a la gran cantidad de fuga de información, las empresas empezarán a resguardar la información sensible a través de máscaras o información falsa, conocida como Data Masking. Este método les permite engañar a los ciberdelincuentes  y proteger la data más confidencial de los usuarios (números de cuenta, teléfonos, direcciones, etc.)

Finalmente, Galindo aseguró que la clave para las organizaciones está en la anticipación y en la adopción de políticas de transformación digital que incluyan protección basada en inteligencia artificial y sistemas predictivos. “Es importante aprender a anticiparnos a los ataques y empezar a invertir en el entorno digital de las operaciones”.

Empiezan las predicciones en ciberseguridad

Empiezan las predicciones en ciberseguridad

Un informe desarrollado por Forcepoint concluye que cuando las personas pueden colaborar con confianza, aprovechando los datos de manera creativa y con toda libertad mediante la tecnología, las empresas pueden innovar de manera segura para crear valor.

En una encuesta realizada por la firma, el 94% identificó la seguridad como un tema importante al migrar a la nube. El 58% está buscando activamente proveedores dignos de confianza con una sólida reputación en seguridad y el 31% está limitando la cantidad de datos que alojan en la nube por razones de seguridad.

Aspectos destacados del informe de este año incluyen:

  1. El invierno de la Inteligencia Artificial

Crece la desilusión a medida que se responsabiliza a la inteligencia artificial (IA) y al aprendizaje automático por aquello que afirman.

Predicción: no existe inteligencia artificial (IA) real en la seguridad cibernética, ni probabilidad alguna de que se desarrolle en 2019.

Cuando confiamos en los algoritmos y los datos analíticos para manejar un automóvil, para enfocar las decisiones en la atención médica y para alertar a los profesionales de seguridad sobre posibles incidentes de pérdida de datos ¿hasta dónde debe llegar esta confianza? ¿Las afirmaciones de los proveedores sobre la efectividad de la IA se compararán con la realidad de los ataques cibernéticos sofisticados?

  1. Caos a escala en el Internet de las cosas industrial

Los atacantes buscan vulnerabilidades en el hardware y la infraestructura en la nube. Predicción: Los atacantes causarán interrupciones en dispositivos del Internet de las cosas industrial (IIoT) a través de vulnerabilidades en la infraestructura de la nube y en el hardware.

Los sistemas de control industriales (ICS) en red que requieren de conectividad “siempre encendida” presentan mayor superficie de ataque, y esto resulta más evidente en el caso de los dispositivos del Internet de las cosas (IoT). Los ataques en el Internet de las cosas (IoT) de consumo son prevalentes, pero la posibilidad de que impacten en la industria de la fabricación y otras similares hace que la amenaza sea mucho más seria.

  1. Un reflejo falso

Se infiltra software de reconocimiento de rostro para robarle la imagen de su rostro.

Predicción: Los hackers manipularán software de reconocimiento facial de usuarios finales y las organizaciones responderán con sistemas basados en el comportamiento.

A medida que persisten los ataques de phishing, los trucos de los hackers como  “SIM Swaps” (intercambio de tarjeta SIM) quebrantan la efectividad de algunos métodos de la autenticación de dos factores (2FA), como los mensajes de texto. La biometría ofrece seguridad adicional al usar datos más específicos de cada usuario final, pero las nuevas vulnerabilidades en el software de reconocimiento facial llevan a los expertos a poner fe en la biometría del comportamiento.

  1. Enfrentamiento en los tribunales

Las amenazas internas terminan en un juego de litigios y culpas.

Predicción: durante el 2019 veremos una causa judicial en la que, tras una fuga de datos, un empleado se declare inocente y un empleador alegue que hubo una acción deliberada.

Las organizaciones deben identificar la actividad maliciosa a medida que ocurre y detenerla antes de que dañe sistemas críticos y PI, y deben tomar medidas para implementar tecnologías de seguridad cibernética y de monitoreo en el lugar de trabajo, en su entorno de TI con el fin de comprender el panorama completo en torno a un incidente y probar las intenciones del usuario final.

  1. Rumbo de colisión en la Guerra Fría del ciberespacio

Los embargos comerciales provocan una ola de espionaje industrial.

Predicción: las políticas comerciales aislacionistas incentivarán a los estados nacionales y a las entidades corporativas a robar secretos comerciales y usar tácticas cibernéticas para crear caos en industrias claves, infraestructura crítica y gobiernos.

El espionaje siempre ha presentado un camino para que las naciones-estado adquieran nueva tecnología, y a medida que disminuyen las oportunidades de acceso legítimo debido al aumento de las protecciones comerciales, los desfavorecidos en esa situación tendrán un incentivo real para adquirirla mediante mecanismos maliciosos ¿Cómo pueden las organizaciones proteger la propiedad intelectual ante la amenaza de hackers patrocinados por las naciones-estado?

  1. Dirigidos al borde del abismo

Las organizaciones buscan reforzar la privacidad pero logran avanzar poco debido al quiebre en la confianza.

Predicción: la preocupación de los consumidores respecto a las fugas hará que las compañías adopten más edge computing para optimizar la privacidad.

Los consumidores, agotados por las intrusiones y el abuso de sus datos personales, han llevado a las organizaciones a introducir nuevas medidas para garantizar la privacidad del usuario dentro de los servicios que brindan. La egde computing o “computación en el borde” ofrece a los consumidores un mayor control de sus datos manteniéndolos en su teléfono inteligente o computadora portátil. Las soluciones actuales deben superar la falta de confianza de los consumidores quienes temen que los datos se filtren a la nube exitosamente.  

  1. Las culturas de seguridad cibernética que no se adapten fallarán

La creación “índices de confianza respecto a la seguridad” recompensará a algunas organizaciones y castigará a otras.

Predicción: los “índices de confianza respecto a la seguridad” de toda la industria surgirán a medida que las organizaciones busquen garantías de que sus socios y sus cadenas de suministro son confiables.

Tal como existen rankings y calificaciones para la confianza de distintas instituciones financieras, opciones de inversiones o incluso restaurantes, el futuro traerá una calificación de confianza respecto de la seguridad, similar a los negocios que manejan, almacenan o interactúan con datos. Estas calificaciones indicarán qué tan seguro es permitirles a los proveedores gestionar información de identificación personal (PII) u otros datos críticos.

El concepto de confianza está integrado en las siete predicciones para el 2019. La confianza es vital para las relaciones personales y de negocios, puede hacer que un negocio triunfe o fracase. Sin embargo, las personas suelen tener una relación complicada con la confianza porque es intangible.

“Una forma de aumentar la confianza y recuperar el control es a través del modelado del comportamiento de los usuarios, o específicamente, de sus identidades digitales, para entender las razones detrás de su actividad”, explica Raffael Marty, vicepresidente de investigación e inteligencia de Forcepoint. “Comprender cómo actúa un usuario en la red y dentro de las aplicaciones puede identificar anomalías de comportamiento que ayudan a fundamentar las respuestas que se adaptan al riesgo”.

Pin It on Pinterest