Continuando con nuestro post titulado ¿Dónde está el perímetro?, y ya presentada la problemática, cabe preguntarse: ¿cuáles son los componentes que han propiciado este nuevo escenario? Diversas innovaciones en materia de hardware, software y conectividad, son las que han hecho del perímetro un concepto obsoleto como base de la seguridad de una red informática.

En primer lugar, en materia de hardware, se han comenzado a popularizar una serie de dispositivos que poseen la posibilidad de transportar información (potencialmente sensible) desde y hacia la red de la empresa, a través de las personas (sus dueños o poseedores), que utilizan dicha información no sólo cuando están dentro de la red corporativa, sino también en otros ámbitos como su hogar, otras organizaciones o redes, o incluso en movimiento, en el tren, en el
avión, entre otras posibilidades. En esta categoría podemos mencionar los dispositivos USB, las laptops y los diversos smartphones; todos ellos expuestos a riesgos como el robo (físico), el robo de información, la alteración de la misma, infección por códigos maliciosos, robo de identidad, accesos no autorizados, y otros.

En lo que respecta a conectividad, en los últimos años se han extendido notablemente las posibilidades de conectarse a Internet, por medio de los mismos dispositivos de hardware antes mencionados. Los nuevos enlaces de banda ancha móvil (como GPRS o 3G) permiten la conexión continua de dispositivos móviles como computadoras portátiles o smartphones. Con la banda ancha, las redes estaban 24 horas conectadas. Con la banda ancha móvil, el usuario está 24 horas conectado.

Por último, en materia de software, una serie de aplicaciones dan soporte a estos dispositivos de hardware, proporcionando a los usuarios herramientas que permiten trabajar y optimizar las conexiones a Internet móviles. Por ejemplo, herramientas de sincronización de información para computadoras de escritorio, laptops y/o smartphones; o tecnologías de acceso remoto, que permiten conectarse a otras redes como si el usuario estuviera dentro del área de
trabajo, por lo general utilizando Internet como infraestructura para tal fin.

En resumen, la interacción entre avances de software, hardware y conectividad han modificado la forma en que los usuarios hacen uso de los recursos corporativos, y el modelo de seguridad basado en el perímetro ya no ofrece respuestas acordes a las amenazas y riesgos actuales.

Si quieren conocer más sobre cómo diagramar la seguridad en este nuevo escenario, pueden consultar nuestro artículo Movilidad del usuario: seguridad en la era de la conectividad en el Centro de Amenazas de ESET Latinoamérica.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Gestión, Informes
No Comments »

Ya se encuentra disponible para descarga un nuevo ESET Security Report con información relevante sobre el estado de la Seguridad en América Latina.

Este reporte constituye una herramienta de análisis ideal para las empresas que desean conocer el estado actual en materia de seguridad, con información que refleja la situación en la región y constituye un material de suma utilidad para conocer también el pensamiento de CIOs y profesionales de IT en torno a los incidentes relacionados a la materia.

Como adelanto, del reporte surge que más de la mitad de los entrevistados dice que las amenazas más relevantes son la pérdida de datos, los ataques de malware y las vulnerabilidades en las aplicaciones, lo  que expresa claramente la misma situación que desde ESET intentamos transmitir, prevenir y solucionar con nuestro trabajo en más y mejores herramientas de detección proactiva y más educación en la región.

Jorge Mieres
Analista de Seguridad

Categories: Educación, Estadísticas, Gestión, Informes
No Comments »

Durante diciembre de 2009, ocurrió el que se considera el mayor robo de contraseñas hasta el momento cuando la empresa RockYou, una red social especializada en aplicaciones y publicidad, perdió mas de 32 millones de claves y otra información de sus usuarios (como el correo electrónico) debido a que almacenaba las mismas en texto claro en su base de datos.

Así comienza el informe preparado por Imperva en donde se hace un recorrido desde los ‘90 hasta la fecha llegando a la conclusión inevitable de que las costumbres de los usuarios no ha cambiado: se sigue utilizando contraseñas cortas y pobres, lo que facilita el trabajo de los delincuentes que, por otro lado cada vez utilizan herramientas más sofisticadas (hasta el punto de que a través de fuerza bruta pueden obtenerse alrededor de 1.000 cuentas en 17 minutos).

De acuerdo al informe casi el la mitad de las cuentas comprometidas en el caso de RockYou, utilizaban 5, 6 o 7 caracteres y quizás no utilizaban menos porque el sitio no lo permite. Si a esto se suma que el 40% sólo utiliza caracteres  en minúscula y el 16% sólo utiliza números, el problema se torna preocupante y explica gran parte de los inconvenientes actuales con el robo de credenciales. Cabe mencionar que sólo el 4% utiliza caracteres especiales.

La siguiente imagen muestra y da una idea clara de la gravedad del problema debido a la cantidad de personas que utilizan contraseñas sencillas:

Como puede verse los problemas son variados y podrían resumirse de la siguiente forma:

• Miles de empresas y sitios web almacenan las contraseñas de usuarios en texto claro, lo que significa que si la base de datos es expuesta un atacante externo se lleva el premio mayor, toda la información de sus clientes.
• Las compañías tienen problemas de gestión y seguridad que permiten a personal interno acceder a los registros confidenciales de clientes y usuarios.
• Utilizar contraseñas nulas o pobres en una red corporativa, facilita infecciones como las logradas por gusanos como Conficker.
• Aún ignorando los problemas anteriores, los usuarios no utilizamos contraseñas fuertes o reutilizamos las mismas (como lo explica este otro informe de Trusteer) en cientos de sitios sin considerar la información manipulada en cada uno: da lo mismo una red social que el Home-Banking. Esto significa que si alguien roba su información de la red social, también tendrá acceso a su cuenta bancaria.

Sin dudas estas consideraciones deben ser tenidas en cuenta cuando se desarrolla un sistema con acceso a datos de los usuarios y también cuando se selecciona una contraseña.

Cristian Borghello
Director de Educación

Categories: Educación, Gestión, Informes
No Comments »

Como nuestros lectores más fieles sabrán, durante 2009 hemos publicado los ESET Security Report: una serie de reportes recopilando la información que obtenemos de las encuestas que realizamos en los diversos congresos y eventos a los que asistimos.

Por estos días, nos encontramos cerrando un nuevo reporte con toda la información de las encuestas realizadas durante 2009 en todo América Latina, y nos pareció oportuno adelantar algún dato para los lectores del blog.

Una de las preguntas que realizamos en las encuestas es: ¿cuáles son las principales preocupaciones en materia de Seguridad de la Información?, donde una de las opciones es Regulaciones y Estándares. De entre los casi mil encuestados, un 18,80% de estos decidió seleccionar dicha opción como importante, siendo más de ocho de cada diez quienes consideraron que no es uno de los aspectos más importantes respecto a la seguridad de la información en la empresa.

Sin embargo, desde ESET nos preguntamos si este valor sería diferente si se consideraran los encuestados sólo para empresas de tamaños similares. En el siguiente gráfico podrán observar cuál es el porcentaje de personas que consideran importante las regulaciones y estándares, considerando en cada caso independiente según la cantidad de empleados en la organización:

El gráfico marca claramente un incremento en la importancia asignada a regulaciones y estándares, a medida que aumenta el tamaño de la organización. Mientras que entre los encuestados integrantes de empresas de más de 1000 empleados, uno de cada cuatro (25,22%) considera las regulaciones y estándares un problema importante, los encuestados de empresas más pequeñas no han considerado importante este punto, en todos los casos por debajo de uno de cada diez encuestados.

Es decir, mientras que el promedio considerando todos los encuestados es cercano al veinte por ciento; este valor disminuye o aumenta de acuerdo al tamaño de las empresas, demostrando que esta es una problemática considerada de importancia sólo en grandes empresas de más de 1.000 empleados.

Este dato tiene dos connotaciones que se le pueden asignar. Por un lado, es normal que las empresas más grandes se preocupen en mayor medida por normas, estándares, regulaciones, etc. Las pequeñas y medianas empresas suelen estar limitadas en recursos y en muchos casos siquiera tienen necesidades de negocio que les exijan cumplimentar alguna norma. En este contexto, de nuevo, es razonable que sean las grandes empresas que se preocupen principalmente por este tema.

Por otro lado, sin embargo, las normas o estándares suelen ser guías muy importantes en lo que respecta a seguridad de la información. De hecho, no hay necesidad de que el cumplimiento de normas sea obligatorio, sino que estas pueden adoptarse opcionalmente, en pos de mejorar la gestión de la seguridad en la empresa.

Además, vale mencionar que las normas pueden ser adoptadas parcialmente, al menos como guías o buenas prácticas, y que incluso muchas de ellas pueden ser adoptadas sólo en un sector de la organización. Ambas alternativas son viables para empresas de recursos limitados, o menor tamaño en cuanto a cantidad de integrantes.

Sin dudas, las normas y estándares son un factor importante en la seguridad de la información corporativa, y debería ser considerada, aunque con distinta consideración, independientemente del tamaño de la empresa.

Si quieren obtener más información sobre este tema, les recomiendo acceder al curso “Seguridad para PyMEs” en la Plataforma Educativa de ESET Latinoamérica.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión, Informes
1 Comment »

Como mencionábamos en ¿Qué es Heurística?, los algoritmos heurísticos son distintas metodologías de análisis proactivo de amenazas.

Existen tres variantes que son las más comunes en lo que respecta a métodos de análisis, y que son utilizadas en este tipo de detecciones heurísticas. Estas son:

• Heurística genérica: se analiza cuán similar es un objeto a otro, que ya se conoce como malicioso. Si un archivo es lo suficientemente similar a un código malicioso previamente identificado, este será detectado como “una variante de…”.
• Heurística pasiva: se explora el archivo tratando de determinar qué es lo que el programa intentará hacer. Si se observan acciones sospechosas, éste se detecta como malicioso.
• Heurística activa: se trata de crear un entorno seguro y ejecutar el código de forma tal que se pueda conocer cuál es el comportamiento del código. Otros nombres para la misma técnica son “sandbox”, “virtualización” o “emulación”.

En función de las consultas de algunos usuarios y lectores, cabe destacar que estos son los métodos clásicos de detección, que no se relacionan (en forma directa y explícita) con los dos tipos de heurística que pueden observar nuestros usuarios en la configuración de ESET NOD32:

La heurística avanzada son aquellos algoritmos heurísticos que poseen funcionalidades más complejas de detección proactiva, y que por lo general son más específicos y consumen más recursos del sistema. Cabe destacar que, por tal motivo, por defecto la heurística avanzada viene deshabilitada en la configuración de ESET NOD32 Antivirus.

Aquellos usuarios que posean equipos modernos, no se verán afectados por habilitar esta opción y es recomendable hacerlo, para así contar con una mejor protección en materia de códigos maliciosos.

Quienes estén en entornos empresariales y deseen aplicar el cambio, no desesperen, no es necesario hacerlo en cada uno de los equipos, sino que pueden modificar la configuración de todos los equipos de la red directamente desde ESET Remote Administrator.

Recuerden que para aprender más sobre heurística, pueden descargar el informe Heurística Antivirus: detección proactiva de malware.

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
No Comments »