10 year challenge

Morgan Freeman decía: “Desafíate a ti mismo; es el único camino que conduce al crecimiento”. Una frase fuerte que evoca a la superación personal, y que nos hace recordar que los retos y su conquista son importantes en nuestro progreso como profesionales y en consecuencia como personas.

Photo by Mikito Tateisi on Unsplash

Lamentablemente, hay retos malentendidos que persiguen objetivos intrascendentes, difundidos masivamente por mera moda y peor aún, con resultados en ocasiones no muy gratos para los desafiados. En ese sentido ¿Cuántos retos se han viralizado en redes sociales? Saltan a mi memoria desde el “Ice bucket” hasta el tristemente célebre “In my feellings” mejor conocido en nuestro país como “Chona Challenge” -qué desafortunado nombre-. Ociosos todos ellos, algunos graciosos y otros más que representan un gran riesgo y que penosamente se han vuelto atractivos para menores. Recientemente ha ganado terreno en las redes sociales el “10 year challenge”, un reto que busca que la gente comparta fotografías de 10 años atrás y las compare con su imagen actual evidenciando las diferencias en su aspecto físico. Por cierto, este desafío parece inofensivo, sin embargo se sospecha que su difusión tiene como finalidad entrenar a algoritmos de sistemas de reconocimiento facial[1].

Sobre este último reto me gustaría proponerles un giro. Si tuviéramos la oportunidad de jugar el mismo desafío y obtener una fotografía del estado de la seguridad en nuestro país hace 10 años y la comparamos con otra obtenida del día de hoy, ¿Qué nos encontraríamos? Es curioso pero al igual que esas fotos de personajes que te arrancan alguna carcajada, ya sea porque al individuo en cuestión le ha cobrado el tiempo alguna factura con varios kilos de más o cabellos de menos, el estado de la seguridad en el país refleja una entidad que ha perdido ciertos encantos por batallas que le han dejado en el camino aprendizajes, experiencias y por supuesto varios desaguisados. Una decada atrás se comenzaban a trazar los primeros esbozos en la costrucción de capacidades en la materia, sustentados en el Plan Nacional de Desarrollo y el Programa de Seguridad Nacional de esos ayeres[2], y que  posteriormente fueron tomando forma en una Estrategia Nacional de Seguridad de la Información, con esfuerzos aislados y sin el impulso que ésta ameritaba. Al igual que en el proceso de madurez de un ser humano, este ente no aprende a la primera, comete los mismos errores y es hasta que le duelen que toma conciencia de que hay que cambiar, que hay que evolucionar. Como referencia, estamos hablando que durante esa década, ya existía una preocupación latente en el orbe por los impactos económicos y políticos producidos por ciber-delincuencia, hacktivismo y ciber-espionaje; se vislumbra a la ciberseguridad como un riesgo global y en otras latitudes con economías no tan alejadas de la mexicana, emergen proyectos más sólidos: Argentina, Colombia, Panamá o España son algunos ejemplos. Finalmente, y muy de la mano de la OEA, llegamos a la definición de una Estrategia Nacional de Ciberseguridad, que si bien debe aterrizarse, madurar y darle continuidad en esta nueva administración, es un hito importante en nuestro país. 

Ahora bien, relativicemos el reto a nuestras organizaciones, ¿Qué nos encontramos? ¿Será una fotografía similar?

Photo by Tristan Colangelo on Unsplash

CISO, te reto a que rescates esa fotografía de hace 10 años en tu organización y la contrastes con la situación que vives ahora. ¿Es mejor? ¿Has ganado kilos y experiencia? Compártenos qué te has encontrado. Si la imagen no te es tan clara o peor aún, no tienes fotografías, creo que es un buen momento para emprender el reto. Analiza cómo estás -qué tal esa gestión del riesgo, tus controles de seguridad, tu respuesta a incidentes, tus lecciones aprendidas, tu estrategia…-. Busca mejorar, traza un camino, gana experiencia, compárate con los demás y mide tu evolución. Espero que en el próximo reto puedas preciarte de que tu organización se vea mejor. Desafíate a ti mismo.

Provehito in altum 
Por: Juan Pablo Carsi


[1]FACEBOOK’S ’10 YEAR CHALLENGE’ IS JUST A HARMLESS MEME—RIGHT? https://www.wired.com/story/facebook-10-year-meme-challenge/

[2]Revista de Administración Pública. Hacia una estrategia nacional de ciberseguridad en México. Edgar Iván Espinosa.

Huachicoleo cibernético

“Cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar”

Si usted se encuentra ubicado en el centro de México, seguramente estará leyendo estas líneas después de pasar largas horas esperando ser afortunado por obtener algunos litros de gasolina. Más allá de su opinión respecto a la estrategia que implementó nuestro gobierno para evitar el robo de combustible, estoy seguro de que coincidirá en que el “huachicoleo” es uno de los principales cánceres del país, y que, sin duda, desde nuestra trinchera -ciudadanos, empresarios, gobierno- debemos hacer todo a nuestro alcance por erradicarlo. Las consecuencias económicas saltan a la vista.

Huachicoleo
Imagen de BBC.com

Ahora bien, probablemente se preguntará, y este tema ¿Qué relación tiene con la seguridad de la información? A menos que usted colabore en PEMEX o una organización afín al sector, no la hay, sin embargo, me parece que la compleja problemática, la cual es objeto de conversación y polémica en charlas “banqueteras” y tertulias catárticas, es un excelente referente para hacer un símil con la importantísima función de un CISO.

Como responsable de la seguridad de la información de su organización, usted tiene que salvaguardar sus datos y permitir que éstos puedan procesarse de manera adecuada para generar valor. Esos datos son la “gasolina” de su organización. Sin ellos, la organización se detiene, no funciona y sus actividades sustantivas no pueden realizarse. Disfunción estructural.

Dichos datos transitan por sus redes -sus ductos-. Un caudal digital que permite que la gasolina llegue a su destino en tiempo y forma. Usted tiene como misión garantizar que los ductos no sean “ordeñados”.

Dado lo anterior, tengo algunas preguntas para Usted:

  • ¿Está seguro de que no están extrayendo sus datos?
  • ¿Tiene certeza de que la gasolina de su empresa llega a donde está destinada?
  • ¿Su gasolina no está adulterada?
  • ¿Sabe si no hay “huachicoleo” de su información en mercados negros?

Recuerde que los “huachicoleros” conocen su logística, los horarios en que se mueve el combustible que necesitan, así como las personas que lo gestionan, y es así como preparan una operación en el momento adecuado para perforar los ductos.

Regresando a la situación que vive nuestro país, como sabe nuestro gobierno ha recibido cuestionamientos de cierto sector de la población derivado de la efectividad de su estrategia y del impacto que han tenido sus acciones en el día a día de los ciudadanos. En su organización ¿Cuál es su estrategia contra el “huachicoleo cibernético” -valga la expresión-? En la mayoría de los casos, no se permitiría que sus usuarios se formen para esperar el “combustible” que requieren para procesar su información y realizar sus actividades laborales. ¿Tiene un plan de contingencia? ¿Sabe qué hacer si hay escasez de “gasolina”? O peor aún, ¿Está preparada la organización para reaccionar ante “huachicoleros digitales”? ¿Usted cerraría la llave de todos sus ductos arbitrariamente o tiene la posibilidad de detectar el punto donde se ordeñan datos y detener el flujo de gasolina (datos) de inmediato?

Me parece que este periodo de debate y reflexión ciudadana es relevante llevarlo en el mismo sentido al plano laboral de los especialistas de ciberseguridad. Usted debe hacer ver a la alta dirección que la seguridad es un habilitador para el negocio, y que no es solo un gasto para hacer cumplimiento normativo, el cual por supuesto es importante pero no lo fundamental. Debe transmitirles confianza y hacer ver que pueden existir contingencias, pero que, con base en su buena estrategia sustentada en procesos y planes adecuados, la organización puede salir a flote cuando sucedan los incidentes, ahorrando costos, minimizando riesgos y disminuyendo la posibilidad de vivir una crisis de “huachicol”. 

Provehito in altum
Por: Juan Pablo Carsi

¿Cuál es el rol del CISO dentro de una organización?

El rol de CISO es una función clave en una organización ya que de manera horizontal es la responsable de asegurar que la estrategia de seguridad de la información y ciberseguridad esté debidamente alineada a la habilitación y cumplimiento de los objetivos de negocio en todas y cada una de las áreas de la estructura organizacional que los soportan.

Dentro de sus funciones se encuentran:

  • Diseño, implementación y medición de la efectividad de la estrategia de seguridad y ciberseguridad de la información.
  • Evaluar, monitorear y medir el nivel de riesgo de una organización identificando con claridad sus amenazas (actores, motivaciones y vectores de ataque)
  • Implementar y dar continuidad al cumplimiento regulatorio.
  • Diseñar la arquitectura de seguridad de acuerdo a las necesidades actuales y con crecimiento y tendencia al crecimiento y a los objetivos de negocio a mediano y largo plazo.
  • Coordinar y orquestar a todas las áreas de la organización para diseñar y ejecutar planes de:
    • Respuesta a incidentes de seguridad
    • Continuidad del negocio

¿Es necesaria la presencia de CISO en una organización?

En general el tema presupuestario es un tema crítico en cualquier organización no importando su tamaño, sin embargo en aquellas de mayor tamaño suele ser más común la creación de un área y una estructura organizacional enfocada a temas de seguridad y ciberseguridad de la información, sin embargo aquellas organizaciones micro, pequeñas y medianas normalmente suelen “ahorrar” en sus presupuestos estas figuras y funciones, pensando entre otras cosas lo siguiente:

  • “El tamaño de mi organización no es relevante para ser objetivo de un ataque de este tipo”
  • “Aún no tengo los ingresos relevantes que puedan llamar la atención de un atacante”
  • “En mis bases de datos tengo información de mis clientes, sin embargo está no es relevante para ningún atacante”
  • “Ampliar la estructura organizacional a funciones relacionadas con seguridad o ciberseguridad encarecerán mis precios y me pondrán fuera del mercado”
  • “A mis clientes, usuarios o proveedores no les es relevante que tenga implementados controles de seguridad por el tamaño de mi organización”

El ser víctima de un incidente de seguridad puede tener diferentes impactos en cualquier tipo y tamaño de organización, encontrándose entre estos:

  1. Que la privacidad de los datos de mis clientes, aliados y proveedores, sea divulgada perdiendo la confianza de estos que puede derivar en cancelación de contratos.
  2. Que mi infraestructura sea utilizada con fines de minería de datos sin que me de cuenta, pero si afectando el rendimiento y la efectividad de desempeño de mis sistemas de información
  3. Que información propia de mis procesos de negocio sean divulgados en la competencia haciendo que mi organización pierda contratos, clientes, innovaciones, etc.
  4. Que en caso de ocurrir un incidente de seguridad que pueda ser evidente en la organización a pesar de la carencia de controles, la organización no sepa como reaccionar correctamente desde el punto de vista de contención, respuesta, contención y medición del impacto cualitativo y cuantitativo.

#HablemosDeSeguridad
Por: Ana Cecilia Pérez

CaixaBank, primer banco del mundo que utiliza el reconocimiento facial en sus cajeros para sacar dinero.

Un estudio realizado con clientes de la entidad demuestra una alta aceptación de la seguridad, rapidez y comodidad del reconocimiento facial: el 70% de los usuarios estarían dispuestos a utilizarla como sustituto de su PIN.

El objetivo de la implantación de la tecnología de reconocimiento facial en cajeros es ofrecer una mejor experiencia de usuario y una mayor seguridad en las operaciones, ya que agiliza el proceso de identificación del cliente y facilita la realización de reintegros sin memorizar múltiples contraseñas. CaixaBank ya tiene en funcionamiento este sistema de verificación en los cajeros de cuatro oficinas Store de Barcelona, con un total de 20 terminales. La entidad prevé realizar progresivamente la expansión del reconocimiento facial en sus oficinas Store a partir del segundo semestre de 2019.

Más información

#HablemosDeSeguridad

Vía @CybersecurutyES

Otras 127 millones de contraseñas filtradas en 8 hackeos.

Este lote de contraseñas robadas, en realidad, está relacionado con el que se lanzó hace apenas dos días por 20.000 dólares en la deep web. El que comentábamos antes era el primer lote, con nada menos que 617 millones de contraseñas extraídas de hackeos de los últimos años a 16 páginas web. Y el que nos ocupa hoy es un segundo lote con otras 8 webs hackeadas, y nada menos que 127 millones de cuentas extraídas de estos portales. En el anterior lote venían claves de Fotolog, 500px, Dubsmash o MyFitnessPal entre otras y, efectivamente, estos 127 millones de claves corresponden a otras páginas web diferentes.

Más información

#HablemosDeSeguridad

Vía @ hackingland

Base de datos de vigilancia china expone millones de identificaciones.

Los investigadores de seguridad detectaron una fuga masiva de datos de una base de datos no segura que expuso los detalles personales de más de 2,5 millones de residentes chinos encuestados.

El investigador holandés, Victor Gevers, hizo las revelaciones en una serie de tweets a fines de la semana pasada. La base de datos en cuestión expuso nombres, números de tarjetas de identificación, fechas de nacimiento, datos de ubicación, empleador y más en las personas rastreadas.

“Hay una compañía en China llamada SenseNets. Hacen sistemas de software de seguridad basados ​​en inteligencia artificial para el reconocimiento facial, el análisis de multitudes y la verificación personal. Y cualquier persona puede acceder a su IP comercial y a millones de registros de datos de seguimiento de personas, explicó.

Más información

#HablemosDeSeguridad

Vía @InfosecurityMag

Restringe CIBanco operaciones ante presencia de virus.

CIBanco informó que este martes pasado al medio día sus sistemas de alertamiento detectaron un virus en el equipo de sus empleados. “Derivado de ello, y en línea con nuestros protocolos de seguridad preventivamente decidimos restringir la operación del banco e informamos de esta situación a las autoridades fiscales”, dijo la firma en un comunicado a sus clientes.

CIBanco dijo que los recursos de sus clientes y los del banco, así como la información no han sido vulnerados.

Más información

#HablemosDeSeguridad

Vía @msn

SpeakUp: el malware más buscado de enero ataca a los servidores de Linux.

Investigadores destacan el auge de “SpeakUp”, un nuevo backdoor para servidores Linux que propaga el malware de cryptojacking XMRig, que continúa siendo el responsable del 8% de las infecciones mundiales.

En este momento, Speak Up es capaz de sortear a todos los antivirus del mercado. Ha conseguido propagarse a través de vulnerabilidades de los comandos que recibe desde el centro de control, entre los que se encuentra la octava vulnerabilidad más conocida: Command injection over HTTP (Inyección de comando sobre HTTP). Por ello, los investigadores consideran que SpeakUp es una amenaza importante, puesto que puede utilizarse para descargar y propagar cualquier malware.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

El ciberderecho se posiciona como la rama jurídica con el futuro más prometedor.

Ciudades inteligentes, coches conectados, IoT en general…lo que parece un escenario de una película de ficción es hoy día una realidad, una realidad que deja más vulnerables a personas, empresas de diferentes tamaños y organismos públicos, cada vez más accesibles a las manos del ciberdelincuente.

En este panorama en el que millones de datos de gran valor viajan por todo el mundo a la velocidad de la luz, nuevas figuras y roles son demandados con urgencia. Uno de estos roles es el denominado como ciberabogado.  Y es que, Internet y su entorno generan nuevas relaciones sociales y comerciales, cuya regulación excede a las fronteras territoriales y el ordenamiento de cada país, constituyendo una nueva disciplina jurídica, el Ciberderecho.

Más información

#HablemosDeSeguridad

Vía @cybersecurityES

Alemania permitirá que la OTAN use sus habilidades cibernéticas.

Alemania se unirá a las filas de los países de la OTAN para que sus habilidades de guerra cibernética estén disponibles para la alianza y ayudar a combatir la piratería y la guerra electrónica.

La OTAN ha designado el ciberespacio como un dominio de conflicto junto a tierra, mar y aire y dice que los ataques electrónicos de Rusia y China, pero también los criminales y los llamados “hacktivistas”, se están volviendo más frecuentes y destructivos.

“Al igual que proporcionamos el ejército, la fuerza aérea y las fuerzas navales a la OTAN, ahora también estamos en condiciones de proporcionar capacidades sobre el tema del ciberespacio dentro del marco legal y nacional que tenemos”, dijo la ministra de Defensa alemana, Ursula von der Leyen.

Más información

#HablemosDeSeguridad

Vía @ securityweek

La Condusef alertó sobre el alta en el número de fraudes por robo de identidad.

A medida que crecen las transacciones en comercio electrónico, pueden ser más relevantes los ciberataques, consideró Jorge Arbesu, vicepresidente de Producto en el área de Ciber e Inteligencia de MasterCard.

No obstante, señaló que desde MasterCard no se quiere dejar toda la responsabilidad a los usuarios, por lo que desde esta empresa, líder de pagos a nivel global, se trabaja en una mayor seguridad y confiabilidad de las transacciones.

Recordó que los bancos no solicitan información confidencial sobre las tarjetas, además de que exhortó a los usuarios a cambiar las contraseñas de forma periódica y que no sea la misma  en todas las cuentas; así como tratar de que éstas sean fáciles de recordar, pero que al mismo tiempo combinen diferentes números, letras y símbolos.

Más información

#HablemosDeSeguridad

Vía @Eleconomista

EU negocia sanción multimillonaria a Facebook por su gestión de privacidad.

Las cifras que maneja por ahora la administración estadounidense superarían los 22.5 millones impuestos a Google en 2012 y por tanto, de materializarse la multa, supondría la sanción más elevada jamás impuesta a una compañía tecnológica por no respetar la privacidad de los usuarios.

El gobierno de Estados Unidos mantiene abiertas negociaciones con Facebook para aplicarle una sanción multimillonaria por su gestión de la privacidad de los usuarios, publicó este jueves The Washington Post.

La multa la impulsa la Comisión Federal del Comercio (FTC, por sus siglas en inglés), una agencia gubernamental encargada de velar por los derechos de los consumidores y por la libre competencia, que exige a la red social responsabilidades por los múltiples escándalos destapados en los últimos tiempos relativos a su gestión de la privacidad.

Más información

#HablemosDeSeguridad

Vía @ExpansionMX

Detenido el Hacker más buscado de Chile por clonar tarjetas de crédito a nivel internacional.

Un joven chileno de sólo 21 años de edad ha sido detenido esta semana pasada después de haber sido denunciado por clonar tarjetas de crédito a nivel internacional y de manera virtual, una práctica con la que conseguía millones de pesos chilenos y disfrutaba de una vida repleta de lujos.

¿Cómo realizaba la clonación de las tarjetas bancarias?, solo necesitaba de su ordenador y un sistema de números al azar y algoritmos para llevar a cabo su práctica ilegal. Sin moverse de casa y sin ni siquiera ver o tocar las tarjetas reales, podía llegar a realizar hasta 100 copias exactas de tarjetas, correspondiendo la mayoría de ellas a ciudadanos extranjeros. De esta manera, disponía de todo el dinero que deseaba.

Más información

#HablemosDeSeguridad

Vía @ CybersecurityES