fbpx

¿Qué es el hacking ético y por qué es tan importante estos días?

hacker-with-anonymous-mask

Seguramente si usted piensa en un “hacker” piensa en alguien que es malo, como un delincuente. Y puede que tenga razón, sin embargo, existen los “hackers buenos”, o en este caso el hacking ético.

 

El hacking es una disciplina que se encarga de entender cómo funcionan las cosas, es decir, hasta el más mínimo detalle, esto para poder manipular, modificar o crear nuevas cosas a partir de lo estudiado para obtener una meta o lograr un objetivo. En este caso el hacking es utilizado por los criminales para obtener información sensible o para obtener beneficios económicos, o simplemente por intereses propios.

 

Seguramente usted piensa que la única manera de detener los ataques hacia su empresa, es mediante la implementación de políticas y controles, así como de diferentes tecnologías que le hagan pensar que se encuentra protegido. Sin embargo, esto no es del todo cierto, ya que, con el paso de los años, los expertos han coincidido en una cosa, que no es suficiente con tener buenas políticas y tecnologías si no se es consciente de los verdaderos peligros que suponen un ataque real y, sobre todo, planificado hacia su compañía.

 

Porque así es, los ataques actuales son mucho más especializados, ya que consisten en una serie de técnicas que le permiten a un atacante descubrir y planificar de mayor medida un ataque hacia una empresa, aprovechándose de su gente, su infraestructura y sus tecnologías.

 

Es aquí donde entra el hacking ético, que consiste en simular un ataque real hacia una empresa, llevado a cabo por uno o varios expertos en ciberseguridad, con el único propósito de revelar aquellas vulnerabilidades o puntos más débiles dentro de una organización, para que éstos sean del conocimiento de la empresa y que puedan ser solucionados lo más pronto posible y de la mejor manera.

 

Puede que este trabajo sea realizado con el consentimiento y conocimiento de la empresa, sin embargo, el hacking ético también incluye a esas personas que vulneran un sistema sin que la empresa lo sepa, y puede que se vea como un ataque real para ellos, pero este hackeo ético no inflige ningún daño a la empresa, ni divulga la información que se pueda obtener, únicamente notifica a la empresa del problema y les expone las causas y posibles soluciones.

 

Es por ello que el hacking ético abarca todos aquellos escenarios en los que una persona o grupos de personas simulan ser atacantes reales, pero utilizando técnicas, métodos y metodologías que los atacantes utilizan, para obtener resultados reales y que tengan impacto económico o social en una empresa, a fin de tener conciencia de aquellas vulnerabilidades y poder remediarlas o eliminarlas.

 

¿Por qué es necesario hoy más que nunca contar con este tipo de servicios?

Como ya se mencionó, aporta un panorama más real a su empresa, haciéndolo consciente de los riesgos, sobre todo económicos, que corre. Además de que incrementa el nivel de confianza en el sector y con los clientes, al realizar este tipo de servicios de manera continua, ya que, combinado con otros servicios, le permite saber de manera eficiente cuál es su nivel de madurez en temas de seguridad informática.

 

Además, de acuerdo con estudios realizados por consultoras internacionales, el aumento de ataques informáticos en el último año derivado de la pandemia, ha sido de un 51% comparado con el 2019. Todo esto debido a la exigencia que nos “obliga” a trabajar de manera remota, y en el que todas las operaciones se realizan de manera digital y mediante el uso de Internet. Es por ello que los ataques informáticos han aumentado, pero, para algunas empresas, su seguridad no lo ha hecho. Entonces tenemos una grave disparidad, en la que los ataques son mayores, pero los esfuerzos y la capacidad para prevenir o para responder a aquellos ataques no lo ha hecho.

 

Así que es sumamente importante tener en cuenta, que el hacking ético es muy importante, no sólo para conocer las vulnerabilidades de nuestra empresa, sino también para poder crecer y evolucionar día a día, algo que actualmente, es más indispensable que nunca.

 

En ID SEC Group contamos con diferentes servicios orientados para ayudar a las empresas a identificar y probar vulnerabilidades informáticas mediante los servicios de análisis de vulnerabilidades, análisis de código y análisis de configuración en hardware de propósito especifico (por ejemplo firewall); pero también dichas vulnerabilidades las probamos para saber si alguna de ellas realmente tiene un vector real que pueda ser aprovechado por un atacante mediante nuestro servicio de pruebas de penetración y pruebas de código (SAST, DAST, IAST y RASP).

 

 

¿Qué es TISAX en el sector automovilístico?

Recurso 1@4x

Las empresas líderes en su respectivo sector no lo son únicamente por sus avances tecnológicos, ingenieros o científicos, sino porque comprenden e implementan las medidas, controles y políticas de seguridad de la información necesarias para no sólo proteger su propia información confidencial, sino también la de sus clientes y todas las terceras partes involucradas en los procesos de desarrollo, fabricación y comercialización.

 

Es por ello que, sobre todo en momentos como este en el que casi toda la información se encuentra digitalizada, es necesario contar con las certificaciones adecuadas para generar confianza y seguridad en todos los niveles.

 

¿Qué es TISAX?

Trusted Information Security Assessment Exchange (TISAX) es una plataforma de carácter internacional, que al mismo tiempo se comporta como una certificación, dirigida a aquellas empresas u organizaciones dedicadas a la industria automotriz, o actividades afines a ésta, que también incluye a proveedores, empresas de apoyo, etc. Que manejen información digital e importante acerca de los procesos, prototipos, proyectos, servicios, insumos y demás información importante tanto para la empresa como para los involucrados.

   

TISAX se encuentra regulada por la ENX (Red Europea para el intercambio de información), es por ello que es de carácter internacional y de suma importancia, ya que al estar certificado en TISAX, le permite entrar a una plataforma en la que se encuentra toda la comunidad(empresas, proveedores, etc.) certificada, que, además de hacer pública su certificación con la comunidad, también le permite establecer relaciones de confianza o que otras organizaciones tengan contacto con usted, en busca de nuevos negocios y/o proyectos.

 

¿Qué protege TISAX?

Tal como se mencionó anteriormente, TISAX está orientada al aseguramiento de la información digital, pero no únicamente información estática, es decir, información que se encuentra ya almacenada, sino que también está orientada a el intercambio seguro de información entre clientes, proveedores y la empresa responsable de los servicios o productos. Esto quiere decir que el objetivo de TISAX, es el de implementar los controles de seguridad necesarios para garantizar que toda la información que se comparte está protegida y que, por lo tanto, ni el producto o servicio, así como las partes involucradas, corren algún riesgo de daño, robo o pérdida.

 

Todo gracias a que TISAX está basada en los controles de seguridad de la norma ISO 27001 y en los controles de seguridad de la VDA-ISA (Asociación de la industria de la automoción- Evaluación de la seguridad de la información), es por ello que se puede garantizar la protección de la información al establecer las políticas y controles sugeridas por TISAX, ya que combina lo mejor de dos normas.

 

Sin embargo, es importante mencionar que TISAX se diferencia de la norma ISO 27001 en:

a) TISAX se enfoca en los procesos de la seguridad de la información, sobre todo aquellos apegados a la industria automotriz.

b) Su enfoque es hacia la madurez de la compañía.

c) El análisis de riesgo está basado en las políticas de VDA-ISA.

d) No requiere auditorías periódicas.

e) El alcance siempre es fijo.

f) TISAX emite la etiqueta y el registro que permite el intercambio, es decir, es dinámico.

 

¿Por qué certificarse en TISAX?

TISAX le permite una gestión de riesgos de la información de alto nivel, ya que está orientado a la protección tanto estática como dinámica de la misma. Es por ello que TISAX le permite implementar a su empresa:

64 controles para la Seguridad de la información.

4 controles sobre la relación con terceras partes.

22 controles para la protección de prototipos.

4 controles sobre RGPD Protección de datos de carácter personal.

 

Lo que le otorga numerosos beneficios, entre los que se encuentran:

 a) Mantener un estándar en cuestiones de seguridad para la industria automotriz a nivel internacional.

 b) El tener conocimiento y certeza de las evaluaciones permite reducir costes en tiempo y precio de los procesos y operaciones.

 c) Formar una comunidad que permita mejorar las prácticas y compartir experiencia.

 d) Permitir un libre albedrío a la hora de proporcionar detalles.

 e) Incremente la credibilidad de tu empresa no únicamente con tus clientes sino con las empresas parte de TISAX y los proveedores.

 f) Estrategias fuertes para el manejo efectivo de riesgos.

 g) Que la prueba de certificación sea cada tres años ahorra tiempo y dinero, sobre todo en auditorías innecesarias.

 

¿Cómo certificarse en TISAX?

El proceso de certificación es relativamente sencillo, únicamente se requiere de seguir los cuatro pasos:

1.- Se identifica el nivel de los activos y de la información que se maneja en la compañía, existen tres niveles de acuerdo al tipo de información, se identifica el alcance y se registra a la empresa en TISAX para poder indicar que quieres realizar la prueba para certificación.

2.- Se selecciona un proveedor, quienes son los que se encuentran registrados con TISAX para realizar la auditoría a tu empresa.

3.- Se realiza una evaluación a los procesos, información, etc., por parte del o los auditores a la empresa.

4.- Se publican los resultados en la plataforma y se da a conocer si fuiste certificado o no, además de la notificación y la etiqueta que certifica a tu empresa.

 

Nosotros en ID SEC GROUP podemos orientarte para tomar la certificación TISAX, realizando pruebas realistas para que conozcas el estado de tu empresa y si ya estás listo para certificarte. Además, de ayudarte a crear los documentos, políticas, cursos y lineamientos para logar el objetivo planteado por la organización.

 

 

Retos para la Ciberseguridad en las Escuelas

Recurso 1@4x

En medio de la tercera ola de COVID-19 en México, el futuro del próximo ciclo escolar es aún incierto.

 

No obstante, las autoridades han afirmado que el 30 de agosto se reactivarán las clases presenciales, los estudios afirman que cada vez son más las personas que optarían por mantener las sesiones a distancia.

 

De acuerdo con la investigación de la “Educación en línea en México 2021”, elaborada por La Asociación de Internet MX y OCCMundial, actualmente 85% de las personas estudia bajo la modalidad en línea debido a la pandemia y de ellos, la gran mayoría buscaría mantener ésta o una modalidad híbrida para el próximo ciclo escolar.

 

Ante este panorama, la ciberseguridad se mantiene como un tema prioritario para las escuelas, que deben adecuar y reforzar sus sistemas para, no sólo atender la demanda de conexión, sino también garantizar la confidencialidad y seguridad de los datos de sus alumnos y ofrecer soluciones innovadoras a los desafíos que nos plantea esta nueva realidad.

 

Con cada vez más niños y docentes conectados, las amenazas de seguridad para las escuelas y su comunidad se vuelven cada vez más comunes, siendo una de las principales el malware, también conocido como código malicioso, que puede afectar cualquier dispositivo a través de correo electrónico, sitios web que se visitan, descargas y el uso compartido de archivos, así como el software punto a punto y la mensajería instantánea.

 

Ante esto, es importante que las escuelas cuenten con un roadmap de ciberseguridad básico que les ayude, no sólo a prevenir, sino también a reaccionar oportunamente en caso de una vulnerabilidad. Este roadmap, que debe desarrollarse de forma personalizada para cada institución, de acuerdo con su tamaño, necesidades y alcance, debería incluir como mínimo cinco puntos:

 

     1.- Sistemas operativos actualizados

     2.- Accesos a Internet seguros

     3.- Tecnología de protección: antivirus y cortafuegos

     4.- Procesos de ciberseguridad internos

     5.- Respaldos y borrado seguros

 

Esto, reforzado con un sistema de capacitación constante, tanto a los colaboradores como a la comunidad educativa en general, puede robustecer no sólo la seguridad de la escuela, sino también la de todos los involucrados con ella.

 

Atendiendo a esto, en ID SEC Group hemos trabajado en desarrollar soluciones que ayuden a las escuelas a mantener niveles óptimos de ciberseguridad que garanticen, no sólo su operabilidad, sino su prestigio y credibilidad, por lo que estaremos gustosos de ayudarte a encontrar la opción más conveniente para tu escuela.

 

¿Porqué México es blanco de los hackers?

hacker-with-laptop

La seguridad digital en las empresas está siendo vulnerada por ciberataques. En los últimos 12 meses, 54% de las empresas sufrieron algún robo de información de acuerdo con un estudio hecho por PayPal y Microsoft. Además 30% de las empresas mexicanas tuvo pérdidas de 1 millón de dólares, debido a un incidente cibernético, de acuerdo con la consultora PwC.

 

A pesar de estos números, sólo el 38% de las empresas en el país tuvieron un aumento en el presupuesto destinado a ciberseguridad durante 2020, lo que, para Miguel Ángel Cañada, oficial del programa de ciberseguridad en la Organización de los Estados Americanos (OEA) es insuficiente para el reto que tienen las compañías por delante.

 

“A pesar de que empresas de finanzas grandes están invirtiendo en la ciberseguridad de las compañías, no se está aportando suficiente en la región. Aunque los esfuerzos ya se están vislumbrando”, indicó.

 

El entusiasmo por mejorar la ciberseguridad, de acuerdo a diversas encuestas y organismos, se están encaminando a mejorar su infraestructura, sin embargo, los presupuestos y sobre todo el esfuerzo en la capacitación difieren con respecto a este entusiasmo.

 

“El 45% de las empresas creen que son altamente resilientes, pero todos sabemos que hay mucho por hacer y es un trabajo continuo para ser resilientes. Hay que subir de nivel la conversación de ciberseguridad y en México no se ve que esto esté sucediendo, pues hace falta mucha cultura en este sentido” indicó a en entrevista a la revista Expansión, Fernando Román, socio de ciberseguridad y privacidad en PwC México.

 

Por su parte, Paris Valladares, director de Kaspersky México, indica que si bien las empresas han incrementado su conciencia en el tema, una de las brechas que no han logrado cerrar está en la parte de capacitación de personal y para ello pone un ejemplo.

 

“En toda América Latina la estrategia de ciberseguridad es ‘jala los cables y apaga todo’, y eso lo pudimos ver en la reacción que tuvieron con el ataque de Chile, donde se centraron en formatear los equipos cuando los estaban atacando y robando, este tema es un asunto de educación, de ser consciente de que no todas las empresas se protegen igual y de que los riesgos vienen de muchos lugares”.

 

Aunque el último informe de la OEA, Estado de ciberseguridad en el sistema financiero mexicano, indica que las empresas en la región están siendo más conscientes de la vulnerabilidad que tienen, los presupuestos enfocados a educación siguen siendo mínimos. De hecho en el caso de las instituciones financieras, ni grandes, ni pequeñas están invirtiendo más del 15% de lo destinado a presupuesto de ciberseguridad para educar o formar expertos en este tema.

 

Expertos coinciden que parte del desconocimiento que hay también está en aspectos de digitalización y gestión de recursos. Esto sucede incluso con la actualización de software y licencias, de acuerdo con Ricardo López Tello, director de ventas corporativas y gobierno para Intel México.

 

“Básicamente es, por un lado, el desconocimiento, que al tener una máquina vieja tiene mayor riesgo de ciberseguridad y esto no lo saben. Es falta de educación, solo ven que funciona. Y la segunda razón es que no hacen un análisis profundo de costos, el primer pensamiento es que renovar las máquinas les va a costar, no sé tal vez 20,000 pesos, pero no se fijaron que en el año gastan en promedio 17,000 pesos en mantener esa máquina vieja que es el otro punto. Aproximadamente es lo que se gastan en reparar estos equipos”.


Pero esta realidad, aunque dura, no debería ser desalentadora, pues gracias a nuevas metodologías y procesos como la de TAC-SEC®, es posible establecer roadmaps personalizados que integren no sólo la infraestructura, sino también la capacitación y regulación; en los que las compañías tomen decisiones basadas, no sólo en estándares, sino en su propia necesidad y alcance.

Nota10.12.2019_1

¿Cuál es el costo de un ciberataque?

cyber-attack-with-unrecognizable-hooded-hacker-using-virtual-reality-digital-glitch-effect

Con la llegada del Coronavirus y el confinamiento, el mundo entero se abrió por completo a la digitalización, buscando reducir las actividades donde se tenía contacto físico con otras personas, esto creó, a la par, mayor vulnerabilidad de quienes ofrecen sus servicios y no tienen la infraestructura correcta.

 

Esta nueva puerta hacia lo digital dejó que el cibercrimen creciera de forma desmedida, así es como se ha convertido en uno de los negocios más redituables en la actualidad, en lo que va del año se estima ha acumulado un total de 6 billones de dólares por los daños causados a nivel global, superando a muchas otras actividades ilícitas como el narcotráfico

 

Durante los primeros 9 meses del 2020, México fue el país que recibió más ciberataques en Latinoamérica, según el Instituto Federal de Telecomunicaciones (IFT), y en lo que va del 2021 instituciones como el Banco de México han reportado haber recibido un total de 10 ciberataques, los cuales han tenido un costo de 39.05 MDP para las entidades financieras, lo cual demuestra que existe un riesgo que escala a cualquier nivel.

 

En una investigación de la empresa de seguridad SILINK a organizaciones mexicanas y empresas extranjeras que operan en México (2019) se descubrió que los datos principales que buscan los ciberdelincuentes son:

     a)    Extraer datos a través de información de clientes. (44.6%)

     b)    Direcciones de correo electrónico (32.3%)

     c)    Direcciones físicas (23.1%)

 

De acuerdo con esta investigación, el impacto negativo más fuerte para una empresa es en el valor de la información robada, pues la pérdida puede seguir teniendo efecto a futuro debido a demandas de consumidores, proveedores o incluso empleados que pudieran ser afectados, además de provocar daños en la reputación y confianza de la empresa que, aunque no se puede valuar de forma inmediata, provoca pérdidas continuadas.


Pese a la información que se tiene sobre la gravedad de estos ataques en LATAM, las cifras reportadas no parecen razón suficiente para reforzar la seguridad en sus sistemas, tenerlos actualizados correctamente o adquirir licencias, entre muchos procesos que mantienen segura su información.


Para saber qué tan bien lo estás haciendo, tenemos un test que te ayudará a diagnosticar qué tan segura se encuentra tu empresa y cómo puedes mejorar esto.


En el caso de la seguridad de la información la clave siempre será la prevención, la protección de datos es una inversión para el futuro, no permitas que tu empresa forme parte de las estadísticas.