GCCVIEWS

Etiqueta: seguridad informática

  • Vulnerabilidad crítica en Linux: desafíos para la seguridad de código abierto

    Linux
    El pingüino Tux es la mascota de Linux, un sistema operativo que nació en 1991. Wikimedia Commons

    Hace apenas un mes saltaba la noticia de la aparición de una vulnerabilidad crítica en sistemas Linux que ponía en riesgo la seguridad de millones de ordenadores en Internet.

    Nos referimos a un sistema operativo de código abierto (open source), lo que quiere decir que su código fuente está disponible de manera pública. Esto permite que cualquier persona pueda estudiar su código, modificarlo e, incluso, distribuirlo. Normalmente, nos acostumbramos a trabajar sobre una distribución (como Debian, Ubuntu, Fedora, Red Hat…), que es una especie de “adaptación” de Linux. Todas las adaptaciones comparten la misma base: el núcleo o kernel de Linux.

    Linux mag / Wikimedia Commons
    Linus Torvalds, principal autor del kernel de Linux. CC BY

    A diferencia de los sistemas operativos propietarios como Windows o macOS, donde el código fuente es un secreto guardado por las empresas que los desarrollan, Linux se basa en la colaboración y la transparencia. Esta característica fundamental ha sido tanto su mayor fortaleza como su mayor desafío en términos de seguridad.

    La transparencia del código abierto permite una auditoría constante por parte de una amplia comunidad de desarrolladores, lo que garantiza su calidad y la detección rápida de posibles vulnerabilidades.

    Sin embargo, esta misma transparencia también puede ser aprovechada por usuarios malintencionados para intentar insertar código malicioso, como ha sucedido recientemente con el kernel de Linux.

    Descubierta una puerta trasera

    El kernel de Linux, software que constituye la parte fundamental de cualquier sistema operativo, actúa como intermediario entre el hardware y el software, garantizando estabilidad, seguridad y eficiencia. Sus componentes, como el administrador de memoria y el gestor de procesos, optimizan el uso de recursos y la ejecución de aplicaciones.

    Uno de estos componentes es XZ Utils (anteriormente conocido como LZMA Utils), una colección de utilidades de compresión y descompresión de datos diseñadas para sistemas Linux, que utilizan el algoritmo de compresión XZ/LZMA.

    Un desarrollador de Microsoft, Andrés Freund, notó que los inicios de sesión eran más lentos de lo habitual: 500 ms más lentos. Estos fallos le hicieron sospechar y seguir buscando hasta encontrar el error.

    El código malicioso se encontraba en versiones beta de distribuciones Linux muy populares, como Red Hat o Debian. Aparentemente, estas versiones no se estarían utilizando en entornos de producción reales. Tras este hallazgo, tanto Red Hat como Debian emitieron comunicados de alerta sobre el peligro potencial.

    El pasado 23 de febrero, se introdujo código ofuscado en el repositorio de XZ Utils, que se comportaba como una puerta trasera (secuencia especial del código de programación mediante la cual se pueden evitar los sistemas de seguridad del algoritmo para acceder al sistema).

    Comunicado de Andres Freund en la red social Mastodon, el 29 de marzo de 2024, informando de su descubrimiento.

    Al día siguiente, en una actualización, el script de instalación se volvía malicioso al insertarse en funciones utilizadas del servicio de conexión remota SSH o Secure Shell, un protocolo cuya principal función es el acceso remoto a un servidor por medio de un canal seguro en el que toda la información está cifrada..

    El desarrollador JiaT75 fue responsable de estos cambios. Tras haber colaborado altruistamente con el proyecto XZ Utils durante varios años, aprovechó la confianza generada en la comunidad open source para realizar estas acciones sin levantar sospechas.

    Infiltrado con malas intenciones

    Si investigamos un poco sobre este usuario, podemos ver que comenzó con su perfil de GitHub el 26 de enero del 2021. Participó con otros proyectos durante más de un año antes de empezar a colaborar en el repositorio de XZ Utils. No fue hasta mayo del 2022 cuando se pueden apreciar sus primeras aportaciones.

    La identidad real de JiaT75 ha suscitado preocupantes teorías, incluida la posibilidad de que no sea un cracker aislado, sino parte de un grupo respaldado por algún gobierno.

    Este grupo habría construido cuidadosamente un perfil como desarrollador de código abierto hasta convertirse en mantenedor del proyecto XZ Utils, solo para utilizar su posición para infiltrarse en millones de máquinas a través de la puerta trasera.

    En cualquier caso, aunque no hay pruebas concluyentes que respalden esta hipótesis, la complejidad y la meticulosidad del ataque sugieren la participación de actores con recursos y conocimientos significativos en el ámbito de la ciberseguridad, el desarrollo de software y los proyectos open source. El cóctel perfecto para lograr su cometido.

    Una comunidad que colabora frente a las amenazas

    La infiltración de un desarrollador y la inserción gradual de código a lo largo del tiempo ha sorprendido a todos y ha dejado al descubierto una realidad preocupante: es la primera vez que se introduce código malicioso en Linux de esta manera.

    Esta novedad plantea distintas preguntas sobre la seguridad del ecosistema de código abierto y la forma en que se abordan los riesgos emergentes.

    Mapa conceptual del software libre.
    VARGUX / Wikimedia Commons, CC BY

    ¿Cómo se pueden prevenir estos ataques en el futuro? La respuesta requiere una evaluación detallada de los procesos de desarrollo. Se necesitan medidas más rigurosas de supervisión y validación del código para detectar vulnerabilidades antes de que afecten a los usuarios finales.

    Este incidente nos recuerda los desafíos constantes que enfrenta la seguridad de la información en la era digital. El movimiento del software libre ha transformado nuestra forma de utilizar la tecnología, en la que destaca la colaboración global y una actitud proactiva para proteger nuestras infraestructuras digitales de amenazas cada vez más sofisticadas.The Conversation

    Álvaro Núñez – Romero Casado, Docente en Máster de Seguridad Informática, UNIR – Universidad Internacional de La Rioja

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • Uso de Hacking Ético para prevenir las vulnerabilidades en su empresa

    Con la irrupción del Covid 19, el aumento a las violaciones de datos y los ataques cibernéticos se han incrementado; sin embargo, han dejado de ser un evento mediático, a menos que sean a poderosos bancos o instituciones. Un tema preocupante es que cada vez se vuelven más sofisticados y constantes. Con el uso masificado de las tecnologías emergentes como el Internet de las cosas, a las que la mayoría no les presta atención, el problema se intensifica, dado que les brinda a los piratas informáticos nuevos mecanismos y vehículos para el ataque.

    De ahí que las empresas (y las personas también) deben procurar mantenerse al día con las motivaciones y tácticas cibercriminales que cambian constantemente. Aún cuando debido a la rápida implementación del teletrabajo, muchas compañías están optando por migrar grandes volúmenes de datos y aplicaciones a la nube,  en la rapidez empujada por el Covid, muchos errores se han cometido, como el dejar atrás porciones de información desprotegida que los hackers pueden explotar.

    ¿Qué pasos deben seguir las empresas para evitar ataques cibernéticos? Una de las mejores formas de evaluar una amenaza de intrusión es contar con profesionales independientes de seguridad informática que busquen penetrar en sus sistemas. Estos “hackers éticos” emplean las mismas herramientas y técnicas que los intrusos, pero con el propósito de evaluar la seguridad de los sistemas de las compañías contratantes e informar a los propietarios sobre las vulnerabilidades encontradas, junto con los reportes y las instrucciones de cómo remediarlas.

    El hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas, reparando las vulnerabilidades detectadas durante las pruebas. También está obligado a revelar todas las vulnerabilidades descubiertas. Esta autorización es muy rígida, que blinda legalmente tanto a los hackers éticos como a las empresas. Es una decisión difícil para quien autoriza un acceso extraño a sus sistemas, pero al menos hay que agradecer que existen estas soluciones de mercado que permiten estar un poco más protegidas a las organizaciones y por ende, sus activos más valiosos, que son los datos.

    Si bien puede parecer una mala idea el hacer uso de piratas informáticos para ayudar a planificar y probar ciberdefensas, es importante saber que su experiencia, idéntica a quienes intrusan sistemas en forma no autorizada, puede ser muy valiosa.

    Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar cada vector de ataque posible, y así proteger las aplicaciones. El proceso debe ser planificado con antelación, los aspectos técnicos, de gestión y estratégicos deben ser sumamente cuidados, y llevar a cabo las etapas en un marco de control y supervisión constante.

    Existen varias maneras de reclutar hackers éticos, el método más común es un esquema de “recompensa por vulnerabilidad” que opera bajo términos y condiciones estrictas contractuales. De esta manera, cualquier hacker ético puede buscar y enviar vulnerabilidades descubiertas y con ello ganar una recompensa dineraria. Uno de estos servicios más conocidos y que recomendamos, es HackTrophy, que es un servicio destinado a probar la seguridad de las plataformas de Internet, lanzada en Marzo de 2017.

    Para los clientes, se les ofrece la posibilidad de que sus sistemas sean probados por un programa de «recompensa de errores», en que expertos informáticos de todo el mundo pueden participar. Estos expertos intentarán encontrar vulnerabilidades en los sistemas registrados. El principal beneficio para los clientes es la experiencia de multitud de expertos globales, que son hackers que están registrados en el programa y buscan debilidades de seguridad en la aplicación sometida. De esta forma, el cliente puede encargarse de la seguridad de sus sistemas, beneficiándose en ambos métodos, ofensivos y preventivos. La motivacion para los hackers éticos participantes no solo es el prestigio sino también el dinero del premio, que se paga por cada una de las vulnerabilidades de seguridad encontradas para el primer hacker que lo descubrió.

    Datos para tomar en cuenta: Los piratas informáticos atacan hasta 37,000 páginas web todos los días; hay un 86% de posibilidades de que su sitio web contenga una vulnerabilidad crítica que pueda causar la pérdida de datos confidenciales; el costo de reparar el daño causado por un ataque de piratería asciende a entre 35,000  y  9,5 millones de dólares. Siempre en el mejor de los casos y que el ataque no sea tan feroz que implique la pérdida de su compañía.

    Según Hackerone 2019, la comunidad de hackers éticos se ha duplicado año tras año. El año pasado, se repartieron cerca de USD 80 millones en recompensas. El informe también estima que los piratas informáticos éticos que más ganan pueden lograr hasta cuarenta veces el salario medio anual de un ingeniero de software.

    Diversas empresas optan por contratar de manera directa a piratas informáticos externos, algunos de ellos incluso con historial de actividad criminal, quienes sólo tienen en abundancia la experiencia práctica. Al final del día, un hacker es un hacker, la única diferencia es lo que hacen los éticos y los delincuentes una vez que encuentran un error o vulnerabilidad.

    Si desea conocer más sobre hacking ético, no dude en consultarnos. Este asesoramiento es gratuito, online y en tiempo real, por un máximo de 30 minutos por sesión. Las sesiones son en idioma inglés.

    Para concretar su cita, escríbanos a info@goethalsconsulting.com o llamar al 6679-2750/6676-9280.

  • La relevancia del Responsable de la  Seguridad de la Información

    La relevancia del Responsable de la  Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer).

    El Foro Económico Mundial en su Informe Global de Riesgos del 2018, identifica que dentro de los riesgos más preocupantes a nivel mundial por su probabilidad de ocurrencia e impacto, son los ciberataques y al robo o uso fraudulento de los DATOS. Siendo por ello, una de las grandes preocupaciones a nivel global tanto en el entorno público como privado. La dependencia de las redes y de los sistemas de información para el bienestar, la estabilidad y el crecimiento naciones es un hecho. Como también lo es la interdependencia de tecnologías e infraestructuras.

    Para las empresas, los nuevos paradigmas como son la Transformación Digital, el uso de soluciones basadas en la Nube o Cloud Computing, la incorporación de dispositivos IoT, el Big Data, suponen un cambio en la forma de entender cómo la tecnología facilita el negocio.

    Por otro lado, la tendencia Fast, Cheap & Easy en la gestión de Sistemas de Información para reducir el tiempo y los costos  de la provisión de nuevas soluciones y que se apoya en metodologías ágiles (Lean, DevOps, Agile) supone tanto un reto en la elaboración de los Análisis de Riesgos, como en el control del desarrollo y hace más importante la necesidad de tener en cuenta la Seguridad de la Información desde el diseño y durante todo el ciclo de vida de cualquier Producto o Servicio.

    Todos los actores están preparándose a este nuevo escenario. La Administración pública y la privada a nivel global están centrando sus esfuerzos en la definición de distintos marcos regulatorios: La Estrategia de Ciberseguridad, el Reglamento General de Protección de Datos Personales, la Seguridad de las Redes y los Sistemas de información, la normativa sobre protección de infraestructuras críticas y la normativa de seguridad privada. Todas ellas con un factor común, establecer un conjunto de criterios o medidas de seguridad a aplicar. No debería sorprendernos que Panamá inicie este camino también.

    Es por todo ello, por lo que el papel del Responsable de Seguridad de la Información (CISO por sus siglas en inglés de Chief Information Security Officer) cobra un papel trascendental en las organizaciones del siglo XXI. La seguridad por defecto, desde el diseño y la debida gestión de los riesgos de seguridad son elementos clave para garantizar la supervivencia de las organizaciones del futuro, y en general de la sociedad. Debe ser capaz de poder cohesionar la estrategia en materia de Seguridad de la Información de las organizaciones.

    No obstante, dependiendo de cada entidad estas funciones del CISO pueden ser asignadas a otros roles (o junto con otros roles) dentro de la estructura organizativa.

    Algunos de estos roles son: el del CRO (Chief Risk Officer), el COO (Chief Operating Officer), CIO (Chief Information Officer) DPO (Data Protection Officer), CDO (Chief Data Officer), CTSO (Chief Technology Security Officer) o CSO (Chief Security Officer). En todo caso, será cada entidad quien deba definir el modelo organizativo y de relación en materia de seguridad dentro de su organización prevaleciendo el principio de segregación de funciones. En función de la madurez de las entidades y su sensibilidad ante la seguridad de la información el rol del CISO se encontrará jerárquicamente enmarcado: en la alta dirección (formando parte de los comités de dirección), en la Dirección de IT – Tecnologías de la Información, en la Dirección de Riesgos o en Seguridad Corporativa.

    Esté donde esté, sin lugar a dudas el CISO es una figura clave dentro de las organizaciones debiendo definirse claramente sus atribuciones y su perfil. Desde Goethals Consulting lo asesoramos cómo hacerlo.

  • El riesgo de tener un Registro Único de Beneficiarios

    Durante el absurdo intento de lavarle la cara al sistema de sociedades anónimas tras el fiasco de los Panamá Papers, se cometió el grave error de contratar a dos personajes internacionales, que son de la opinión de que el sistema de sociedades off-shore no debería existir, para dar recomendaciones sobre cómo reparar el sistema.

    Una de las recomendaciones que éstos sugirieron, y que también sugieren entidades como Transparencia Internacional, es la de crear un Registro Único de Beneficiarios finales. O sea, que se sepa quiénes están detrás de las acciones de una sociedad anónima, en casos delictivos y de evasión fiscal por lo menos, todavía no se habla de los casos civiles.

    El beneficiario final sería la persona que tiene el control verdadero de los derechos que le otorga la acción, como el recibir dividendos o tomar decisiones de gobierno corporativo en última instancia o de derechos de propietario sobre la sociedad anónima. Ya el velo corporativo, que no existía para casos penales, tampoco va existir para los casos de evasión fiscal, aunque por ahora se mantiene para los casos de demandas civiles entre particulares.

    Tras el registro de Agentes Residentes, el siguiente paso es el Registró Único de Beneficiarios Finales, en otro vano intento de salvar el sistema offshore panameño. Porque nada indica que las presiones del exterior vayan a cesar. A cada medida que Panamá toma, se le añaden nuevas a futuro.

    La razón, como la explica Carlos Barsallo, es clara. Panamá tiene un record de tomar medidas novedosas en la legislación, solo para ignorarlas o cumplirlas a medias en la práctica. Pero aparte de eso, hay quien dice que el sistema bancario offshore no debería existir y que no importa lo que haga Panamá, nunca la dejarán tranquila. Veremos quién tiene razón.

    Ahora bien, supongamos que Panamá sigue a Stiglitz, a Pieth y a Transparencia Internacional… Y crea un Registro Único de Beneficiarios finales, como ya se ha aprobado en la legislación aunque no se ha promulgado todavía. Esto trae otros riesgos importantes.

    Uno de los grandes problemas de los Panamá Papers, es que la empresa que fue hackeada, Mossack y Fonseca, por razones de eficiencia, tomó la medida de digitalizar todos sus archivos, desde el “conoce tu cliente”, a la correspondencia regular y sus sociedades. Y la firma creó una red global de corresponsales que compartían esos archivos. El hacking fue devastador. Quedaron desnudos ante el mundo. Un ataque similar a un Registro Único de Beneficiarios podría tener resultados similares, mejor dicho, peores aún.

    Ahora bien, hay un tema serio de seguridad versus eficiencia. La eficiencia mandaría a tener toda la información digitalizada y disponible a las autoridades automáticamente. La seguridad manda a que existan barreras físicas y no solo electrónicas al manejo de la información.

    Una posible solución es la solución de baja tecnología usada por personajes como el tristemente célebre Osama Bin Laden. El mismo, logró evadir los ataques informáticos de la CIA y la NSA mediante una solución muy sencilla. Sacó a sus computadoras de la red, de tal manera que la información fluía por medio de USB y disco duros externos de la su red a la red exterior.

    Un Registro de Beneficiarios podría funcionar así. Una intranet, sin contacto directo con el exterior, donde se guarda toda la información relevante y con todos los puertos USB, WiFi, Bluetooth o cualquier conexión que no implique cables de fibra óptica, deshabilitados. El lugar donde se guarden las joyas de la corono no debe tener contacto directo electrónico con el mundo exterior. No ventanas (los hackers han logrado penetrar computadoras usando drones por ejemplo, o mediante sensores de vibraciones de voz que impactan en las paredes), bloqueador de teléfonos celulares o jaulas Faraday. Control de acceso de las personas que entren al lugar, registrando el quién, cuándo, cómo y para qué alguien entra al sitio. Y un cuarto seguro, donde se ingresa la información del mundo exterior, de computadoras conectadas a la Web, USBs, o discos duros externos, a la intranet. Esto tomará tiempo pero si no se hace, el cómo, cuándo y dónde se dará un robo de información a lo Mossak y Fonseca es una serie de preguntas que serán respondidas a su debido tiempo.

    Si vamos a aceptar ineficiencias para tratar de salvar la venta de sociedades panameñas, hagámoslo bien.

  • No proteger los datos personales será violación a las leyes panameñas a partir de marzo 2021

    Panamá entra en la lista de los países que han entendido la importancia de proteger los datos personales.

    Por esta razón en la Gaceta Oficial del viernes 29 de marzo de 2019 fue publicada la Ley 81 de Protección de Datos Personales del 26 de marzo de 2019 que será efectiva a partir de dos años.

    Esta ley, como lo menciona su artículo 1,  tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección de datos personales, considerando su interrelación como la vida privada y demás derechos y libertades fundamentales de los ciudadanos, por parte de las naturales o jurídicas, de derecho público o privado, lucrativos o no, que traten datos personales en los términos previstos en esta ley.

    En mis escritos anteriores he tratado de llamar la atención de las empresas de la importancia de tomar en serio la protección de los DATOS, ya que en el mundo digital los DATOS son la vida de las empresas, así como la sangre le da vida a nuestro cuerpo y por eso tenemos que protegerla y cuidarla.

    Proteger bien sus datos está directamente relacionado a la Ciberseguridad, también conocida como Seguridad de la Tecnología de la Información.

    La ciberseguridad  se ha convertido en una profesión y comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

    La Ley 81, le ha trasladado esta responsabilidad de protección de los datos a las Empresas, así como lo expresa en su artículo 2.5:

    Principio de seguridad de los datos: los responsables del tratamiento de los datos personales deberán adoptar las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos bajo su custodia, principalmente cuando se trate de datos considerados sensibles,  e informar al titular, lo más pronto posible, cuando los datos hayan sido sustraídos sin autorización o haya indicios suficientes de que su seguridad haya sido vulnerada.

    En un mundo que cada vez se hace más complejo, sabemos que la única manera de hacerle frente a la complejidad es por medio de la especialización. Esto lo hemos aprendido del cuerpo humano, donde un médico general no es suficiente para entender y resolver la complejidad del cuerpo.

    Por esta razón sabemos que los especialistas en seguridad de la información son los únicos que nos pueden ayudar a reducir el riesgo de la pérdida de nuestros datos, ya que ellos como especialistas están siempre actualizados en cómo proteger, cerrar y disminuir las vulnerabilidades ante un posible ataque informático.

    Cada empresa es experta en su nicho de negocio y por lo general en la MISION/VISION de cada una es ser líder en lo que hacen,  por eso les recomendamos que permitan a los especialistas en Ciberseguirdad encargarse de la protección de sus datos, mientras ellos se encargan de ser los líderes en lo que hacen.

    En cuanto al Principio de confidencialidad, la ley dice: Todas las  personas que intervengan en el tratamiento de datos personales  están obligados a guardar secretos o confidencialidad respecto de estos, incluso cuando hayan finalizado su relación con el titular o responsable del tratamiento de los datos, impidiendo el tratamiento o uso no autorizado.

     Sanciones

    El organismo competente para el cumplimiento de las obligaciones de esta Ley es la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) salvo en el caso de sujetos regulados por leyes especiales que deberán ir a la autoridad reguladora competente, en primera instancia.

    Este organismo está facultado para imponer sanciones, las cuales podrán oscilar entre los $1,000.00 y los $10,000.00 dependiendo de la gravedad y recurrencia. Así mismo, podrá imponerse igualmente advertencia escrita, citación ante la ANTAI, clausura del registro de la base de datos o suspensión e inhabilitación de la actividad de almacenamiento y/o tratamiento de datos personales.

    El responsable del tratamiento de los datos personales deberá indemnizar el daño patrimonial y/o moral que causara por el tratamiento indebido de estos. Imagine ahora cómo le exigirá el debido cuidado y certificaciones su compañía aseguradora al momento de evaluar este nuevo riesgo.

    Con esta ley, se establece claramente la  obligación de fijar Procedimientos, Protocolos y Procesos para la gestión y transferencia de datos que incluyan los métodos de seguridad necesarios. En Goethals Consulting le podemos asesorar para que esta ley no lo tome por sorpresa.

  • ¿Sabe cuál es el día para proteger sus datos?

    Hoy y siempre…

    Pero se ha escogido cada 28 de enero para celebrar el Día Internacional de la Protección de Datos Personales, una iniciativa adoptada por el Consejo de Europa y la Comisión Europea.

    Para despertar en ustedes mayor interés  en que terminen de leer este artículo, traigo a reflexión la siguiente frase que ha sido muy famosa y también muy utilizada por casi todos los seres humanos, incluyéndolos a todos ustedes: …”uno no sabe lo que tiene,  hasta cuando lo pierde”…

    ¿Por qué se escogió un día del año para celebrar lo antes mencionado ?

    Precisamente por eso, para llamar a la reflexión de la importancia de proteger el bien más apreciado en este Era Digital, los DATOS.

    La pérdida de DATOS como la pérdida de VIDAS es una realidad que forma parte del mundo en el que vivimos, tanto la vida como los datos debemos de cuidarlos todos los días.

    No soy médico, pero puedo hablar de la vida porque poseo una, y aunque ignore ciertas enfermedades que ponen en peligro mi vida, no por eso dejo de ser responsable.

    Fui CIO de una gran Empresa cuyos datos fueron expuestos y sufrimos el cierre de la misma. Luego les contaré cómo ocurrió.

    Comparto con ustedes los siguientes datos para que lo consideren:

    El 50% de las empresas que pierden su información a causa de desastres, robos, error humano, virus, fallas de hardware, etc. desaparece inmediatamente, mientras el 93% lo hace en un año después.

    Así como la sangre es sinónimo de VIDA para el ser humano, así mismo lo son los DATOS para las empresas y la seguridad y reputación para los individuos.

    Recientemente vimos como los datos personales del Ex-presidente Varela, fueron expuestos en las redes sociales conocidos como los famosos Varela-leaks que llegaron en su momento a ser tendencia. Con esto les digo que si a un presidente en ejercicio le ocurre ésto, ¿qué nos espera a nosotros?!.

    La única y pequeña diferencia entre aquellos individuos y empresas que no han sido hackeados o expuestos sus datos de aquellos que sí, es que los interesados (o los enviados a hackear) no se han fijado aún en ellos.

    Existe un mundo que no conocemos, lo ignoramos completamente, pero NO porque lo ignoramos ese mundo deja de existir. Me refiero al mundo o lado oscuro de la red, conocida como la Dark Net. En este lado oscuro es donde operan todos los que están al acecho de nuestros DATOS.

    ¿Qué es la DarkNet?

    Se conoce como Internet profunda o Internet invisible (en inglés: Deep Web, Invisible Web, Deep Web, Dark Web o Hidden Web) a todo el contenido de Internet que no forma parte del Internet superficial, es decir, de las páginas indexadas por las redes de los motores de búsqueda de la red.

    Por su propia naturaleza, el tamaño de la Deep Web es difícil de calcular. Pero los mejores investigadores universitarios dicen que la web que conocemos -Facebook, Wikipedia, las noticias- representa menos del 1% de toda la World Wide Web.

    Cuando navegas por la web en realidad sólo estás flotando en la superficie. Si te sumerges encontrarás decenas de billones de páginas -un número inconmensurable- que la mayoría de la gente nunca ha visto. Y que incluye de todo, desde estadísticas hasta tráfico (ilegal) de órganos humanos.

    Hasta el momento se considera que existen 6 niveles de profundidad en la Internet (podemos hablar de cada uno más adelante) y lo que se comercializa como oro en polvo son los DATOS.

    Nuestra ignorancia de este lado oscuro no nos exime de responsabilidades.

    Por esta razón nuestro País promulgó la ley de protección de datos personales en la Gaceta Oficial del viernes 29 de marzo de 2019 la cuál será efectiva dentro de dos años. Sobre este tema, más adelante,  escribiré un artículo, resaltando los puntos más relevante a seguir

    Más allá de las estadísticas que reflejan cómo las empresas se ven afectadas debido a la pérdida de datos, si hablamos de factores como tiempo, costo, o la reputación de la empresa, la pérdida afecta a las organizaciones en diversas formas. Sin embargo, frente a la pérdida de información, contar con un plan de recuperación de datos es la mayor solución a este tipo de situaciones.

    Compartimos oportunamente este artículo el día de hoy, no solo para llamarlos a la reflexión, sino también para extenderles la mano para colaborar en proteger su bien más apreciado.

    Para que vea nuestro compromiso con la protección de sus datos, en Goethals Consulting les ofrecemos todos los servicios necesarios para protegerlos. Pueden comenzar por hacer un pequeño test básico  de penetración para ver qué tan segura está su información, sobre todo, aquellas organizaciones que se caracterizan por un gran volumen de manejo de data sensible.

  • PÉRDIDA DE INFORMACIÓN, PÓLIZA DE SEGURO, AJUSTADOR, LA LETRA CHICA DE LAS ASEGURADORAS y las preguntas que se deben responder.

    Hay dos sensaciones después de sufrir una pérdida de información.

    • Impotencia ante la pérdida.
    • La esperanza de recuperación.

    Antes de continuar con este tema y saber si es de interés para Ud., quiero hacerle la siguiente pregunta:

    • ¿Qué tan importante es la información (data) para su Empresa en la escala del 1 al 10?

    Si su respuesta es menos de 7, este artículo no es para Ud. y lo invito a leer otro tema de nuestra revista.

    Si su respuesta es 7 o más, le recomiendo leer con detenimiento lo que sigue a continuación. Empezaremos por definir el concepto de SEGURIDAD DE LA INFORMACIÓN:

    En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial; la información está centralizada y puede tener un alto valor, quizás el activo más importante de su empresa. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

    Crítica: Es indispensable para la operación de la empresa.

    Valiosa: Es un activo de la empresa y muy valioso.

    Sensible: Debe de ser conocida por las personas autorizadas.

    Existen dos palabras muy importantes que son riesgo y seguridad:

    Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones del negocio.

    Seguridad: Es una forma de protección contra los riesgos.

    La seguridad de la información comprende diversos aspectos, entre ellos, la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad y recuperación de los riesgos.

    Precisamente la reducción o eliminación de riesgos asociados a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto la protección de los sistemas, el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.

    En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos o fórmulas de producción, entre otros, caigan en manos de un competidor o se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.

    Ante la impotencia por la pérdida de la información sólo se podrá salir de este estado si se cuenta con una Póliza de Seguro con esta cobertura, de lo contrario, JAMÁS  se podrá salir de este estado de impotencia.

    La esperanza de recuperación dependerá de los siguientes factores:

    • Póliza Vigente con la cobertura apropiada.
    • Cómo responder las preguntas del AJUSTADOR.

    ¿Sabe si su póliza cubre la pérdida de la información en todos sus aspectos?

    ¿Sabe cuáles son las áreas de interés donde se enfocarán las preguntas del ajustador para determinar el porcentaje de la cobertura que le corresponde?

    Áreas
    Equipos de Seguridad de Redes
    Autenticación al directorio Activo
    Revisión y validación de políticas
    Informes periódicos de equipos de seguridad
    Manejo de Información
    Información sensitiva estática
    Información digital en movimiento
    Conectividad de Usuarios
    Redes Wifi
    Estaciones de Trabajo
    Dispositivos móviles
    Departamento de IT
    Credenciales, Roles  y Privilegios
    Servicios Externos
    SLA

    La pérdida de información y  la reputación (y/o quiebra) de su Empresa están directamente relacionadas y sólo es cuestión de tiempo a que alguien pueda violar su seguridad si no implementa las políticas y protocolos necesarios.

    Si no sabe cómo cumplir o responder estas preguntas, en Goethals Consulting lo podemos ayudar para que se asegure el 100% de su cobertura en caso tal el infortunio toque sus puertas.