Amenazas de la identidad digital

Download PDF

En el post anterior explicaba qué era la identidad digital o identidad 2.0, cuáles eran sus características, etc. Llegue a la conclusión de que la buena imagen lograda tras años de duro trabajo podía venirse abajo por cualquier brecha en la huella digital y que por ello debíamos tener cuidado y poner precauciones al respecto. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud? A continuación, voy a explicar las diferentes amenazas que he ido encontrando y cómo afectan a la entidad.

 

  • Suplantación de identidad.

La suplantación de identidad puede darse o bien creando o bien accediendo a un perfil no autorizado de una empresa o de una red social, es decir, se trata de la usurpación de los perfiles por terceros malintencionados. Los atacantes intentan aprovecharse de la reputación del atacado para sacar beneficios, como, por ejemplo, el robo de información sensible para el chantaje. Para ello, recurren a las técnicas Phishing y/o Pharming.[1]Resultado de imagen de phishing En la primera, el estafador (phisher) usurpa la identidad de una empresa o institución de confianza para enviar un email, SMS, etc. a los clientes, trabajadores, usuarios… y así conseguir engañarles para que revelen información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias.[2] En la segunda, sin embargo, el estafador redirige a sus víctimas hacia una página web fraudulenta que suplanta a la original, incluso si escriben correctamente la dirección Web de su banco o de otro servicio en línea en el buscador.[3]

 

  • Registro abusivo de nombre de dominio.

El nombre de dominio es la ‘dirección’ que utilizan las empresas para identificarse ante su público (por ejemplo deusto.es). Y el riesgo puede surgir al registrar este nombre, ya que, no existe ningún control o vigilancia durante este proceso, y en el caso de que se diese alguna infracción el único responsable sería el solicitante del registro. [1]

El ataque, conocido como cybersquatting, se produce cuando un tercero malintencionado registra un nombre de dominio existente con el propósito de extorsionarlo para que lo compre o bien simplemente para desviar el tráfico web hacia un sitio competidor o de cualquier índole.[4]

 

  • Ataques de denegación de servicio distribuido o ataque «DDoS».

El objetivo de los ataques de denegación de servicio distribuido consiste en dejar un servidor inoperativo. Se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia el mismo punto de destino, el cual acabará saturado y se colapsará. Todo esto le acarrea a la empresa un perjuicio a la identidad digital, ya que, ya no existe en la Red y la reputación online baja considerablemente al demostrar lo vulnerable que es.[1]

Resultado de imagen de ddos attack

 

  • Fuga de información.

La fuga de información tiene dos posibles orígenes, por un lado, desde el interior de la organización, bien por error o bien por una acción consciente e intencionada. Y, por otro lado, desde el exterior, utilizando diferentes técnicas para robar información de los equipos y sistemas de la entidad.

El objetivo de este ataque suele ser el lucro, haciendo que la buena imagen y el prestigio de la entidad se vea comprometida por la publicación de información sensible y/o confidencial.[1]

 

Resultado de imagen de comentarios negativos en redes sociales

  • Publicaciones por terceros de informaciones negativas.

Está claro que no solo se está en la red, sino que se conversa en ella, por lo que, las empresas obtienen sus feedback de los usuarios a través de los medios sociales. El hecho de que un mal comentario sea distribuido por las redes puede ser información valiosa para que la empresa sepa cómo mejorar, pero también puede perjudicar su honor y reputación. Hay que tener en cuenta que la información en Internet no desaparece con el tiempo, lo que hace que valoraciones negativas que posiblemente ya estén solucionadas sigan perjudicando gravemente a la entidad.[1]

 

  • Utilización no consentida de derechos de propiedad industrial.

La utilización no consentida de derechos de propiedad industrial es un riesgo para la identidad y la reputación de una empresa. Esta acción puede estar motivada por una falsa sensación de que en Internet todo vale y no se vulnera ningún derecho, o por un empleado descontento que divulga elementos fundamentales para el negocio, como patentes o secretos industriales. [5]

 

Naturalmente, una combinación de herramientas de seguridad y buenas prácticas son fundamentales para evitar muchas de estas amenazas, pero las consecuencias de la suplantación de identidad en Internet son cada vez más y más negativas. Por ello debemos tener una responsabilidad compartida entre distintas partes: los usuarios al tomar las medidas adecuadas de seguridad, las empresas responsables de la protección de los datos y los gobiernos a través de la legislación en la materia, así como con la creación de instituciones enfocadas en atender estas problemáticas.[6] Con estos últimos se puede contactar por medio de la página web http://www.agpd.es (Agencia Española de Protección de Datos), donde además de facilitar herramientas a las empresas para que cumplan con la protección de datos, si tú como individuo sientes una amenaza, puedes denunciarlo.

 

Continuará…


 

Referencias

[1] Incibe. <<Guia ciberseguridad online>>. Acceso el 17 de octubre de 2017, https://www.incibe.es/extfrontinteco/img/File/empresas/guias/guia_ciberseguridad_identidad_online.pdf

[2] Avast. <<Phishing>>. Acceso el 17 de octubre de 2017, https://www.avast.com/es-es/c-phishing

[3] Wikipedia. <<Pharming>>. Acceso el 17 de octubre de 2017,  https://es.wikipedia.org/wiki/Pharming

[4] Wikipedia. <<Ciberocupación>>. Acceso el 17 de octubre de 2017, https://es.wikipedia.org/wiki/Ciberocupaci%C3%B3n

[5] Fernando Amaro. <<Identidad Digital y Reputación Online (III)>>. Acceso el 18 de octubre de 2017, http://fernando-amaro.com/identidad-digital-reputacion-online-iii/

[6] We live security. << 3 amenazas que buscan robar tu identidad: ¡cuídate de ellas!>>. Acceso el 18 de octubre de 2017, https://www.welivesecurity.com/la-es/2015/09/30/3-amenazas-robar-identidad/

Sistemas de control industrial y riesgos

Download PDF

Caminar por la calle debería ser suficiente para darse cuenta del afán de los humanos por controlar todo. El tiempo, el clima, la calidad del aire, el numero de plazas en el parking de debajo de tu casa. Está por todos los lados. En las farmacias, en los escaparates de tu tienda de ropa o en el bar con tus amigos. Y lo cierto es que todo este control tiene un sentido. El control nos ayuda a comprender nuestro entorno, y por consiguiente predecirlo. Esto es algo que el ser humano no ha tardado mucho en darse cuenta, ya que la intención de controlar nuestros alrededores se remonta muy atrás, pero es actualmente cuando más controversia. Ante el control que el gobierno quiere imponer a los ciudadanos, estos se revelan para proteger su privacidad. Y siempre es por lo mismo, el afán de controlar y predecir. Este control también se extiende al mundo de la empresa y de la industria. Sería ideal controlar todas las variables que pueden inferir en el negocio, pero entran en juego dos variables que limitan este sueño: el tiempo y los recursos. Por ello, es cada vez más importante saber gestionar estos recursos e identificar las variables más importantes a controlar.

Antes de comprender el presente, intentemos comprender el pasado. Uno de los primeros mecanismos de control, se cree que fue un antiguo reloj de agua Ktesibios en Alejandría, Egipto. Sin embargo, se considera que el boom de los sistemas de control industrial se inicio a medidos del siglo XVIII. Fue a finales de siglo cuando realmente se avanzó en la industria y campos específicos notaron considerables mejoras. En la industria naval, por ejemplo, se permitió la construcción  de barcos más grandes gracias a la invención de los servomecanismos o servomotor. A mediados de 1950, empiezan a aparecer lo que conocemos como sistemas de control modernos. Los ingenieros se dieron cuenta de que las mediciones reales contienen errores y están contaminadas por el ruido, por lo que empezaron a aparecer nuevas formas de medir. Emergen también los PLC, o los controladores lógicos programables y términos como SCADA (Supervisory Control and Data Acquisition). Automatizar el control hizo que incrementara muchísimo la producción del sector industrial, pero de la misma forma que la tecnología y la información trae nuevas oportunidades, trae consigo también nuevos riesgos.

Los sistemas de control industrial se habían convertido en un activos muy fiables. Si bien es cierto que podían tener algún fallo interno, estaban completamente cubiertos en cuanto a los ataques externos se refiere. Sin embargo, los sistemas computacionales no son inmunes a las ciber-amenazas. La entrada del Internet en la industria, se abre un nuevo mundo para los ciberataques. Esto es una grave amenaza, que algunas empresas han sabido identificar mejor que otras, ya que se ha demostrado que un ataque de este tipo puede tener las mismas o peores consecuencias que un ataque físico. Ejemplos muy actuales demuestran la capacidad devastadora con la que cuentan. En esta imagen se muestran los 8 mayores ciberataques del 2016 según Forbes. Los sistemas de control industrial han pasado literalmente de tener cero días de ataques, a tener ataques de día cero.

A medida de que la industria avanza surgen nuevas tecnologías con las que controlar los procesos. Los sistemas de computación en la nube son cada vez más populares en el mundo de la industria, y términos como IIoT o la industria 4.0 están dejando de ser novedosos. El mundo de la industria está viviendo su cuarta revolución hacia un mundo totalmente nuevo, en el que las fábricas son más productivas, más flexibles y más eficientes. La computación en la nube ya es una realidad también en el mundo industrial. Nuevamente vuelven a surgir oportunidades y amenazas. En un mundo tan competitivo, donde se le otorga un altísimo valor a la información y el dato, ¿qué pasa cuando esos datos están en la nube? Los sistemas de control se tienen que extender mucho más allá de los límites de la organización.

Ciertamente, como con cada revolución, se plantea un futuro incierto pero ilusionante, donde se permite que el desarrollo y la innovación puedan volver a ser factores determinantes. Sin embargo, tenemos que aprender del pasado y aplicar esas lecciones al presente y al futuro. Innovación y desarrollo y control y seguridad tienen que ir de la mano. Olvidarlo es ser olvidado.

 


 

Referencias:
<<JOnline: Security of Industrial Control Systems>>, Acceso el 8 de octubre de 2017, https://www.isaca.org/Journal/archives/2010/Volume-4/Pages/JOnline-Security-of-Industrial-Control-Systems.aspx

<<Industrial Control Systems and Risks>>, Acceso el 8 de octubre de 2017, https://blogs.deusto.es/master-informatica/industrial-control-systems-and-risks/

<<Breaking Down the Risk of Industrial Control Systems Security>>, Acceso el 8 de octubre de 2017,http://www.aberdeenessentials.com/techpro-essentials/breaking-down-the-risk-of-industrial-control-systems-security/

<<Control system>>, Acceso el 8 de octubre de 2017, https://en.wikipedia.org/wiki/Control_system

<<Industrial Control Systems: A Primer for the Rest of Us>>, Acceso el 8 de octubre de 2017, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

<<An Abbreviated History of Automation & Industrial Controls Systems and Cybersecurity>>, Acceso el 10 de octubre de 2017, https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf

<<8 Major Cyber Attacks Of 2016 [Infographic]>>, Acceso el 10 de octubre de 2017, https://www.forbes.com/sites/kevinanderton/2017/03/29/8-major-cyber-attacks-of-2016-infographic/

<<Industria 4.0>>, Acceso el 10 de octubre de 2017, https://es.wikipedia.org/wiki/Industria_4.0

¿NUEVAS AMENAZAS EN SOCIAL MEDIA O NUEVAS FORMAS DE AMENAZA?

Download PDF

Me preguntaba qué tipos de riesgos acarreaba el uso de las redes sociales hace unos años y si estos habían cambiado, evolucionado o habían permanecido estables a la fecha en la que nos encontramos. En este sentido, he leído un resumen del informe publicado por ISACA en 2010 y titulado “Social Media: Business benefits with security governance and assurance perspectives”.

En aquel año ISACA citó entre los principales peligros a los virus y el malware, el secuestro de marca, la falta de control sobre el contenido, las expectativas poco realistas de los usuarios sobre la velocidad del servicio y el incumplimiento de las normas de gestión de registros de los datos. Los anteriores constituirían por tanto, el top de los cinco riesgos más importantes de las redes sociales, por aquellos años.

En esa époimagen 1 para el ultimo blogca, ISACA, recomendaba a las compañías adoptar las redes sociales aunque, al mismo tiempo, animaba a los empleados a que cobrasen conciencia de los riesgos que conlleva la utilización y el manejo de las mismas y en ese sentido animaba a la dirección empresarial a ofertar a dichos empleados, el conocimiento necesario para aplicar un uso correcto a los medios sociales. Hacía especial hincapié, por tanto, en que el malware, el daño a la marca o la pérdida de productividad podían ser algunas de las consecuencias del uso del Social Media en el lugar de trabajo y por las que los CIO deberían estar preocupados. [Read more…]