Debemos familiarizarnos rápidamente con este nombre: EMOTET, un nuevo malware, más peligroso aún que el famoso WANNACRY, y más difícil de bloquear.

EMOTET es un malware de alcance global del tipo gusano, que ya apareció hace 5 años en forma de troyano para robar credenciales bancarias, sin embargo, desde entonces ha ido evolucionando y haciéndose más sofisticado, hoy en día podemos hablar de él como “ciberdelincuencia como servicio”, ya que se vincula a cualquier malware con la intención de ser lo más destructivo posible. Su objetivo fundamental es el acceso a empresas de todo el mundo y destrozar todo lo que esté a su alcance. En España está siendo especialmente dañino.

Según podemos ver en el reciente estudio publicado por SOPHOS, una de las más prestigiosas compañías de ciberseguridad del mundo, EMOTET se suele valer de la ingeniería social para engañarnos, accediendo normalmente mediante el correo electrónico (muchas veces como spam) para posteriormente propagarse por la red corporativa, robar datos para venderlos en la dark web, enviar mails maliciosos o extraer direcciones de correo electrónico, robar historiales, usuarios o contraseñas, servir de cortina de humo para ataques dirigidos e, incluso, servir de puerta de entrada para la descarga de otros peligros como el ransomware RYUK.

No debemos confiarnos con nuestro simple antivirus comercial, EMOTET precisa de herramientas de ciberseguridad de nueva generación para su detección y destrucción. Estemos atentos.

Hace pocos días, una de las compañías más prestigiosas en ciberseguridad como es Check Point publicada los resultados de un estudio en el que España salía malparada desde la óptica de la ciberseguridad, quedando relegada a la cola de los países de la Unión Europea en concienciación y herramientas de seguridad, sólo superada por países como Letonia o Lituania y, evidentemente, muy lejos de Alemania, Francia o el Reino Unido.

En este estudio, no sólo se estudiaba el estado de la Administración Pública o las grandes corporaciones, sino también, y esto es importante en función del tejido productivo español, la situación de las PYMEs, quedando retratadas como un apetitoso caramelo para los piratas informáticos, debido a su falta de preparación o protección.

Si el objetivo lo enfocamos a Andalucía, el panorama aún empeora. Según los datos publicados por Google sobre el panorama de la ciberseguridad en España, el 99,8% de las empresas no se consideran objetivos de un posible ciberataque, circunstancia que conlleva que no se aborden medidas de detección, protección o formación en ciberseguridad. Sin embargo, los datos deberían hacernos reflexionar, un ejemplo lo podemos apreciar en la publicación de La Vanguardia donde expone que Andalucía, Cataluña y Madrid son las 3 comunidades autónomas con mayor tasa de ciberdelito, con aproximadamente 7.000 delitos diarios en el caso de nuestra Comunidad. Por otro lado, en las estadísticas publicada por INCIBE (Instituto Nacional de Ciberseguridad) destacan a las provincias de Granada, Sevilla y Málaga en el conjunto de cabeza de las provincias más hackeadas de Andalucía y, por tanto, de España.

Si ahondamos aún más, atendiendo a las noticias publicadas en los medios locales en Granada, leemos en Ideal que los ciberdelitos se están duplicando en la provincia en los últimos años, siendo las estafas económicas las más habituales, y que los Cuerpos y Fuerzas del Estado no dan a basto para atender todos los ciberdelitos que se producen en la provincia día a día.

Es vital que empecemos por solucionar el problema desde dentro de nuestra propia organización. Para evitar un problema grave que pueda paralizar un sistema informático, empecemos por concienciarnos de que un ciberataque le puede ocurrir a cualquier tipo de entidad, y que la envergadura o la tipología es variopinta y multiforme. Por todo ello, debemos tener muy en cuenta formar a nuestro equipo de trabajo en nociones básicas de ciberseguridad, disponer de un buen sistema de detección de malware: IDS, IPS o similares, y disponer de un sistema férreo de protección: copias de seguridad in cloud, antivirus o firewall de nueva generación.

¿Son seguras nuestras contraseñas?

Sin duda alguna, esta es una pregunta que nos debemos hacer con frecuencia, ya que nuestra vida, al menos la digital, se encuentra detrás de un “usuario” y una “password” en muchos portales, bancos electrónicos, perfiles, webs, landpage de administración, y un largo etcétera.

¿Cambiamos con la frecuencia adecuada estas contraseñas?

Esta es otra pregunta sobre la que debemos también reflexionar, ya que el mantenimiento indefinido de passwords puede bajar nuestro “listón de ciberseguridad” para el acceso a nuestras cuentas.

En el día de hoy haremos un breve repaso sobre los puntos clave a tener en cuenta en la confección de una contraseña, así como nos pararemos a reflexionar sobre la utilidad del cambio de la misma.

Empecemos por el final, y hagámoslo por el peor de los escenarios. Crear una única contraseña para todo. Por muy potente o robusta que sea esta, es la peor de las ideas que se nos podría ocurrir. Evidentemente, es muy recomendable usar contraseñas robustas, pero lo que no es nada bueno es “cerrar todas nuestras puertas y ventanas bajo la misma llave”, ya que si esta es falsificada, el ciberdelincuente tendrá acceso a toda nuestra vida. Es por todo esto por lo que se aconseja la creación de contraseñas robustas (ahora nos centraremos en ello) pero individuales para cada servicio o utilidad.

Jamás pensemos que una contraseña del tipo: 123456, admin12, querty, o mi nombre o fecha de nacimiento, son contraseñas seguras, todo lo contrario, son las primeras que un hacker probaría.

La parte más tediosa será cambiar de contraseña a menudo. Pongámonos de deberes hacerlo, al menos cada 3 meses en entornos importantes o claves (incluso mucho menos si son críticos), y al menos una vez cada año en el resto.

Por lo que respecta al concepto contraseña robusta, debemos pensar siempre que una contraseña empieza a ser potente o robusta cuando es difícil o muy difícil de descubrir. Partiendo de este punto, podemos conceptualizarla como aquella combinación de dígitos que mezcle caracteres alfanuméricos con símbolos de puntuación, haciendo uso de mayúsculas y minúsculas, y que presenten una extensión considerable.

Llegado a este punto, la pregunta que nos estaremos haciendo es: si tengo que crear una contraseña segura y tener una distinta para cada acceso seguro, ¿cómo hago para recordarlas? Bien, aquí podemos ayudarnos de herramientas de almacenamiento de contraseñas. Keepass podría ser un ejemplo gratuito de ello. En definitiva, son monederos o administradores de passwords que, mediante una contraseña maestra o principal, nos da acceso a un entorno seguro donde guardar las que usemos para cada servicio o plataforma. Además, en la mayoría de los casos nos facilita la posibilidad de la creación aleatoria.

Otra posibilidad para recordar nuestras contraseñas es hacer uso de la imaginación. Me explico. Usar frases que tengan un sentido para nosotros y que, al mismo tiempo, nos permita un fácil recuerdo. En realidad, estamos haciendo uso de la recomendación de crear combinaciones de mayúsculas y minúsculas con caracteres alfanuméricos, pero dentro de un contexto entendible y, lo más importante, recordable. Un ejemplo podría ser: “A los 8 jugué una pachanga de fútbol-sala en Almería”, esta combinación si la probamos en algún test o check de seguridad nos dirá que se tardaría en averiguar más de 10.000 siglos, sin embargo, su “almacenamiento memorístico” no debe generar muchos problemas.

Para finalizar, y teniendo en cuenta lo anteriormente expuesto, pongamos encima de la mesa algunas recomendaciones más en la creación de nuestros passwords:

• Activar, siempre que se pueda la autenticación en dos pasos (visto en entradas anteriores).
• No compartir con nadie nuestras contraseñas.
• No centrar la contraseña con ningún dato sobre nosotros: como nombres de familiares, año de nacimiento (nuestro, de nuestra pareja, o de nuestros hijos/as).
• No utilizar contraseñas por defecto que vengan ya predeterminadas.
• No usar contraseñas breves. Siempre por encima de los 12-15 caracteres.
• Tener especial cuidado con las preguntas de seguridad, ya que podrían arrojar luz a terceros en la búsqueda de nuestra contraseña.
• No usar contraseñas famosas o recomendadas por amistades (incluido el ejemplo reflejado en este post).
• Si nuestra imaginación no da más, usar generador de contraseñas seguras, en entornos seguros.
• Estemos atentos a los medios de comunicación, y si nos dicen que ha habido una filtración en una red social o plataforma digital, cambiemos inmediatamente la contraseña de la misma.
• Podemos usar patrones de creación, siempre y cuando no sean previsibles o fáciles de determinar. Podemos usar números en vez de letras, y letras en vez de números, siempre que no sea fácil encontrar la vinculación.
• Si vamos a usar “relleno aleatorio” junto a un elemento recordable, tengamos presente que puede ser detectado y, por tanto, frágil.
• Por último, y si el problema ha llegado a mayores o pensamos que puede llegar a hacerlo (vulnerabilidades o brechas de seguridad importantes), consultemos con un especialista en ciberseguridad.

Ciberseguridad en el correo electrónico

Cuando indagamos un poco sobre el conocimiento general que los usuarios tenemos sobre la privacidad en el correo electrónico nos solemos llevar desagradables sorpresas. La mayoría desconocemos que, a no ser que tengamos una cuenta de pago, nuestros correos electrónicos no son totalmente privados, detectando en ellos parámetros que pueden servir a las empresas que nos prestan el servicio para dirigir mensajes publicitarios orientados a nuestros gustos, intereses y preferencias. La cosa no queda aquí, tampoco es de dominio público la facilidad que tienen un ciberdelincuente para suplantar la identidad en un correo electrónico; en la dark web o deep web se consigue fácilmente “replicas de cuentas de correo electrónico” con las que poder estafar a terceros (normalmente mediante el phishing). Muchas veces, esta suplantación es dirigida, y el ciberdelincuente investiga previamente a su victima para ganar en credibilidad (expert phishing o spear phishing).

El peligro en el correo electrónico va mucho más allá. Su utilización, de forma delictiva, suele tomar la forma de herramienta para dirigir ataques con virus, troyanos, gusanos, etc., camuflados en “inofensivos” enlaces o adjuntos. Ransomware o cryptolocker pueden estar detrás de todo ello.

En los últimos meses hemos visto como el incremento de estos delitos ha proliferado, incluso alguno de ellos se ha hecho famosos. Valga de ejemplo el ataque a la cuenta del juez del Proces Manuel Marchena. Es, por tanto, momento de reflexionar y prestar atención a la ciberseguridad de nuestro correo electrónico. Pero, ¿qué debemos hacer para protegernos? La respuesta debe pasar por el estudio del uso y los equipos donde accedamos a el, ya que muchas veces no es el correo electrónico el hackeado, sino el dispositivo u ordenador que usamos para llegar a el. No obstante, ahí van algunas recomendaciones:

• Usar contraseñas robustas, y cambiarlas de forma periódica, huyendo de referencias familiares o de nuestros datos personales. Podemos hacer uso de frases que nos sea fácil recordar. El uso de frases hace que nuestra contraseña sea fuerte y sea más fácil su recuerdo.
• No usar la misma contraseña para “todo”. Si tenemos muchas contraseñas ayudémonos de herramientas como Keepass o similares. Tampoco compartamos contraseñas, con nadie.
• Desconfiar por defecto. No nos fiemos de nada “extraño” que pueda venirnos por correo electrónico, ya sea el remitente, el adjunto, los enlaces (pasemos el cursor por encima para ver la verdadera dirección de destino) y, sobre todo, los ejecutables (.exe).
• Utilizar sistemas de seguridad avanzados o el doble factor de autentificación. Se activa en las opciones que nos ofrece nuestro gestor de correo electrónico, y consiste en validar la entrada a nuestra cuenta mediante un mensaje, normalmente al móvil.
• No dejemos, por defecto, nuestra cuenta activa, cerremos la sesión, principalmente en equipos públicos o que no sean de confianza.
• Habilitemos filtros anti-spam.
• Huyamos de las redes wifis públicas e inseguras, las reconoceremos enseguida ya que comparten una misma contraseña entre multitud de usuarios/as.
• Si podemos, usemos gestores de correo electrónico profesionales (PRO).
• Actualicemos los sistemas operativos, los programas y los navegadores.
• Realicemos copias de seguridad de forma periódica.
• Equipémonos con herramientas de ciberseguridad: avanzados antivirus (con inteligencia artificial) y firewall de nueva generación.

Aún así, la ciberseguridad 100% no existe, la mejor defensa es la formación y la preparación del usuario. Estemos atentos y no bajemos la guardia.

El Reglamento General de Protección de Datos (RGPD)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo entró en vigor el 27 de abril de 2016, no obstante, a partir del 25 de mayo de 2018 comienza a aplicarse en todos los países miembros de la Unión Europea, sustituyendo a las normativas previas, y orientando al desarrollo de leyes particulares, que en España se ha cimentado a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

El Reglamento, al igual que la Ley Orgánica, busca, de forma taxativa otorgar mayor control a la ciudadanía sobre la información que, sobre ella, posean las distintas entidades, empresas u organizaciones. Así, y de forma sintética, destacamos:

• Acceso a la transparencia, a través del cual las entidades pondrán a disposición del ciudadano información sobre el delegado de protección de datos, y el tratamiento que se realiza sobre estos últimos.
• Rectificación otorgada al individuo para que modifique o subsane los datos que vea oportunos y que estén en posesión de una organización.
• Eliminación y derecho al olvido, para aquellos casos en los que los datos hayan sido adquiridos de forma ilícita o irregular, inadecuada o excesiva, o haya desaparecido la finalidad que originó el tratamiento o recogida.
• Restricción del tratamiento de los datos de carácter personal, portabilidad u oposición al uso de los mismos.
• Imposibilitar las decisiones individualizadas en el uso automatizado de los datos de carácter personal.

Aplicación del RGPD a través de la ciberseguridad

En el marco establecido, el Delegado de Protección de Datos (DPO) o, en su defecto, el responsable del tratamiento de datos de carácter personal en la empresa, tendrá que establecer las medidas estrictamente necesarias y proporcionadas para garantizar la seguridad de la información, de la red y la documentación. Entre las más importantes o determinantes, que puedan comprometer la disponibilidad, autenticidad, integridad y confidencialidad, se recomiendan:

• Análisis de riesgos o auditoría del estado informático de la entidad.
• Copias de seguridad a más de 1 km. de distancia del origen de los datos.
• Herramientas de resistencia o fortificación del sistema, redes y equipos.
• Alarma informática para detectar intrusiones o brechas de seguridad, y así poder comunicarlas en menos de 72 horas a la Agencia Española de Protección de Datos.
• Defensa perimetral y de dispositivos (Internet de las cosas) a través de firewall de nueva generación.
• Antivirus de nueva generación adecuadamente integrados en los equipos informáticos.

En las sociedades del siglo XXI, donde la digitalización y el uso de las tecnologías de la información y la comunicación son una realidad, y el peso de lo intangible es cada vez mayor, debemos ser conscientes de que tan importante es dotar de seguridad física a la empresa, como de ciberseguridad que, por un lado nos permita cumplir con la legislación actual, como, por otro, nos posibilite una mayor protección, ya sea para nuestros datos de carácter personal, como para los de índole profesional.

En nuestras manos está hacer frente al cibercrimen, pongámonos a ello.