BlogBlog

volver
  • 13
  • Febr.
    2018

Ciberseguridad, tendencias 2018. Retos y amenazas

Publicado por Joan Barceló en Prevención de Riesgos Penales, Compliance Digital, Corporate Compliance, Compliance Penal, Artículos 1 comentarios
Cybersecurity

Retos y amenazas para este 2018 a nivel de Ciberseguridad.

Para aquellos que me conocen no les extrañará mi introducción, tengo dos noticias para darles, y las dos son buenas.

 

La primera; que, a la corta, a la media o a la larga, unos desconocidos le entrarán hasta en la cocina de su ordenador, puede que sólo fisgoneen, pero le pueden borrar contenido, robarlo e incluso cifrar sus archivos y pedir un rescate económico a cambio de poder volver a usarlos.

 

La otra, si tiene claro el primer punto, se prepararán, pondrán rejas en puertas y ventanas, harán un plan de continuidad de negocio (BIA) [1], harán copias de seguridad con regularidad [2] y las guardaran en lugares adecuados [3], con lo que, en caso de que se materialice la amenaza y sufran un ataque, tienen asegurada la continuidad de su negocio, comercio, fotografías familiares, etc.

 

¿Y las principales amenazas para el 2018 de las que habla el enunciado? Sí, ya voy, pero hay que hacer pedagogía y dar soluciones, no sólo mostrar los problemas.

 

Desde mi punto de vista, lo más importante es que conozcan lo que llamamos resiliencia, en negrita, la capacidad de reponernos después de un desastre, sea natural o de la mano del hombre (si podemos llamar hombres a los gamberros que nos quieren robar nuestros datos para chantajearnos, pero eso es para otro artículo, que por cierto ¡daría mucho de sí!).

 

Preparando el curso de seguridad básico para ICAB [4] de lo que di el primer capítulo, busqué qué auguraban los gurús sobre 2018, aunque con pequeñas discrepancias, el factor común es el que a continuación comentaré.

 

Según it Digital Security [5] las cinco tendencias en Ciberseguridad para este 2018 son las siguientes:

 

  • Ransonware evoluciona, permítanme hacer una pequeña introducción a lo que significa esta palabra que ya es conocida por la sociedad en general, viene del inglés ransom -rescate- y ware de software -programa-. Este malware [6] se caracteriza por aprovechar las vulnerabilidades del sistema operativo y sin que nos demos cuenta cifra nuestros archivos (puede coger los .docx de word, los .jpg de las imágenes, los xlsx de Excel, etc.). En definitiva, los archivos más comunes que todo el mundo usa. Y nos pide un rescate para poder recuperarlos. El año pasado se sufrió el mayor ataque de ransomware a raíz de un programa (supuestamente robado a la CIA) que dio herramientas al mundo de la mafia que orquesta estos ataques, el tristemente conocido wannacry.

 

Cada vez más sibilino y mejor elaborado, con el fin que caigamos en sus redes y aprovechando, como siempre, las vulnerabilidades del sistema operativo estrella, Windows, y la pereza para tener los equipos actualizados. Muchas empresas antivirus ofrecen paquetes anti-ransomware.

 

  • BEC [7] está costando miles de millones a las empresas. Esta obra de ingeniería social aprovecha el ego de las personas que reciben de su jefe o su superior un correo (no hace falta decir que fraudulento) pidiendo total discreción, comunicándole que le ha elegido porque es el mejor empleado o el más discreto (azucarado el ego) y pide que haga una transferencia que él autoriza de determinado importe a una determinada cuenta. Hay que decir que los que lo preparan a menudo saben de psicología y el pobre empleado 'pica'.

 

Según it Digital Security, desde 2013 a 2016 ha costado a EE.UU. 5.300 millones de dólares, ¡Trend Micro cree que alcanzará los 9.000 millones de dólares a finales de 2018.

 

La solución mágica (y barata) es formar a los empleados, recordar la importancia de no hacer caso al “por favor, no digas nada, haz tal o cual”, etc. En definitiva, no dejarnos engañar.

 

  • Empresas de gran renombre siguen cometiendo errores de novatos. En los últimos 12 meses, "empresas que deberían haber conocido mejor" han sufrido daños por brechas e incidentes de privacidad, Yahoo (3.000 millones), Uber (57 millones), entre otros. Empresas con recursos, pero no suficiente cultura corporativa correcta para mantener a raya a los hackers. La solución, como en el caso anterior, formación, formación y formación a los empleados como activo para proteger a la empresa.

 

  • Cumplimiento con el RGPD. A medida que avanza el reloj nos acercamos más a la fecha del 28 de mayo de 2018 (que está ya a tocar). Esta ley tiene claras implicaciones con la Ciberseguridad y privacidad y abarca a todo tipo de empresas. Según un estudio de Trend Micro, los altos ejecutivos eluden la responsabilidad en el 57% de las empresas. Las empresas necesitan entender y conocer mejor los datos y los procesos que los tratan, para poder hacer una adaptación efectiva del RGPD y no “caer” en las duras sanciones previstas en esta ley.

 

  • Del IoT al cloud, las vulnerabilidades seguirán siendo el tendón de Aquiles. Las vulnerabilidades son una de las mayores amenazas a la seguridad que se enfrentan las empresas, pueden estar en el firmwaredel dispositivo IoT, las aplicaciones web, el programa de las instalaciones o en la infraestructura cloud. Si existe algún agujero explotable, será explotado, sin duda, sólo es cuestión de tiempo.

 

Los CISO deben asegurarse de contar con un enfoque integral y automatizado para la administración de parches de seguridad y agilidad para responder de manera rápida y efectiva a cualquier amenaza descubierta recientemente.

 

Otros estudios, como en el Grupo de Delitos Tecnológicos de la Guardia Civil, añaden a los anteriormente mencionados, los ataques APT [8] (que por cierto, dan para hacer un artículo entero), las Criptomonedas como medio de pago (por gente normal y por los bajos fondos del hampa que corre por la Dark Net y Deep Web, que facilita a usuarios no expertos herramientas para hacer ataques “a medida”, de hecho ya se habla del crimen como servicio (crime as a service). Otro grupo de delitos mencionado son el ciberespionaje y los ciberataques, principalmente entre países.

 

Para los que están interesados, recomiendo visitar la web https://ciberseguridad.blog. Tiene un largo pero interesante artículo sobre los 25 tipos de ataques informáticos y un guía sobre cómo prevenirlos [9].

 

Para terminar, uno de los artículos que encuentro más completo de los numerosos artículos revisados, es el que publica la firma ESET [10] sobre el coste de nuestro mundo conectado, donde desgrana, bajo su juicio, los cinco principales retos y preocupaciones para este 2018, donde el ransomware sigue siendo la preocupación número 1 y añade los ataques a infraestructuras críticas, de lo que se habla poco para no atemorizarnos pero que nos puede hacer mucho daño como sociedad, por ejemplo, un ataque (ciber en este caso, pero no descarta que sea físico) a una central eléctrica, al transporte de gas, a un puente con mucho tráfico, etc., los ataques a la democracia (centrado en los procesos electorales), y también, como no, trata el nuevo RGPD, desde el punto de vista de la información personal en la nueva era de la tecnología y la legislación.

 

 

Joan Barceló y Joaquin

Data ProtectionPrivacy & Cibersecurity at Complia

Perito Judicial Informático y Tecnológico (Núm. 145 ACPJT)

CISA, CISM, Platinum Member de ISACA [11]

Presidente ISACA Barcelona Chapter [12]

 

 

[1] Business impact assessment.

[2] Cada vez que se modifique de manera significativa la BBDD, la contabilidad, etc.

[3] Principio de tres copias, local, fuera y nube.

[4] https://www.welivesecurity.com/wp-content/uploads/2017/12/Tendencias_2018_ESET.pdf

[5] http://www.itdigitalsecurity.es/actualidad/2018/01/que-hay-que-saber-para-blindar-la-empresa-en-2018

[6] Programa malicioso que inserta virus, troyanos, gusanos, etc.

[7] Compromiso del Email Empresarial (en inglés Business Email Compromise).

[8] Amenaza Persistente Avanzada (Advanced and Persistent Threat).

[9] https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/

[10] https://www.welivesecurity.com/wp-content/uploads/2017/12/Tendencias_2018_ESET.pdf

[11] www.isaca.org

[12] www.isacabcn.org

Déjenos su comentario

Nos encantaría conocer su opinión. Por favor, procure que sus comentarios están relacionados con esta entrada. Intente también respetar a los demés lectores de este blog. Los comentarios off-topic, promocionales, ofensivos o ilegales serán editados y borrados.

Enviar comentario
*Campo obligatorio

1 comentarios en esta entrada

  • Rubèn dijo el 27 de Febr. de 2018:

    Desde ciberseguridad.blog , os agradezco la mención al artículo y os invito a participar en el mismo cuando queráis.

    Un saludo

Nuestras redes sociales

Nuestros Tweets

Lo más leído

  1. 1Nueva ISO-19600 sobre sistemas de gestión del Compliance
  2. 2Resumen Ejecutivo del nuevo Reglamento Europeo de Protección de Datos
  3. 3Responsabilidad Penal de Personas Jurídicas: criterios de imputación
  4. 4Compliance y Delitos contra la Propiedad Intelectual
  5. 5Circular 1/2016 Fiscalía General del Estado: ética vs. (est)ética
  6. 6Responsabilidad Penal de Personas Jurídicas: atenuantes actuales y eximentes futuras
  7. 7Publicación de la Cuarta Directiva de la UE sobre Prevención de Blanqueo de Capitales
  8. 8La nueva insolvencia punible, un riesgo delictivo para las empresas y su responsabilidad penal
  9. 9¿Podrá la PYME recurrir al Tribunal Supremo en Compliance?
  10. 10Caducidad de la acción y error de consentimiento en los contratos bancarios

Lo más comentado

  1. 2La necesaria protección a los denunciantes de irregularidades
  2. 1Ciberseguridad, tendencias 2018. Retos y amenazas
  3. 1Resumen Ejecutivo del nuevo Reglamento Europeo de Protección de Datos
  4. 1Nueva ISO-19600 sobre sistemas de gestión del Compliance

Categorías

Ver más
Boutique de Compliance

Complia es una auténtica boutique de Compliance, con vocación de servicio para satisfacer las necesidades de nuestros clientes, con el máximo rigor y profesionalidad. Velamos por el cumplimiento normativo y seguridad jurídica de nuestros clientes, el éxito de los cuales es nuestra mayor recompensa.

¡Síganos!

  • C/ Tuset 23-25, 4th Floor
  • 08006 - Barcelona
  • 937 242 294

[...]
Cargando...
Información legal
x

Empresa: FAD Legal Boutique, S.L.P.

NIF: B65851966

Dirección: C/ Tuset 23-25, 4th Floor

Teléfono: 937 242 294

e-mail: info@complia.es

Valid XHTML 1.0 Transitional