Apple realizó una presentación dentro del evento Black Hat, el cual fue realizado a inicios del mes de agosto en Las Vegas Nevada.
Dicha presentación fue impartida por Ivan Krstic´, quien es el Jefe del Departamento de Seguridad y Arquitectura en Apple, tocando temas relacionados con el funcionamiento actual de las medidas de seguridad que se tienen en sus productos bajo la plataforma de iOS 9 y de como éstas fueron mejoradas en iOS 10.
También lanzan un sistema de recompensa para aquellos que descubran vulnerabilidades en estos sistemas de seguridad, abarcando las siguientes categorías las cuales tienen un monto máximo de recompensa; Esto con el fin de poder mejorar los mecanismos de seguridad en la plataforma de iOS, haciéndolos más fuertes y complejos para evitar problemas de seguridad críticos.
Se tocaron los temas relacionados con iCloud, Protección de datos del usuario, soporte seguro para mecanismos de desbloqueo como Touch ID y Auto Unlock.
Durante la Cumbre Latinoamericana de Analistas de Seguridad 2016 que se lleva a cabo en la ciudad de los Cabos, Kaspersky reporta el descubierto de un malware originario de México que, de forma sencilla, lleva desde 2009, entrando a equipos de muchas instituciones importantes de América Latina y de nombre Saguaro.
Nombrado como el grupo ‘Saguaro’, este grupo de atacantes está presente en América Latina utilizando técnicas sencillas, pero eficaces, de acuerdo con el último informe de Kaspersky Lab existe una campaña de ciberespionaje bautizada como ‘Saguaro‘, y que se trata de “un grupo cibercriminal profundamente regionalizado que recurre al uso de un proceso sencillo, pero eficaz, para distribuir diferentes tipos de malware“.
Según los descubrimientos reportados, “esta campaña ha sido dirigida desde el año 2009 a víctimas importantes, entre ellas las instituciones financieras, de salud y de investigación, así como los proveedores de Internet, agencias de relaciones públicas, universidades y empresas de logística”. El campo principal de operación es América Latina, y la gran mayoría de sus víctimas está ubicada en México. Otros países afectados son Colombia, Brasil, Estados Unidos, Venezuela y República Dominicana, entre otros. El objetivo de los atacantes es espiar y robar información confidencial de sus víctimas.
{{cta('00446ed5-e447-464d-a0cb-a0c7621d4c49')}}
Basándose en los hallazgos realizados durante la investigación, los expertos de Kaspersky Lab concluyeron que los atacantes de la campaña hablan español y tienen raíces en México, pero poco más se sabe de estos delincuentes que, de ser verdad las comprobaciones, podrían tener en su haber una gran cantidad de datos de mucha importancia de instituciones latinas. Lo inusual de la amenaza es que usa técnicas muy simples y que se concentre solo en América.
Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab ha explicado que “el patrón utilizado en cada uno de los dominios es prácticamente el mismo, pues la singular huella digital que deja contribuyó a revelar la magnitud de esta operación que aún sigue activa”. Los expertos de Kaspersky Lab identificaron más de 120,000 víctimas en todo el mundo.
“Los ataques empiezan con un simple correo electrónico del tipo spear-phishing, que atrae a las víctimas seleccionadas para que abran un documento malicioso de Microsoft Office con un macro incluido. Para crear un gancho más creíble y tratar de pasar inadvertidos, los documentos parecen ser enviados por una agencia de gobierno regional o institución financiera. En un siguiente paso, se baja una segunda fase de carga desde un amplio grupo de servidores web que el grupo ‘Saguaro’ utiliza y que finalmente es ejecutada por el macro, lo que infecta exitosamente el sistema con el malware determinado. Almacenar el malware en línea con nombres de archivo como ‘logo.gif’ o ‘logo.jpg’, mientras se albergan diferentes servidores de órdenes y control en cada ataque, hace que rastrear e identificar el tráfico sospechoso en la red sea una tarea difícil, ya que todas las comunicaciones se realizan mediante peticiones regulares de aportes HTTP.
Este grupo de ciberespionaje utiliza el malware, las puertas traseras y las herramientas de administración remota para robar datos de los navegadores web, clientes de correo electrónico, aplicaciones FTP, programas de mensajería instantánea, conexiones VPN, e incluso captura contraseñas de Wi-Fi almacenadas y credenciales de la nube.
Feliz Día a ti, Internauta…Un día como hoy, pero en el año 1991 se abría al público World Wide Web, lo que hoy conocemos como una página web, pasados dos años se anuncia que el código sería libre de derechos de autor y lo mejor, que sería libre para SIEMPRE, y hasta ahora sí que lo han cumplido.
Ha sido un largo viaje para nuestras queridas triples W, su creador Bernes-Lee ha dejado un legado que radica en tres tecnologías:
Un sistema mediante el cual se identifica de forma exclusiva cada página (URL)
Código UNIVERSAL (HTML)
El medio por donde se solicita la Información (HTTP)
Sin estos tres factores la realidad es que no estaríamos conectados, más complejo aún no estarías justamente en este momento leyéndome, ¡WOW!
Y como dato curioso, ¿Sabías que aún está disponible la primera página creada en la historia que se publicó en los 90s?
En cuanto a su contenido, consta de un sitio que ayuda a explicar qué es la World Wide Web, cómo los nuevos usuarios pueden comenzar a usarla y detalles técnicos sobre cómo fue construida.
A través de los años, Berners-Lee se ha convertido en un ferviente activista a favor de la libertad de acceso a internet, afirmando que se trata de un derecho humano. Más, considerando que en 1991 el número de usuarios no alcanzaba el 1% de la población mundial, y hoy es casi un 50%.
Hoy, hacemos tributo a tan distinguido sistema, y ¿Cuál es la mejor manera? Citando a su creador Berners-Lee: “La Web como yo la concebía, no lo hemos visto todavía. El futuro sigue siendo mucho más grande que el pasado”
Concluyo con la siguiente línea, los internautas somos los que complementamos el pasado y los responsables del futuro del Web.
Considérenlo, pues esta libertad también requiere Políticas de Seguridad y hábitos acorde a las buenas prácticas.
Al tiempo que las amenazas en ciberseguridad crecen en sofisticación, las soluciones de seguridad que las protegen deben también evolucionar. Los desarrolladores ya no se adhieren de forma estricta al estándar de mapeo basado en Puerto/Protocolo/Aplicación. Las nuevas aplicaciones son capaces de operar en puertos no estándar, así como en puertos que mutan su función durante el tiempo a través de claves secretas entre la app y el server (Port Hopping). Igualmente, los usuarios pueden forzar las aplicaciones para ejecutarse en puertos no estándar, volviendo así a los firewalls de primera generación inefectivos en el ambiente de amenazas actual.
Es aquí donde entrar a tener un “next-generation firewall” (NGFW), la siguiente etapa tecnológica de firewall y sistemas de prevención de intrusión (IPS, por sus siglas en ingles).
Una forma simple de explicar que es un NGFW es que es una plataforma de redes que combina el firewall tradicional con un control de aplicaciones para IPS, sin embargo, el empacar los firewalls tradicionales con el control de aplicaciones IPS no da como resultado un NGFW. Un verdadero NGFW enfatiza la integración nativa, clasifica el tráfico basado en las aplicaciones y no en puertos, realiza inspecciones profundas al tráfico y bloquea los ataques antes de que la red pueda ser infiltrada. Aquí mostramos una lista de las características principales de un verdadero NGFW para que tomes una mejor decisión de compra.
{{cta('b74494dd-1372-4000-8adc-30bf37f93d98')}}
Identificar y controlar aplicaciones y funciones en todos los puertos, todo el tiempo.
Un NGFW debe poder identificar el tráfico en todos los puertos en todo momento y clasificar cada aplicación, mientras monitorea los cambios que pudieran indicar la posibilidad de uso de una función no permitida. Por ejemplo, utilizar Citrix GotoMeeting para compartir un escritorio está permitido, pero que un usuario externo tome el control no lo está.
Identificar usuarios independientemente del dispositivo o la dirección IP.
Conocer quien está usando que aplicaciones en la red y quien está transfiriendo archivos que pudieran contener amenazas, fortalece las políticas de seguridad de una organización y reduce los tiempos de respuesta ante un incidente. Un NGFW debe poder identificar la identidad de un usuario desde múltiples fuentes, sean estas soluciones VPN, controladores WLAN, servidores de directorio, etc. Y permitir políticas que de forma segura habiliten aplicaciones para un usuario, un grupo de usuarios, direcciones de entrada o salida.
Identificar y controlar tácticas de evasión de seguridad.
Existen dos diferentes clases de aplicaciones que evaden las políticas de seguridad: aplicaciones que están diseñadas para evadir seguridad, como proxies externos y túneles encriptados no relacionados a una VPN (ej. CGIProxy) y estos pueden ser adaptados para alcanzar la misma meta como, por ejemplo, herramientas de administración de un servidor / desktop (ej. TeamViewer). Un NGFW debe tener técnicas específicas para identificar y controlar todas las aplicaciones, independientemente del puerto, el protocolo, el tipo de encripción, u otras tácticas evasivas y saber que tan seguido la inteligencia del Firewall en este tema está siendo actualizada.
Decriptar e inspeccionar SSL y controlar SSH
Un NGFW debe ser capaz de reconocer y decriptar SSL y SSH en cualquier puerto, sea este de entrada o salida, ser capaz de aplicar políticas sobre lo decriptado y ofrecer el hardware necesario y elementos de software para realizar decripción SSL simultáneamente a través de decenas de miles de conexiones SSL con rendimiento predecible.
{{cta('6931b3e6-9263-4ab3-ac59-b188e5f0f000')}}
Administrar tráfico desconocido sistemáticamente
El tráfico desconocido representa un riesgo significativo y está altamente correlacionado con las amenazas que se mueven a lo largo de la red. Un NGFW debe clasificar y administrar todo el tráfico en todos los puertos en una ubicación y rápido analizar el tráfico conocido y desconocido para determinar y es una aplicación propietaria o interna, una aplicación comercial sin firma o una amenaza.
Proteger la red contra amenazas conocidas y desconocidas en todas las aplicaciones y todos los puertos
Las aplicaciones habilitan negocios, pero también actúan como un vector de ciberamenazas, al utilizar tecnologías que son objetivos frecuentes para intrusiones. Un NGFW debe identificar que aplicación, como primer paso, determinar las funciones que son permitidas o serán bloqueadas y proteger la organización de amenazas conocidas o desconocidas, de puertas de entrada, así como de virus, malware o spyware. Esto debe ser hecho automáticamente con actualizaciones casi en tiempo real para proteger de las nuevas amenazas que a nivel global sean descubiertas.
Entregar control consistente de políticas sobre todo el tráfico, independientemente de la ubicación del usuario o el dispositivo utilizado.
Un NGFW debe proveer consistencia en la visibilidad y control sobre el tráfico, independientemente de donde este el usuario y que tipo de dispositivo esté utilizando sin ningún tipo de degradación en el rendimiento para este usuario, ni agregar trabajo administrativo al administrador de la red, o costos excesivos a la organización.
Simplificar la seguridad de la red
Para simplificar y administrar de manera efectiva los procesos de seguridad y los usuarios, un NGFW debe habilitar una fácil traducción de las políticas del negocio hacia reglas de seguridad. Esto permitirá crear políticas que estén alineadas a iniciativas de negocio.
Realizar tareas intensivas en poder de computo sin degradar el rendimiento
Un incremento en características de seguridad a menudo significa un menor rendimiento y capacidad de carga. Un NGFW deberá entregar la visibilidad y el control requeridos, incluyendo e escaneo del contenido, que requiere de un alto poder de computo, en redes de alta carga de trabajo y con muy poca tolerancia a la falla en latencia.
Entregar las mismas funciones de Firewall tanto en hardware como en forma virtualizada
Los ambientes virtualizados y el cloud computing introducen nuevos retos de seguridad, incluyendo funcionalidad inconsistente, administración dispar y una falta de puntos de integración. Un NGFW debe proveer flexibilidad e integración profunda con centros virtuales de datos en ambientes públicos o privados para facilitar la creación de políticas centradas en aplicaciones.
La seguridad informática es una preocupación constante de todas las organizaciones. Robo de datos, hackeos, malware y muchas otras amenazas son una de las tantas preocupaciones que mantienen sin dormir a los administradores de sistemas y profesionales de TI. Este artículo hablara de los conceptos básicos y mejores prácticas que muchos profesionales de TI usan para mantener sus sistemas protegidos.
¿Cuál es la meta de la seguridad informática?
La seguridad informática sigue 3 conceptos fundamentales:
Confidencialidad: La información solo debe de ser vista o utilizada por las personas autorizadas para tener acceso a ella.
Integridad: Prevenir e identificar cualquier cambio a la información por un usuario no autorizado y los usuarios que lo lleguen a realizar deben de ser rastreados.
Disponibilidad: La información debe estar disponible cuando los usuarios autorizados la necesiten.
En base a estos conceptos fundamentales, los especialistas en seguridad informática han creado mejores prácticas para ayudar a las organizaciones a proteger y salvaguardar la información.
Mejores prácticas de Seguridad Informática:
Balancear protección con utilidad. Las computadoras en una oficina estarían completamente protegidas si no tuvieran acceso a internet y adicionalmente, estuvieran una habitación sin personas. Pero esto llevaría a que no podrían ser utilizadas por nadie. Este es uno de los más grandes retos en la seguridad informática, encontrar el balance entre disponibilidad de recursos y la confidencialidad e integridad de los mismos.
En lugar de tratar de protegerse contra toda clase de amenazas, la mayoría de los departamentos de TI se enfocan en aislar los sistemas de información vitales para la organización y a partir de esto, encontrar formas aceptables de proteger el resto de los sistemas sin volverlos inutilizables. Algunos sistemas de baja prioridad son candidatos a análisis automatizado de seguridad, de tal manera que el enfoque principal se centra en los sistemas principales.
Dividir los usuarios y los recursos. Para que la seguridad informática funcione, debe de conocerse quien está autorizado para ver y hacer cosas en particular. Alguien en contabilidad, por ejemplo, no necesita poder ver todos los nombres de los clientes en la base de datos de clientes, pero si ver todos los datos de ventas. Esto implica que el administrador de sistemas necesita asignar accesos a la información basado en el tipo de actividad del usuario y requiere de refinar estos límites basado en su posición dentro del organigrama. Esto asegura que, por ejemplo, El CFO o director de finanzas pueda ver todos los datos de un sistema y un contador junior solo ciertas partes de los mismos.
Dicho esto, la posición en la organización no significa acceso total, un CEO o Director General de una compañía seguramente necesita ver más datos que el resto de la organización, pero no por eso, obtendrá acceso total a todo el sistema.
{{cta('98d1c3af-89c3-499d-b9ca-11e1574d1d9e')}}
Asignar privilegios mínimos. Un usuario deberá siempre recibir los mínimos privilegios para poder realizar de forma eficiente sus actividades diarias, si las responsabilidades de dichos usuarios cambian, los privilegios deben hacerlo también. Asignar los mínimos privilegios asegura reducir las probabilidades de que Juanito de ventas, saldrá por la puerta el día que sea despedido, con todo el catálogo de clientes en una USB.
Utilizar defensas independientes. Este es un principio militar, no tanto un principio de seguridad informática. Utilizar una defensa realmente efectiva, como protocolos de autenticación para lograr acceso a un sistema, es bueno hasta que alguien logra penetrarlo. Cuando se utilizan diferentes métodos independientes de defensa, un atacante deberá de utilizar diferentes estrategias y tácticos para poder atravesar. Utilizar este tipo de complejidad no provee el 100% de efectividad contra ataques, pero si reduce grandemente las probabilidades de un ataque exitoso.
Planear las contingencias. Esto te ayudará a mitigar las consecuencias ante un ataque o una penetración de tu esquema de seguridad. Tener respaldos en anticipado, software de monitoreo y políticas de reacción inmediata ante una eventualidad, permite al departamento de TI y sus administradores reaccionar rápidamente ante una emergencia. Si la emergencia no es grave, la organización puede continuar operando en respaldo mientras el problema es corregido. La seguridad informática se debe encargar de limitar el daño en caso de un desastre tanto como prevenirlos.
Registrar, Registrar y Registrar. En un estado ideal, la seguridad informática nunca será penetrada por extraños, pero si esto llega a suceder, el evento debe de ser registrado. De hecho, la mayoría de los administradores de TI, llevan tantos registros como sea posible, incluso si no ha sucedido un ataque. Algunas veces las causas de un ataque no son evidentes hasta mucho después del incidente, por eso es importante poder rastrear hacia atrás y hacia adelante en los eventos y cómo sucedieron en el tiempo. Los datos de ataques eventualmente te ayudaran a mejorar la calidad de la seguridad de los sistemas y mejorar la prevención en el futuro. Incluso si inicialmente esas medidas no hacen mucho sentido.
Realiza pruebas frecuentemente. Los hackers están constantemente puliendo y mejorando su armamento con técnicas cada vez más complejas, lo que significa que la seguridad informática debe evolucionar para mantener el ritmo. Los administradores de TI deben ejecutar pruebas, análisis de vulnerabilidades, actualizar el plan de recuperación de desastres, verificar que todos los elementos del plan de continuidad de negocio en caso de ataques están al día, etc.
La seguridad informática es un trabajo muy retador que requiere atención en todos los detalles al mismo tiempo y un alto nivel de conciencia de riesgo. Muchas de las tareas lucen complejas a primera vista, sin embargo, la seguridad informática se puede fragmentar en pasos básicos y así lograr simplificar los procesos para de esta manera, tratar de hacer más simple su diseño y ejecución y lograr que los administradores de TI tengan siempre un nivel de protección adeucado para soportar la misión crítica de la organización.
Las Redes Privadas Virtuales (VPN) se utilizan para crear un túnel de comunicación privado para la transmisión de datos a través de Internet.
Hoy en día las organizaciones utilizan las VPN para crear una conexión de red de extremo a extremo; es decir, elimina la barrera de la distancia y permite que los usuarios remotos accedan a recursos compartidos.
Gracias a esta tecnología es posible proporcionar seguridad a los datos mediante el uso de cifrado y autenticación para evitar accesos no autorizados.
En la actualidad, las Redes Privadas Virtuales generalmente se refieren a la implementación segura de VPN con cifrado, como las VPN IPsec.
El tráfico VPN se mantiene confidencial mediante cifrado por lo que los datos sin cifrado que se comunican a través de Internet pueden ser interceptados para su lectura. El cifrado de los datos hace que estos sean ilegibles hasta que el receptor autorizado los descifre.
El grado de seguridad depende de la longitud de la clave del algoritmo de cifrado. Cuanto más larga es la clave, se torna más difícil descifrarla. DES y 3DES ya no se consideran seguros; por lo tanto, se recomienda utilizar AES para el cifrado de IPSec.
Cifrado simétrico
Los algoritmos de cifrado, como AES (Advanced Encryption Standard) requieren una clave pre-compartida para el cifrado y el descifrado. Ambos dispositivos de red requieren conocer la clave para decodificar la información. Cada dispositivo cifra la información con la clave simétrica antes de enviarla al otro dispositivo que se encuentra en el otro extremo.
Cifrado asimétrico
El cifrado asimétrico utiliza claves diferentes para el cifrado y el descifrado. Aunque se conozca una de las claves, un pirata informático no puede deducir la segunda clave y por lo tanto decodificar la información. Una clave cifra el mensaje, mientras que una segunda clave descifra el mensaje. No es posible cifrar y descifrar con la misma clave.
Tipos de VPN
Existen dos métodos principales para implementar VPN de acceso remoto:
Capa de Sockets Seguros (SSL)
Seguridad IP (IPsec)
SSL
Ofrece conectividad desde cualquier ubicación, no solo desde los recursos administrados por las empresas, sino también desde las computadoras de los empleados, socios de negocios, etc.
El protocolo SSL admite diversos algoritmos criptográficos, como la autenticación del servidor y el cliente entre sí, la transmisión de certificados y el establecimiento de claves de sesión.
IPSec
Es un protocolo de seguridad que se encarga de la autenticación y la encriptación de cada paquete IP en una sesión de comunicación.
IPSec incluye protocolos para el establecimiento y autenticación al inicio de una sesión y negociación de las llaves de encriptado durante la sesión. Puede ser usado para la protección del flujo de datos entre un par de host, entre un par de gateways de seguridad o entre un gateway de seguridad y un host
Tanto la tecnología de VPN con SSL como la de IPsec ofrecen acceso a prácticamente cualquier aplicación o recurso de red.
Sin embargo, IPsec supera a SSL en muchas formas importantes:
La cantidad de aplicaciones que admite
La solidez del cifrado
La solidez de la autenticación
La seguridad general
Conclusión
Cuando la seguridad representa un problema, IPsec es la mejor opción.
Si el soporte y la facilidad de implementación son los principales problemas, considere utilizar SSL.
