sábado, 13 de mayo de 2017

Ciberataque mundial de ransomware: #WannaCry afecta a casi 100 paises


Actualización a domingo 14 de mayo: el ataque fue detenido "fortuitamente" en el día de ayer cuando un investigador registró un dominio que figuraba en el código del programa de ransomware. Posteriormente se descubrió que el dominio fue incluido por los atacantes como forma de evadir las técnicas de análisis; pero tuvo el efecto contrario una vez que el dominio fue registrado. De todas maneras es importante destacar que, si bien por el momento la expansión del código malicioso fue detenida, lo fue bajo su actual codificación, por lo que no se puede descartar que pueda reanudarse el ataque informático bajo otras formas. Por ello, es imperioso actualizar los sistemas Windows con los últimos parches de seguridad disponibles.

Post original:

Desde el día de ayer viernes 12, las infraestructuras informáticas de miles organizaciones públicas y privadas en casi cien países son blanco del mayor ataque de ransomware de la historia. Entre los países afectados figuran los Estados Unidos, Canadá, China, Italia, Japón asi como España, Rusia, Ucrania y Taiwan.

¿Pero que es el ransomware? Básicamente es un programa que encripta y bloquea el acceso a parte o a todos los datos de un dispositivo informático. El atacante entonces requiere el pago de una suma de dinero (normalmente pagadera en bitcoins u otro medio de dificil trazabilidad) a cambio de la clave que permite el desbloqueo de los archivos comprometidos.

En este caso en particular, el programa de ransomware es el llamado WannaCry, El mismo aprovecha una vulnerabilidad del sistema operativo Windows que Microsoft había solucionado mediante un parche de seguridad distribuído el pasado marzo. Parece ser entonces que WannaCry está aprovechando la vulnerabilidad en máquinas que no han aplicado la solución de seguridad. Hasta el momento se desconoce la identidad de los atacantes, que están pidiendo un rescate que va de los 300 a los 600 dólares de acuerdo al tiempo de pago.

¿Como podemos evitar ser víctimas de un ataque de este tipo? Sin ser esta una lista extensiva, hay dos pasos sencillos:

  • Mantener actualizados tanto el sistema operativo como las aplicaciones y programas de nuestro dispositivo informático. Para evitar recordar hacerlo, los programas permiten configurar las actualizaciones de manera automática y en horas que no perturben el uso normal de la computadora.
  • No acceder a enlaces web o archivos sospechosos, asi como no bajar programas a la computadora cuya procedencia no sea de los sitios oficiales del desarrollador.

Asimismo, es muy importante tener un backup o respaldo actualizado de nuestros principales archivos, preferentemente en un dispositivo externo (flash drive, disco duro externo) asi como que, en caso de haber sido victimas de este cibercrimen, no acceder a la demanda de los atacantes, ya que no solamente el pago los alienta a seguir cometiendo este delito sino que tampoco hay garantías de recibir la clave de desbloqueo o que esta efectivamente funcione.

Fuentes:

http://money.cnn.com/2017/05/12/technology/ransomware-attack-nsa-microsoft/index.html

https://www.clarin.com/mundo/masivo-ciberataque-afecto-74-paises-incluyo-45-000-incidentes_0_BJ9WEqXxb.html

https://www.wordfence.com/blog/2017/05/massive-global-ransomware-attack-underway-patch-available/?utm_source=list&utm_medium=email&utm_campaign=051217


lunes, 8 de mayo de 2017

Hay vida después de WhatsApp: 5 aplicaciones alternativas

Y se cayó WhatsApp.

¿Y ahora que hago (hacemos)?

Antes que nada, mantener la calma. La última caída de la popular aplicación de mensajería instantánea, duró aproximadamente un par de horas, dejando a millones de sus usuarios sin servicio. Si bien ni WhatsApp ni su controlante Facebook dieron a conocer las causas de la caída, se cree que la misma puede haber sido producto de un pico en la cantidad de mensajes causantes por lo tanto de un cuello de botella en las comunicaciones o bien una falla en el desarrollo de nuevas features del producto.

Entonces, el plan debe ser como sobrevivir a dos horas sin poder whatsappear. ¿Como? Sencillo, utilizar alguna de las tantas aplicaciones alternativas. Aquí les presentamos cinco de ellas para que un nuevo apagón del telefonito verde no nos deje incomunicados.

Signal



Ideal para los que priorizan la seguridad por sobre el diseño y la moda. El registro se efectúa mediante un código de verificación enviado al móvil. La seguridad viene dada porque todos los mensajes están encriptados y además se pueden bloquear los mismos con fecha de caducidad. También se pueden bloquear las capturas de pantallas (tan en boga en programas televisivos y en las redes sociales). Se pueden hacer llamadas por ella y las mismas van encriptadas. Lo que se dice seguro, es seguro.

Para descargar la aplicación (Android) haga click aquí

Wire



Una de las aplicaciones favoritas como alternativa a WhatsApp. Se destaca por su sencillez, seguridad y posibilidad de manejo por gestos. Es posible confirgurar el tiempo de vida de los mensajes,fotos y videos. Aquellos que son propietarios de una cuenta Spotify Premium pueden vincular su cuenta a Wire. Se puede ejecutar también desde una computadora o desde una tablet. Es de código abierto, por lo que cualquiera puede verificar la seguridad del mismo revisando el código disponible en GitHub.


Para descargar la aplicación (Android) haga click aquí

Telegram



Quizás la mas conocida de las alternativas a WhatsApp, esta app se destaca también por su seguridad, ya que es posible utilizar los "chats secretos" que se autodestruyen luego del tiempo especificado por el usuario. Además, por defecto todas las comunicaciones son encriptadas. Para aquellos que gustan de los chats grupales, Telegram permite grupos de hasta 5000 usuarios, configurar bots para tareas específicas asi como intercambiar archivos de cualquier tipo.


Para descargar la aplicación (Android) haga click aquí

Google Hangouts




Hangouts es la aplicación de mensajería de Google que permite una amplia integracion con todos los productos de la compañía de Mountain View. Permite chats de hasta 150 usuarios, admitiendo el uso de todo tipo de archivos multimedia. Además se pueden establecer videollamadas (gratuitas hasta 10 participantes), llamadas telefónicas via VoIP (las llamadas entre usuarios de Hangouts son sin cargo) y mensajear a los contactos de la lista aún si estos se encuentran fuera de línea.


Para descargar la aplicación (Android) haga click aquí


Google Allo




Esta es la nueva joya de Google. Mezcla de WhatsApp e Instagram con un toque de Snapchat, posee interesantes carácteristicas, como la de "aprender" el comportamiento del usuario por lo que luego sugiere respuestas a textos y fotos como si fueran del propio usuario. Además no es necesario bloquear las mayúsculas para gritarle virtualmente, ya que se puede cambiar el tamaño del texto del mensaje pasando rápidamente el dedo sobre el mismo. También es posible incorporar a una conversación a Google Assistant para que nos "ayude" en cualquier búsqueda o acción que querramos hacer al tiempo de la conversación.


Para descargar la aplicación (Android) haga click aquí


Para mayor información sobre estas y otras aplicaciones de mensajería  - http://www.androidpit.es/aplicaciones-alternativas-whatsapp

lunes, 17 de abril de 2017

No soy yo, sos vos: La ciberseguridad y nuestras relaciones de negocio


Hemos hecho muy bien todos los deberes sobre la ciberseguridad. Todos los sistemas y las aplicaciones de la empresa están al día en materia de parches y fixes de seguridad informática. Nuestra red tiene varias capas de defensa contra ataques maliciosos y el universo organizacional está atento a cualquier intento de intrusión por parte de los chicos malos.

Ahh, tarea cumplida.

¿Seguro?

En el mundo tecnológico de hoy, no estamos solos. Nuestros sistemas están interconectados unos con otros. Sobre todo, cuando de empresas se trata. Alianzas de negocios, joint ventures y otras formas asociativas hacen que permitamos a terceros ingresar a nuestros equipos, aplicaciones y datos.

Y allí aparece un gran problema.

Es mas que probable que nuestro socio de negocios, proveedor o subcontratista acceda a nuestro mundo informático con sus propios equipos, los cuales corren sus propios sistemas operativos y aplicaciones. Sobre los cuales no tenemos control, es decir, no conocemos cual es su estado en cuanto a la seguridad informática. Entonces, lo que es un acceso perfectamente válido se termina convirtiendo en la peor de las pesadillas.

¿Y como lo evitamos?

Si bien no existe la seguridad perfecta, no es menos cierto que tomando ciertas medidas reduciremos ampliamente la posibilidad de ser hackeados por cibercriminales. Entre otras podemos mencionar:
  • Analizar si es realmente necesario otorgar un acceso a nuestros sistemas.
  • De ser asi, entonces permitir el ingreso solamente a las aplicaciones y subsistemas necesarios para el desarrollo del negocio. No otorgar accesos generales.
  • Establecer políticas y procesos para el ingreso de terceras partes.
  • Establecer que la empresa se reservará el derecho de revisar cualquier dispositivo a ser utilizado para el ingreso a sus sistemas.
  • Educar tanto al personal propio como ajeno para evitar las brechas de seguridad producto de ataques de ingeniería social.
  • Establecer un proceso de comunicación entre ambas organizaciones, a efectos de conocer cuanto antes si la otra parte ha sufrido un ataque informático asi como de cualquier modificación en la plantilla de quienes están autorizados a ingresar a nuestras aplicaciones.
  • Cerrar todos los accesos a sistemas y aplicaciones al finalizar la relación de negocios.
Entonces, lo importante no es cerrarse y caer en un estado de paranoia. Estudie, evalúe opciones. Consulte a los que saben. Diseñe medidas, expréselas y delas a conocer. Y sobre todo, póngalas en práctica. Porque sino, cualquier disposición que haya previsto para evitar un daño por parte de un partner o proveedor no valdrá ni el papel en la que está escrita. Y le terminará saliendo muy caro.



Fuentes:
http://www.muycanal.com/2017/04/11/negocio-proveedores-ciberseguridad

http://procadox.com/suppliers-cyber-security/

martes, 11 de abril de 2017

Lo que hay que saber (también) para ir a la nube



Finalmente, tomamos la decisión. Nos vamos a la “nube”. No, no significa que vamos a soñar despiertos o a dejar vagar nuestra mente. Significa que, en tanto organización, vamos a comenzar a utilizar - o a migrar hacia – los servicios y recursos de la tecnología de la información compartidos fundamentalmente a través de Internet.

(Porque en definitiva, eso es el “algo-as-a-service” o el cloud: acceder a un servicio o recurso que nos provee un tercero. Nada muy distinto a los modelos de servicios de computación basados en mainframe o cliente-servidor del pasado. ¿La diferencia? Internet los hizo globales, económicos y escalables).

Por supuesto, como buenos y prudentes hombres de negocios que somos, hemos hecho nuestros deberes. Hemos analizado alternativas, comparado las distintas features que nos ofrecía cada proveedor y los costos asociados, de manera de optar por aquella que encaje en el presupuesto disponible. También examinamos en detalle las características técnicas de cada solución, para elegir la que mejor se adapte a nuestras necesidades.

Ahh, tarea cumplida.

¿Seguro?

Como ese cartel que encontramos en muchos comercios, ¿no nos habremos olvidado de algo? Si, nos olvidamos de algo. Contratar un servicio implica bastante mas que saber que poder de computación voy a tener, cuantos gigas de almacenamiento tendré disponibles y que tan rápido podrá el proveedor atender mis necesidades de expansión.

Entonces, ir a la nube también supone hacerse otras preguntas. Preguntas que tienen que ver con lo mas valioso que le vamos a entregar a nuestro proveedor: nuestra información. Antes de tomar cualquier decisión deberíamos saber también:
  • Donde estarán ubicados físicamente nuestros datos.
  • Cuales son las leyes que se aplican en esa ubicación sobre la transmisión, almacenamiento y el procesamiento de datos.
  • Cuales son las medidas de seguridad informáticas y físicas que se aplican sobre la información.
  • Que niveles de privacidad se aplican sobre los datos.
  • Cual es el tiempo estándar en que podremos recuperar la información (toda o parte de ella).
  • Cuales son las políticas de resguardo y de disaster recovery del proveedor.
  • Cual es la política de retención de datos luego de la finalización del contrato (por cualquier causa).
  • Si vamos a poder recolectar evidencia forense desde el servicio contratado.
  • Si el proveedor ofrece asistencia técnica durante un incidente de seguridad.

Preguntemos. No supongamos. Tener disponible la mayor cantidad de información posible sobre las características del servicio y del futuro proveedor nos evitará – o al menos las hará menos problemáticas y costosas – desagradables consecuencias.

viernes, 10 de abril de 2015

Eliminar el papel moneda ¿Cuestión económica, tecnológica o de libertad?

¿Es posible eliminar todo el papel moneda de un pais determinado? ¿Cuales serían las consecuencias sociales, legales, tecnológicas y económicas de tal medida? Estas preguntas surgen a raiz de la nota de opinión publicada en el matutino La Nación con la firma del diputado nacional Federico Sturzenegger. En la misma, el economista del PRO sugiere, para eliminar la informalidad reinante en la economía argentina, eliminar todo el papel moneda circulante y dejar solamente las monedas metálicas. Entiende Sturzenegger que la informalidad se da solamente con los billetes de mayor denominación, entonces retirándolos de circulación y/o no imprimiendolos se lograría una mayor formalidad económica, beneficiándose la sociedad con, por ejemplo, la reducción de la carga impositiva.

 La propuesta gira básicamente en obligar a que todos los individuos - debemos entender como tal a todos los habitantes del pais mayores de 18 años - tengan una cuenta bancaria sin costo y hagan uso de la misma para efectuar la mayoría de las transacciones económicas, mediante el uso de elementos informáticos tales como smartphones. Asimismo sugiere convocar a empresas como Apple para que desarrollen sus versiones de dinero electrónico en nuestro país y expandir el uso de la tarjeta SUBE como medio de pago electrónico.



Volviendo ahora a las preguntas que nos haciamos al principio ¿que tan posible es una medida de este tipo? Desde un punto de vista puramente teorico (y económico), está claro que es posible, ya que se estaría reemplazando un medio de pago por otro. Cambiarían las formas simplemente. Ahora bien, llevada al plano practico, esta claro que aparecen otras cuestiones e interrogantes que dificultarían la implementación de la propuesta. En primer lugar indice de bancarización en Argentina es bajo, basicamente porque hay falta de confianza en el sistema (recordemos la confiscación de depósitos y la pesificación asimetrica del año 2002). El argentino medio percibe al banco no como un aliado para sus transacciones económicas (o como vehiculo de inversión) sino como una especie de supraorganización orientada a utilizar los dineros de los clientes para su propio y exclusivo beneficio. Por otra parte, si bien en nuestro país el comercio electrónico avanza a paso firme, no es menos cierto que el pais carece de la infraestructura comunicacional necesaria para soportar tal avance (1). Hoy dia se presentan problemas de conectividad - sobre todo a nivel móvil - que seguramente se agravarían con el acceso de aquellos obligado a utilizar el sistema de moneda electrónica.

Dejamos adrede por su importancia para este párrafo final el tema de la pérdida de libertad. Creemos que el centralizar el intercambio económico de un pais es coartar la libertad del individuo. Hoy dia tanto el Estado como numerosos entes privados poseen volúmenes increibles de informacion acerca de quienes somos, con quien interactuamos, cuales son nuestros gustos y en que gastamos nuestros dineros, todo ello a través de acciones propias de las personas tanto como por acciones de vigilancia estatal. Si se diera un proyecto de este tipo (inclusive sin llegar al extremo de retirar todo el circulante en papel) el Estado sumaría información que podría ser usada en contra de los ciudadanos, para ejercer un control social y político inadmisible en un estado republicano y de derecho. No es centralizando operaciones comerciales mediante el uso de la tecnología que el Estado logrará controlar la evasión y la informalidad en la economía, sino mediante la reducción de gastos innecesarios, asignación eficiente de partidas asi como el uso de reglas claras y simples que tiendan a la mayor libertad social, económica y política.

                              -----------------------------------------------------------------------------

(1) Nótese que en esta semana se conoció la noticia acerca de que las operadoras móviles terminaron con los planes de Internet ilimitado para sus usuarios, con lo cual no es solamente una cuestión de estructura sino de politica comercial de las empresas - http://www.lanacion.com.ar/1782439-los-smartphones-y-el-4g-van-de-la-mano-de-las-quejas-por-los-cambios-en-los-abonos-de-telefonia-movil

Fuentes:

http://www.cronista.com/finanzasmercados/El-nivel-de-bancarizacion-en-la-Argentina-es-el-mas-bajo-de-toda-America-latina-20110209-0056.html

http://www.cace.org.ar/novedades/el-comercio-electronico-crecio-un-485-en-argentina-y-ya-son-mas-de-12-millones-los-argentinos-que-compran-por-internet/

http://www.lanacion.com.ar/1621563-internet-la-web-argentina-es-cada-vez-mas-cara-y-mas-lenta

domingo, 14 de diciembre de 2014

El ataque informático a Sony o una lección sobre como debemos administrar nuestros datos

A fines del mes pasado, se conoció la noticia acerca del ciberataque a las redes corporativas de la empresa de entretenimiento Sony Pictures Entertainment. Inicialmente se especuló con que Corea del Norte podria estar tras dicha acción, debido a la la película de Sony "The Interview", una comedia sobre un complot para asesinar al líder norcoreano, Kim Jong Un, y programada para ser lanzada el 25 de diciembre. Luego la investigación se dirigio al grupo auto denominado "Guardianes de la Paz" o GOP por sus siglas en inglés, ya que los mismos fueron los encargados de solicitar el retiro de la pelicula mencionada, cuestión sobre la que el país asiático declaró no tener relación alguna con tal grupo.

Si bien en un principio el daño fue medido entre unos 10 a 100 millones de dólares, el mismo puede considerarse incalculable debido a la profundidad de la penetración en los sistemas de Sony. Desde la pérdida de su empleo por parte de la vicepresidenta ejecutiva Amy Pascal, hasta la filtración de miles de datos personales y sensibles de 47000 empleados de la compañía, así como de varias estrellas del espectáculo como Angelina Jolie, James Franco, Sylvester Stallone y hasta Beatriz, la nieta de la reina de Inglaterra pasando por peliculas sin estrenar como  como "Still Alice", "Annie", "Mr. Turner" y "To Write Love on Her Arms" las cuales se encuentran en sitios no autorizados de Internet para descargas o streaming.

Pero aquí queremos hacer hincapié en un aspecto particular del hackeo. Es el que tiene que ver con el contenido de los correos electrónicos corporativos filtrados. Comentarios de tono racista hacia el presidente de EEUU Barack Obama como si deberian pedirle fondos para filmar peliculas del estilo de "El mayordomo", "12 años" o "Django unchained", todas ellas relacionadas con la esclavitud y el racismo hacia la población negra. También se pudieron leer descalificaciones a actores, tal el caso de Angelina Jolie, a la que el productor Scott Rudin calificó de "niña maleducada con talento mínimo" e infantil, irresponsable y caprichosa.

Queda en evidencia por lo visto que Sony no tenia una verdadera política de administración de datos (o su universo poblacional no la respetaba). Dentro del ciclo de vida de la información - generación, uso, almacenamiento, archivo y borrado / eliminación - la primer politica a establecer tiene que ser la del del correcto uso de los elementos informáticos de la empresa, sean estos software, hardware o servicios. La misma debe incluir un apartado sobre los contenidos de la información, es decir, el lenguaje empleado tiene que estar en un todo de acuerdo con la actitud del "buen hombre de negocios". Se debe evitar el uso de lenguaje "gracioso", de contenido sexual, discriminatorio o que incite a la violencia. Tales directivas (y el eventual control que se pueda hacer de todo documento generado dentro de la organización) deben estar orientadas a evitar las responsabilidades legales que se pudieran generar, asi como el daño indirecto por la pérdida de prestigio y reputación de la empresa. Junto con las necesarias politicas de seguridad de la información (como dato curioso, los administradores de la seguridad de Sony guardaban sus contraseñas en directorios con el nombre Passwords) las políticas de uso y generación de la información bien implementadas ayudarán, no quizás a evitar totalmente ataques de este tipo, pero si a minimizar su ocurrencia o a mitigar los posibles daños recibidos.

Fuentes:

http://gizmodo.com/sony-kept-thousands-of-passwords-in-a-document-marked-1666772286?utm_campaign=socialflow_gizmodo_facebook&utm_source=gizmodo_facebook&utm_medium=socialflow

http://gizmodo.com/sony-pictures-top-lawyer-s-emails-exposed-in-latest-lea-1669594084

http://cultura.elpais.com/cultura/2014/12/13/actualidad/1418471192_060470.html

http://elpais.com/elpais/2014/12/05/estilo/1417801727_106345.html

http://eleconomista.com.mx/tecnociencia/2014/12/11/sony-pide-disculpas-obama-mensajes-filtrados

http://eleconomista.com.mx/tecnociencia/2014/12/01/fbi-investiga-ciberataque-sony-pictures?cx_Unoticias=Nota05