Sobre esta cuestión reflexiona Félix Muñoz, Director General de Security & Risk Management de Entelgy – InnoTec en la tribuna “La ciberseguridad como elemento clave en las organizaciones” que algunos medios ya han publicado.

Ver aquí la tribuna completa – CSO Computeworld.

Asimismo, Innotec destaca

Seis principales tendencias  en materia de ciberseguridad

en un interesante estudio, fruto del trabajo y conocimiento de nuestro equipo de expertos en Seguridad IT.

Estas son las principales conclusiones:

1.     Sofisticación de los ciberataques

Incremento de la complejidad en todos los campos: métodos de ataque y desarrollo de malware avanzados con técnicas de ofuscación que impiden su descubrimiento. Se verán gusanos, troyanos o virus personalizados destinados a eludir las medidas de seguridad de una organización (y por supuesto de los antivirus).

2.     Incremento de ciberataques dirigidos

Los objetivos son, cada vez más, exquisitamente seleccionados. Cuánto mayor sea el valor de la información de la “víctima“, mayor posibilidad de convertirse en objetivo. Ataques en todos los frentes: red interna, externa, dispositivos fijos, móviles, entornos virtuales (cloud computing, Internet, redes sociales...). Si la “víctima“ no es accesible, se atacará a sus relaciones profesionales, proveedores, contactos personales...

3.     Traslación de la problemática “fija“ al móvil

Réplica de los métodos y técnicas empleadas en redes y equipos fijos a las tecnologías inalámbricas y dispositivos móviles. El incremento en su uso, la ausencia o relajación de las medidas de seguridad y el fenómeno del BYOD (Bring Your Own Device) motivan el interés de los ciberatacantes por estos entornos.

4.     Aumento de ataques contra infraestructuras críticas 

El cambio a sistemas propietarios, abiertos e interconectados, de los sistemas que controlan estas infraestructuras, ha disparado las amenazas y los riesgos. Muchos ciberatacantes han concentrado su labor en las denominadas Smart Grid (Red Eléctrica Inteligente).

5.     Proliferación de ataques vía web

Atacando las vulnerabilidades del navegador a través de un exploit-kit, inyección de código SQL, la inclusión de enlaces en las redes sociales o los denominados waterhole, aquellos que comprometen un sitio web seleccionado y que será previsiblemente visitado por los empleados de la organización blanco del ataque.

6.     Aumento del hacktivismo

Destinados a erosionar la reputación de una organización, bien sea pública o privada, y como forma, en numerosas ocasiones, de protesta.

Además, la utilización de TOR como red para mantener el anonimato en Internet (especialmente los ciberdelincuentes que no quieren dejar rastro de sus acciones), el chantaje o ramsonware por parte de atacantes que pueden mantener retenidos datos o servicios corporativos hasta no pagar una cantidad o los ataques entre máquinas interconectadas (Internet de las cosas) serán otras de las tendencias que, previsiblemente, volverán a ocupar la atención de los especialistas en ciberseguridad.

Félix Muñoz, comenta:

“la sofisticación y complejidad de los ciberataques registrados y, sobre todo, sus consecuencias cada vez más graves y costosas sitúan a la ciberseguridad como uno de los aspectos sobre los que debe descansar la actividad y el desarrollo futuro de cualquier organización, sea pública o privada. La conciencia clara de cuál es la información crítica y qué medidas deben adoptarse para su protección deben estar presentes en todas las organizaciones”.

Lo deseable sería que todos los usuarios tomaran conciencia de los riesgos reales, adoptaran las medidas necesarias para mitigarlos (ellos o los profesionales especializados en estas cuestiones) y protegieran aquella información crítica para su organización, independientemente de dónde esté alojada.

Este estudio ha sido publicado en medios como:

• CSO - Computerworld
• Techweek
• Channel Biz
• ITSeguridad
• Strategic partner
• Networkworld

A primeros de año desde Entelgy Chile nos informaban de la Auditoría de Seguridad desarrollada para el Gobierno de Chile en la Unidad de Modernización y Gobierno Digital.

De nuevo el Gobierno de Chile confía en nosotros y nos solicita en esta ocasión nuestros servicios en Seguridad para la subsecretaría de Salud Pública.

La Subsecretaría de Salud Pública es la Institución que define y coordina políticas que fomenten estilos de vida saludables entre la población, además de proteger la salud de las personas frente a riesgos sanitarios, entre otras importantes tareas.

Desde esta Institución y bajo la iniciativa del proyecto de Autoridad Sanitaria Digital, se está impulsando el desarrollo y utilización de una herramienta web que permita que ciudadanos y empresas puedan realizar algunos de los trámites más relevantes del sector salud en forma electrónica vía Internet, con la posibilidad de conocer en todo momento el estado de sus solicitudes y de imprimir los documentos de cierre de los trámites (resoluciones, certificados, comprobantes de solicitud, comprobantes para pago), así como también  informarse sobre la gestión de las solicitudes realizadas en las oficinas de atención ciudadanas (OIRS).

Asimismo, permite a los funcionarios del sector salud a lo largo del país, la realización en línea de todos los procesos requeridos para la gestión de los trámites señalados que se ingresen en el sistema vía Internet, incluida la función de fiscalización, las actividades de revisión de documentos en todas las instancias del proceso y la firma electrónica avanzada de documentos.

Se requirió a Entelgy para realizar una Auditoría de Seguridad para así conocer posibles vulnerabilidades que pudiera poseer y corregirlas.

Los trabajos se desarrollaron entre febrero y marzo. La auditoría consistió en un hacking ético sobre tres webs de cliente, relacionadas con la autoridad sanitaria digital y procesos administrativos digitales entre entidades públicas y el Ministerio de Salud. A medida que el proyecto transcurría, se iban detectando vulnerabilidades de carácter crítico y se fue informando al cliente, para que tomara las debidas precauciones. Al término de los trabajos, se realizó una reunión de presentación de resultados, donde se detalló los problemas encontrados y se hizo entrega del correspondiente informe técnico.

Con ello ahora se podrá entregar la aplicación con las garantías de calidad exigidas, además asegurando que la información se encuentre debidamente resguardada.

• Entelgy Chile: Auditoría de Seguridad para el Gobierno de Chile
• Desayuno con clientes en Entelgy Chile
• Entelgy Chile participa en la cena de gala de la Cámara de Comercio
• Nuevo éxito en Entelgy Chile
• Entelgy Chile en los medios de comunicación chilenos

InnoTec, empresa especializada en Seguridad y Riesgos Tecnológicos del Grupo Entelgy, ha analizado algunas de las ciberamenazas más destacadas del año 2013.

Sólo en España, INTECO, organismo del Ministerio de Industria, Energía y Turismo, registró más de 54.000 ciberataques en 2013; mientras que el CCN-CERT, del Centro Criptológico Nacional (organismo adherido al Centro Nacional de Inteligencia) gestionó 7.260 ciberincidentes contra los sistemas de las Administraciones Públicas, empresas y organizaciones de interés estratégico nacional (energéticas, financieras, de seguridad y defensa, telecomunicaciones etc.).

Estos datos ponen de manifiesto que la ciberseguridad se ha erigido como uno de los aspectos más críticos a tener en cuenta por cualquier organización.

Robo de información crítica, suplantación de identidad, extracción de dinero o ciberespionaje gubernamental e industrial entre otros, son los ataques que destacamos a continuación:

1. Ciberespionaje industrial: robo de información a empresas con el fin de acceder a su información más valiosa (propiedad intelectual, desarrollos tecnológicos, estrategias de actuación, bases de datos de clientes, etc.). Por ejemplo, el informe Mandiant¹ descubrió la existencia del grupo organizado APT1 dedicado al ciberespionaje de industrias de habla inglesa claves para la economía de sus respectivos países.
2. Ciberespionaje gubernamental: robo de información a organismos gubernamentales como la operación “Octubre Rojo” en la que se infiltraron en las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica y compañías petroquímicas de alrededor de 40 países. El objetivo era obtener información sensible y credenciales de acceso a ordenadores, dispositivos móviles y equipos de red.
3. Ciberataques a infraestructuras críticas, como el detectado contra Aramco, la principal compañía petrolera de Arabia Saudí, que se vio sacudida por un troyano instalado en más de 30.000 ordenadores de su red. La compañía necesitó diez días para volver a la normalidad.
4. Cibermercenarios o grupos de hackers con conocimientos avanzados, contratados para desarrollar ataques dirigidos contra un objetivo concreto, con el objetivo de conseguir la información deseada.
5. Ciberdelincuencia contra servicios financieros, y muy especialmente, los denominados troyanos bancarios, diseñados para el robo de datos de tarjetas de crédito y cada vez más, centrados en los dispositivos móviles. Por ejemplo, en la  “Operación High Roller” se vieron afectadas 60 entidades financieras de todo el mundo, víctimas de un ciberataque en el que se extrajeron 60 millones de euros. El grado de sofisticación del malware indica que fue obra del crimen organizado porque la configuración del ataque requirió inversión para el desarrollo, muchas horas de trabajo y una logística muy importante.
6. Ciberdelincuentes aislados que venden la información obtenida al mejor postor. Un ejemplo muy sonado fue el de la cadena estadounidense de grandes almacenes Target que reconoció el robo de información de tarjetas de crédito de alrededor de 70 millones de clientes. Pocos días después, estas tarjetas estaban siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas.
7. Ciberdelincuentes organizados o mafias que han trasladado al mundo “virtual” sus acciones en el mundo “real”. Fraude online, clonación de tarjetas de crédito, extorsión, blanqueo de capitales, etc.
8. Infección a través de páginas web. En 2013 se detuvo al autor de Blackole, un exploit-kit (paquete que contiene programas maliciosos) que permitía explotar vulnerabilidades de webs legítimas e infectar a los usuarios que accedían a dichas páginas, millones en todo el mundo.
9. Ciberhacktivistas: personas o grupos que, movidos por alguna ideología, intentan socavar la estructura del oponente. El ejemplo de Anonymous es paradigmático y, en estos casos, sus ataques suelen centrarse en ataques DDoS², desfiguración de páginas web o publicación de datos comprometidos.
10. Cibersabotaje que busca dañar la reputación de una organización y por ende su funcionamiento. Prueba de ello es la actividad del Ejército Electrónico Sirio, que lleva meses atacando a todos aquellos que, en su opinión, propagan el odio y quieren desestabilizar la seguridad en Siria, incluidas grandes empresas periodísticas de todo el mundo. Llegaron a provocar incluso una caída de 150 puntos en el Dow Jones Industrial Average (índice bursátil de las 30 mayores empresas de la Bolsa de Estados Unidos), ante una noticia falsa de un atentado en la Casa Blanca difundido por Associated Press en Twitter.

Las ciberamenazas se han convertido en las grandes protagonistas del siglo XXI, en parte agravado por circunstancias como la dependencia de la sociedad hacia las TIC, la rentabilidad que ofrece su explotación, la facilidad y el bajo coste de las herramientas utilizadas y el reducido riesgo para el atacante.

Los ataques en la red son cada vez más graves y sus consecuencias cada vez más costosas. Las organizaciones, públicas o privadas, deben ser conscientes de cuál es la información crítica para su negocio con el objetivo de protegerla. Teniendo en cuenta, no sólo dónde se aloja dicha información, sino también, cada vez más, el modo de acceder a ella desde distintos dispositivos (PC, portátiles, Smartphone, tabletas, USB, etc.) y con diferentes herramientas (correo electrónico, servicios web, Intranet corporativa, redes sociales, etc.).

Otras noticias se Seguridad en nuestro Blog

1. Informe publicado por la consultora estadounidense Mandiant, el 20 de febrero, de 2013, según el cual el Ejército Popular de Liberación chino está detrás de multitud del ciberespionaje sufrido por organizaciones públicas y privadas de todo el mundo.
2. DDoS (Denegación de Servicio Distribuida): imposibilidad de acceder a un sistema o página web o demora en el tiempo ante el ataque simultáneo desde múltiples puntos o desde una red de equipos infectados por una atacante remoto (Botnet).

Con la presentación de un caso de ciberataque a una empresa especializada en seguridad y defensa, José Manuel Migoya, de InnoTec, participó como ponente en la IV Jornada SAT de Internet, organizada por el CCN-CERT¹, Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI).

Nuestros compañeros de InnoTec siguen demostrando que son un referente en torno a la seguridad con su participación en varios congresos y eventos relacionados con esta temática.

De la mano de algunos de nuestros expertos y analistas de riesgos tecnológicos, hemos generado el debate y la discusión en torno a los retos de seguridad que afrontan las organizaciones en nuestros días.

Juan Garrido, experto en Security & Risk Management y MVP Enterprise Security, estuvo presente en Hackron, el primer congreso de seguridad informática orientado a los delitos telemáticos y ciberamenazas. El evento, que tuvo lugar en las Islas Canarias del 28 de febrero al 1 de marzo, tenía la finalidad de informar a empresas, instituciones públicas y pymes sobre la seguridad en los sistemas operativos. Bajo el título de ‘Auditando la casa del gobernador’, nuestro analista expuso sus conocimientos sobre seguridad informática desde un punto de vista técnico y legal para dar una visión conjunta del problema del ciber-crimen del siglo XXI.

Además, Juan Garrido ofreció en marzo en el laboratorio RootedLab un seminario de ocho horas de duración sobre la protección de infraestructuras basadas en Directorio Activo, un servicio que se establece en uno o varios servidores y que permite a los administradores desarrollar políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Ya que, en caso de amenaza o ataque en cualquiera de los elementos, el fallo de seguridad afectaría a todo el sistema de la empresa.

Por su parte, Aladdin Gurbanov, analista de Malware, impartió una ponencia en el prestigioso Congreso de Seguridad Informática RootedCon. Gurbanov abordó cuestiones como la seguridad de las bandas magnéticas, las transacciones fraudulentas y suplantación de identidad, entre otros temas de igual importancia bajo el lema ‘Magnetic Road’.

La actividad de nuestros compañeros en congresos de seguridad, no se limita solamente a los citados anteriormente. Nuestra compañía también ha sido protagonista de otros eventos de igual envergadura, como es el caso de las Jornadas STIC CCN-CERT de  Ciberseguridad, celebradas el pasado mes de diciembre; NCN, congreso de seguridad informática y hacking; y las conferencias de seguridad Navaja Negra; entre otros muchos.

Puedes leer otros posts sobre nuestra participación en eventos de seguridad:

• Desayuno con clientes en Entelgy Chile
• Otro año más como MVP
• InnoTec, ahora, en la U. Complutense de Madrid
• Entelgy Ibai – Desayuno con diamantes
• Innotec en la UAM
• InnoTec: actividades formativas de alto nivel

Con motivo del Mobile World Congress celebrado en Barcelona la semana pasada,  empresas y expertos se han sentado a compartir opiniones e impresiones sobre el creciente mercado móvil y su futuro.  Desde Entelgy hemos querido aportar nuestro granito de arena al debate de la mano de nuestro compañero Jorge Herrero, Gerente de Software & Mobility, quien ha concedido una entrevista para el medio digital MuyComputerPro en la que comparte nuestra visión sobre la movilidad y el desarrollo de esta tendencia dentro de las empresas.

La Unidad de Modernización y Gobierno Digital es la Institución que define y coordina el Plan Estratégico Digital del Gobierno de Chile. Por ello asesora a todas las Instituciones Públicas de Chile, con las cuales mantiene una estrecha relación.

Desde esta Unidad de Modernización y Gobierno Digital, se está impulsando el desarrollo y utilización de una herramienta web flexible y escalable (SIMPLE) que permita ser utilizada de manera natural en la administración pública generando eficiencia en el uso de los recursos al permitir modelar y administrar los procesos de negocio. Esta misma herramienta, a la vez, es pilar fundamental de la iniciativa ‘Chile Atiende’ que busca crear una red multicanal/multiservicios de atención al ciudadano, a lo largo del país.

Para poder poner a disposición la aplicación SIMPLE para su libre uso entre las instituciones chilenas dentro de la iniciativa de “Software Público”, se requirió a Entelgy para realizar una Auditoría de Seguridad y conocer las posibles vulnerabilidades que pudiera poseer y poder corregirlas.

Los trabajos se desarrollaron en octubre y noviembre. Además de las auditorías realizadas sobre el aplicativo web y el código fuente (para detectar vulnerabilidades), se dieron directivas de bastionado del servidor y se realizó una instalación en máquina virtual, siguiendo las recomendaciones y directrices para poder distribuir esa imagen entre las diversas instituciones interesadas e incorporando las mejores prácticas relativas a la Seguridad.

Con ello ahora se podrá entregar la aplicación con las garantías de calidad exigidas.

El cliente ha destacado la calidad del trabajo realizado, en especial, la documentación técnica y ejecutiva que les ha sorprendido gratamente

Más información sobre el Servicio de Auditorías Técnicas y Hacking Ético

El Servicio de Auditorías Técnicas y Hacking Ético es la propuesta que ofrece InnoTec (del Grupo Entelgy) para que sus clientes puedan conocer la situación real de sus redes, servicios, sistemas, aplicaciones o infraestructura desde un punto de vista de Seguridad.

Este servicio permite detectar las posibles vulnerabilidades y riesgos que tienen las organizaciones y las recomendaciones para poder tomar las acciones pertinentes de mitigación o corrección. Con este servicio, realizado periódicamente, permite mostrar la evolución en el tiempo de los niveles de Seguridad detectados.

El servicio se adapta y personaliza a las necesidades concretas de cada cliente tanto en ubicación, ventanas de actuación o nivel de profundidad incluyendo el escalado progresivo de los entornos revisados.

Se pone a disposición de los clientes un equipo, Tiger Team, altamente cualificado y especializado con referencias tanto nacionales como internaciones que acreditan la profesionalidad de sus trabajos. Todos los auditores están certificados como hackers éticos a través de la certificación Certified Ethical Hacker (CEH). Cuentan con varios años de experiencia en la realización de auditorías en todo tipo de clientes e infraestructuras.

Últimos post sobre Entelgy Chile:

• Desayuno con clientes en Entelgy Chile
• Entelgy Chile participa en la cena de gala de la Cámara de Comercio
• Nuevo éxito en Entelgy Chile
• Entelgy Chile en los medios de comunicación chilenos

Con el lema “La ciberseguridad, un factor estratégico nacional”, el auditorio de la Fábrica Nacional de la Moneda y Timbre (FNMT) acogió en diciembre a los principales expertos en Ciberseguridad.

Más de 140 organizaciones distintas entre Administraciones Públicas y empresas pertenecientes a sectores estratégicos asistieron al evento, entre las que se encontraba InnoTec, del Grupo Entelgy.

Las VII Jornadas STIC CCN-CERT del Centro Criptológico Nacional (CCN) se celebraron los pasados 10 y 11 de diciembre en Madrid y fueron inauguradas por el Secretario de Estado director del CNI Félix Sanz, que animó a continuar con el “esfuerzo titánico” de concienciación que tienen estas jornadas, “compartiendo con generosidad nuestras ideas, ofreciendo el fruto de nuestras reflexiones…creando un sector defensivo frente a los ciberataques entre todos, Administraciones Públicas, empresas y ciudadanos”.

A la intervención de éste último, le siguieron las distintas ponencias y talleres que conformaban un programa muy completo y que contó con numerosas felicitaciones.

Una de estas ponencias y dentro del primer módulo fue

impartida por dos de los expertos en seguridad de InnoTec, José M. Migoya y Francisco Oca para un auditorio de más de 500 personas. En el cuestionario de valoración realizado entre los asistentes, nuestra ponencia fue valorada como “Excelente / Muy buena” por el 90% de ellos.

Asimismo, InnoTec patrocinó el evento en su modalidad Gold.

Más información en este enlace: VII Jornadas STIC CCN CERT

Casi diez años después de la puesta de largo de LightHouse Suite, nuestros compañeros de Seguridad están a punto de presentar la nueva versión. Este software, que se creó para cubrir la necesidad de alinear las tecnologías TI con los servicios de negocios a los que dan soporte, se ha colado en empresas de diversos sectores.

Entidades Financieras como NovaGalicia Banco o Caja Duero, y administraciones públicas como EJIE (Sociedad Informática del Gobierno Vasco) y Osakidetza (Servicio Vasco de Salud) ya han caído rendidos ante los encantos de LightHouse Suite. Y todos ellos afirman que la calidad y disponibilidad de sus servicios han mejorado desde que integraron la herramienta en su lugar de trabajo.

Los orígenes

La globalización de los mercados y tecnologías, los cambios tecnológicos, el incremento de la competencia, la facilidad de cambio de localización de procesos y otros muchos factores generaron en las empresas la necesidad de concentrar sus mayores esfuerzos y recursos en las actividades críticas de su negocio.  Así presentábamos LightHouse Suite hace poco más de un año en este mismo blog.

David Igualada, responsable de LightHouse, nos comenta:

En este punto es donde entran los departamentos de TI, que en los últimos 20 años se han convertido en la mayor fuente de inversión económica de las empresas (grandes y pequeñas). El problema, por aquel entonces, estaba en que los beneficios obtenidos de la inversión realizada eran muy complicados de cuantificar. Pero desde hace nueve años y pico el panorama ha cambiado mucho gracias al equipo de InnoTec (Grupo Entelgy), encargado del desarrollo y creación de LightHouse Suite.

LightHouse Suite y BSM

LightHouse Suite se ha convertido en este periodo en una herramienta clave para conseguir la tan ansiada alineación entre Tecnología y Negocio, que se basa en un modelo de gestión BSM (Business Service Management).

Gracias a la metodología BSM, los responsables de negocio obtienen una visión clara y comprensible de las TI, que les permite utilizar de forma más eficiente estas tecnologías de cara a implantar o mejorar nuevos procesos, innovar en nuevas áreas de negocio, racionalizar la inversión en TI, etc. En definitiva, aumentar la competitividad de la empresa con un lenguaje comprensible para cualquiera, aun sin tener conocimientos tecnológicos.

La información a tiempo real que genera esta herramienta está permitiendo una gestión ágil y proactiva de los recursos, identificando de manera inmediata las variaciones en los indicadores que permiten una mayor eficiencia, reducción de costes y anticipación a los problemas.

Un interfaz más intuitivo, visual, ligero y personalizable, todo ello adaptado a las nuevas tecnologías (tablets, smartphones…), son algunas de las mejoras de la nueva versión de LightHouse Suite, que se presentará en 2014. En definitiva, un nuevo éxito de los compañeros de Seguridad, quienes están constantemente pensando en adaptar sus herramientas a las necesidades de los clientes.

El pasado 3 de Diciembre, Entelgy Chile organizó un desayuno de trabajo bajo el título "Los nuevos desafíos de la Ciberseguridad", al que asistieron diversos responsables de seguridad de instituciones y empresas relevantes, tanto del sector público como del privado.

Durante este evento Jorge Uyá,  Director de Operaciones de Innotec, y Sergio González, Responsable de Preventa en Seguridad TI de Entelgy en Chile, expusieron sobre diversos aspectos relacionados con la seguridad TI, tales como:

• Ciberseguridad, APTs, Big Data, Ciberespionaje, PIC – ¿Qué ha cambiado?
• La Seguridad en Entornos Móviles
• Prevención de Fraude y Vigilancia Digital
• APTs: Tú instala…Que yo te aviso, para finalizar con la discusión con reflexiones sobre Ciberseguridad y los desafíos en el horizonte.

La discusión fue muy animada y contó, además, con demostraciones prácticas de vulnerabildiades, así como la exposición de casos prácticos de las brechas de seguridad más comunes.  Se revisaron casos puntuales de hacking mediante ingeniería social, así como los principales recursos que se suelen utilizar para acceder a la Deep Web. Otras reflexiones de los asistentes estuvieron centradas en la poca conciencia de las organizaciones sobre la relevancia del presupuesto del área TI –seguridad en particular-, teniendo en cuenta la información que manejan determinadas instituciones. Además, se reflexionó sobre la idea clásica establecida entre los usuarios  "Yo no soy objetivo de nadie o quién va a querer mis datos", que muchas veces lleva a exponer información de manera innecesaria.

La buena acogida, así como la  interacción y la riqueza del debate hicieron de esta edición un evento que buscaremos repetir con frecuencia, tratando  otros temas relevantes.

Otras noticias relacionadas:

• Entelgy Chile participa en la cena de gala de la Cámara de Comercio
• La seguridad móvil a debate
• Nuevo éxito en Entelgy Chile
• Entelgy Chile en los medios de comunicación chilenos