miércoles, 30 de marzo de 2016

El papel del auditor de sistemas ante los nuevos riesgos en los centros de datos

Cargando...
Trabajo. Foto: © Sofie Delauw/Corbis. Imagen tomada de: semana.com.

¿Qué papel juegan los auditores ante los nuevos riesgos a los que se enfrentan los data center? ¿Existe una metodología que minimice los riesgos? DatacenterDynamics ofrece las claves en MCSS, la jornada de ciberseguridad que se celebra el 7 de abril en el marco de la 9ª edición de DCD Converged España.

1. Función de Auditoría

La función de auditoría interna moderna puede considerarse como la asesoría independiente a la alta dirección sobre los riesgos que existen en la organización y la evaluación sobre la posibilidad de que estos riesgos puedan afectar negativamente a la sostenibilidad de la misma.

Desde este enfoque, que no coincide plenamente con la definición clásica, el auditor debe considerar en su informe tanto los riesgos identificados como las medidas que se han tomado para controlarlos. Estas medidas suelen estructurarse en un conjunto de controles que, para que sean efectivos deben estar definidos, implantados y verificados periódicamente.

El conjunto de las citadas medidas mitigatorias se conoce como Modelo de Control y su efectividad real conduce a una mejora de la madurez, lo que en definitiva acerca a la organización a su sostenibilidad. Para ello el auditor debe contemplar diversos horizontes temporales en concordancia con la naturaleza y evolución de los mencionados riesgos.

En el mundo actual se constata que una gran parte de los riesgos existentes tienen una importante vertiente tecnológica, derivada de la ubicuidad de los sistemas de información y de la creciente digitalización de los procesos empresariales. Esto obliga a que la labor del auditor deba incorporar una fuerte componente tecnológica. Su correspondiente “profesionalización” ha conducido a la aparición de la denominada “auditoría de sistemas”.

Por lo tanto y adaptando la definición inicial, los auditores de sistemas asesoran de forma independiente a la alta dirección sobre los riesgos de naturaleza informática que pueden dificultar la sostenibilidad de la organización.

2. Rol del auditor en el Centro de datos

En los últimos años han surgido en el sector diversas metodologías que pretenden minimizar los riesgos en los sistemas informáticos, tanto en el desarrollo de sistemas, como en su operación. Estas metodologías (ITIL, CMMI, ISO 27000, ISO 20000 etc…) han introducido paulatinamente un conjunto de rutinas y estándares que han hecho eficaz, predecible y madura la labor de la informática corporativa.

Una de las actividades del auditor de sistemas es evaluar el buen funcionamiento de estos estándares, a través de la verificación periódica de los controles asociados. Esta tarea tiene una dimensión básicamente táctica, que tradicionalmente se ha considerado de “inspección”.

Asimismo, y ya en un plano más estratégico, debe analizar la ausencia de algunos de estas metodologías y recomendar si es conveniente su implantación, en función de los riesgos que pueda presentar.

Para su labor, el auditor de sistemas se apoya también en metodologías, por ejemplo CobiT, que tienen un carácter de alto nivel y pretenden asegurar una actuación profesional y verificable.

Es importante hacer notar que hoy en día el centro de datos no debe considerarse tan solo como un edificio dedicado a ordenadores. En la informática actual el sistema está compuesto por multitud de redes, equipos, usuarios y entornos de terceros, interactuando continuamente. Por ello la frontera de la actuación de los auditores de sistemas cubre todo el procesamiento, almacenamiento y protección de la información de la organización, independientemente de su ubicación.

3. Continuidad de negocio

Una de las medidas mitigatorias más potentes que se pueden establecer en este ámbito es el conocido como “Plan de continuidad”. En el mundo informático este plan se vertebra alrededor del “Plan de recuperación frente a desastres” y su implantación mitiga de forma genérica una gran cantidad de riesgos, ofreciendo una alternativa de proceso para los casos en que los mismos deriven en incidentes que no puedan ser manejados de forma efectiva.

Este plan se diseña, implanta y verifica con la ayuda de algunas normas (BS25999, ISO 22301) que facilitan un correcto enfoque del plan. Aquí también es crucial la labor del auditor de sistemas, como en el resto de metodologías ya comentadas, pues debe ser quien certifique que el plan es efectivo. El auditor de sistemas es parte del plan y su actuación se describe en las normas.

4. Nuevos retos actuales

La rápida evolución de las tecnologías del mundo digital conlleva la aparición constante de nuevos riesgos, los cuales no pueden estar contemplados en su totalidad en las normas. Es importante tener en cuenta que ninguna normativa puede ser considerada completa.

Es tarea de todos los actores de este sector mantenerse al tanto de estos riesgos para considerar formas de mitigarlos. En este punto es fundamental la tarea del auditor de sistemas, pues debe asesorar sobre todo lo que pueda afectar a la organización.

En ese sentido y entre otros, se pueden mencionar:
  • Ataques telemáticos
  • Ciberseguridad en redes y comunicaciones, en redes abiertas y redes mixtas
  • Riesgos del uso de “Cloud computing”
  • Riesgos del uso de “redes sociales”
  • Nuevas obligaciones regulatorias
  • Por ejemplo, en protección de datos de carácter personal
  • Nuevos diseños de centros de datos (Activo-activo).
  • Efecto en los planes de continuidad.
  • Ciberseguridad en infraestructuras críticas y estratégicas
  • Redes de control industrial
  • Nuevos dispositivos en la red
  • BYOD
  • Internet de las cosas
5. Conclusión

La labor del auditor y en particular del auditor de sistemas constituye un elemento crítico para la sostenibilidad de la organización en el mundo digital actual.

Su tarea no se limita a verificar el buen funcionamiento de los estándares elegidos e implantados, sino que debe asesorar estratégicamente sobre todos los procesos que, debido a su baja madurez o a la irrupción de nuevos riesgos, pueden requerir una actuación determinante de la alta dirección.

Tomado de: Silicon

El FBI accedió al Iphone de un terrorista sin ayuda de Apple

Cargando...
Logo de Apple

El Buró Federal de Investigación (FBI, por sus siglas en inglés) accedió al iPhone que usó uno de los atacantes del acto terrorista en San Bernardino, California, informó el Departamento de Justicia de Estados Unidos (DOJ, por sus siglas en inglés).

Las autoridades creen que el FBI pudo acceder al teléfono celular usado por Syed Farook con la ayuda de una tercera persona, que no fue nombrada.

“El FBI pudo obtener información almacenada en el iPhone del terrorista que participó en los ataques de San Bernardino y por ende no necesitó la ayuda de Apple, que fue requerida por una orden de la Corte”, dijo la vocera del DOJ, Melanie Newman, a través de un comunicado difundido este lunes.

Farook fue uno de los agresores del ataque de diciembre de 2015 en California que dejó 14 muertos. El Gobierno de Estados Unidos había tratado de forzar a Apple a que ayudara a descifrar un código de seguridad de sus teléfonos.

La firma declinó ayudar a las autoridades al asegurar que comprometería la seguridad de todos los usuarios de iPhone.

Ambas partes (Apple y el FBI) tenían una audiencia en la Corte la semana pasada, pero un juez otorgó una solicitud de último minuto al DOJ para posponer la audiencia, asegurando que una “persona ajena” al caso contactó al FBI para presentarle un método alternativo para descifrar el iPhone.

El hecho de que el Departamento de Justicia de Estados Unidos pudo acceder al celular sin la ayuda de Apple son malas noticias para la tecnológica, porque sugiere que la tecnología de cifrado de Apple no es tan avanzada como se pensaba.

Tomado de: CNN Expansión

Sólo un 34 % de las empresas se ha protegido totalmente contra ataques DDoS

Cargando...
Ataques DDoS. Imagen tomada de: Vanguardia.com

El nivel de protección que las compañías despliegan ante la amenaza de los ataques DDoS es bastante mejorable, según los datos de una encuesta elaborada sobre esta temática por Kaspersky Lab y B2B International. Gracias a ella sabemos que sólo un 34 % de las empresas se puede considerar totalmente protegida contra ellos. Y eso que más de la mitad cree que protegerse frente a una amenaza como los ataques DDoS es clave para mantener a salvo su infraestructura, por lo que la inversión de seguridad estaría justificada.

La realidad es que prácticamente una cuarta parte de las compañías no ha implementado ningún tipo de medida capaz de enfrentarse a ataques DDoS, lo que vuelve vulnerables sus sistemas críticos. Un 41 % lo ha hecho en parte. Y, para más inri, sólo 15 de cada 100 pretende adquirir en el futuro soluciones capaces de enfrentarse a ataques DDoS, aunque una única campaña pueda llegar a provocar una sangría financiera superior a los 400.000 dólares.

Desde Kaspersky Lab también explican que justo en tres tipos de organizaciones que suelen ser las más atacadas se encuentra la mayor falta de protección. Esta compañía de seguridad habla de medios de comunicación, firmas vinculadas a la salud y la educación.

“Muchas empresas ven los ataques DDoS como algo inofensivo en comparación con las infecciones por malware”, señala Evgeny Vigovsky, jefe de Kaspersky DDoS Protection. “Sin embargo, este tipo de estrategia podría terminar costando mucho a las organizaciones. Los ataques DDoS pueden ser tan perjudiciales para un negocio como cualquier otro delito cibernético, especialmente si se usa como parte de un ataque dirigido más grande”.

Por eso, “la protección de la infraestructura de TI requiere de un enfoque integral”, añade Vigovsky, que recomienda “asegurar la disponibilidad continua de todos los sistemas online críticos, independientemente del tamaño de la compañía o su esfera de actividad”.

Tomado de: Silicon

martes, 29 de marzo de 2016

El malware ‘HummingBad’, la mayor epidemia mundial para atacar dispositivos Android

Cargando...
Android. Imagen tomada de: Wikipedia.org
Por primera vez, los ataques de malware dirigidos a dispositivos móviles se hallan en el Top10 de ataques más frecuentes. Concretamente, el hasta ahora desconocido malware HummingBad ocupa la séptima posición entre el malware más común orientado a realizar ataques contra redes y dispositivos corporativos.

Descubierto por los investigadores de Check Point, HummingBad ataca a dispositivos Android, estableciendo un rootkit persistente -un programa malicioso oculto al control de administrador o usuario y que activa privilegios para el atacante-. El rootkit de HummingBad es capaz de instalar aplicaciones fraudulentas y permitir actividades maliciosas como la instalación de herramientas key-logger o registro del teclado, robo de credenciales, así como la posibilidad de saltarse los contenidos cifrados del email, con el objetivo de interceptar información corporativa.

Check Point ha identificado un total de 1.400 familias diferentes de malware en todo el mundo durante el pasado mes de febrero. Asimismo, por segundo mes consecutivo, las familias Conficker, Sality y Dorkbot han sido las tres con mayor prevalencia globalmente, representando en conjunto un 39% del total de ataques.

En lo que respecta al malware dirigido a móviles, las tres familias con mayor prevalencia a nivel mundial han sido HummingBad, AndroRAT y Xinyin. Se confirma, al igual que en meses precedentes, la mayor prevalencia de ataques contra dispositivos Android frente a iOS. Las características de las tres familias más comunes a nivel global son:
  1. Hummingbad – Malware para Android que establece un rootkit persistente en el dispositivo, instala aplicaciones fraudulentas y permite actividades maliciosas adicionales, como key-logger, robo de credenciales, etc.
  2. AndroRAT – Malware capaz de camuflarse e instalarse como una aplicación de móvil legítima sin el conocimiento del usuario, lo que permite al cibercriminal tener control remoto total del dispositivo Android.
  3. Xinyin – Un troyano del tipo clicker que realiza el fraude de clics, sobre todo en sitios web de origen chino.
Mario García, director general de Check Point para España y Portugal destaca que “El rápido aumento de los ataques del tipo HummingBad son un peligro real para empresas de todos los sectores y tamaños, y demuestran el riesgo grave que se corre al no securizar los dispositivos móviles de los empleados”.

“Las organizaciones deben comenzar con urgencia a proteger estos dispositivos del mismo modo que lo hacen tradicionalmente con sus PCs y sus redes. Los cibercriminales están abriendo múltiples vectores de ataque y es necesario un enfoque integral de la seguridad que contemple una estrategia específica en el ámbito de la movilidad”, concluye García.

Tomado de: Diario TI

7 motivos por los que los cajeros automáticos no son inquebrantables

Cargando...
Virus para cajeros automáticos. Imagen tomada de: www.minutouno.com.
Por la fuerza bruta, o con sofisticados ataques cibernéticos. Al final es igual. Las técnicas para asaltar los cajeros automáticos que las entidades bancarias ponen a disposición de sus clientes son variadas, además de haber demostrado su efectividad con el paso del tiempo.

Pero, ¿por qué? ¿Por qué estos dispositivos que se activan con datos personales y permiten obtener algo tan preciado como el dinero no son 100 % seguros? ¿Qué es lo que falla? La compañía Kaspersky Lab responde que hay siete razones que explican que a día de hoy un cajero todavía se pueda hackear.

La primera de ellas sería que tras todos los subsistemas electrónicos y controladores industriales con los que cuentan los cajeros automáticos residen ordenadores convencionales. Unos ordenadores que, tal y como advierte Kaspersky Lab, suelen confiar en sistemas operativos antiguos. Y de ahí se pasa al segundo y tecer motivo. Que un cajero se base en un software como Windows XP, por ejemplo, que ya no cuenta con soporte por parte de quien lo ha desarrollado, lo deja abierto a vulnerabilidades. Mientras que, por otro lado, los expertos de seguridad comentan que hoy en día “los sistemas de los cajeros automáticos cuentan con un software vulnerable, desde reproductores de flash desactualizados con más de 9.000 bugs conocidos a herramientas de administración remota”. Esto facilitaría la tarea de los cibercriminales.

En cuarto lugar se encuentra la percepción equivocada de los fabricantes, que tenderían a pensar que estas creaciones no se van a encontrar durante su vida útil con errores de funcionamiento. Por eso muchos de ellos no estarían protegidos con antivirus ni con autenticación de la aplicación. Otro fallo por su parte es blindar el depósito y dispensador de billetes pero no la parte del cajero sin dinero, esto es, el ordenador que se coloca tras “una carcasa de plástico” o “un fino metal”, se lamenta Kaspersky Lab.

¿Qué más? La posibilidad de acceder a las interfaces a distancia o la conexión de cajeros y centros de procesamiento a través de Internet son otras dos cuestiones a tener en cuenta. Esta última, por ejemplo, serviría para encontrar terminales bancarios en el buscador Shodan con sólo introducir “admin” y “1234” como nombre de usuario y contraseña, respectivamente.

Tomado de: Silicon

Detectan vulnerabilidad crítica en los protocolos SMB y CIFS, de Windows

Cargando...
Windows 10. Imagen tomada de PC Actual.
La vulnerabilidad ha sido detectada por el experto en seguridad informática Stefan Metzmacher, de la empresa SerNet, asociada al Core Team de Samba, quien recalca que el problema, de rango crítico, afecta a los protocolos SMB (Server Message Block) y CIFS (Common Internet Files System). Ambos protocolos son utilizados para compartir archivos de red, y son soportados no sólo por todos los PC operados con Windows, sino también por otras plataformas, mediante el software de código abierto Samba.

Microsoft y el proyecto Samba anuncian actualizaciones de seguridad para el 12 de abril.

¿Publicidad exagerada?

La fecha de lanzamiento coincide con la actualización mensual de Windows, realizada el segundo martes de cada mes. Por esta y otras razones, algunos sectores de la comunidad de seguridad informática han manifestado cierto escepticismo frente a la forma en que Badlock ha sido dado a conocer; con nombre, logotipo, fecha de lanzamiento y sitio web operado por SerNet. En tal sentido, se le califica de una estrategia de “hype” comercial frente a un problema de seguridad, cuya gravedad es incierta.

Según diversas fuentes, podría tratarse de un error duplicado en SMB/CIFS y Samba, que puede ser aprovechado por hackers para hacerse del control de distintas plataformas.

Por su parte, el experto Dan Kamisnky considera desafortunado que una empresa anuncie con tanta antelación, tres semanas, un parche de seguridad, toda vez que la información podría ser aprovechada por actores malignos. Lacónicamente, apunta que “todo depende de qué tan fidedigno sea el nombre Badlock”.

Tomado de: Diario TI

jueves, 17 de marzo de 2016

¿Quién está detrás de los errores de los usuarios?

Cargando...
Trabajo. Foto: © Sofie Delauw/Corbis. Imagen tomada de: semana.com.
Mucho se ha hablado acerca de la sensibilización y concienciación en materia de seguridad de la información en las organizaciones. Escuchamos constantemente la frase. 

"El eslabón mas débil de la cadena es el usuario" 

Constantemente escuchamos chistes y comentarios de muchos profesionales de seguridad acerca de lo que hacen los usuarios y como lo hacen. Luego de revisar este articulo Behind every stupid user is a stupider security professional, y este articulo Do you create stupid users? , quedan muchas reflexiones y muchas observaciones relacionadas con la forma en cómo los especialistas de tecnologías de la información y dentro de ellos los mismos responsables de seguridad dejan de entender un universo (mente), dejan de entender a otros toda vez que la "lógica" usada por los profesionales parece bastar y ser suficiente y dejar por fuera el entendimiento que otros que no poseen el conocimiento tienen acerca de una situación que no comprenden, que desconocen y que en su "lógica" lo hacen de la manera que mas les parece. Todo esto en algunos casos lleva a cuestionar las prácticas en materia de sensibilización y conciencia de seguridad de la información.

Efectivamente, con las prácticas en materia de sensibilización y concientización de seguridad si se crean usuarios y más aún, que estén comprometidos con la protección de la información; parte de la responsabilidad de los líderes de seguridad es crear escenarios claros que le permitan a esos múltiples universos entender una nueva realidad, un mundo digital donde existen nuevos normales, donde existen riesgos de los que ellos pueden ser víctimas, de los que los usuarios algunas veces o en muchos de los casos no saben lo que pasa. Los medios y las noticias actuales registran a las amenazas de ingeniería social en el top de las amenazas electrónicas usadas, lo cual también invita a la reflexión de que otros reconocen un universo y reconocen de él unas prácticas poco orientadas que son aprovechadas en pro de un beneficio.

Es por ende que se requiere repensar y replantear los métodos, mecanismos, estilos, herramientas y capacidades usados comúnmente para sensibilizar, capacitar, y educar a los usuarios; los líderes de seguridad deberían poder ir mas allá de lo conocido tratar de ponerse en los zapatos de quien no domina el tema, y porque no que sean capaces de utilizar el término "empatía" como una nueva característica de su rol y aplicarla a la hora de pensar en la labor titánica de poder crear conciencia en las organizaciones.

Con ello dejo las siguientes preguntas de reflexión para todos.

Tómense unos segundos para pensarlo
  • ¿Se ha puesto usted en los zapatos de un usuario final?, ¿como se sentiría?
  • ¿Cómo se sentiría si le dijeran "es un usuario..." o alguna de las expresiones que se suele usar?
  • Como usuario final, ¿qué le gustaría que le dijeran de la seguridad de la información?
  • Como usuario final responda la pregunta del ¿para que existen controles y medidas de protección?, o lo que es lo mismo, ¿para qué existe la seguridad de la información en la organización?
  • Como usuario final responda, ¿qué gano yo con la seguridad de la información?
A lo mejor poniéndose en los zapatos del otro se pueda pensar y hacer cosas distintas. 

----------
----------

Referencias
  1. Social engineering confirmed as top information security threat. http://www.computerweekly.com/news/4500273577/Social-engineering-confirmed-as-top-information-security-threat?cid=edmi_1201622
  2. Behind every stupid user is a stupider security professional. http://www.csoonline.com/article/3044075/security/behind-every-stupid-user-is-a-stupider-security-professional.html?token=%23tk.CSONLE_nlt_cso_after_dark_2016-03-15&idg_eid=8969b876c9d73b1e9c7aa7122a5c5f04&utm_source=Sailthru&utm_medium=email&utm_campaign=CSO%20After%20Dark%202016-03-15&utm_term=cso_after_dark#tk.CSO_nlt_cso_after_dark_2016-03-15
  3. Do you create stupid users?.http://www.csoonline.com/article/2853448/security-awareness/do-you-create-stupid-users.html
  4. EMPATIA CON UNO MISMO. https://www.linkedin.com/pulse/empatia-con-uno-mismo-coach-de-personas-y-equipos?trk=hp-feed-article-title-publish
  5. CISOs should take security training seriously. http://www.csoonline.com/article/3025315/security-awareness/cisos-should-take-security-training-seriously.html#tk.lin_cso
  6. Security as Discipline, Not Technology. http://www.tripwire.com/state-of-security/security-awareness/security-as-discipline-not-technology/
  7. CISOs still grappling with security awareness training. http://www.scmagazineuk.com/cisos-still-grappling-with-security-awareness-training/article/360659/
Escrito por: Andres Ricardo Almanza Junco - Coaching in information security and privacy

martes, 15 de marzo de 2016

Ciberseguridad, una tarea del Estado

Cargando...
Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com
Hoy en día es una tendencia que los gobiernos suban toda la información a la nube y gestionen diferentes operaciones por Internet, con el fin de ofrecer servicios más rápidos, flexibles y de fácil acceso para la ciudadanía, con costos de operación teóricamente moderados.

Sin embargo, muchos de estos servicios en la nube no contemplan todas las capas de seguridad necesarias para proteger los activos de información.

Lo anterior puede generar diferentes impactos en las empresas de sector público, privado y a los ciudadanos, debido a que en los últimos años la ciberseguridad y ciberdefensa han evolucionado tan ágilmente que han hecho difícil predecir en dónde ocurrirá o se materializará la próxima amenaza y qué impacto tendrá en diferentes sectores, incluida la economía local.

Según IDC, en el tercer trimestre de 2015 ocurrieron más de 222,000 ataques de diferentes tipos contra la infraestructura tecnológica en América Latina. Entre los ataques más comunes se encuentran los llamados ataques de denegación de servicio distribuido, también conocidos como ataques DDoS. Estos ataques han adquirido importancia a nivel mundial, por su facilidad de ejecución y por los efectos negativos inmediatos que causan. Además, consisten en un grupo de sistemas comprometidos, también conocidos como “ordenadores zombis” que atacan a un solo objetivo para causar una denegación de servicios a los usuarios legítimos.

Un estudio publicado en la página State of the Internet a nivel mundial, revela que en 2015 los ataques DDoS se incrementaron en un 132% con respecto a 2014 y que de estos, los ataques enfocados a la infraestructura en la nube o ataques de Capa 7, tuvieron un incremento del 122% con respecto a 2014.

¿Qué motiva a estos ataques?

Claramente los ataques buscan provocar daños a diferentes víctimas ya sean personales o empresariales con fines políticos, financieros, retaliación, etc. Sin embargo, es claro que la finalidad primaria es causar daño a la reputación de las entidades objeto del mismo.

¿Cuáles son las características de estos ataques?

Los ataques DDoS son la amenaza # 1 para data centers que proveen servicios en la nube. Es por esto que su tamaño es cada día más grande, es así que el 80% de los ataques son de más de 100Gbps, haciendo que los más exitosos de estos ataques tengan una duración promedio de 20 horas. Cabe resaltar que esta modalidad de amenaza se vuelve cada día más sofisticada, como los xml-based o los de capa 7 enfocados en la nube, y muchas veces este tipo de amenaza es utilizada por los hackers para enmascarar intrusiones.

Cargando...
Ciberseguridad y su impacto en el gobierno. Fortinet. Fuente: Diario TI. 
¿Qué hacer para prevenir estos ataques?

Existen en el mercado muchas soluciones enfocadas para proteger contra estas amenazas, entre las más comunes están los dispositivos antiDDoS de propósito específico, que debido a su tipo especial de hardware son capaces de detener estos ataques y permitir el paso solo del trafico valido, con el fin de proteger toda la infraestructura sin afectar la arquitectura y el direccionamiento.

Si las entidades gubernamentales no cuentan con un presupuesto para implementar algún tipo de solución de propósito específico, pueden tomar como buena práctica la correcta configuración en los recursos asignados, como los servicios web para cubrir la demanda de usuarios.

Teniendo en cuenta lo anterior los gobiernos latinoamericanos han generado algunos lineamientos en ciberseguridad orientadas a desarrollar estrategias, instrucciones y normativas respecto al tema, para contrarrestar el incremento de las amenazas informáticas desde tres frentes:

1. Ciberdefensa: Los gobiernos están enfocados en proteger la infraestructura crítica de cada país con diferentes iniciativas, algunas son: robustecer la infraestructura de seguridad informática, asegurar la soberanía de los países y la creación de grupos de respuesta ante incidentes informáticos.

2. Ciberseguridad del Estado: Los gobiernos generan lineamientos importantes en materia de organización y estandarización, como el caso de Colombia con su programa Gobierno en Línea. Esta organización guía a las entidades del Estado colombiano para que se organicen en materia de seguridad de la información, seguridad informática y adopción de nuevas tecnologías, como ejemplo el IPv6, con el fin de hacer su infraestructura robusta, segura y que la misma pueda adaptarse a las exigencias de la sociedad.

3. Ciberseguridad ciudadana: Los gobiernos buscan en este frente concientizar a los ciudadanos, en cuanto a cómo ven su información personal, cómo se comunican y cómo acceden a los diferentes servicios informáticos que ofrecen proveedores públicos y privados. La estrategia pública busca hacer entender a la población de los riesgos relacionados al uso de las redes sociales, lo que genera problemas sociales tales como el ciberacoso, secuestro de información, sexting, etc.

Es importante resaltar que de nada sirven los esfuerzos del Gobierno en tratar de disminuir el nivel de riesgo al que se encuentran expuestas las entidades estatales, empresas privadas, ciudadanos y el país en general, a través de normativas, iniciativas y campañas de concientización, si no se entiende que los planes sin acción, se quedan en papel. Es aquí donde toman relevancia los planes estratégicos de TI enfocados en la consolidación de arquitecturas de seguridad robustas y escalables, permitiendo a las entidades públicas y privadas ofrecer más servicios eficientes.

Por Juan Pablo Fernández, Systems Engineer, Vertical Gobierno, Fortinet (Colombia)

Tomado de: Diario TI

Google duplica el valor de su máxima recompensa por encontrar fallos en Chrome

Cargando...
Google. Imagen tomada de: www.justdust.es.
A principios de 2015, conocíamos que Google había gastado ya 4 millones de dólares en recompensas de seguridad, en el marco de su Security Reward Program. Y ahora sabemos que sólo durante el año pasado invirtió otros 2 millones de dólares más.

Esta iniciativa, que premia a investigadores de seguridad externos por descubrir fallos en los productos de la compañía de Mountain View y permitir reaccionar a tiempo a sus responsables, para garantizar la seguridad final de los usuarios, está funcionando. Y Google ha decidido apostar todavía más fuerte por ella.

Según ha anunciado, ahora habrá una nueva forma de recibir recompensas, que será informando de fórmulas que permiten eludir la protección antidescargas maliciosas que proporciona la función de navegación segura de Chrome, conocida como Safe Browsing. Esto será posible a través de la recién creada recompensa por Download Protection Bypass.

Pero es que, además, el Chrome Reward Program estrena recompensa máxima. En vez de seguir establecida en los 50.000 dólares, asciende en estos momentos a los 100.000 dólares. Google ha justificado que las investigaciones de seguridad laboriosas deben ser premiadas a lo grande, de ahí el salto a las seis cifras.

Tomado de: Silicon

miércoles, 9 de marzo de 2016

La pérdida de información confidencial durante adquisiciones y fusiones genera pérdidas millonarias

Cargando...
Datos en la red. Imagen tomada de: Vanguardia.com
Una de las principales razones por las que las compras o fusiones de compañías no tienen éxito es la pérdida de datos que ocurre en el proceso.

Así concluye en informe elaborado por la firma Ansarada. Aunque el documento sólo hace referencia al mercado británico, sirve de referencia por lo abrumador de los datos.

El 71% de los ejecutivos encuestados ha admitido que las operaciones de adquisición o fusión de sus respectivas compañías han sido aplazadas una media de 2 semanas debido a la pérdida de información crítica.

Esta información hace referencia a documentos, correos electrónicos, dispositivos y sistemas TI, especifica la compañía elaboradora del informe, que recoge a su vez ITProPortal.

Los datos más recientes a los que se hace referencia son de 2014. Durante ese año se cerraron en el mercado británico un total de 339 acuerdos en sectores como la banca, la consultoría y el jurídico que generaron unas pérdidas de 256 millones de libras esterlinas (más de 332 millones de euros, al cambio).

Los responsables de las operaciones de compra y fusión deben tener un control absoluto sobre la información de las empresas involucradas, recomiendan los expertos. Es recomendable que antes de poner en marcha una operación se cierre el plan de gestión de datos críticos para evitar sorpresas a posteriori.

Tomado de: Silicon.es

martes, 8 de marzo de 2016

7 mujeres que cambiaron el uso de la tecnología

Cargando...
Día de la mujer. Imagen tomada de: Colombia Digital.
Cuando pensamos en las personas que cambiaron la tecnología, la mayoría de las figuras que consideramos son hombres: Bill Gates, Steve Jobs, Mark Zuckerberg, por nombrar a los más populares.

Pero, ¿sabías que es gracias a una mujer que tenemos WiFi? Sigue leyendo y descubre quiénes son algunas de las muchas mujeres que cambian el panorama tecnológico de todos los días.

La madre del internet

Radia Perlman (1951) creó el Spanning Tree Protocol (STP), un lenguaje que el internet utiliza para comunicarse de una computadora a otra. ¿Dónde se usa? En la redes LAN, de acceso local o en los ethernet.

El sistema, que permite que se guarden grandes cantidades de información en una red, es un precursor de la tecnología Cloud.

La actriz que nos dio el WiFi

Hedy Lamarr (1914-2000) fue una famosa actriz en los años 30 y 40, además de la credora del proceso llamado frequency hopping, que consiste en el envío de señales radiales desde diferentes canales de frecuencia.

Este proceso se convertiría en una parte esencial de la comunicación inalámbrica moderna, es decir, el WiFi y el Bluetooth.

La precursora de las redes sociales

Caterina Fake (1969) es la cofundadora de Flickr, creado en 2004. La red que permite compartir fotos de manera rápida y eficaz, también estrenó características como etiquetar y algoritmos que destacan contenidos populares. ¿Te imaginas usar Facebook o Instagram sin poder etiquetar a tus amigos?

Las mujeres que acabaron con Internet Explorer

Mitchell Baker (1957) y Marissa Meyer (1982), desde distintas conpañías, ayudaron a dar vida a los exploradores más usados en la actualidad: Mozilla Firefox y Google Chrome.

Baker fue la encargada de liderar el proyecto de un nuevo explorador que fuera seguro y estable. Meyer, durante su tiempo en Google, también participó en la creación de Google Images y Google Maps.

El dinero detrás de Google

Susan Wojcicki (1968) es la actual CEO de YouTube y fue una de las primeras empleadas del gigante de las búsquedas.

Es gracias a ella que existe AdSense y AdWord, los sistemas de monetización de Google. Esos anuncios en sitios web contribuyen al 96% de sus ganancias. Además, a ella se le ocurrieron los doodles.

De los códigos a cualquier idioma

Karen Spärck Jones (1935-2007) desarrolló el information retrieval que ayudó en las técnicas que permiten a los usuarios trabajar con las computadoras usando lenguaje ordinario en lugar de código o ecuaciones. Su trabajo sería precursor de productos tan vitales en la actualidad como los buscadores.

Tomado de: CNN Expansión

Los Mac ya no están a salvo de los virus

Cargando...
Logo de Apple.
Si por algo han sobresalido los Mac en la competencia de los ordenadores es por su sistema amigable y seguro. Los computadores de la marca de la manzana no solo son la primera opción de compra por sus virtudes de diseño, sino también por considerarse "invulnerables" a los ataques cibernéticos. 

De hecho, sus inviolables sistemas han adquirido notoriedad por estos días, pues ni el FBI ha podido acceder por sus medios a un teléfono de la marca, requiriendo a la compañía que desbloquee el aparato y desencadenando un litigio judicial que aún perdura.

Pero parece que al volverse tan populares para los consumidores, también se convirtieron en un objetivo a seguir para los piratas informáticos. Y era solo cuestión de tiempo para que lograran penetrar en los invencibles sistemas operativos de Apple.

Fue así como este lunes varios investigadores de seguridad de Palo Alto, California, dieron a conocer lo que millones de usuarios de Mac no querían escuchar: que sus equipos ya no estaban a salvo de la amenaza digital.

La razón: un virus del tipo ransomware fue detectado en el OS X, el entorno operativo bajo el que funcionan los Mac. El ente malicioso fue nombrado “KeRanger” por los investigadores.

Los ransomware son programas dañinos que han aumentado considerablemente en los últimos años. Tan solo entre el 2014 y el 2015, el FBI enfrentó casi mil denuncias por este delito en particular. Los ransomwares funcionan bajo un esquema extorsivo: restringen el acceso a ciertos archivos en el sistema infectado y piden un rescate monetario al usuario para que pueda seguir usando su equipo normalmente. 

En el caso de KeRanger, el costo para desbloquear el sistema es de un ‘bitcoin’ –la divisa digital que opera en Internet-, que equivale a unos 400 dólares.

Este tipo de malwares eran extensamente conocidos en el universo de los PCs, pero nunca antes se habían detectado en los computadores de Apple. Con esto, el mundo digital prende las alarmas y empieza a vislumbrar un panorama en el que la amenaza hacker se complejiza cada vez más. Ya nada es seguro: el sistema que se tenía por inviolable ahora entró al peligroso terreno de la vulnerabilidad.

Por el momento, Apple ha tomado medidas para controlar este embate. Eliminaron de su catálogo la aplicación que habría sido la causante de hacer penetrar el virus a su sistema operativo: Transmission, un software para compartir archivos.

Tomado de: Semana

lunes, 7 de marzo de 2016

Detectan troyano que ataca al cerebro de los móviles Android

Cargando...
Android. Imagen tomada de: Wikipedia.org

Kaspersky Lab ha descubierto Triada, un nuevo troyano dirigido a dispositivos Android comparable, por su complejidad, con el malware basado en Windows. Según la empresa de seguridad informática, el malware es sigiloso, modular, persistente y creado por ciberdelincuentes muy profesionales. Los dispositivos que ejecutan la versión de Android 4.4.4. y anteriores son los que presentan mayor riesgo de infección.

Según el reciente informe Mobile Virusology de Kaspersky Lab, casi la mitad del Top 20 de los troyanos de 2015 eran programas maliciosos con capacidad para robar los derechos de acceso de superusuario, es decir, que dan a los cibercriminales la posibilidad de instalar las aplicaciones en el teléfono sin el conocimiento del usuario. Este tipo de malware se propaga a través de aplicaciones que los usuarios se descargan/instalan de fuentes no fiables. Otras veces, estas aplicaciones se pueden encontrar en la tienda oficial Google Play y se hacen pasar por una aplicación de juego o entretenimiento. También se pueden instalar durante la actualización de las aplicaciones, incluso en las que están preinstaladas en el dispositivo móvil.

Existen 11 familias de troyanos móviles conocidos que utilizan los privilegios de root. Tres de ellos – Ztorg, Gorpo y Leech – actúan en cooperación con los demás. Normalmente, los dispositivos infectados con estos troyanos se organizan en una red, creando una especie de red de bots de publicidad que los agentes pueden utilizar para instalar diferentes tipos de programas publicitarios. Pero eso no es todo, poco después de rootear el dispositivo, los troyanos descargan e instalan un backdoor. Esta descarga activa dos módulos que tienen la capacidad de descargar, instalar y ejecutar aplicaciones.

El cargador de aplicaciones y sus módulos de instalación se refieren a diferentes tipos de troyanos, pero todos ellos se han añadido a las bases de datos antivirus de Kaspersky Lab bajo un nombre común – Triada.

Entrar en el proceso de Android

Una característica distintiva de este malware es el uso de Zygote – el creador del proceso de aplicaciones en un dispositivo Android – que contiene bibliotecas del sistema y los marcos utilizados por cada aplicación instalada en el dispositivo. En otras palabras, es un “demonio” cuyo objetivo es poner en marcha aplicaciones de Android y esto significa que tan pronto como el troyano entra en el sistema, se convierte en parte del proceso de aplicación y puede incluso cambiar la lógica de todas sus operaciones.

Las prestaciones de este malware son muy avanzadas. Tras entrar en el dispositivo del usuario, Triada se implementa en casi todos los procesos de trabajo y sigue existiendo en la memoria a corto plazo. Esto hace que sea casi imposible de detectar y eliminar. Triada opera en silencio, lo que significa que todas las actividades maliciosas están ocultas tanto desde el usuario como desde otras aplicaciones.

Por la complejidad de la funcionalidad del troyano es evidente que los cibercriminales que están detrás de este malware son muy profesionales, con un profundo conocimiento de la plataforma móvil.

El modelo comercial de Triada

Triada puede modificar los mensajes SMS salientes enviados por otras aplicaciones. Cuando un usuario está haciendo compras en la aplicación a través de SMS para juegos de Android, los ciberdefraudadores modifican los SMS salientes para recibir el dinero ellos.

“La Triada de Ztrog, Gorpo y Leech marca una nueva etapa en la evolución de las amenazas basadas en Android. Son los primeros programas maliciosos con potencial de escalar sus privilegios a casi todos los dispositivos. La mayoría de los usuarios atacados por los troyanos se encuentra en Rusia, India y Ucrania, así como los países en APAC. Su principal amenaza está en que proporciona acceso a aplicaciones maliciosas mucho más avanzadas y peligrosas. También tienen una arquitectura bien pensada, desarrollada por los ciberdelincuentes que tienen un profundo conocimiento de la plataforma móvil de destino”, afirma Nikita Buchka, analista junior de malware de Kaspersky Lab.

Ya que es casi imposible desinstalar este malware desde un dispositivo, los usuarios tienen dos opciones para deshacerse de él. La primera es rootear el dispositivo y borrar las aplicaciones maliciosas de forma manual. La segunda opción es hacer jailbreak al sistema Android en el dispositivo.

Tomado de: Diario TI

Nueva modalidad de ataque intercepta tráfico cifrado

Cargando...
The Drown Attack. Captura de pantalla de la página https://drownattack.com/

Expertos en seguridad informática han detectado un nuevo tipo de ataque cibernético con capacidad de interceptar tráfico cifrado HTTPS operando con tecnología SSLv2.

Según un grupo de trabajo internacional en el que participan Google, diversas universidades y el proyecto OpenSSL, la vulnerabilidad afecta a uno de cada 3 servidores HTTPS, equivalentes a 11,5 millones de servidores.

Los investigadores han comprobado que SSLv2 se ha convertido en un grave problema de seguridad para millones de servidores web. La situación afectaría a uno de cada tres servidores con soporte para HTTPS si se incluyen los servidores carentes de soporte SSLv2 que comparten una clave pública con un servidor con soporte para SSLv2; por ejemplo, servidores de correo electrónico.

Esta modalidad de ataque ha sido denominada DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). en la práctica, se trata de una nueva variante de una modalidad antigua de ataque, denominada “Bleichenbacher padding oracle attack“. El ataque hace posible descifrar conexiones TLS interceptadas, habilitando conexiones especialmente diseñadas en un servidor con soporte SSLv2, siempre y cuando las conexiones TLS y SSLv2 utilicen la misma clave privada.

Otra condición que debe concurrir es que se utilice el método de intercambio de claves RSA. Se ha comprobado, además, que es totalmente irrelevante el navegador utilizado, en tanto que la conexión interceptada puede basarse en cualquier versión existente de TLS (o SSL), hasta la versión 1.2.

Para el caso de algunos servidores es necesario probar miles de conexiones, realizándose un gran número de cálculos para vulnerar el sistema de cifrado. Sin embargo, todos estos cálculos podrían ser realizados mediante el servicio EC2 de Amazon en aproximadamente 8 horas, por un precio de aproximadamente US$ 440. Este gasto está al alcance de un gran número de cibercriminales e indudablemente de agentes estatales.

Un elemento clave de los ataques es la vulnerabilidad fundamental presente en SSLv2, vinculada a la exportación de cifras, que sólo utiliza claves de 40 bits.

En el sitio de DROWN se ha publicado una lista con ejemplos tomados de los 10.000 sitios web más populares del mundo, cuyos servidores están vulnerables al ataque. La lista está actualizada al primero de marzo de 2016. El sitio ofrece una herramienta que permite verificar la vulnerabilidad del servidor, digitando el nombre de un dominio.

Tomado de: Diario TI

Whatsapp: ahora los virus llegan hasta en los emoticones

Cargando...
WhatsApp. Imagen tomada de: whatsappgratis.org.

Los delincuentes cibernéticos no descansan a la hora de inventar nuevas formas de robar datos a usuarios incautos. La empresa de seguridad informática Eset, detectó una nueva oleada de estafas mediante mensajes de WhatsApp.

La sofisticada estrategia consiste en que los usuarios que utilizan los populares emojis (símbolos con caritas de diferentes motivos) reciben un mensaje en el que lo invitan a darle clic a un enlace que supuestamente les permitirá descargar nuevos motivos para compartir en sus conversaciones. Por supuesto, el mensaje es falso.

Cuando algún contacto comparte un mensaje en un grupo o en una conversación privada en donde a simple vista parecería ser una aplicación para instalar los nuevos emojis o emoticones. En caso de que el usuario haga clic en el enlace será dirigido a otro sitio, en el cual se lo invita a compartir el falso paquete de Emojis con 10 amigos o 3 grupos.

Poco a poco el engaño se propaga en miles de cuentas. El problema es que el sitio al que le hicieron clic para descargar nuevos emoticones básicamente acabó de robar buena parte de su información y para completar llegó al celular de varios de sus contactos. Todo en cuestión de segundos.

Una vez que la víctima ha propagado la estafa, dependiendo del tipo de smartphone, el idioma y la ubicación sucederán distintos posibles comportamientos. Una vez ejecutada la trampa, el usuario ingresa en distintos sitios que lo pueden derivar en mensajes como: "El sistema se encuentra desactualizado", "El dispositivo se encuentra infectado con un virus y la batería se encuentra dañada”. Estos mensajes no son reales.

El virus también puede solicitarle que complete información con su número de celular para en realidad terminar suscrito a servicios Premium o invitarlo a instalar aplicaciones que no tienen que ver con los emojis sino que su objetivo es aumentar el número de visitas.

La novedad en este tipo de es trampas es la utilización de los emojis, los ideogramas o caracteres usados en mensajes electrónicos y sitios web, resulta viable para producir engaños a muchos usuarios de WhatsApp.

Los ciberdelincuentes son conscientes de que la mayoría de los usuarios están interesados en tener disponible una gran variedad de estas divertidas figuras y que además con la nueva actualización de WhatsApp se generaron nuevas versiones de emojis.

‘’Con el paso del tiempo los cibercriminales modifican las temáticas de sus ataques para que sigan siendo atractivas para los usuarios y así generar mayores ganancias”, concluyó Lucas Paus, especialista de Eset.

¿Qué debe hacer?

Tenga en cuenta que los emojis son implementados por la propia plataforma. Cuando hay novedades con nuevos motivos, Whatsapp informa oportunamente a los usuarios para que comiencen a utilizarlos. Lo más recomendable es que no descargue estas figuras en páginas no autorizadas.

Es cierto que existen algunas plataformas que permiten la adopción de nuevos emojis, pero la mayoría son plataformas peligrosas que pueden dañar el sistema operativo del dispositivo. Dependerá de cada usuario si quiere correr el riesgo.


Tomado de: Semana.com

Colombia perdió un billón de pesos por ataques cibernéticos

Cargando...
Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com
El mundo digital, una puerta a un universo ilimitado de información, es también la ventana de acceso para delitos de todo tipo. Robo de información, ciberacoso e irrupciones en plataformas digitales son sólo algunos ejemplos de un flagelo que cada vez tiene más alerta al mundo entero. Y Colombia está lejos de ser la excepción.

La empresa de seguridad Cisco reveló que en lo corrido del 2015 “el país sufrió pérdidas por alrededor de un billón de pesos debido a ataques cibernéticos de diversa índole, robo de información y fraudes informáticos”.

Según el reporte dado a conocer por la compañía, si bien el país ha mejorado en su sistema de protección digital, aún permanece “muy vulnerable en su capacidad para protegerse ante grandes amenazas cibernéticas”.

La advertencia está especialmente dirigida a las empresas -grandes, medianas y pequeñas-, pues el tema de seguridad informática no se trata como una prioridad, lo que ha desembocado en sistemas obsoletos, protocolos anticuados y falta de capacitación en los empleados para enfrentar una amenaza que en el mundo deja pérdidas por alrededor de 1.300 millones de dólares cada año.

El tema también toca una problemática que ha adquirido enorme notoriedad en los últimos años: la pornografía infantil y la extorsión a los jóvenes por información de índole sexual. Las cifras avalan la preocupante evolución de esta delicada cuestión: en el 2012 se reportaron 462 denuncias relacionadas con la pornografía infantil, mientras que en el 2015 hubo 5.827.

El robo de información es otro tema espinoso que resalta Cisco. A medida que las organizaciones generan más información y mucho más valiosa, los piratas informáticos también han diversificado su abanico de delitos. Esto implica un reto gigantesco tanto para las autoridades como para las propias empresas, que siguen sin dimensionar el dinero que pueden perder.

Una de las técnicas que vienen en boga, por ejemplo, es la del ramsomware, que consiste en que los delincuentes “secuestran” un equipo, por medio de bloquear el acceso a él, para pedir un rescate a cambio, de una suma considerable de dinero. Una técnica que recrea el modus operandi de cualquier mafia con el secuestro o la extorsión.

Falta de preparación

Ante la evolución y la complejidad de los delitos cibernéticos, la realidad es que los esfuerzos que ha estimado Colombia no han sido suficientes para combatir el problema.

Semana.com conoció el borrador del Conpes 2016 -que será presentado oficialmente en aproximadamente en un mes- y encontró un documento en el que, además de exponer las políticas futuras para la seguridad informática, se reconoce “la poca infraestructura y capacidad que ha tenido Colombia para enfrentar la delincuencia del mundo digital”.

El informe observa que “las capacidades de las entidades responsables de Ciberseguridad y Ciberdefensa (…) son limitadas, por lo que el país sufre mayores índices de probabilidad en la materialización de los riesgos digitales a los que se encuentra expuesto”.

Según se extrae del documento, a finales del 2015, el país aún registraba un catálogo de infraestructuras críticas, lo que aumentaba el índice de riesgos de materialización de amenazas.

En esa misma línea, el Comando Conjunto Cibernético (CCOC) también se muestra ineficiente, al poner a consideración que sus “Unidades Cibernéticas de las Fuerzas y los organismos de inteligencia del Estado no cuentan con los recursos humanos, técnicos y financieros suficientes para asegurar la defensa nacional en el entorno digital”.

Algo que también alerta es el valor que representa para el país estar a merced de los delitos informáticos. En el borrador del Conpes, las estimaciones sobre el costo que dicha problemática le ha representado al país oscilan en el 0,14 % del PIB.

Y con la creciente reducción de la brecha digital en el país, las carencias en materia de seguridad informática se podrían convertir en un dolor de cabeza aún más grande. En el 2010, sólo existían 2,2 millones de conexiones a internet, en el 2015 eran 12,2 millones.


Tomado de: Semana.com

martes, 1 de marzo de 2016

Así de fácil usted o sus hijos pueden ser víctimas de delincuentes en las redes sociales

Cargando...
Redes Sociales. Imagen tomada de: El Tiempo.com
Uniformados de la Policía se hicieron pasar como usuarios en Facebook y pusieron al descubierto la facilidad con la que internautas divulgan su información e incluso, aceptan encuentros con desconocidos.





Tomado de: El Espectador

El contexto tecnológico actual y las acciones que se deben tomar en pro de la protección de las personas y su información en el uso del Internet.

Cargando...
Menores de edad navegando en la red. Imagen tomada de: Vanguardia.com
En los últimos 20 años las tecnologías de la información han evolucionado a gran velocidad, ocasionando que en la actualidad existan diversos tipos de generaciones que hacen uso de dichas herramientas y elementos tecnológicos, los cuales se diferencian por la forma en la cual incursionaron en su uso, generando así múltiples visiones y relaciones frente a un entorno que se encuentra rodeado de riesgos similares.

De acuerdo a lo anterior y para poder abordar estas múltiples miradas se propone dividir las generaciones actuales en 3 grandes grupos que se exponen a continuación, los cuales se agrupan teniendo en cuenta características generales ya que pueden presentarse excepciones:
Cargando...
Grupos de generaciones.
Adultos mayores

Como intentan acceder a un mundo totalmente desconocido para ellos, teniendo en cuenta que el contexto en el que crecieron era totalmente diferente, su principal reto se centra en poder hacer un uso básico de las herramientas tecnológicas, lo cual ocasiona que el entendimiento de los riesgos asociados a su uso se conviertan en una carga adicional que puede dificultar su aprendizaje.

Por otra parte, dependen en gran medida de la orientación del grupo de los adultos para incursionar en este mundo, lo que lleva a que su nivel de conciencia respecto a las medidas de precaución y el buen uso dependan de la orientación recibida.

Adultos

Al crecer de la mano de las nuevas tecnologías hemos ido aprendiendo a convivir con ellas y a conocer su parte funcional, sin embargo los riesgos que traen estas tecnologías son factores de los cuales hemos ido aprendiendo principalmente por la experiencia, ya que la enseñanza de los mismos es algo relativamente nuevo ya que no todos han escuchado hablar de estos temas y por lo general quienes más tienen acceso son las personas que hacen parte de aquellas empresas que hoy en día reconocen la importancia de la realización de planes de sensibilización en seguridad de la información. Por esta razón nos hemos acostumbrado a vivir en este mundo tecnológico pero no necesariamente somos conscientes de los riesgos a los cuales nos encontramos expuestos, lo cual dificulta la existencia de una cultura de seguridad de la información en la sociedad actual ya que en los adultos esta por un lado la tarea de orientación de los adultos mayores, pero también está la de orientar a los jóvenes que nacen inmersos en este mundo tecnológico.

Jóvenes

Sobre este tercer grupo es que se desea enfocar principalmente este artículo, ya que aunque la labor de sensibilizar recae en los adultos, considero que al entender el panorama actual y lograr definir un camino a seguir para educar a los jóvenes en seguridad de la información, se logrará abrir las puertas para crear conciencia en los demás grupos generacionales.

Contexto actual

En este orden de ideas, para poder entender un poco más el contexto actual, se realizó la consulta de diversos artículos, obteniendo como resultado algunas cifras que se citan a continuación: 
  • Según un estudio que se realizó INTECO[1] en España en el 2010 sobre Seguridad y privacidad en el uso de los servicios móviles por parte de los menores, en el 2009 el 68,4% de los jóvenes entre 10 y 15 años disponían de teléfono celular y su edad de inicio en el uso de estos dispositivos se encuentra ente los 10 y 12 años. Esto se da principalmente porque a los padres les genera cierto nivel de tranquilidad el poder contar con un medio con el cual estar en contacto con sus hijos.
  • Por otra parte en el estudio de Seguridad infantil y costumbres de los menores en Internet[2] realizado por ACPI, protegeles.com y el defensor del menor en la comunidad de Madrid, el 55% de los menores que navega por Internet no ha recibido información sobre las normas básicas de seguridad. 
  • Durante el Foro Internacional de Ciberseguridad para la protección de la infancia en la red[3], que se realizó en Cartagena de Indias - Colombia en noviembre de 2015, el Centro Cibernético Policial de la Policía Nacional reveló que en Colombia el 38% de los niños menores de 2 años ya utilizan celular. Por otra parte, en cuanto a la exposición a riesgos como (grooming, sexting, ciberacoso, ciberbullying, phishing, ciberdependencia) el 81% de las víctimas son niñas, el 7% son menores de 8 años y el 72% de las víctimas son preadolescentes.
[1] Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles http://www.pantallasamigas.net/pdf/estudio_sobre_seguridad_y_privacidad_en_el_uso_de_los_servicios_moviles_por_los_menores_espanoles.pdf. Visto el 8 de febrero de 2016.
[2] Seguridad infantil y costumbres de los menores en Internet http://www.protegeles.com/docs/estudio_internet.pdf. Visto el 8 de febrero de 2016.
[3] Noticia - ICBF alerta para garantizar seguridad de menores en el mundo virtual http://caracol.com.co/emisora/2015/11/07/cartagena/1446916676_247013.html. Visto el 8 de febrero de 2016.


Estas cifras en términos globales, muestran que cada vez es menor la edad de inicio de los niños y jóvenes en el uso de teléfonos móviles y el acceso a Internet; y al parecer no están recibiendo la adecuada información sobre normas y recomendaciones de seguridad para su utilización. 

Lo anterior es preocupante teniendo en cuenta la gran cantidad de riesgos que existen en la red, lo cual debe llevar a hacerse las siguientes preguntas que se obtuvieron de la Guía de seguridad en el Internet de Time Warner Cable y CyberAngels[4]: 
  • ¿Ustedes dejarían a su hijo cruzar la calle sin enseñarles primero como deben hacerlo?
  • ¿Ustedes les entregarían las llaves de un automóvil a un joven que no sabe conducir? 
Estas dos preguntas deben llevar a la reflexión por parte de los padres, ya que así como son conscientes de los riesgos en el mundo físico, deben ser conscientes que en el mundo digital existen también muchos riesgos y antes de suministrar el acceso a Internet a un joven, deben asegurar que se encuentre preparado y conozca los riesgos de dicho entorno. 


Pero ¿Por qué algo que parece tan lógico no ocurre en la realidad? 

Como en el ejemplo anterior, los padres normalmente no dejan a sus hijos cruzar la calle sin antes habérselo enseñado, básicamente porque ellos también pasaron por lo mismo y son conscientes del riesgo que representa, sin embargo en el contexto digital, la mayoría de adultos no conocen dichos riesgos más allá de las malas experiencias que puedan haber vivido, pero a pesar de eso, si no han recibido capacitación sobre el tema, los mismos adultos son vulnerables a los riesgos que el entorno digital trae consigo, por lo cual es muy difícil pedir que enseñen a sus hijos algo de lo cual no dominan. 

Lo anterior se encuentra plasmado en el documento La seguridad de los niños en línea: retos y estrategias mundiales de la UNICEF[5], en la que se menciona: “Solo una pequeña parte de los adultos contemporáneos han tenido acceso a estas tecnologías cuando eran niños; en particular, a las herramientas que han facilitado la revolución en la interacción y la comunicación. Esto probablemente afecte a la capacidad adulta de comprender las formas en que los niños y jóvenes utilizan Internet, los teléfonos móviles y otras nuevas tecnologías, y de identificarse con ellas”. 


Reconocimiento de los riesgos 

Antes de identificar estrategias para reforzar la seguridad de la información, se considera que el primer paso a seguir es reconocer los riesgos y para este propósito el Instituto Nacional de Tecnologías de la Comunicación – INTECO[6], plantea siete temáticas generales: 
  • Uso excesivo y adicción al teléfono móvil. 
  • Amenazas a la privacidad del menor y sexting. 
  • Acceso a contenidos inapropiados (de carácter sexual y violento). 
  • Ciberbullying o acoso entre menores a través de medios telemáticos. 
  • Grooming o acoso de un adulto a un menor con intención sexual explícita o implícita. 
  • Riesgo económico y/o fraude. 
  • Riesgos de carácter técnico (virus y spam).
[4] Guía de Seguridad en el Internet http://www.cyberangels.org/docs/cybersafetyguide_spanish.pdf. Visto el 8 de febrero de 2016. 

[5] La seguridad de los niños en línea. http://www.unicef-irc.org/publications/pdf/ict_spa.pdf. Visto el 8 de febrero de 2016. 
[6] Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles http://www.pantallasamigas.net/pdf/estudio_sobre_seguridad_y_privacidad_en_el_uso_de_los_servicios_moviles_por_los_menores_espanoles.pdf. Visto el 8 de febrero de 2016.