Riesgos a considerar en las Implementaciones de VPN

Con la reciente implementación repentina y apresurada de servicios de red privada virtual (VPN) para soportar una avalancha de nuevos trabajadores remotos, muchas compañías están descubriendo de primera mano los matices de las VPN que pueden conducir a un mayor riesgo.

Identificamos cuatro áreas de riesgo principales: arquitectura de red general, control de acceso, denegación de servicio y endpoints.

Arquitectura de red y preocupaciones de topología

Incluso en empresas con implementaciones exitosas de VPN, solo un pequeño subgrupo de personal, como vendedores remotos y personal de operaciones de TI, utilizan la VPN, lo que nos lleva a la primera preocupación inmediata: el conjunto de direcciones IP que usan las VPN para conectar a los usuarios a la red local. Por lo general, estos grupos son relativamente pequeños, en comparación con las direcciones IP utilizadas en la red local.

Para proporcionar casi el 100% de la fuerza de trabajo remota, las empresas deben asignar miles o incluso cientos de miles de direcciones IP más a los grupos de VPN y, según su topología de red interna, pueden tener que buscar direcciones IP de los antiguos bloques asignados localmente.

En segundo lugar, mientras se conecta a una VPN en una ubicación central de la empresa (como la sede de una empresa) puede funcionar lo suficientemente bien para el personal de operaciones o el personal de ventas, el cambio de grandes poblaciones de usuarios que generalmente trabajan en oficinas remotas puede introducir una latencia de red inaceptable. El gran salto en el número de usuarios activos colocará una mayor carga en los sistemas VPN centralizados. Idealmente, una empresa puede proporcionar puntos de presencia de VPN cerca del lugar donde vive el personal, aprovechando las conexiones troncales existentes a los sistemas de la sede, pero esto no siempre es posible.

Finalmente, muchas políticas de acceso a la red suponen que los usuarios están accediendo a sistemas corporativos conectados a la red local. La segmentación de red tradicional utiliza firewalls para evitar que los usuarios de un segmento de red accedan a servicios en otro. Por lo que se debe configurar la VPN para asignar a los usuarios las direcciones de grupo de IP específicas para sus roles y recursos necesarios. Por ejemplo, haga que todos los desarrolladores remotos ingresen a una subred diferente que el equipo de contabilidad. Esto no solo facilita el control de acceso, sino que también facilita el enrutamiento interno a los sistemas.

Es muy importante recordar que, a menos que tome medidas adicionales para proporcionar una autenticación sólida, sus empleados pueden no ser sus únicos usuarios de VPN; los hackers también pueden usar su VPN.

Control de acceso y riesgos de autenticación

La clave para cualquier estrategia de VPN es proporcionar una autenticación extremadamente fuerte de cualquier usuario y sus dispositivos que intenten conectarse. Al menos en una implementación simplista, cualquier persona que pueda conectarse y autenticarse a un punto final VPN es lo mismo que alguien que ingresa a la sede central y conectar su computadora. Puede autenticar a los usuarios de VPN de varias formas, desde autenticar el nombre de usuario y la contraseña hasta configuraciones más complejas, incluida la autenticación multifactor con elementos como certificados de cliente o tokens de hardware. Garantizar el uso de contraseñas seguras y la autenticación multifactorial de algún tipo es un requisito mínimo para todos los sistemas que lo admiten.

Puede proporcionar autenticación multifactor a través de una serie de mecanismos, incluida una aplicación de autenticación móvil, mensaje de texto, token de hardware o algún otro sistema.

Las empresas deben monitorear de cerca los sistemas de autenticación para detectar cualquier ataque de relleno de credenciales. La amenaza de estos ataques puede incluir la sobrecarga de los servidores VPN, el bloqueo deliberado de la cuenta del usuario e incluso el acceso total a la red.

Es importante, implementar dispositivos reforzados proporcionados por la compañía para trabajadores remotos, con certificados de cliente y protección de punto final.

Riesgos del dispositivo VPN

Las empresas necesitan monitorear de cerca los dispositivos VPN, tanto para el uso de la CPU y la memoria como para los cambios de configuración y evidencia de ataques de negación del servicio. En estos tiempos inusuales, estos dispositivos ahora pueden ser la única forma de ingresar a la empresa. Las empresas deben vigilar, proteger y aprovisionar estos dispositivos para resistir los ataques, ya que la alternativa es apagarlos. En tiempos normales, tal vez, esto podría ser un inconveniente; ahora esto significa que toda la compañía podría perder funciones críticas. Idealmente, implemente VPN en configuraciones de alta disponibilidad por la misma razón.

Las VPN pueden manejar el tráfico de diferentes maneras. La mayoría ofrece una opción de túnel dividido y una opción de túnel completo.

Es importante utilizar un cifrado robusto con la VPN. que debe ser resistente a los ataques y estar libre de vulnerabilidades conocidas. Aun así, muchas VPN proporcionan cifrados poco seguros para la interoperabilidad o compatibilidad, así que tenga cuidado al configurar valores predeterminados seguros.

Ancho de banda de trabajo remoto y problemas de red

No todos los trabajadores tienen Internet de alta velocidad en sus hogares. Además, a medida que más usuarios están trabajando de manera remota, la evidencia muestra que los proveedores de servicios están luchando con el aumento de la carga en sus redes.

Las VPN no son económicas en términos de ancho de banda y pueden ser bastante sensibles a la calidad de la red en lo que respecta al rendimiento. Las compensaciones en los formularios VPN específicos pueden ser fundamentales para ofrecer un rendimiento aceptable a los trabajadores que lo hacen de manera remota. Es posible que las compañías también necesiten limitar a los trabajadores que lo hacen de manera remota a utilizar solo aquellos sistemas necesarios para hacer su trabajo y alentarlos a evitar el movimiento pesado de datos para preservar el ancho de banda de la red.

Riesgos del endpoint

Como se señaló anteriormente, la seguridad del punto final es crítica para asegurar las implementaciones. Idealmente, los dispositivos a los que se les permite conectarse a las VPN son sistemas totalmente parchados administrados por la empresa, con certificaciones de autenticación, contraseñas seguras y software de protección de punto final instalado. Estos se pueden administrar de forma remota como cuando están en la LAN, y muchas VPN ofrecen instalaciones para detectar si las máquinas que se conectan a ellas cumplen con políticas de seguridad específicas en términos de nivel de parche o software instalado.

Sin embargo, en implementaciones rápidas como las que estamos viendo actualmente, los puntos finales de los trabajadores que lo hacen a distancia pueden tener que usar cualquier computadora que tengan en casa. Estas pueden ser máquinas antiguas con poca potencia y sin parches. Las empresas tendrán una visibilidad limitada de su configuración y ninguna garantía sobre su seguridad. Es posible que estas computadoras ya estén infectadas con malware, que puede aprovechar la oportunidad de conexión a una VPN para infectar otras máquinas, incluidos los sistemas críticos dentro de la empresa. Si el punto final es parte de una botnet o tiene un troyano de acceso remoto instalado, los atacantes pueden usar el punto final como un pivote en la red corporativa.

La mejor práctica es asumir que cualquier conexión de dispositivo desconocido ya está fracturado e instituir un monitoreo y controles apropiados para detectar actividades maliciosas.

Algunas posibles alternativas

Dependiendo del acceso requerido para los nuevos trabajadores a distancia, las compañías pueden reducir algunos de estos riesgos limitando el acceso solo a los sistemas explícitamente necesarios.

Los escritorios remotos también pueden ser una buena herramienta, si está disponible. Los usuarios se conectan a una computadora virtual que está dentro de los límites de la red de la compañía. Este escritorio virtual permite que todos los datos y aplicaciones permanezcan dentro de la red de la empresa; solo la representación visual se envía a la pantalla del usuario. Por lo que el departamento de TI podrá monitorear, administrar y mantener estos escritorios virtuales como cualquier otra computadora en la red corporativa.

Los servicios de terceros, como el correo electrónico SaaS, el intercambio de archivos, el chat y especialmente los servicios en la nube, pueden ser útiles: la implementación rápida en una gran población de usuarios es más fácil si alguien más maneja los registros y proporciona el ancho de banda y los servidores. Simplemente hay que ser muy claro en la estrategia de nube y comprenda los riesgos.

Por F5 Networks

Tomado de: DiarioTI

El uso de Darknet comienza a generalizarse

Charla dirigida por Jamie Bartlett. Imagen tomada de: Diario TI.

TED ha publicado una charla del analista de medios sociales Jamie Bartlett, quien explica que las URL utilizadas para acceder a la Darknet consisten de series de números y letras sin sentido que terminan en .onion, y a la que se accede con un navegador especial llamado Tor. El experto explica que Tor funciona mediante un sistema de encriptación inteligente que permite acceder anónimamente a 20 o 30 mil sitios que operan allí.

“No es de extrañar, entonces, que sea un lugar lógico adonde ir para cualquiera con algo que ocultar, y ese algo, por supuesto, no tiene que ser ilegal. En la red oscura hay sitios denunciantes, como The New Yorker. Hay blogs de activismo político. Bibliotecas de libros piratas. Pero también hay mercados de drogas, pornografía ilegal, servicios de hacking comerciales, y mucho más”, declara Bartlett, quien pronostica que gran parte de la audiencia “pronto entrará a la red oscura”.

Luego de reseñar el uso y validación de pagos mediante Bitcoin para la compra de productos disponibles en Darknet, Bartlett postula que esta ya no es solamente una guarida para distribuidores y un escondite para denunciantes. “Darknet está pasando a un primer plano. Recientemente, el músico Aphex Twin lanzó su álbum como un sitio de red oscura. Facebook ha comenzado un sitio de red oscura. Un grupo de arquitectos de Londres ha abierto un sitio de red oscura para personas preocupadas por los proyectos de regeneración. Sí, la red oscura pasa a primer plano, y predigo que muy pronto, todas las empresas de medios sociales, todos los medios más importantes de noticias y, por lo tanto, la mayoría de Uds. en esta audiencia, usará la red oscura, también”.

“Así que Internet está a punto de ser aún más interesante, más emocionante, más innovador, más terrible, más destructivo. Una buena noticia si están preocupados por la libertad. Una buena noticia, para preocupados por la libertad. Una buena noticia si se preocupan por la democracia. Es también una buena noticia si quieren buscar pornografía ilegal y si quieren comprar y vender drogas con impunidad. Ni del todo oscuro, ni del todo claro. No solo una parte o la otra ganará, sino ambas”, concluye señalando Bartlett en su alocucion en TED Talks.

Jamie Bartlett es director del Centro de Análisis de Medios Sociales en Demos, think tank del Reino Unido. Actualmente participa en proyectos relacionados con criptomonedas, inteligencia y contrainteligencia electrónica, como asimismo el uso de medios sociales por parte del Estado Islámico. Es autor del libro The Dark Net, que cubre las subculturas legales e ilegales de Darknet.

Tomado de: DiarioTI

Cae el foro más grande del mundo sobre 'hacking'

Desmantelado "Darkode". Imagen tomada de: ElTiempo.

El FBI y los cuerpos de policía de otros 19 países, incluyendo Colombia, Reino Unido, Finlandia, Alemania, Dinamarca e Israel, desmantelaron el foro de discusión, sobre cibercrimen, más grande el mundo. Se llamaba Darkode. Como parte del operativo, se ha arrestado a 28 de sus integrantes hasta el momento y se han llevado a cabo 37 allanamientos.

El sitio tenía entre 250 y 300 miembros activos. Desde hace 18 meses, el FBI inició un operativo para acabar con el sitio. Varios agentes se infiltraron en el foro para vigilar las actividades de sus integrantes. Descubrieron que en la plataforma de discusión se vendían herramientas de espionaje, bases de datos, programas maliciosos e información de acceso a cuentas de correo y redes sociales.

Se creía que Darkode era inaccesible. Para ingresar, se requería de una invitación por parte de otro integrante que ya formara parte de la comunidad. Además, se pedía a los candidatos que enviaran su hoja de vida con detalles sobre su pasado criminal, sus habilidades para ‘hackear’ y una muestra de sus potenciales aportes para el foro.

Darkode operaba desde 2008 y constituía un mercado de programas maliciosos y herramientas para vulnerar sistemas informáticos. Algunos de ellos permiten tomar control de dispositivos Android y de computadores de escritorios. Otros permiten robar datos de cuentas bancarias o de cuentas de redes sociales.

Se estima que existen más de 800 comunidades virtuales relacionadas con cibercrimen. Sin embargo, se alega que Darkode era la mayor en habla inglesa.

Tomado de: El Tiempo

6 respuestas a la neutralidad de internet en EU

Datos en la red. Imagen tomada de: Vanguardia.com

La neutralidad de la red empieza este viernes.

Un juez federal rechazó los intentos de las compañías de cable y telefonía para detener la neutralidad de la red en sus avances. Eso implica que el plan de la FCC (Comisión Federal de Comunicaciones) sobre la nueva regulación de Internet entrará en efecto según lo planeado.

Esto es lo que significa para los estadounidenses:

1. ¿Qué cambiará este viernes?

La FCC podrá ejercer autoridad extra sobre el Internet para establecer la neutralidad de la red.

2. ¿Qué es la neutralidad de la red?

Es como dar igualdad de oportunidad para las velocidades de Internet y el acceso a los sitios web: no habrá vías rápidas injustas o líneas lentas, y no se bloqueará nada legal en tu teléfono, computadora o tableta.

3. ¿Qué no es lo que existe ya?

En su mayor parte. En realidad, el mundo no se verá mucho más distinto desde este viernes. Netflix no correrá de la nada más rápido para ti. AT&T y Comcast no dejarán de instalar cables de fibra óptica de gran velocidad ni dejarán de invertir en sus redes como venganza.

Pero la neutralidad de la red significa que Verizon no puede bloquear Google Wallet en tusmartphone, como hacía en 2011. Tu proveedor de telefonía celular no puede bloquearapps que conviertan tu celular en un punto de WiFi para tu laptop o tableta. AT&T no puede bloquear aplicaciones de videochat como FaceTime o Google Hangouts. Y Comcast no puede alentar los sitios de compartir archivos como hizo con BitTorrent hace unos años.

4. ¿Quién apoya la neutralidad de la red?

AOL, Facebook, Netflix, Twitter, Vimeo y cualquier otra gran empresa de la web están a favor de las nuevas reglas de FCC. Ellos crean el contenido que lees y ves en línea, y no quieren sufrir discriminación de los dueños de las redes que pueden amenazar con exigir cuotas mayores o los cargarán más lento.

5. ¿Quién está en contra?

AT&T, Comcast, Time Warner Cable, Verizon y otros proveedores de servicio de Internet que no quieren reglas adicionales. Ellos creen que las reglas existentes de la FCC son suficientes para sostener la neutralidad de la red.

Ellos son los dueños de las redes y temen el control de los precios. Temen a un mal ambiente de negocios, por lo que AT&T ha amenazado con pausar su inversión en infraestructura.

Su mayor queja con la FCC es que la agencia regulará a los proveedores de Internet al ingresarlos bajo el Título II de la Acta de Telecomunicaciones de 1934, un conjunto específico de regulaciones que aplican a las empresas de telefonía. Las empresas de telecomunicación dicen que las reglas no se conforman a los servicios que ellos proveen. No confían en la promesa de la FCC de que aplicará sólo una pequeña fracción de esas reglas.

6. ¿La neutralidad de la red llegó para quedarse?

No necesariamente. Un consorcio de empresas de telecomunicación, incluyendo a AT&T, Verizon y Comcast están demandando al Gobierno para anular las nuevas reglas de la FCC.

Lo único que hizo el circuito de cortes de D.C. esta semana fue rechazar el intento de las empresas de telecomunicación de frenar las reglas de la neutralidad de la red. Esencialmente, el juez federal sólo dijo: “No voy a tomar una decisión sobre las nuevas reglas de la FCC son legales- sólo que no están completamente locas”. Una audiencia mayor está programada para más adelante, y un juez podría desestimar las reglas de la neutralidad de la red.

Los republicanos en el Congreso también están luchando contra la neutralidad de la red. Un panel en la Casa esta semana adjuntó lenguaje que podría reducir la neutralidad de la red a una ley de gastos crucial. Pero matar la neutralidad de la red será más complicado en el Senado y el presidente Obama probablemente rechazará cualquier legislación que anule las reglas de la FCC.

Tomado de: CNN Expansión

Google ha indexado los contenidos de los discos duros conectados en red

Google. Imagen tomada de: www.justdust.es.

Conectar tu disco duro a la red doméstica para poder acceder a sus contenidos desde cualquier dispositivo que tengas en casa (ordenador, móvil, tablet, televisión inteligente, videoconsola…) es sin duda una buena idea. Con lo que no contábamos es con que si dicha red está conectada a Internet la larga mano de Google llega a los contenidos compartidos, que habría indexado como si se tratase de páginas web.

Se trata de contenidos privados, tanto de empresas como de particulares, a los que Google habría accedido debido a deficiencias en la configuración de dichos discos duros que, conectados a la red interna a través de routers que también están conectados a Internet no tendrían adecuadamente configurado el acceso mediante FTP y por tanto los documentos contenidos en dichos discos duros habrían sido tratados por Google como archivos públicos. Y lo grave es que aparecen como resultados en las búsquedas de Google y cualquier puede acceder a ellos.

Fotografías privadas (íntimas o de viajes, fiestas y celebraciones familiares), documentos de texto personales y profesionales, información bancaria y de tarjetas de crédito, listas de clientes, pedidos… en uno de los casos detectados se ha podido acceder a todos los datos personales y documentos de una familia desde 2009, disponibles a través de una búsqueda en Google. En su caso se trataba de un disco duro Western Digital conectado a un router Linksys WRT1900AC con la conexión FTP activada.

En concreto habrían resultado afectados los usuarios de discos duros Seagate Personal Cloud, Seagate Business NAS, Western Digital My CLoud y LaCie CloudBox. Para todos aquellos que deseen evitar este riesgo en CSO han preparado una completa guía para explicar cómo comprobar que nuestros dispositivos no están expuestos a esta vulnerabilidad. Si fuera el caso habría que contactar con Google para solicitar que eliminen la información indexada.

Por último no habría que dejar pasar la ocasión para recalcar que esta situación no es culpa de Google, puesto que su buscador rastrea continuamente todos los contenidos disponibles en Internet. Se trata de un episodio más que debe concienciarnos sobre las medidas de seguridad que debemos poner en práctica con nuestros dispositivos cuando están conectados a la Red.

Tomado de: TheInquirer

Estados Unidos adopta reglas históricas sobre Internet

Internet. Imagen tomada de: Diario TI.

La Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) de Estados Unidos aprobó una medida histórica para regular Internet.

Las nuevas reglas, conocidas como “neutralidad de la red”, actúan para proveer igualdad de oportunidades en velocidad de Internet y el acceso a los sitios.

La cuestión central era si los dueños de las redes en Estados Unidos, como Comcast o Time Warner Cable, pueden discriminar lo que corre en su cableado. La respuesta de la FCC fue clara: No.

La comisión aprobó por tres votos contra dos la autoridad del Gobierno estadounidense sobre Internet.

Ahora hay dos posturas en el debate, quienes dicen “¡Salvamos Internet!”, y quienes aseguran “¡Destruimos Internet con burocracia gubernamental!”.

No te creas ninguna de las dos y toma un respiro porque falta mucho camino por recorrer.

Las reglas de la FCC no serán oficiales hasta el verano. Para ese entonces, se espera que las compañías de telecomunicaciones reten las reglas en la Corte, y un juez podría ponerlas en pausa.

Por eso, en el corto plazo, nada cambia. Netflix no tendrá tranmisiones más rápidas ni AT&T o Comcast dejarán de colocar fibra de alta velocidad.

Netflix todavía podría llegar a acuerdos para tener acceso a una red más rápida.

Entonces, ¿qué pasó? La FCC se aseguró el poder para derrotar a un monstruo: el monopolio de los dueños de las redes que pueden matar la libertad de Internet al bloquear sitios o crear una línea rápida para las compañías tecnológicas ricas que pueden pagarlo.

Pero este monstruo es todavía una amenaza fantasma. En el pasado, las compañías hubieran sido ‘bullies’. Verizon bloqueó Google Wallet, AT&T no puede bloquear las apps para chatear por video y Comcast disminuyó la velocidad de sitios como BitTorrent. La FCC utilizó las reglas existentes para arreglar esos problemas.

Por ello hay preocupación por la forma en la que la FCC aseguró la neutralidad de la red. Para llevar a cabo las reglas, la agencia pondrá a las compañías bajo la Ley de Telecomunicaciones de 2934, que pone regulaciones a las compañías telefónicas. Las firmas dicen que esas reglas no aplican para los servicios que proveen y no creen en la promesa de la FCC de que aplicará solo una fracción de esas reglas y que no regulará tasas o alzas de impuestos.

¿Cómo comenzó a interesarnos este tema? Denle crédito al comediante John Oliver, quien logro que cuatro millones de televidentes enviaran comentarios a la FCC.

Tomó el tema desde el punto de vista de una persona que trata con el proveedor de Internet. Los planes son costosos y tienes pocas opciones. Claramente, los dueños de las redes son los chicos malos.

Esperen, hay una tercera opción. Mientras esta batalla llega a las cortes, el Congreso tiene la oportunidad para escribir reglas que funcionen.

Después de todo, tanto los dueños de las redes como los sitios tienen un punto. Los bloqueos y el comportamiento anticompetitivo deben ser ilegales. Por otro lado, por razones técnicas, los dueños de las redes necesitan manejar el tráfico. Tu video debe ser más rápido que tu correo para que la experiencia sea buena.

Por eso, los críticos descalificaron que el instrumento que la FCC utilizó hoy. Pero todavía no queda claro si es tan maravilloso o terrible como todo el mundo dice.

Tomado de: CNNExpansión

El peligro de usar Wi-Fi en lugares públicos

WI-FI. Imagen tomada de: www.wikimedia.org.

Llega a una cafetería, se conecta a la red del lugar y se dispone a revisar correos, chatear y hacer algún pago pendiente. Un placer para muchos, una adicción para otros. Pero cuidado. Se expone a un crimen cibernético casi invisible y que está creciendo.

Los hotspots -puntos de acceso públicos a internet- son las redes presentes en bares, restaurantes, edificios públicos y hasta en parques y plazas. Algunos piden contraseña, otros no, pero casi todos ellos son susceptibles a que los hackers ingresen y se apoderen de lo que uno hace conectado a esos puntos.

Mediante estos ataques, los hackers acceden a los datos ingresados cuando la gente se comunica con un banco, hace compras a través de internet o ingresa a las redes sociales.

Las autoridades están tomando cartas en el asunto. El alto oficial de la Policía de Delitos Informáticos de Europol –la policía europea- advirtió la semana pasada que sólo hay que enviar datos personales a través de redes conocidas. El funcionario, Troels Oerting, dijo que la advertencia fue motivada por el creciente número de ataques que se llevan a cabo a través de redes wi-fi públicas.

"Hemos visto un aumento en el uso indebido de wi-fi con el fin de robar información, la identidad o las contraseñas y el dinero de los usuarios que utilizan conexiones wi-fi públicas o inseguras", dijo Oerting.

Los atacantes no usan técnicas novedosas, sino que se basan en métodos conocidos para engañar a aquellos que se conectan a un punto de acceso que, superficialmente, se asemeja a los que se observan en los cafés, pubs y restaurantes y otros espacios públicos.

Además, muchas veces las redes recuerdan los hotspots a los que nos conectamos y nos vuelven a conectar automáticamente la vez siguiente que pasemos por allí, sin que nos demos cuenta e incluso sin que saquemos el teléfono de nuestro bolsillo.

Pero incluso los que nos resultan conocidos pueden no ser seguros. La red se puede conectar a una red maliciosa con nombre y contraseña idénticos a los que conocemos, pero hecha por hackers. Es lo que se conoce como "ataque gemelo malvado".

¿Qué hacer?

Aunque ninguna precacución es 100 % segura, ser más conscientes de nuestro comportamiento cuando nos conectamos a una wi-fi pública puede evitarnos ataques indeseados. Algunos consejos:

• Evitar hacer transacciones o ingresar al banco desde una red pública. Mejor espere a llegar a casa o a entre a una red conocida.
• Si tenemos internet en el teléfono (3G o 4G), no utilizar wi-fi sino usar la red de nuestro proveedor, que, aunque sea más lenta, es más segura pues encripta los datos.
• En la configuración del teléfono o computadora, desactivar la opción "conectar automáticamente" a una wi-fi. Así evitamos que nuestro dispositivo se conecte sin que nos demos cuenta.

Tomado de: Semana.com