Ya se encuentra disponible para descarga un nuevo ESET Security Report con información relevante sobre el estado de la Seguridad en América Latina.

Este reporte constituye una herramienta de análisis ideal para las empresas que desean conocer el estado actual en materia de seguridad, con información que refleja la situación en la región y constituye un material de suma utilidad para conocer también el pensamiento de CIOs y profesionales de IT en torno a los incidentes relacionados a la materia.

Como adelanto, del reporte surge que más de la mitad de los entrevistados dice que las amenazas más relevantes son la pérdida de datos, los ataques de malware y las vulnerabilidades en las aplicaciones, lo  que expresa claramente la misma situación que desde ESET intentamos transmitir, prevenir y solucionar con nuestro trabajo en más y mejores herramientas de detección proactiva y más educación en la región.

Jorge Mieres
Analista de Seguridad

Categories: Educación, Estadísticas, Gestión, Informes
No Comments »

Si bien existen varias opiniones respecto al Cloud Computing, lo cierto es que esta tecnología llegó para quedarse y, según muchos profesionales, mejorar la productividad del negocio.

Teniendo en cuenta este punto de vista, recientemente se conoció un informe desarrollado por la compañía COLT (que brinda servicios Cloud Computing) a través de la cual se dan a conocer los pensamientos de CIOs en torno a Seguridad de la Información y su relación con la mencionada tecnología.

Para su desarrollo se contó con la opinión de los responsables de IT y seguridad de 13 países de Europa. Del mismo se desprende, fundamentalmente, que el 68% de los encuestados, consideran que la seguridad es el principal obstáculo para la implementación de servicios Cloud Computing. Sin embargo, prácticamente todo el resto manifiesta una rotunda preocupación en torno a la fiabilidad y rendimiento de estos servicios tal y como lo expresábamos hace poco en ¿nube o humo?.

Estos puntos de vista, generan una constante contradicción, ya que por un lado se tiende a pensar que la seguridad es una barrera, cuando debería estar implícito en cualquier toma de decisión que involucre interacción con los activos de una organización; y por el otro, un alto porcentaje de CIOs considera que todavía no están dadas las condiciones tecnológicas del Cloud Computing como para ofrecer un adecuado nivel de fiabilidad.

Si también se tiene en cuenta el potencial que tiene esta tecnología desde el lado malicioso, con acciones fraudulentas que nutren los procesos delictivos del crimeware, aglomerados bajo el término Crimeware-as-a-Services, es importante entender que la implementación de seguridad siempre debe ser considerada, ya que cualquier tecnología constituye, en mayor o menor proporción, un potencial blanco de acceso para un atacante o delincuente.

Jorge Mieres
Analista de Seguridad

Categories: Educación, Estadísticas, Gestión
No Comments »

Como nuestros lectores más fieles sabrán, durante 2009 hemos publicado los ESET Security Report: una serie de reportes recopilando la información que obtenemos de las encuestas que realizamos en los diversos congresos y eventos a los que asistimos.

Por estos días, nos encontramos cerrando un nuevo reporte con toda la información de las encuestas realizadas durante 2009 en todo América Latina, y nos pareció oportuno adelantar algún dato para los lectores del blog.

Una de las preguntas que realizamos en las encuestas es: ¿cuáles son las principales preocupaciones en materia de Seguridad de la Información?, donde una de las opciones es Regulaciones y Estándares. De entre los casi mil encuestados, un 18,80% de estos decidió seleccionar dicha opción como importante, siendo más de ocho de cada diez quienes consideraron que no es uno de los aspectos más importantes respecto a la seguridad de la información en la empresa.

Sin embargo, desde ESET nos preguntamos si este valor sería diferente si se consideraran los encuestados sólo para empresas de tamaños similares. En el siguiente gráfico podrán observar cuál es el porcentaje de personas que consideran importante las regulaciones y estándares, considerando en cada caso independiente según la cantidad de empleados en la organización:

El gráfico marca claramente un incremento en la importancia asignada a regulaciones y estándares, a medida que aumenta el tamaño de la organización. Mientras que entre los encuestados integrantes de empresas de más de 1000 empleados, uno de cada cuatro (25,22%) considera las regulaciones y estándares un problema importante, los encuestados de empresas más pequeñas no han considerado importante este punto, en todos los casos por debajo de uno de cada diez encuestados.

Es decir, mientras que el promedio considerando todos los encuestados es cercano al veinte por ciento; este valor disminuye o aumenta de acuerdo al tamaño de las empresas, demostrando que esta es una problemática considerada de importancia sólo en grandes empresas de más de 1.000 empleados.

Este dato tiene dos connotaciones que se le pueden asignar. Por un lado, es normal que las empresas más grandes se preocupen en mayor medida por normas, estándares, regulaciones, etc. Las pequeñas y medianas empresas suelen estar limitadas en recursos y en muchos casos siquiera tienen necesidades de negocio que les exijan cumplimentar alguna norma. En este contexto, de nuevo, es razonable que sean las grandes empresas que se preocupen principalmente por este tema.

Por otro lado, sin embargo, las normas o estándares suelen ser guías muy importantes en lo que respecta a seguridad de la información. De hecho, no hay necesidad de que el cumplimiento de normas sea obligatorio, sino que estas pueden adoptarse opcionalmente, en pos de mejorar la gestión de la seguridad en la empresa.

Además, vale mencionar que las normas pueden ser adoptadas parcialmente, al menos como guías o buenas prácticas, y que incluso muchas de ellas pueden ser adoptadas sólo en un sector de la organización. Ambas alternativas son viables para empresas de recursos limitados, o menor tamaño en cuanto a cantidad de integrantes.

Sin dudas, las normas y estándares son un factor importante en la seguridad de la información corporativa, y debería ser considerada, aunque con distinta consideración, independientemente del tamaño de la empresa.

Si quieren obtener más información sobre este tema, les recomiendo acceder al curso “Seguridad para PyMEs” en la Plataforma Educativa de ESET Latinoamérica.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión, Informes
1 Comment »

Una encuesta realizada recientemente en Estados Unidos, y publicada en el blog de ESET en Inglés ofrece interesantes datos sobre el uso de dispositivos móviles y las principales amenazas de seguridad.

En primer lugar, algunos datos sobre el estudio: el mismo fue realizado a poco más de 1.000 personas que respondieron sobre sus teléfonos móviles. Respecto a las principales plataformas utilizadas, un 35% de los encuestados utiliza iPhone y un 32% utiliza Blackberry. Vale destacar que el porcentaje de los encuestados es muy distante al que presentáramos anteriormente en la encuesta en Latinoamérica sobre uso de antivirus en dispositivos móviles, donde predominaba Windows Mobile como plataforma (con el 40%). Esta muestra cómo las condiciones económicas en la región, tiene un impacto en las plataformas utilizadas, y por ende en la seguridad.

Seguridad en iPhone

Comencemos con algunos números sobre el popular dispositivo móvil de Apple. Un 55% de los encuestados manifestó no bloquear su dispositivo, y dada la alta tasa de robo y pérdida de estos dispositivos; y la alta tasa de aplicaciones con información sensible (como correo, redes sociales) que se acceden con el iPhone, esto tiene un claro impacto en el robo de indentidad o ataques relacionados a la privacidad o la fuga de información sensible.

Sólo uno de cada cuatro usuarios de iPhone manifestaron utilizar MobileMe, la plataforma para realización de backups. Si a esto se le resta que no todos los usuarios indicaron utilizarla con la frecuencia necesaria, son pocos aquellos que tiene resguardo de la información sensible que reside en los dispositivos.

Malware en dispositivos móviles

Comenzando por el iPhone, un 41% de los encuestados reportó estar preocupados por el malware en dicha plataforma, aunque sólo uno de cada cuatro manifestó  contar con protección al respecto, aunque se confunde en estos casos la protección contra ataques de phishing u otra índole (Apple no ha aprobado el uso de antivirus en estos dispositivos).

En las consideraciones globales, lo mismo ocurre respecto al malware. Sólo un 25% de los usuarios posee soluciones de seguridad antivirus en su dispositivo móvil, a pesar de que al 39% lo preocupan los códigos maliciosos. Uno de cada diez usuarios no cuenta con protección sobre un tema que le preocupa.

Este último valor es superior al arrojado por la encuesta en Latinoamérica, dónde el 28,93% de los encuestados indicaron estar preocupados por infecciones de malware en sus dispositivos. Claramente esta es una tendencia en crecimiento conforme este tipo de incidentes van ocurriendo con mayor frecuencia.

Otras consideraciones

Algunos otros datos interesantes arrojados por la encuesta:

• Un 70% de usuarios de smart phones no cifran sus contraseñas en los dispositivos.
• Un 43% de los usuarios instalan aplicaciones que no han sido creadas por el fabricante o proveedor del servicio, lo cual implica un riesgo de seguridad al que se exponen casi la mitad de los usuarios.
• Un 24% de los usuarios hacen compras con sus dispositivos y un 31% acceden a la banca en línea desde sus teléfonos.

En resumen, como bien indica Randy Abrams en el post en inglés, “está claro que aún quedan lecciones por aprender” en la materia. Claramente con el pasar de los meses el tema de la seguridad en dispositivos móviles se volverá de mayor importancia ya que, como mencionaba anteriormente, los ataques van apareciendo con mayor frecuencia. Si eres un usuario precavido, mejor instalar una solución de seguridad para tu dispositivo antes de que sea víctima de un ataque.

Sebastián Bortnik
Analista de Malware

Categories: Estadísticas, Vulnerabilidades
2 Comments »

Ya cerca de dar comienzo a la Gira Antivirus 2010 (estén atentos, en los próximos días habrá novedades),  nos pareció oportuno aprovechar para compartir con los lectores algunos datos sobre la Gira Antivirus 2009, en la que hemos brindado más de 70 charlas en más de 25 ciudades en 13 países distintos de la región. Como muchos de los asistentes sabrán, en aquellos seminarios que brindamos en Universidades de todo América Latina, los asistentes tienen la oportunidad de llenar una encuesta que nos permite conocer más al estudiante.

Luego de recopilar y analizar la información de más de 2.500 alumnos durante los seminarios el año anterior, compartimos con ustedes algunas de las respuestas de los jóvenes de la región.

Un primer dato interesante respecto a los asistentes a los seminarios, es que el 45,75% de estos manifestó trabajar en tareas relacionadas a sistemas o afines, mientras que sólo un 11,39% de los asistentes a los seminarios posee trabajos no relacionados a sus estudios. El resto de los estudiantes aún no trabaja.

Principales preocupaciones en la materia

Ante la consulta sobre cuáles consideraban las principales preocupaciones en materia de seguridad informática, se muestra a continuación el porcentaje de alumnos que seleccionó cada una de las alternativas:

¿Cuáles considera las principales preocupaciones en materia de Seguridad de la Información?

• Pérdida de Datos / Fuga de Información: 76,85%
• Fraudes y/o Estafas: 73,72%
• Malware: 64,10%
• Vulnerabilidades de software y sistemas: 52,21
• Concientización de usuarios: 24,72%
• Software no licenciado: 17.45%
• Otro: 0,64%

Como se puede observar, los fraudes y estafas y la pérdida de datos o fuga de información son los temas manifestados de mayor gravedad por los estudiantes, siendo seleccionados por más del 70% de estos. Posteriormente se ubican los códigos maliciosos (64,10%) y las vulnerabilidades de software y sistemas (52,21%), ambas problemáticas relacionadas a los sistemas informáticos y computadoras en forma directa.

Educación en seguridad

Seis de cada diez usuarios manifestaron que la educación en seguridad informática es esencial, siendo inferior al 5% aquellos que la consideraron de media, baja o nula importancia.

Respecto a la propia capacitación de los estudiantes, casi la mitad de ellos (45,40%) manifestaron informarse en la materia sólo esporádicamente, siendo sólo uno de cada diez los universitarios que mencionaron leer información relacionada a la seguridad diariamente.

Uso y mal uso del sistema operativo

Sin grandes sorpresas, las tasas de uso de los sistemas operativos es la siguiente (los datos superan el 100% porque hay estudiantes que utilizan más de un sistema operativo):

• Windows: 97,01%
• Linux: 21,73%
• MAC OS: 0,86%

Es interesante destacar que claramente el público universitario no representa los mismos porcentajes de uso que el mercado global. A pesar de que Microsoft Windows es claramente el dominador del mercado, los estudiantes poseen una tasa de uso de Linux mayor a la de MAC OS, en contrario con lo que indican los estudios globales de mercado, como NetMarketShare (ubicando por encima del 5% a MAC OS y cercano al 1% a Linux) o los variados estudios que se citan en la Wikipedia (con valores similares a los anteriores).

Sin embargo, y lamentablemente, los estudiantes sí se parecen al resto de los usuarios en cómo utilizan el sistema operativo. Ante la consulta de cada cúanto actualizan sus sistemas operativos y actualizaciones, podemos observar que casi un 15% de los usuarios no actualiza nunca su software (¿será el mismo porcentaje de usuarios que sigue infectado con Conficker?):

¿Cada cuánto actualiza su Sistema Operativo?

• Semanalmente: 23,00%
• Mensualmente: 21,07%
• Cuando se lanzan: 40,04%
• Nunca: 15,89%

Consultando a este selecto grupo sobre cuál es el motivo por el que no se aplican los parches de seguridad, las respuestas son variadas (y algunas preocupantes). Casi uno de cada diez usuarios manifestó que “las actualizaciones no brindan ninguna ventaja“. Un 22% de los usuarios indicó que no actualiza el sistema operativo por no contar con las licencias correspondientes, y el 32,37% indicó que “desconoce” qué son las actualizaciones. Este último dato refuerza la importancia de la concientización en seguridad, ya que un usuario educado sabrá mejor cómo proteger sus sistemas.

En resumen, esperamos que la información haya sido de interés. Como les mencionaba al comenzar, en las próximas semanas estaremos dando comienzo a la Gira Antivirus 2010 (estén atentos los de más al norte), y esperamos poder encontarnos con ustedes en los distintos países que vayamos visitando, y continuar con el compromiso con la educación en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Estadísticas
3 Comments »