martes, 28 de febrero de 2023

LAS 25 MEJORES HERRAMIENTAS DE CIBERSEGURIDAD DE CÓDIGO ABIERTO

1. Zeek: Supervisión de la seguridad de la red

https://zeek.org/ 


2. ClamAV: Antivirus

https://www.clamav.net/ 


3. OpenVAS: Escáner de vulnerabilidades

https://www.openvas.org/ 


4. TheHive: Respuesta a incidentes

https://lnkd.in/e7aVCRUZ 


5.PFSense: Dispositivo de seguridad (firewall/VPN/router)

https://www.pfsense.org/ 


6. ElásticaAnalítica

https://www.elastic.co/


7. Osquery:  Visibilidad de endpoints

https://www.osquery.io/


8. Arkime: Captura y búsqueda de paquetes

https://arkime.com/ 


9. Wazuh: XDR Y SIEM

https://wazuh.com/ 


10. Alien Vault Ossim: SIEM

https://lnkd.in/eShQt29h 


11. Velociraptor: Forense e IR

https://lnkd.in/eYehEaNa 


12. Proyecto MISP:  Intercambio de información e inteligencia de amenazas

https://lnkd.in/emaSrT57


13. Kali: Sistema operativo de seguridad

https://www.kali.org/ 


14. Loro:  Sistema operativo de seguridad

https://www.parrotsec.org/


15. OpenIAM: IAM


16. Yara: Patrones

https://lnkd.in/eEJegEak 


17. Wireguard: VPN

https://www.wireguard.com/ 

18. OSSEC: HIDS

https://www.ossec.net/ 


19. Suricata: IDS/IPS

https://suricata.io/ 


20. Shuffler: ELEVARSE

https://shuffler.io/ 


21. Informe de phishing: Anti Phishing

https://phish.report/ 


22. Graylog: Gestión de registros

https://lnkd.in/eAFuUmuw 


23. Trivy: Análisis de DevOps/laC

https://lnkd.in/e7JxXStY 


24. OpenEDR: EDR

https://openedr.com/ 


25. Metasploit: Pentest

https://lnkd.in/e4ECX-py 


QUÉ ES UN EXPLOIT: LA LLAVE PARA APROVECHAR UNA VULNERABILIDAD

Continuamente se habla en el contexto de un ciberataque del uso de exploits que aprovechan una vulnerabilidad, pero, ¿qués es realmente un exploit y como funciona?

Constantemente leemos en las noticias sobre ciberseguridad que se habla de vulnerabilidades y exploits, pero para muchas personas tal vez aún sean conceptos difíciles de entender. Por eso, en este artículo explicamos qué es un exploit, qué tipos de exploit existen y cómo son utilizados por los cibercriminales.

¿Qué es un exploit?

Las definiciones habituales hablan de un programa o código que se aprovecha de una vulnerabilidad o fallo de seguridad en una aplicación o sistema, de forma que un atacante podría aprovechar ese fallo en su beneficio.

Trasladado a la vida real, sería como si un modelo de cerradura (sistema o aplicación) tuviera un fallo de diseño que permite a un tercero crear llaves que abran esa cerradura (exploit). Con esta llave o exploit un actor malintencionado podría acceder a un sitio o entorno vulnerable y realizar actos delictivos. Por ejemplo, ejecutar malware.

Existe confusión entre los usuarios y cierto mito de que un exploit puede considerarse malware. La realidad es que, tal y como hemos visto en el ejemplo, no es un código malicioso en sí mismo, sino que es la llave para que estos accedan a nuestro sistema y luego realicen otras acciones maliciosas.

Por lo tanto, un exploit puede darle a un atacante los permisos necesarios para poder ejecutarse en un sistema e infectarlo. El siguiente video explica en forma clara el funcionamiento de un exploit:


Tipos de exploits

Ahora que sabemos qué es un exploit podemos distinguir entre dos tipos: los conocidos o desconocidos (zero-day).

Los exploits conocidos son aquellos que fueron desarrollados para aprovechar vulnerabilidades conocidas y que fueron corregidas mediante actualizaciones. Algunos son utilizados a lo largo de los años ya que muchos equipos no son actualizados. Lo bueno es que podemos tomar medidas para evitar ver nuestros sistemas afectados con solo instalar las actualizaciones. Suelen ser los que aparecen en la mayoría de noticias de seguridad y aparecen varios cada día, de la misma forma que van apareciendo las vulnerabilidades que tratan de aprovechar.

En el caso de los exploits desconocidos, son aquellos que se desarrollan para aprovechar vulnerabilidades zero-day; es decir, fallos de seguridad que no han salido a la luz y para los cuales no existe un parche que permita evitar su explotación o abuso. Las zero-day son particularmente peligrosas cuando se utilizan en ataques dirigidos a empresas o gobiernos. Es importante comprender que cuando un atacante utiliza un exploit para una vulnerabilidad zero-day no suele haber medidas que puedan bloquear el malware que intenta aprovechar el fallo, por lo tanto estos ataques son muy difíciles de detectar. Es por eso que son muy cotizados entre los delincuentes que compran y venden estos exploits en foros de la dark web, ya que les permiten lanzar ataques para robar información importante de una empresa o gobierno o, en casos extremos, atacar cierto tipo de infraestructuras críticas.

Ahora que sabemos qué es un exploit es más fácil comprender lo importante que es mantenerse informados acerca de las vulnerabilidades están siendo aprovechadas mediante el uso de exploits y compruebes que tienes todos los sistemas y aplicaciones actualizados. Es sorprendente como algunas vulnerabilidades que fueron reportadas hace 10 años aún siguen siendo aprovechadas por actores maliciosos en sus ataques. En caso de que un proveedor no haya lanzado un parche para un fallo en particular, algunas veces podemos recurrir a ciertos mecanismos alternativos que permiten mitigar las posibles amenazas hasta tanto se lance el parche correspondiente.

Datos y casos sobre el uso de exploits

  • Uno de los exploits más conocidos es Eternalblue, ya que fue el que se utilizó en los ataques del ransomware WannaCry en 2017 que paralizó al mundo. Este exploit aparentemente fue robado a la Agencia Nacional de Seguridad de los Estados Unidos en 2016 y se filtró en 2017. Aprovechaba una vulnerabilidad en la implementación del protocolo del Bloque de Mensaje de Servidor (SMB, por sus siglas en inglés) de Microsoft.
  • En 2020 el grupo de ransomware REvil aprovechó un exploit para una vulnerabilidad zero-day en Kaseya VSA, un software utilizado para gestionar remotamente equipos de TI. Mediante una falsa actualización, cibercriminales lograron explotar la vulnreabilidad e infectar con ransomware a más de 1.000 compañías en al menos 17 países.
  • En 2022 cuatro de los cinco exploits más utilizados en ataques a organizaciones de América Latina corresponden a vulnerabilidades que fueron reportadas entre 2012 y 2017.
  • En 2022 compañías como Apple y Google lanzaron varias actualizaciones para corregir distintas vulnerabilidades zero-day que estaban siendo aprovechadas activamente por cibercriminales en sus ataques. En el caso de Apple, la compañía reparó en 2022 al menos ocho vulnerabilidades zero-day, mientras que Google reparó en 2022 al menos nueve vulnerabilidades zero-day en su navegador Google Chrome.

Cómo protegerse de los exploits

- Mantener todas nuestras aplicaciones y sistemas actualizados: sabiendo que los exploits se aprovechan fallos de seguridad, resulta vital corregirlos cuanto antes. Por eso es necesario mantener una política de actualizaciones eficaz para evitar dejar una ventana de tiempo que pueda ser aprovechada por los atacantes.


- Contar con una solución de seguridad avanzada como ESET Smart Security, capaz de detectar y bloquear exploits pensados para aprovechar vulnerabilidades en navegadores web y lectores PDF, entre otros.


Conclusión

Los exploits están a la orden del día cuando hablamos de nuevas amenazas y ataques, por lo que es importante que los tengan en cuenta y sepan cómo protegerse aplicando las medidas de seguridad que hemos ofrecido en este artículo. De esta forma, minimizarán los riesgos y evitarán que sus sistemas e información confidencial caigan en las manos equivocadas.

Fuente: welivesecurity.com



8 PASOS PARA LA EVALUACIÓN DE RIESGOS DE CIBERSEGURIDAD DE UNA EMPRESA (Parte II)

En la primera parte de esta serie de dos artículos que llamamos “8 pasos para la evaluación de riesgos de ciberseguridad”, revisamos los primeros cuatro pasos para hacer la evaluación de riesgos de una empresa según el método OCTAVE Allegro. Una guía útil para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta segunda parte, continuamos con los últimos cuatro pasos que propone esta metodología.


5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior. Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

 Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Imagen 1.

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:


Imagen 2.

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Imagen 3.


Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

El método OCTAVE ALLEGRO puede ser de mucha utilidad, ya que se enfoca en los acyivos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

Fuente: welivesecurity.com


SD-WAN frente a SASE

Comprender las diferencias y elegir la solución adecuada.

A medida que más y más empresas trasladan sus operaciones a la nube, las soluciones tradicionales de red de área amplia (WAN) ya no son suficientes para conectar oficinas remotas y trabajadores móviles a aplicaciones basadas en la nube. Dos soluciones populares que han surgido para abordar este desafío son la WAN definida por software (SD-WAN) y el Servicio perimetral de acceso seguro (SASE). En este artículo, exploraremos las diferencias entre estas dos soluciones y lo ayudaremos a determinar cuál es la adecuada para su negocio.

¿Qué es SD-WAN?

SD-WAN es una arquitectura de red que utiliza software para simplificar la gestión y el funcionamiento de una WAN al separar el hardware de red de su mecanismo de control. Esto permite una gestión centralizada y permite a las empresas utilizar múltiples tipos de conexión, como MPLS, banda ancha y LTE, para conectar ubicaciones remotas y trabajadores móviles a aplicaciones basadas en la nube. SD-WAN ofrece un rendimiento de red mejorado, mayor seguridad y costos reducidos en comparación con las soluciones WAN tradicionales.

¿Qué es SASE?

SASE es una arquitectura de red basada en la nube que combina la seguridad de la red y las capacidades de WAN en una única solución nativa de la nube. SASE proporciona un marco de seguridad integral que incluye funciones como puertas de enlace web seguras, firewall como servicio, agentes de seguridad de acceso a la nube y acceso a la red de confianza cero. SASE está diseñado para permitir que las empresas conecten de forma segura a los usuarios con las aplicaciones, independientemente de su ubicación o dispositivo, al mismo tiempo que proporciona políticas y control de seguridad granular.

SD-WAN frente a SASE: comprensión de las diferencias

La principal diferencia entre SD-WAN y SASE es que SD-WAN se centra principalmente en la conectividad WAN, mientras que SASE se centra tanto en la conectividad WAN como en la seguridad de la red. Si bien SD-WAN proporciona algunas funciones de seguridad, como cifrado y firewall, no ofrece el mismo nivel de seguridad integral que SASE.

Otra diferencia clave es la ubicación de las funciones de seguridad. Con SD-WAN, las funciones de seguridad generalmente se ubican en el borde de la red, mientras que con SASE, las funciones de seguridad se ubican en la nube. Esto significa que con SASE, las empresas pueden aplicar políticas y controles de seguridad que son consistentes en todos los dispositivos y ubicaciones, mientras que con SD-WAN, es posible que las políticas y los controles de seguridad deban configurarse por separado para cada ubicación.

Elegir la solución adecuada para su negocio

Al elegir entre SD-WAN y SASE, es importante tener en cuenta las necesidades específicas de su empresa. Si su principal preocupación es la conectividad WAN y ya cuenta con un sólido marco de seguridad, SD-WAN puede ser la opción adecuada para usted. Sin embargo, si está buscando una solución de seguridad integral que también proporcione conectividad WAN, SASE puede ser una mejor opción.

En última instancia, tanto SD-WAN como SASE son soluciones poderosas que pueden ayudar a las empresas a mejorar el rendimiento de la red, aumentar la seguridad y reducir los costos. Al comprender las diferencias entre estas dos soluciones y evaluar las necesidades de su negocio, puede elegir la mejor solución para usted.


viernes, 24 de febrero de 2023

UN MACRO CIBERATAQUE CONSIGUE ROBAR LOS DATOS DE 2.000 EMPRESAS COMO APPLE, MICROSOFT Y AMAZON

 

  • Los afectados han sido los dos centros de datos más grandes de Asía.
  • Los datos robados son correos electrónicos y contraseñas para sitios web de atención al cliente.




Se calcula que los datos personales de los usuarios de más de 2.000 empresas como Apple, Microsoft o Amazon además de la información de la plataforma de divisas de China han sido robados y puestos a la venta tras un macro ciberataque a uno de los principales centros de datos de Asia.

Si hay algo que se ha postulado como el objetivo número uno para los ciberdelincuentes en los últimos años han sido las bases de datos que tienen las empresas de los usuarios que utilizan sus servicios.

Estas credenciales son muy peligrosas ya que permitirían a los hackers acceder a los centros de datos para posteriormente llevar a cabo labores de espionaje, sabotaje e incluso extorsión. Según informan desde Bloomberg, los afectados han sido los dos principales centros de datos de Asia: GDS Holdings Ltd., con sede en China, y ST Telemedia Global Data Centers, con sede en Singapur.

Ambos centros acogen los datos de más de 2.000 empresas globales entre las que podemos encontrar a Apple, Microsoft, Amazon, Alibaba, Goldman Sachs, Huawei Technologies Co e incluso BMW A.G.

Al parecer los datos robados involucran correos electrónicos y contraseñas para sitios web de atención al cliente de estos centros, y por ejemplo ya han sido utilizados para acceder a la principal plataforma de divisas y deudas de China entre otros servicios.

Aunque en realidad el ataque no es reciente, sino que por lo menos en GDS Holding ocurrió en 2021, en el caso del otro centro dicen que no tienen evidencia de que su portal haya sido accedido por un tercero.

Y mientras ambas compañías dijeron que las credenciales robadas no representaban un riesgo para los sistemas de TI o los datos de los clientes, varios ejecutivos de empresas de EEUU que están afectadas por este robo lo señalan como un peligro inusual y grave.

Esto se debe principalmente porque los sitios web de atención al cliente controlan quién puede acceder físicamente a los equipos de TI alojados en los centros de datos. Según hemos podido saber, los datos están a la venta por 175.000 dólares y mientras los hackers confirman que parte de las credenciales funcionan no pueden asegurar que todos lo hagan, ya que son tantísimos que no han sido capaces de comprobar todos.

Este caso está rodeado de incertidumbre, ya que ni las propias empresas han detectado ni la filtración, ni actividad sospechosa que pueda indicar que un agente externo y ajeno a la organización haya accedido a dicha información privada.

Fuente: www.eleconomista.es


UNA NUEVA BRECHA DE SEGURIDAD EN TWITTER FILTRA LOS DATOS DE MÁS DE 200 MILLONES DE USUARIOS


  • No es la primera vez en los últimos meses que la red social comprada por Elon Musk sufre estos ataques.
  • El nuevo robo de información personal parte de la misma vulnerabilidad detectada a principios de 2021.
  • Bruselas aborda la privacidad en Tik Tok tras las prohibiciones en EEUU.


Una nueva brecha de seguridad en Twitter ha puesto en riesgo los datos de más de 200 millones de usuarios, que han aparecido en un foro de piratería. La información filtrada incluye direcciones de correo electrónico, además de información adicional como nombres personales, perfiles de redes sociales, nombres de usuario, fecha de creación de la cuenta o número de seguidores, según datos de la web Bleeping Computer.

El medio explica que los ciberdelincuentes aprovecharon un fallo de seguridad de la plataforma que permitió a personas externas que ya tenían una dirección de correo electrónico o un número de teléfono asociado a una cuenta encontrar cualquier otra que hubiese compartido esos datos con la compañía.

Esta filtración se produjo a principios de 2021, pero ha tardado tanto en conocerse porque no ha sido hasta ahora cuando esos datos personales han aparecido en la dark web. Éste no es el único caso de fallos graves de seguridad en los últimos meses en Twitter, servicio que acumula robos y filtraciones de datos de usuarios como números de teléfono y direcciones de correo electrónico, que sirven tanto para acceder a la red social como para cumplir con el sistema de verificación en dos pasos.

El origen de la filtración

Los expertos explican que el origen está en una vulnerabilidad (convenientemente explotada por los ciberdelincuentes) en la API (interfaz de aplicaciones) de Twitter, que ha permitido a los criminales introducir direcciones de correo electrónico y números de teléfono para confirmar si estaban asociados con un nombre de usuario de la plataforma.

Esta vulnerabilidad surgió con la implementación de una actualización del código de seguridad de Twitter en junio de 2021 que generó una brecha reportada por HackerOne en enero de 2022. Pero no fue hasta diciembre cuando la compañía confirmó la naturaleza de aquel ciberataque, aunque entonces negó que los delincuentes hubiesen podido seguir explotando esa fisura con posterioridad.

Pero no era así. El pasado julio Twitter fue víctima de un ciberataque que se saldó con el robo y la filtración de información de 5,4 millones de usuarios, que aparecieron a la venta en el foro de piratería Breached Forums.

Unos meses más tarde, otro criminal puso a la venta en ese mismo foro los datos de 400 millones de usuarios en Twitter extraídos a través de esta vulnerabilidad, ya solucionada según la compañía. Entre los afectados había cuentas de empresas, políticos y famosos.

Y ahora, acuerdo a Bleeping Computer, otro individuo ha puesto a la venta datos de 221.608.279 cuentas de Twitter. Al parecer, este conjunto de datos no es nuevo, sino que es el mismo de los 400 millones de usuarios, una vez depurados los perfiles duplicados (desde Bleeping Computer apuntan a que este nuevo lote podría contener también repeticiones), aunque ahora no se indica si se trata o no de cuentas verificadas.

¿Cómo saber si nuestros datos están en peligro?

Existen varios servicios para comprobar si nuestros datos, ya sean nombres de usuario, correos electrónicos o de otro tipo, se han visto comprometidos tras una filtración masiva de este tipo.

Entre ellos, podemos usar Have I Been Pwned o Firefox Monitor, donde solamente tenemos que introducir nuestra dirección de correo electrónico para averiguarlo y además se nos ofrecen consejos de seguridad para evitar riesgos futuros.

Fuente: www.diariodesevilla.es

    WHATSAPP RECIBE UNA MULTA DE 5.5 MILLONES DE EUROS POR VIOLAR LAS LEYES DE PROTECCIÓN DE DATOS

     


    La Comisión de Protección de Datos de Irlanda (DPC) impuso el jueves nuevas multas de 5.5 millones de euros contra WhatsAPP de meta por violar las leyes de protección de datos al procesar la información personal de los usuarios.

    El núcleo del fallo es una actualización de los Términos de servicio de la plataforma de mensajería que se aplicó en los días previos a la entrada en vigor del Reglamento general de protección de datos ( RGPD ) en mayo de 2018, que requiere que los usuarios acepten los términos revisados ​​para poder continuar usando el servicio o correr el riesgo de perder el acceso.

    La denuncia, presentada por la organización de privacidad sin fines de lucro NOYB, alega que WhatsApp violó la regulación al obligar a sus usuarios a «dar su consentimiento para el procesamiento de sus datos personales para mejorar el servicio y la seguridad» al «condicionar la accesibilidad de sus servicios a que los usuarios acepten la Términos de servicio actualizados».

    «WhatsApp Ireland no tiene derecho a basarse en la base legal del contrato para la prestación de servicios de mejora y seguridad», dijo el DPC en un comunicado, y agregó que los datos recopilados hasta ahora constituyen una infracción del RGPD.



    Además de la multa, también se ordenó a la aplicación de mensajería que cumpla con sus operaciones en un período de seis meses. Vale la pena señalar que Meta tiene su sede europea en Dublín.

    Sin embargo, el DPC señaló que no planea investigar si WhatsApp procesa los metadatos de los usuarios para publicidad, calificándolo de «abierto y especulativo». NOYB, en una respuesta, criticó a la autoridad por negarse a actuar al respecto.

    «WhatsApp dice que está encriptado, pero esto solo es cierto para el contenido de los chats, no para los metadatos», dijo Max Schrems de NOYB . «WhatsApp todavía sabe con quién chateas más y a qué hora. Esto le permite a Meta comprender muy de cerca el tejido social que te rodea».

    «Meta usa esta información para, por ejemplo, orientar anuncios en los que los amigos ya estaban interesados», agregó Schrems. Parece que el DPC ahora simplemente se ha negado a decidir sobre este asunto, a pesar de 4,5 años de investigaciones».

    WhatsApp recibió un revés notable a principios de 2021, cuando anunció una actualización similar a su política de privacidad que requería que los usuarios aceptaran los cambios para continuar usando el servicio, lo que llevó a la Comisión Europea a emitir una advertencia, instando a la empresa a «informar claramente» a los consumidores de su modelo de negocio.

    «En particular, se alienta a WhatsApp a mostrar cómo planea comunicar cualquier actualización futura de sus términos de servicio, y hacerlo de manera que los consumidores puedan comprender fácilmente las implicaciones de dichas actualizaciones y decidir libremente si desean continuar usando WhatsApp después estas actualizaciones», dijo la Comisión en junio de 2022.

    Además de eso, WhatsApp ha atraído previamente el escrutinio por dar un giro en U en sus prácticas de intercambio de datos con la empresa matriz Meta (entonces Facebook) para la orientación de anuncios. En 2017, la UE multó al gigante de las redes sociales con 110 millones de euros por «proporcionar información incorrecta o engañosa» durante su investigación sobre la fusión.

    La última sanción se produce dos semanas después de que el DPC multara a Meta con 390 millones de euros por el manejo de los datos de los usuarios para publicar anuncios personalizados en Facebook e Instagram, lo que le da a la empresa tres meses para encontrar una base legal válida para procesar datos personales para publicidad conductual.

    NOYB, por su parte, ha escrito al Consejo Europeo de Protección de Datos (EDPB), afirmando que el organismo de control «hizo la vista gorda sobre los ingresos generados por la violación del RGPD al calcular su multa» y que «la maniobra del DPC salvó a Meta casi 4.000 millones de euros».

    Fuente: blog.underc0de.org

    lunes, 13 de febrero de 2023

    8 PASOS PARA LA EVALUACIÓN DE RIESGOS DE CIBERSEGURIDAD DE UNA EMPRESA (I PARTE)

    En esta primera entrega de la serie “8 pasos para la evaluación de riesgos de ciberseguridad de una empresa” compartimos los primeros cuatro que es necesario realizar a la hora evaluar los riesgos de seguridad de una organización. En la segunda entrega de esta serie repasamos los cuatro pasos restantes para completar la lista de ocho pasos para evaluar riesgos de seguridad según el enfoque de OCTAVE Allegro (Operationally Critical Threat, Asset, and Vulnerability Evaluation).

    Esta guía para evaluar riesgos de seguridad en 8 pasos fue desarrollada por SEI (Software Engineering Institute) y cuenta con documentación disponible de forma gratuita.


    Criterios para analizar y evaluar el riesgo

    Un enfoque muy común en seguridad de la información consiste aplicar controles de seguridad como resultado de la evaluación y tratamiento de riesgos. El uso del modelo de OCTAVE Allegro (y de otros modelos similares) permite trabajar de forma preventiva para hacer frente a los riesgos de seguridad que continuamente se presentan en una organización, ya que tienen como objetivo anticiparse a la materialización de amenazas identificadas.

    Según este método, el desafío consiste en considerar todas las amenazas que podrían afectar de manera negativa los objetivos de una organización para hacer un análisis de riesgos e intentar reducirlos hasta un nivel aceptable. Para esto se puede utilizar, por ejemplo, una metodología como MAGERIT.


    Primeros cuatro pasos para realizar un análisis de riesgo en seguridad

    1. Establecer criterios de medición del riesgo

    El primer paso consiste en definir criterios que permitan conocer la postura de la organización en cuanto a su propensión a los riesgos. Se trata de la base para la evaluación, ya que sin esta actividad no se puede medir el grado en el que la organización se ve afectada cuando se materializa una amenaza.

      El método establece la creación de un conjunto de criterios cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la organización en 5 categorías:

      • Reputación/confianza del cliente
      • Financiera
      • Productividad
      • Seguridad/salud
      • Multas/penas legales

      Además, hay una última que el usuario puede definir, utilizada para una preocupación específica de la empresa.

      Imagen 1. En la siguiente imagen se observa un ejemplo de un área de impacto para los criterios de “Reputación y confianza del cliente”



      Una característica de OCTAVE Allegro es que emplea hojas de trabajo para registrar toda la información que se genera durante su aplicación. Esto se traduce en una ventaja, ya que algunos estándares de seguridad requieren que el proceso de evaluación de riesgos sea documentado.

      Posteriormente, se deben priorizar estas áreas de acuerdo con los intereses de la organización, por lo que el orden puede variar de una empresa a otra. La categoría más importante recibe el puntaje más alto y la menos importante recibe la calificación más baja, con una escala de 1 a 5 si el usuario no define un área de impacto y solo utiliza las descritas en OCTAVE Allegro:

      Imagen 2. Evaluación de riesgos: prioridades de las áreas de impacto



      2. Desarrollar un perfil de activos de información



      La evaluación de riesgos que se desarrolla se enfoca en los activos de información; es decir, los conocimientos o datos que tienen valor para la organización. Se documentan las razones por la cuales se eligen y además se debe realizar una descripción de los mismos.

      También se debe asignar un custodio a cada uno de estos activos de información y se debe asignar el responsable de definir los requisitos de seguridad para los mismos: confidencialidad, integridad y disponibilidad, de acuerdo a su criterio y experiencia.

      Se crea un perfil para cada activo de información que los encargados de la evaluación consideren como crítico, ya que forma la base para identificar amenazas y riesgos en pasos subsecuentes. Esta actividad es necesaria para asegurar que los activos se describen de forma clara y consistente, así como sus requisitos de seguridad, para definir las opciones de protección a aplicar.

      3. Identificar contenedores de activos de información

      En el tercer paso se identifican los contenedores, es decir, los repositorios donde se almacena esta información, ya que son los sitios en donde suelen llevarse a cabo los ataques contra los datos. Por lo tanto, también son los lugares donde se aplican los controles de seguridad.

      De acuerdo con este método, pueden ser del tipo técnicofísico o humano, ya que la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (archivos en medios electrónicos u ópticos), en forma física (escrita o impresa en papel), así como información no representada, como las ideas o el conocimiento de los miembros de la organización.

      En el mismo sentido, la información puede ser almacenada, procesada o transmitida de diferentes maneras, en formato electrónico, verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.

      4. Identificar áreas de preocupación

      En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos de información, resultado de la combinación de la posibilidad de materialización de una amenaza (probabilidad) y sus consecuencias (impacto).

      De acuerdo con el método, un área de preocupación es un enunciado descriptivo que detalla una condición o situación del mundo real que puede afectar un activo de información en la organización. Se deben generar tantas áreas como sean necesarias para cada uno de los activos perfilados en el paso 2.

      Se busca documentar las condiciones que preocupan a la organización en cuanto a su información crítica, por lo que se identifican riesgos evidentes sin necesidad de una revisión exhaustiva, para ello se registra información sobre quién podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar, motivos y sus resultados. Finalmente, se documenta la manera en la que las amenazas afectarían los requisitos de seguridad descritos en el segundo paso.

      Para leer los restantes cuatro pasos que plantea el modelo de OCTAVE Allegro invitamos a leer la segunda parte de esta publicación: 8 pasos para hacer una evaluación de riesgos (parte II)

      Fuente: www.welivesecurity.com

      Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

       Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...