GUÍA DE CIBERSEGURIDAD PARA DUMMIES LA GUÍA PARA NOVATOS opendatasecurity.io TABLA DE CONTENIDOS 03 PARTE II Un hogar con todas las puertas cerradas, la clave para la ciberseguridad PARTE I Así es Internet, el oasis en el que vivimos 11 18 PARTE IV Síntomas y remedios: pautas para combatir las ciberamenazas 26 OPENDATASECURITY.IO PARTE III Guía de ciberseguridad para el lugar de trabajo PARTE I Así es Internet, el oasis en el que vivimos Despertar y mirar el móvil. Asearse, vestirse y cerrar la puerta de casa al salir. Meterse en el coche, ponerse el cinturón y conducir hasta el trabajo. Es posible que hasta que llegue el momento del café, todas esas acciones las hagas en piloto automático. Sin pensar. Porque es lógico que hay que cerrar la puerta de casa; porque tenemos asumido que por seguridad hay que ponerse el cinturón cuando nos montamos en el coche. Sabemos que usar el casco de la moto nos protege, y por la misma razón, procuramos mirar antes de cruzar la calle. Integramos esas acciones para sobrevivir a los peligros de la vida real. Pero aquí la cuestión es: ¿estamos preparados para sobrevivir en el mundo online? Mientras lees esto, eres una de las 3.764 millones de personas conectadas a Internet. Formas parte de esa exorbitante cantidad de usuarios en la red que generan información cada vez que: Te conectas a una red wifi. Haces una búsqueda en Google o cualquier otro buscador. Haces click sobre un enlace. Te registras en una web o aplicación. Descargas e instalas una aplicación en tu dispositivo. Envías o recibes un e-mail o un mensaje instantáneo. Compras algo en una tienda online. Le das a me gusta a una publicación en redes sociales. Publicas contenido en una red social, blog, aplicación o web. Y la lista no acaba aquí. Es mucho más larga porque cada vez hacemos más cosas desde OPENDATASECURITY.IO 4 nuestros dispositivos conectados a Internet. Por eso producimos mucha más información de la que podemos llegar a imaginar. Muchas más. entidades que quieren esa información y que están dispuestas a pagar por ella o a conseguirla utilizando métodos de dudosa ética. Los datos hablan por sí solos: la cantidad de información que generamos sobre nosotros es inmensa y los usuarios infravaloramos no solo la cuantía, sino también su valor. Así que la pregunta se hace inevitable: Empresas, organizaciones, gobiernos… Los datos que hablan de nosotros son oro y desde el momento en el que somos propietarios de un dispositivo electrónico conectado a Internet, empezamos a vivir en casas de cristal. De ello son conscientes quienes son capaces de ver a través de ese cristal, esas personas que comúnmente se les conoce como hackers. ¿Por qué deberíamos estar preocupados por la información que generamos en Internet? Porque, lo creamos o no, hay personas y Los hackers, los chicos malos del oasis “Hacker” es un término muy utilizado hoy en día. Su significado puede variar según en qué contexto se utilice. (hacktivismo), o puede que la intención sea simplemente jactarse de lo que se es capaz de hacer. Por ejemplo, el primer significado que aparece en el diccionario de los hackers, apunta a que se trata de “la persona que le gusta investigar los entresijos de los sistemas programables y la forma de exprimir sus capacidades, al contrario de la mayoría de usuarios que prefieren aprender lo mínimo”. Lo que nos importa a los usuarios es que los cibercriminales diseñan cada día complejos métodos de ataque para obtener información sensible sobre nosotros. Y lo consiguen. Vaya si lo hacen. En esa definición no se habla de alguien que comete actos delictivos en la red. Sin embargo, a través de la literatura que ha surgido en torno a Internet y de los medios de comunicación, se puede comprobar con facilidad que “hacker” es la forma más común de referirse a los ciberdelincuentes. Individuos que también son conocidos como hackers de “sombrero negro“, “crackers” o simplemente “atacantes“. El principal objetivo de un cibercriminal suele ser ganar dinero. Decimos que habitualmente es así porque también se dan casos en los que las motivaciones pueden ser ideológicas A tenor de los datos, estamos hablando de la actividad delictiva que más dinero mueve en el mundo. De hecho, en un reciente informe realizado por la consultora Accenture, señala que un ciberataque puede tener costes mayores a un desastre natural. Un hacker es una persona a la que le gustainvestigar los entresijos de los sistemas programables y la forma de exprimir sus capacidades OPENDATASECURITY.IO 5 Técnicas de ataque con las que consiguen lo que quieren El peligro en Internet existe para absolutamente todo el mundo. En ciberseguridad, se suele decir que el riesgo cero no existe. No por eso debemos de dejar de esforzarnos en protegernos, sino todo lo contrario. Los ataques que vamos a ver a continuación son los más habituales, los que más titulares generan, y para complicar más las cosas, la forma en la que se pueden presentar puede ser muy variada. Conocer las formas en las que los ciberdelincuentes piensan y atacan puede evitar que seas la siguiente víctima De ahí la importancia de saber a qué nos enfrentamos, así como conocer la forma en la que actúan los atacantes y la manera en la que podemos prevenirnos de ser víctimas de un ciberataque. PHISHING O SUPLANTACIÓN DE IDENTIDAD La estafa más habitual en Internet. Se basa en hacerse pasar por una persona de confianza o en una empresa de la que somos clientes para obtener datos nuestros: contraseñas, información bancaria, entre otros. Para ello, el cibercriminal utiliza la ingeniería social para que el engaño sea creíble, es decir, diseñan correos electrónicos muy parecidos al de las empresas que le envían facturas por e-mail. En un correo phishing, se suelen pedir alguna de estas tres acciones: OPENDATASECURITY.IO 6 1 2 3 Que se responda al e-mail facilitando información del usuario. Que se pida la descarga de un archivo que se adjunta en el correo y contiene un virus. Que se pida pinchar sobre un enlace que conduce a una página web fraudulenta en la que el atacante puede pedir otras acciones como meter datos personales que les llega a los atacantes. Los escenarios de ataque phishing no se limitan al correo electrónico. Es posible ser atacado mediante mensajería instantánea o por llamada teléfonica si se hace pasar por una persona de confianza. El phishing también está presente en páginas webs fraudulentas a las que puedes acceder porque han conseguido aparecer en los resultados de Google o porque se encuentran en el perfil de un usuario de una red social. Por todo lo anterior, la mejor prevención para el phishing se basa en desconfiar del contenido que recibimos a través del e-mail, mensajería instantánea, redes sociales e incluso desconfiar cuando alguien nos llama para pedirnos información privada por teléfono. También hay antivirus y herramientas que escanean los archivos adjuntos de nuestros correos electrónicos o bloquean los enlaces potencialmente daniños. Son soluciones recomendables y válidas, pero no tan eficaces como la cautela. Captura de un correo phishing en el que se pide la descarga de un archivo adjunto. En él se puede ver una extraña dirección de correo y que el remite no se dirige a nadie en particular. OPENDATASECURITY.IO 7 RANSOMWARE, EL GUSANO QUE BLOQUEA EL ACCESO A TU EQUIPO El virus más temido de los últimos tiempos. El ransomware ha protagonizado titulares por afectar a usuarios, empresas e instituciones de todo el mundo. Su modus operandi es el de infectar dispositivos bloqueando su acceso y pidiendo un rescate a cambio de devolverlo a su estado original. Algunas variantes de ransomware también encriptan la información que tenemos en nuestros dispositivos, de tal manera que no solo habría que desbloquear su acceso, sino revertir el cifrado. Lo más importante que debemos saber sobre un ransomware es que no se debe pagar el rescate que los atacantes reclaman. La razón es que no hay ninguna garantía de que podamos recuperar nuestra información, por lo que pagar podría implicar no solo la pérdida de datos, sino también de dinero. Cada 10 segundos, un usuario sufre un ataque ransomware. Fuente: Barkly.com La forma de que este virus entre dentro de nuestros sistemas también es diversa. Puede ser por medio del phishing, es decir, a través de un mensaje que nos llega en el que se nos pide que descarguemos un archivo o programa maligno. Es posible que el ransomware infecte equipos e infraestructuras aprovechando las vulnerabilidades del sistema o de una aplicación instalada en él. Las posibilidades son tan complejas como diversas. ¿Entonces cómo deberíamos prevenir que nos ataque un ransomware? Lo cierto es que es difícil, ya que a diario salen nuevas variantes. Por eso, lo mejor es tener las copias de seguridad al día para poder restaurarlas en caso de que nuestro equipo esté bloqueado y la información encriptada. Pantallazo de un ransomware en el que aparecía el logo del FBI para reclamar el rescate de 200 dólares a los afectados. ATAQUE DE DENEGACIÓN DE SERVICIO DISTRIBUIDO (DDOS) Cada vez que visitamos una página web, se produce una solicitud a un servidor, para que este nos responda con los datos (página web) a la que queremos entrar. Imagina por un momento que se realizan muchas solicitudes al mismo tiempo, tantas que el servidor no es capaz de aguantar y deja de prestar un servicio, por lo que no se puede acceder a la página web. Esto es lo que se pretende conseguir con un ataque DoS (Denegación de Servicio), en el que dicha saturación se consigue sobrecargando los servidores desde una sola máquina, mientras que en un ataque DDoS (Denegación de Servicio Distribuido), el ataque proviene de varios puntos como puede ser una red de bots (máquinas). Como usuarios, lo único que se puede hacer cuando no se puede acceder a una página web o aplicación que podría estar sufriendo este tipo de ataque es esperar a que se reestablezca la normalidad. OPENDATASECURITY.IO 8 EXPLOTACIÓN DE VULNERABILIDADES Y ERRORES Es habitual que tengamos que actualizar nuestros dispositivos cada vez que sale una nueva versión del sistema operativo o de las aplicaciones que tenemos instaladas. Muchas veces, esto ocurre porque traen novedades, como pueden ser nuevas funciones. Otras veces, lo que hacen es solucionar una brecha de seguridad que podría comprometer la información de los usuarios. De ahí la importancia de mantener las actualizaciones al día. A veces, las brechas de seguridad de un Se han registrado ataques DDoS con una duración de 277 horas. Fuente: Informe Trimestral sobre Malware de Securelist 2017 sistema no se arreglan hasta que ya se producen ataques a través de ellas. Por eso, la mayoría de las veces no somos conscientes de cuándo nos han atacado y puede pasar mucho tiempo hasta que nos enteremos. Un tiempo en el que los atacantes aprovechan para extraer información privada de los usuarios. ¿Qué daño nos podría producir un ciberataque? Como decíamos al principio, el principal objetivo de los cibercriminales es ganar dinero. Por eso, cuando nos roban información a través de un ataque informático, su siguiente paso es venderla en el mercado negro o aprovecharla para sacar algún tipo de beneficio con ella. Cualquier dato sensible puede ser moneda de cambio, desde el contenido que guardamos en nuestro correo electrónico, hasta en nuestro ordenador o teléfono móvil. Como es lógico, también son de gran valor las direcciones de e-mail, los datos bancarios y de tarjetas de crédito. OPENDATASECURITY.IO 9 Cometemos el error de pensar que nuestros datos no tienen valor cuando es el principal motivo por el cual se producen ciberataques Y la forma en la que los cibercriminales hacen negocios no acaba ahí. También nos pueden colar aplicaciones que directamente cogen el dinero de cuentas bancarias. Android.Fakebank es una de ellos. El troyano estuvo infectando dispositivos Android principalmente de Corea del Sur y Rusia durante el verano de 2016, según Symantec. Se instalaba a través de una aplicación que aparentemente parecía de Google. Una vez instalada, funcionaba en segundo plano y robaba información bancaria del usuario. Para más agravio, cuando este se daba cuenta de que estaban habiendo extrañas transacciones en su cuenta bancaria, el troyano bloqueaba cualquier llamada al banco que se hacía desde el dispositivo infectado. Eso hacía que el usuario tardara más en bloquear la actividad de su cuenta, y por tanto, daba ventaja a los ciberdelincuentes de poder extraer más dinero. El resultado es de esperar: una fatídica experiencia que termina en saqueo. PARTE II Esto es un ejemplo más de los riesgos que los usuarios corremos desde el momento en el que tenemos en nuestras manos un dispositivo con conexión a Internet. Ahora bien, cada problema tiene una solución, pero eso es algo que plantearemos en la próxima entrega. OPENDATASECURITY.IO 10 PARTE II Un hogar con todas las puertas cerradas, la clave para la ciberseguridad En tan solo unos pocos años, la tecnología ha avanzado de tal manera que hoy en día podemos hacer prácticamente todo sin movernos de casa. Gracias a Internet tenemos todo al alcance de la mano, literalmente. Nuestro dedo es el único que nos separa de hacer click en “Comprar”, “Descargar”, “Twittear”, “Enviar”, etc. Ya no hace falta ir al cine para ver los últimos estrenos; ni ir a las tiendas físicas para adquirir cualquier producto que deseemos comprar. Incluso podemos hacer la compra del supermercado a distancia. Pero, ¿y si en vez de comprar unos zapatos o descargarnos un juego, en realidad estuviésemos cediendo nuestros datos bancarios a un criminal? Es totalmente posible, y no nos daríamos ni cuenta. Así es como actúan algunos ciberdelincuentes. Tal y como hemos explicado en la Parte I de esta guía de ciberseguridad para dummies, existen múltiples riesgos y peligros en Internet. Y todos ellos se aprovechan del desconocimiento o el despiste de los usuarios, de cuya información pueden sacar buena tajada. Un click en el lugar y momento equivocados pueden provocar grandes perjuicios no solo a las grandes organizaciones, sino también a las personas. Y es que en nuestra vida diaria realizamos una serie de actividades sencillas y cotidianas que pueden representar un riesgo muy alto para nuestra seguridad. Llegamos a casa y, normalmente, lo primero que hacemos es encender el router (si es que lo apagamos en alguna ocasión). Conectamos nuestro smartphone o nuestro dispositivo a la red wifi de nuestro hogar y ya estamos listos para navegar. Y tu vecino sabe todo esto. Espera, ¿cómo va a saber mi vecino que estoy conectado a Internet? En realidad es muy fácil. De hecho puede que hayan utilizado tu wifi en más de una ocasión. Si alguna vez la velocidad de navegación ha ido especialmente lenta a pesar de tener un ancho de banda muy alto, puede que fuera debido precisamente a esto: alguien está accediendo a Internet desde tu red. A pesar de que las conexiones wifi públicas son las que más ciberataques reciben, las redes domésticas no están exentas de este peligro, ya que pueden ser fácilmente accesibles. ¿El problema? Las contraseñas Para evitar que usuarios no autorizados puedan conectarse de forma inalámbrica a nuestro router, robar nuestra conexión a Internet e incluso acceder al resto de ordenadores de nuestra red local, estos suelen protegerse con una contraseña de manera que, sin ella, el acceso no pueda ser posible. Sin embargo, estas contraseñas suelen ser débiles y sencillas de hackear. De hecho, si comprobamos nuestro router seguramente nos encontraremos con alguna de estas 3: admin/admin admin/password admin/ Una de las contraseñas que más se utilizan en el mundo es “123456”. Fuente: Keepersecurity.com OPENDATASECURITY.IO 12 ¿La solución? Cambiar la contraseña Una vez han accedido a nuestro router, los hackers tienen total libertad para cambiar la contraseña del wifi e impedirnos el acceso a nosotros y a cualquier dispositivo que utilicemos. Para evitarlo, debemos cambiar la contraseña de acceso por defecto de la red wifi que nos proporciona el proveedor de Internet. Estas contraseñas se configruan con un algoritmo que está disponible para cualquier persona. Por lo que simplemente leyendo un tutorial en Internet podríamos ser capaces nosotros mismos de hacer un mal uso de esa información. Por ello, debemos asignar una contraseña que cumpla con todas las medidas de seguridad: Contener minúsculas, mayúsculas, números y letras. No utilizar fechas de cumpleaños, nombres de mascotas, comidas favoritas y demás elementos fácilmente adivinables. Otro de los pasos más importantes para proteger tu red doméstica es activar el protocolo de acceso protegido wifi (WPA) de la red. El WPA no es más que un estándar del sector que garantiza que, cuando estás conectado a un router, los individuos externos no pueden analizar el tráfico y obtener información. Aunque habrá que comprobar el manual del router para activar este protocolo, los routers más actuales tienen una configuración que permite activar el cifrado inalámbrico con tan solo pulsar un botón. Debemos cambiar la contraseña de acceso por defecto de la red wifi que nos proporciona el proveedor de Internet Es importante señalar que el cifrado inalámbrico solo nos protege frente a los hackers que intenten ver nuestro tráfico en Internet. Cuando nos conectamos a una red inalámbrica segura, todavía estamos expuestos a malware, spam y otras ciberamenazas dañinas. OPENDATASECURITY.IO 13 ¿Qué otros métodos existen para proteger nuestros dispositivos? Debemos tener cuidado con lo que publicamos en nuestras redes sociales. En ellas se almacenan grandes cantidades de información acerca de las actividades que realizamos, los lugares que visitamos, las personas con las que nos relacionamos, nuestros hobbies, la comida que nos gusta, etc. Toda esta información puede ser utilizada por un atacante para conocer nuestro perfil y así poder planificar y lanzar ataques personalizados como el phishing que hemos mencionado anteriormente. Además, la información recabada puede ser utilizada incluso para secuestros o extorsiones. ¿Cómo saber qué aplicación es segura? En tecnología móvil la mayoría de servicios de mensajería como WhatsApp, por ejemplo, ofrecen un sistema de encriptación en todas nuestras conversaciones. Lo que significa que solo nosotros y la persona con la que nos comunicamos puede leer los mensajes, impidiendo el acceso a terceros. De hecho, y aunque el ciberdelincuente podría hacerse con la información compartida, solo vería códigos imposibles de descifrar. Al navegar en Internet, es recomendable realizarlo en aquellas webs donde pone HTTPS en la barra de dirección, las cuales también dan al usuario un encriptado extra. Cuando la URL de una web empieza por https://, tu ordenador está conectado a una página que te está hablando en un lenguaje codificado, a prueba de invasores y con mayor seguridad. Y debemos navegar en este tipo de webs especialmente cuando realicemos compras online, siempre y cuando estén vinculadas a pasarelas de pago electrónico reconocidas como Visa, Mastercard, Paypal, entre otras. FIREWALLS O CORTAFUEGOS Una herramienta adicional para protegernos contra las amenazas en Internet es el uso de un firewall. Un firewall o cortafuegos es OPENDATASECURITY.IO 14 simplemente una herramienta de seguridad que controla qué aplicaciones tienen acceso a Internet y a qué conexiones se le permite el acceso a nuestro equipo. Los firewalls suelen programarse para reconocer las amenazas automáticamente, lo que significa que por lo general son fáciles de usar y no interfieren en el modo en el que usamos el equipo. VPNS O REDES VIRTUALES PRIVADAS Otra muy buena medida es usar una VPN (Virtual Private Network o red privada virtual), una tecnología de red que te permite crear una red local (LAN) aunque estés navegando a distancia y necesites pasar la información por una red pública. Es decir, la VPN crea una especie de túnel y evita que nadie pueda coger y usar esa información. De este modo nos aseguramos que todo lo que salga de nuestros dispositivos vaya encriptado hasta llegar al receptor del mensaje. Lo que puede evitar ataques del tipo man-in-the-middle (hombre en el medio), un tipo de amenaza en el que el ciberdelincuente adquiere la capacidad de desviar o controlar las comunicaciones entre las dos partes. ANTIVIRUS Y por supuesto tener un antivirus. Es indispensable mantener nuestro sistema operativo actualizado y utilizar el mejor antivirus que nos alerte y proteja frente a posibles amenazas. También es importante que se ejecute periódicamente para buscar y eliminar malware, así como que realice actualizaciones automáticas. Si estamos dudando en comprar una licencia de antivirus u obtener uno de forma gratuita, debemos tener en cuenta que aunque buena parte de los software gratuitos son de gran calidad y ofrecen un nivel de seguridad razonable para los usuarios domésticos, no siempre ofrecen el mismo nivel de protección. La desconfianza es la mejor actitud OPENDATASECURITY.IO 15 La mejor opción es no confiar inocentemente en lo primero que nos llegue a nuestra bandeja de entrada de correo electrónico, en ese link que nos ofrece un producto gratis, en ese usuario que quiere agregarnos a una red social y que no conocemos, etc. Debemos pensar dos veces antes de realizar cualquiera de esas acciones: si algo es demasiado bueno para ser cierto, entonces es muy probable que sea fraudulento o dañino. Siempre es recomendable el uso de filtros de correo no deseado (spam) que ayudan a bloquear correos electrónicos masivos que puedan contener malware. Hay que tener cuidado si alguien nos da un USB o disco extraíble para insertarlo en nuestros ordenadores. Podría haber ocultado malware en él sin siquiera saberlo. Por ello, es imprescindible escanear con un antivirus cada elemento que introducimos en nuestros dispositivos o descargamos de la web. Por último, aunque no menos importante, debemos acostumbrarnos a hacer copias de seguridad (o backups) de nuestro dispositivo periódicamente para minimizar la pérdida de datos. Es imprescindible escanear con un antivirus cada elemento que introducimos en nuestros dispositivos Todo queda en casa, ¿o no? Dispositivos como un smartphone, una tablet, una smart TV; electrodomésticos inteligentes como neveras u hornos; o incluso termostatos, persianas, puertas y luces controladas desde tu propio teléfono. Esto es el Internet of Things o Internet de las Cosas (IoT). Actualmente todos estos dispositivos se OPENDATASECURITY.IO 16 conectan entre sí a través de conexiones tipo wifi, Bluetooth o infrarojos y se comunican con un control central que suele encontrarse en el mismo domicilio o en el servidor central del propio fabricante. La tendencia es que cada vez haya más dispositivos que personas en cada casa. Y éstos juegan un papel cada vez más importante en la vida doméstica. Sin embargo, el IoT representa un difícil reto para la seguridad. Los sensores de todos los dispositivos de Internet de las Cosas recopilan Incluso los robots aspiradores que tan de moda se han puesto en los últimos años pueden almacenar una información muy valiosa sobre nuestras casas. La marca internacionalmente conocida Roomba mapea los planos de los domicilios y planea venderlos a otras grandes empresas tecnológicas. El IoT o Internet de las Cosas representa un difícil reto para la ciberseguridad al recopilar datos sobre nosotros datos sobre nosotros: conocen qué programas de televisión vemos, pueden saber lo que dices dentro de una habitación, saben a qué hora llegamos a nuestra casa, etc. Y es que, a medida que aumenta la cantidad de redes, operadores, consumidores y dispositivos, también aumenta el riesgo de que se produzca una vulneración. No hay más que ver una de la escenas de la serie Mr. Robot, en la que se hackea la red de una casa alterando el comportamiento de todos los dispositivos que hay en ella. Según su CEO, Colin Angle, la intención es mejorar la tecnología de los hogares inteligentes, y Google, Amazon y Apple son los posibles compradores de esa información. Pero, ¿debemos fiarnos de que esa información no vaya a ser compartida con terceros? Nuestra privacidad está en juego,y como hemos dicho, no podemos fiarnos de nadie, ni siquiera podemos controlar lo que ocurre en nuestro propio hogar. Si en casa no nos podemos sentir seguros, ¿cómo sería en nuestro puesto de trabajo? Eso lo dejaremos para la tercera parte de esta guía sobre ciberseguridad para dummies. OPENDATASECURITY.IO 17 PARTE III Guía de ciberseguridad para el lugar de trabajo El principio de escasez dice que valoramos más un bien con una escasa disponibilidad, mientras que tendemos a pensar que aquello que existe en abundancia tiene poco o ningún valor. empresas. En cualquier entidad, la información tanto de la propia corporación como la de los clientes, sustentan parte de la actividad económica. Es posible que esta teoría explique por qué no le damos importancia a la información que generamos como usuarios. Es por ello por lo que proteger la información debería ser una de las prioridades de las empresas, y en la mayoría de ellas aún no lo es. También es probable que esta estimación a la baja sea el motivo por el cual el cibercrimen se ha convertido en una de las actividades delictivas más rentables de estos tiempos. Y es que seguirá siendo así mientras pensemos que la dirección de correo electrónico o el número del DNI son datos que podemos facilitar sin reserva a cualquiera que nos lo pida. Internet nos ha brindado una ventana de oportunidades de negocio que a veces dificulta la percepción de las amenazas reales. Eso hace que, en lo que respecta a la ciberseguridad, las compañías reaccionan de forma reactiva y no activa, es decir, solo buscan soluciones cuando han sufrido un ataque en vez de prevenirlo por medio de la implantación de políticas de ciberseguridad. La cuestión se agrava cuando los cibercriminales tienen como objetivo las Pero volvamos a la raíz del problema. ¿Por qué los hackers nos atacan cuando estamos trabajando? Haz memoria, ¿recuerdas cómo fue tu primer día de trabajo? Seguramente, no fue uno de los más fáciles. Tuviste que aprenderte los nombres de tus compañeros no sin cierta vacilación. Te explicaron detalles de la empresa mientras pensabas que se te olvidaría al poco tiempo. OPENDATASECURITY.IO 19 Pero nada de eso tenía que ver con cómo protegerte de los ciberataque, sobre cómo desempeñar tu trabajo de forma más segura. ¿Y por qué eso es un problema? Porque a diario recibimos decenas de correos electrónicos de clientes, proveedores y publicidad; gestionamos pedidos por medio de aplicaciones corporativas o de terceros; y en definitiva, llevamos a cabo tareas propias de la actividad que desempeñamos sin la formación necesaria. Todo esto puede hacer que el próximo click termine con el secuestro del equipo y la encriptación de los datos que se almacenan en él. Los ciberdelincuentes son conscientes de la falta de formación de la mayoría de los usuarios en ciberseguridad. Se aprovechan de ello, al igual que lo hacen del frénetico ritmo que muchos trabajadores tienen en sus horas de trabajo. Y su éxito se debe a la metodología que utilizan los cibercriminales y que les funciona: la ingeniería social y el phishing. La falta de conciencia y las prisas configuran el contexto perfecto para tramar un ataque con éxito ¿Qué métodos utilizan? Así es la ingeniería social y el phishing Un ejercicio de persuasión. Así es como se podría definir lo que hacen las personas que realizan ingeniería social. Mediante un conjunto de técnicas psicológicas y habilidades sociales, el ingeniero social tiene el objetivo de que le sea revelada información sensible sin que su receptor sea consciente de los riesgos. OPENDATASECURITY.IO 20 Un ejemplo de ingeniería social podría ser recibir el correo de quien supuestamente se hace pasar por un superior de tu empresa. En él, te pide que le envíes ciertos datos confidenciales de los que dispones o, dependiendo de tu responsabilidad, que realices una transferencia bancaria a un número de cuenta que te facilita con la excusa de que es necesario realizar ese pago cuanto antes. Desde fuera, podría parecer bastante evidente la Estafa del CEO, pero la realidad es que el nivel de sofisticación que ha alcanzado, la han convertido en un engaño bastante frecuente entre las empresas. Además, este ejemplo puede ser aún más terrorífico si cabe. Por una parte, está el correo proviene de un superior (ingeniería social); por otra, podría no solo pedirte que hagas una transferencia, sino que también descargues un archivo malicioso que puede comprometer la infraestructura de tu compañía (phishing). Como este caso, los cibercriminales inventan cada día nuevas formas de llevar a cabo ataques usando ingeniería social y phishing. Ante este panorama, aprender a reconocer una amenaza se convierte en un ejercicio fundamental y básico, entre otros que debería haber en cualquier compañía en la que se utilicen dispositivos electrónicos conectados a Internet. ¿Qué ocurre cuando las amenazas vienen de dentro? “La verdad está ahí fuera”. ¿Te acuerdas? Eso era lo que decían en la serie Expediente X, dejando caer que teníamos que buscar en el exterior los peligros a los que nos enfrentábamos. Qué equivocados estábamos. En lo que respecta a ciberseguridad, las personas que hacen posible un ataque no tienen porqué vestir sudadera con capucha o hacer de las suyas de madrugada. Pueden vestir traje y corbata o tener un horario de El 60% de los ataques que se produjeron en las empresas fueron cometidos por personas desde dentro de la organización. Fuente: IBM oficina. Pueden ser las personas con las que pasas más tiempo que con tu familia. Es posible que sean tus compañeros del trabajo. Según un estudio que publicó IBM en 2015, el 60% de los ataques provenían de dentro de una organización. De esa cifra, el 44,5% de los ataques eran perpetrados a maldad, mientras que el 15,5% de esos ataques se originaron por accidente, es decir por un trabajador que ha permitido el acceso de un atacante externo a la infraestructura de la compañía sin querer. Si la mala noticia es que no solo hay que defenderse de lo que está fuera, la noticia medio buena es que hay un pequeño porcentaje de esos ataques que se producen por accidente. Situaciones que se pueden evitar cumpliendo con los básicos en ciberseguridad. OPENDATASECURITY.IO 21 ¿Cuáles son los básicos de ciberseguridad para una compañía? La información es poder, pero más poderoso es aquel que sabe qué hacer con esa información. Por eso, de nada sirve saber que nos pueden atacar, que existen riesgos y amenazas tanto fuera como dentro de la empresa. Aquí, lo verdaderamente importante es saber qué hacer con esa información, adquirir el conocimiento necesario para saber cómo protegerse, y en definitiva, formarse. 1. FORMACIÓN PERSONALIZADA Y ACORDE A LA ACTIVIDAD DE LA EMPRESA A menudo pensamos que para proteger nuestros equipos hace falta un buen antivirus. Lo cierto es que tener este tipo de herramientas instaladas está bien, pero de nada sirven cuando somos nosotros los que permitimos (por error) que toda clase de malware acceda a nuestros sistemas. Si hay un motivo por el que el cibercrimen se ha convertido en la actividad delictiva más rentable del mundo es porque la mayoría de los usuarios aún no somos conscientes de cómo identificar y actuar ante potenciales ciberamenazas. El objetivo de la formación en seguridad informática es precisamente ese. De la misma manera que desconfiamos cuando un desconocido pretende llamar nuestra atención en la calle, con la formación en ciberseguridad aprendemos a tomar la misma actitud, a pesar de no poder verle la cara a nuestro interlocutor. Pero también se aprende la importancia de otros métodos de protección: establecer contraseñas seguras o tratar de mantener los equipos y las aplicaciones actualizados. OPENDATASECURITY.IO 22 Por otra parte, la formación en una empresa debería cumplir algunas características: Personalizada y/o acorde a la actividad que se desempeña en la organización: porque no es lo mismo formar a trabajadores de un banco que aquellos que manejan equipos en una tienda de textil. Distinta en función del departamento: porque los del departamento financiero serán más susceptibles de recibir potenciales amenazas que las personas que están en atención al cliente. También hay que tener en cuenta que los hackers pueden diseñar ataques para los puestos con más responsabilidad en una empresa, ya que son quienes gozan de más privilegios e información crítica de la compañía. 2. PREGÚNTATE, ¿CADA CUÁNTO HACES COPIAS DE SEGURIDAD? En lo primero que pensamos cuando se masca el desastre son en ellas, en las copias de seguridad. Siempre están preparadas para ser usadas. Aunque bueno, solo si esas copias llegan a realizarse… Quizás sea uno de los consejos de seguridad informática más repetidos. Por eso, aunque está todo dicho, nosotros vamos a decirlo una vez más. Las copias de seguridad hay que hacerlas sí o sí. Tiene que ser de forma periódica y a poder ser, guardarse varias copias de una misma copia de seguridad, una local (offline), otra puede ser en la nube. Hoy en día disponemos de infinidad de herramientas para todo tipo de soportes con las que podemos programar copias de seguridad cada cierto tiempo. De esta forma nos quitamos el estar pendiente de hacerlas y podemos irnos a dormir tranquilos, ya que si somos víctima de un tipo de ataque que borra o encripta nuestros datos, entonces al menos podremos recuperarlos. 3. POLÍTICA ESPECÍFICA PARA LOS DATOS SENSIBLES DE LA COMPAÑÍA Y LOS CLIENTES ¿Te suenan las siglas GDPR? Responden a General Data Protection Regulation, es decir al Reglamento Europeo de Protección de Datos. Una normativa que salió en mayo de 2016 para hacerse aplicable en mayo de 2018. Ese espacio de tiempo fue concedido para que todas las organizaciones que operan en Europa implantaran las políticas y procedimientos necesarios para que los consumidores tengan más control sobre su información. Esto implica muchos cambios para las organizaciones que manejan datos de los usuarios y de ello hemos hablado largo y tendido aquí y aquí. Para la privacidad de los usuarios es una buena noticia, ya que se vela porque las empresas (solo las que operan en Europa) cuiden la información que almacenan sobre nosotros. Aprender a reconocer amenazas es un ejercicio fundamental para proteger los recursos de la empresa 4. PROTOCOLO DE ACTUACIÓN, ¿QUÉ HACER SI SOSPECHAMOS QUE ESTAMOS SUFRIENDO UN CIBERATAQUE? ¿Sabes a quién llamar si tu empresa está siendo víctima de un ciberataque? Es posible que pienses que no te corresponde saber eso, y lo cierto es que parte de razón tienes porque la mayoría de organizaciones dispone OPENDATASECURITY.IO 23 de un departamento técnico que se ocupa de ello. Pero no todos los ciberataquen se hacen notar. No todos son como el famoso ransomware Wannacry, que infectó dispositivos de todo el mundo. Hay ataques que pasan inadvertidos y se tarda meses en saber que ha habido robo de información. También se da el caso que descargues (sin querer) un archivo de un correo que parecía de confianza, que lo hayas ejecutado y que, apesar de no sucedió nada en este momento, sospechas que no tenía buena pinta. Para estos casos y muchos más debería haber un protocolo de actuación donde no puede faltar el contacto a una empresa de ciberseguridad o el de un experto en seguridad informática, en caso de no contar con uno dentro de la organización. Pero todo esto, ¿cuánto cuesta? En el mundo empresarial, los costes lo son todo. De ahí que una de las primeras cuestiones que surgen a la hora de mejorar la seguridad de las empresas es si se trata de un servicio caro. Pues bien, para contestar a esa duda, la realidad habla por sí sola: Basta un solo ciberataque para que una empresa tenga que cesar su actividad. Por un lado están los costes de recuperación: recuperar información perdida, cuantificar cuántos datos se han filtrado, reestablecer equipos infectados… los costes varían según el tipo de ataque que se ha sufrido. La seguridad informática en una organización no es cara si se compara con el coste que supone sufrir un ciberataque Por otro lado, está el que probablemente es el coste más alto: el de imagen. No está bien OPENDATASECURITY.IO 24 visto que a una empresa le hayan robado información de sus clientes, y en última instancia, las consecuencia de un ciberataque puede repercutir en las ventas de la organización. Y por último, en lo que respecta a ciberataques a empresas, hay que tener en cuenta que los cibercriminales han dejado de tener como objetivo a las grandes corporaciones. La realidad es que cada vez se ven afectadas las medianas y pequeñas empresas. Y es que campañas como el ransomware están diseñadas para ir contra organizaciones de todos los tamaños para pedir un rescate acorde a la dimensión de la compañía. PARTE IV OPENDATASECURITY.IO 25 PARTE IV Síntomas y remedios: pautas para combatir las ciberamenazas La prevención y la desconfianza son dos conceptos que no podemos olvidar cuando nos ponemos frente a un dispositivo. Eso es lo que nos queda claro después de ver cómo nos afecta la falta de seguridad en casa y en el trabajo, así como de qué manera prevenir un ciberataque. Y no dejaremos de decirlo: conciencación y buenas prácticas. Hay que recordar siempre que en materia de ciberseguridad, toda precaución es poca. Pero, ¿qué ocurre cuando es demasiado tarde? ¿Qué debemos hacer si hemos sido atacados por un ciberdelincuente? En esta cuarta y última parte de la guía, haremos un listado de pasos y recomendaciones a seguir una vez hemos sido víctimas de algunas de las múltiples amenazas ya comentadas a lo largo de este manual. Desde saber detectarlas a cómo enfrentarse a ellas. Un índice en el que se hará hincapié en reaccionar a tiempo e intentar así minimizar riesgos. 1. ¿Qué hacer si suplantan tu identidad? OPENDATASECURITY.IO 27 Entre algunos de los síntomas que nos podemos encontrar si han suplantado nuestra identidad están los siguientes: No puedes acceder a tus cuentas personales con las credenciales con las que accedes normalmente. Te llegan correos electrónicos de compras realizadas que en realidad no has efectuado. Se comparte contenido en tus redes sociales desde tu cuenta aunque tú no lo hayas publicado. No te llegan algunas de las facturas que sueles recibir. Si creemos que hemos sido víctimas de una suplantación de identidad, hay una serie de pasos que podemos seguir para responder al incidente y recuperarnos de él. CERRAR LAS CUENTAS AFECTADAS INMEDIATAMENTE Y CAMBIAR LAS CONTRASEÑAS Con suerte podremos evitar a tiempo que el atacante se aproveche de nuestros recursos si congelamos o cambiamos las tarjetas de crédito o cuentas bancarias, así como todas las contraseñas de acceso, incluso las de nuestras redes sociales o correo electrónico. Siempre es recomendable acudir a la entidad financiera en la que operemos. Debemos pedir asesoramiento acerca de los pasos que debemos dar en caso de que la cuenta haya resultado afectada por un ataque. PRESENTAR UNA DENUNCIA A LAS AUTORIDADES Es importante conseguir reunir toda la información posible, a través de capturas de pantalla, documentos en papel, enlaces, direcciones de correo electrónico, correos… y acudir a poner la denuncia ya sea a la Policía o a la Guardia Civil. También es posible presentar una reclamación oficial y remitir el caso a la Oficina de Seguridad del Internauta, o a la Agencia Española de Protección de Fatos (AEPD). PONERSE EN CONTACTO CON AGENCIAS GUBERNAMENTALES No es habitual que los ciberdelincuentes estén detrás de este tipo de datos personales, pero si nos han sustraído documentación relativa al permiso de conducir o el número de la seguridad social, deberemos ponernos en contacto con las oficinas de la seguridad social pertinentes. 2. ¿Qué hacer si soy víctima de un ataque ransomware? Si nos están pidiendo un rescate por retomar la normalidad de nuestros equipos y devolvernos la información desencriptada, entonces nos encontramos ante un ataque de tipo ransomware. Nuevamente debemos actuar cuanto antes. En primer lugar deberemos apagar nuestro dispositivo, ya que detiene el proceso de encriptación. Por otra parte, intentar precisar el momento exacto de la infección puede ayudar a la hora de identificar el tipo de ransomware o OPENDATASECURITY.IO 28 No debemos pagar nunca el rescate ya que nos sabremos con certeza si recuperaremos la información ataques y no tenemos la certeza de que vayamos a recuperar la información. De nuevo, debemos dejar constancia del ataque a las autoridades de nuestro país y ponernos en contacto con un empresa especializada en ciberseguridad para que pueda ayudarnos a solucionar el incidente. determinar el alcance del ataque una vez se ha producido. Si tenemos copias de seguridad, plantearnos volver a un estado anterior en el sistema puede ser una muy buena opción. No debemos pagar nunca el rescate. De este modo únicamente estaremos alentando a los ciberdelincuentes a cometer este tipo de De media un ciberataque tarda en detectarse 170 días y se requieren 45 días para solucionarlo. Fuente: Panda Security 3. ¿Qué hago si mi web se cae por un ataque DDoS? A veces es difícil saber si estamos sufriendo un ataque de denegación de servicio distribuido (DDoS). Si tu web está caida puede ser por el tráfico legítimo y no por un ataque. La clave para distinguirlo radica en la cantidad de tiempo que el servicio está caído. Existen casos en los que los ciberdelincuentes envían un correo electrónico para avisar del incidente y obligan a hacer el pago para evitarlo. De hecho, para demostrar que no se trata de una broma, causan una breve interrupción a modo de prueba, o un pico inexplicable de tráfico. OPENDATASECURITY.IO 29 Lo que debemos hacer una vez confirmemos que nos encontramos ante un DDoS es ponernos en contacto con especialistas en la mitigación de estos ataques para que nos ayuden. Será clave para detener el ataque. Para demostrar que no es una broma, los ciberdelincuentes causan una breve interrupción a modo de prueba En segundo lugar, avisar al hosting donde tengamos alojada nuestra web. En la mayoría de casos las amenazas son falsas y no suelen llegar a nada. Sin embargo, no está de más dar la voz de alarma y tener el mayor número de recursos posibles de nuestro lado. Bajo ninguna circustancia debemos pagar ni ponernos en contacto con los extorsionadores, ya que podríamos alentarlos a dirigirse especialmente a nosotros de nuevo en el futuro. 4. Infección de USB y memorias externas Al tener virus o malware, estos se ramifican y se transmiten de un dispositivo a otro, como una infección. El pendrive es un método de ataque frecuente, pero también los discos duros externos, las tarjetas de memoria, los iPod o lectores de MP3, las cámaras digitales, etc. Un equipo puede ser infectado a través de un dispositivo externo que contiene un virus. La infección se hará automáticamente por conexión simple si la ejecución automática está activa para los dispositivos externos. El simple hecho de hacer un doble clic sobre nuestro pendrive o disco duro externo infectará al sistema operativo. El simple hecho de hacer un doble clic sobre nuestro pendrive o disco duro externo infectará al sistema operativo OPENDATASECURITY.IO 30 Sabremos que estamos infectados cuando: Al hacer doble clic para abrir los dispositivos externos conectados a nuestro ordenador, no ocurre nada. Al visualizar archivos y carpetas ocultas, nos damos cuenta de que contiene algunos archivos desconocidos. Nunca debemos hacer clic en ellos, ya que estaremos activando el virus si es que aún no se ha activado. Para eliminar cualquier amenaza, el antivirus juega un papel muy importante, por lo que recordamos que tenerlo siempre actualizado podrá evitar muchos contratiempos. Debemos escanear con el antivirus la memoria externa y los dispositivos en los que lo hayamos introducido, así como evitar utilizarlo en otros si no nos hemos asegurado antes de que hemos eliminado por completo cualquier amenaza. En cualquier caso siempre será recomendable reformatear el USB. Sin embargo, debemos tener en cuenta que al hacer esto, hemos elminado el riesgo de que ese USB siga infectando otros dispositivos, pero nuestro ordenador puede seguir infectado, por lo que tendremos que asegurarnos de que eliminar la infección también en todos nuestros dispositivos. Si no, nuestro USB volvería a infectarse al conectarlo a un ordenador. 5. Qué hacer si tenemos un virus en nuestro equipo Cuando nuestro equipo contiene un virus informático lo sabemos porque suelen aparecen todo tipo de pop-ups y mensajes en el escritorio, bien anunciando cosas, diciendo que el PC está infectado y hay que protegerse, etc. Puede darse el caso de que el virus esté realizando tareas que consumen recursos, razón por la cual el ordenador nos puede ir más lento. Otro de los síntomas es el hecho de que no arranquen las aplicaciones. O bien se ejecuta otra que no queríamos poner en marcha. OPENDATASECURITY.IO 31 Cuando nos conectamos a Internet se abren muchas ventanas o el navegador muestra páginas no solicitadas. Este suele ser otro de los casos, ya que muchas de las amenazas están diseñadas para redirigir tráfico a determinados sitios que el usuario no ha elegido, e incluso a falsear direcciones haciéndonos pensar que estamos entrando a un sitio lícito cuando, en realidad, es una copia del original. Si nos damos cuenta de que algunos documentos como fotografías, ciertas carpetas, archivos de texto, etc. han desparecido de nuestro equipo, deberemos preocuparnos. Puede tratarse de una infección. Otra de las características de muchas amenazas informáticas es la deshabilitación del sistema de seguridad que haya instalado, como pueden ser el antivirus o el firewall. Si se nos cierra uno, puede ser casualidad; pero si se desactivan todos, es casi un síntoma inequívoco de que nos hemos infectado. Del mismo modo, si se cambian los idiomas de las aplicaciones, la pantalla se vuelve del revés, etc. deberemos aplicar las siguientes recomendaciones: Desconectarse de la red: Debemos desenchufar el cable de red, de teléfono o de datos del equipo para intentar evitar que los datos lleguen al atacante. Los bots también pueden utilizar nuestro equipo como un zombie en un ataque coordinado a mayor escala. Analizar nuestro equipo con un antivirus: Un programa con funciones antivirus y antispyware puede detectar y, a menudo, eliminar las amenazas de software de actividades ilegales que, de otro modo, permanecerían ocultas en el equipo. Efectuar copias de seguridad de la información importante: Una copia de respaldo de nuestros archivos más valiosos, como fotos, videos y demás archivos de trabajo o personales en una unidad de disco duro o en soportes extraíbles, como un CD o un DVD. Reinstalar el sistema operativo: En ocasiones la única solución es volver a empezar desde cero y reinstalar el sistema operativo del equipo. 6. ¿Y si tengo un virus en el móvil? El uso de los smartphones o teléfonos inteligentes es cada vez más común y está extendiéndose entre todas las generaciones. De hecho en España tenemos ya más smartphones que ordenadores, según datos de Amic. Esto deriva en que cada vez es mayor la creación de virus por parte de los piratas informáticos, que aprovechan la gran cantidad de tráfico de datos, cosa que puede llegar a poner en riesgo nuestra privacidad. Para saberlo, lo más común es que lo notemos cuando empiece a salir publicidad en la barra de notificaciones, afectando también al consumo de la batería o a la velocidad de conexión a Internet. Con este tipo de virus o malware será fácil lidiar, mientras que otros, en el peor de los casos, bloquearán el dispositivo por completo y nos obligarán a pagar para poder desbloquearlo. Debemos controlar los permisos que concedemos a las aplicaciones cuando las OPENDATASECURITY.IO 32 descargamos, ya que la mayoría establece unos permisos que se configuran automáticamente. Por ejemplo, Google Maps solicita saber en qué localización te encuentras en todo momento, o ciertas aplicaciones tienen permiso al micrófono o la cámara de nuestros dispositivos electrónicos. Debemos hacernos esta pregunta, ¿es realmente necesario? Y la respuesta obvia es no. Si hacemos esto, podremos saber más fácilmente cuál es la aplicación problemática y la que más propabilidades tiene de ser la culpable de la infección de nuestro smartphone. Incluso aunque creas que al eliminar la aplicación has acabado con el foco del virus, deberemos realizar un escáner con un antivirus para asegurarnos. Una vez finalizado el análisis, podremos ver no solo las aplicaciones que están causando el problema, El móvil ahora ha cambiado y el interés del cibercriminal no reside en el reconocimiento personal, sino en el lucro económico. Fuente: PandaLabs sino también los archivos que se han visto afectados. Después de esto, es recomendable elimiar definitivamente esos archivos, al menos así detendremos la infección y eliminaremos el virus o malware. Nunca está de más realizar un segundo análisis para asegurarnos de que nos hemos deshecho por completo del problema. Y en caso de que nuestras contraseñas se hayan visto afectadas, deberemos cambiarlas. Debemos estar siempre preparados En cualquier caso y teniendo en cuenta todas las recomendaciones mencionadas, podríamos resumirlas en 5 etapas o pasos que deberemos seguir para hacer frente a cualquier indicente de ciberseguridad: Preparación: Tener un plan de seguridad para saber cómo actuar. Identificación: Detectar el ataque, determinar el alcance del mismo y tener al tanto a las partes involucradas. Contención: Intentar minimizar los riesgos y el impacto del ataque. Remediación: Detener el ataque una vez controlada la situación. Recuperación: Volver a la normalidad. Ahora que sabemos que el tiempo lo es todo, contar con la ayuda de una compañía de ciberseguridad hará el proceso más fácil y rápido. Por ello, no dude en contactar con Open Data Security y le asesoraremos sobre cómo evitar y hacer frente a las principales ciberamenazas, así de cómo proteger su privacidad. Tanto si es una empresa o un usuario particular, podrá llamarnos a nuestra línea 24/7 en caso de sufrir una emergencia. ES: +34 910 601 739 UK: +44 203 034 0056 USA: +1 347 669 9174 OPENDATASECURITY.IO 33 DE PARTE DEL EQUIPO DE OPEN DATA SECURITY: Gracias por leer esta Guía de Ciberseguridad para Dummies. Compártela y estarás ayudando a otras personas a hacer un uso más responsable de la tecnología y a combatir las principales amenazas que desgraciadamente aparecen cada día en el mundo. ¿NECESITAS AYUDA? CONTÁCTANOS Open Data Security opendatasecurity.io @ODSops [email protected] © 2017 OPEN DATA SECURITY