‘Regalando’ datos

Cuando Edward Snowden sacó a la luz documentos clasificados sobre los programas de vigilancia llevados a cabo por la NSA, la mayoría de la gente crítico que los gobiernos recolectasen datos e información personal sin consentimiento. Sin embargo, no necesitan mucho esfuerzo para conseguirlos. La NSA no escuchaba las conversaciones ni leía los documentos de textos, simplemente recogían los metadatos, datos que permiten describir datos como el lugar y la fecha en la que se hizo una foto.

Hoy en día, compartimos los datos de nuestra vida privada  en redes sociales, con aplicaciones que muestran el recorrido que realizamos mientras hacemos deporte o simplemente permitiendo que las aplicaciones de nuestro smartphones guarden nuestra localización. Además, instalamos aplicaciones y aceptamos ‘Términos y condiciones de uso» sin informarnos ni cuestionarnos si realmente necesitan esos datos.

Permisos que piden las 10 apps de linterna más descargadas en Android

Para comprobar la importancia de los datos y si realmente eran útiles y desvelaban información sobre nuestra vida privada, la Universidad de Stanford realizó un experimento y pidió a 546 voluntarios que se instalaran una app en su teléfono que recopilaría la misma información que, en teoría, la NSA había estado recopilando, como la fecha de la llamada, la duración o el destinatario, sin escuchar ninguna llamada . Los resultados fueron sorprendentes. Se pudo extraer información sobre su religión dependiendo a los centros religiosos que llamaban o sobre las enfermedades gracias a los expertos que consultaron. Además, también relacionaron varias llamadas y pudieron descubrir que una chica estaba embarazada porque realizó una llamada de bastante duración con su hermana a una hora demasiado inusual de la mañana y un par de días después, llamó a un centro de Planificación Familiar, al que volvió a llamar durante diversas ocasiones en las siguientes semanas.

Otro claro ejemplo del peligro de los datos que ofrecemos, sin ser conscientes, en las fotos que publicamos en Internet es ‘I know where your cat lives’ (http://iknowwhereyourcatlives.com/). Esta página web, creada por Owen Mundy, utiliza los metadatos de más de un millón de fotografías con la etiqueta cat de páginas como Instagram o Flickr y las mapea utilizando las coordenadas geográficas. El objetivo de este experimento era precisamente mostrar el poder de los datos que colgamos de manera inconsciente cada vez que publicamos una foto o realizamos un comentario y como ‘regalamos’ a las empresas nuestra privacidad, ya no solo online sino también física.

Estos ejemplos pueden ser los más claros e impactantes por el conocimiento que pueden llegar a tener sobre nosotros las empresas, pero no solo en Internet recogen nuestros datos. Hoy en día, todas las empresas tratan (o deberían de tratar) obtener datos sobre sus clientes, como por ejemplo las tarjetas cliente que ofrecen descuentos, para, a través de herramientas de Big Data, descubrir sus comportamientos y optimizar sus ofertas y productos.




La información en las empresas

3d people in a round table having a meeting.La información es un recurso vital para toda organización, y el buen uso de ésta puede significar la diferencia entre el éxito o el fracaso para una empresa. El éxito de una organización ya  no depende sólo de la manera en que cada persona maneja sus recursos materiales, sino que es más importante el buen aprovechamiento de los activos intangibles tales como el know-how (hacer como), el conocimiento de cliente y de mercado, etc.

Para que la información cumpla con sus objetivos es necesario que posea ciertas características:

Debe ser relevante: tiene que ser importante y la que necesitamos.
Debe estar actualizada: debe utilizarse en el momento de ser generada.
Debe ser comparable: que permita ser confrontada con datos similares.
Debe ser confiable: debe permitir que los usuarios puedan depender de ella al tomar sus decisiones.
Debe ser económica: debe ser más barata la obtención que la ganancia de su explotación
Debe ser rápida: el acceso a la información debe realizarse de forma rápida y sencilla.
Debe ser de calidad: es importante que la información carezca de errores y sea completa.
Debe ser objetiva: no cabe opción a subjetividades.
Debe ser completa: el tener la información incompleta es peor que no tener nada.
Debe ser aplicable: la información debe ser adecuada para la toma de una decisión, además de ser importante y pertinente.

Los sistemas de información empresariales son una necesidad hoy en día, ya que las empresas manejan grandes cantidades de datos los cuales pueden ser analizados, de tal manera que se pueda encontrar la información relevante para tomar diferentes decisiones. Además, los sistemas de información aseguran que la información se comparta con todos los usuarios que necesiten utilizarla.

Hoy en día las empresas no pueden darse el lujo de solamente operar y ser eficientes, deben ir un paso adelante de la competencia visualizando el futuro. En este punto las tecnologías de información juegan un papel preponderante al brindar a las organizaciones la ventaja competitiva que supone contar con información oportuna, certera y en tiempo real.




Coste de la brecha de seguridad en Target y opiniones

Según Target, la brecha de datos costó 252 millones de dólares, de los cuales 90 fueron reembolsados por su seguro y se pudo deducir otros 57 en impuestos (porque sí, las brechas de seguridad son deducibles). De este modo, el coste total para la compañía fue de 105 millones de dólares, el 0,1% de sus ventas. 

Sin embargo, este coste podría haber sido inferior, ya que cuando salió por primera vez la norma PCI, Visa y MasterCard la utilizaban para dar a los comerciantes un ‘puerto seguro’ de sanciones en caso de incumplimiento, cuando el comerciante atacado era compatible con PCI.  Pero eliminaron ese ‘puerto seguro’ justo después de la primera gran brecha. Además,  Visa originalmente dijo que los comerciantes, que  cumplían con el estándar en el momento en el que sufrieron la fuga de datos confidenciales, estaban exentos de pagar una multa a Visa. Sin embargo, han suavizado la norma indicando que determinarán en cada caso, bajo su opinión, si se imponen multas al comercio afectado. Por ejemplo, Target ha llegado ha un acuerdo con Visa, por el cual se compromete a pagar una multa de hasta 67 millones de dólares dependiendo del número de afectados.

Según Gartner, la norma no se ha mantenido al día con las últimas noticias de ataques y, por ejemplo, ninguna de las aplicaciones anti-malware convencionales que existen en el mercado hoy en día buscan el software malicioso que atacó a Target. Por lo tanto, consideran que es rotundamente equivocado culpar de todo lo sucedido a Target o a cualquier otra entidad que haya sufrido una brecha. Debido a esto, los bancos emisores de tarjetas y la industria de las tarjetas (Visa. MasterCard, Amex, Discover) comparten la responsabilidad por no hacer más para prevenir las debacles que previsiblemente se han producido en los últimos nueve años, cuando comenzaron las primeras grandes brechas.

Venturebeat también añade que los estándares de seguridad de PCI solo consideran el cuidado de los datos en reposo, porque, en 2004, cuando se crearon las normas, el robo de los datos en reposo era el método más fácil y Desde entonces, las aplicaciones de punto de venta y de pago almacenan y abandonan enormes cantidades de registros de datos no cifrados en cada disco duro. Las normas PCI permiten el tratamiento de los datos en texto claro en la RAM de la máquina del punto de venta , así como la transmisión de los datos de las tarjetas sin cifrar a través de las redes locales




Análisis del ataque a Target

Como se puede comprobar con una lectura rápida de mi anterior post, durante el ataque a Target se cometieron varios errores que concedieron una oportunidad a los hackers para acceder al sistema y robar los datos. Sin embargo ¿cuáles de ellos habrían sido evitados si realmente Target hubiese cumplido con los requisitos de la PCI DSS?

  1. En el punto 1.2 de la regulación PCI DSS se especifica “Construir configuraciones de firewall y router de manera que restringan las conexiones entre redes no confiables y cualquier componente del sistema en el entorno de datos de titulares de tarjetas”, siendo una red no confiable aquella que “la empresa no puede controlar ni gestionar”. Sin embargo, en el sistema de Target entraron a través de la red de un proveedor, que en un principio no tenía acceso al entorno de las tarjetas, pero dicha separación no existía.
  2. En el punto 8.3 se recomienda “Incorporar dos de los tres factores de autentificación ( algo que se sabe (contraseña), algo que se tiene (una tarjeta) y algo que se es (escáner de retina)) para el acceso remoto a la red procedente de fuera de la red”. En el caso de Target, con un simple robo de la contraseña, valió para acceder a la red.
  3. En el punto 11.4 se recomienda “Utilizar técnica de detección de intrusos y/o de prevención de intrusiones para detectar y/o prevenir las intrusiones en la red” y en el punto 5.1.1 se habla de “Asegurar que los antivirus son capaces de detectar, eliminar y proteger el sistema contra todos los tipo de software maliciosos conocidos”. Estos dos casos, si se cumplían en la brecha de Target, ya que el antivirus y el software de FireEye enviaron varias alertas; aunque el eliminado automática estaba desactivado, práctica habitual en las empresas ya que prefieren que las personas analicen el archivo infectado antes de su eliminación, por si fuese simplemente un error.
  4. En el punto 10.6 se especifica “ Revisar los logs y los eventos de seguridad de los componentes del sistema para detectar e identificar cualquier tipo de anomalía o actividad sospechosas” En Target no se cumplió este requisito ya que si ignoraron todas las alertas recibidas y no se analizaron para detectar software malicioso.

En el caso de Target, ninguna otra recomendación de la PCI DSS habría evitado el ataque, ya que el estándar está pensado para proteger los datos mientras están guardados, y no protege durante la lectura de la tarjeta.




Target ( o el esperado resultado de la ignorancia)

Target es una cadena de grandes almacenes fundada en Minneapolis, Estados Unidos, en 1962. Es la sexta empresa de retail más grande de Estados Unidos y se encuentra en la posición nº 36 de las empresas más grandes del mundo,
según la revista Fortune. Además, cuenta con 1,801 ubicaciones en todo Estados Unidos.

A finales de 2013, se descubrió que le habían robado a Target los números de tarjetas de crédito y débito de 40 millones de clientes, así como los datos personales de 70 millones de personas. A continuación se detallan los principales eventos:

  1. En Febrero de 2013, Target contrató a FireEye, Inc., una compañía de software de seguridad, para actualizar sus sistemas de seguridad informática. Uno de los servicios era proporcionar herramientas de detección de malware, incluyendo un equipo de especialistas en seguridad cuyo trabajo era monitorear los equipos de Target durante todo el día.
  2. Los atacantes empezaron probando las redes de ordenadores de varias grandes superficies, entre ellas Target. El sondeo les llevó hasta Fazio, un proveedor de sistemas de aire acondicionado y refrigeración para Target. Como parte del contrato, Fazio recibió credenciales de seguridad para la facturación electrónica, la gestión de proyectos y el envío de contratos, lo que le permitía tener acceso restringido a la red de Target.
  3. En algún momento de Septiembre de 2013, los hackers entaron en el sistema de Fazio con un email que contenía un malware llamado Citadel y robaron sus credenciales. Esto se debió en parte a la infeciente seguridad en Fazio, que poseía la versión gratuita de un antivirus, que no permitía su uso en empresas, y que no permitía realizar escaneos en en tiempo real.
  4. En Septiembre de 2013, numerosos miembros del personal de seguridad de Target detectaron vulnerabilidades en el sistema de tarjetas de pago de Target, debido a las actualizaciones realizadas en las cajas registradoras de Target, probablemente por el despliegue del software de seguridad realizado por FireEye. Las advertencias fueron ignoradas y no se realizaron investigaciones.
  5. En Septiembre de 2013, Target encargó una auditoría, que certificó que cumplía con todos los requisitos de la industria de pagos, incluyendo PCI DSS.
  6. El 15 de Noviembre de 2013, los hackers  se conectaron a la red informática de Target con las credenciales de Fazio. A pesar de Fazio solo debía tener un acceso limitado, la red de Target no está correctamente segmentada  para asegurar que sus partes más sensibles se encontrasen fuera de su red, vulnerabilidad que explotaron los hackers. Una vez dentro, instalan el software malicioso para el robo de tarjetas en unas pocas cajas registradoras.
  7. El 30 de Noviembre, los hackers instalan su malware en la mayoría de las cajas registradoras y comienzan a recopilar los datos de las tarjetas en las transacciones de los clientes en tiempo real. El funcionamiento del malware era el siguiente: cuando un cliente pasaba su tarjeta por la caja registradora, el malware intervenía y recuperaba el número y cualquier información sensible. Después almacenaban esa información en los servidores de Target y, a través de otro malware instalado en dichos servidores, empezaron a extraer los datos obtenidos de la red de Target a su red. El software de FireEye y el antivirus corporativo que poseía Target, Symantec, empiezan a enviar alertas sobre la presencia del malware, pero el equipo de seguridad decide ignorarlas.
  8. Durante dos semanas en Diciembre de 2013, el malware estuvo extrayendo información de los clientes, sin que nada ni nadie le interrumpiese.
  9. En Diciembre de 2013, se ponen a la venta las tarjetas de crédito en varias páginas ilegales de compra-venta de tarjetas.
  10. El 12 de Diciembre de 2013, los bancos empiezan a recibir incidencias sobre la aparición de cargos fraudulentos en tarjetas que habían sido usadas recientemente en Target. Ese mismo día, el Departamento de Justicia de EE.UU contacta con Target.
  11. El 15 de Diciembre de 2015, tres días después de recibir la notificación, tiempo durante el cual Target estuvo tratando de confirmar la notificación y los hackers siguieron robando información, Target empieza a purgar su sistema informático , y después de dos semanas de la recopilación de datos ininterrumpida, Target suspendió la mayoría de los malwares encargados de recoger la información personal.



Informe sobre el cumplimiento con el estándar PCI DSS

PCI DSS es un estándar creado por las principales compañías de tarjetas de crédito, como Visa o MasterCard, con el objetivo de asegurar los datos y evitar los fraudes en las empresas que procesan, almacenan y/o transmiten datos de tarjetas. Sin embargo, según un informe de Verizon, muestra que solo el 20% de los negocios cumplen con el estándar completo. Aunque el cumplimiento de las normas PCI no es obligatorio por la ley, las empresas que cumplen con estos requisitos están mejor preparadas para cumplir con otros requisitos de seguridad y, además, pueden obtener mejores condiciones comerciales de los proveedores de servicios de tarjetas.

Cumplimiento

Entre 2013 y 2014, el cumplimiento subió para 11 de los 12 requisitos del estándar PCI DSS, con un incremento promedio de 18 puntos porcentuales. El mayor aumento fue Requisito 8 (‘Asignar una identificación única a cada persona que tenga acceso a un ordenador.’). El único requisito en el que el cumplimiento descendió fue el número 11 (‘Probar regularmente los sistemas y procesos de seguridad.’), del 40% al 33%.

 

Lo que parece más difícil, según el informe, es mantener el cumplimiento del estándar durante el año:  menos de un tercio (28,6%) de las empresas resultaron ser aún totalmente compatibles menos de un año después de la conseguir la validación. Según Verizon y los ataques que han analizado, en el momento en el que se produjeron, ni una sola empresa cumplía con los estándares, a pesar de haber sido aprobadas.

Cumplir con los estándares en seguridad es vital para una empresa. En Estados Unidos, los pagos con tarjetas de crédito y débito representan dos tercios de las compras por valor. Según el informe, el 69% de las usuarios están menos inclinados a hacer negocios con una empresa que ha sufrido una brecha de seguridad y el 45% de los americanos dice que él o un miembro del hogar ha sido notificado en alguna ocasión, por un compañía de tarjetas, institución financiera o minorista, que su información de tarjeta de crédito, posiblemente, había sido robado como parte de una fuga de datos.

 

Referencias

http://www.cio-today.com/article/index.php?story_id=0020002HF5P0                   http://www.verizonenterprise.com/resources/report/rp_pci-report-2015_en_xg.pdf  http://www.channelbiz.es/2015/03/16/el-cumplimiento-pci-a-examen/




El poder del consumidor

Cuándo accedemos a las páginas webs corporativas de las principales empresas mundiales, podemos encontrar una pestaña llamada algo así como ‘Quiénes somos’. En ella, nos hablan sobre su liderazgo en su sector, sobre sus valores. sobre como su actividad repercute en la sociedad o sobre su responsabilidad con el medio ambiente. Sin embargo, el usuario o consumidor de los productos de dichas compañías no se molesta en conocerlos.

Volkswagen

El 18 de Septiembre saltaba la noticia. El grupo Volkswagen había instalado en varios modelos de sus coches un software capaz de detectar cuando el vehículo estaba siendo sometido a una prueba oficial y reducir así sus emisiones de carbono. No hablamos de una empresa cualquiera, sino del mayor fabricante de automóviles a nivel mundial con más de 10 millones de coches vendidos en 2014 y una de las empresas más importantes de Alemania, la locomotora económica europea.

Obviamente, este escándalo va a traer consecuencias. La primera ha sido su espectacular caída en la bolsa. La segunda ha sido la dimisión de su presidente, Martin Winterkorn. La tercera, será la multa que se le impondrá y la posible devolución de algunas de las ayudas recibidas por reducir sus emisiones contaminantes. La cuarta, será una reducción de las futuras inversiones y una posible reducción de empleos. A esto último, habría que añadir todas las empresas que existen alrededor de la compañía alemana y le proveen materiales y servicios. Por último, y no por ello menos importantes, la pérdida de la confianza del consumidor. Primero en la propia Volkswagen, segundo en la industria automovilística y sus datos sobre emisiones y, tercero, en la industria alemana.

La carne de caballo

Pero este no es el único escándalo que ha ocupado las portadas de los periódicos en los últimos años. En el año 2013, un análisis rutinario en Irlanda descubría diferentes porcentajes de carne de caballo en productos cuyo etiquetado solo declaraba el uso de carne de ternera. Aunque esto no supiese un problema de salud para el consumidor, las grandes empresas alimentarias estaban engañando a los consumidores sobre el origen de la carne. Además, musulmanes y judíos descubrieron que habían estado tomando no solo carne de caballo, sino también de cerdo, algo prohibido por sus religiones.

Una de las empresas más afectadas por este escándalo fue la multinacional suiza Nestlé, una de las corporaciones alimentarias más grandes del mundo, que se vio obligada a retirar varios de sus productos del mercado. Sin embargo, sus resultados anuales no han mostrado ningún tipo de escarmiento ni pérdida de confianza por parte de los consumidores.

Estos son sólo dos de los principales escándalos que han sacudido la opinión pública en los últimos años, quizá porque han sucedido dentro de nuestras fronteras. La explotación de trabajadores, materias primas extraídas de países en conflictos en África,… son otros casos conocidos que no tienen tanto eco por no tocarnos directamente. Estos casos se producen por el afán de las grandes empresas por mejorar su resultados económicos, saltándose continuamente sus valores y las legislaciones vigentes. Sin embargo, los consumidores no valoramos estos aspectos, ni premiamos a las empresas más respetuosas ni castigamos a las más irrespetuosas.