Cómo generar confianza en un mundo desconfiado

¿Cuál es la tendencia del #DataBreach en los últimos años y cómo prevenirnos ante estos incidentes de seguridad con gran impacto en la imágen corporativa y personal? Facundo Gallo, CISO en BloomverTech y Castroalonso LET, escribe para la revista jurídica AJA a cerca de la alianza legal y tecnológica ante la fuga de información. A continuación el artículo completo:

Los términos Data Leak y Data Breach (fuga de datos y filtrado de datos, respectivamente) han llegado para quedarse, formando parte de ese extraño grupo de anglicismos que parecen destinados a sumarse al acervo lingüístico de nuestra sociedad.

La fuga de datos es un claro indicador de compromiso sobre la exposición pública, sea como usuarios particulares, como marca, o unidad organizativa, acarreando un gran impacto económico. Para hacernos una idea más aproximada, IBM cifra las pérdidas en un total de 3.9 millones de dólares en todos los casos analizados a lo largo del año 2019.

La fuga de información es un enemigo silencioso pero constante, y su frecuencia en los medios de difusión está experimentando una tendencia en alza. Realizando una búsqueda en Google Trends, observamos que el volumen de noticias en España relacionadas con Data Breach ha alcanzado su máxima cifra a finales del año 2019, cuando antes del año 2017 apenas se hablaba de ello.

El último ejemplo reseñable de filtración masiva con gran impacto mediático, recayó sobre una cadena de establecimientos dedicada a la venta y distribución de material deportivo. La marca en cuestión sufrió una exposición de millones de datos internos, superando los 9 GB de información filtrada. Entre los datos comprometidos se encontraban nombres de usuarios de empleados, contraseñas sin cifrar, números de seguridad social, nacionalidad, dirección, fecha de nacimiento, teléfonos y otros detalles
personales.

¿Cómo puede afectarme la fuga de información?

Son muchas las acciones que puede emprender un atacante haciendo uso de fuentes públicas con datos privados.

Cuando se trata de información de usuario, un ejemplo recurrente es utilizar el método de sextorsión, utilizando los mails publicados y sus respectivas contraseñas para reforzar la veracidad de la amenaza. Las finalidades de esta técnica pueden ser diversas:

  • Usurpar información comprometida.
  • Adquirir dinero a cambio de no difundir el contenido del mensaje.
  • Redirigirnos a un repositorio que aloje malware y por tanto vulnerar el equipo de la víctima para ganar persistencia.

Otro escenario distinto es cuando nos encontramos con datos bancarios filtrados, que generalmente acaban siendo duplicados y vendidos en canales de reventa por lotes.

¿Cómo podemos prevenirnos?

En primer término, consideramos como asignatura obligatoria la concienciación o, dicho de otra manera, que los usuarios de nuevas tecnologías no solo sean capaces de aplicar el sentido común, sino conocimientos actualizados sobre las amenazas más usuales, entre los cuales citamos:

  • Ser conscientes de los diferentes tipos de datos que podemos manejar como usuarios particulares o pertenecientes a una organización, para proteger debidamente aquellos que nos resulten críticos para el desarrollo de nuestras funciones.
  • Compartir información de uso restringido, personal y privado, mediante herramientas corporativas que sean seguras y autorizadas.
  • Cifrar el contenido de los dispositivos móviles (teléfonos y portátiles), evitando la captura de la información en caso de pérdida.
  • Suprimir por defecto todo correo que provenga de un servidor fuera de nuestro dominio, y que esté siendo utilizado para ejecutar suplantaciones de identidades.

Otra pieza importante en el engranaje preventivo la encontramos en el ámbito legal, desde el cual se han de proteger todas las acciones de los usuarios internos y proveedores externos mediante acuerdos de confidencialidad, incluyendo las respectivas sanciones en caso de incumplimiento contractual. Por último, necesitamos traducir el marco normativo al despliegue tecnológico; un conjunto de herramientas a aplicar son las denominadas Data Loss Prevention, y la buena noticia es que muchos Firewalls de última generación nos ofrecen estas aplicaciones de manera modular.

Desde Castroalonso y BloomVer-Tech hemos conformado una alianza estratégica que pone de manifiesto la importancia de apostar por equipos interdisciplinares para asegurar la calidad en materia de ciberseguridad. De igual manera, estamos orgullosos de ser los principales actores en Asturias en brindar una protección integral contra la fuga de información y protección de la marca empresarial, no solo desde la perspectiva interna de la empresa, previniendo el filtrado de datos críticos, sino poniendo a disposición de los clientes la capacidad de suprimir aquella información que ha escapado de su control y se encuentra esparcida por el amplio mundo de la red de redes.

Trabajar con la última tecnología del mercado, ser ágiles en la adaptación ante los cambios venideros, y sobre todo generar un frente común de defensa, son las claves del éxito en la batalla que se está librando en el ciberespacio; porque todos tenemos derecho a sentirnos protegidos, incluso en un mundo desconfiado.

Cuestión de supervivencia

El eslabón más débil en la ciberseguridad es siempre el factor humano. Jonathan González, Asesor of Councel de BloomverTech y Castroalonso LET, escribe para el periódico El Comercio las siguientes líneas:

Me confieso un seguidor de las enseñanzas de Cicerón. Decía el ilustre filósofo que “cuanto mayor es la dificultad mayor es la gloria”. Bueno, a veces sería preferible no aspirar a tal magnitud de gloria.

El país por entero se encuentra frente a una crisis socio-sanitaria. La pandemia del coronavirus (COVID-19) ha cogido  con el pie cambiado no solo al gobierno sino también a empresas, trabajadores y, en general, a toda la sociedad. No cabe duda que la salud es uno de los principales tesoros que tiene el ser humano y, por tanto, todo lo que tiene que ver con su salvaguarda y cuidado siempre preocupa. Y esto es algo que entienden bien las organizaciones más maduras, aquellas que de verdad comprenden que el capital humano es el principal activo de la organización, y que prescindir de él pone en serio peligro a la existencia de la misma.

Es probable que aún sea pronto para diagnosticar el verdadero impacto de esta crisis sobrevenida en el trabajo y en la economía. En apenas unos pocos días, una vertiginosa oleada de expedientes de regulación temporal de empleo (ERTE) han surgido con el principal objetivo de controlar el impacto, potencialmente negativo, del parón productivo. La duda existencial es si estos ERTE son realmente precisos. En un mundo cada vez más tecnificado, más globalizado, ¿acaso no hay otra forma de llevar a cabo la producción? La pregunta es obligada porque en esta situación coyuntural una “nueva” modalidad de trabajo parece que se está imponiendo: el trabajo a distancia.

Si ha sorprendido a propios y extraños la propuesta del teletrabajo es, en cierta medida, porque la misma parte del gobierno en lugar de proceder de la patronal. El trabajo a distancia, en remoto o vulgarmente dicho el “teletrabajo”, es una modalidad recogida en el Estatuto de los Trabajadores, artículo 13. Curiosamente, para ser una norma con rango de ley, se describe de forma francamente comprensible qué es y como practicar el teletrabajo en un marco de legalidad. Obviamente, el lector coincidirá en que no todos los trabajos pueden ser desarrollados a distancia, está claro, pero en aquellos en que sí se puede, ¿por qué no hacerlo? El trabajo a distancia no es una práctica habitual. De acuerdo a la última encuesta de población activa, solo el 4,3% de los ocupados en España desarrolla sus funciones en modalidad de trabajo a distancia, lo que arroja como indicador que los medios productivos para un teletrabajo masivo y repentino, muy probablemente, no estarán preparados como deberían. Y no es muy comprensible. La influencia del uso de las tecnologías de la información y la comunicación (TIC) en los diferentes aspectos, variables y resultados de las organizaciones es un fenómeno ampliamente estudiado en la literatura académica de economía, como demuestran Billón, Lera & Ortiz en su obra “Evidencias del impacto de las TIC en la productividad de la empresa. ¿Fin de la “paradoja de la productividad?” (Cuadernos de Economía, Num. 82, 2007). Paradojas de la vida, independientemente del enfoque o la opinión relativa de cada uno, la incorporación del trabajo a distancia en la dinámica empresarial ya es una verdad palpable. El único problema es que en lugar de haber ido adoptando esta práctica de forma controlada y paulatina hemos tenido que adoptarla por la tremenda, muy probablemente, sin valorar de forma adecuada otros aspectos  importantes como la ciberseguridad. Y es que lo que han hecho muchas organizaciones y empresas, para poder mandar a sus trabajadores a casa, ha sido publicar sus servidores en Internet, tal cual. La solución más fácil, pero también la peor.

Por norma, y una situación de emergencia como la actual no es motivo de excepción, los recursos corporativos se han de proteger. Dejar que los trabajadores accedan a la información corporativa es obligado y perfectamente factible, si se implementan algunas tecnologías básicas de seguridad tecnológica, como por ejemplo, una VPN, una red privada virtual que conecta el ordenador del trabajador con la empresa de una forma segura. Desafortunadamente, muchas organizaciones no cuentan con estos medios porque la ciberseguridad no ha sido entendida como una prioridad, situación que, a todas luces, pronto cambiará. De concienciación y entrenamiento, para evitar caer en las trampas de los cibercriminales en Internet, como el phising, quizás mejor no hablar. El eslabón más débil en la ciberseguridad es siempre el factor humano.

Y es que estandarizar y organizar el teletrabajo de un día para otro es harto complicado, por no decir que imposible. Si no se ha diseñado antes un protocolo de actuación, y no se tienen medios técnicos implementados, es francamente complicado que la organización pueda operar bajo unos umbrales de seguridad y riego aceptables, y por contra, es perfectamente posible que la organización se vea ante situaciones de riesgo de fuga o perdida de datos e información.

Paradojas y problemáticas técnicas aparte, lo cierto es que muchas empresas y sus trabajadores han pasado, de la noche a a mañana, a teletrabajar. Cicerón inició este artículo y es de ley que Cicerón lo termine también: “de hombres es equivocarse; de locos persistir en el error”.

La descentralización de la seguridad en tiempos de movilidad forzosa.

¿Qué ocurre cuando el equipo de un empleado escapa al control seguro que brinda la red corporativa y expone su PC con información confidencial ante el uso irresponsable del mismo? Facundo Gallo, CISO en BloomverTech y Castroalonso LET escribe el siguiente artículo para La Nueva España:

Mucho se ha hablado del teletrabajo en estos días, y de cómo millones de usuarios han pasado repentinamente a un estado de hiper-conectividad para garantizar la continuidad del negocio. Hablamos de una nueva realidad operativa donde la mayoría de pequeñas y medianas empresas han tenido que improvisar para seguir adelante, dejando tras de sí todo un abanico de posibilidades a la hora de explotar fallos tecnológicos.

Con el presente artículo no se pretende en ningún momento arrojar pautas sobre las diversas maneras de establecer una conexión segura, pues mucho se ha comentado ya en esta dirección. Pretendo aprovechar esta oportunidad para dar un paso más allá e invitar a los lectores a una simple reflexión que no puede pasarse nunca por alto. Planteamos entonces un hipotético escenario donde, como empresa, nos encontramos ante la tesitura de facilitar la movilidad de los empleados, ofreciéndoles sacar de la “zona segura” sus equipos con información confidencial dentro (probablemente sin cifrar). En cuando descentralizamos las estaciones de trabajo, se comienza a dispersar el conglomerado “oficina” hacia diversas localizaciones con diferentes casuísticas: distintos puntos de acceso a internet, nuevos recursos compartidos en red, etc., independientemente del método que estemos utilizado para facilitar el teletrabajo, y esto nos conduce inevitablemente a la siguiente pregunta: ¿Qué ocurre entonces si los empleados comienzan a hacer uso excesivo y/o irresponsable de los equipos cuando estos no están conectados a la red corporativa, instalando software no-oficial, descargando ficheros de dudosa reputación, o accediendo a urls que no son seguras?. Partimos de una premisa que suele cumplirse cuando hay cierto grado de madurez en los controles de seguridad empresarial, y es que generalmente los ordenadores necesitarán conectarse a la red corporativa para poder desplegar los nuevos parches de sistema, escanearlos en caso de detección de infecciones o actualizar firmas del antivirus, incluso, si la conexión remota está debidamente configurada, nuestro tráfico debería ser inspeccionado por el firewall empresarial. Es por ello que, en el momento que dejamos de estar conectados, nuestra exposición ante los riesgos aumenta, y seguimos haciendo uso de una herramienta empresarial con datos confidenciales almacenados. En otras palabras, estamos solos ante el peligro.
Uno de los principales riesgos a los cuales nos sometemos a diario son aquellos que nos llegan vía e-mail, vía whatsapp, o simplemente navegando por internet; son enlaces conducentes a sitios de malware, campañas de phishing o scam. En este sentido, existe una notable proliferación de portales web que simulan ser contadores de víctimas por COVID-19, pero que en el fondo accionan la descarga de ransomware en el equipo de la víctima.
Otro riesgo recurrente lo hallamos en las campañas de phishing o scam encausadas vía email. Correos con dominios falsificados que emulan el origen de los propios organismos públicos, o mensajes sobre la supuesta venta de productos profilácticos para prevenir la contaminación por COVID-19; todos y cada uno de estos, conducentes a portales que buscan obtener información de la víctima o sustraerle dinero mediante extorsión.
No queremos entonces dejar de insistir en la necesidad de la colaboración entre todos los profesionales por encima de los logotipos, slogans y colores, es esta la clave para poder avanzar todos en una misma dirección y así poder hacer frente a la creciente oleada de campañas de malware.
Desde la organización que represento no solo nos hemos comprometido a informar de manera rigurosa sobre cada amenaza tecnológica detectada bajo el tópico “coronavirus”, sino que somos partícipes activos en medidas técnicas que permitan frenar la expansión de ciber-amenazas. En esta dirección, nuestro equipo de ingenieros de seguridad se encuentra trabajando en un proyecto de GitHub que permita a las empresas descargar listados fiables de dominios, Ips, y hashes (próximamente) relacionados con actividades ilícitas, con el objetivo final de poder ser incorporados como fuente de información IOC en los firewalls empresariales y evitar así el compromiso de activos por campañas maliciosas referentes al COVID-19.

Por último, y haciendo total énfasis, aconsejamos toda la prudencia posible con respecto a los mensajes de origen desconocido, y ser conscientes del grado de implicación que conlleva cada movimiento que hagamos con nuestro ordenador empresarial. Sucumbir ante las crecientes amenazas, es exponer a toda la organización.

WEBCAST: coronavirus y otros virus.

Organizado por BloomverTech by Castroalonso LET

Se tratrá la situación creada por la actual crisis con una perspectiva centrada en la seguridad y los riesgos tecnológicos: malware, fake news y phishing.

¿Cuándo?

Jueves 26 de marzo de 12:00 a 13:00 H.

Participan

Enrique Ávila: director del Centro Nacional de Excelencia en Ciberseguridad.

Sergio Arce: profesor investigador en la UNIR. Especialista en identificación, análisis y percepción automatizada de movimientos políticos y sociales en RRSS.

Jonathan González: Enterprise IT/ Cloud Security Architect y Assesor of Councel de BloomverTech.

Facundo Gallo: CISO BloomverTech y Castroalonso LET.

COVID-IOCS: propuesta colaborativa de BloomverTech.

¿Qué es?

Consiste en la creación de bases de datos públicas en constante actualización, con diversos indicadores que han sido analizados previamente por nuestro equipo de ingenieros del departamento de ciberseguridad o por diversas fuentes confiables, poniéndolas a disposición de todos los ciudadanos para que puedan ser utilizadas en sus routers y firewalls.

Objetivo

El objetivo es constituir una fuente fiable de información que pueda ser utilizada para frenar las campañas recurrentes de malware y phishing.

¿Quién puede participar?

    • Analistas de fuentes confiables o particulares, que aporten indicadores analizados o por analizar.
    • Personal técnico que quiera colaborar aportando nuevos y posibles evolutivos.
    • Cualquier persona que haya detectado alguna campaña fraudulenta relacionada con el COVID-19, y que pudiera hacer llegar esta información a Bloomvertech para ser analizada.

¡Contacta con nosotros!

Más información

La cooperación ciudadana “#COVID-IOCS” contra amenazas digitales del COVID-19.

Nueva era digital: abogados e ingenieros trabajando conjuntamente.

Los perfiles técnicos están aquiriendo mayor relevancia en las organizaciones. Cristina Caldueño, directora de proyectos en CASTROALONSO LET, nos cuenta a cerca de esto en el número 951 de la revista jurídica AJA. A continuación, el artículo completo.

La revolución digital ha trastocado a las organizaciones. Las clásicas, con una jerarquía, un circuito de información y una toma de decisiones centralizada con abogados y como mucho con economistas, han dado paso como sabemos, a modelos colaboracionistas horizontales que priorizan los proyectos descendentes y que incorporan perfiles técnicos como factor destacado para generar más negocio y subirse al carro de lo digital y en algunos casos de lo desconocido.

En todo lo relativo al emprendimiento de este ecosistema digital en el que nos movemos lleno de incertidumbre, los informáticos, matemáticos, ingenieros, psicólogos y hasta filósofos ya se mezclan, conviven y enriquecen junto con los abogados digitales y no digitales en los despachos jurídicos. Por otra parte, a estas alturas los abogados ya saben que sin competencias digitales, cultura digital, actitud tecnológica y habilidades sociales integradoras será complicado salir adelante.

Visión más amplia del negocio.

La incorporación de estos profesionales aporta otras visiones, otros métodos, que en el fondo los propios clientes del despacho han demandado y demandan en la actualidad. Fundamentalmente por ese motivo ocupan ya puestos relevantes en las firmas jurídicas. Todos ellos aportan una visión mucho más amplia del negocio y facilitan introducirse en nuevos mercados eminentemente tecnológicos.

Estos nuevos «grupos de trabajo» que podemos seguir llamando equipos multidisciplinares, en realidad pretenden ser conjuntos talentosos con perfiles diferentes, disruptivos, con formas de pensar distintas. La convivencia de unos y otros puede tornarse complicada por los modos, maneras y pareceres nuevos. Es evidente que para todas las partes es un esfuerzo extra interrelacionarse y colaborar con compañeros que hasta el momento no formaban parte de las plantillas de los despachos jurídicos y que para algunos poco tienen que ver con el ámbito del Derecho. La realidad a día de hoy es que los despachos que han incorporado a sus plantillas profesionales de distintas ramas como la ingeniería, cuentan con resultados con un valor extraordinario y se acercan más a sus clientes con un servicio más competitivo, global e innovador.

En la actualidad, la rápida evolución tecnológica, unida a las nuevas áreas de conocimiento y la necesidad de regularlas, está imponiendo que los bufetes se lancen también a la búsqueda de expertos en inteligencia artificial, ciberseguridad, cloud compunting, big data, realidad aumentada, etc. Por poner un ejemplo concreto, uno de los temas estrella en el ámbito legal es el de la justicia predictiva. Se trata de ofrecer datos fiables sobre la probabilidad de ganar o perder un caso basándose en la inteligencia artificial. Otras tendencias que ya están integradas en algunos despachos son el uso del algoritmo, la integración de softwares, blockchain o la interacción con el cliente mediante chatbots y, de forma más incipiente, la prescripción a través del machine learning y el Internet de las Cosas.


Ante este panorama ¿quién se atreve a excluir a los ingenieros informáticos, de telecomunicaciones, matemáticos o hackers éticos de los bufetes de hoy?

Es evidente que estos profesionales se hacen imprescindibles y que cada vez más los departamentos de recursos humanos de los despachos jurídicos se ven obligados a buscar y encontrar perfiles formados en universidades que ofrezcan grados novedosos como el de Ciencia e Ingeniería de Datos, que actualmente puede cursarse en universidades como la UAB de Barcelona, la Carlos III, en la Politécnica de Cataluña o de Valencia y el próximo curso en la Escuela Politécnica de Ingeniería de Gijón (EPI).

Ingenieros con experiencia en el sector legal.

Para los nuevos titulados en estas ingenierías no deja de ser un reto atractivo ampliar conocimientos no previstos en la carrera. Se trata de expertos en tecnologías de la información, en gestión de proyectos, que están dispuestos a adquirir experiencia en el sector legal y dar un soporte de valor añadido a las operaciones desde el área de Tecnologías de la Información desarrollando por ejemplo, herramientas de software jurídico.

Por su parte, aquellos licenciados en Derecho que sepan programar, aunque no sean especialistas, y que conozcan las principales herramientas digitales lo suficientemente bien como para colaborar directamente con los ingenieros y desarrolladores de software, llevarán las de ganar en esta nueva era llena de dilemas en donde la gestión de los datos se posicionará por encima del resto.

El desafío en estos momentos está quizá más en la propia educación digital de los estudiantes, que pasa por la combinación de disciplinas para enfrentar un futuro en el que las relaciones entre personas y máquinas aún es una incógnita. Se trata de complementar la educación oficial basada en los contenidos del currículo con una metodología que combine contenidos STEM (Science, Technology, Engineering and Mathematics) y HECI (Humanity, Ethics, Creativity, Imagination).

Nadie puede ya poner en tela de juicio a estas alturas que los despachos actuales deben saber gestionar la diversidad, cambiar la mentalidad, su cultura, con perfiles más globales, tecnológicos y flexibles. Ya no se trata de usar tecnología sino de pensar tecnológicamente.

A pesar de la incertidumbre la convivencia es un hecho, está dando buenos resultados y es irreversible.