Perú Ciberseguro

Categoría: CIBERSEGURIDAD

  • Pronósticos de seguridad/ciberseguridad 2021

    Pronósticos de seguridad/ciberseguridad 2021

    Reflexiones en medio de un entorno asimétrico e inestable

    Créditos

    Jeimy Cano (*)

    Introducción

    Las tensiones globales que se han generado por cuenta de la emergencia sanitaria internacional y la revelación de nuevos actores en la carrera geopolítica para concretar una vacuna que permita inmunizar a la población mundial, establece los inéditos “normales” emergentes de la dinámica social, económica, tecnológica y política que cambia la aparente calma que se tenía antes del mes de marzo del 2020.

    Este escenario asimétrico e inestable plantea desafíos emergentes y novedosos que confunden y retan los mejores pronósticos de los analistas internacionales sobre lo que puede suceder en los próximos años. Mientras el virus continúe sin un mecanismo de contención efectivo, habrá muchos espacios para mantener la desinformación, los inciertos, los miedos y la manipulación de la información en las relaciones sociales, con impactos inesperados y no previstos en los demás sectores de sociedad (Interpol, 2020).

    Así las cosas, establecer una marco de trabajo para ilustrar un pronóstico acerca de la seguridad/ciberseguridad para el 2021 resulta una apuesta compleja y ambigua, que más que tratar de acertar en un blanco en movimiento, busca identificar algunos patrones y tendencias que marcan la diferencia en el escenario actual, sin perjuicio de su actualización posterior, dada la volatilidad de las condiciones y los cambios que se van a suscitar en el desarrollo de los próximos 365 días.

    La seguridad/ciberseguridad como conceptos complementarios y convergentes en la actualidad, plantean desafíos para los profesionales de seguridad y control tradicionales, comoquiera que rompen con la acostumbrada lectura técnica de los mismos, habida cuenta que el valor de la información se configura cada vez más como ese elemento fundamental que atraviesa la estrategia de las organizaciones, lo cual motiva una transición de habilidades y capacidades basadas en la protección de los datos, ahora centradas en las personas y el tratamiento de la información.

    Para realizar este ejercicio se han consultado diversas fuentes de información especializadas, documentos elaborados por centros de pensamiento, artículos científicos, comentarios de expertos en el tema y sobremanera una visualización de líneas de acción que se reiteran al cruzar los datos recolectados hasta la fecha. En este sentido, este documento presenta una propuesta incompleta y limitada de las condiciones y retos que la seguridad/ciberseguridad puede manifestar para el año siguiente.

    En consecuencia, las reflexiones que se plantean a continuación representan un mapa incompleto sobre un territorio inestable y cambiante, que trata de ubicar algunos puntos de referencia para construir posturas y tomar decisiones sobre seguridad/ciberseguridad de las organizaciones modernas, ahora más expuestas y abiertas que antes, dada la acelerada digitalización de sus procesos y la transformación digital de su modelos de negocio.

    Pronósticos de seguridad/ciberseguridad 2021

    A continuación se presentan los cinco (5) pronósticos que se advierten para el 2021 en las temáticas de seguridad/ciberseguridad, así como algunos temas complementarios que apalacan dinámicas particulares que pueden ser de interés para las organizaciones y las naciones en general.

    1. El fearware – Un escenario de manipulación social

    El uso masivo de redes sociales y mecanismos de acceso a información es una tendencia que confirma el aumento de la conectividad en la sociedad y la democratización de los servicios y productos digitalmente modificados. El uso extensivo a nivel de global de dispositivos “inteligentes” y ecosistemas digitales revela el aumento de flujos de información conocidos y desconocidos que ahora hacen parte de la lectura social del mundo actual (Valdez-de-Leon, 2019).

    Con ocasión de la emergencia sanitaria se ha producido un tsunami de información y desinformación que advierte una dinámica de inciertos y contradicciones, la cual termina afectando y reconfigurando los imaginarios de las personas. Dichos cambios generan emociones y sentimientos de miedo, dudas y ansiedad que son capitalizados por agentes nocivos, para crear desestabilización, desconcierto y erosión de la confianza con el fin de marcar una agenda oculta de intereses que pasa desapercibida frente a los titulares de la realidad (Jones, 2019).

    El fearware, como estrategia consolidada de la manipulación social, es la base de una guerra social virtual, donde diferentes actores toman posiciones y generan tendencias para movilizar a la población respecto de una temática particular, para desestabilizar naciones, para debilitar o manejar democracias, para concretar operaciones encubiertas que impacten las representaciones sociales y sobremanera, como una nueva amenaza a la integridad de la información, donde el reto y objetivo del adversario, es y será erosionar la confianza y la confiabilidad de una opinión informada (Mazarr, Bauer, Casey, Heintz & Matthews, 2020).

    2. La cadena de suministro – Los terceros de des(confianza)

    Los adversarios han venido observando y analizando que las empresas cada vez más dependen de terceros para operar. Con el escenario actual, muchas de ellas tuvieron que migrar rápidamente para contar con proveedores de servicios en la nube y algunos otras, ampliar sus contratos con los terceros para manejar, entre otros temas, servicios de monitoreo y control de sus plataformas (Europol, 2020).

    Los atacantes han evidenciado que las empresas han fortalecido sus perímetros de seguridad y control, así como sus estrategias de monitorización y analítica, lo cual no les permite concretar parte de su estrategia natural para “pasar desapercibidos” y crear el incierto en los modelos de protección vigentes. En esa lectura, saben que deben continuar buscando aquel sitio que puedan ubicar con el menor nivel de aseguramiento y desde allí, establecer el pivote requerido para apalancar sus acciones contrarias (Ponemon-CyberGRX, 2020).

    Casos recientes demuestran que los terceros que apoyan las organizaciones, cuentan con prácticas de seguridad y control que no están armonizadas con las de sus clientes, mantienen una visión de “isla” independiente basada en los términos y condiciones del contrato, y pocas veces se hace seguimiento sobre la realidad misma de sus estándares y posturas de protección de sus infraestructuras. En este sentido, se convierten en los nuevos focos de atención de los atacantes, como estrategia para llegar a organizaciones claves para ingresar sin ser notados y basados, muchas veces, en conexiones autorizadas desde aplicaciones debidamente registradas por sus clientes.

    3. El secuestro de datos – Una amenaza vigente y latente

    Los datos y la información se han convertido en uno de los activos más importantes de las organizaciones en la actualidad. Reconocer donde se ubican aquellos que resultan más valiosos y saber cómo se están protegiendo, debería ser una prioridad para las organizaciones del siglo XXI. Sin embargo, muchas veces la información de mayor relevancia termina en los lugares menos indicados o más inesperados, comoquiera que su uso resulta de manejo diario o muchas veces compartido entre diferentes personas.

    En este contexto, los activos críticos de información terminan expuestos a las prácticas propias de las personas que son sus custodios naturales y por lo tanto, no es la probabilidad de la materialización de un evento adverso, lo que cuenta, sino la posibilidad concreta de una brecha o un secuestro de los mismos con ocasión de un “click” o una “descarga” de un archivo que venía adjunto a un correo electrónico, un enlace a un sitio no conocido o un mensaje en un sistema de mensajería con una url maliciosa (Vuggumudi & Wang, 2020).

    El ransomware como ese código malicioso que se descarga e instalada en el sistema informático, sólo tiene que ser paciente para esperar su oportunidad, para concretar el pivote que necesita para desplegar las acciones necesarias que permitan tomar el control del dispositivo, para deshabilitar las medidas de seguridad, establecer posiciones en la infraestructura donde está conectada la máquina y ejecutar sus rutinas de cifrado escalonado que termina con el temible anuncio del pago de una extorsión (Europol, 2020).

    4. El modo “radar” y el modo “crisis” – Dos capacidades claves

    Considerando las inestabilidades actuales a nivel global y local, los ejecutivos de seguridad poco le ayudan contar con la implementación de prácticas y estándares internacionales para anticipar o pronosticar nuevas formas de ataques o estrategias emergentes para comprometer las medidas de seguridad vigentes en las empresas. En este sentido, debe activar el modo “radar” que le permitan no solamente revisar lo que le indican las alertas de eventos conocidos, sino comenzar a establecer patrones de amenazas en medio de los datos hasta ahora consolidados tanto por el servicio de SOC (Security Operation Center), como por los mecanismos instalados en su perímetro de seguridad (Ponemon-CyberGRX (2020).

    El modo “radar” lo que le  permite es establecer un marco de revisión y exploración que lo habilita para monitorizar sus contornos, buscando inconsistencias, rarezas y contradicciones que le indiquen que algo fuera de lo común ocurre y que deberá revisar para establecer el nivel de atención que merece tal “anormalidad”. En consecuencia, las organizaciones deben tener claridad de lo que significa que algo funciona de forma “normal” con lo cual cualquier evento que se revele más allá de los umbrales definidos, sea catalogado como “inusual” y luego de su revisión y validación, pasar a ser “sospechoso” para su exploración en profundidad.

    Si bien el modo “radar” es relevante y clave, pueden pasar desapercibidos eventos que terminen comprometiendo el modelo de seguridad y control de la organización, por lo tanto deberá tener listo el modo “crisis”, que lo que conlleva es un tratamiento de riesgos que no solo busca mitigar los impactos del eventos, sino moverse de forma coordinada para evitar caer en el juego del atacante, y responder con un “libro de jugadas” (playbook) claro (Bollinger, Enright & Valites, 2015), que cierre la brecha de inciertos que la situación pueda ocasionar.

    5. Aceleración digital – Mayor superficie de ataques

    No hay duda que la emergencia sanitaria internacionales aceleró la transformación digital de las empresas, muchas de ellas de forma accidentada y por lo tanto, con muchos vacíos desde la perspectiva de seguridad y control. Se pasó de forma urgente de un modelo centralizado de operaciones y aseguramiento, a uno ampliamente basado en terceros (desconectados del marco de seguridad empresarial), con una cultura organizacional de seguridad de la información basada en personas informadas (algunos más conscientes que otras) y con un marco de trabajo en casa que responde a la práctica individual de higiene informática vigente en el hogar.

    Este escenario plantea una superficie de conectividad e interacción digital que privilegia la funcionalidad sobre los mínimos de seguridad y control requeridos para un trabajo remoto. Lo anterior, habilita el escenario para crear un tejido digital con numerosos puntos de acceso y posibilidades, que un adversario puede aprovechar desde la inherente y natural forma de actuar de los individuos, hasta las vulnerabilidades técnicas de las plataformas utilizadas por los terceros o sus protocolos, los cuales pueden no estar actualizados o no parchados, lo que sugiere múltiples puntos candidatos para ser pivotes de un ataque, que generalmente termina siendo silencioso y encubierto por conexiones habilitadas y autorizadas (Culot, Fattori, Podrecca & Sartor, 2019).

    Si bien la transformación digital es un proceso que habilita una dinámica ágil y eficiente de las experiencias de las personas, dadas las condiciones y necesidades actuales y futuras (HBR, 2019), es necesario que se incorporen y analicen los retos y capacidades requeridas, para dar cuenta con el apetito de riesgo de la empresa, para incorporar las innovaciones que demandan sus clientes, y así  conectar con los exigentes objetivos estratégicos empresariales, que buscan posicionar a la empresa en un lugar privilegiado de su mercado definido.

    Propuestas para enfrentar los pronósticos 2021

    1. Cultura organizacional de seguridad de la información – COSI

    Si hay un año donde las personas tendrán  más relevancia en el contexto de la seguridad y el control será a partir del año entrante dada la alta dependencia de las acciones humanas para el desarrollo de las operaciones de las empresas. Un mayor trabajo remoto, el uso masivo de medios de comunicación, las reuniones bajo la modalidad de videoconferencia, los sitios para compartir información, entre otras actividades, harán evidente el nivel de compromiso, conocimiento, entendimiento y apropiación que los individuos tienen sobre el valor de la información de la empresa.

    Tener claridad sobre el nivel de madurez de la COSI deberá ser un indicador clave en la gestión y gobierno de la ciberseguridad/seguridad de la empresas, dado que en la medida que la madurez no avance, la posibilidad que se estanque o retroceda será el riesgo más relevante que se deberá mitigar y anticipar, para continuar incubando los nuevos pivotes que los atacantes van a aprovechar por cuenta del eslabón más fatigado de la cadena: las personas (Cano, 2019).

    2. Desarrollo de Playbooks o “libros de jugadas”

    Dado que tarde o temprano el atacante tendrá éxito se hace necesario desarrollar estrategias distintas para el tratamiento de los riesgos. Más allá de establecer medidas de mitigación técnicas, es necesario reconocer una vista holística de la dinámica que representa la materialización de un evento adverso, para no actuar de forma errática, que es lo que pretende en últimas el atacante (Bollinger, Enright & Valites, 2015).

    Por tanto, diseñar, desarrollar y simular un playbook establece una forma alterna de atender el incierto que generar dicho evento lo que lo define en sí mismo como:

    • una estrategia para actuar de forma coordinada,
    • una estructura para la toma de decisiones,
    • una respuesta a escenarios conocidos y latentes,
    • una forma de gestionar riesgos.

    3. Aseguramiento de API – Application Program Interfase

    La transformación digital que se adelanta por las organizaciones a nivel global está habilitada técnicamente hablando por terceros de confianza clave y por el uso de API, como fuente de interconexión entre los dispositivos y mecanismos en manos de las personas, y las infraestructuras de los terceros o las organizaciones. En este sentido, el aseguramiento y resistencia a los ataques que deben surtir las API deberán ser parte de la pruebas de mal uso que éstas deben soportar para concretar un nivel de confiabilidad mayor al que se tiene en la actualidad (Ponemon-CyberGRX, 2020).

    En consecuencia, se deben tomar las mejores prácticas disponibles a la fecha como pueden ser las guías del OWASP, el SANS o el CISecurity, combinadas con marcos de trabajo para modelar amenazas con el fin de elevar el nivel de confiabilidad de la ejecución de estos mecanismos, y así mejorar la confianza digital necesaria para motivar mejores experiencia en los clientes.

    4. Simulaciones y juegos de guerra

    Las organizaciones que mejor estén preparadas para asumir el incierto que genera un evento adverso por cuenta de la acelerada transformación digital, son las que mejor van a mantenerse en un escenario altamente conectado. Por tanto, se hace necesario practicar y exponer con frecuencia a la organización a este tipo de contextos a través de simulaciones y juegos de guerra (incluyendo a los terceros claves en su cadena de suministro), como una forma de preparar las respuestas y habilitar a la empresa para enfrentar las inestabilidades que ocasiona estas situaciones (Cano, 2020).

    En estos ejercicios se requiere la participación de toda la organización, con el fin de abordar la totalidad de la dinámica empresarial y de esta manera, todos los diferentes perfiles sabrán qué hacer para mantener una actuar y accionar coordinado de la empresa, haciendo más resistente a la organización como un todo, y limitando la configuración zonas grises o puntos ciegos de respuesta, donde un tercero lo suficientemente motivado y entrenado puede exponer la reputación corporativa por un “no sabía que debía hacer”.

    5. Habilitar la resiliencia cibernética

    Muchos informes ya no hablan de la probabilidad de un ciberataque, sino de cuándo va a ocurrir. Un ciberataque está diseñado para crear incierto e inestabilidad en el modelo de seguridad y control de una organización, con lo cual ninguna organización está exenta de manejar y superar un acción agresiva como esta. Así las cosas, toda empresa requiere ajustar sus modelos de operación basados en mitigación de riesgos, a una lectura de umbrales de operación que le permitan márgenes de actuación y estrategias de resistencia y recuperación eficientes a pesar de haber sido impactadas (Björck, Henkel, Stirna & Zdravkovic, 2015).

    De manera que,  se requiere desarrollar y habilitar la resiliencia cibernética (ciber-resiliencia) como una capacidad organizacional requerida para anticipar, resistir, recuperar, aprender y evolucionar frente a la materialización de eventos cibernéticos adversos, y continuar asegurando la promesa de valor empresarial protegiendo la reputación de la compañía. Lo anterior, demanda comprender la dinámica corporativa de forma holística y ecosistémica para configurar una protección dinámica por capas y así proveer estrategias de “falla segura”, como un requisito básico que reconoce el error como parte del proceso y no como resultado (Bodeau, Graubart, Heinbockel & Laderman, 2015; Denyer, 2017).

    Reflexiones finales

    Desarrollar reflexiones alrededor de posibles pronósticos de seguridad/ciberseguridad para los próximos 365 días, es siempre una apuesta incierta comoquiera que muchas veces es posible quedar asombrados por una “sorpresa predecible” como la emergencia sanitaria que tenemos en la actualidad, amenazados por “misiles balísticos nucleares” oxidados y sin mantenimiento en algunas zonas del mundo, por una “guerra híbrida” que se desarrolla por debajo del nivel de la fuerza, por un mal uso de tecnologías emergentes que cambian y afectan la dinámica de las sociedades abiertas y democráticas, o por cambios climáticos inesperados que terminan con desastres que afectan una comunidad local o todo el mundo (Cano, 2020; WEF, 2020).

    Por tanto, las apuestas desarrolladas en este documento no buscan marcar un camino o convertirse en referente de toma de decisiones, sino convertirse en una excusa académica y práctica que motive un diálogo estratégico al interior de las organizaciones, para darle forma a los escenarios que se pueden plantear a partir de esta propuesta, y así, definir algunas prioridades de acción particulares y propias, para movilizar de forma prospectiva a las empresas en medio de las volatilidades que se ven delante de la curva.

    Los pronósticos de seguridad/ciberseguridad son un ejercicio que buscan detectar algunos patrones de actividad relevante para los modelos de seguridad y control de las empresas. Si bien no son exactos, como son los pronósticos del clima, si buscan configurar un mapa parcial de reconocimiento sobre un territorio de inciertos y cambios permanentes para triangular las posibles posiciones de los adversarios y así, crear inestabilidades en sus modelos de gestión de riesgos (Raban & Hauptman, 2018).

    Muchos teóricos y académicos coinciden que no es posible “predecir” el futuro, por lo tanto todos aquellos ejercicios que permitan ver opciones y oportunidades en prospectiva serán de utilidad para mejorar la imaginación, aumentar las posibilidades y así darle mejor forma al futuro, desde el presente. En este sentido, los pronósticos que se plantean en este texto sólo son parte de ese insumo para pensar e imaginar, pues ya cada uno de los lectores tendrá el reto de darle forma concreta en las circunstancia de tiempo, modo y lugar en cada una de sus organizaciones.

    Referencias

    Björck, F., Henkel, M., Stirna, J. & Zdravkovic, J. (2015). Cyber Resilience – Fundamentals for a Definition.  En Á. Rocha et al. (eds.) New Contributions in Information Systems and Technologies. Advances in Intelligent Systems and Computing 353. 311-316. Doi: 10.1007/978-3-319-16486-1_31

    Bodeau, D., Graubart, R., Heinbockel, W. & Laderman, E. (2015). Cyber Resiliency Engineering Aid –The Updated Cyber Resiliency Engineering Framework and Guidance on Applying Cyber Resiliency Techniques. MITRE Corporation.  De: https://www.mitre.org/sites/default/files/publications/pr-15-1334-cyber-resiliency-engineering-aid-framework-update.pdf

    Bollinger, J., Enright, B. & Valites, M. (2015). Crafting the InfoSec Playbook. Sebastopol, CA. USA: O’Reilly.

    Cano, J. (2019). The Human Factor in Information Security: The Weakest Link or the Most Fatigued? ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2019/Volume-5/Pages/the-human-factor-in-information-security.aspx

    Cano, J. (2020). Retos de seguridad/ciberseguridad en el 2030. Reflexión sobre un ejercicio prospectivo incompleto. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas. No. 154. 68-79. https://doi.org/10.29236/sistemas.n154a7

    Culot, G., Fattori, F., Podrecca, M. & Sartor, M. (2019). Addressing Industry 4.0 Cybersecurity Challenges. IEEE Engineering Management Review. 47(3). 79-86. Doi: 10.1109/EMR.2019.2927559

    Denyer, D. (2017). Organizational resilience. A summary of academic evidence, business insights and new thinking. BSI-Crandfield University. De: https://www.cranfield.ac.uk/som/case-studies/organizational-resilience-a-summary-of-academic-evidence-business-insights-and-new-thinking

    Europol (2020). Internet organised crime threat assessment. Reporthttps://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2020

    HBR (2019). IT Talent strategy: new tactics for a new era. CIOs Share How to Compete in 2020 and Beyond. White Paper. Harvard Business Review. Analytic Services

    Interpol (2020). Cybercrimen: Covid-19 Impact. August. Report. De: https://www.interpol.int/es/content/download/15526/file/COVID-19%20Cybercrime%20Analysis%20Report-%20August%202020.pdf

    Jones, K. (2019). Online Disinformation and Political Discourse. Applying a Human Rights Framework. Research Paper. Chatham House. London, UK. https://www.chathamhouse.org/publication/online-disinformation-and-political-discourse-applying-human-rights-framework

    Mazarr, M., Bauer, R., Casey, A., Heintz, S. & Matthews, L. (2020). The Emerging Risk of Virtual Societal Warfare. Social Manipulation in a Changing Information Environment. Rand Corporationhttps://doi.org/10.7249/RR2714  

    Ponemon-CyberGRX (2020). Digital transformation & cyber risk. What you need to know to stay safe. Sponsored by CyberGRXhttps://get.cybergrx.com/ponemon-report-digital-transformation-2020

    Raban, Y. & Hauptman, A. (2018). Foresight of cyber security threat drivers and affecting technologies. Foresight. 20(4). 353-363. https://doi.org/10.1108/FS-02-2018-0020

    Valdez-de-Leon, O. (2019). How to Develop a Digital Ecosystem: a Practical Framework. Technology Innovation Management Review. 9(8): 43-54. http://doi.org/10.22215/timreview/1260

    Vuggumudi, S. & Wang, Y. (2020). Sophisticated tools alone cannot prevent advanced persistent threats: What’s next? ISSA Journal. June. 33-39 

    WEF (2020). The Global risk report 2020. World Economic Forum. Reporthttps://www.weforum.org/reports/the-global-risks-report-2020

    (*) Fuente: https://insecurityit.blogspot.com/2020/10/pronosticos-de-seguridadciberseguridad.html

  • Perú Ciberseguro se une al “Llamado de París”

    Perú Ciberseguro se une al “Llamado de París”

    Perú Ciberseguro, organización promotora de la seguridad informática, se suscribió al “Llamado de París” (Paris Call), por la confianza y seguridad en el ciberespacio, iniciativa efectuada por el presidente de Francia, Emmanuel Macron.

    Con la adhesión a este importante foro, Perú Ciberseguro reafirma su compromiso con la navegación segura y su propósito de concientizar a la sociedad sobre la necesidad de aplicar buenas prácticas en ciberseguridad

    El foro reconoce las responsabilidades de los principales actores del sector privado para mejorar la confianza y la estabilidad en el ciberespacio, y alienta las iniciativas destinadas a fortalecer la seguridad de los procesos y productos digitales en toda la cadena de suministro.

    Presidente Emmanuel Macron lidera el “Llamado de Paris”

    El “Paris Call” establece varios principios y directrices importantes para la ciberseguridad internacional.

    Entre las medidas que propone la declaración están: prevención y recuperación de actividades online maliciosas que amenacen o causen daño significativo o indiscriminado a individuos e infraestructuras críticas; prevenir actividades que dañen de manera sustancial e intencionada la disponibilidad general del núcleo público de Internet.

    Busca, asimismo, reforzar la capacidad de prevenir interferencias malignas de terceros que intenten influir en procesos electorales a través de actividades maliciosas; o desarrollar sistemas para prevenir la proliferación de ataques y prácticas centradas en causar daño. Actualmente se registra que los miembros del grupo incluyen 67 estados, 139 organizaciones internacionales y de la sociedad civil, así como 358 empresas del sector privado.

  • 8.8 en Lima: Fiesta y preparación contra ciberataques

    8.8 en Lima: Fiesta y preparación contra ciberataques

    Compartir el conocimiento en Ciberseguridad y democratizarlo, fue el principal objetivo de la reunión anual “Ocho punto Ocho (8.8)”, celebrada en Lima el 12 de setiembre último en la Alianza Francesa de Miraflores, en un clima de sana distención y confraternidad.

    Ciberseguridad y cultura pop

    Según Gabriel Bergel, fundador y principal impulsor de la cita, celebrada en distintos países de América Latina, el “8.8” apuesta por las tecnologías abiertas y en compartir el conocimiento, crear comunidad y ocupar el poder de la colaboración colectiva y “todo esto en un ambiente relajado y siempre aludiendo a la cultura pop”.

    Confraternizar y compartir conocimientos, es la principal norma que anima la realización del 8.8, indica Gabriel Bergel.

    El nombre de la cita “8.8”, fue así denominada luego del terremoto acaecido en Chile en el 2010 y que tuvo tal magnitud en la escala de Ritcher (8.8). Bergel, experto en seguridad informática, y quienes lo secundaron en la gesta, decidieron nombrar de esa forma a la reunión pues “queríamos producir un remezón en la comunidad con una conferencia hacker”.

    En ésta última reunión celebrada en Lima, y cuya denominación completa fue “8.8 Computer Security Conference, Infinity”, expertos en ciberseguridad de México, Argentina, Colombia y Perú analizaron e intercambiaron experiencias relacionadas a los ciberataques que viene soportando el sector financiero en nuestra región.

    Los participantes, atentos a cada exposición, las mismas que pugnaron por cubrir todas las expectativas.

    “El rubro financiero siempre ha sido el más atacado y a la vez, es el más regulado, ya que posee el activo más preciado por los ciberdelincuentes, el dinero”, afirmó Gabriel Bergel a propósito de la temática planteada en la mayoría de las conferencias.

    “No fue un tema escogido con antelación, sin embargo, las ponencias que llegaron mostraron una marcada tendencia en este rubro y es porque desde hace tres años –me atrevería a decir–, hemos sufrido muchos ciberataques y brechas en este ámbito, este año le tocó a México, Chile y Perú entre otros… lo más alarmante es que esta tendencia no va a bajar, al contrario, sucederán más ciberataques y debemos estar preparados”, afirmó el fundador del Ocho punto Ocho.

    La intervención de Patricia Pantigoso, puso en relieve la participación de la mujer en temas de ciberseguridad.

    En ese contexto, la conferencia denominada “Domain Admin, en donde empieza todo” los expertos peruanos Patricia Pantigoso y Jorge Córdova, analizaron la situación de la seguridad informática del sector financiero (Banking Security), bajo la tesis “es posible acceder a otros sistemas y aplicaciones mediante técnicas de escalamiento de privilegios y movimiento lateral, entre otras”.

    Otro experto peruano en ciberseguridad, César Farro, brindó la conferencia “¿Por qué monitorear tu red?”, en donde expuso la necesidad de una actitud de prevención e investigación de incidentes por parte de los responsables de la seguridad, luego de los ataques informáticos contra las entidades financieras y otras empresas en Latinoamérica.

    En alguna ocasión, la ronda de preguntas generó un auténtico y cordial debate.

    En la misma línea de exposiciones, plantearon sus participaciones en el “8.8” el colombiano Jaime Restrepo y su disertación “Malware Bancario, historia de un robo real”, el mexicano Paulino Calderón y su charla “Derrotando a changos con scanners”, o el argentino Gaston Toth y su conferencia “Web apps… little mistakes, big problems” (Aplicaciones web… pequeños errores, grandes problemas).

    Por su parte, el experto peruano Jean Del Carpio Foronda expuso el tema “Analizando el comportamiento de un Ransomware Zero Day – En Vivo”, presentación orientada a mostrar de manera práctica cómo un ransomware ataca un sistema. Del Carpio analizó las acciones que éste realiza al infectar una PC, como la encriptación de archivos, envío de mensajes, creación de otros malwares, registros y demás.

    Como es tradición en el 8.8, al final de cada exposición, se sortearon libros sobre ciberseguridad. Claro, el feliz ganador, debía responder una pregunta para demostrar que estuvo atento a la conferencia.

    Hackeando autos

    Aunque apartada del tenor de las otras conferencias –pero no menos importante–, fue la ponencia “The Bicho: An Advanced Car Backdoor Maker”, planteada por el argentino, experto en ciberseguridad, Claudio Caracciolo.

    El experto argentino, Claudio Caraciolo, sentó auténtica cátedra con la puesta en evidencia de la posibilidad de hackear automóviles.

    La tesis del especialista inició con la interrogante “¿Alguna vez te imaginaste la posibilidad de que tu auto sea atacado automáticamente en base a sus coordenadas GPS, su velocidad actual o cualquier otro conjunto de parámetros?”, el experto demostró, tras una extensa investigación, el exitoso desarrollo de un hardware “backdoor” para el bus CAN, llamado “The Bicho” que hace posible este tipo de hacking.

    “La magia está en el firmware que desarrollamos para un microcontrolador PIC18F2580. Adicionalmente, ‘The Bicho’ cuenta con un software llamado ‘Car Backdoor Maker’ que permite la personalización de los payloads de ataque a través de una interfaz gráfica muy intuitiva”, explicó Caracciolo.

    Gabriel Bergel: “La cita en Lima, cumplió con sus objetivos y expectativas”.

    Jaime Restrepo: “Aunque queda mucho tramo por recorrer, la comunidad latinoamericana empieza a tomar en serio la seguridad informática”

    Jean Del Carpio: Analizó, en vivo, el comportamiento de un Ransomware”

    César Farro: “Ante los constantes ciberataques, monitorear la red en forma permanente, es una necesidad”.

    Patricia Pantigoso: Aunque fue su primera vez como ponente, reafirmó la presencia de la mujer en el campo de la ciberseguridad.

    Paulino Hernández: “No se está haciendo el esfuerzo necesario para capacitar a las nuevas generaciones en seguridad informática”.

    Jorge Córdova: “Los ataques al sector financiero, serán cada vez más frecuentes y más especializados”.

  • Encuentro de hackers en Lima: PERÚHACK

    Encuentro de hackers en Lima: PERÚHACK

    La sexta edición de PERÚHACK, conferencia anual de ciberseguridad ofensiva que reúne a hackers peruanos y extranjeros con el propósito de intercambiar conocimiento sobre las últimas técnicas de hacking y ataques informáticos, constituyó un “éxito total”, según los organizadores del certamen.

    Al encuentro, realizado el 11 de mayo último en el distrito limeño de San Isidro, acudieron consultores, profesionales en TI, administradores, técnicos y estudiantes, todos interesados en intercambiar, aprender y actualizar conocimientos.

    Más de 220 informáticos participantes de PERÚHACK, agotaron las localidades en la última versión del encuentro de hackers en Lima.

    PERÚHACK se caracteriza por compartir datos netamente técnicos. Los hackers invitados dictan las charlas de seguridad desde el punto de vista del atacante indicando a los informáticos asistentes cómo proceder para proteger la información de su organización.

    Estas charlas y talleres también sirven para colocar a la empresa en el lado ofensivo. Es decir, ya no esperan ser atacados para defenderse sino más bien ya están listos y preparados antes del ataque.

    Este año la programación de los ponentes y los temas fueron pensados para que el público asistente tome conciencia que la ciberseguridad debe existir, no solo en el ámbito laboral sino también en todos los aspectos de su vida cotidiana.

    Juampa Rodríguez y Ariel Guzmán de Bolivia dictaron la conferencia sobre “pentest” (pruebas de penetración) a través de la herramienta “Infayer Framework” la misma que se puede conseguir en forma gratuita a través del sitio web “github.com/infayer”.Desarrollado por el equipo de “Moebius Security”, “Infayer Framework” es una herramienta que permite automatizar tareas rutinarias del pentesting, permitiendo agilizar todo el proceso dentro de una auditoria de seguridad.
    “La principal virtud de Infrayer Framework es hacer totalmente todo veloz, simplemente hay que darle la orden de lo que se quiere hacer y lo hace”, indicaron los desarrolladores bolivianos.

    El experto en ciberseguridad y fundador de PERÚHACK, Walter Cuestas, en distendido y notable speech, previa presentación de los hackers bolivianos Juampa Rodríguez y Ariel Guzmán.

    Según Juampa Rodríguez, lo único que se necesita para el manejo de la herramienta es “saber leer, no tiene que tener ningún nivel, la herramienta es bastante sencilla, va por codificación de números, si te pide cero, mayúscula etc. tienes que darle lo que pide”.

    El informático Ricardo Berrospi fue el primer “Ethical Hacker” peruano certificado en Estados Unidos, quien expuso sobre la explotación de vulnerabilidades en “Oracle WebLogic”, que es un servidor de aplicaciones Java, utilizado para alojar servicios, páginas webs, etc. “Es un producto bien posicionado dentro del mercado que ofrece protección, manejo grande de usuarios, que son usadas por bancos, mineras, entre otros”, indicó el experto.

    Patricio Castagnaro, de Argentina, fue otro de los invitados a PERÚHACK, quien brindó alcances sobre una aplicación denominada “FRIDA”, la cual permite hacer una instrumentalización en lo que son las aplicaciones tanto “Mobile” como también para aplicaciones multiplataforma, es decir, para Windows, Linux, Unix, etc.

    El experto argentino, Patricio Castagnaro, posa para Perú Ciberseguro tras finalizar su conferencia

    La culpa es del programador, fue el tema que dictó Saúl Mamani de Bolivia, quien analizó el grado de responsabilidad que tiene el programador en el diseño seguro de las aplicaciones.

    “Cuando el desarrollador no valida datos en los formularios, ocurren problemas como SQL injection (ataque a una base de datos), cross site scripting (agujeros de seguridad) entre otros. Es fácil evitar esta situación si tan solo el programador se enfocara en la seguridad de la aplicación y no solo en cumplir requerimientos funcionales”, explicó Mamani.

    “Hoy presenté -dijo- una herramienta de mi autoría llamada Muña, la cual pueden conseguir a través de la siguiente dirección web: github.com/muña; esta aplicación se encuentra llena de agujeros de seguridad, que sirven, básicamente, para aprender a atacar aplicaciones vulnerables. Tiene dos opciones, ataque y defensa, para que cualquier expositor, profesor o alumno, pueda practicar y utilizar la aplicación a su gusto”, indicó el experto boliviano.

    Elise Cieza y Vitor Esperança, ambos de Brasil, dictaron la charla “Soy administrador de dominio, ¿y ahora?”.

    “Muchas pruebas terminan cuando eres el administrador o controlador del domino, pero lo que hacemos no termina cuando logras la obtención de esa credencial que es la máxima permisión dentro de una red –comenzó su intervención Elise- nuestro trabajo empieza cuando recién se obtiene esa permisión. Tienes que llevar un resultado óptimo para que el cliente entienda cómo un hacker, un atacante en la vida real, pueda hacer daño dentro de la organización”.

    “Es una tarea difícil –prosiguió- las empresas son un poco reacias cuando el administrador les pide potestad para hacer las pruebas de intrusión y así tener la libertad de atacar, no solo la tecnología, sino también a las cuentas personales, haciendo llamadas y enviando correos falsos, etc. Es un poco raro ver compañías que acepten hacer ese tipo de pruebas pues hay mucho temor de parte de los clientes, toda vez que está de por medio mucha información sensible y confidencial”, señaló Cieza.

    Las conferencias de ésta última versión de PERÚHACK, a cargo de expertos informáticos peruanos como William Marchand “Desplazamiento Lateral 101”, Juan Oliva “Attacks In Depth for Web Applications”, y Óscar Martínez “Pentesting de Aplicaciones Móviles”, serán consignadas en las siguientes ediciones de Perú Ciberseguro.

  • Hackers por encargo

    Hackers por encargo

    La seguridad en las tecnologías de la información se ha convertido en una de las mayores preocupaciones para las empresas.

    La eterna bronca

    Desde tiempos inmemorables la lucha del bien contra el mal –la luz y la oscuridad, el ying y el yang, etc.– se ha librado de manera constante a lo largo de la historia de la humanidad. Tales enfrentamientos se han volcado al ámbito informático actual, en lo que llamamos la guerra por la información.

    En los últimos años el Internet ha ingresado de manera arrolladora en la vida diaria de empresas, negocios, casas, etc. Con la red controlando prácticamente todo, la seguridad en las tecnologías de la información (TI), se ha convertido en una de las mayores preocupaciones de las empresas y del público en general.

    Siendo el sector empresarial el más preocupado en resguardar su información ante cualquier ataque malicioso (como el ransomware), actualmente existe la necesidad de contar con una completa plataforma de seguridad, que sea capaz de proteger toda su infraestructura empresarial, datos e información sensible e importante ya que podría ser usado en su contra por la competencia si son hackeados.

    Los servicios de los denominados “Hackers de sombrero blanco”, o informáticos que vulneran los sistemas de seguridad por encargo de la propia empresa , tienen cada vez mayor demanda.

    Hacking ético

    Para prevenir estos peligros, las empresas se hallan en la necesidad de contratar los servicios de profesionales en seguridad de la información, quienes hacen una “auditoría” al sistema. A dicha actividad se le conoce como “hacking ético” o “pruebas de penetración”, las mismas que detectaran dónde se encuentra el peligro o la vulnerabilidad de la empresa.

    Estos “hackers de sombrero blanco” (llamados así porque en las películas del lejano oeste norteamericano, “far west”, el bueno siempre suele llevar uno así), asumen el papel de un ciberdelincuente simulando, mediante sus programas, atacar a la empresa con el objetivo de evaluar cuál es el estado real de su seguridad TI.

    Es imprescindible contar con la autorización de la empresa, mediante un contrato donde queden plenamente estipuladas las obligaciones que debe cumplir el auditor como es la confidencialidad, integridad, secreto profesional, límites de la auditoría, etc. El resultado final indicará los puntos débiles de la empresa y qué pasos deben realizar para eliminar dichas debilidades o mitigarlas.

    PERUHACK

    PERUHACK es una conferencia anual sobre ciberseguridad dedicada a instruir en técnicas avanzadas de hacking y ataques informáticos.

    Anualmente se realizan conferencias sobre el Hacking Ético en diversas partes del mundo, congregando cada año mayor cantidad de asistentes, que encuentran en estos eventos, respuestas a sus inquietudes. Grupos de hacker de sombrero blanco dictan una serie de charlas sobre distintos temas relativos a la seguridad TI. En Argentina tenemos el “Ekoparty”, en Chile el “8.8”, en Colombia el “Colombia 4.0” y en Perú el “PERUHACK”.

    “Luego del éxito de años anteriores, PERUHACK se consolida como la única conferencia 100% técnica, que muestra la seguridad desde la perspectiva de un atacante, lo que permite a los profesionales de seguridad informática y seguridad de la información, conocer sus técnicas y cómo actuar para proteger a sus organizaciones. Esta conferencia va dirigida a personas interesadas en seguridad de la información, desarrolladores de sistemas, estudiantes, hackers, y otros… este año el PERUHACK se realizará el 11 de mayo en el Hotel Meliá”, finalizó.

    Grover Córdova, gerente general de Security Labs y miembro del comité organizador del certamen.