La ciberseguridad personal y organizacional

En esta entrada vamos leer un poco de ciberseguridad en Panamá y los casos de spoofing, desde mi perspectiva como administrador de infraestructura.


****Pero veamos, vamos a dejar algunos conceptos claros, para que todos podamos entender.******


¿Qué es la Ciberseguridad? Son las prácticas o medidas que se aplican para proteger las computadoras, servidores, dispositivos móviles, redes, datos y sistemas electrónicos de ataques digitales.


¿Qué es el "spoofing"?


"Spoofing" es el termino que se usa para referirse a la suplantación de identidad, es decir, el atacante se hace pasar por un remitente de confianza y te solicita información sensible ya sea personal u organizacional.


La seguridad se puede aplicar a nivel personal, organizacional y gobierno, en esta entrada solo veremos 2 de ellos: personal y organizacional.


Ciberseguridad personal: A nivel personal debemos proteger nuestra identidad, nuestros datos y nuestros dispositivos informáticos (celular, computadora, tablet, etc.)


Nuestros datos personales son cualquier información que se pueda utilizar para identificarnos y puede existir en línea o no.


Espera... ¿Tengo datos fuera de línea? ¡Sí! Tu identidad sin conexión se trata sobre tu vida diaria, como resultado de esto, amigos, familiares y otros pueden llegar a conocer tu nombre completo, edad, dirección y detalles de tu vida privada, por eso es muy importante cuidar nuestro vida fuera de internet, ya que nos pueden robar nuestros datos frente a nuestra cara.


Ahora veamos tu identidad en línea: Esta identidad no es mas que la manera en que te presentas a internet (nombre de usuario, alias, redes sociales y demás.) Recuerda: Es MUY importante limitar la información personal que compartimos en internet.


IMPORTANTE: Sabías que aunque no tengas redes sociales o algún perfil web, aun así tienes una identidad en línea. Si unas internet tienes una identidad en línea.


¿Como podemos proteger nuestra identidad en línea?


Estas son algunas recomendaciones simples para mejorar nuestra seguridad:


- No utilices tu nombre, apellido u fecha de nacimiento para generar una contraseña.


- Trata de reutilizar los nombres de usuarios.


- Activa métodos de segunda validación (MFA) si los sitios en los que te registras lo tienen disponible.


Bien, en este punto conoces un poco más sobre tu vida en línea y fuera de ella, ahora, vamos a darle un giro al volante y veamos la parte organizacional. (Sí, se que me desvíe del tema.)


¿Qué es la ciberseguridad organizacional?


Bueno, en pocas palabras, es la responsabilidad que todos tenemos de proteger los datos, reputación y clientes de la empresa a la que prestamos nuestros servicios.


Todas las empresas están expuestas a ataques digitales, ya sea una empresa global o una empresa muy pequeña, todas están expuestas a ataques digitales.


Los datos que comúnmente son buscados por los atacantes son aquellos que son tradicionales y normalmente son almacenados en la compañía por mucho tiempo. ¿Datos tradicionales? ¿Esto que es? Bueno, básicamente son los datos de transacciones financieras y propiedad intelectual.


Si desean profundizar más en como proteger la compañía, pero teniendo en cuenta todos los factores, que se relacionan entre sí, les recomiendo leer sobre El Cubo de McCumber.


Ahora, en Panamá no es muy tomada en cuenta este tipo de seguridad, ya que muchas empresas, no bancarias, no consideran que esto sea necesario, ya sea por desconocimiento del alto mando sobre este tema o el poco conocimiento del área de TI sobre como implementar esto.


Recordemos que muchos piensan: Si no me pasa, no lo necesito.


Bien, ahora iremos directo a un punto que siempre es vulnerable: ¡El correo electrónico! Ya sea el correo entrante o saliente.


En las ultimas semanas los casos de "spoof" alrededor del mundo se han intensificado (casi siempre pasa para las fiestas de fin de año) esto debido a que los atacantes quieren obtener algún tipo de beneficio económico.


Hace algunos meses, en la compañía se decidió endurecer las políticas de antispoof, al realizar validaciones SPF y DKIM a todos los correos entrantes y salientes. El resultado a sido muy bueno en cuanto a la filtración de correos.


Lo malo, la mayoría de los proveedores en con los que comercializamos no cuentan con estas validaciones activas, por lo que muchos correos legítimos son retenidos en el filtro, ya que siempre que el filtro comprueba el dominio, este no cuenta con validación SPF, DKIM y en unos pocos casos hasta el DMARC a fallado.


El endurecer nuestras políticas antispoof nos hizo disminuir los correos de spoofing de 3 por semana a 0, pero eso no nos hace inmunes, ya que los atacantes utilizan direcciones de Gmail para enviar correos de "spam" y "phishing" y tambien utilizan dominios debidamente validados para atacar, en este punto es donde entra la capacidad del usuario para identificar este tipo de correos.


Veamos el caso más reciente de spoofing de nuestra compañía:


Veamos, correo presuntamente enviado desde el buzón HR@open.... (Ese buzón no existe en nuestro servidores) hacia un usuario X, el contenido del correo es el siguiente:

El típico correo que ofrece beneficios y con un enlace adjunto que lleva a una página falsa.

Nuestras políticas de "antispoof" hicieron su trabajo, retener y enviar a cuarentena un correo con baja reputación, un resumen de todo lo que hay detrás seria: "Si recibes un correo con el dominio de la compañía, pero no viene del servidor de correo de la compañía, enviarlo a cuarentena." Obviamente hay otra serie de cosas configuradas detrás que no es necesario mencionar aquí.


Un correo que cae a cuarentena no puede ser liberado por los usuarios, lo que hacemos es enviarle una notificación diaria al usuario con una lista de correos retenidos en las ultimas 24 horas, el usuario se comunica con el Depto. de IT, se analiza y si es seguro se libera el correo.


IMPORTANTE: El Depto. de IT revisa diariamente la cuarentena y así mantener actualizadas todas nuestras listas negras.


Al analizar el correo anterior, se logra detectar los servidores e IP por donde se enrutó ese correo:

Al tener la información del IP, ya podemos saber que el correo de origino en la ciudad de: Sham Shui Po, Hong Kong y el servidor esta registrado a nombre de la compañía EDIS Infrastructure.


Ahora veamos este otro caso:


Correo enviado a una persona de finanzas desde "supuestamente" el correo de cuentas por pagar.


El contenido del correo es el siguiente:


El correo también contaba con un PDF adjunto y un enlace que lo llevaba a un página falsa del banco, donde debía iniciar sesión. El usuario sospecha del correo y lo reenvía al Depto. de IT solicitando que se validara si es o no es real (100 puntos para el usuario aquí). En IT realizamos las verificaciones correspondientes y encontramos lo siguiente:


Primero: Fallo en las autenticaciones correspondientes:


SPF:


DKIM:


DMARC:




Primeras pistas de que nos es un correo real, luego vamos a buscar de donde se origino el correo y este fue el resultado:


Obtenemos el servidor y el IP de donde se origino el correo:

También logramos obtener la cuenta y IP de donde se origino el correo:

Al tener todos estos datos, podemos saber que el correo tuvo su origen en la ciudad de Osaka, Japón y el servidor esta registrado a nombre de la compañía: GMO CLOUD K.K.


Se le notificó al usuario que el correo no era legitimo y fue descartado. Luego el cliente nos pidió mejorar su seguridad y demás problemas relacionados a la ciberseguridad.


Ahora el clinte a pasado a solo recibir spam desde cuentas de Gmail, las cuales son fácilmente identificables por el resto de usuarios y debidamente reportadas al Depto. de IT.


La diferencia entre ambos casos es:


- Caso 1: Nunca llego al cliente, ya que se cuenta con el filtro previo y reduce la brecha de seguridad. Con las herramientas adecuadas y bien configuradas el posible mejorar esto.


- Caso 2: El cliente no cuenta con ningún filtro previo y tiene la versión básica de O365, por lo tanto el correo llega al cliente sin ningún problema, pero se aplicaron las mejores configuraciones que permite esa suscripción de O365 y la situación para el cliente a mejorado.


Ambos casos fueron tratados directamente por mi, por si hay alguna recomendación de mejora, con gusto la aceptamos y la revisamos.


¿Qué les parece? ¿Podemos hacer algo más? ¿Estuvo bien o estuvo mal? lo que se aplicó.


Saludos a todos y recuerden mantenerse seguros!!! :D

4 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Merlina