Controles en la propiedad intelectual

Download PDF

 

En el post anterior hable sobre los riesgos relacionados con la propiedad intelectual, concretamente sobre las fuentes de las que pueden surgir estos riesgos. El objetivo de este post es comentar los controles que un auditor tendría que implementar para tratar los diferentes tipos de riesgos.

Como mencionamos en el post anterior los riesgos pueden proceder de varias fuentes diferentes que suelen ser internas o externas a la organización. En función de esto aplicaremos unos controles u otros.

Entre los riesgos externos encontramos como más importantes (mayor probabilidad de que ocurran y mayor impacto para la empresa) los relacionados con temas de robo de información como puede ocurrir a través de ataques cibernéticos. Para tratar estos riesgos se recomienda usar los controles del estándar ISO 27002 [1] que se encarga de temas relacionados con la protección de datos. Algunos que podemos implementar son:

  • 10.1 Controles criptográficos: asegurar el uso apropiado y efectivo para proteger la confidencialidad, autenticación y integridad de la información.
  • 11.2.4 Mantenimiento de los equipos: asegurarse de que los equipos tienen todas las ultimas actualizaciones para evitar brechas de seguridad.
  • 12.2.1 Controles contra el código malicioso:  implementar controles para la detección, prevención y recuperación ante afectaciones de malware.
  • 13.1 Gestión de la seguridad en las redes:  implantar estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y prevención de intrusiones).
  • 13.2.1 Políticas y procedimientos de intercambio de información: Deberían existir políticas, procedimientos y controles formales de transferencia para proteger la información que viaja a través del uso de todo tipo de instalaciones de comunicación.
  • 15.1 Seguridad de la información en las relaciones con suministradores: se debe controlar el acceso de terceros a los sistemas de información de la organización.

Otro conjunto de riesgos bastante importante son los que pueden provenir de dentro de la organización. Los riesgos más comunes aquí se producen simplemente por descuido y debido a la poca educación de los propios empleados en materia de seguridad. En este caso podemos implementar los siguientes controles del ISO 27002 [1]:

 

  • 7.1.1 Investigación de antecedentes: asegurarse al contratar que la persona contratada no es un posible espía de otra organización como el caso Ferrari comentado en el post anterior. [2]
  • 7.2.2 Concienciación, educación y capacitación en seguridad de la información: es importante presentar a los trabajadores una guía de buenas prácticas que deben lleven a cabo para asegurarnos la protección de la información.
  • 9.1 Requisitos de negocio para el control de accesos: establecer políticas de acceso a la información para evitar que nadie que no deba acceda a información confidencial.
  • 11.1.2 Controles físicos de entrada: evitar que personas no autorizadas accedan a lugares de acceso restringido.
  • 11.2.9 Política de puesta de trabajo despejado y bloqueo de pantalla: evita que personas sin acceso autorizado puedan visualizar en el ordenador información confidencial cuando el responsable del ordenador no está en su puesto de trabajo.
  • 12.3 Copias de seguridad: asegurar de tener siempre disponibles copias de la información en caso de que alguien borre de forma voluntaria o por accidente información.
  • 12.6.2 Restricciones en la instalación del software: evitar que los usuarios puedan instalar software malintencionado con el que puedan robar información.
  • 13.2.4 Acuerdos de confidencialidad y secreto: firmar acuerdos de confidencialidad con los empleados para evitar que puedan divulgar en el futuro información confidencial. En caso de hacerlo se podría denunciar.

Por último siempre es importante actuar de acuerdo a lo que la ley establece. En caso de empresas internacionales será necesario cumplir con la ley vigente en cada uno de los países en los que se opera, que en temas de propiedad intelectual suele variar de unos a otros. En caso de que el país está englobado dentro de una organización superior como puede ser la UE también será necesario tener en cuenta su legislación. Para este caso se pueden implementar los siguientes controles del punto 18.1 que se encarga de cumplir con los requisitos legales:

 

  • 18.1.1 Identificación de la legislación aplicable: se deberá estar al corriente de todos los cambios que se pudieran producir en la legislación.
  • 18.1.2 Derechos de propiedad intelectual (DPI): se deberían implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar productos software originales.
  • 18.1.5 Regulación de los controles criptográficos.

Referencias:

[1]http://www.iso27000.es/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

Gestión de riesgos en propiedad intelectual

Download PDF

En este tercer post hablaré sobre los diferentes riesgos relacionados con la propiedad intelectual que pueden surgir dentro de un entorno empresarial. Un riesgo es la probabilidad de que un peligro ocurra y tengan consecuencias negativas para la organización. Para llevar a cabo una buena gestión de riesgos como auditores, es importante conocer las diferentes fuentes de las que pueden surgir para posteriormente listar una serie de riesgos potenciales y poder actuar en consecuencia para intentar evitarlos. Algunas de las fuentes más importantes a tener en cuenta a la hora de buscar riesgos son [1]:

  • Dentro de la propia organización: esta es una de las principales fuentes de riesgo. En algunos casos es debido a la falta de educación de los empleados de la empresa en cuanto a propiedad intelectual se refiere. En otros casos es debido a actos deliberados de los propios empleados. Este último caso es el más común y suele darse al abandonar un empleado la empresa. Esto es debido a que la propiedad intelectual está en muchas ocasiones en el propio conocimiento de la gente y cuando se va hay que tener en cuenta que se puede transmitir a gente externa a la organización. Si esto ocurre, se pueden tomar acciones legales como hizo Mercedes Benz hace unos años al enterarse de que un ex-ingeniero suyo estaba transmitiendo información confidencial a un equipo de la competencia que en este caso era Ferrari. [2]
  • Entidades cercanas a la organización: en este apartado están incluidas todas aquellas entidades que tienen alguna relación con la organización pero que no pertenecen a la misma. Algunos ejemplos pueden ser distribuidores, proveedor, clientes, partners o personas subcontratadas. Todas estas entidades presentan un riesgo siempre y cuando tengan a acceso a aquello que esté protegido.
  • Competidores: cualquier empresa que se encarga de manufacturar, crear y distribuir productos o servicios similares a nuestra empresa presenta un riesgo potencial. Un claro ejemplo de este tipo de riesgos está presente en la industria de los teléfonos móviles, donde hasta la simple forma de interactuar con la pantalla está protegido por patente en algunos países. Esto suele provocar múltiples demandas por infringir la propiedad intelectual entre empresas pioneras como sucedió hace unos años entre Apple y Samsung. [3]
  • “3rd parties” independientes: en este apartado se encuentran las conocidas entidades no practicantes (NPE) [4] que se dedican a amasar una gran cantidad de patentes pero no a llevar a cabo su desarrollo. El objetivo de la mayoría de estas entidades es buscar posibles infringimientos contra la propiedad intelectual y poner demandas para así poder obtener beneficios económicos. A este tipo de patentes se las conoce como “patentes troll”. [5]
  • Entidades de gobierno: es importante tener en cuenta que la ley de propiedad intelectual no es la misma en todos los países y que esta puede cambiar. Por lo tanto hay que estar al corriente de estos cambios para evitar posibles infracciones.
  • Entidades ilegales: en este apartado se encuentra principalmente la piratería y los hackers informáticos. Un hacker puede ser una persona individual, una organización criminal o incluso entidades patrocinadas por un gobiernos con el objetivo de obtener información de rivales u otros países. Es un aspecto a tener bastante en cuenta ya que en España el 32 % de las empresas admite que ha sufrido algún ataque por hackers. [6] Como piratería nos referimos a toda copia falsa de un producto que tenga derechos de propiedad intelectual. Se estima que alrededor del 8% de productos que se obtienen en el mundo son copias falsas lo que supone una pérdida estimada de unos 512 millones de dólares en pérdidas para las entidades propietarias del producto original.
  • Proveedores de servicios y soluciones IP: en muchas ocasiones las empresas deciden subcontratar empresas especializadas para llevar a cabo la gestión de su propiedad intelectual. Hay que tener en cuenta que siempre que la propiedad intelectual pasa a entidades externas supone un potencial riesgo para la empresa.

Una vez que sabemos donde buscar los riesgos, debemos hacer un listado de todos los riesgos posibles y analizarlos en función de varias variables como pueden ser:

  • Probabilidad: probabilidad de que surja el riesgo.
  • Impacto: impacto económico que tendría en la empresa en caso de que ocurra.

En función de estas variables conoceremos aquellos riesgos que debemos tener más en cuenta. Por lo general los principales riesgos suelen provenir de imitadores, piratería y sobre todo ciberataques. [7] Como muestra la siguiente encuesta realizada por ISACA, la mayoría de las empresas considera como muy probable el riesgo de un ataque cibernético. [8]

Grafico2

La misma encuesta también nos muestra la frecuencia con la que las empresas pierden activos protegidos por propiedad intelectual.

Grafico1

Por último, aunque podemos pensar que las empresas están protegidas por la ley, la realidad es que en muchos países no se lucha activamente contra estos infringimientos lo que supone un alto coste económico para la empresa.[7]

En el siguiente post os comentaré los controles que se pueden llevar a cabo para tratar los diferentes riesgos comentados previamente.

Referencias:

[1]https://www.ipeg.com/ip-risk-management-how-to-deal-with-it-part-1/

[2]https://lat.motorsport.com/f1/news/analisis-nace-un-nuevo-caso-de-spygate-en-la-f1/1594861/

[3]https://www.forbes.com/sites/connieguglielmo/2012/08/23/apple-samsung-patent-war-puts-future-of-innovation-at-risk/#6f5b250d6c76

[4]https://whatis.techtarget.com/definition/non-practicing-entity-NPE

[5]https://whatis.techtarget.com/definition/patent-troll

[6]https://www.abc.es/tecnologia/redes/abci-32-por-ciento-empresas-espanolas-admiten-haber-recibido-menos-ciberataque-ultimo-201705121805_noticia.html

[7]https://info.knowledgeleader.com/bid/164620/What-is-Intellectual-Property-Risk

[8]https://www.isaca.org/cyber/Documents/state-of-cybersecurity_res_eng_0316.pdf

Dispositivos IoT en acción

Download PDF

echodothome-100704745-largeEn agosto de este año, se publicó la ISO/IEC 30141 dedicada al Internet de las cosas (IoT). Debido al rápido crecimiento de estas tecnologías disruptivas, se vio la necesidad de un estándar que garantizase la eficiencia, seguridad y resistencia de estos dispositivos, y así conseguir maximizar los beneficios y reducir los riesgos. Ya existen varios estándares que hacen referencia a la resistencia, seguridad y protección, y este estándar proporciona la arquitectura de referencia para aplicarlos a dispositivos IoT. Esta arquitectura de referencia de IoT está estandarizada a nivel internacional. Además, utiliza un vocabulario común, diseños reutilizables y las mejores prácticas de la industria [1].

Con la cantidad de dispositivos IoT en el mercado y los escasos meses que lleva publicada la ISO/IEC 30141, no podemos esperar que desde ya todos los dispositivos IoT la adopten, pero es un primer paso para encauzar todos los dispositivos IoT en una misma dirección.

Sin ir más lejos, en mayo de este año, sucedió lo que muchos se temían. En Portland, un dispositivo Amazon Echo registro y envió una larga conversación privada. Desde Amazon se investigó y descubrieron que el dispositivo había malinterpretado la conversación regular como comandos para activar el dispositivo y enviar la conversación a uno de los contactos almacenados. Aunque se demostró que la causa había sido accidental y no malintencionada, se vio cómo reaccionarían los consumidores y los medios ante sucesos de seguridad como este. Incidentes de este tipo suponen una mancha en el expediente de cualquier dispositivo IoT, disminuyendo su popularidad y aumentando el miedo y las dudas de los consumidores.

La tendencia creciente de los dispositivos IoT implica que el rango de amenazas será cada vez mayor. La pregunta es: ¿sabremos manejarlo?

Estos dispositivos suponen además un nuevo canal de consumo. Ahora mismo, teniendo un asistente personal en casa, podemos comprar por internet a través de él. Un estudio sobre la compra por voz, comprobó que el comercio electrónico a través de asistentes domésticos digitales como Amazon Echo y Google Home en el mercado de Estados Unidos supuso $2 mil millones en 2017. Considerando que los consumidores de Estados Unidos gastaron más de $450 mil millones en compras por internet ese año, las compras a través de dispositivos IoT han tenido un comienzo modesto.

Un informe de Javelin muestra que la mayor parte de las personas que poseen un Amazon Echo u otro dispositivo IoT todavía no se sienten cómodas usándolos para realizar pagos. De los aproximadamente 165,5 millones de consumidores estadounidenses que poseen al menos un dispositivo IoT, Javelin descubrió que más de dos tercios de estos afirman que serían un tanto escépticos a la hora de realizar un pago a través de dicho dispositivo [4].

Muchos proveedores de IoT ya están pensando en cómo conseguir que las compras a través de dispositivos IoT sean experiencias satisfactorias y no problemáticas, pero no todos tienen en cuenta la cantidad de riesgos que suponen. Si esos riesgos no son atendidos por compañías interesadas en apoyar las compras a través de dispositivos IoT, la escala potencial del comercio conectado podría resultar en un aumento del fraude de la tarjeta no presente. Además de la pérdida financiera que puede suponer para las empresas, una atención insuficiente a la seguridad también podría llevar a otros incidentes como el que comentábamos de Amazon Echo.

Una de las razones por las que ha aumentado el comercio electrónico es que tanto los PC’s como lossmartphonesproporcionan plataformas de comunicación bidireccional, lo que ha permitido una captura de datos del cliente que ha dado lugar a experiencias de compra mucho más personalizadas. Los dispositivos IoT también recogen datos, tanto que impulsará, casi en su totalidad, la cantidad de datos producidos cada año, aumentando de 218 ZB (un ZB es un billón de GB) en 2016 a 874 ZB para 2021, según Cisco [3]. Las empresas deberían estar preparándose para procesar y almacenar la cantidad de datos que se recuperarán usando estos dispositivos.

Hoy hay 18 mil millones de dispositivos conectados, para 2025 se predice que llegarán a 70 mil millones, lo que significa entre 10 y 20 dispositivos conectados por hogar, ya sean smartphones, ordenadores, asistentes, botones, frigoríficos, etc. Esto significa que aumenta la facilidad con la que un malware como Mirai, del que ya hemos hablado, puede encontrar dispositivos desprotegidos y convertirlos en una botnet muy potente. No creo que a Amazon le gustase que su página web se cayera durante el Black Fridayo el Cyber Monday.

Además de los ataques DDoS, los delincuentes cibernéticos pueden utilizar dispositivos IoT para actividades como la falsificación de ubicación geográfica, la instalación deransomware, la realización de pedidos fraudulentos o la participación en el fraude de adquisición de cuentas. Aceptar pedidos desde dispositivos de IoT será una parte importante para generar más ingresos en el futuro, por lo que bloquear todas las transacciones de dispositivos de IoT no es una estrategia antifraude válida para el futuro [2].

¿Están preparándose realmente las empresas para la llegada de todos estos sucesos? ¿Las posibilidades de fallo de los dispositivos y sus consecuencias publicas? ¿La llegada de cantidades ingentes  de datos? ¿La seguridad tanto en sus dispositivos IoT como en sus servicios?

 

Referencias:

[1] Reference framework for the Internet of Things – Clare Naden, 26-10-2018 https://www.iso.org/news/ref2340.html?utm_medium=email&utm_campaign=ISO%20Newsletter%20November%202018&utm_content=ISO%20Newsletter%20November%202018+CID_149acce897bf37aac32d61095d4d3f43&utm_source=Email%20marketing%20software&utm_term=Read%20more

[2] The Winding Road Toward IoT Commerce: Considering the Opportunities and Risks of Selling Through Connected Devices – CNP y Radial, 2018 https://www.radial.com/sites/default/files/CNP-Radial-White-Paper-IoT-Commerce.pdf

[3] Cisco Global Cloud Index – Cisco, 02-2018

[4] Securing Emerging Channels: Virtual Assistants, The Internet of Things, and Beyond – Javelin Strategy & Research, 07-2018 https://www.javelinstrategy.com/coverage-area/securing-emerging-channels-virtual-assistants-internet-things-and-beyond

 

 

Gestión de riesgos en la identidad digital

Download PDF

La probabilidad de que ocurra un contratiempo o de que alguien o algo sufra algún tipo de perjuicio o daño es algo inevitable. Esta ineludible posibilidad se denomina “riesgo”. Una vez comprendemos que el riesgo 0 es imposible, nuestra labor es tratar de reducir la probabilidad de que el contratiempo ocurra, disminuir sus efectos y saber qué hacer en caso de que pase. Y es de esto de lo que voy a hablar en este tercer post, dentro de la secuencia que estoy realizando sobre la identidad digital.

Primero de todo, mencionar que se debe actuar sobre 3 elementos diferentes a la hora de gestionar una buena reputación online y son los siguientes: el contenido online que yo genero, el contenido que se genera sobre nosotros por parte de terceros y el contenido que se genera en el marco de las relaciones con los demás.

Otra cosa que debemos tener en cuenta es que la identidad es contextual. Esto significa que puede generar un impacto negativo si se emplea en un contexto erróneo. Es por ello que mantener las identidades analógica y digital separadas entre sí es positivo [1].
Captura

Es el momento de volver a mencionar conceptos previamente citados en la introducción realizada en el primer post sobre Identidad Digital, pero esta vez explicando a fondo dichos riesgos.

  1. Suplantación de identidad digital. Esto ocurre cuando una persona se hace pasar por otra con el fin de obtener un beneficio [2]. Una posible aplicación de este hecho delictivo podría ser que alguien se hiciera pasar por la organización COMIDA y que bombardeara a clientes habituales de esta empresa por email o RRSS. Estos emails o mensajes pedirán al cliente que done una cantidad simbólica a un número de cuenta determinado para colaborar con un comedor social. De esta forma, la entidad COMIDA se vería afectada a pesar de posiblemente no ser consciente del suceso.
  2. Utilización de derechos de propiedad industrial por terceros no autorizados. Los derechos de propiedad industrial tienen una doble dimensión; permitir a su propietario su utilización e impedir a terceros usarlo. Si se infringe esto por un tercero, la entidad propietaria se convierte en víctima y deben denunciar a las autoridades. Esto puede ser cometido debido a la falsa sensación de que en Internet “todo vale” o por terceros malintencionados para divulgar elementos del negocio como patentes o secretos industriales.
  3. Amenazas a la reputación online. Esta amenaza se refiere a las acciones que pueden crear una opinión negativa en el target sobre una determinada organización o persona. Esto puede ser producido por diferentes entes:
    1. Por la empresa o persona en sí.
    2. Por terceros que publican información del sujeto.
    3. Por los internautas con los que nos relacionamos.

Estos tres puntos son los que he mencionado anteriormente que se debe actuar para lograr una buena reputación online, pero que también pueden hacernos lograr justo lo opuesto.

  • Registro abusivo del nombre de dominio. Hoy en día, la mayoría de las empresas cuenta con una página web. Esta página suele tener como nombre el de la marca en sí o el de sus productos. De esta forma, los usuarios pueden identificar de forma rápida la organización detrás de la página web. El problema está en que no existe ningún control a la hora de registrar el nombre del dominio. Por lo tanto, terceros pueden registrar de manera malintencionada nombres de dominio que coincidan con entidades reconocidas para confundir a los internautas. Esto se conoce como cybersquatting en el caso de que se extorsiona a la entidad target para vender el dominio por un valor mayor al real. Si el objetivo es que los usuarios entren por escribir mal el dominio (como por ejemplo, “facebok” en lugar de “facebook”) se denomina typosquatting. Este último ataque se realiza como base de phising.
  • Fuga de información. La imagen de una organización puede verse comprometida debido a una fuga de contenido sensible. El objetivo principal de esta práctica por parte del atacante suele ser extorsionar a la entidad. El origen de esta dañina fuga puede ser interno (insider threats) o externo (mediante malware o técnicas como la mencionada y popular phising) [3].
  • [Read more…]

    Importancia de la identidad digital en el ámbito empresarial

    Download PDF

    unboundid-digital-identity

    En este segundo post me centraré en analizar la importancia que tiene la identidad digital en el mundo empresarial. Para ello, haré referencia a noticias y artículos que ratifiquen que el tema en cuestión es de plena actualidad.

    Lo primero de todo, destacar la importancia que tienen hoy en día los datos. Estamos siendo bombardeados diariamente por términos como Big Data o IoT y esto se debe a que las empresas están comprendiendo el valor que tiene el uso de los datos. En el ámbito empresarial, los datos personales son considerados el nuevo petróleo [1]. Esto se debe a que los datos son cruciales en cualquier organización y su gestión un quebradero de cabeza para quienes tratan de garantizar la seguridad.

    Precisamente hoy, 12 de noviembre, aparece una noticia en El Correo que bajo el título “Uno de cada dos robos de datos es mediante suplantación de identidad” nos muestra que el phising sigue siendo hoy la modalidad de ataque más sencilla y preferida por los atacantes. Mandando un email a la víctima que simula ser de su banco, pide sus credenciales y terminan apropiándose de su identidad digital. Es importante la concienciación de los trabajadores para evitar esta práctica pero también tomar acciones por parte de la empresa como configurarlos sistemas de red de manera robusta. Esto evita que los atacantes puedan obtener direcciones de correo electrónico e, incluso, nombres de usuarios [2].

    [Read more…]

    Los riesgos del Internet de las cosas

    Download PDF

    ciberseguridad¿Sabemos cómo nos pueden hackear? ¿Somos conscientes de todos y cada uno de los dispositivos que tenemos conectados a internet? Una encuesta de seguridad ForeScout IoT declaró que “los encuestados, que inicialmente pensaban que no tenían dispositivos IoT en sus redes, en realidad tenían ocho tipos de dispositivos IoT (cuando se les pidió que eligieran de una lista de dispositivos) y sólo el 44% de ellos tenían una política de seguridad conocida para IoT” [1].

    El 21 octubre de 2016, se produjo un ciberataque que dejó sin servicio a Dyn, proveedor de DNS, y como consecuencia a decenas de servicios, webs y redes sociales como Twitter, Amazon, Spotify, etc. Este fue un ataque DDoS, ataque de negación de servicio distribuido, que se produjo gracias al malware Mirai. Este malware está publicado como software libre, es decir, cualquier persona sin grandes conocimientos informáticos puede descargarlo y utilizarlo para dirigir ataques de este tipo. Este ataque en concreto, fue posible porque había vulnerabilidades en los dispositivos conectados a internet, en concreto, en routers y cámaras de vigilancia [2].

    Un informe de julio de 2014 sobre la seguridad de los dispositivos IoT de HP encontró 25 vulnerabilidades de media por dispositivo. Por ejemplo, el 80% de los dispositivos no requieren contraseñas suficientemente complejas y largas, el 70% no cifra las comunicaciones de tráfico locales y remotas, y el 60% contenía interfaces de usuario vulnerables y/o firmware vulnerable [3].

    Seguro que hay muchas personas que, en su día, conectaron la impresora que tienen en casa a internet y en este momento están imprimiendo algo sin darse cuenta de que está conectada realmente. Ahora, imagina que esto pasa en una empresa cualquiera, puede que, hasta una empresa de tecnología. Un dispositivo conectado a la red de tu empresa sin cortafuegos. Seguro que a los ordenadores de la empresa si se les ha puesto un antivirus. Entonces, ¿por qué a la impresora no se le ha puesto o no se le ha actualizado? Simplemente no le damos importancia. ¿Qué mal puede hacer una impresora conectada a internet? Una impresora solo imprime, ¿no?

    Pues no os digo nada, si ahora conectamos absolutamente todo a internet y el proveedor de IoT no genera actualizaciones de su software de seguridad. En cualquier momento un malware como Mirai puede aprovechar una vulnerabilidad y acceder a esa impresora, proyector, cámara, botón, zapatillas, paraguas, etc. que tenemos conectado a internet.

    Otra pregunta, ¿has cambiado la contraseña por defecto del router que te facilitó tu compañía de teléfono? Parece que las contraseñas por defecto son lo suficientemente seguras, pero la gran mayoría no lo son. Si queremos tener una contraseña segura, debe tener al menos 8 dígitos, compuestos por mayúsculas, minúsculas, números y caracteres especiales. No tendría ni que recordar, que no debemos usar la misma en varios sitios, ni tenerla apuntada en un post it pegado al ordenador. Si alguna de tus contraseñas no cumple alguno de estos requisitos, ya puedes estar pensando en cambiarla y si crees que no te vas a acordar de una contraseña así, ya te puedes descargar un gestor de contraseñas. Si no lo haces, estás dejando una vulnerabilidad en tu red.

    Estos son los principales riesgos de los dispositivos IoT, que prácticamente los podemos agrupar todos en un gran riesgo importantísimo: ciberseguridad. Si ni siquiera sabemos qué dispositivos tenemos en nuestra casa o en nuestra oficina conectados a internet, cómo vamos a acordarnos de actualizarlos o cambiar su contraseña para evitar un ciberataque.

    Aun así, esto no es todo. En la Unión Europea está prohibido que los artículos tengan activado el RFID (identificador por radiofrecuencia) una vez salen de la tienda. Es decir, se desactiva cuando el cliente compra el artículo. Pero, ¿si no lo desactivaran? Cualquiera con una antena podría saber que lleva encima todo el que pase por delante.

    Empresas como Google, quieren que sus asistentes personales estén escuchando 24h, no solo cuando tú los actives. Es decir, que si estás hablando con un amigo de hace cuanto no comes pizza, te puede preguntar de inmediato si quieres que pida una pizza para cenar. Pero, ¿si escuchase otro tipo de conversación?

    Los dispositivos IoT suponen un riesgo para la privacidad. Todavía no está claro dónde está la línea hasta la que puede llegar la funcionalidad y accesibilidad sin atacar a la privacidad de sus consumidores. Los datos cada vez están más cotizados, las empresas quieren saber cosas de nosotros para mejorar sus servicios, por eso nos piden permisos e información. Pero una vez que todas las cosas conectadas a internet emitan información sobre nosotros, ¿dónde estará el límite? Y, aunque nosotros demos el permiso y facilitemos la información necesaria, ¿esa información queda de forma segura entre el cliente y la empresa?

     

    Referencias:

    [1] IoT Needs Better Security – ISACA Journal Volume 3, 2017 https://www.isaca.org/Journal/archives/2017/Volume-3/Pages/iot-needs-better-security.aspx

    [2] Mucientes, E. (2016). Así se gestó el ciberataque más grave de los últimos 10 años. El Mundo. https://www.elmundo.es/tecnologia/2016/10/22/580b10e5268e3e06158b45e0.html

    [3] Bertino, E., & Islam, N. (2017). Botnets and Internet of Things Security. Computer, 50(2), 76-79.

     

    Una vista global a los sistemas de control industrial

    Download PDF

    Desde que yo tengo uso de razón el ser humano siempre ha sentido la necesidad de controlar cada aspecto que influye en su vida. Este control nos hace sentir reconfortados y cómodos sabiendo que todo lo que sucede, es tal y como habíamos previsto. Por lo que si decimos que lo mejor es tener bajo control cualquier decisión que tomamos o cualquier acción que realizamos en nuestra propia vida, también deberemos de controlar cada proceso dentro del sector industrial. De esta manera al igual que con nuestras decisiones o acciones sabremos si lo que estamos produciendo es lo que inicialmente habíamos planeado. Por lo que se podría resaltar que el control dentro de la industria, sobre los procesos de producción, aporta un grado seguridad y confort a las empresas, ya que conocen el estado de su producto en todo momento.
    Dicho todo lo anterior, los sistemas de control industrial (SCI) de podrían describir como un conjunto de dispositivos encargados de administrar, ordenar, dirigir o regular el comportamiento de otro sistema, a fin de reducir las probabilidades de fallo y obtener los resultados deseados. En pocas palabras, nos permiten conocer el estado de nuestro producto en cada fase del proceso y poder verificar si es el esperado. Normalmente los SCI se utilizan para controlar equipos o maquinas. Para comprender mejor donde se integran los SCI dentro del proceso de fabricación de una fábrica he decidido mostrar la siguiente imagen donde creo que se refleja muy bien su función:

    sistemaDeControlIndustrial

    Como se puede ver en el esquema el SCI se encarga de dar órdenes a la planta para que ejecute ciertas tareas y que al mismo tiempo recibe información de la planta para asegurar que todo se encuentra de los parámetros especificados. Por supuesto todo esto siempre debe estar supervisado por un operario.

    Además el termino SCI engloba diferentes tipos de sistemas de control entre los que podemos encontrar incluyendo sistemas de control de supervisión y de adquisición de datos (SCADA), sistemas de control distribuido (SCD), y otras configuraciones de sistemas de control, tales como controladores lógicos programables o autómatas programables (PLC). Esto lo definió el Instituto Nacional de Estándares Y Tecnologías de Estados Unidos en el año 2008.

    Los SCI han existido en la industria desde hace mucho tiempo y no suponían ningún riesgo para la empresa. Sin embargo, con el avance de la tecnología llego la cuarta revolución industrial o Industria 4.0, donde se demandaban que estos sistemas estuvieran interconectados. El principal problema es que nunca se diseñaron para estar conectados a la red, por lo que nunca se tuvo en cuenta la posibilidad de que sufriesen ningún tipo de ciberataque. Por este motivo requiere que se doten de robustos sistemas de seguridad ya que proporcionan servicios básicos.

    Como en la mayoría de casos en un principio ni se consideraba asegurar robustamente estos sistemas contra ataques de terceros, pero como en la mayoría de ocasiones siempre es necesario que ocurra una catástrofe para que percibamos la necesidad de protegernos contra amenazas, y eso es exactamente lo que ocurrió con la aparición de malware como Stuxnet, Duqu y Flame que atacaban SCI.

    El tema de la seguridad en los SCI es algo crítico y de vital importancia, ya que realizan funciones vitales dentro de la fábrica pero son muy vulnerables contra ataques. Por eso podemos si acudimos a cualquier navegador y realizamos una búsqueda a cerca de este tema  podremos encontrar numerosos artículos, muchos de ellos de ISACA. Lo que quiero decir es que la seguridad de estos sismes es un tema que está a la orden del día y que preocupa a las empresas. Volveremos a este tema de la seguridad en los SCI cunado analícelos los riesgos de estos en futuros posts.

    En pocas palabras los SCI son imprescindibles en todo proceso de fabricación para lograr productos de calidad y evitar errores críticos. Son sistemas vitales dentro de una fábrica pero también muy vulnerables a ataques que comprometan su correcto funcionamiento. Por ese motivo deben estar blindados contra cualquier tipo de amenaza por pequeña que esta sea, sin embargo esto no siempre resulta sencillo y es un tema que preocupa bastante a las empresas.

    Si me tuviese que quedar con una cosa que me ha llamado especialmente la atención es el por qué existe esta falta de seguridad en unos sistemas tan críticos en el proceso de fabricación. ¿Se podría haber evitado esta situación si se hubiese estudiado mejor como afectaría la tecnología a la industria?, en cualquier caso ya no es posible regresar al pasado y corregir los errores, pero si es necesario actuar y estar preparado para cualquier problema que pueda surgir en el futuro.

    Referencias:

    ISACA. <<Industrial Control Systems: A Primer for the Rest of US>>. Acceso 17 de octubre de 2018. http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/industrial-control-systems-a-primer-for-the-rest-of-us.aspx

    Monografias. <<Automatismos y control. Sistemas básicos de control industrial>>. Acceso 17 de octubre de 2018. https://www.monografias.com/trabajos101/automatismos-y-control-sistemas-basicos-control-industrial/automatismos-y-control-sistemas-basicos-control-industrial.shtml

    Wikipedia. <<Sistema de control>>.Acceso 17 de octubre de 2018. https://es.wikipedia.org/wiki/Sistema_de_control

    IEEE Xplore. <<Improving cybersecurity for Industrial Control Systems>>. Acceso 17 de octubre de 2018. https://ieeexplore.ieee.org/document/7744960

    Riesgos de la identidad digital

    Download PDF

    La Real Academia Española (RAE) define “identidad” como el “conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás” [1]. La necesidad de demostrar nuestra identidad es algo a lo que estamos acostumbrados, por ejemplo, cuando queremos depositar nuestro voto en una urna o hasta para comprar una bebida alcohólica en un establecimiento y demostrar nuestra mayoría de edad. El Documento Nacional de Identidad (DNI) actúa como “llave” o estándar de confianza para verificar que somos quien decimos ser. La identidad, además de ser algo básico, es un derecho contemplado en la Convención sobre los Derechos del Niño, más concretamente en el Artículo 8 donde los Estados Partes “se comprometen a respetar el derecho del niño a preservar su identidad…”[2].

    Ahora bien, el tema que voy a tratar en este y los próximos posts va a ser la identidad digital y los riesgos que esta conlleva. Pero, ¿qué es la identidad digital? Este término se utiliza para referirse a todo lo que se manifiesta en el ciberespacio sobre un individuo u organización. Todas las actuaciones dentro del entorno digital (imágenes, comentarios, links visitados, etc.) conforman la denominada identidad o perfil digital [3].

    A nivel personal y de manera general, los seres humanos tendemos al positivismo y a tratar de mostrar lo mejor de nosotros. La repercusión de esto con las redes sociales y la era digital crece de forma exponencial al mostrar nuestra información a más gente de la que a priori podemos pensar. Hoy en día publicamos prácticamente todo lo que hacemos y realizando una sencilla búsqueda en google se puede crear un perfil tipo de cualquier persona; tenemos en nuestro perfil de LinkedIn nuestra cara más profesional, con nuestra formación y experiencia laboral, usamos Instagram para mostrar nuestros viajes y pasión por la fotografía, en Facebook aglutinamos como “amigos” a todo aquel que pase por nuestra vida, Twitter nos sirve para desahogarnos y en YouTube vemos a nuestros cantantes favoritos o aprendemos cómo hacer el nudo de una corbata. Todo lo que realizamos en la red deja una huella imborrable que nos perseguirá de por vida y que, como mucho, podremos eliminar de los buscadores ejerciendo el polémico “derecho al olvido”.

    El problema existente con la identidad digital a nivel personal no es que la gente comparta lo “mona” que puede parecer su tortuga nadando en la bañera, sino que hay otro tipo de perfiles en la red cuyos fines no son otros que realizar actos ilegales. Estos actos incluyen, por ejemplo, el ciberacoso y engloba otros como el grooming, sextorsión, sexting o hasta cyberbullying. Las infracciones con fines sexuales están regulados en el Código Penal en España desde 2013 con penas de entre seis meses a cuatro años de prisión en caso de que se atente contra la integridad sexual de un menor[4]. Otro delito común en la red es la suplantación de identidad, es decir, cuando una persona se hace pasar por otra con el fin de obtener un beneficio[5]. Esta práctica es muy común debido a lo accesible que están hoy en día los contenidos en la red. La identidad personal digital es tan importante como la física y debemos de prestar especial atención y denunciar en caso de que se infrinja la ley.

    La evidente necesidad de identificarte en los diferentes servicios web se logra generalmente mediante el tradicional alias y contraseña. Según una encuesta realizada por Accenture a 24.000 consumidores de 24 países, el 60% de los internautas considera que el método usuario clave es incómodo y molesto[6]. En los últimos años se han dado pasos en este ámbito desarrollando diferentes maneras de iniciar sesión usando incluso, contraseñas biométricas, pero la seguridad de dicho sistema menoscaba la comodidad del mismo.

    Dejando de lado la identidad personal en el ámbito digital, los próximos posts girarán en torno al riesgo de la identidad digital en el ámbito empresarial. De la misma manera que los individuos, las organizaciones deben también proteger su identidad para evitar problemas mayores y salvaguardar la reputación de la entidad. Analizaré las evidencias de la relevancia que tiene este aspecto en la industria y hablaré de los controles y la forma de auditar en torno a la identidad digital.

     


    [1] “Diccionario de la lengua española”, acceso el 22 de octubre de 2018. http://dle.rae.es/srv/search?m=30&w=identidad

    [2] “Convención sobre los Derechos del Niño”, acceso el 22 de octubre de 2018. http://www.un.org/es/events/childrenday/pdf/derechos.pdf

    [3] Avendaño, Eduardo, David Pérez Lázaro, and Bárbara Queizán. 2016. MEDIOS DE PAGO, SEGURIDAD E IDENTIDAD DIGITAL. Papeles de Economía Española., https://search-proquest-com.proxy-oceano.deusto.es/docview/1920753615?accountid=14529 (acceso el 22 de octubre de 2018).

    [4] “Ciberacoso, código penal y leyes al acoso”, acceso el 22 de octubre de 2018. https://ciberintocables.com/ciberacoso-codigo-penal/ 

    [5] “El delito de suplantación de identidad”, acceso el 22 de octubre de 2018. https://juiciopenal.com/delitos/suplantacion/delito-suplantacion-identidad/

    [6] “Los consumidores proclives a alternativas a contraseñas”, acceso el 22 de octubre de 2018. https://www.accenture.com/es-es/company-alternativas-a-contrasena

    La revolución de los Smart Contracts

    Download PDF

    En el presente post voy a tratar un tema que hasta el momento no lo he mencionado debido a que lo estaba reservando para el último post. Se trata de los famosos “smart contract”.

    Para entender un smart contract primero hemos de recordar que significa un contrato. Un contrato no es más que un acuerdo entre dos o más partes, un entorno donde se define lo que se puede hacer, cómo se puede hacer, qué pasa si algo no se hace… Es decir, unas reglas de juego que permite, a todas las partes que lo aceptan, entender en qué va a consistir la interacción que van a realizar.

    Hasta ahora los contratos han sido documentos verbales o caros documentos escritos, sujetos a las leyes y jurisdicciones territoriales, y en ocasiones requiriendo de notarios, es decir, más costes y tiempo. Algo no accesible para cualquier persona. Y esto no es lo peor, los contenidos de los contratos pueden estar sujetos a la interpretación.

    En cambio un contrato inteligente es capaz de ejecutarse What_are_Smart_Contractsy hacerse cumplir por sí mismo, de manera autónoma y automática, sin intermediarios ni mediadores. Evitan el lastre de la interpretación al no ser verbal o escrito en los lenguajes que hablamos. Los smart contracts son “scripts”, siendo los términos del contrato puras sentencias ycomandos en el código que lo forma.

    Por otro lado, un smart contract puede ser creado y llamado por personas físicas y/o jurídicas, pero también por máquinas u otros programas que funcionan de manera autónoma. Un smart contract tiene validez, sin depender de autoridades, debido a su naturaleza: es un código visible por todos y que no se puede cambiar al existir sobre la tecnología blockchain, la cual le da ese carácter descentralizado, inmutable y transparente.

    Si juntamos los principios de un smart contract con la creatividad de muchos desarrolladores del planeta, el resultado son posibilidades jamás vistas, accesibles para todos y a costes que rozan la gratuidad.

    Imagina un coche Tesla auto-conducido, comprado en grupo, capaz de autogestionarse y alquilarse por sí solo pero sin una compañía tipo Uber detrás llevándose el 10%. Bienvenido al mundo de los contratos inteligentes.

    Según Deloitte, tal y como indica en su artículo “getting smart about smart contracts” [1], los smart contract aportan numerosos beneficios en comparación con las metodologías utilizadas hasta el momento. Pero, de entre todos los beneficios destaca los siguientes:

    Actualizaciones en tiempo real Debido a que los contratos inteligentes usan software para automatizar tareas que normalmente se realizan a través de medios manuales, pueden aumentar la velocidad de una amplia variedad de procesos comerciales.
    Mayor precisión Las transacciones automatizadas no solo son más rápidas, sino que son menos propensas a errores manuales.
    Menor riesgo de ejecución El proceso de ejecución descentralizado elimina virtualmente el riesgo de manipulación, incumplimiento o errores, ya que la ejecución de la gestión se realiza automáticamente por la red en lugar de forma individual.
    Menor costo Los nuevos procesos habilitados por los contratos inteligentes requieren menos intervención humana y menos intermediarios y, por lo tanto, reducirán los costos.
    Menos intermediarios Los contratos inteligentes pueden reducir o eliminar la dependencia de terceros intermediarios que brindan servicios de “confianza”, como el depósito en garantía entre contrapartes.

     

    Una vez explicados los smart contracts voy a comentar un caso de auditoría. Un caso de auditoría de smart contract. Pero antes, os dejo un video corto que explica que es y cómo funciona un smart contract, para todos aquellos que no lo hayáis acabado de entender.

     

     

    He encontrado un artículo de Merunas Grincalaitis, experto en Ethereum (una criptomoneda basada en la tecnología blockchain). Que tras centrar sus esfuerzos en aprender todo lo posible sobre auditar smart contracts con el fin de encontrar brechas de seguridad, nos expone los pasos a seguir si queremos auditar un smart contract.
    Según Merunas Grincalaitis, el resultado de dicha auditoría constara de los siguientes puntos:

    -Liberación de responsabilidad: Aquí se expone que la auditoría no es un documento legalmente vinculante y que no garantiza nada.

    -Descripción general de la auditoría y buenas características: Una vista rápida del contrato inteligente que se auditará y buenas prácticas encontradas.

    -Ataques realizados al contrato: En esta sección hablará sobre los ataques realizados al contrato y los resultados. Solo para verificar que es seguro.

    -Vulnerabilidades críticas encontradas en el contrato: Problemas críticos que podrían dañar gravemente la integridad del contrato.

    -Vulnerabilidades de media gravedad encontradas en el contrato: Aquellas vulnerabilidades que podrían dañar el contrato pero con algún tipo de limitación. Como un error que permite a las personas modificar una variable aleatoria.

    -Vulnerabilidades de baja gravedad encontradas  en el contrato: Esos son los problemas que realmente no dañan el contrato y podrían existir en la versión implementada del contrato.

    -Comentarios línea por línea: En esta sección analizará las líneas más importantes en las que verá posibles mejoras.

    -Resumen de la auditoría: Su opinión sobre el contrato y las conclusiones finales sobre la auditoría.

    Para interesados, en el siguiente link pone en práctica lo comentado [2], en el que audita un smart contract de un casino de Ethereum. El código del smart contract ,o podéis encontrar en  su Github.

    Dejando a un lado a Merunas Grincalaitis, me gustaría destacar la plataforma Solidified. Una plataforma para la revisión colectiva de contratos inteligentes, en la que cualquier desarrollador puede presentar su contrato para una revisión exhaustiva de la calidad con nuestra gran red de expertos de blockchain verificados. [5]

    Donde funcionan de las siguiente manera:

    spu-ea68c8-ogi2-3cwn3bmfojjlb56e2

    En conclusión, los smart contracts son otra consecuencia del blockchain. Una consecuencia que viene para quedarse y que, sin duda alguna, va a revolucionar el mundo. Porque, cuando los smart contracts estén estandarizados, ¿vamos a necesitar notarios? o ¿por qué un persona física que traba en un banco va a tener acceso a todos nuestros datos personales si solicitamos un préstamos? Con un smart contrat este proceso sería  automático y sin violar nuestra intimidad. El susodicho banco debería estipular unas condiciones (un mínimo de X€ ahorrado, una nómina con Y€ como mínimo…) y simplemente debe saber si el cliente lo cumple, no necesita saber si tienes una nómina de 25.000€ o de 100.00€. Y como estos dos ejemplos, me vienen miles a la cabeza…

     

     


     

    Referencias:

    [1]: Getting smart about smart contracts, Deloitte (junio 2016) https://www2.deloitte.com/content/dam/Deloitte/us/Documents/finance/us-cfo-insights-getting-smart-contracts.pdf

    [2]: how to audit a smart contract, por  meruna sgrincalaitis, visto el 25/11/2017, https://medium.com/@merunasgrincalaitis/how-to-audit-a-smart-contract-most-dangerous-attacks-in-solidity-ae402a7e7868

    [3]: Github.com, visto el 25/11/2017, https://github.com/merlox/casino-ethereum

    [4]: solidified.io, visto el 25/11/2017, https://www.solidified.io/

    PayPal: ¿Tiene la suficiente seguridad como para que nuestra información esté a salvo?

    Download PDF

    paypal_paymentPayPal es una empresa estadounidense perteneciente al sector del comercio electrónico, que permite realizar pagos en sitios web o transferir dinero entre usuarios de la plataforma mediante el correo electrónico. Paypal, a pesar de operar con dinero, no se considera una entidad financiera, aunque sí tiene que cumplir una serie de normas para regular las transferencias de dinero. Una de sus mayores ventajas es la protección que brinda al comprador, cuando éste no ha recibido el producto pagado, o no se corresponde con su descripción. El negocio de la compañía se centra en las comisiones que cobra por cada transacción, aproximadamente entre el 1,9% y 3,4% de la operación.

    Sin embargo, al ser una plataforma de pagos y transferencias online, pronto aparecieron los hackers tratando de buscar las vulnerabilidades del sistema, y lo consiguieron, eludiendo el mecanismo de autenticación, lo que les permitía realizar pagos desde las cuentas de los usuarios, evidentemente sin su consentimiento.

    En 2014, la consultora de seguridad Duo Security fue la encargada de detectar esta brecha en el sistema, como comenta en su blog oficial. La vulnerabilidad se encontraba en el proceso de autenticación que ofrece PayPal en su API para los servicios web. Esta API pueden utilizarla terceras partes para realizar la autenticación a través de PayPal. [Read more…]