Hace pocos días, una de las compañías más prestigiosas en ciberseguridad como es Check Point publicada los resultados de un estudio en el que España salía malparada desde la óptica de la ciberseguridad, quedando relegada a la cola de los países de la Unión Europea en concienciación y herramientas de seguridad, sólo superada por países como Letonia o Lituania y, evidentemente, muy lejos de Alemania, Francia o el Reino Unido.

En este estudio, no sólo se estudiaba el estado de la Administración Pública o las grandes corporaciones, sino también, y esto es importante en función del tejido productivo español, la situación de las PYMEs, quedando retratadas como un apetitoso caramelo para los piratas informáticos, debido a su falta de preparación o protección.

Si el objetivo lo enfocamos a Andalucía, el panorama aún empeora. Según los datos publicados por Google sobre el panorama de la ciberseguridad en España, el 99,8% de las empresas no se consideran objetivos de un posible ciberataque, circunstancia que conlleva que no se aborden medidas de detección, protección o formación en ciberseguridad. Sin embargo, los datos deberían hacernos reflexionar, un ejemplo lo podemos apreciar en la publicación de La Vanguardia donde expone que Andalucía, Cataluña y Madrid son las 3 comunidades autónomas con mayor tasa de ciberdelito, con aproximadamente 7.000 delitos diarios en el caso de nuestra Comunidad. Por otro lado, en las estadísticas publicada por INCIBE (Instituto Nacional de Ciberseguridad) destacan a las provincias de Granada, Sevilla y Málaga en el conjunto de cabeza de las provincias más hackeadas de Andalucía y, por tanto, de España.

Si ahondamos aún más, atendiendo a las noticias publicadas en los medios locales en Granada, leemos en Ideal que los ciberdelitos se están duplicando en la provincia en los últimos años, siendo las estafas económicas las más habituales, y que los Cuerpos y Fuerzas del Estado no dan a basto para atender todos los ciberdelitos que se producen en la provincia día a día.

Es vital que empecemos por solucionar el problema desde dentro de nuestra propia organización. Para evitar un problema grave que pueda paralizar un sistema informático, empecemos por concienciarnos de que un ciberataque le puede ocurrir a cualquier tipo de entidad, y que la envergadura o la tipología es variopinta y multiforme. Por todo ello, debemos tener muy en cuenta formar a nuestro equipo de trabajo en nociones básicas de ciberseguridad, disponer de un buen sistema de detección de malware: IDS, IPS o similares, y disponer de un sistema férreo de protección: copias de seguridad in cloud, antivirus o firewall de nueva generación.

¿Son seguras nuestras contraseñas?

Sin duda alguna, esta es una pregunta que nos debemos hacer con frecuencia, ya que nuestra vida, al menos la digital, se encuentra detrás de un “usuario” y una “password” en muchos portales, bancos electrónicos, perfiles, webs, landpage de administración, y un largo etcétera.

¿Cambiamos con la frecuencia adecuada estas contraseñas?

Esta es otra pregunta sobre la que debemos también reflexionar, ya que el mantenimiento indefinido de passwords puede bajar nuestro “listón de ciberseguridad” para el acceso a nuestras cuentas.

En el día de hoy haremos un breve repaso sobre los puntos clave a tener en cuenta en la confección de una contraseña, así como nos pararemos a reflexionar sobre la utilidad del cambio de la misma.

Empecemos por el final, y hagámoslo por el peor de los escenarios. Crear una única contraseña para todo. Por muy potente o robusta que sea esta, es la peor de las ideas que se nos podría ocurrir. Evidentemente, es muy recomendable usar contraseñas robustas, pero lo que no es nada bueno es “cerrar todas nuestras puertas y ventanas bajo la misma llave”, ya que si esta es falsificada, el ciberdelincuente tendrá acceso a toda nuestra vida. Es por todo esto por lo que se aconseja la creación de contraseñas robustas (ahora nos centraremos en ello) pero individuales para cada servicio o utilidad.

Jamás pensemos que una contraseña del tipo: 123456, admin12, querty, o mi nombre o fecha de nacimiento, son contraseñas seguras, todo lo contrario, son las primeras que un hacker probaría.

La parte más tediosa será cambiar de contraseña a menudo. Pongámonos de deberes hacerlo, al menos cada 3 meses en entornos importantes o claves (incluso mucho menos si son críticos), y al menos una vez cada año en el resto.

Por lo que respecta al concepto contraseña robusta, debemos pensar siempre que una contraseña empieza a ser potente o robusta cuando es difícil o muy difícil de descubrir. Partiendo de este punto, podemos conceptualizarla como aquella combinación de dígitos que mezcle caracteres alfanuméricos con símbolos de puntuación, haciendo uso de mayúsculas y minúsculas, y que presenten una extensión considerable.

Llegado a este punto, la pregunta que nos estaremos haciendo es: si tengo que crear una contraseña segura y tener una distinta para cada acceso seguro, ¿cómo hago para recordarlas? Bien, aquí podemos ayudarnos de herramientas de almacenamiento de contraseñas. Keepass podría ser un ejemplo gratuito de ello. En definitiva, son monederos o administradores de passwords que, mediante una contraseña maestra o principal, nos da acceso a un entorno seguro donde guardar las que usemos para cada servicio o plataforma. Además, en la mayoría de los casos nos facilita la posibilidad de la creación aleatoria.

Otra posibilidad para recordar nuestras contraseñas es hacer uso de la imaginación. Me explico. Usar frases que tengan un sentido para nosotros y que, al mismo tiempo, nos permita un fácil recuerdo. En realidad, estamos haciendo uso de la recomendación de crear combinaciones de mayúsculas y minúsculas con caracteres alfanuméricos, pero dentro de un contexto entendible y, lo más importante, recordable. Un ejemplo podría ser: “A los 8 jugué una pachanga de fútbol-sala en Almería”, esta combinación si la probamos en algún test o check de seguridad nos dirá que se tardaría en averiguar más de 10.000 siglos, sin embargo, su “almacenamiento memorístico” no debe generar muchos problemas.

Para finalizar, y teniendo en cuenta lo anteriormente expuesto, pongamos encima de la mesa algunas recomendaciones más en la creación de nuestros passwords:

• Activar, siempre que se pueda la autenticación en dos pasos (visto en entradas anteriores).
• No compartir con nadie nuestras contraseñas.
• No centrar la contraseña con ningún dato sobre nosotros: como nombres de familiares, año de nacimiento (nuestro, de nuestra pareja, o de nuestros hijos/as).
• No utilizar contraseñas por defecto que vengan ya predeterminadas.
• No usar contraseñas breves. Siempre por encima de los 12-15 caracteres.
• Tener especial cuidado con las preguntas de seguridad, ya que podrían arrojar luz a terceros en la búsqueda de nuestra contraseña.
• No usar contraseñas famosas o recomendadas por amistades (incluido el ejemplo reflejado en este post).
• Si nuestra imaginación no da más, usar generador de contraseñas seguras, en entornos seguros.
• Estemos atentos a los medios de comunicación, y si nos dicen que ha habido una filtración en una red social o plataforma digital, cambiemos inmediatamente la contraseña de la misma.
• Podemos usar patrones de creación, siempre y cuando no sean previsibles o fáciles de determinar. Podemos usar números en vez de letras, y letras en vez de números, siempre que no sea fácil encontrar la vinculación.
• Si vamos a usar “relleno aleatorio” junto a un elemento recordable, tengamos presente que puede ser detectado y, por tanto, frágil.
• Por último, y si el problema ha llegado a mayores o pensamos que puede llegar a hacerlo (vulnerabilidades o brechas de seguridad importantes), consultemos con un especialista en ciberseguridad.

Ciberseguridad en el correo electrónico

Cuando indagamos un poco sobre el conocimiento general que los usuarios tenemos sobre la privacidad en el correo electrónico nos solemos llevar desagradables sorpresas. La mayoría desconocemos que, a no ser que tengamos una cuenta de pago, nuestros correos electrónicos no son totalmente privados, detectando en ellos parámetros que pueden servir a las empresas que nos prestan el servicio para dirigir mensajes publicitarios orientados a nuestros gustos, intereses y preferencias. La cosa no queda aquí, tampoco es de dominio público la facilidad que tienen un ciberdelincuente para suplantar la identidad en un correo electrónico; en la dark web o deep web se consigue fácilmente “replicas de cuentas de correo electrónico” con las que poder estafar a terceros (normalmente mediante el phishing). Muchas veces, esta suplantación es dirigida, y el ciberdelincuente investiga previamente a su victima para ganar en credibilidad (expert phishing o spear phishing).

El peligro en el correo electrónico va mucho más allá. Su utilización, de forma delictiva, suele tomar la forma de herramienta para dirigir ataques con virus, troyanos, gusanos, etc., camuflados en “inofensivos” enlaces o adjuntos. Ransomware o cryptolocker pueden estar detrás de todo ello.

En los últimos meses hemos visto como el incremento de estos delitos ha proliferado, incluso alguno de ellos se ha hecho famosos. Valga de ejemplo el ataque a la cuenta del juez del Proces Manuel Marchena. Es, por tanto, momento de reflexionar y prestar atención a la ciberseguridad de nuestro correo electrónico. Pero, ¿qué debemos hacer para protegernos? La respuesta debe pasar por el estudio del uso y los equipos donde accedamos a el, ya que muchas veces no es el correo electrónico el hackeado, sino el dispositivo u ordenador que usamos para llegar a el. No obstante, ahí van algunas recomendaciones:

• Usar contraseñas robustas, y cambiarlas de forma periódica, huyendo de referencias familiares o de nuestros datos personales. Podemos hacer uso de frases que nos sea fácil recordar. El uso de frases hace que nuestra contraseña sea fuerte y sea más fácil su recuerdo.
• No usar la misma contraseña para “todo”. Si tenemos muchas contraseñas ayudémonos de herramientas como Keepass o similares. Tampoco compartamos contraseñas, con nadie.
• Desconfiar por defecto. No nos fiemos de nada “extraño” que pueda venirnos por correo electrónico, ya sea el remitente, el adjunto, los enlaces (pasemos el cursor por encima para ver la verdadera dirección de destino) y, sobre todo, los ejecutables (.exe).
• Utilizar sistemas de seguridad avanzados o el doble factor de autentificación. Se activa en las opciones que nos ofrece nuestro gestor de correo electrónico, y consiste en validar la entrada a nuestra cuenta mediante un mensaje, normalmente al móvil.
• No dejemos, por defecto, nuestra cuenta activa, cerremos la sesión, principalmente en equipos públicos o que no sean de confianza.
• Habilitemos filtros anti-spam.
• Huyamos de las redes wifis públicas e inseguras, las reconoceremos enseguida ya que comparten una misma contraseña entre multitud de usuarios/as.
• Si podemos, usemos gestores de correo electrónico profesionales (PRO).
• Actualicemos los sistemas operativos, los programas y los navegadores.
• Realicemos copias de seguridad de forma periódica.
• Equipémonos con herramientas de ciberseguridad: avanzados antivirus (con inteligencia artificial) y firewall de nueva generación.

Aún así, la ciberseguridad 100% no existe, la mejor defensa es la formación y la preparación del usuario. Estemos atentos y no bajemos la guardia.

El Reglamento General de Protección de Datos (RGPD)

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo entró en vigor el 27 de abril de 2016, no obstante, a partir del 25 de mayo de 2018 comienza a aplicarse en todos los países miembros de la Unión Europea, sustituyendo a las normativas previas, y orientando al desarrollo de leyes particulares, que en España se ha cimentado a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

El Reglamento, al igual que la Ley Orgánica, busca, de forma taxativa otorgar mayor control a la ciudadanía sobre la información que, sobre ella, posean las distintas entidades, empresas u organizaciones. Así, y de forma sintética, destacamos:

• Acceso a la transparencia, a través del cual las entidades pondrán a disposición del ciudadano información sobre el delegado de protección de datos, y el tratamiento que se realiza sobre estos últimos.
• Rectificación otorgada al individuo para que modifique o subsane los datos que vea oportunos y que estén en posesión de una organización.
• Eliminación y derecho al olvido, para aquellos casos en los que los datos hayan sido adquiridos de forma ilícita o irregular, inadecuada o excesiva, o haya desaparecido la finalidad que originó el tratamiento o recogida.
• Restricción del tratamiento de los datos de carácter personal, portabilidad u oposición al uso de los mismos.
• Imposibilitar las decisiones individualizadas en el uso automatizado de los datos de carácter personal.

Aplicación del RGPD a través de la ciberseguridad

En el marco establecido, el Delegado de Protección de Datos (DPO) o, en su defecto, el responsable del tratamiento de datos de carácter personal en la empresa, tendrá que establecer las medidas estrictamente necesarias y proporcionadas para garantizar la seguridad de la información, de la red y la documentación. Entre las más importantes o determinantes, que puedan comprometer la disponibilidad, autenticidad, integridad y confidencialidad, se recomiendan:

• Análisis de riesgos o auditoría del estado informático de la entidad.
• Copias de seguridad a más de 1 km. de distancia del origen de los datos.
• Herramientas de resistencia o fortificación del sistema, redes y equipos.
• Alarma informática para detectar intrusiones o brechas de seguridad, y así poder comunicarlas en menos de 72 horas a la Agencia Española de Protección de Datos.
• Defensa perimetral y de dispositivos (Internet de las cosas) a través de firewall de nueva generación.
• Antivirus de nueva generación adecuadamente integrados en los equipos informáticos.

En las sociedades del siglo XXI, donde la digitalización y el uso de las tecnologías de la información y la comunicación son una realidad, y el peso de lo intangible es cada vez mayor, debemos ser conscientes de que tan importante es dotar de seguridad física a la empresa, como de ciberseguridad que, por un lado nos permita cumplir con la legislación actual, como, por otro, nos posibilite una mayor protección, ya sea para nuestros datos de carácter personal, como para los de índole profesional.

En nuestras manos está hacer frente al cibercrimen, pongámonos a ello.

¿Qué es un CryptoLocker?

CryptoLocker es un género de malware que encripta todos aquellos ficheros, archivos, documentos o equipos informáticos, hasta que sean desbloqueados por el “ciberdelincuente”.

CryptoLocker es de momento una pieza muy conocida de malware que puede ser en especial perjudicial para cualquier organización basada en datos. En el momento en que el código se ha ejecutado, cifra los ficheros en los escritorios y recursos compartidos de red y “los secuestra para el rescate”. Si algún usuario intenta abrir el fichero se le solicitará abonar una tarifa, un rescate, para descifrarlos. Por tal razón, CryptoLocker y sus variaciones han llegado a ser conocidos como “ransomware.

Malware como CryptoLocker puede entrar en una red protegida por medio de muchos vectores, incluyendo e-mail, sitios de intercambio de ficheros y descargas, sitios web, etc.

Un Cryptolocker puede afectar de forma severa a una empresa, a su imagen, su sitio web, dejándolo inservible y afectando incluso a la visibilidad en buscadores.

Aparte de limitar el alcance de lo que un host infectado puede corromper por medio de la retención de los controles de acceso, se aconsejan controles de detección y protección como una primera línea de defensa.

¿Qué hace CryptoLocker?

En la ejecución, CryptoLocker empieza a examinar las unidades de red asignadas a las que está conectado el host: carpetas y documentos, cambia el nombre y cifra las que tiene permiso para alterar, determinado por las credenciales del usuario que ejecuta el código.

CryptoLocker, en muchos casos, emplea una clave RSA de 2048 bits para cifrar los ficheros, y cambia el nombre de los ficheros agregando una extensión, como, “.encrypted”, “.cryptolocker” o bien una combinación de 7 caracteres aleatorios, dependiendo de la variación.

Finalmente, el malware crea un fichero en cada directorio perjudicado que enlaza a una página con instrucciones de descifrado, que requiere un pato por parte de la víctima (en numerosas ocasiones mediante bitcoin).

Los nombres del archivo de instrucciones acostumbran a ser DECRYPT_INSTRUCTION.txt o bien DECRYPT_INSTRUCTIONS.html.

¿Cómo prevenir CryptoLocker?

Cuantos más ficheros tenga acceso una cuenta de usuario, más daño puede producir un malware, por consiguiente, limitar el acceso es una medida de acción prudente, puesto que limitará el alcance de lo que se puede cifrar. Como llegar a un modelo de privilegios mínimos no es una solución rápida, sí es posible reducir la exposición velozmente suprimiendo conjuntos de acceso globales superfluos de las listas de control de acceso.

Conjuntos como “Todos”, “Usuarios autenticados” y “Usuarios de dominio”, cuando se emplean en contenedores de datos (como carpetas y sitios de SharePoint) pueden exponer jerarquías completas a todos y cada uno de los usuarios de una empresa.

Aparte de ser objetivos de ataque, este conjunto de datos expuestos son muy propensos a ser dañados en el ataque del malware.

En los servidores de ficheros, estas carpetas se conocen como “recursos compartidos abiertos”, tanto el sistema de ficheros como los permisos de empleo compartido son alcanzables mediante un conjunto de acceso global.

¿Cómo detectar un CryptoLocker?

Si la actividad de acceso a ficheros se está inspeccionando en los servidores de ficheros perjudicados, estos comportamientos producen un elevado número de acontecimientos abiertos, de modificación y de creación a un ritmo rapidísimo y son bastante simples de percibir con la automatización, lo que da un valioso control de inspección. Por servirnos de un ejemplo, si una sola cuenta de usuario altera cien ficheros en un minuto, es seguro que algo automatizado sucede.

Configurar una solución de supervisión para provocar una alarma cuando se observe este comportamiento puede ser un valioso consejo: IDS, IPS o Firewall de nueva generación.

Dependiendo de la gravedad del CryptoLocker, el cifrado puede ser reversible con un desensamblador en tiempo real, pocos casos, o irreversible.

Consejos de seguridad como prevención del CryptoLocker o ransomware

• Actualizar antivirus y software de protección. Estas soluciones pueden ayudar a advertir algunos géneros de ransomware y eludir que cifre ficheros.
• Estar muy atentos a las estafas de phishing, e-mails de phishing, que son el mecanismo de entrega más usual para el ransomware.
• Mantener copias de seguridad de todos los documentos importantes (es más rápido y más simple recuperar los documentos de un backup, que descifrarlos si se han visto comprometidos en un ataque ransomware).
• Comprometerse a un modelo de cero confianza / privilegios mínimos. Un modelo de privilegios mínimos limita ese acceso sólo a lo que es completamente preciso.
• Supervisar la actividad de los ficheros y el comportamiento del usuario para advertir, alertar y contestar a la actividad potencial de ransomware.
• Y lo más importante, poner en marcha herramientas de ciberseguridad que permitan estar algo más seguro.

La mejor defensa es una buena prevención. Un ataque por medio de un Cryptolocker puede suponer un grave problema para su intimidad, sus datos personales, datos de empresa y el riesgo de ser sancionado por la Agencia Española de Protección de Datos por la posible filtración de información.