Recientemente PCI DSS (Del inglés, Payment Card Industry Data Security Standard), la organización dedicada a certificar la seguridad de la información en empresas que comercializan y realizan transacciones con tarjetas de crédito, ha liberado su informe “2011 PCI Compliance Report”, que incluye información estadística y analítica sobre las empresas que han intentado (y eventualmente logrado) certificar en la norma PCI. Tal como reporta Anton Chuvakin en el blog oficial, 8 de cada 10 empresas que certificaron el último año, no han logrado certificar en el 2011. Este dato, además de alarmante, refleja algo que siempre menciono en contextos de concientización en empresas: la seguridad es un proceso.

Cuando escribí los 10 mandamientos de la seguridad corporativa, ponía en el número nueve:

No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.

Las estadísticas recientemente publicada por PCI DSS hablan justamente de ello: muchas empresas consideraron que sus buenos resultados el último año eran un sinónimo de “seguridad”, y es por ello que evidentemente han descuidado la protección de su información en los últimos 12 meses. Sólo un 21% de las empresas han logrado superar en dos años consecutivos los requerimientos impuestos por la organización.

La seguridad no es un proyecto, es un proceso; y las certificaciones no pueden distraernos en el camino hacia trabajar por una protección continua de la información corporativa. Cualquier prueba o evaluación realizada, no solo hace un año, sino hace unos meses; puede hoy ser insuficiente si no se acompañó el proceso posterior a la evaluación con más medidas de seguridad, y la actualización necesaria según los cambios de la empresa y del propio entorno (y por ende las amenazas).

Para ser más claros: las medidas de seguridad que hoy están implementando en su empresa, pueden dejar de ser eficientes en un año, en diez años, o mañana; pero sin lugar a dudas en algún momento dejarán de serlo, o necesitarán una revisión u otra capa de seguridad. No podemos pensar la seguridad como un cúmulo de tecnologías o medidas aplicadas en un tiempo determinado, sino que es necesaria la revisión y toma de decisiones constante en esta materia.

Esto, por supuesto, hace el trabajo del Oficial de Seguridad de la Información y todas las personas involucradas más complejo, y lamento informarles que así es, y justamente por ello es recomendable someter a la empresa periódicamente al análisis del estado de la seguridad, ya sea desde el punto de vista tecnológico como así también de otros aspectos de gestión de la seguridad y procesos.

Para más información les recomiendo leer el informe completo. Para más protección, ¡manos a la obra!

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Estadísticas, Gestión
No Comments »

Una vez al mes es lanzada la encuesta de ESET Latinoamérica hacia nuestros lectores, en la cual puedan brindarnos sus opiniones acerca de la temática. En esta oportunidad nuestros lectores han respondido acerca del Hacktivismo.

En primera instancia es importante familiarizarnos con el término. El Hacktivismo (acrónimo de hacker y activismo) se trata de la utilización no violenta de herramientas digitales con fines políticos, que acompañen y fomenten al activismo fuera del ámbito de la informática.

Una de las preguntas más importantes presentadas en la encuesta es la siguiente:

¿Cree que este tipo de acciones deberían estar penalizadas?

Tal y como se puede apreciar en el gráfico, un 19.2% del total de los encuestados no cree que estos tipos de ataques deberían ser penalizados. Este es un dato muy interesante, debido a que es la reacción de los cibernautas ante dichos ataques, lo cual conlleva a que el porcentaje anteriormente indicado de la población, podría brindar ayuda a estas organizaciones. A pesar de esto, es indispensable la penalización de todo acto criminal, para así impedir las acciones de estos grupos que atentan contra la propiedad privada de distintas organizaciones. De igual manera que atacan a sitios privados ó públicos, pueden hacerlo también a los usuarios que deciden ayudarlos.

Es por esta razón que es necesaria la creación, renovación y utilización de leyes para contrarrestar el crimen cibernético en todos sus aspectos. Esto, sumado a que un gran número de personas están de acuerdo con el comportamiento de estos grupos Hacktivistas, más precisamente un 17.9% del total encuestado, así también como otro gran porcentaje prestan su ayuda a dichos grupos, arroja como resultado el aumento de estos ataques, tanto en Latinoamérica como a nivel mundial, tal y como el 78.9% de los participantes de nuestra encuesta opinan.

En resumen, es importante recordar que las acciones tomadas por estos grupos Hacktivistas no son mas que un ataque así como lo haría cualquier desarrollador de malware, por ejemplo el preparativo del ataque del grupo Anonymous a Wallstreet, amenazando con generar una “revolución”. Como se ha indicado anteriormente, estos ataques deberían ser penalizados, y no recibir ayuda para cumplir sus fines.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Estadísticas
2 Comments »

En el día de ayer, compartimos con ustedes cómo hacen los atacantes para robar 8000 contraseñas de Hotmail. En este post, queremos compartir con ustedes cuáles son las contraseñas más utilizadas por los usuarios brasileños, y veremos qué tienen en común y la seguridad de las mismas. Para ello, realizamos un análisis de todas las contraseñas obtenidas por el phisher, con el ánimo de conocer cuáles son las costumbres de los usuarios en el uso de claves para su cuenta de correo.

Sin más preámbulos, compartimos con ustedes el top 10 de contraseñas en Brasil:

1. 123456
2. 123456789
3. 1234567
4. jesucristo
5. 12345678
6. FaMiLia
7. 555555
8. MARCELO
9. iloveyou
10. diosesamor

Como se puede observar, de las 10 contraseñas más utilizadas, la mitad de ellas son numéricas. Como ustedes sabrán, esto es una de las malas prácticas que algunos usuarios suelen tener. Sobre todo si se trata de una secuencia de números como 123456 . Recuerden: una contraseña es fuerte cuando tiene más de 8 caracteres.

La otra mitad del top 10, lamentablemente, no se trata de contraseñas alfanuméricas, sino que las otras 5 contraseñas que completan este ranking solo contienen letras, otro punto negativo ya que de esta manera, se trata de una clave débil, que podría ser vulnerada. Recuerden: una contraseña es considerada fuerte cuando es una combinación de números, letras y caracteres especiales. Por ejemplo: Contraz3na#.

Como pueden observar, las tres contraseñas más utilizadas por los usuarios brasileños son numéricas y ascendentes. Como dijimos antes, una falla muy importante de seguridad. Por otro lado, se puede ver de manera muy clara, que todas las claves compuestas por letras, se encuentran en minúsculas o mayúsculas a excepción de una sola que es una combinación de ambas, lo que podríamos decir que es la clave más fuerte de este ranking (FaMiLia). Sin embargo, no deja de ser una clave débil.

Entre todas las claves analizadas, podemos tomar un punto a favor y es la longitud promedio de las mismas, valor que ronda en los 9 caracteres, como se observa en el siguiente gráfico:

Ver m�s… »

Categories: Curiosidades, Estadísticas
3 Comments »

Todos los meses nuestros lectores comparten información acerca de sus usos y costumbres. En esta oportunidad, han respondido en la encuesta mensual de ESET Latinoamérica acerca de fuga de información. Repasemos qué es lo que piensan nuestros lectores sobre esta problemática.

Desde Wikileaks, a finales del 2010, la seguridad de la información es un tema que ha vuelto a estar en boca de todos. Pero Wikileaks es solo la punta del iceberg. Desde ese entonces hasta el día de hoy hemos sido testigos de distintos casos de fuga de información, en donde a través de un ataque informático, infección de un código malicioso u otras tantas causas, datos importantes de compañías fueron publicados en la web.

Ser víctimas de la fuga de información, es un tema que preocupa tanto a los usuarios como a las empresas y es debido a ello que suelen tomar recaudas para proteger su información. Para los usuarios la fuga de información es un tema muy importante, y el 67,7% de los usuarios esta preocupado acerca de la posibilidad de que sus datos sean expuestos sin su consentimiento.

Los usuarios tratan de proteger su información de la mejor manera posible a través del uso de soluciones antivirus como ESET NOD32 Antivirus, con firewalls y contraseñas fuertes, pero, ¿qué pasa cuando su información es protegida por alguien más? Cuando la información del usuario es relegada a un empresa que ofrece un servicio, son ellos quienes se comprometen a proteger sus datos, pero si la seguridad de la empresa se ve vulnerada, ¿qué hace el usuario?

Cuando una empresa que ofrece un servicio y se ve afectada por el robo de información, esto impacta de manera directa en la confianza de sus clientes. Según los resultados de la encuesta, ante un caso de robo de información, el 62,9% de los usuarios dejaría de utilizar el servicio, es decir que la empresa perdería a 6 de cada 10 clientes por no proteger bien su información.

Ver m�s… »

Categories: Estadísticas
1 Comment »

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Randy Abrams publicado en el blog de ESET en inglés donde podrán ver la opinión del especialista de ESET a nivel mundial, acerca de las preocupaciones de los usuarios en lo que respecta a seguridad y cuáles son sus comportamientos a pesar de ello.

Una reciente encuesta realizada por ESET y conducida por Harris Interactive, desde el 31 de mayo hasta el 2 de junio, reunió la opinión de más de 2000 personas mayores de edad y encontró una gran diferencia entre las preocupaciones de los usuarios en lo que respecta a privacidad y seguridad en comparación a sus acciones en las redes sociales.

En primer instancia el estudio encontró que el 69% de los usuarios de las redes sociales se preocupa acerca de la seguridad en los sitios web, sin embargo un tercio de los usuarios nunca cambiaron  las contraseñas de sus cuentas y el 15% hace más de un año que no lo hace.

Otro de los datos revelados por la encuesta es que uno de cada diez usuarios reportó que alguien desconocido obtuvo acceso a su cuenta en redes sociales para propagar enlaces maliciosos. Esto es particularmente alarmante debido a que un acceso no autorizado amenaza contra las seguridad en línea del usuario y la de sus contactos – como se ha observado en numerosas ocasiones, incluyendo los scams acerca de la muerte de Osaba Bin Laden.

La encuesta también encontró que 67% de los usuarios se preocupan acerca su privacidad en las redes sociales pero solo el 55% asegura actualizarlas menos de una vez cada 6 meses. Esto puede ser algo problemático en materia de seguridad. Un claro ejemplo de esto es Facebook, cada vez que se modifican las políticas de privacidad de los usuarios los mismos no son notificados.

Ver m�s… »

Categories: Estadísticas, Redes Sociales
No Comments »