Las amenazas se esconden en nuestro sistema aprovechando los agujeros de seguridad y alerta y se expanden lenta y sigilosamente a través del sistema. Hasta ahora los expertos utilizaban EDR (endpoint detection and response) y NDR, en el caso de EDR es una tecnología que monitoreaba continuamente los “endpoints” (móviles, portátiles, …) para mitigar amenazas. Básicamente se trata de un método para alertar de amenazas y redirigirlas al SIEM (Security Information and Event Management). Por otro lado, NDR monitorea el tráfico de la red.

XDR

La llegada de XDR (Extended detection and response) supone una evolución, EDR está limitado ya que solo puede analizar y responder a amenazas dentro de endpoints gestionados. Del mismo modo, el ámbito de las herramientas de análisis del tráfico de la red está limitado a la red y a los segmentos de la red supervisados. XDR va más allá de este enfoque, recopilando y correlaciona detecciones y datos de actividad profunda en múltiples capas de seguridad: emails, endpoints, servidores, workloads en la nube y en la red. Los análisis automatizados de este superconjunto de valiosos datos detectan las amenazas mucho más rápido. Como consecuencia, los analistas de seguridad están equipados para llevar a cabo un mayor número de acciones y más rápidas mediante investigaciones.

 

MEJORAR EL SIEM

Las empresas utilizan el SIEM para recopilan una serie de registros y alertas, si bien estas alertas son difíciles de clasificar a modo de priorizar cuales son fundamentales y requieren atención. Gracias a XDR, que recopila datos de actividad profunda y suministra esa información a un “data lake” para lograr un rastreo, búsqueda e investigación extendidas a través de las capas de seguridad. La aplicación de IA y análisis especializados para enriquecer el conjunto de datos produce menos alertas y con más contexto. De esta manera XDR mejora el SIEM reduciendo el tiempo que los analistas de seguridad necesitan para evaluar alertas y registros relevantes y decidir qué es lo que necesita atención y merece mayor investigación.

 

 

Publicado el 25 de Noviembre de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

Un Agente de Seguridad de Acceso a la nube (o más conocido por sus siglas en inglés Cloud Access Security Broker CASB) es un software que está entre los usuarios de servicios en la nube y las aplicaciones basadas en la nube para monitorear toda la actividad y  aplica las políticas de seguridad.

 

 

El CASB es el encargado de defender los recursos de la organización alojados en la nube, forzando a los usuarios a cumplir las leyes establecidas por los administradores.

Nota: Las aplicaciones sancionadas son las aplicaciones que aparecen en las políticas de seguridad, tanto si se permite su uso, se restringe o se prohíbe.

Una aplicación no sancionada son los que se quedan fuera de la política de seguridad.

 

Los 4 pilares de los CASB

1. Visibilidad:

Las empresas necesitan visibilidad y control tanto de los servicios en la nube gestionados como de los no gestionados. En lugar de adoptar una postura de «permitir» o «bloquear» todos los servicios en la nube, la intermediación en la nube debe permitir a los administradores decir «sí» a los servicios útiles y, al mismo tiempo, gobernar el acceso a las actividades y los datos dentro de los servicios.

Esto podría significar ofrecer un acceso completo a un SaaS sancionada (una aplicación que aparece en las políticas de acceso)  como Microsoft 365 a los usuarios en dispositivos corporativos, pero limitar su uso y restringir el acceso sólo en web a los usuarios en dispositivos no gestionados. También podría significar aplicar una política de «no compartir fuera de la empresa» en una categoría de servicios no sancionados.

Además de la seguridad en la nube, un CASB también ayuda a tener visibilidad de todos los servicios en la nube que usa la organización y ayudar en reducir en el gasto de servicios redundantes.

 

2. Cumplimiento normativo:

El cumplimiento normativo (Compilance) es uno de los aspectos más importantes para las empresas cuando consideran la utilización de servicios en la nube y el traslado de sus datos en esta. Los estándares y las leyes como el GDPR se conciben para garantizar la seguridad de las personas y de los datos de la empresa, y hacer caso omiso de ellos puede conducir a vulneraciones peligrosas y costosas.

Los CASB pueden ayudar en la labor del cumplimiento de normativa en diferentes sectores y regiones: HIPAA, GDPR, PCI, FFIEC, etc.

 

3. Seguridad de los datos:

Gracias a mecanismos como el Data Loss Prevention (DLP) en la nube pueden detectar cuándo hay contenido sensible en la nube o está en camino de almacenarse en la nube y dar herramientas a los administradores para investigar y resolver estos fallos.

Mediante el despliegue de funciones de seguridad como la prevención de la pérdida de datos, el control de colaboración, el control de acceso, la gestión de los derechos de la información, el cifrado y la tokenización, se pueden minimizar fugas de datos en la organización.

 

4. Protección contra amenazas:

Un CASB está preparado para proteger a la organización ante amenazas que puedan aprovechar la nube como vector de ataque y malware. Se debe asegurar que los empleados no estén introduciendo malware o cualquier amenaza a través de servicios de almacenamiento o aplicaciones.

Un CASB analiza las amenazas de forma estática (con firmas) y dinámicas (estudio de comportamiento) para ofrecer una protección rápida y continua del sistema.

 

 

Publicado el 25 de Noviembre de 2022
Por Alberto López
Departamento de Ciberseguridad

Vivimos en un mundo en el que la tecnología forma cada vez más parte de nuestra vida. Esta tecnología nos ayuda diariamente en nuestras actividades diarios, pero no todo es positivo. Vivir en un mundo donde todo está conectado conlleva un peligro, el del robo de información. Todos sabemos que pueden hacker nuestro ordenador y encriptar nuestros archivos, o sufrir algún tipo de phishing y que nuestros datos bancarios sean susceptibles a robo. Pero, y si te dijera que cuando te haces una radiografía los ciberdelincuentes pueden acceder a tu historial médico.

 

Visualización Avanzada Vitrea

Uno de los principales sistemas para la visualización de imágenes empleados a nivel médico es la Visualización Avanzada Vitrea de Canon Medical System. Pues bien hace poco unos investigadores de Trustwave Spiderlabs descubrieron una vulnerabilidad.

Esta debilidad se encuentra en un programa de terceros usado por Canon Medical System. Explotándola los atacantes pueden ganar acceso al historial del paciente, así como a otros servicios dentro de Canon Medical System.

Específicamente, el primer problema fue una vulnerabilidad del tipo de secuencias de comandos en sitios cruzados (Cross-site scripting o XSS por sus siglas en inglés) reflejada en el mensaje de error. La vulnerabilidad aparece en la página de error en /vítrea-view/error/ mostrando todas las entradas en el subdirectorio /error/. Con esta vulnerabilidad un usuario experto podía pasarlas por alto las restricciones mediante comillas invertidas (`) y codificación en base64, e importar códigos remotos.

La siguiente vulnerabilidad también se identificó como un XSS, sin embargo, se encuentra en el panel administrativo de Vitrea. La explotación de la vulnerabilidad requería que el atacante engañara a la víctima para que le diera acceso al panel de administración a través de ingeniería social. Un ciberdelincuente podría hacer eso fácilmente al enviar un enlace malicioso a la víctima y al hacer clic darle control remoto al atacante. Todas estas vulnerabilidades permitirían al atacante acceder a imágenes del escáner, acceder a credenciales o modificar información.

Después de conocer el descubrimiento por parte de los investigadores de Trustwave, los encargados de Canon Medical lanzaran un parche para solucionar la vulnerabilidad. Aun así, esto no es otra muestra más que en un mundo tecnológico la seguridad no existe y siempre seremos vulnerables.

Bibliografía:

Abeerah Hashim, 03/10/2022. Multiple Vulnerabilities Found In Canon Medical Vitrea View Software, Latest Hacking News.

 

 

Publicado el 28 de Octubre de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

En todos estos artículos, siempre hemos puesto de ejemplo a criminales como los atacantes de las organizaciones y los causantes de los ciberataques, pero en los casos reales no siempre es así.

 

 

Los ciberataques también se llevan a cabo por grandes estados y fuerzas policiales alrededor del mundo, y hoy os traemos un caso en donde la Europol ha sido capaz de parar gran parte del crimen organizado en europa gracias a un ciberataque: En caso de EncroChat y la operación Venetic.

 

¿Qué es Encrochat?

EncroChat era una red de comunicaciones y un proveedor de servicios usado presuntamente por delincuentes y miembros de grupos de crimen organizado a lo largo de toda Europa.

EncroChat ofrecía a sus usuarios la posibilidad de enviar mensajes cifrados, realizar llamadas cifradas (EncroTalk) y escribir notas cifradas (EncroNotes). Esto se lograba mediante teléfonos Android (normalmente BQ Aquaris X2,) especialmente modificados que, además de ejecutar el software de EncroChat, también desactivaron cámara y GPS para asegurar la confidencialidad del usuario.

El dispositivo ejecuta dos sistemas operativos: uno “normal” que hacía de tapadera y no levantaba sospechas a simple vista y otro oculto con el software de EncroChat.

No solo proporcionaba altos niveles de encriptación en el dispositivo, sino que también enrutaba todos los datos a través de un servidor central situado en Francia que proporcionaba una encriptación de extremo a extremo de las llamadas y los mensajes. Además, los teléfonos EncroChat incluyen un botón de pánico que borra todo el contenido del teléfono al usarlo o incluso se puede introducir un PIN de autodestrucción en caso de que las autoridades se hicieran con el dispositivo.

Estos móviles llegaron a costar 1000€ además de tener que pagar una subscripción de 1000€ al año, pero el precio no impidió que los criminales de todas partes de europa adquirieran un dispositivo.

 

La infiltración de la policía

Desde 2017, la gendarmería francesa era consciente de estas comunicaciones y de la existencia de estos tipos de dispositivos.

En 2019, una operación conjunta entre la policía británica, francesa y holandesa irrumpió en el servicio de EncroChat, colocando una “herramienta técnica” en el servidor central ubicado en Francia. Gracias a esta herramienta técnica les permitieron ver todas las comunicaciones de los usuarios además de poder subir malware a los dispositivos usados por los criminales, lo que les permitió interrumpir la función de borrado en caso de pánico, acceder a los mensajes enviados entre usuarios y registrar los PIN de la pantalla de bloqueo. En abril de 2020 las agencias europeas, incluida la NCA del Reino Unido, tenían acceso a millones de textos y cientos de miles de imágenes.

 

Bajo los nombres en clave de Operación Venetic, las agencias comenzaron a analizar la enorme cantidad de datos que se habían recopilado y empezaron a realizar cientos de detenciones, incautando millones de libras de drogas, dinero en efectivo y armas en el proceso.

En junio de 2020, EncroChat, al darse cuenta de que había sido comprometido, envió un mensaje a sus usuarios advirtiendo del ataque perpetrado por los agentes de la ley y aconsejando que se deshicieran de sus dispositivos inmediatamente. Desde entonces, el servicio se ha cerrado definitivamente. Sin embargo, las agencias europeas habían tenido acceso al servicio durante meses, y el daño ya estaba hecho.

 

Publicado el 28 de Octubre de 2022
Por Alberto López
Departamento de Ciberseguridad

TOR son las siglas de “The Onion Router” (en español, El Enrutador Cebolla). Es un proyecto de software libre cuyo objetivo es crear una red distribuida y superpuesta a internet. El tráfico se intercambia entre los usuarios de la red para ocultar su identidad (la dirección IP) además de mantener la integridad y la privacidad del tráfico de los usuarios mientras fluye por esta red.

Este proyecto es muy conocido sobre todo porque es la base de la “darknet” (red oscura) y se utiliza para acceder a ella. Pero no hay que tener miedo a TOR por esto. TOR se utiliza más para casos más nobles, como por ejemplo la lucha contra la censura y nuestros canales de denuncias anónimos.

Si la organización tiene un canal de denuncias de Grupo Data, te habrás dado cuenta que en la página sale un mensaje avisando que la página está disponible desde TOR.

Con este servicio, el usuario puede acceder al canal de denuncias de forma segura y garantizando su anonimato sin que agentes externos de su red puedan saber si el usuario está accediendo al canal de denuncias y evitar sabotajes o incluso vetos al a la página.

¿Cómo funciona Tor?

Tor se basa en el principio de Onion Routing (Enrutamiento por capas). El tráfico se encripta varias veces y se pasa a nodos “relays” que se encuentran por todo el mundo.

El primer nodo recibe el mensaje y desencripta la primera capa de encriptación. El primer relay es el único que conoce tu dirección IP, pero no sabe ni a qué página se dirige el usuario ni la identidad de este, solo sabe cuál es el siguiente nodo.

Los siguientes nodos ya no conocen la dirección IP fuente y tampoco la página a la que quieres acceder, solo quitan una capa de encriptación y se lo pasa al siguiente nodo.

Cuando el tráfico llega al último nodo, se quita la capa final de encriptación y se lo pasa al destino. El destino no sabe desde dónde se ha originado la solicitud, solo sabe la dirección del último nodo. Cuando el servidor quiera devolver una respuesta al usuario, lo envía al último nodo y la respuesta hace el mismo recorrido pero al revés.

¿Cómo usar Tor?

Para usar esta red de anonimato es tan sencillo como descargarse un explorador compatible con TOR, nosotros recomendamos Tor Browser (https://www.torproject.org/es/download/). Abres el navegador y puedes acceder a una página usando las direcciones .onion, el resto es como cualquier página.

 

 

Publicado el 30 de Septiembre de 2022
Por Alberto López
Departamento de Ciberseguridad

Seguramente habéis leído que el sector automovilístico está siendo afectado por la crisis de los micochips o ese ordenador que querías comprar desde hace algún tiempo sigue en fuera de stock y veis como pasa el tiempo y sigue sin estar disponible. Todo esto es producido por la falta de semiconductores, pero antes de meternos de lleno en el asunto veamos que son estos semiconductores.

 

 

¿Qué son los Semiconductores?

De grosso modo, un semiconductor es un componente que se puede comportar como conductor o aislante de la corriente eléctrica dependiendo de diversos factores. Su principal elemento de fabricación es el Silicio, aunque también puede ser fabricado con otros elementos como el Germanio. Debido a sus propiedades es altamente usado en la industria electrónica para la fabricación de transistores, sensores ópticos, microchips o diodos eléctricos entre otros. Todos estos componentes se utilizan a su ven en la producción de móviles, coches, refrigeradores, televisores, etc.

 

Causa de la Crisis

Para entender la crisis nos tenemos que dirigirá a Asia, concretamente a Taiwán donde se encuentran las empresas que dominan la producción de semiconductores. Pero, ¿Por qué Taiwán? ¿Qué tiene este país para dominar la producción? Pues todo empezó hace unos 30 años cuando el gobierno de Taiwán impulso el sector tecnológico reclutando a Morris Chang, posterior fundador de TSMC (empresa líder en la producción de semiconductores), como presidente del Instituto de Investigación Tecnológica.

Actualmente este país cuenta con una gran cantidad de inversión en este sector, así como sus fábricas son las únicas capaces de producir semiconductores de última generación, creando de esta manera un ecosistema entre fábricas bien comunicadas entre ellas, cercanas a las materias primas para la producción de semiconductores y con una obra de mano más barata que en los países más occidentales difícilmente igualable por estos otros. Según datos de TrendForce, Taiwán acapara el 65% de cuota del mercado seguido muy de lejos por Corea del Sur y China respectivamente.

Compaía	Cuota de Mercado	País
TSMC	54%	Taiwán
Samsung	17%	Corea del Sur
UMC	7%	Taiwán
GlobalFoundries	7%	EEUU
SMIC	5%	China
HH Grace	1%	China
Otros	16%	Otros

 

Ahora bien, ¿cuál es el origen de esta crisis? ¿por qué hay escasez de semiconductores? Pues el principal problema ha sido la pandemia producida por el COVID-19. Con la llegada de la pandemia se cerraron temporalmente algunas fábricas, se limitaron el transporte de mercancías y además aumento la demanda. Sumando a esto las tensiones comerciales entre China y EE. UU o las disputas territoriales entre China y la propia Taiwán que no han hecho más que agudizar este problema.

Ahora bien, ¿tiene solución a corto plazo? Todo a punto a que no, a los problemas comentados anteriormente hay que añadir que casi la totalidad de la producción se ubica en la región Asia-Pacífico. Esto no ayuda, ya que ante cualquier problema (medioambiental, económico o geopolítico) en esta región afectaría de nuevo a la cadena de suministros. Los países occidentales están intentando distribuir la producción, pero las construcciones de fábricas de este tipo conllevan una gran inversión. No es construir una fábrica textil o una cadena de montaje de coches. Estamos hablando de una serie de maquinaria (stepers para la fotolitografía, máquinas para el grabado, la limpieza, el dopado y el corte) que vale millones. Se estima que el coste de construir una fábrica de semiconductores es de 1000 millones de dólares y son frecuentes las inversiones entre los 5000 y 6000 millones de dólares. Con todo esto podemos estimar que esta crisis se alargue durante un par de años más.

 

 

Publicado el 30 de Septiembre de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

La ciberseguridad es un aspecto que cada vez gana más peso en una empresa. Es bien sabido que cada vez es mayor el número de empresas que sufren algún tipo de ciberataque y estos cada vez son más sofisticados. Es por eso que es muy importante tener una buena política de seguridad y evitar malos hábitos que puedan llevar al robo de información sensible en nuestra empresa. En este artículo revisaremos algunas de las malas prácticas más habituales y algunos tips que nos van ayudar a evitarlas.

 

1. Empleados sin conocimientos: en la mayoría de casos en los que una empresa sufre algún tipo de ciberataque es debido a un fallo humano, como son, abrir un correo malicioso o descargar un archivo. Es por eso que es muy importante entrenar a nuestros empleados en conocimientos básicos de ciberseguridad, ya que estos pequeños detalles pueden salvar la vida de la empresa. Unas pequeñas charlas acerca de ciberseguridad deberían bastar para obtener una importante mejora en este aspecto.
2. Contraseñas inseguras: unas de los principales problemas con el que cuentan las empresas son las contraseñas inseguras. Es muy común mantener estas contraseñas escritas a la vista, compartirlas o que no sean lo suficiente robustas. Una práctica muy beneficiosa sería la de contar con algún tipo de gestor de contraseña y establecer algún tipo de política de contraseñas para comprobar su robustez y cambiarlas cada cierto tiempo.
3. No Realizar Copias de Seguridad: aunque cada vez menos frecuente, existen empresas en las que no se realizan copias de seguridad o se realizan mal. Es muy importante establecer una política de backups donde establezcamos la frecuencia con la que se van a realizar las copias, de este modo sabremos que pase lo que pase siempre contaremos con nuestros datos en un lugar seguro para recuperarlos en cualquier momento.
4. Phishing: es uno de los principales ataques llevados por los ciberdelincuentes. Por lo general no se comprueban los correos como es debido. Deberíamos asegurarnos de la veracidad del destinatario, analizando los documentos antes de abrirlos o chequeando las URLs.
5. Software Desactualizado: una de las principales vías de entrada de los ciberdelincuentes es a través del software. Por eso, no es conveniente mantener nuestro software obsoleto y actualizarlo siempre que podamos, ya que estas actualizaciones solucionan problemas encontrados en el código.
6. No Separar Vida Privada de la Laboral: es muy común que las contraseñas que utilizamos para nuestras cuentas privadas (como amazon, netflix, Gmail) las usemos también para aspectos laborales, ya que nos es más fácil de recordar. Pero esto implica un gran problema ya que si por algún motivo estas cuentas privadas se ven involucradas en algún tipo de robo de credenciales las cuentas laborales también lo estarán. Es por eso que siempre debemos usar credenciales distintas para estos dos aspectos de la vida.

 

 

Publicado el 26 de Agosto de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

“Si algo es gratis, es porque tú eres el producto”. Es probable que hayas escuchado esta frase más de una vez. Cada vez que aceptamos los términos y condiciones de cualquier red social o servicio gratuito de internet, damos la autorización para que este servicio recopile datos sobre nosotros y nuestra actividad. ¿Para qué quieren nuestros datos? ¿Qué hacen con ellos?

Cada vez que navegamos en una página web o utilizamos una aplicación, la empresa responsable y terceros recopila tu actividad y los almacena en Data Warehouses para su posterior análisis. Gigantes como Google, Facebook y Twitter basan su negocio en el procesamiento y uso de los datos generados por sus usuarios, llegando a tal punto que Apple presumía de ser capaz de obtener un perfil médico de sus usuarios más detallado que el que podía tener la sanidad pública.

Obviamente estas empresas no pueden vender los datos de una persona o de un grupo reducido, pero hay otros negocios que se dedican a la venta de estos perfiles conocidos como Data Brokers.

 

¿Qué es un Data Broker?

Los Data Brokers se dedican a obtener información de individuos (ya sea por medios propios, investigando fuentes abiertas o comprando datos a otras empresas) y a su procesamiento para la generación de perfiles. Estos perfiles contienen datos demográficos (edad, profesión, lugar de residencia, etc.) y psicográficos (gustos, preferencias, rasgos de su personalidad y comportamiento, etc.) de individuos y/o grupos reducidos. Un Data Broker puede saber cuántos hijos tienes, la edad de estos, cuándo te has casado, cuándo te has divorciado (si han salido mal las cosas), tus ingresos, si te gusta algún deporte, el tiempo que pasas en redes sociales, si te gusta más una marca o consumes algún producto con frecuencia y mucho, mucho más.

Recolectan toda la información de fuentes públicas como censos, registros de automóviles, etc. y los cruzan con datos comprados a diferentes servicios como proveedores de tarjetas de crédito, tiendas minoristas, redes sociales y más.

 

 

¿Cómo se utilizan tus datos?

Estos perfiles elaborados no son difíciles de vender. Las empresas usan tu información comprada a los Data Brokers para multitud de cosas: anuncios personalizados, detectar si eres solvente ante un préstamo o hipoteca, probabilidad de tener un accidente o una enfermedad grave para una asegurada, etc.

Marketing y anuncios

“Es que nos escuchan, el otro día estaba hablo de X cosa y al día siguiente me apareció un anuncio de eso”. Más de una vez nos habrá pasado y esto es responsabilidad de los Data Brokers.

Es más sencillo que escuchar nuestras conversaciones, los Data Brokers compran tu historial de compra y el dinero que sueles gastar en cada momento. Además, los anunciantes estudian qué perfiles encajan como clientes potenciales.

Por ejemplo, un perfil de un joven varón de entre 18-35 años con un sueldo de más de 20.000 € viviendo en una localidad con poco transporte público tiene más posibilidades de comprar un coche nuevo con lo último en accesorios que otros perfiles.

Y no solo te estudian a ti, sino también con tus amigos, familia o conocidos. Si la gente con la que más interactúas en redes sociales se encuentra en localidades lejanas o tus familiares se encuentran en otra población, es probable que te salgan ofertas de viajes en avión o en bus.

Préstamos e hipotecas

Otro uso de tus datos se encuentra en los negocios de préstamos y banca. Para minimizar los riesgos de que alguien no pueda devolver un préstamo, bancos y más organizaciones dedicadas a estas actividades compran perfiles y analizan qué tipo de personas son más solventes y los que tienen mayor riesgo.

Un perfil que frecuenta páginas de casinos y apuestas tiene menos probabilidades de que le den un préstamo o una hipoteca con buenas condiciones que el resto.

Data Brokers y la RGPD

Mucha gente piensa que los Data Brokers son una amenaza contra los derechos a la privacidad y a la libertad (y con razón después del escándalo de Cambridge Analytica), pero no siempre. El sector de los Data Brokers está regularizado, sobre todo en el caso de Europa, gracias al Reglamento General de Protección de Datos (RGPD), que regula tanto la adquisición de la información como la cesión y el consentimiento por parte del usuario.

Pero en otros lugares como Asia y Estados Unidos la regularización es más laxa y flexible. Los Data Brokers operan en estas regiones para consumir datos que pueden aprovechar y hacer negocio en Europa sin que el RGPD se ponga de por medio, aunque esto último puede cambiar con el paso del tiempo después de los últimos acontecimientos con Facebook y Google.

 

 

Publicado el 26 de Agosto de 2022
Por Alberto López
Departamento de Ciberseguridad

Normalmente, en los hogares y en las oficinas tenemos una red local donde conectamos todos nuestros dispositivos: ordenadores, móviles, impresoras, IoT, NAS, etc.

Gracias a esta red local podemos interactuar con nuestros dispositivos sin exponerlos a Internet, por lo que pueden pensar que es un perímetro seguro el cual podemos confiar en los dispositivos que estén conectados a la red porque el acceso a la red está controlado, pero no es así.

 

Vamos a poner un ejemplo con una oficina: los equipos que tienen acceso a la red pueden usar la impresora, acceder a los archivos del servidor, usar la aplicación de la oficina, etc.

Cualquier agente externo como un hacker o un empleado descontento puede tener acceso a todo en cuanto haya ganado acceso a la red local y causar problemas. Por eso en estos últimos años, se ha dejado de pensar en el concepto de un perímetro seguro a una arquitectura Zero Trust.

 

¿Qué es Zero Trust?

Zero Trust es un modelo de seguridad informática con una premisa: “No confíes nunca, comprueba siempre”. Esta arquitectura necesita una verificación de identidad por cada usuario/dispositivo que quiera acceder a la red y realizar alguna operación dentro de ella.

Imaginémonos que la red de la oficina o de la casa fuera un edificio. Normalmente para proteger el edificio se ponen guardias en las entradas que son los que permiten el acceso a las personas (Un perímetro seguro), pero una vez dentro del edificio tienen total libertad y acceso a todos los recursos. Si un guardia deja pasar a algún actor malintencionado, puede abusar de sus privilegios dentro del perímetro para causar daño.

Una arquitectura Zero Trust no confía en nadie, ni de fuera ni de dentro del edificio. Cada vez que quieras entrar al edificio, ir a alguna habitación, acceder a algún recurso del edificio habrá un guarda que comprobará que eres tú y que tienes los permisos necesarios para realizar cualquier acción. Además, todas esas actividades y solicitudes quedan registradas, por lo que un acceso indebido o un intento de explotación por un agente malintencionado se puede detectar y encontrar su origen.

 

Fundamentos de la Seguridad Zero Trust

La seguridad Zero Trust se basa en estos fundamentos:

Asumir que todo es hostil

Este es el principio fundamental del Zero Trust: Por defecto, todo tráfico y actividad es hostil hasta que se demuestre lo contrario. Para demostrar que el tráfico no es malicioso y que viene de una fuente confiable, la fuente debe confirmar su identidad y de que esta identidad tiene los permisos suficientes para la operación.

Identificación y autorización

Para poder acceder a la red y a los recursos, debes demostrar que eres tú y que tienes permisos para realizar una acción. Esto se consigue a través de Identity and Access Managers (IAM). Un IAM es un recurso centralizado que ofrece servicios de identificación y de resolución de accesos. Antes de cualquier actividad, el usuario se identificará al IAM para demostrar que es un usuario confiable y cada vez que realiza una acción, el IAM procesa la acción y permitirá/denegará la acción dependiendo de los permisos del usuario.

Principio del mínimo privilegio

El principio de mínimo privilegio define que a cada usuario o proceso se le concede sólo los privilegios esenciales para realizar su función.Por ejemplo, un empleado de ventas tendrá acceso a los recursos de ventas, pero no a los recursos de contabilidad o de IT. Si un usuario o proceso es comprometido, limitará su capacidad y reducirá la superficie de ataque.

Logging y monitoreo

Todo movimiento y actividad queda registrado en el sistema. Gracias a esto, se puede hacer tareas de monitoreo para detectar y mitigar posibles actuaciones malintencionadas además de poder determinar su procedencia y alcance y ganar inteligencia para reforzar la seguridad de la red.

 

Ventajas de la Seguridad Zero Trust

Una infraestructura segura para el teletrabajo

Las organizaciones pueden desplegar servicios y recursos alcanzables desde internet pero solo accesibles para los miembros de la organización. Esto ayuda a los usuarios a poder realizar sus actividades desde casa o cualquier lado de forma segura sin exponer los servicios y recursos a internet y que cualquiera pueda acceder.

Mayor seguridad y herramientas para mitigar ataques

El departamento informático contaría con herramientas centralizadas para poder detectar ataques, definir políticas de seguridad, conceder/denegar permisos, rastrear actividades sospechosas, definir alarmas y avisos de acciones sospechosas, reportes más detallados, etc.

Mayor visibilidad de los recursos

Gracias al enfoque de Zero Trust de no confiar en nadie, la infraestructura es consciente de todos los recursos que se encuentran conectados, por lo que la organización tiene bien listados sus recursos y los detalles de estos . Gracias a esta visibilidad la organización es consciente de todos los recursos que posee y facilita las tareas de inventario y la simplificación de administración de IT.

 

 

Publicado el 29 de Julio de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Qué es una VPN?

Una VPN (Virtual Private Network, en inglés) es una herramienta que establece una conexión de red segura cuando navegamos por internet. La VPN encripta todo nuestro tráfico que viaja a través de internet haciendo más difícil que un tercer actor robe nuestra información o rastree nuestra actividad.

 

¿Cómo funciona?

Cuando establecemos una conexión VPN lo que hacemos es realizar una conexión remota con el servidor de la VPN. Para ello, primero, nos autentificamos y el servidor utiliza una serie de protocolos para cifrar nuestros datos. Desde este instante todos los paquetes que enviamos irán cifrados en otro paquete externo mediante un proceso de encapsulación. Cuando los paquetes llegan a la VPN, esta elimina el paquete externo mediante un proceso de descifrado para acceder a los datos que contiene.

A partir de este momento el servidor remoto de la VPN se convierte en el origen de nuestros datos enviando nuestras peticiones. Cuando el servidor web responde a nuestra petición la VPN se encarga de cifrar los datos y enviárnoslo de nuevo.

 

Tipos de VPN

Los tipos de VPN que nos podemos encontrar son:

• VPNs de acceso remoto: son utilizadas por las empresas para establecer una conexión segura entre los recursos de la empresa y los dispositivos personales o de la compañía de los empleados. Una vez conectado los empleados pueden acceder a la información de la empresa sin tener que estar físicamente dentro de la red empresarial.
• VPNs punto a punto: ideales para grandes compañías que desean compartir información entre distintos usuarios situados en localizaciones diferentes. Pueden existir a su vez dos subtipos.
  • Intranet punto a punto: son útiles cuanto una empresa tiene oficinas en distintas localizaciones y se desean compartir información entre ambas.
  • Extranet punto a punto: similar a la anterior pero esta vez cuando se desean conectar intranets entre empresas distintas.
• Basadas en clientes: permiten al usuario conectarse a una red remota mediante una aplicación web. Por seguridad esta aplicación usa un método de autenticación. Útiles cuando se desea trabajar desde una red pública.

 

Beneficios de usar una VPN

Algunos de los beneficios más destacados que puede aportar el uso de una VPN son:

• Encriptación Segura: toda la información que mandamos a través de la VPN es encriptada. Para poder desencriptarla se necesita una clave. Sin la clave no nos pueden robar la información ya que mediante ataques de fuerza bruta llevaría millones de años desencriptar la información.
• Ocultar nuestra localización: en una VPN el servidor actúa como un proxy a internet. Dado que este servidor puede encontrarse en una localización distinta a la nuestra y este actúa como origen de los datos es imposible determinar a ciencia cierta nuestra localización.
• Saltarse restricciones geográficas: determinado contenido en internet es solo accesible para ciertas partes del mundo. Mediante VPN spoofing podríamos cambiarnos a un servidor ubicado en otra localización para poder acceder a ese contenido.

 

 

Publicado el 29 de Julio de 2022
Por Francisco Javier García
Departamento de Ciberseguridad