Select Page
Dónde está la ciberseguridad? II

Dónde está la ciberseguridad? II

by | Oct 30, 2018 | Aerolineas, Actualidad, CiberSeguridad

Dónde está la ciberseguridad? II

La ciberseguridad se vio nuevamente afectada. En septiembre pasado, escribía sobre el ciber ataque sufrido por British Airways, en la que hubieron 380 mil usuarios afectados. Mientras se revelaba que hubo otras 185 mil víctimas, otro ciber ataque a la empresa Cathay Pacific afectó a 9.4 millones de pasajeros.

En una semana plagada de noticias de ataques a empresas aéreas, la empresa IAG, dueña de British Airways, confirmó que hay otros 185 mil usuarios a los que se les robaron los datos de sus tarjetas, que sumados a los anteriores dando una cifra total de 568 mil afectados. Sin embargo, este número parece insignificante al lado del resultado del ciber ataque revelado la semana pasada contra la empresa aérea con sede en Honk Kong Cathay Pacific, a quien se comprometió la información privada de 9.4 millones de usuarios.

En este caso los atacantes pudieron acceder a los siguientes datos de los usuarios: nombres de los pasajeros, nacionalidades, fechas de nacimiento, números de teléfono, correos electrónicos, direcciones, números de pasaporte, números de documento de identidad, números de miembros del programa de viajero frecuente y comentarios de servicio al cliente e información histórica de viajes.

Ciberseguridad – el informe oficial

El informe oficial indicó que no se comprometieron datos súper sensibles, como las contraseñas de los usuarios, y que ninguno de los datos de los (…9.4 millones de…) usuarios fueron hasta el momento, objeto de uso indebido por parte de los ciber perpetradores.

Es increíble como el efecto dominó NO mejoró las condiciones de ciber seguridad de las empresas aéreas. Uno podría pensar que si se afecta a una empresa de nuestro mismo negocio, nos debería alertar pensando que nosotros podríamos ser afectados también. No fue lo que hicieron estas empresas aéreas. Para hacer un resumen, podemos decir que la secuencia de ciber ataques fue:

Usuarios afectados

1) Air Canada – 22 al 24/ago/2018 – 20 mil usuarios afectados

2) British Airways – 21/ago al 5/sep/2018 – 568 mil usuarios afectados

3) Cathay Pacific – 23/oct/2018 – 9.4 millones de usuarios afectados

4) ¿Quién sigue….?

 

 

 

 

 

 

 

 

Nota por Carlos Benitez

 

 

 

Carlos Benitez es un reconocido experto en seguridad de la información.

Arma mortal

Arma mortal

by | Oct 11, 2018 | CiberDefensa, Actualidad, CiberSeguridad

Todos estamos de acuerdo que si un ciber atacante ingresa en nuestra notebook, tablet o teléfono, nos enfrentamos a una situación grave en la que podríamos perder desde nuestros datos, dinero y hasta que se vea dañada nuestra reputación. La situación sería más grave si el atacante ingresa a un sistema, por ejemplo, de un banco y realiza una transferencia fraudlenta, o a un sistema de salud y se roba la lista completa de los afiliados. Todo se volvería aún peor si es que el mismo atacante pudiese acceder a los sistemas que controlan las infraestructuras críticas de una ciudad. Si pudiera controlar los sistemas de distribución eléctrica, los sistemas de comunicaciones, los semáforos o señales de los ferrocarriles. Es evidente que en los casos presentados, todos estos posibles y reales, a medida que avanzamos el impacto es mayor por el número de personas afectadas y por el costo del daño que se podría provocar. Se supone (aunque no necesariamente es así…), que a medida que vamos aumentanto el nivel de riesgo, las contramedidas aplicadas deberían ser cada vez más elaboradas, sofisticadas y completas. Ahora bien, qué pasaría si ese mismo atacante, con los mismos conocimientos y las mismas herramientas, pudiese atacar un sistema de armas complejo… por ejemplo un dron artillado…. A todos se nos hiela la sangre imaginar una situación así y sus consecuencias. Es por esto que uno podría pensar que los niveles de ciber protección de sistemas militares hiper-complejos, deberían ser tan avanzados que hasta deberían poder predecir lo que el ciber atacante está pensando antes de actuar, e instalar la contramedida para que le sea imposible acceder. Bueno, si pensamos esto es porque vimos demasiadas películas. Un informe publicado el pasado 9 de Octubre por la GAO, es decir la Oficina de Responsabilidad Gubernamental de Estados Unidos, indica que los sofisticados y poderosísimos sistemas de armas de Estados Unidos son vulnerables a ciber ataques. Si hacemos caso a la mitología militar estadounidense que tan bien presentan el cine, se podrá pensar que “si, ok, los chinos, los rusos, los norcoreanos, con sus ejércitos súper-sofisticados de ciber guerreros son tan avanzados que pueden hacer esto“. Pero no… El informe indica que las vulnerabilidades de los sistemas de armas son simples, comunes, las mismas que tenemos en nuestros sistemas, y que por lo tanto, son atacables con pocos conocimientos y hasta con herramientas disponibles públicamente. Ese informe titulado “WEAPON SYSTEMS CYBERSECURITY” preparado para el Comité de Servicios Armados del Senado de Estados Unidos, se realizó en base a penetration tests que desarrollaron grupos de prueba (red teams) que probaron un arma sofisticada de última generación, que no menciona explícitamente, pero que por las características se deduce que fue un dron. Estos red teams, vienen probando sistemas de enormes programas de desarrollo de material bélico desde 2012 a 2017. Las pruebas sobre las que se escribió el informe se efectuaron en sistemas en etapas de desarrollo entre julio de 2017 y octubre de 2018. El informe indica, ente otras cosas, que los equipos sólo “utilizaron herramientas y técnicas de básicas a moderadas para interrumpir o acceder a los sistemas de armas y tomar el control de los mismos“. Las pruebas demostraron que los sistemas eran tan vulnerables que en un caso, un red team de dos personas solo tardó una hora en tener acceso inicial a un sistema de armas y un día en obtener el control total del sistema que estaban probando. En otro caso, el red team tomó control de las terminales de los operadores. Podían ver, en tiempo real, lo que los operadores estaban viendo en sus pantallas y podían manipular el sistema. Otro equipo de prueba reportó que generó un pop-up que aparecía en las terminales de los usuarios solicitándoles insertar dos monedas para continuar operando.
 
  Muchos de los red teams, informaron que fueron capaces de copiar, cambiar o borrar datos del sistema, incluyendo uno que descargó 100 GBytes de datos. Como estos tests se vienen haciendo desde 2012, fue posible determinar si una vulnerabilidad hallada estaba presente anteriormente, y se descubrió que en esos 5 años, solo se corrigió 1 vulnerabilidad de cada 20. Es interesante notar que desde 1991 diferentes organismos del gobierno de Estados Unidos vienen advirtiendo sobre el peligro de las vulnerabilidades presentes en los sistemas de armas. Sin embargo, las autoridades de defensa de EEUU han tomado (“solo recientemente”) en serio el analizar sus vulnerabilidades; y como consecuencia “…el Departamento de Defensa no conoce el alcance total de las ciber vulnerabilidades de sus sistemas de armas debido a las limitaciones de las pruebas que se realizan“. Otra de las conclusiones del informe, corresponde a las razones para la existencia de tantas vulnerabilidades:
  • Una es que los sistemas avanzados de armas se basan en software comercial y open source por lo que heredan las vulnerabilidades de estos sistemas.
  • Otra es que las armas se conectan (y dependen!) cada vez más de las redes públicas por lo que, eventualmente, son alcanzables por atacantes.
  • Y la peor de todas: si un sistema de armas se desarrolla por ejemplo, basado en un sistema operativo linux con kernel 3.8.13 y python 3.3.2, se prueba y funciona, ese sistema no se vuelve a tocar nunca más… porque funciona, por lo que hoy estará inevitablemente repleto de vulnerabilidades.
A lo largo de todos estos años hemos visto en nuestro mercado cómo los responsables de las empresas van tomando conciencia y haciendo análisis de seguridad una y otra vez sus sistemas para minimizar las vulnerabilidades. Esto además lo hacen con mayor énfasis en los sistemas de mayor riesgo. Teniendo en cuenta esto, es muy difícil entender de cómo los responsables de los sistemas más riesgosos del planeta no hayan todavía entendido la magnitud del problema.    
Nota por Carlos Benitez
Carlos Benitez es un reconocido experto en seguridad de la información.
Mi viejo antivirus ya no es lo que era…

Mi viejo antivirus ya no es lo que era…

by | Oct 5, 2018 | Endpoint protection, CiberSeguridad

…ya no es lo que era…
…ya no es lo que era…

A pesar que no pasaron tantos años, muy lejos estamos de los viejos y tradicionales antivirus.

Muy lejos de la época en que era suficiente tener un buen antivirus actualizado en las estaciones de trabajo para tener un nivel de protección adecuado.

Hoy el nivel de amenazas es tan sofisticado, que los antiguos antivirus ya no funcionan y los sistemas de protección se vieron obligados a evolucionar. De hecho, hoy evolucionaron también los conceptos, y ya no protegemos estaciones de trabajo o servidores, protegemos endpoints.

Y qué es un “endpoint“? es cualquier dispositivo con capacidad conectarse, emitir y recibir paquetes en una red TCP/IP. El término puede referirse a servidores, desktops, laptops, teléfonos inteligentes, tablets, thin clients, impresoras o cualquier otro hardware especializado, como terminales POS, ATMs, ATSs, dispositivos IoT.

El objetivo de la mayor parte de los ataques a los sistemas es comprometer al blanco y obtener accesos que, finalmente, resulten en la pérdida o exposición de un recurso o un conjunto de datos. A pesar de los múltiples niveles de protección, los atacantes tienen a su disposición una gran cantidad de técnicas y herramientas que les permiten pasar desapercibidos y obtener el acceso que buscan.

Un atacante que quiere ingresar a un sistema de forma indebida, debe completar una secuencia de eventos para robar información o ejecutar malware. Casi todos los ataques se basan en comprometer un endpoint. Aquí es donde el viejo antivirus se ve reemplazado por la  Protección Avanzada de Endpoints (AEP), cuyo objetivo es el de interrumpir un ataque antes de que pueda comprometer al endpoint. Hoy en día, los mejores AEP combinan múltiples métodos de prevención como el aprendizaje automático, la inteligencia artificial, el reconocimiento de patrones o algoritmos predictivos para detectar y bloquear malware y para contener actividades sospechosas.

Si bien cada vendor hace sus propias definiciones, se puede decir que los sistemas AEP se pueden dividir en tres tipos:

EDR
Endpoint Detect and Response (Detección y respuesta en endpoints)
Esta tecnología está diseñada para desarrollar funciones de monitoreo continuo y respuesta a amenazas avanzadas.

Los sistemas EDR se diferencian de otras plataformas de protección, como antivirus y anti-malware, en que el objetivo principal, al contrario que sus abuelos… es detener las amenazas en la fase de pre-infección. Los EDR se centran en proveer visibilidad completa de los endpoints. De esta forma, brindan la información necesaria para ayudar a los analistas de seguridad a descubrir, investigar y responder a las amenazas más avanzadas. También ayudan en las campañas de ataque más amplias que se extienden a través de múltiples endpoints. Los EDR más avanzados poseen componentes de inteligencia artificial que les permiten tomar decisiones en forma automática disminuyendo la intervención humana y, por lo tanto, los riesgos, los errores y un nuevo problema fundamental presente en muchos operadores de diversos tipos de sistemas: la Alert Fatigue o Fatiga al recibir alertas en forma constante.

Las características que incluyen la mayoría de las soluciones EDR son:

  • Capacidad de detectar y prevenir procesos de exploit ocultos que son más complejos que una simple firma o patrón y evaden el AV tradicional.
  • Inteligencia en amenazas
  • Visibilidad en todos los endpoints, incluidas aplicaciones, procesos y comunicaciones, para detectar actividades maliciosas y simplificar la respuesta a incidentes.
  • Automatización de alertas, así como respuestas defensivas o desactivación de procesos específicos cuando se detecta un ataque.
  • Capacidades forenses, ya que una vez que el atacante está adentro, se necesita la habilidad de investigar detalladamente sus actividades para poder entender sus movimientos y minimizar el impacto de la intrusión.
  • Recolección de datos para construir un repositorio utilizado para el análisis

EPP
Endpoint Protection Platform (Plataforma de Protección de Endpoints)
Según la definición de Gartner, una EPP es una solución distribuida sobre múltiples dispositivos endpoints para prevenir ataques de malware basados en archivos, detectar actividades maliciosas y proporcionar capacidades de investigación y reparación necesarias para responder a incidentes de seguridad y alertas dinámicas.

Las capacidades de detección pueden variar, pero las soluciones avanzadas utilizan múltiples técnicas de detección, desde IOCs (Indicators Of Compromise=Indicadores de Compromiso) estáticos hasta análisis de comportamiento.
Una característica distintiva es que la mayoría de las soluciones de EPP se gestionan principalmente en la nube. Esto permite la supervisión y recopilación continuas de datos. junto con la capacidad de realizar acciones de reparación remotas. Esto es posible tanto si el endpoint se encuentra en la red corporativa como fuera de la oficina. Además, estas soluciones están asistidas por datos en la nube, lo que significa que el agente del endpoint no tiene que mantener una base de datos local de todos los IOCs conocidos, sino que busca en la nube para encontrar los datos sobre objetos sospechosos que no puede clasificar.

NGAV
Next Generation AntVirus (Antivirus de Próxima Generación)
Estos productos son, como su nombre lo indica, una generación avanzada de antivirus. Es decir que a las características y funciones que contienen los antivirus actuales, agregan funcionalidades avanzadas. Tal como está descripto en ese artículo, las funciones que los NGAV agregan a los AV tradicionales son:

  • Contención de exploits de modo de evitar que un exploit se ejecute en el endpoint.
  • Inteligencia en amenazas
  • Creación y mantenimiento de listas blancas de aplicaciones permitiendo solo a ciertas aplicaciones aprobadas ser ejecutadas en el sistema.
  • Utilización de la característica de micro virtualización de los procesadores Intel para evitar que el proceso se ejecute directamente.
  • Inteligencia artificial que adapta al agente o conjunto de agentes en una red a adaptarse a los cambios del mismo modo que lo haría una persona.
  • Recolección de información forense para efectuar análisis post-infecciones.

 

Si bien estas nuevas características son muy avanzadas, la simple inclusión de éstas dentro de los motores antivirus tradicionales no agregan mejoras considerables al sistema final de protección.

Dado que todas estas características son en cierto modo similares y se encuentran mezcladas, en la siguiente tabla se puede ver un comparativo de los tres grupos de soluciones, comparadas con el antivirus tradicional:

 

 

 

La empresa NSS Labs, una de las empresas independientes más confiables a la hora de analizar productos de ciberseguridad, creó el grupo de pruebas de AEP y presentó sus resultados en la conferencia RSA de 2018. Allí es posible observar las conclusiones de las mediciones y pruebas de algunos de los productos del mercado.

Mucho han evolucionado los sistemas de protección desde los viejos antivirus. El cambio se produjo tan rápido, que mucha gente todavía no tomó conciencia de su existencia. Por eso, tal vez, sea muy curioso escuchar todavía hablar a reconocidos expertos en los medios, recomendando a la gente respecto a que una de las principales medidas de seguridad a la hora de proteger nuestros sistemas es la de: “tener un buen antivirus”…

Pero como acabamos de ver… mi viejo antivirus ya no es lo que era…

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
ekoparty 2018

ekoparty 2018

by | Sep 30, 2018 | Eventos, Actualidad, CiberSeguridad, Hackers

Terminó.
Fue una semana muy intensa repleta de actividades. Pero la decimocuarta edición de la ekoparty ya es historia. Dejó como resultado más conocimiento, más temas en los que interesarse, más ganas de investigar, más amigos.

Ekoparty (o “la eko”) es la reunión anual más importante de curiosos-y-entusiastas-de-la-tecnología-y-de-la-seguridad-que-les-gusta-saber-cómo-funcionan-las-cosas-y-como-encontrar-nuevas-funcionalidades-que-el-programador-no-pensó…. de Argentina.
Convoca unos 2500 asistentes de nuestro país pero también de todo el mundo. Si bien hay años más fuertes y años más flojos, la eko va mejorando edición tras edición en contenidos y calidad. Si bien no siempre puedo hacerlo, este año tuve la fortuna de poder asistir a los tres días y a muchas de sus conferencias y workshops.
Fue una experiencia muy rica. Hubo expositores con CVs muy importantes, algunos fueron viejos conocidos y otros grandes amigos. Hubo eventos que disfruté, otros que me despertaron más curiosidades y otros que pasaron desapercibidos.

Habiendo recopilado algo de información, en esta nota, quise hacer análisis básico de algunos indicadores de la eko que tal vez les sean útiles a los lectores. Aclaro que si bien hubo como siempre, varias actividades como trainings, workshops, stands, etc. para el análisis solo me centré en las conferencias. Tengan en cuenta que muchos de los expositores o empresas a las que pertenecen, además de dar charlas, también llevaron adelante workshops o tuvieron sus propios stands. Por esto considero que tomando solo las conferencias, la muestra es representativa.

Como es la primera vez que hago esto, no puedo comparar con ediciones anteriores, pero de todos modos ahí van los resultados.

Uno de los indicadores que siempre me interesaron en estas conferencias, es quiénes son los expositores, los países a los que pertenecen y las empresas/grupos que representan. En la eko 2018 se dieron 25 charlas, brindadas por 30 expositores, los que pertenecen, hasta donde pude averiguar, a 7 países diferentes.

 

 

En el gráfico se puede ver que el 47% de los expositores fueron extranjeros. Un excelente número que muestra el interés por investigadores de otros países de compartir sus experiencias con la cumunidad en la eko. Por otro lado, en la tabla que sigue se pueden ver las empresas o grupos a los que pertenecen los investigadores que dieron las charlas..

Seis de los expositores lo hicieron en nombre de las universidades o grupos de investigación donde actúan, o en forma independiente. El resto de ellos pertentecen a empresas de seguridad.

 

Por último, el análisis que más me interesa cada vez que se dan conferencias de este tipo, es ver los temas que se trataron, que siempre tienen una característica importante: están en vigencia.

No necesariamente son novedosos o importantes, pero sí están “de moda” y hay un importante número de personas a las que les interesa, sino no los presentarían. Me tomé la libertad de agrupar los temas tratados en categorías para presentarlas en el siguiente gráfico:

Las categorías que tuvieron más interés por parte de los expositores este año, con 3 charlas por categoría, fueron las siguientes:

  • Sistemas BMC (Baseboard Manager Controllers) combinada con la seguridad de los sistemas de booteo UEFI (Unified Extensible Firmware Interface). Estos sistemas asociados a los servidores suelen tener muy pocas medidas de seguridad y pueden llevar no solo a vulnerar servidores individuales sino comprometer toda la red de management de una empresa, que suele ser insegura y no controlada.
  • Sistemas Operativos. Se tocaron temas de seguridad de los sistemas operativos de los iPhones y iPads (iOS) así como varias fallas en el kernel o en drivers de interfases de red de Windows.
  • Algunas aplicaciones populares. Se presentaron varias charlas sobre vulnerabilidades halladas en varias aplicaciones como por ejemplo: de lectura de PDFs, de archivos de posicionamiento en mapas de Google (KML), o en el sistema de de virtualización VirtualBox.

 

En segundo lugar, con 2 charlas por categoría, se presentaron:

  • Vulnerabilidades en sistemas de pagos, tanto en las terminales POS portátiles como en sistemas NFC a través de los cuales se mostró que es posible alterar la información que viaja entre los dispositivos y generar fraudes de forma relativamente sencilla.
  • Fallas de seguridad en lenguajes de programación de páginas web dinámicas, en especial en algunas características de .net y en el modo de inyectar objetos en php.

 

Las siguientes categorías tuvieron una charla por cada una y fueron:

  • Fallas de seguridad a la hora de implementar sistemas de redes definidas por software (SDN) sobre redes WAN por utilizar como base sistemas antiguos y vulnerables.
  • Ataques de tipo ROP Chain (Return Oriented Programming) en el que se construye un ataque con porciones de programas que ya están en la memoria.
  • Un caso particular de utilización de la Blockchain: los contratos inteligentes y de cómo se generan trampas a través de la publicación de contratos inteligentes vulnerables.
  • La utilización de la caché de diferentes proveedores y CDNs como vector de ataque en sistemas web.
  • Sistemas de administración de dispositivos móviles (MDM) vulnerables.
  • Análisis de arquitecturas inseguras de sistemas de Internet de las Cosas (IoT).
  • Resultados y recomendaciones para el análisis de artifacts de Malware en laboratorio.
  • Una charla nostálgica sobre emuladores para juegos.
  • Alertas sobre graves problemas en los optimizadores de los compiladores más populares que no solo introducen fallas de seguridad, sino que eliminan las contramedidas incluidas por los programadores.
  • El análisis y la utilización de la modificación dinámica de los sistemas de comando y control de los botnets (C&C).
  • Problemas serios en sistemas de autenticación en los que es posible comprometer cuentas de usuarios sin tener sus credenciales a través de las preguntas secretas.
  • La demostración de como los esquemas de arquitectura de desarrollo inseguros pueden llevar a difundir datos sensibles de producción a otros ambientes.

Estos temas, no son necesariamente los más importantes o destacados en ciber seguridad. Que no se hayan tocado temas como Advanced Endpoint Protection (AEP), Inteligencia Artificial, Phishing, Radio, etc. no significa que no sean importantes, simplemente los investigadores que estuvieron en esta eko no los presentaron.

La eko #14 ya finalizó.

En mi caso me llevé unas 20 herramientas para probar que desconocía y otro tanto de referencias de papers para analizar. A mí me fue muy útil y la disfruté mucho, casi como “una fiesta de cumpleaños” como deseó Federico Kirschbaum, uno de sus organizadores, en la ceremonia inaugural. Espero que al resto de los asistentes también.

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Consciente colectivo

Consciente colectivo

by | Sep 22, 2018 | Concientización, CiberSeguridad

Existen durante miles de millones de años y afectan desde siempre a otros seres vivos complejos, como a los seres humanos. Con los avances médicos y tecnológicos, fue recién en el año 1683 cuando se logró descubrir la primer bacteria. A partir de ese momento fue posible ver efectivamente en un microscopio a esos microorganismos de los cuales, algunas especies son una verdadera amenaza para nuestra salud.
Sin embargo, en esa época eran contadas con los dedos las personas que en el mundo eran capaces de ver esa realidad oculta para el resto de la humanidad. Con este nuevo descubrimiento hubo médicos que afirmaban que esos seres diminutos afectaban gravemente nuestra salud y que era importante tomar medidas para evitar que entren en nuestros cuerpos.

Esto constituyó el principio de la instalación de los conceptos de la asepsia y la antisepsia que hicieran que recién en 1884 (es decir 2 siglos después…) se creara el primer hospital donde se tenían en cuenta con una higiene especializada. Igual, todavía hubo que esperar varias decenas de años más para que todos los hospitales, y el resto de los seres humanos, pudiéramos adoptar en forma completa las medidas de asepsia y antisepsia como prácticas habituales.

Uno de los principales motivos que llevaron a que pasaran siglos para esa adopción es que ese peligro no fuera visible. La gente tuvo que creer en lo que decían los médicos sobre la existencia de amenazas prácticamente invisibles que afectaban la vida y que se resolvían con medidas de limpieza e higiene.

La relación con el ciber mundo es directa.
Hoy en día nos vemos expuestos a una gran cantidad de amenazas virtuales en el mundo virtual.
A pesar de que afectan nuestra vida real, para poder incorporar estos conceptos, necesitamos analizarlo con el mismo nivel de abstracción que nuestros antecesores con los gérmenes y bacterias hace 200 años.
Así como en el 1800 el peor enemigo de la salud de la población no eran las bacterias sino la falta de higiene, hoy el éxito de los ciber ataques se da por la falta de consciencia de los usuarios de sistemas. Hoy como hace siglos, la mayor parte de la gente no puede ver los ciber peligros, solo tiene que creer en lo que le contamos los profesionales que luchamos contra ellos a diario.

Un reciente estudio solicitado por la Oficina del Comisionado de Información del gobierno de Inglaterra, reveló que el 88% de la perdida de datos sensibles se deben a errores de usuarios.
La falta de consciencia por parte de los usuarios que hace que no se tomen las precauciones mínimas necesarias, hace que cometan errores. Lo más común es que dejen información expuesta sin protección, envíen emails con información sensible a direcciones incorrectas o publiquen información delicada en la nube de forma insegura.

Dada la velocidad con la que se incorporan a nuestras vidas sistemas de información vitales, para nosotros individualmente y para nuestra sociedad, hace que no podamos esperar siglos para concientizarlos y adoptar esa medidas en el uso diario de los sistemas.
Los mecanismos de concientización son la mejor forma de acelerar este proceso.
Y tal vez pronto, actualizaremos nuestros sistemas periódicamente, crearemos contraseñas complejas y diferentes para cada sistema, revisaremos cada email y cada mensaje instantáneo antes de hacer clic en los links que vienen embebidos… de la misma forma que tiramos los productos vencidos, nos lavamos las manos habitualmente o nos desinfectamos las heridas cuando nos cortamos.

 

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.
Dónde está la ciberseguridad de las aerolíneas…?

Dónde está la ciberseguridad de las aerolíneas…?

by | Sep 15, 2018 | Aerolineas, CiberSeguridad

British Airways, la principal compañía aérea inglesa, fue víctima de un ciber ataque sin precedentes en el que fueron robados los datos de tarjetas de crédito de 380 mil usuarios de la aerolínea. Si bien la empresa no brindó datos técnicos oficiales del ataque, lo que sí se afirmó es que la persistencia del mismo fue de dos semanas. Se estima que fueron robados datos de las tarjetas de crédito de todos los usuarios que reservaron vuelos entre el 21 de Agosto y el 7 de Septiembre de este año.

Una vez que los responsables de BA detectaron el ciber ataque, el 7 de Septiembre enviaron un email a los usuarios avisando del incidente y hasta solicitando que por su seguridad den de baja sus tarjetas de crédito y las renueven. Una de las consecuencias fue la caída del valor de las acciones de British Airways.

Según los responsables de la empresa, los datos comprometidos no incluyen información de los pasaportes de los usuarios, como sí lo fueron en el ataque sufrido por la aplicación móvil de Air Canada casi en el mismo momento (entre el 22 y el 24 de Agosto) en el que se comprometieron datos de 20 mil usuarios de la aerolínea.

Desde el punto de vista técnico, la empresa RiskIQ declara que pudo analizar y reconstruir el ataque perpetrado contra los usuarios de BA. Los investigadores de la empresa sostienen que quien está detrás del incidente es el grupo ciber criminal Magecart que logró modificar un componente del sitio web de BA, el javascript modernizr. Este script tiene el inocente propósito original de verificar las capacidades del navegador que está usando el usuario para determinar qué funciones utiliza para armar la página y mejorar su experiencia.

El script modernizr modificado simplemente toma la información que ingresa el usuario y la envía al sitio baways.com que, como podrán imaginarse, no pertenece a British Airways y que posee además un certificado digital válido provisto por Comodo de forma de no alertar al usuario mostrando que el certificado digital es sospechoso.

Desde el punto de vista formal, una buena para GDPR. Debido a esta nueva norma de la que hablamos ya algunas veces, las empresas que son víctimas de ciber ataques de este tipo, están obligadas a publicar esta información dentro de las 72 hs de su descubrimiento. Esto hizo BA y varios analistas se preguntan qué hubiese pasado si la GDPR no hubiese estado en vigencia.

Es evidente que el ataque fue muy bien planeado y ejecutado. Pasó inadvertido a los responsables de ciber seguridad de BA durante 2 semanas. El o los atacantes diseñaron e instalaron infraestructura específica para llevarlo a cabo, lo que habla del nivel de sofisticación y del propósito específico de atacar a British Airways. Entonces, por otro lado, lo que cabe preguntarse es dónde estuvo enfocada la capacidad de ciber seguridad de la empresa durante esos 15 días?

 

Nota por Carlos Benitez

Carlos Benitez es un reconocido experto en seguridad de la información.