La transformación digital que estamos viviendo obliga a replantear el uso que hacemos de nuestros puestos de trabajo, del entorno laboral en el que desempeñamos nuestro trabajo, del espacio y la cultura del propio trabajo, y de la gestión que hacemos del uso, correcto o incorrecto, de la tecnología por parte de nuestros trabajadores.

La tecnología juega un papel esencial, que nos aporta ventajas competitivas si la utilizamos correctamente pero que puede ocasionarnos perjuicios importantes si no la utilizamos como debemos o si no implementamos unas medidas de seguridad razonables para protegerla.

APPCC

Resulta fundamental cómo las nuevas maneras de trabajar están dibujando un nuevo escenario en la cultura de trabajo y la gestión de los recursos. El espacio de trabajo se ha redefinido permitiendo la movilidad de nuestros trabajadores de una forma como antes no se había producido. Sin embargo, este es uno de los principales problemas que nos encontramos cuando intentamos asegurar una infraestructura informática. Como se dice ahora, el perímetro se ha perdido, lo que quiere decir que ya no sirven las herramientas y protocolos de seguridad que se implementaban hace unos años cuando la información no era accesible desde el exterior de la empresa.

Como vamos dejando entrever a lo largo de este curso, la seguridad de la información se ocupa de la protección de la información y de los sistemas de información del acceso, uso, divulgación, interrupción o destrucción no autorizada con independencia de su formato.

Además, para protegerla podremos aplicar medidas de seguridad tanto físicas (videovigilancia, biometría, …) como lógicas (contraseñas, cifrado, …).

Debemos plantearnos ¿qué ocurriría si esa información cae en manos de terceros?

• ¿Podría perder ventaja competitiva? (información de mi negocio)
• ¿Podrían cometer un delito con esa información? (fraude, robo.)
• ¿Estaría desvelando datos privados de los clientes o violando derechos de los consumidores? En estos casos podríamos ser sancionados. Y no nos va a servir como excusa el «no lo sabía». Debemos ser conscientes de que el desconocimiento de una ley no te exime de tener que cumplirla.

¿Y si perdemos o se destruye esa información, como nos afectaría?

• ¿Es información crítica y necesaria para el desarrollo de nuestro negocio?
• ¿El coste de recuperarla o de volver a generarla sería muy alto?
• ¿Podría darse una hipotética situación en la que no pudiese recuperar la información?

La empresa debe comenzar a implementar medidas y controles para el resguardo de la información y hay que tener en cuenta que el lugar donde debemos comenzar a implementar esos controles técnicos es en la infraestructura de la organización.

Denominamos infraestructura de red a todo componente informático disponible para la realización de nuestro trabajo. No solo nos referimos a los ordenadores de los usuarios; sino también a los routers, los switches, el cableado de red o las redes wifi, las impresoras, los dispositivos móviles, los servidores, etc.

Como los riesgos a los que estamos expuestos son diversos, debemos seguir un modelo de seguridad por capas, que consiste en organizar las medidas de seguridad en diferentes niveles, garantizando que, si resulta comprometido un nivel, el atacante deberá traspasar otra capa de seguridad para vulnerar los sistemas.

Uno de los principales problemas que tienen las pymes hace referencia al router que le facilita su proveedor de comunicaciones para disponer de servicio de acceso a internet.

El 100% de esos dispositivos se ponen en marcha con la configuración por defecto de usuario administrador del dispositivo y contraseña, y muy pocos cambian esa configuración posteriormente.

Esto permite, de una forma muy sencilla, acceder desde el exterior al dispositivo para poder cambiar la configuración del mismo. Por ejemplo, un atacante podría cambiar los servidores dns a los que el router hace las consultas cuando navegamos por internet, redirigiendo el tráfico hacia servidores ilegítimos. De esta forma, un atacante puede tener acceso al tráfico de nuestras comunicaciones externas, conociendo dónde navegamos e identificando nuestros usuarios y contraseñas de acceso.

Bring Your Own Device es una tendencia cada vez más generalizada en la que las empresas permiten a los trabajadores llevar sus dispositivos portátiles personales para llevar a cabo tareas del trabajo y conectarse a la red y recursos corporativos.

Sin un control básico de este tipo de dispositivos, tenemos un agujero de seguridad muy importante en nuestra organización. Un atacante podría localizar a uno de nuestros trabajadores, infectarle su equipo informático (si trabaja desde casa, por ejemplo), sus dispositivos móviles (si se conecta desde el exterior para realizar su trabajo), o sus dispositivos de almacenamiento USB (llevando y trayendo información sensible para la empresa), llegando a comprometer nuestra infraestructura cuando nuestro trabajador utilice su dispositivo.

Si nuestras empresas utilizan, todavía, pocos mecanismos de seguridad, nuestros trabajadores, a título personal, suelen usar menos todavía.

Uno de los errores más frecuentes, particularmente en las PYMEs, es la descentralización de la información. Entre las desventajas de tener la información distribuida en muchos equipos de la red (y particularmente en puestos de trabajo) se encuentran:

• Problemas de disponibilidad. Algunos usuarios de la red pueden necesitar información y no saber dónde encontrarla o cómo ubicar a quien sabe dónde está almacenada.
• Confidencialidad. Alguna información, no controlada, podría ser accedida por personas no autorizadas para tal fin.
• Dificultad para hacer backup. Es extremadamente complejo mantener un backup completo de la información disponible en todos los puestos de trabajo. Puede darse el caso de que información valiosa no tenga copias de respaldo.

La existencia de un servidor de archivos no significa que cualquier tipo de archivos deben ser almacenados allí por cualquier tipo de personas. Es por ello que es necesario definir las políticas de almacenamiento para el servidor de archivos.

En definitiva, hay que dejar muy claro, e implementar las medidas para conseguirlo, a que información puede acceder cada usuario y a cuál no.

Cuando todos los datos están almacenados en un único equipo, normalmente un servidor de ficheros, la criticidad de dicho servidor aumenta. Siendo imprescindible:

• Contar con un sistema de backup de la misma.
• Utilizar sistemas de redundancia que permitan la continuidad del negocio en el caso que el disco duro donde se almacena la información tenga algún fallo mecánico.

Desde la aparición de los virus informáticos, en la década de los 80, los códigos maliciosos han evolucionado encontrando nuevas características y métodos de propagación para afectar a los usuarios.

Por un lado, es importante poder clasificarlos, para conocer la diversidad de amenazas existentes, sus características, sus metodologías, sus índices de infección, etc.

La clasificación es importante para comprender lo que representa la amenaza del malware en la actualidad. Sin embargo, debemos recordar que todos estos tipos de malware poseen un factor común: hacernos daño. Por lo tanto, la protección de amenazas debe abarcar todas las clases de códigos maliciosos, ya que cualquiera de ellos es un riesgo para nuestros intereses.

Malware es el acrónimo, en inglés, de las palabras «mal icious» y «soft ware » (en español, programa malicioso). Se puede considerar como malware todo programa diseñado con algún fin dañino.

Malware es el término principal que se utiliza para hablar de todas las amenazas informáticas. Dentro de esta categoría ya tenemos diferentes clasificaciones bastante más específicas de para las amenazas, como la de los troyanos, los gusanos, los virus informáticos, el adware, el spyware o ransomware entre otras. También es muy frecuente la existencia de malware que combina diferentes características de cada amenaza.

El Malware ya es considerado el mayor problema de seguridad de lo que llevamos de S.XXI, con un crecimiento exponencial.

El top 10 en el año 2017 de familias de malware fueron WannaCry, Upatre, Cerber, Emotet, Locky, Petya, Ramnit, Fareit, PolyRansom y Terdot/Zloader.

Los virus informáticos requieren de un anfitrión donde alojarse. Este puede variar, siendo un archivo (tanto ejecutable como no), el sector de arranque o incluso la memoria de la computadora. Su origen data de los comienzos de los años 80, siendo en aquel entonces el único código malicioso existente (no existía el concepto de malware).

Es más, al principio, el malware era un tipo de virus mientras que ahora se considera a los virus un tipo de malware.

Un gusano es un programa informático creado para producir algún daño en el sistema del usuario y que posee dos características: actúa de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo.

Esa reproducción es fundamental para que un ataque resulte exitoso, ya que nos resultará mucho más complicado erradicar la infección de la casi totalidad de nuestros equipos, que si sólo se infectara uno.

Los Troyanos tienen algunas semejanzas con los virus informáticos, pero su funcionamiento no es exactamente el mismo. Mientras que un virus suele ser destructivo, un troyano trata de pasar inadvertido mientras accede a nuestros dispositivos con la intención de ejecutar acciones ocultas con las que abrir una puerta trasera para que otros programas maliciosos puedan acceder a él.

Sin embargo, uno de los puntos en común entre varios tipos de malware es que los troyanos también llegarán a ti disfrazados de archivos legítimos. Lo harán con ejecutables que aparentemente no harán nada malo al ser utilizados, pero que enseguida empezarán a trabajar a tus espaldas sin que te des cuenta.

El Adware (acrónimo de ad vertisement -anuncio publicitario- y soft ware) es un programa malicioso, que se instala en el sistema sin que el usuario sepa realmente su objetivo principal, que es descargar y/o mostrar anuncios publicitarios en la pantalla de la víctima.

Existiendo hoy en día, la realidad es que su presencia es mucho más baja que la que había en el pasado. La gran diferencia respecto al adware de hace unos años, es que hoy día busca otros fines, como puede ser el minado de criptomonedas.

Normalmente la infección actual por adware viene vinculada a la visita de ciertas paginas web, a la instalación de algunas extensiones en nuestros navegadores, sin comprobar que son legítimas, o a la descarga de apps en nuestros dispositivos, incluso desde las Store oficiales de los Microsoft, Apple o Google.

El spyware, también conocido como programa espía, es una aplicación cuyo fin es recolectar información del usuario, sin su consentimiento.

Inicialmente el spyware nació como un conjunto de aplicaciones incluidas junto al software gratuito, con el objetivo de generar estadísticas sobre la actividad del usuario en su computadora, a fin de poder determinar su perfil de navegación e intereses.

El rogue es un código malicioso que simula ser un programa de seguridad, con el fin de lograr que el usuario pague por una aplicación dañina o inexistente. Es una de las técnicas que mayor crecimiento ha experimentado en los años 2008 y 2009. Emplea como herramienta la generación de miedo en el usuario, indicando falsas alertas sobre infecciones y/o problemas que pudiera tener el sistema; logrando de esta forma que el usuario desee instalar el falso producto.

El ransomware es una de las amenazas informáticas más similares a un ataque sin medios tecnológicos: el secuestro, directamente relacionado con las criptodivisas, monedas virtuales a las que no podemos seguir el rastro en la red, y que son utilizadas para cobrar el rescate solicitado.

El ransomware es un código malicioso que, por lo general, cifra la información del ordenador e ingresa en él una serie de instrucciones para que el usuario pueda recuperar sus archivos. La víctima, para obtener la contraseña que libera la información, debe pagar al atacante una suma de dinero, según las instrucciones que este comunique.

Algunas de las técnicas para el secuestro son las siguientes:

• Cifrado de archivos del disco.
• Bloqueo de acceso a ciertos archivos (frecuentemente documentos de ofimática).
• Bloqueo total de acceso al sistema (previo al login, o bloqueo de pantalla una vez que el usuario accedió al sistema).

INCIBE tiene un servicio que ayuda a las empresas que han sufrido ataques de tipo ransomware.

OTRAS

• SPAM

Se denomina spam al correo electrónico no solicitado enviado masivamente por parte de un tercero. En español también es identificado como correo no deseado o correo basura.

• HOAX

Un hoax es un correo electrónico distribuido en formato de cadena, cuyo objetivo es hacer creer a los lectores que algo falso es real. A diferencia de otras amenazas, como el phishing o el scam; los hoax no poseen fines de lucro, al menos como intención principal.

• SCAM

Scam es el nombre utilizado para las estafas a través de medios tecnológicos. A partir de la definición de estafa, se describe scam como el «delito consistente en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro, utilizando como medio la tecnología».

• PHISHING

El phishing consiste en el robo de información personal y/o financiera del usuario, mediante la falsificación de comunicaciones provenientes de un ente confiable.

De esta forma, el usuario cree ingresar los datos en un sitio que conoce cuando, en realidad, estos son enviados directamente al atacante. En su forma clásica, el ataque comienza con el envío de un correo electrónico simulando la identidad de una organización de confianza, como por ejemplo un banco o una reconocida empresa.

Las características de un correo de phishing son las siguientes:

• Uso de nombres de organizaciones con presencia pública.
• El correo electrónico del remitente simula ser de la compañía en cuestión.
• El cuerpo del correo presenta el logotipo de la compañía u organización que firma el mensaje.
• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto remitente ya posee.
• El mensaje incluye un enlace.

El enlace es un componente importante del ataque. Cuando el usuario hace clic sobre él es redireccionado a un sitio web, donde podrá ingresar la información solicitada en el correo electrónico. A pesar de que el texto sobre el que usuario haga clic mencione una dirección web válida, el mismo puede apuntar a cualquier otro sitio web; en este caso, al sitio falsificado. De esta forma el correo induce al usuario a hacer clics sobre los vínculos del mensaje.