Félix Grimán

Los paradigmas en que las empresas solían funcionar son, en este momento, obligados a ser diferentes de todas aquellas formas de trabajar que todos conocíamos y tratábamos a diario, debido a la necesidad de «distanciamiento social» provocada por el nuevo virus que está afectando a las personas en todo el mundo y tomando más de medio millón de vidas en todo a nivel global.

El riesgo de contagio que sufre una persona ha llevado a que se deba implementar el trabajo remoto, también conocido como trabajo desde el hogar, lo que tiene como primera consecuencia tener que acceder a la información de la empresa desde lugares que, en la mayoría de los casos, no tienen niveles adecuados o estándar de seguridad, para proteger esa información de ser interceptada, robada y utilizada por ladrones cibernéticos.

Ahora más que nunca, se necesitan tecnologías de encriptación y conexión seguras, que muchas empresas, sean las que sean, no poseen porque no han tenido la necesidad de que sus empleados trabajen de forma remota.

INSTALACIONES DE LA EMPRESA

Hasta ahora, aquellas empresas con niveles adecuados de seguridad las aplicaban sólo para salvaguardar la información dentro de las instalaciones y redes de la empresa, pero no en la LAN privada del hogar del trabajador a través de un ISP.

Esto, por supuesto, también incluye a la industria naviera. Aunque muchas compañías navieras pueden tener altos niveles de seguridad digital y de comunicación en sus embarcaciones, este no es necesariamente el caso en las oficinas en tierra firme, mucho menos en espacios de trabajo fuera de la infraestructura tecnológica de la empresa.

Primero que nada, las compañías navieras (todas las compañías para decir la verdad), deben establecer una conexión segura a sus redes, sistemas e información a través de una Red Privada Virtual (VPN) que permite la capacidad de cualquiera de sus empleados para conectar sus computadoras y sistemas directamente a las redes de la compañía como si estuvieran ubicados físicamente en las oficinas o embarcaciones.

En segundo lugar, esta comunicación remota debe configurarse para usar un nivel de cifrado fuerte para que toda la información que se transmite a través de la VPN sea lo más segura e indescifrable posible, porque incluso cuando la conexión está bajo la protección de un túnel VPN, la comunicación podría ser rastreada y robada pero, si el ladrón no puede descifrar lo que fue robado, todo es un grupo de datos sin sentido inutilizable e incomprensible.

Los usuarios de la empresa no están al tanto de los procedimientos regulares para protegerse ellos mismos de un cyber ataque y entre las directrices que deben cumplir tenemos algunas a continuación:

1. Deben mantener una contraseña segura para sus computadoras, teléfonos, tabletas y sistemas. Y, si es posible y dependiendo del sistema, los usuarios deben tener autenticación de dos factores, también conocida como 2FA.
2. La contraseña debe ser, según algunas prácticas recomendadas de TI, de al menos ocho (8) caracteres, combinar mayúsculas y minúsculas y debe tener caracteres especiales (!, «, #, $,%, Por ejemplo) y debe contener números.
3. El administrador de cada sistema debe configurar e implementar estos requisitos para las contraseñas y 2FA y capacitar a los empleados sobre cómo configurarlos en sus dispositivos.

Todo el personal debe comprender los riesgos asociados con el uso de sus dispositivos (computadoras portátiles, tabletas, teléfonos) fuera de la empresa. Esto significa que cualquier dispositivo podría romperse, perderse y / o ser robado; con la necesidad de tener un sistema a cargo para bloquear de forma remota todos estos dispositivos y evitar el acceso a la información almacenada en ellos.
Imagine una computadora portátil robada donde el usuario, para ahorrar tiempo, tiene todas las contraseñas guardadas para ingresar a la red y los sistemas automáticamente. ¿Qué podría salir mal?
Existen algunas soluciones muy buenas para controlar este tipo de situaciones y realizar un seguimiento de todos los activos que pertenecen a la empresa. En otro artículo, podríamos hablar sobre algunas herramientas interesantes para lograr este objetivo.

Como en el punto anterior, los trabajadores remotos deben ser conscientes del riesgo de usar medios extraíbles donde se ha almacenado la información de la compañía.

Como un mal estándar, ningún usuario, incluso si trabaja en las instalaciones de la empresa o de forma remota, tiene la información escrita en un disco externo encriptado (USB o disco duro, por ejemplo). Esto hace posible el acceso a cualquier información almacenada en esos dispositivos directamente, sin importar qué y en este caso, no existe una herramienta para bloquear este acceso autorizado.

¿Alguien podría preguntar por qué todas estas reglas de seguridad son necesarias si la empresa cuenta con personal de seguridad para evitar cualquier ataque cibernético cuando trabaja de forma remota? La respuesta es: es imposible evitar un ataque. Es por eso que las empresas deben tener la seguridad cibernética como una actividad de alta prioridad.

Habiendo dicho todo esto y siguiendo el motivo de este artículo, quiero pedirles a todos ustedes que cuiden su salud y permanezcan en casa tanto como puedan. Nuestra salud es lo único sobre lo que tenemos control durante esta situación. Los veo pronto.

Por Félix Griman – Experto en ciberseguridad

Fuente original: https://issuu.com/landmarine/docs/caribbean-maritime-40/26

La mayoría de los sistemas y redes de TI funcionan bajo el supuesto de que todo funciona bien porque no vemos evidencia de fallas o errores al realizar actividades de rutina, sin embargo, este supuesto se mantiene desde la posición de nivel más básico en las organizaciones hasta los CEO propiamente.

Si bien la declaración anterior no contempla ningún error, falla o exposición de información, puede haber riesgos que suceden en el fondo sin el conocimiento de nadie.

Este tipo de situaciones salen regularmente a la superficie cuando de repente la infraestructura de una empresa colapsa sin razón aparente, la información desaparece o se corrompe, cuando una organización comienza a notar que sus competidores están utilizando sus datos vitales o una serie de sucesos sin explicación. Estos eventos le dicen a la compañía que los sistemas y los entornos de seguridad de red no funcionan correctamente.

Es fundamental recordar que ningún sistema o red está 100% seguro, para evitar y rechazar intrusiones no autorizadas o ataques externos. Sin embargo, en este punto, la compañía necesita cersiorarse de que su infraestructura esté lo más segura y protegida posible.

Pero, ¿qué significa ser hackeado? ¿Quién realiza tales acciones?

En primer lugar, necesitamos definir qué es un hacker. Un hacker es un profesional de la tecnología con una comprensión muy profunda de la infraestructura, los sistemas y las redes de TI, que aplica todo ese conocimiento para ingresar a las plataformas de TI sin la autorización de nadie.

Como nota general, hoy en día, hay otro término además de “hacker” y esa es la palabra “cracker”. La principal diferencia es que el cracker irrumpe en los sistemas de la compañía sin ningún permiso, a fuerza bruta. Un hacker es alguien que tiene más conocimientos de programación y puede construir cosas para romper o proteger un entorno de red y sistemas, por otro lado, un cracker solo rompe la seguridad de un sistema para robar información.

Para los propósitos de este artículo, vamos a utilizar el término hacker como la persona que obtiene acceso forzado a un sistema y roba, corrompe, elimina y daña software o hardware.

Dicho esto, ahora podemos definir qué es un pirata informático ético y qué es una persona que, como el pirata informático habitual, puede ingresar a una infraestructura completa de TI, la diferencia es que un pirata informático ético tiene toda la autorización de la organización para entrar a los sistemas e información. 

Estos tipos de profesionales realizan muchas pesquisas de vulnerabilidades, pruebas de penetración y ataques de fuerza bruta en todos o parte de los sistemas y redes de la compañía para detectar agujeros de seguridad donde un pirata informático regular podría acceder y robar, corromper, eliminar información; o simplemente destruya y modifique las configuraciones y funcionalidades de software o hardware, dejando a la organización y su negocio deshabilitados.

Normalmente, cualquier organización tiene un departamento de seguridad de TI donde se concentren en problemas tales como el aseguramiento de dispositivos de red, certificados digitales, encriptación, parches de seguridad, antivirus, etc. Y las configuraciones para aumentar la seguridad de la infraestructura como un todo, normalmente se dejan de lado. 

Esto no se debe a que el departamento de TI no esté a la altura de la tarea, sino a una falta de visión de todos los riesgos porque en casi todos los casos, solo hay una persona especializada en un área específica.

Tener una visión completa de los riesgos y su gestión en todos los niveles del sistema en una empresa plantea la necesidad de contratar a un hacker ético para coordinar, a un nivel muy profundo y especializado, todas las actividades relacionadas con los agujeros de seguridad que puedan existir, para luego cerrar todas esas puertas abiertas dentro y entre sistemas y dispositivos y así mantener toda la plataforma lo más segura posible.

Ahora podemos responder las dos preguntas que dieron nombre a este artículo. 

Primera pregunta: ¿Necesita un hacker ético dentro de su empresa? 

Respuesta: Si la capacitación de su personal de TI está desactualizada, o no están altamente especializados en todos los segmentos que conforman el entorno tecnológico de su empresa, la respuesta es “SÍ”. Un hacker ético tiene un conocimiento muy profundo de todas las áreas relacionadas con la infraestructura técnica y puede usar muchas herramientas para hacer posible la detección de vulnerabilidades, pruebas de penetración y ataques de fuerza bruta que mencionamos al principio de este artículo.

Segunda pregunta: ¿Qué debe preguntarse una empresa antes de contratar a un hacker ético para identificar cualquier peligro o vulnerabilidad?

La respuesta a esta pregunta está ligada al compromiso y a las posibilidades económicas y de tiempo. Algunas preguntas para hacerse serían:

1.-  ¿Estoy dispuesto a pagar por lo que se necesita para que todo o parte de mi personal de TI esté altamente especializado para realizar estas tareas?

2.- ¿Tengo los recursos, el tiempo y el dinero para capacitar a mi personal de TI o incluso a algunos de ellos para realizar todas las tareas de piratería ética además de sus tareas habituales?

3.- ¿Tengo suficiente personal para cubrir la ausencia de esos entrenamientos como un hacker ético?

4.- ¿Es necesario proteger mi infraestructura técnica contra un ataque externo?

5.- ¿Qué pasaría si por cualquier ataque dado su negocio se deshabilita?

Lo anterior nos llevará a la pregunta empírica de cómo contratar a un hacker ético. Ser un hacker ético conlleva una gran responsabilidad y confianza en quien lo hace, lo que genera una creciente sospecha de la persona que la empresa quiere contratar.

¿Cómo podemos estar seguros de que esta es la persona adecuada? o donde encontrar a esta persona? ¿Tiene la persona la capacidad, la capacitación y las calificaciones completas para evaluar a mi empresa y asesorar a mi departamento de TI e incluso capacitarla sobre qué buscar en sus controles de seguridad de rutina?

Estas y muchas otras preguntas ahora están apareciendo en el tablero de dibujo, produciendo noches de insomnio para muchos ejecutivos y gerentes de TI que son demasiado tímidos para presentarse y solicitar capacitación y recursos adicionales en un momento en que las empresas están apretando los bolsillos tratando de maximizar los ahorros en un mundo muy competitivo.

Por Félix Griman – Experto en ciberseguridad

Fuente original: https://www.allaboutshipping.co.uk/2019/11/22/do-you-need-an-ethical-hacker/

Cuando las noticias informan un delito cibernético, habrá una gran cantidad de compañías que apretarán los dientes pensando en los estragos que representan estos ataques, especialmente la falta de confianza que sus clientes experimentarían hacia esa compañía en particular.

En el envío naviero, como en la mayoría de las industrias, en realidad hay falta de infraestructura y personal dedicado a detectar, evitar y rechazar esas intrusiones y ataques desde el exterior. Esto se debe a suponer incorrectamente que estas intrusiones y piratería sólo le suceden a los bancos, la industria financiera, las agencias de seguridad gubernamentales o incluso los medios de comunicación.

El hecho es que la piratería, intrusiones, ataques, robo de información, alteración de sistemas, etc., es una realidad y, desafortunadamente, muchas empresas no se dan cuenta de que están siendo afectadas por este tipo de delitos.

Los peligros de tener una puerta abierta para estos atacantes van desde el simple robo de contraseñas hasta datos de tarjetas de crédito y / o información personal, datos de nómina, transacciones confidenciales de una empresa, datos de envio, tráfico de drogas, contrabando, hardware y sistemas operativos que funcionan mal y destruyen sistemas.

Todos sabemos cómo o qué podría lograrse cuando un atacante roba información o datos, pero en la mayoría de los casos, las empresas no saben que podrían ir a la quiebra y cerrar debido a que sus computadoras, comunicaciones, software o almacenamiento se vean comprometidos o corrompidos. Esto trae otro gran problema para cualquier industria: ¿cómo pueden mantener su negocio en funcionamiento o aplicar una copia de seguridad del sistema?. La mayoría de ellos pueden carecer de un plan de continuidad comercial en caso de que se vean afectados por tales atacantes.

Confianza

 Una de las formas comunes de ingresar a la información personal y de la empresa es tan simple como el uso de un correo electrónico, debido a que es una de las herramientas tecnológicas y de comunicación más utilizadas. ¿Por qué esto? Los atacantes tienen mucha confianza en algo muy simple y eso es la ingenuidad y el miedo de los usuarios habituales de correo electrónico.

Hackeo

Por ejemplo, se pueden “diseñar” fácilmente un correo electrónico con exactamente el mismo formato de cualquier banco y decirle al «cliente» que sus cuentas se ven comprometidas con respecto a su seguridad y que es necesario actualizar la información de la cuenta y el inicio de sesión. Después de eso, invitan al usuario a hacer esa actualización haciendo click en el enlace que proporcionan.

Hay muchas, y quiero decir muchas, personas que siguen sus miedos y sin preguntar ni sospechar nada malo, hacen click en el enlace provisto y comienza a escribir toda su información bancaria como si la estuvieran actualizando, pero la verdad es que que están dando de la manera más fácil, toda la información a los ciberdelincuentes.

Este modus operandi podría aplicarse desde una cuenta de correo personal hasta una cuenta de correo empresarial, obteniendo la información necesaria para ingresar a la cuenta bancaria en línea. Debido a esto, se ha robado mucho dinero e información de muchas compañías que mantienen estas cosas en silencio para evitar ser afectados públicamente y perder clientes.

Este es solo un tipo de estafa y se llama phishing; Existe una gran variedad de delitos cibernéticos que utilizan el servicio de correo electrónico como el vehículo para obtener los datos que desean y puede tener una amplia variedad de implementaciones, es decir, fraude de subastas, correo en cadena, llamadas de soporte informáticas falsas, estafa de donaciones, etc.

Sofisticado

Por otro lado, tenemos la forma más sofisticada de piratear y robar información y datos a través de ataques directos sobre la infraestructura, las comunicaciones y los dispositivos de red. Este tipo de ataques se llaman «ataques de fuerza bruta».

Esta vez, los atacantes son profesionales técnicos altamente calificados que utilizan todo su conocimiento para acceder a los sistemas de la empresa, rompiendo la seguridad implementada, cuando está implementada y bien hecha; de lo contrario, cualquier persona con un conocimiento mínimo podría entrar en los sistemas y las comunicaciones.

En estos casos, los procesos operativos completos y la información de la empresa pueden verse afectados, modificados, robados, borrados, corrompidos o una combinación de todos estos.

Por ejemplo, una vez me pidieron que realizara una auditoría de seguridad en algunos servidores de una compañía petrolera mundial. Parecía ser una empresa muy grande y poderosa y pensé que todo eso era sólo para verificar lo que se suponía que ya existía (por razones éticas, no puedo mencionar el nombre de la compañía petrolera). Como resultado, pude detectar una serie de fallas de seguridad y acceder a TODA la información confidencial de la compañía.

Por supuesto, siendo un hacker profesional y ético, anteriormente firmé un contrato confidencial con la empresa; Tuve que crear un informe con todos mis hallazgos y como resultado, el gerente de TI fue removido de sus funciones.

En este ejemplo, la intrusión autorizada la hice directamente. Pero, ¿qué pasaría si un pirata informático poco ético quisiera intentar acceder a esas redes y sistemas? Podrían haber robado fácilmente toda la información de los datos de los pozos hasta la información personal de cualquier empleado.

Información

Más allá del robo de información vital de la empresa y personal, cualquier acceso por alguna brecha de seguridad podría dañar y/o desconfigurar cualquier dispositivo informático o de comunicación y tener todas las operaciones inactivas durante mucho tiempo en todas las áreas afectadas y podría suceden en la industria de envíos de petróleo, gas, marítimo y aéreo; puertos, bancos, seguros, logística, alimentos y cualquier tipo de empresa, incluida una empresa de transporte.

Aquí tenemos otro problema muy grande, ¿qué pasa si no hay un procedimiento o plan de contingencia para mantener el negocio en funcionamiento después de un ataque? Este es un artículo muy breve con un par de ejemplos sobre cómo las empresas pueden verse afectadas; cómo un pirata informático no ético puede robar, dañar y comprometer la información si no hay un plan de defensa contra intrusos y, sobre todo, si una industria, el envío naviero en este caso, no conoce todo el riesgo que podría tener dentro de sus operaciones.

Lamentablemente, este tipo de cosas no pertenecen exclusivamente a las películas de acción, sino que son muy reales.

Por Félix Griman – Experto en ciberseguridad

Fuente original: https://www.caribbean-maritime.com/index.php/latest22/issue-38-october-december-2019/599-ethical-hacking.html