Abecedario de la Ciberseguridad: Adware

Pura vida gente!

Hoy les comienzo a ofrecer una serie de posts orientados a conceptos sobre ciberseguridad.

Adware

¿Qué es?

Adware es un acrónimo compuesto por: "Advertising" o "Ad" (Publicidad) y "Software" (Programa), para referirse a sistemas de publicidad basados en sistemas informáticos.

Características básicas

• Es una forma virulenta de hacer negocios con publicidad. 
• Normalmente se ofrecen productos o servicios digitalmente y sin permiso expreso al público, por medio de un sistema informático.
• Existe el Adware malicioso (puede incluir Spyware) que ofrece un servicio o producto falso y el Adware de pago. Este último se crea mediante la contratación de desarrolladores o diseñadores de software por parte de agencias de publicidad, que pueden estar incluidos en software de terceros o en ambientes web.

¿Cómo reconocerlo?

Si un sistema computacional está infectado con Adware, normalmente hay señales claras (y otras no tanto...) que el usuario puede notar. Por ejemplo:

• Pop-up ads: anuncios o páginas que se hacen visibles al dar clic en un vínculo web o en un formulario. Existen los Pop-downs que vendrían a ser lo mismo, sin embargo, dichas ventanas o anuncios se muestran ocultos al usuario, es decir, ventanas que se minimizan inmediatamente al ser invocadas o se colocan justo por detrás de la ventana que el usuario tiene abierta.
• Videos o pistas de audio: que se reproducen sin permiso expreso del usuario.
• GIF animados: que aparecen desde cualquiera de los lados del monitor sin permiso expreso del usuario.
• Barras de búsqueda: que se instalan en los navegadores web sin permiso expreso del usuario.
• Ventanas invisibles: que bloquean el uso normal del ratón (mouse) cuando se hace clic, a esto se le conoce como "to hijack clicks", "clickjacking" o más técnicamente "UI redress attack". Esto provoca que el usuario sea engañado al dar clic sobre algo y sea redirigido a otro lugar que no escogió.

¿Cómo defenderse?

• Prevención, es la primera norma. No navegar en sitios o instalar software de dudosa procedencia.
• Para sistemas operativos, instalar anti-adware, que normalmente vienen incluidos en paquetes de antivirus.
• Para navegadores web, instalar plug-ins, por ejemplo ScriptSafe que no permiten que se ejecuten scripts sin permiso expreso del usuario, o bien, bloqueadores de publicidad como AdBlock.
• Cuidado con los on-line stores de Apps para celulares. Hay estudios que revelan que un porcentaje elevado de Apps son maliciosas. Ver este paper de Bitdefender respecto al tema.

Nos vemos estimados!!

Tecnólogos y habilidades blandas

Pura vida gente!

Mucho se ha escrito sobre el tema, por lo que voy a plantearlo de manera distinta. En Costa Rica, mi país, tenemos una prerrogativa importante respecto a varios temas de carácter tecnológico-legal.

Voy a comenzar mi elocución con datos de la Plataforma Tecnológica sobre el Estado de las capacidades para la Ciencia, la Tecnología y la Innovación en Costa Rica, que forma parte del Programa Estado de la Nación (PEN). Este proceso de investigación y análisis que culminó con la publicación del Primer Informe Estado de la Ciencia, la Tecnología y la Innovación, en 2014, generó un rico acervo de información estratégica sobre la situación del país en estos temas.

A partir de ello, el PEN creó la plataforma Hipatia, un bien público al cual se puede acceder mediante la dirección www.eccti.or.cr y que ofrece información desde dos aplicaciones. La primera de ellas contiene seis paneles (dashboards), por medio de los cuales se puede hacer consultas sobre los muchos temas de tecnología.

La segunda aplicación consiste de dos buscadores. Uno que permite identificar los laboratorios públicos que ofrecen servicios tecnológicos y otro que brinda información sobre las acciones de vinculación que desarrollan las universidades adscritas al Conare.

Citado lo anterior, vamos con los datos. El link para ver los datos completos este.

Tenemos un gráfico como el siguiente:

Observen la traza de color negro. La pregunta de control que da origen a los datos, que aprovisionaron el gráfico fue: ¿De mantenerse las tasas actuales de formación a nivel superior, cuáles disciplinas podrían en el mediano plazo tener mayores dificultades de relevo generacional?

De lo anterior se puede entender que en las carreras de ingeniería y de tecnología, hasta el 2015, casi el 40% de los graduados está en un rango de 26 a 35 años de edad. Por lo que basados en la brecha generacional vista, los paradigmas de obtención de conocimiento y los modelos de contratación laboral deben (y deberán) ajustarse a las necesidades inmediatas de este grupo de nuevos profesionales.

En CRC no necesariamente se requiere una educación formal o universitaria. Hay muchos profesionales que no se crearon a través de una universidad porque son autodidactas. Muchos de ellos son profesionales muy capacitados y competentes, y por supuesto, están aquellos cuya calidad profesional es cuestionable. Pero el hecho curioso, es que se tenga o no título universitario existe gente en ambas aristas, buenos y malos. Por lo que cabe una pregunta: ¿Se puede asegurar la calidad solamente basándose en la obtención de un título universitario?

La respuesta a eso no es sencilla. No es binaria: si o no. Ya que hay factores sociales, psicológicos, académicos, o económicos que hacen que una persona logre interiorizar que su profesión, para lo que estudió, es pieza importante en el desarrollo del país, y no solo ese "algo con que defenderse para poder comer".

Me limito a los hechos. Uno de los niveles máximos de especialización en campo un profesional determinado es el doctorado (PhD). Vean el siguiente gráfico:

Ciencias de la computación y afines está muy por debajo de la media (5,2% aprox.), de profesionales que alto grado de especialización. ¿Razones? El estudio muestra que, los formados en computación e inteligencia artificial son quienes ostentan o se encuentran entre los mejores perfiles laborales. Pero, ¿por qué el mercado laboral sigue necesitando tanto profesional aún?

Adicionalmente, los estudios de carácter multidisciplinario requeridos para abordar temas interdisciplinarios complejos que podrían tener un mayor impacto en la atención de problemas de la realidad nacional corresponden a tan solo un 1% de la producción.

Para responder a la última pregunta, aquí es donde las habilidades blandas entran: empatía social, responsabilidad, ética profesional, resiliencia, asertividad, facilidad de comunicación, trabajo en equipo, proactividad, adaptación al cambio, creatividad y muchas otras más.

Sería posible tan siquiera considerar que, una charla de 3 o 4 horas de ética profesional sea suficiente para desarrollar dichas habilidades (más las que no se mencionaron). Sería mejor formar profesionales (con o sin título) a nivel país, de manera integral entre industria-academia-estado con programas orientados al servicio social y el emprendedurismo, para convencer, "evangelizar" si se quiere, a las personas para formar un cambio cultural real.

Si la persona quiere hacer carrera y lograr puestos más altos, junto a la preocupación que debe tener por sus competencias técnicas, tiene también que preocuparse seriamente del desarrollo de sus habilidades blandas, que son en definitiva las que conducen al desarrollo y las que generan proyecciones en el mundo laboral moderno.

Mi país es extraño en muchas cosas. De grandes contrastes. La libertad de profesión simplemente no se debería encasillar, que de todas formas por estar protegida por Constitución no se puede, ya que la convertiría en una dictadura de las minorías. En el caso específico de la ciencias de la computación e informática, con su pluralidad permite formar economías basadas en la información y el conocimiento. Siempre será mejor apuntar como gremio a la apertura de pensamiento, y saber que se es mejor profesional cuando hay una infraestructura que te apoya y no te limita.

Cierro con un gráfico que me gustó.

La importancia de contar con personal idóneo, está por encima de "cursitos con descuento" u otros incentivos. Tender puentes, es hacer Patria. La imposición de reglas sin sentido nunca ha sido ni será la solución.

Debemos adquirir una deuda con la Sociedad.

Nosotros como profesionales tenemos, debemos, adquirir una deuda con la Sociedad.

Hola. Me gustaría tratar un tema que toma de frente a todas las esferas sociales modernas: el egoísmo moral, o egoísmo ético.

En ese contexto, me salta una pregunta cuasi retórica basada en la afirmación que indica que, la libertad es la condición ontológica de la ética; pero la ética es la forma reflexiva que adopta la libertad.

¿Es la ética aquello que se lleva a cabo en la búsqueda o en el cuidado de uno mismo?

Decía Søren Aabye Kierkegaard, un prolífico filósofo y teólogo danés del siglo XIX:

“Quien se torna grave por muchas cosas, por toda clase de grandes y sonantes cosas, pero no ante sí mismo, es –a pesar de esa gravedad- un frívolo bromista.”

En palabras más llanas, puedes engañar a todo el mundo pero no a ti mismo. Y es esa imagen del individuo frente a su Yo,es lo que lo puede tonar un egoísta moral. Y que de darse dicho egoísmo, a la larga se vuelve evidente para los que le rodean, pero lo aceptan sin ton ni son como un perro cachorro a la teta de su madre.

Para dejar las cosas claras desde el inicio y por aquello que les cause pereza leer, no me cabe en la cabeza una definición de ética sin estar ligada al altruismo.

El cuidado de uno mismo ha sido, en el mundo grecorromano al menos, un modo mediante el cual la libertad individual ha sido pensada como ética. Si usted consulta toda una serie de textos que van desde los primeros diálogos platónicos hasta los grandes textos del estoicismo tardío (Marco Aurelio por ejemplo), podrá comprobar que este tema del cuidado de uno mismo ha atravesado realmente toda una reflexión moral. Pero tranquilo, no lo voy a enviar a leer eso. Solamente, llegue al final del texto presente.

Es interesante ver cómo en nuestras so­ciedades, por el contrario, el cuidado de uno mismo se ha convertido (me declaro ignorante desde cuando) en algo... sos­pechoso. Ocuparse de uno mismo ha sido denunciado casi espontáneamente como una forma de amor a sí mismo, como una forma de egoísmo o de interés individual en contradicción con el interés que es necesario prestar a los otros o con el necesario sacrificio de uno mismo.

Por ejemplo el cristianismo. La cuestión es mucho más compleja porque en el cristianismo se procura que la salvación sea también una manera de cuidar de uno mismo. Pero la salvación se efectúa en el cristianismo a través de la renuncia a uno mismo.

Se produce así la paradoja del cuidado del Yo, pero esta es otra historia. Para volver a la cuestión que planteaba, creo que entre los griegos y los romanos (sobre todo entre los griegos), para conducirse bien, era necesario cuidar de sí, a la vez para conocerse (gnosis seauton) y para superarse a sí mismo como persona. Me permito agregarle: "y para controlar los apetitos que podrían dominamos".

uuuhhhhh!!!... ya casi llego al punto.

Los que apoyan el egoísmo ético, se basan en al menos,  tres líneas de razonamiento. Una de las cuales me siempre me ha llamado la atención, y cito:

 "El altruismo provoca que se abandonen sueños, proyectos, etc., sacrificando la vida propia para salvar a otras personas. Por lo tanto en la ética del “altruismo”, la vida de un individuo o los intereses propios no tienen valor y se debe estar dispuesto a hacer un sacrificio para salvar a otros."

Aquí es donde el Yo se convierte en Yoismo.

Tengo una frase que me encanta: "La primer palabra que sale de la boca, sale de su corazón.". Es poco probable que una persona con egoísmo ético se de cuenta. Ya que su primera preocupación es amontonar el protagonismo. Es escribir o hablar en primera persona "YO".

El cuidado de sí es, el cuida­do de los otros. Ética en si misma. Esperar quedar salvo de toda culpa por hacer el bien, porque al final hay una recompensa, es tan vacío y banal como regalar billetes de 5 dólares a corredores de bolsa en Wall Street.

Ámese a sí mismo, si. Pero no se enferme con "migomismo". Si el egoísta ético estuviese en una posición tan ventajosa que le garantizase su propia seguridad ante los demás, nada le impediría hacer a estos lo que no quisiera que le hicieran a él. Cierto? Piénselo detenidamente.

El egoísmo ético no puede ser correcto porque no puede dar soluciones a los conflictos de interés. Es decir, si sólo tomáramos en cuenta intereses propios, nunca aceptaríamos que éstos quedaran arruinados, ergo, no podría haber soluciones morales a problemas de intereses.

Alea iacta est.

2016 Mejores prácticas de seguridad de la información

Pura vida estimados!

Comienzo este 2016 compartiendo con ustedes una serie de buenas prácticas en ciberseguridad. Espero les sean de utilidad.

Y aquí, el problema

El número de ataques cibernéticos exitosos, tomando por ejemplo a los EE.UU., han crecido 144% en los últimos cuatro años, y el resto del mundo está cerca. En ese mismo tiempo, el costo para la compañía promedio casi se ha duplicado. (Fuente: 2014 Cost of Cyber Crime Study)

En promedio, los APT persisten en la red desde siete meses antes de que sean detectados. Y el tiempo para resolver esos ataques una vez detectados, tienen un incrementado de hasta 45 días más. (Fuente: 2014 Cost of Cyber Crime Study)

Es obvio decir que las víctimas sufren pérdidas financieras, daños a la marca y daño a las relaciones con clientes. Solamente vean los casos del 2014-2015 de la banca nacional en Costa Rica.

La tecnología permite detectar y bloquear los ataques, pero la tecnología también debe ser aplicada por personal calificado a través de procesos de seguridad reflexivos y probados. Un programa de ciberdefensa y respuesta eficaz debe proporcionar estos procesos, administrados por un equipo de profesionales junto a un Chief Information Security Officer (CISO), que proporcione el liderazgo para planificar, ejecutar y mantener dicho programa.

Y ahora las buenas prácticas.

1. Realizar una evaluación de riesgos

Valore esto como un inventario de datos que podrían ser robados y servicios que podrían ser interrumpidos, junto con una estimación del costo que su empresa incurriría si esos activos estuviesen comprometidos.

• ¿Por qué?

Diferentes tipos de datos y recursos, representan diferentes costos para el negocio en caso de robo o equipo dañado. Por ejemplo, dependiendo de su nicho de mercado, la información de marketing puede que no sea tan valiosa para usted como los datos de los clientes. Ya que siempre serán limitados recursos de seguridad de la empresa, debe planificar su inversión y administrar sus recursos para ofrecer la mayor protección a los datos considerados críticos.

• ¿Cómo?

Haga un inventario de sus sistemas para identificar los datos que podrían ser robados y los servicios que podrían ser interrumpidos. Sobre la base de la cantidad y el tipo de datos, estime el coste para recuperar los datos o mitigar el daño. Considere siempre el peor de los escenarios.

• Factores de éxito

Involucre a los stakeholders empresariales en el proceso de evaluación de riegos.
Considere la posibilidad de pérdida potencial de ingresos y el daño a la imagen.
Establezca prioridades para la protección y recuperación (desempolve su BCP).

2. Desarrolle un plan de seguridad empresarial

El plan de seguridad empresarial deberá contener tanto la estrategia, como la táctica para llevar a cabo la detección de amenazas, respuesta y recuperación.

• ¿Por qué?

Su plan deberá ser la guía para su inversión en tecnologías de seguridad y en la contratación de personal de seguridad. Deberá establecer procesos para la investigación de actividades sospechosas, protección de los recursos, y como responder a fallas de seguridad (este punto es crítico por el tiempo que debería invertir). También es necesario establecer parámetros básicos para dar declaraciones a la mesa directiva, a los socios, a la prensa o a quienes corresponda, sin poner en riesgo los activos de la empresa y quien o quienes tendrán la responsabilidad de responder si se produce una violación a la seguridad.

• ¿Cómo?

Las organizaciones poseen diferentes procesos de planificación, sin embargo, en cualquier plan de seguridad empresarial deben participar tanto las partes interesadas y expertos funcionales de confianza, para establecer los objetivos correctos y definir con cuáles procesos van a ser alcanzados. Recuerde la máxima: "Si un objetivo no se puede medir, no sirve.".

• Factores de éxito

Defina cómo va a proteger los activos, cómo va a detectar las amenazas, y cómo va a responder a las fallas o a la actividad sospechosa.
Enfóquese primero con las prioridades establecidas en la evaluación del riesgo.
Sea realista; el plan debe estar alineado con el presupuesto.
Revise y actualice toda la documentación regularmente.

3. Coloque a la gente correcta en el lugar correcto

Las personas cualificadas son la parte más crítica de su plan y de la seguridad cibernética, y son a menudo la parte más difícil de obtener. Debe identificar las habilidades y los niveles de habilidad que poseen, con el fin que sean idóneos ejecutar el plan de seguridad de la empresa. Hecho lo anterior, deberá establecer las funciones y responsabilidades de cada grupo e individuo.

• ¿Por qué?

Casi todo administrador de sistemas o ingeniero de red sabe qué hacer si un sistema o enlace de red se cae. Pero aplicar inteligencia en la seguridad cibernética es todavía parte de un campo de carreras emergentes, por lo que se tiene que saber lo que busca, además de contar con el equipo básico que se necesita para ejecutar el plan y supervisar el trabajo de los miembros menos entrenados con el fin de que adquieran mayor experiencia.

• ¿Cómo?

Las prácticas de contratación varían de una compañía a otra. Comience con una buena comprensión de las habilidades que necesita la persona para satisfacer el puesto a cabalidad, y luego evaluar las capacidades de los candidatos para ejecutar el plan de seguridad. Recuerde la máxima: "Adecuar una persona para un puesto, y no un puesto adecuarse a una persona." Los profesionales de seguridad certificados son de alta demanda, por lo que el ambiente laboral debe estar a la altura, así que asegúrese de ofrecer un ambiente de trabajo y oportunidades de desarrollo que fomenten la retención.

• Factores de éxito

Desarrolle las descripciones de los puestos, sus funciones y responsabilidades con base al plan de seguridad.
Busque gente con experiencia en las áreas especializadas de alta prioridad del plan: móvil, nube, seguridad de aplicaciones, etc.
Examine los certificados de alto nivel. Por dar un ejemplo, el más reconocido es el ISC2: Certifed Information Systems Security Professional (CISSP). Así se asegura que los profesionales tengan cierto nivel.

4. Despliegue sus defensas

Las tecnologías para defensa cibernética ofrecen una serie de funciones de seguridad interesantes: protegen los datos críticos con cifrado; detectan y bloquean los ataques que desean penetrar en la red; detectan brechas de seguridad, por lo que pueden responder rápidamente para proteger los activos; y permiten al staff de seguridad investigar dichas infracciones de actividad sospechosa. Al desarrollar el software en casa, también se pueden aumentar las defensas al incluir seguridad en el proceso de desarrollo.

• ¿Por qué?

Esperar a ser vulnerado, es asumir que ya se ha producido dicho problema. Ninguna defensa cibernética es 100% eficaz, por lo que el despliegue en capas de las defensas que posea, son una solución óptima para reducir el riesgo. Recuerde que hay un balance entre la eficiencia y la seguridad, por lo que a mayor profundidad en los anillos de seguridad la defensa debe ser menos restrictiva, para que en si misma no se vuelva un problema inmanejable para la empresa. Por supuesto, dicha flexibilidad nunca debe ser sinónimo de descuido.

• ¿Cómo?

Los cibercriminales se han convertido en expertos en evadir defensas, aunque siempre se pueden encontrar pistas en el entorno. Las tecnologías de seguridad recopilan y analizan grandes volúmenes de datos, los cuales son procesados para hacer threat intelligence por medio de los investigadores de seguridad. Los dispositivos como los cortafuegos de próxima generación y sistemas de prevención de intrusiones recogen datos de la red en tiempo real y aplican inteligencia de amenazas para detectar ataques.

La información de seguridad puede ser gestionada por medio de sus eventos en un Security Information and Event Management (SIEM), el cual acumula los datos de los logs y otras fuentes en todo el entorno de red, para correlacionarlos y analizarlos. Esto permite detectar patrones de ataque y ayuda al equipo de operaciones de seguridad a investigar y remediar dichos ataques.

• Factores de éxito

Es necesario algo más que los cortafuegos y antivirus para dar seguridad a un sistema autónomo.
Implemente su defensa en capas que pueden bloquear los ataques en el borde de la red, detectar y detener las comunicaciones de malware dentro de la red; además de detectar y remediar las intrusiones exitosas.
Seleccione las soluciones de seguridad empresariales que aprovechan la mejor inteligencia de amenazas disponibles.
Recoja la mayor cantidad de datos del entorno que pueda.

5. Respuesta a incidentes

Cuando se produzca una brecha de seguridad (y ocurrirá sin lugar a dudas...) el plan de seguridad debe entrar en acción, para así proteger los activos críticos (como prioridad en su plan). El equipo encargado de llevar esta acción deberá: detener el ataque o al menos dar en cuarentena los sistemas afectados, resolver la vulnerabilidad explotada (remediar); recoger y preservar los datos que podrían ser utilizados como prueba en un proceso penal; comunicarse con los clientes afectados, empleados y otros para cumplir con las responsabilidades legales.

• ¿Por qué?

La velocidad y la efectividad de su respuesta determinará cuánto daño sufrirá. Una investigación muestra que el tiempo promedio para resolver un ataque cibernético en empresas de Estados Unidos es de 45 días a un costo de casi 1.6 millones USD por incidente. Peor aún, los cibercriminales pueden seguir filtrando datos hasta que el ataque se detenga por completo. Súmele a eso, que su empresa estará sujeta a los requisitos legales para la notificación a los clientes afectados, socios y autoridades policiales.

• ¿Cómo?

En caso de una violación a la seguridad, debe ejecutar su plan de seguridad para la respuesta a incidentes. Los miembros del equipo y otros en la organización deben conocer sus responsabilidades y cómo realizarlas. Los procesos deben abarcar todo lo que se debe hacer, pero deben mantenerse lo suficientemente simple para ejecutarse sin problemas. Las obligaciones legales y de comunicación deberían haber sido identificadas y planeadas por adelantado.

La acción más urgente para remediar es, detener el ataque. Ejemplos: arreglo de las vulnerabilidades en el código, bloqueando el ataque, o poner en cuarentena a los sistemas infectados. La retroalimentación posterior debe evaluar los daños, realizar cualquier comunicación necesaria, identificar las lecciones aprendidas y agregar lo aprendido en su plan de seguridad.

• Factores de éxito

Practique su plan de respuesta a incidentes antes de tener que ejecutarlo de verdad.
Identifique y corrija las deficiencias en el plan.
Aplique técnicas forenses aceptadas en su país para preservar la evidencia.

Hay una frase que reza: "La mejor defensa en la ofensiva.". Yo la cambiaría por: "La mejor defensa es la que más se practica."


Saludos gente, nos vemos.

Adiós teléfono!

Pura vida gente!

Tema de hoy: pérdida del teléfono móvil.

Causas: extravío, accidente, robo, mal funcionamiento.

De los males el menor. Si los datos ya no son accesibles, pues, al menos no deberás preocuparte de que caigan en malas manos, pero, si no es así? cómo lo compruebas?

Debido a ese grado de incertidumbre y al obvio problema de ya no tener tu móvil, me he dado a la tarea de darte algunos consejos que te podrían ayudar. No están escritos en piedra (ni en ningún orden específico), así que trata de llevarlos a tu propia realidad, ubicación geográfica o cultura. Veamos.

Denuncia:

Trato de no regionalizar mis posts, pero es la forma más sencilla que encontré de ejemplarizar el punto. Haz una denuncia. En mi país, Costa Rica, tenemos un ente del Poder Judicial llamado Ministerio Público donde se puede interponer denuncias, por ejemplo, de robo.

Trata de buscar, si estás seguro(a) que fue un robo o hurto, el lugar que te permitan hacer el trámite para la denuncia, haz valer tus derechos. Recuerda además, que ningún aparato, por más caro que este sea está por encima de tu vida.

Previene:

A veces no podemos lograr evitarlo, y nuestros datos junto con el móvil caen otras manos. Por eso trata de tener activo el patrón de desbloqueo o bien, la contraseña. Recuerda que no todos tendrán el conocimiento para vulnerarlo.

Acá cabe recalcar también, que si no eres un usuario con conocimientos avanzados en computación, es mejor que no trates de rootear, aplicar jail-break o hacer algún tipo de escalamiento de privilegios a tu móvil. Ya que eso posteriormente se puede convertir en un arma de doble filo contra ti mismo, porque sería más sencillo en esa condición acceder a carpetas del sistema y sacar mucha más información privada.

Nos vemos.