Todavía hay un 5% de “valientes” que no utilizan ningún sistema de seguridad en su ordenador

(¿La habíais echado de menos? ¡Nosotros sí! De nuevo tenemos a nuestra genial Yolanda con nosotros)

Así nos lo cuenta AV-Comparatives, que ha publicado la cuarta entrega de su encuesta sobre antivirus, que lleva por título Anti-Virus Survey Report, y que recoge SiliconWeek.

El estudio ha recogido información de más de cinco mil personas a nivel mundial, y extrae conclusiones bastante interesantes, como lo que los usuarios consideran que los tres aspectos más importantes que tiene que tener un producto encargado de la seguridad son, por orden de importancia, el poco efecto en el rendimiento del sistema, una buena velocidad de detección, y una buena capacidad para eliminar malware.

 eset-nod32-antivirus-estudio-avcomparatives-ordenador-sin-proteccion

Esto me recuerda cuando hace muchos años utilizábamos como argumento de marketing la cantidad de virus que cada programa era capaz de detectar y de neutralizar, ya que no había sistemas automáticos de reconocimiento de amenazas informáticas, clasificación y desinfección. Y claro, conseguir muestras de los virus que estaban circulando para poder incorporarlas al que llamamos “fichero de firmas” era harto complicado. Si se creaba un bicho en Algeciras, tardaba meses en cruzar España y llegar a Vigo.

Con la era de Internet todo esto ha cambiado: somos capaces de detectar mucho antes amenazas informáticas con sistemas automáticos .Y cuando hace algunos años cada día se incorporaban 10 nuevos virus al fichero de firmas para poder ser detectados y neutralizados, hoy hablamos de miles diarios. A lo que hay que añadir que ya hay tecnologías en cada ordenador individual capaces de reconocer por sí mismas nuevas amenazas y de neutralizarlas, sin saber nada antes de ellas.

Así que ahora se valora mucho más otras cosas que la capacidad de detección, porque, como a los soldados al acabar la mili, el valor se le supone. Y es que no hay diferenciación ya entre productos en cuanto a qué son capaces de detectar –desde el punto de vista del usuario-, mientras que sí hay mucha sensibilidad con que el antivirus no ralentice y con que sea rápido haciendo lo que tiene hacer. Otra cosa es la típica empresa que utiliza antivirus gratuitos suponiendo que son geniales y se infecta, y entonces, acordándose de Santa Bárbara cuando truena (Seguimos con la mili, patrona de Artillería), acuden a buscar un profesional que les ayude instalándoles, a partir de ese momento, un antivirus de pago… Pero en este país –y creo que también en otros- somos “asín” ;-).

Además, el estudio también nos cuenta que hay diferentes hábitos de uso de antivirus según estemos hablando de Estados Unidos o de Europa, y que al otro lado del charco, un porcentaje muy alto utiliza soluciones gratuitas mientras que en Europa, que valoramos mucho el soporte técnico y que haya alguien al otro lado echándonos una mano cuando hace falta, preferimos como primera opción los antivirus de pago.

Eso sí, no especifica si los que se llaman usuarios de soluciones gratuitas incluye también los “piratillas” que no adquieren la licencia pero que con el uso de diversas triquiñuelas consiguen, durante un rato, utilizar las versiones comerciales sin pagar.

Pero sí arroja otro dato interesante: todavía hay un 5% de valientes a nivel mundial que no utiliza ningún antivirus en su ordenador (no especifica si son usuarios Apple, Linux o Windows). Tanto si se tienen muchos conocimientos informáticos como si se trata de usuarios noveles o medios de las nuevas tecnologías, el no utilizar antivirus es como irte de vacaciones, dejar la puerta y las ventanas de tu casa abiertas de par en par y además colgar un cartel en la fachada que diga “señores ladrones, pasen ustedes libremente y sin prisas. Llévense lo que quieran, estamos de vacaciones. ¡Ah! Y en la nevera hay refrescos” ;-).

Bueno, un estudio más de los serios que arrojan algo de luz acerca de cómo se comporta el mercado. Y que, dicho sea de paso, sitúa a ESET entre el top 3 de principales marcas de antivirus utilizadas a nivel mundial, dicho por los propios usuarios (que luego no diga nadie que nosotros mismos nos echamos flores ;-). Así que gracias a todos los que confiáis en ESET vuestra seguridad, porque gracias a vosotros, cada día somos mejores.

Feliz fin de semana, trop@!

Yolanda Ruiz
@yolandaruiz



Facebook, WhatsApp, dinero y nuestros datos.

No, no quiero entrar en un comentario más acerca de la fusión que ya conoce medio mundo (y el otro medio que no lo conoce es que debe de estar aislado en una selva amazónica). Quiero simplemente reflexionar un poco acerca de las cifras que se manejan con la compra.

De entrada, parece que son 13.000 millones de euros. La cifra marea. Y si la ponemos en dólares, más. Y para qué hablar si son pesetas, 2.300.000.000.000. (2,29 · 1012 para los científicos). Dicho de otra manera, si pensamos en que la moneda de 1 euro mide 23,25 milímetros, esa cantidad de dinero en monedas de euro puestas en fila daría 18 veces la vuelta a la tierra.

Yo no soy economista, pero hay una cifra interesante. Si resulta que WhatsApp tiene, redondeando, 400 millones de usuarios que pagan 0,89 euros al año, los ingresos son unos 356 millones de euros. ¿Cuál es la diferencia entre lo que ingresa al año y lo que se ha pagado por ella? Otra vez una cifra mareante.

Pero esa cifra mareante es la clave. Ingresos aparte, Facebook no ha pagado por un servicio de mensajería, sino por los datos de los usuarios, por una inmensa base de datos con millones de usuarios que van a pasar a enrolarse, tarde o temprano, en las filas de Facebook. Algo parecido hizo Microsoft con Skype.

nuevologo

Esos datos de las personas es lo realmente interesante. Y espero que haga pensar a mucha gente acerca de lo que vale su intimidad. Desde que el malware empezó a ser un negocio (y rentable), uno de los objetivos básicos de los ciberdelincuentes es obtener la información personal de las víctimas del software malicioso.

Pocos usuarios valoran en lo que realmente vale su nombre de usuario y contraseña de Facebook, WhatsApp, Tuenti, LinkedIn o cualquiera de las múltiples aplicaciones para estar al día con nuestra vida social en la red. Facebook le ha puesto precio de manera muy clara, más allá de las especulaciones que desde el mundo de la seguridad se pudieran hacer.

Así, espero que a partir de este momento nadie ponga en duda la necesidad de proteger sus datos. Ya no es un tema de defensa de nuestra intimidad, es una clara fuente de ingresos para los delincuentes informáticos.

Fernando de la Cuadra.



El primer mes de 2013 ha sido el de las vulnerabilidades

Si tuviéramos que asignar un nombre propio al mes de enero relativo a la seguridad le llamaríamos “vulnerabilidad”, porque esta ha sido la tónica general de los acontecimientos con mayor repercusión, entidad y alcance durante enero. Facebook y Twitter, siguendo la tónica de los últimos meses, también han estado en el punto de mira, tanto por problemas de seguridad como de privacidad.

Empezábamos el año con el descubrimiento de una nueva vulnerabilidad en el navegador Internet Explorer, vulnerabilidad que se estaba aprovechando para, por ejemplo, propagar malware desde la web de la importante organización Council on Foreign Relations. Esta vulnerabilidad estaba presente en las versiones 6, 7 y 8 de Internet Explorer, por lo que el número potencial de víctimas era muy elevado.

A pesar de no haber lanzado un parche de seguridad en las actualizaciones periódicas que Microsoft publica cada segundo martes de cada mes, la solución solo tardó unos pocos días más, lo que, aparentemente, ha ayudado a contener el número de usuarios afectados. A día de hoy, la vulnerabilidad se encuentra solucionada, pero esto no evita que muchos usuarios sigan vulnerables, ya que aún no han aplicado el parche que la soluciona.

Otro de los principales protagonistas en temas de seguridad del primer mes del año ha sido Java. El descubrimiento de una nueva vulnerabilidad en la versión más reciente hasta ese momento del software de Java activó todas las alarmas, puesto que se comprobó que estaba siendo incluida en los principales kits de exploits para así explotarla de forma activa.

Una de las primeras amenazas que no dudó en aprovecharse de esta nueva vulnerabilidad para propagarse fue una variante del conocido como “Virus de la Policía”, incluyendo variantes destinadas a usuarios españoles. Como ya vimos en casos anteriores, estas amenazas utilizaban sitios legítimos que habían visto comprometida su seguridad para propagarse e infectar al mayor número de usuarios posible.

A los pocos días de conocerse la noticia de esta nueva vulnerabilidad, Oracle lanzó una actualización que, aparentemente, la corregía. No obstante, el análisis a fondo de este parche desveló que solo se solucionaba parcialmente el problema y que la vulnerabilidad seguía presente, pudiendo ser explotada. A raíz de esto, pudimos ver cómo en varios foros underground se empezaba a vender una nueva vulnerabilidad para Java a un precio relativamente bajo.

Asimismo, esta vulnerabilidad junto con la anteriormente mencionada en Internet Explorer se usó en un supuesto caso de ciberespionaje a organizaciones no gubernamentales, organismos oficiales y empresas discrepantes con el Gobierno chino. Alojando un malware en el sitio web de la organización francesa “Reporteros sin fronteras” se consiguió afectar a objetivos  como organizaciones de derechos humanos del pueblo tibetano y la etnia uigur, así como también partidos políticos de Hong Kong y Taiwan, entre otras.

Este mes también ha sido bastante prolífico en cuanto a agujeros de seguridad en dispositivos. Por una parte se anunció una vulnerabilidad en cierto modelo de routers de la marca Linksys. Según los investigadores que la hicieron pública se podría tomar el control de este modelo de router incluso con la última versión del firmware disponible instalada. No obstante, la información incompleta proporcionada (fácilmente manipulable) y el hecho de que se trate de un modelo antiguo del cual muchas unidades no llevan el firmware oficial, limitaba mucho los efectos de esta vulnerabilidad.

Asimismo, hicimos un repaso a la seguridad de millones de dispositivos conectados a Internet y que se encuentran expuestos a ataques o intrusiones no autorizadas. En meses anteriores hemos comentado los casos de cámaras IP, Smart TVs o impresoras. Aunque no son pocos los avisos que se han realizado al respecto en los últimos meses, aun hoy hay una cantidad importante de dispositivos vulnerables expuestos en Internet.

De nuevo, Facebook

Durante el pasado mes, las redes sociales también tuvieron su parte de protagonismo con varios temas relacionados con su seguridad y privacidad. Facebook, por ejemplo, solucionó una vulnerabilidad que, de forma muy sencilla, permitía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior.

Siguiendo con Facebook, en una presentación realizada el 15 de enero se anunció Facebook Graph Search. Este nuevo sistema de búsqueda se aprovecha de la gran cantidad de información que esta red social posee de sus usuarios para mostrar resultados basándose en diferentes perfiles de personas, su ubicación y sus aficiones. Esto, que en principio puede ser usado por todos los usuarios para conocer a gente con gustos similares cerca de nosotros, también puede ser usado por empresas de marketing para bombardearnos con publicidad personalizada o de forma maliciosa por atacantes para recopilar información de sus víctimas.

Twitter también ha sido vulnerable

Por su parte, Twitter también solucionó una vulnerabilidad que permitía que aplicaciones de terceros tuvieran acceso a nuestros mensajes privados, aunque no hubiesen pedido permiso para ello en el momento de su instalación. Esta vulnerabilidad fue solucionada por parte de Twitter sin avisar a los usuarios, aunque sigue siendo recomendable que revisemos las aplicaciones a las que hemos concedido permisos en nuestra cuenta de Twitter para no llevarnos sorpresas desagradables.

Los ciberdelincuentes siguieron usando Twitter para seguir propagando sus amenazas, y durante el mes pasado detectamos casos de phishing, propagando un enlace acortado malicioso usando mensajes directos entre usuarios en el que se indicaba que se estaba hablando mal de nosotros. Todo esto estaba diseñado para robar credenciales de los usuarios y disponer de cuentas de Twitter desde las cuales seguir propagando amenazas.

En enero también vimos el resurgir de Megaupload, justo cuando se cumplía un año de su cierre. Este nuevo servicio, conocido simplemente como Mega, promete muchas novedades entre las que se incluye una mayor seguridad y privacidad aunque varios investigadores se encargaron de revisar estos aspectos y descubrieron que habían fallos importantes que solucionar.

Otro tema que dio bastante que hablar durante el pasado mes fue el descubrimiento de nuevos certificados fraudulentos de Google. Y también analizamos en nuestro laboratorio otro tipo de vulnerabilidades, como la que afectó al complemento de Foxit PDF Reader para el navegador Firefox

Uno de los servicios gratuitos de correo electrónico más usados en Internet, Yahoo Mail, vio cómo un investigador demostraba mediante una prueba de concepto que era posible realizar un ataque XSS. En caso de haberse usado de forma maliciosa, hubiera podido llegar a afectar a cerca de 400 millones de usuarios.

Durante las últimas semanas también analizamos un caso de malware diseñado para Linux y que utilizaba una versión troyanizada del conocido demonio SSH para abrir puertas traseras en los sistemas que infectaba y permitir que un atacante accediera a ellos y los controlase. Esta versión maliciosa se estaba sirviendo desde algunos repositorios que habían visto comprometida su seguridad debido al uso de versiones  vulnerables de aplicaciones o unas contraseñas demasiado débiles.

En cuanto a los ejemplares de malware que más se han distribuido, este es el top 10 de las amenazas informáticas que más se han distribuido durante este mes de enero:

eset_nod32_antivirus_ranking_enero_2013

Como ves, hemos tenido de todo. Sin ninguna duda, ha sido un mes muy intenso desde el punto de vista de la seguridad y un avance de lo que, probablemente, va a seguir siendo el resto del año. ¡Estaremos muy atentos!

¡Feliz semana, trop@!

Josep Albors

Yolanda Ruiz



La seguridad de los menores en Internet, cada vez más importante para el 87,8% de los adultos

Categorias: Educación,Estadísticas,Estudio,General | | 1 Comentario » |

La seguridad y la privacidad de nuestros menores en Internet es una problemática que cada vez nos preocupa más. En concreto, el 87,8% de los adultos considera muy importante la seguridad de los menores en Internet, según los resultados de la encuesta realizada por ESET NOD32 a través de sus canales sociales.

Y no es de extrañar, ya que nuestros nativos digitales se enfrentan a un sinfín de riesgos en Internet: tanto al efecto de las amenazas informáticas que pueden perjudicar también a los adultos, como fraudes o scams, pero también ciberacoso por parte de extraños o en el entorno escolar (ciberbullying), ciberdepredadores (persuasión de un adulto para ganarse la confianza de un niño con fines sexuales), sexting (mensajes eróticos entre menores) o el consumo de contenidos inadecuados para su edad alojados en webs por las que pueden navegar libremente.

Preguntados los adultos sobre cuáles son las problemáticas que más les preocupan, el 78,3% considera que el consumo de pornografía en cualquiera de sus vertientes es muy preocupante, y le siguen los ciberdepredadores, con el 68,3%, el ciberacoso, 67%, y la pedofilia, 65,7%. Es decir, nos preocupa todo aquello que no puede ser regulado simplemente con la instalación de un programa de seguridad adecuado, porque en última instancia, la decisión de aceptar la amistad de un acosador a través de las redes sociales, por ejemplo, es decisión del menor.

eset_nod32_antivirus_menores1

 

Cuando les hemos preguntado acerca de sobre qué tipo de sitios web considera importante bloquear para prevenir que el menor pueda consumir este tipo de contenidos, el 91,3% impediría el acceso de menores a páginas con contenido pornográfico, seguido por el 64,3% que no autorizaría el acceso a chats online, el 27,4% a juegos en línea y el 23%, a redes sociales.

Igualmente les preguntamos a los adultos si sus hijos habían sido víctimas de amenazas por Internet y de cuáles, y el 74,8% dijo “creer” que no habían tenido problema, mientras que el 18,7% confirmó no conocer este dato. Solo un 2,6% contestó afirmativamente argumentando problemas relativos al ciberacoso y al ciberbullying, y un 1,3% dijo que sus menores habían sufrido problemas con ciberdepredadores.

De toda la muestra que contestó a la encuesta, un 58% son padres con niños menores de edad que afirman hablar frecuentemente con sus hijos sobre esta problemática, el 36% dijo hacerlo ocasionalmente, y un 6% afirmó no hacerlo porque reconoció que sus hijos sabían más que ellos.

eset_nod32_antivirus_menores1

Educación + concienciación + soluciones de seguridad: nuestros menores más protegidos

Todos los riesgos que nuestros menores se pueden encontrar en la Red pueden minimizarse combinando una buena educación en nuevas tecnologías, una buena concienciación respecto a las precauciones a tomar y la instalación de un buen software de seguridad. De esta manera, ESET NOD32 comienza una serie de actividades e iniciativas dirigidas a compartir conocimientos y materiales tanto con padres y educadores como con menores, con el propósito de contribuir a la mejora radical de la seguridad de nuestros menores en Internet.

De esta manera, y bajo el lema “Protégete“, ESET NOD32 pone en marcha una campaña continua enfocada a educar y concienciar, tanto a padres como a niños, sobre los peligros y los riesgos de la Red. La campaña comprende tanto la generación de material específico para la educación y la concienciación, trucos y consejos, como la realización y participación en eventos generalistas y la realización de actividades específicas para cada tipo de público.

Así, durante este mes se van a poner en marcha las primeras iniciativas en el área del Levante español. Por un lado, Josep Albors, director de Comunicación y director del laboratorio de ESET NOD32 España, participará en las Jornadas de Prevención y Seguridad en Internet para familias y educadores, organizada por la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos y el Ayuntamiento de Elche, que tendrá lugar este sábado día 2 de febrero, en el Centro de Congresos Ciudad de Elche, dirigidas especialmente a familias, educadores y padres de jóvenes conectados a la red.

eset_nod32_antivirus_elche2

Por otro lado, y como iniciativa pionera y piloto, el Ayuntamiento de Ontinyent, localidad donde se encuentra la sede central de ESET NOD32 España, lidera una iniciativa local mediante la cual se va a formar a padres, profesores y alumnos de los diferentes institutos y colegios en seguridad de las nuevas tecnologías mediante la impartición de charlas y de talleres El alcalde de Ontinyent, Jorge Rodríguez, junto a Josep Albors, ha presentado esta mañana la iniciativa que lleva por título: “Ontinyent: protégete en tu mundo digital“.

eset_nod32_antivirus_elche

 

Yolanda Ruiz Hervás

 



50 millones de dispositivos en riesgo por fallos de seguridad en el protocolo UPnP

Categorias: Estadísticas,Estudio,Vulnerabilidades | | 3 Comentarios » |

Si ayer nos hacíamos eco de los miles de dispositivos como impresoras, cámaras IP o Smart TVs que están expuestos en Internet, hoy volvemos a tratar el tema debido a un agujero de seguridad descubierto en el protocolo Universal Plug & Play (UPnP). Este fallo  estaría exponiendo en Internet a más de 50 millones de ordenadores, impresoras, routers o dispositivos de almacenamiento  y permitiría que fueran atacados de forma remota.

eset_nod32_upnp_logo

Así se deduce de la información publicada por investigadores de la empresa Rapid7 que realizaron un estudio entre el 1 de enero y el 17 de noviembre de 2012. Estos investigadores realizaron análisis periódicos que enviaban peticiones a través del protocolo SSDP (protocolo simple de descubrimiento de servicios) a cada dirección IPv4 enrutada. En esta investigación encontraron que cerca del 2,2 por ciento de estas direcciones respondían a las peticiones.

El estándar UPnP es ampliamente utilizado y permite a aquellos dispositivos conectados descubrirse entre sí y configurarse de manera que puedan compartir datos. Un ejemplo de uso de este protocolo podría ser una aplicación de compartición de ficheros que, a través del protocolo UPnP, se comunique con un router para que abra un puerto específico y lo redirija a un ordenador en la red local para que así pueda acceder a los archivos compartidos.

De los 80 millones de IPs únicas que respondieron a la petición de descubrimiento usando UPnP, alrededor de 50 millones podrían verse comprometidas debido a vulnerabilidades conocidas en este protocolo. Entre estos dispositivos encontramos algunos de marcas tan conocidas como Linksys, Belkin, D-Link o Netgear, empresas especializadas en dispositivos de red.

eset_nod32_upnp

Esta elevada cantidad de dispositivos vulnerables es debido a la amplia utilización de este protocolo y a la existencia de varias vulnerabilidades en dos de las librerías de software más utilizadas en UPnP. De esta forma, un atacante podría detectar un dispositivo vulnerable y explotar una vulnerabilidad conocida para ejecutar código arbitrario y, por ejemplo, ganar acceso a sistemas que se encuentren tras un cortafuegos.

El problema es que este protocolo viene activado por defecto en la mayoría de dispositivos actuales que se conectan a Internet, ya sean impresoras, Smart TV, servidores multimedia, etc., independientemente de que use Windows, Linux o Mac OS X, por lo que la mayoría de usuarios no son conscientes del riesgo. Además la mayoría de dispositivos no llevan instalada la última versión del software, con lo que su exposición a los ataques es mayor.

La única solución existente actualmente para este problema es desactivar el uso de UPnP de todos los dispositivos y sistemas que se conecten a Internet y sean vulnerables. Esto no es tan sencillo como parece y puede ocasionar problemas y que ciertos dispositivos dejen de conectarse entre sí. Por otra parte, algunos fabricantes no han solucionado todas las vulnerabilidades presentes en este protocolo y no se sabe si tienen pensado hacerlo, lo que dejaría a millones de dispositivos vulnerables sin remedio.

Por su parte, Rapid7 ha lanzado ScanNow, una herramienta que puede utilizarse para revisar qué sistemas son vulnerables para así poder desactivar la opción de UPnP o sustituir los dispositivos vulnerables por otros que no lo sean.

Aun conociéndose hace tiempo que existían muchos dispositivos vulnerables conectados a Internet, el número que se obtiene tras esta investigación es preocupante. Es por ello que no estaría de más que revisásemos cuántos de nuestros dispositivos disponen de esta opción y la desactivemos en caso de no ser esencial para sucorrecto funcionamiento.

Josep Albors



De Imperva, VirusTotal y la utilidad de los antivirus

No sé si lo sabes, pero se ha publicado ultimamente un estudio acerca de la efectividad de los antivirus que ha causado bastante revuelo. Algunos de vosotros nos habéis preguntado al respecto, así que aquí os traemos nuestra postura corporativa al respecto, escrita originalmente por uno de nuestros investigadores más veteranos, David Harley. 

Introducción

Espero que el escándalo levantado por el pseudo-estudio de Imperva, conocido en noviembre, en el que se afirmaba que los antivirus detectan menos del 5% del nuevo malware, haya muerto definitivamente en el momento en el que estamos escribiendo este artículo. Después de todo, la actitud crítica ha llevado a Imperva a modificar su posición tanto en su informe público (la versión original enviada a periodistas parece que era sustancialmente diferente) como en el artículo de su blog. Sin embargo, parece que algunos medios de comunicación, como el New York Times o The Register, siguen manteniendo el mismo argumento.

Una segunda oleada de reportajes han ignorado totalmente los grandes agujeros metodológicos que existen en el informe de Imperva y están reciclando sus estadísticas más que dudosas sin ningún tipo de crítica. ¿Por qué dudosos? Porque a pesar de las protestas de la comunidad antivirus y de VirusTotal, el estudio publicado por Imperva y el Instituto Israelí  de Tecnología se basa en el mito de que los datos que reporta VirusTotal son tomados como hechos contundentes que prueban si un producto antivirus es capaz de detectar o no un ejemplar de amenaza informática o de malware, tal y como lo llamamos en la jerga del sector.

Sumario ejecutivo

El estudio de Imperva es frustrante no solo para la comunidad de investigadores del sector de antivirus sino para cualquiera que se tome muy en serio el llevar a cabo análisis precisos de evaluación de los productos de seguridad. VirusTotal es un gran servicio, pero su objetivo principal es dar una idea al usuario de si el fichero que está enviando al sistema pudiera ser o no malicioso. Simplemente, no está diseñado para evaluar la habilidad de uno o más productos de seguridad para detectar dicho ejemplar de malware. Es más, el sistema te dice qué productos son capaces de detectar la amenaza utilizando los módulos particulares de programación y configuración que está utilizando VirusTotal (para más detalles, ver la sección cronológica debajo correspondiente al 28 de noviembre).

Utilizar estos datos en el contexto de evaluar la capacidad de detección de una solución antivirus es como evaluar la musicalidad de una banda de rock escuchando solo los coros vocales que hace el batería. Algunos baterías cantan muy bien, pero aportan mucho más a la banda que el simple doo-wop que pueden cantar o corear en segundo plano. Incluso el antivirus comercial más simple o básico hace mucho más que simplemente comparar archivos con el fichero de firmas estático que contiene porciones del código malicioso encontrado y analizado, lo que permite su identificación (algunas suites de seguridad incluyen, además, otras capas de seguridad que reducen las oportunidades que tiene una amenaza informática de infectar un sistema. Y digo reduce, no que provea una protección absoluta al 100% contra cualquier tipo de amenaza).

El informe de Imperva llega a esta conclusión basándose en estadísticas falsas, y han intentado decirnos que su queja (que menos del 5% de las nuevas amenazas informáticas son detectadas por los antivirus) está confirmado por un informe de AV-Test (entidad certificadora de soluciones antivirus independiente con una gran trayectoria de objetividad y rigor). Dado que el informe al que hace referencia no está presente en ningún sitio, interpretamos que el pantallazo incluido en el artículo del blog de Imperva parece mostrar la media de detección de la industria de la seguridad en tres escenarios:

  • Ataques 0-day: de media = 87% (n=102)
  • Amenazas descubiertas en los últimos 2 o 3 meses: de media = 98% (n=272.799)
  • Amenazas que se distribuyen y permanecen en el tiempo: de media = 100% (n=5.000)

Entre el 5% y el 87% hay una gran diferencia, ¿verdad? ;-)

De hecho, lo que prueba este gráfico es que los productos de seguridad brindan protección contra todo tipo de amenazas informáticas de forma proactiva, no solo por las tradicionales formas de detección mediante ficheros de firmas genéricos o tecnologías heurísticas (análisis de comportamiento, sandboxing, análisis del tráfico, etc.) sino también gracias a otras tecnologías que funcionan a modo de protección multi-capa y que permiten llegar más allá.

Ningún investigador de seguridad te va a decir jamás que tener un antivirus debe ser el único sistema de seguridad que vas a necesitar, o que su software es capaz de detectar el 100% del malware conocido o desconocido, ya que no existen soluciones 100% efectivas. Mientras que llegue el momento en el que tanto el sistema operativo como las aplicaciones sean tan seguras que no sea necesario ningún sistema de detección de amenazas informáticas que se aprovechen de sus fallos, el uso de un antivirus sigue siendo necesario. Decir lo contrario, intentando confirmar que no merece la pena pagar por un antivirus, es incluso irresponsable. Si no hubiera dinero para pagar a los especialistas en investigación en seguridad informática porque no hubiera antivirus de pago, la industria de la seguridad en general perdería la batalla contra los cibercriminales y sus amenazas informáticas.

Cronología

Alrededor de finales de noviembre 2012, Imperva difundió la primera versión de su informe entre periodistas. Aunque ningún periodista compartió el informe en sí mismo, algunos de ellos describieron en sus reportajes la metodología básica y solicitaron comentarios al respecto: por ejemplo, Kevin Townsend introdujo en su información publicada en Infosecurity Magazine unas declaraciones de David Harley (autor original de este artículo) y de David Emm (de Kaspersky).

28 de noviembre. De acuerdo a Kevin:

… Estos son los resultados más que oscuros resultantes del análisis de 80 nuevos virus encontrados y testados por Imperva. La compañía utilizo la red TOR para explorar y encontrar el malware más nuevo, y desarrollaron y automatizaron un proceso de testeo y monitorización para testar los ejemplares utilizando el sitio de Virustotal. Los resultados no son muy alentadores. “La media de detección de un virus de nueva creación es del 0%” y “típicamente, tiene que pasar cuatro semanas para que el 25% de los desarrolladores de antivirus empiecen a detectarlos”.

 Aunque merece la pena leer el artículo entero, extraemos aquí la respuesta inicial de David Harley, que resumiendo viene a decir por qué VirusTotal no puede ser utilizado como sistema de medición del rendimiento y de detección de amenazas de los diferentes antivirus del mercado:

VirusTotal nunca ha intentado ser un test de rendimiento de análisis, y no es la herramienta indicada para este trabajo. Esto significa que algunos productos, por ejemplo, pueden detectar aplicaciones potencialmente no deseadas como malware, pero puede no ser así con otros motores, ya que es debido a la configuración de sus opciones por defecto. En otros casos, el propio VirusTotal ha sido el que ha solicitado que se hayan activado opciones que en la configuración por defecto habitualmente no están operativas. En otras palabras, algunos productos han sido configurados por VirusTotal y nunca van a detectar algunos tipos de ejemplares porque pueden no ser maliciosos de forma inequívoca. Otros pueden ser capaces de detectar amenazas según llegan al equipo, pero pueden no serlo si ejecutamos el análisis bajo demanda, dado que no todas las tecnologías de detección por análisis de comportamiento y por heurísticas pueden ser implementadas en un análisis estático o pasivo.

Si esto ha sido un test real, realmente dudamos de sus resultados, ya que no hay forma de validarlos. No tenemos ni idea de qué tipo de ejemplares han estado analizado y si estos han sido correctamente clasificados como malware o no. En ausencia de estos datos o de un estudio real que efectivamente analice la eficacia en la detección de amenazas tanto bajo demanda como en ejecución, tenemos que decir que nos huele un poco a maniobra de marketing que bien pudiera estar buscando la atención mediática.

El propio VirusTotal ha hablado en numerosas ocasiones acerca del mal uso que se suele dar a su servicio utilizándolo como una herramienta de análisis. De hecho, Julio Canto, de VirusTotal, junto a   David, hicieron hace un par de años un estudio que precisamente hablaba de este tema, entre otros asuntos: http://go.eset.com/us/resources/white-papers/cfet2011_multiscanning_paper.pdf.

Extraemos aquí algunos fragmentos que hablan de este asunto:

  • VirusTotal no ha sido diseñada como una herramienta de medición del rendimiento de los antivirus ni para utilizarla en comparativas, sino para que revisar ejemplares maliciosos con muchos motores de soluciones de seguridad y para ayudar a los laboratorios antivirus enviándoles el malware que no son capaces de detectar.
  • VirusTotal utiliza un grupo muy heterogéneo de motores. Cada solución de seguridad es capaz de implementar funcionalidades  de seguridad de muchas maneras diferentes. VirusTotal no aprovecha todas las capas de funcionalidad que pueden estar presentes en un producto moderno de seguridad.
  • VirusTotal utiliza versiones en línea de comando: esto también afecta al contexto de ejecución, que quiere decir que un producto pudiera fallar en la detección de algo que detectaría en condiciones normales de funcionamiento.
  • El sistema utiliza los parámetros indicados por los fabricantes. Si crees que esto pudiera dar como resultado una configuración acorde con los test, considera que estás efectivamente probando la filosofía del vendedor en términos de configuraciones por defecto, y no con un objetivo de rendimiento.
  • Algunos productos están diseñados para proteger el Gateway: los productos de Gateway normalmente están configurados teniendo como punto de partida diferentes presunciones que difieren de aquellos que están específicamente diseñados y preparados para proteger el ordenador personal.
  • Algunos de los parámetros heurísticos que se utilizan son muy sensitivos, por no llamarlos paranoicos.

Conclusión

VirusTotal, según se describe, es una HERRAMIENTA, no una SOLUCIÓN: es una empresa muy colaborativa, que permite la industria y a los usuarios ayudarse mutuamente. Y como cualquier otra herramienta es mucho mejor utilizarla para unos fines determinados, pero no para todos. Puede ser utilizada con propósitos de investigación o puede ser malamente usada para conseguir objetivos para los cuales nunca fue diseñada. El lector debe tener un mínimo de conocimiento y de comprensión para interpretar los resultados de la manera correcta.

Pero sigamos con nuestra cronología…

4 de diciembre. Righard Zwienenberg comentó en el blog el estudio de Imperva intentando contener la falsa afirmación de que no merece la pena pagar por un antivirus.

6 de diciembre: el sitio alemán security.nl mencionó el artículo de Righard y le dio el derecho a réplica a Imperva.

10 de diciembre: publicamos las objeciones de utilizar VirusTotal como sustituto de un estudio de análisis serio en el blog de (ISC)2 e incluimos en este artículo en inglés la reclamación de aclarar algunos datos de Imperva ya publicada en el artículo original de security.nl.

13 de diciembre: Caroline Donnelly incluyó el testimonial de Rik Ferguson, de Trend, en IT Pro. Rik puntualizó que:

“Analizar simplemente una colección de ficheros, sin importar cómo de grandes son o sin tener en cuenta ni la fuente ni el funcionamiento de los productos de seguridad, no significa que los productos hayan sido expuestos a las amenazas de la forma en como se lo encontrarían en la vida real.”

17 de diciembre. Imperva publicó un artículo en su blog, “From A to V: Refuting Criticism of Our Antivirus Report” (“De la A a la V: combatiendo las críticas a nuestro informe antivirus”), en el que manifestaba saber las “limitaciones de su metodología”. De hecho, ofrecían una copia pública del estudio que incluía un nuevo resumen de algunos de los temas que habían surgido a raíz de la publicación del estudio original. Sin embargo, ni el artículo del blog ni el estudio solucionaba su debilidad más grande: seguía llegando a la misma conclusión a pesar de partir de datos erróneos. David escribió otro artículo en el blog contestando a Imperva, “Imperva-ious to Criticism”.

1 de enero de 2013: El New York Times (en un artículo sindicado a un montón de sitios) nos dijo que “La industria antivirus tiene un sucio secreto: sus productos no son siempre buenos combatiendo virus”. El artículo aceptaba las estadísticas del estudio de Imperva, sin ningún tipo de visión crítica, tal y como hizo Richard Chirgwin en The Register. Al menos, ambos periodistas sí se dieron cuenta de que Imperva tenía unos objetivos claramente comerciales, tal y como Richard Chrigwin apuntó en su artículo:

“Imperva sugiere a las empresas que presten más atención a la seguridad de sus sistemas y servidores. Lo que, sorprendentemente, es la especialidad comercial de la compañía.”

2 de enero de 2013: nuestro colega Old Mac Bloggit se mostró totalmente enfurecido con la gran cantidad de desinformación y con la actitud de los periodistas, que habían ignorado todo el material generado por la industria de seguridad, y escribió el artículo Journalism’s Dirty Little Secret. No fue el único… yo mismo twiteé el link, y así lo hicieron también otra gente que trabaja para la industria así como investigadores. Roel Schouwenberg de Kaspersky también twiteó: “Criticar al industria antivirus está bien. Pero háganlo utilizando los tests o las investigaciones adecuadas. Lo repetiré 2013 veces: VirusTotal no es una herramienta de testeo ni de análisis.

El dueño de VirusTotal, Bernardo Quintero, también twiteó: “evaluar un antivirus con menos de 100 muestras y utilizando VirusTotal es más una broma que un estudio”.

Algunos medios de comunicación tuvieron también una visión más equilibrada. Paul Wagenseil, de Tech News Daily, escribió el artículo “Study Faulting Anti-Virus Effectiveness May Itself Be Flawed” y le dio a Rik Ferguson, a Graham Cluley, y a un portavoz sin nombre de Kaspersky la opción a comentar, mientras que Graeme Burton escribió para Computing que: “la metodología de este estudio ha sido ampliamente criticada por los especialistas de seguridad… VirusTotal es un website que analiza ficheros y URLs para identificar virus, gusanos, troyanos y otro tipo de malware – y no su comportamiento en la vida real. El estudio no tuvo en consideración los diferentes parámetros que utilizan los productos”.

3 de enero de 2013: Max Eddy, de PC Magazine, tomó otro acercamiento diferente y preguntó por la opinión de los analistas profesionales (incluyendo comentarios de AV-Test, AV-Comparative, NSS Labs y Dennis Labs) y publicó “Los expertos destrozan el estudio de antivirus de Imperva”. 

En dicho artículo, Randy abrams (ahora con NSS) dice: “Es extraño que encuentre esta increíble y nada sofisticada metodología de análisis, que utiliza un criterio erróneo de selección de ejemplares y conclusiones que no se pueden soportar envueltas en un solo pdf.” Y Simon Edwards (de Dennis Labs) comentó sobre la afirmación de Imperva de que los antivirus gratuitos funcionan mejor que los de pago que “Este es el resultado de todo lo que hemos encontrado después de muchos años de análisis y testeo… Sin excepción, los mejores productos son los de pago”.

Conclusión

Olvídate de la ofensa a la industria antivirus si quieres –nadie más presta atención a este punto- pero considera si basarías tu estrategia de seguridad (en casa o en el trabajo) en un ejercicio de relaciones públicas basado en unas estadísticas que no representan a ningún producto ni a ninguna premisa y que, además, no se entienden. No busques la Gran y Verdadera Solución: busca combinaciones de soluciones que te ofrezcan la mayor seguridad al precio que puedas pagar.

En este artículo estamos pensando más en empresas que en usuarios domésticos, pero los principios básicos aplican a ambos: el correcto antivirus gratuito es mejor que no tener ningún tipo de protección, pero la inversión en una suite de seguridad competente que ofrezca múltiples capas de protección merece la pena en el día a día.

Escrito originalmente por:

David Harley CITP FBCS CISSP - ESET Senior Research Fellow

Adaptado por Yolanda Ruiz Hervás



2012: el peor año en ciberataques contra altas instituciones del Gobierno español

Este año que termina en breve ha sido muy malo para muchas cosas… no creo que haga falta que hagamos una lista exhaustiva, sobre todo porque este blog va de seguridad informática y privacidad. Pero también lo ha sido para los responsables de seguridad de instituciones como La Zarzuela, La Moncloa, el Ministerio de Hacienda, el de Defensa, el Congreso de los Diputados, los sindicatos y también organizaciones empresariales.

¿El motivo? Según leemos en El Confidencial Digital, que recoge datos oficiales, 2012 ha sido el peor año en cuanto a ciberataques contra las altas instituciones del Gobierno español. 

Y no nos extraña… basta con echar un vistazo a nuestro blog para darnos cuenta de la intensidad de ciberataques y atentados contra la seguridad que se han producido en nuestro país. Los datos nos los da el Centro Criptológico Nacional (CCN), organismo dependiente del Centro Nacional de Inteligencia (CNI), encargado de la seguridad informática del Estado, que afirma haber  investigado en 2012 hasta un centenar de estos ataques muy peligrosos contra estructuras sensibles del Estado.

Y nos consta que el CCN no investiga cualquier cosa, sino aquellos hechos que por su trascendencia y modus operandi, significan realmente una amenaza para la seguridad nacional. Los ataques se han dirigido tanto a dispositivos de uso personal de altas personalidades gubernamentales, como móviles, portátiles y tablets, como contra servidores clave de las instituciones mencionadas anteriormente.

El porqué debemos buscarlo en la situación del país: la presión contra el Gobierno y su política no solo se hace sentir en la calle, sino también a través de Internet. Entre los más de cien ataques investigados, la mayoría son atribuibles, según el CCN, al grupo hacktivista Anonymous, de cuyas acciones hemos ido puntualmente informando en este blog y que responden a su pública intención, repetida muchas veces, de realizar todos los ataques que estuviesen a su alcance contra las estructuras del Estado español.

Sinceramente, nos sorprende que el CCN haga pública esta información, especialmente cuando España no es un país que destaque por tener un plan de contingencia contra los ataques cibernéticos a escala nacional. Pero nos alegramos saber que están poniendo -o proponiendo, todavía no se sabe- los medios para implantar medidas que permitan a los efectivos de los organismos oficiales competentes poder luchar contra este tipo de amenazas.

eset_nod32_antivirus_seguridad_nacional_ccn

Una de ellas es el aumento de la partida presupuestaria de este organismo para mejorar la capacidades operativas contra estas intrusiones. Debe ser, de hecho, de las pocas partidas presupuestarias que el Gobierno ha decidido aumentar. Por otro lado, también están llevando a cabo, según confirman, un plan para implementar rigurosas medidas de seguridad en los dispositivos móviles de las personas más representativas de la Administración Pública, la Casa Real y el presidente del Gobierno, entre otros.

Por último, se están planteando seguir la estela de otros países como Estados Unidos o Corea del Sur en el sentido de contratar hackers especialistas en seguridad y entrenarlos para la defensa del Estado.

Cualquier medida que se tome al respecto para mejorar la seguridad de nuestro país será siempre positiva y bienvenida, porque estará garantizando no solo la integridad de la información y la seguridad de los datos, sino otros ataques tan serios como los que podrían llegar a producirse contra infraestructuras críticas, por solo citar un ejemplo.

Yolanda Ruiz Hervás



¿Cuánta información de ti le has dado a Barak Obama?

Categorias: datos,Estadísticas,redes sociales | | Sin comentarios » |

Aún a pesar de la experiencia y de haber vivido muchas cosas, jamás pierdo la capacidad de sorpresa, y he de reconocer que cuando he leído este artículo sobre cómo Obama ha ganado las elecciones, me he quedado boquiabierta (además de que he soltado un exabrupto que no voy a reproducir aquí por decoro ;-). Parece el argumento de una película (y seguro que se hará, no me cabe la más mínima duda), más propio de Minority Report. Pero no lo es. Es real, ha pasado y sin duda va a marcar un antes y un después en dos asuntos que a todos nos preocupa mucho: las redes sociales en general, y Facebook en particular, tienen cada vez más peso en todos los ámbitos de nuestra vida, y nuestra privacidad va quedando, cada vez, más al descubierto…

Si ya lo has leído, sabrás a qué me refiero. Si no has tenido la oportunidad, te hago un resumen.

De cómo Obama ha ganado las elecciones gracias a las redes sociales, por segunda vez

Seguramente todos recordaremos la primera campaña presidencial de Barak Obama, y no solo porque nos sorprendió a todos que el país más poderoso del mundo fuera tener un presidente negro (perdonad, pero el eufemismo de color nunca me ha gustado… al pan, pan, y al vino, vino) sino por cómo se llevó a cabo la ejecución de la misma: explotaron al máximo las redes sociales para conseguir financiación y el apoyo de diferentes grupos demográficos claves para su victoria. Y lo consiguieron. Y a todos nos hizo reflexionar sobre el gran poder que estaban tomando las redes sociales en nuestras vidas… Pero seguramente de eso nos acordamos pocos… Fue hace cuatro años.

Ahora tocaba renovar el mandato… o perderlo. Muchos de nosotros estuvimos siguiendo al minuto todo el proceso electoral, ya que la pelea se prometía seriamente dura, dada la igualdad entre ambos candidatos presidenciales. No sé vosotros, pero yo estuve casi toda la noche pegada a la CNBC y a la BBC, siguiendo el desarrollo de las votaciones. Y sí, cuando cerraron los colegios electorales de los estados del Este, Obama y Romney iban igualados… Muy igualados diría yo. Y en momentos puntuales, el candidato republicano aventajaba al demócrata. La emoción se mascaba en el ambiente (claro, los americanos hacen muy bien la cobertura informativa de los comicios en continuidad).

Pero cuando todo parecía indicar que Obama, cumpliéndose los pronósticos de las encuestas previas, iba a ganar por muy poco, de repente empezó a aventajar a su candidato rival en muchos votos electorales: 20, 30, 50… y al final ganó por más de cien, que conociendo el sistema electoral norteamericano, es mucha ventaja. Nos quedamos pensando… o las encuestas previas estaban muy erradas (que tampoco me sorprendió) o hay algo más que no nos han contado y que ha supuesto un efectivo golpe de efecto. Muy efectivo.

Pues bien…, ya sabemos cuál ha sido el secreto de la campaña de Obama que le ha supuesto renovar su cargo durante cuatro años más: Facebook.

Ya, ya sé… Seguramente estarás pensando “pero cómo va Facebook a decidir el futuro de Estados Unidos”. Pues sigue leyendo…

La Cueva

Según nos cuentan, la campaña de Barak Obama comenzó hace dos años, cuando un misterioso y secretísimo equipo de informáticos y matemáticos se encerraron en un recinto sin ventanas, aislado, en un extremo del ala norte del cuartel general electoral en Chicago del presidente norteamericano. Solo había una persona que estaba al tanto de este secreto, su jefe de campaña, Jim Messina. ¿Y qué hacían en ese cuarto secreto? Pues en aquella sala blindada, una gran maquinaria dirigida por el científico jefe Rayid Ghani trabajaba 24 horas al día, todos los días de la semana, haciendo complejos cálculos y ecuaciones. De vez en cuanto, los técnicos hacían algún viaje a Washington para avanzar de sus avances a Obama y a un reducido grupo de fieles seguidores.

Esa sala blindada se bautizó como La Cueva, y aunque no trascendió ningún dato útil antes de las elecciones, algunos habían oído hablar de ese recinto. Cuando preguntaban sobre ese nombre al portavoz de la campaña, Ben LaBolt, contestaba sonriente que se trataba de “códigos nucleares”.

ESET españa nod32 antivirus privacidad campaña obama

(more…)



“Tratar con crueldad”. La brecha de Carolina del Sur evidencia un lamentable estado de la seguridad de la información a nivel gubernamental

Hoy nos hacemos eco en este blog de un artículo escrito por nuestro compañero Stephen Cobb, Security Evangelist en ESET, porque nos ha llamado poderosamente la atención: no solo por el hecho en sí, sino por sus consecuencias…

El título ya casi lo dice todo: ¿Tratar con crueldad? Pues sí, resulta que la gobernadora de Carolina del Sur ha reaccionado de forma un tanto desmesurada contra el cibercriminal que ha sido capaz de traspasar la seguridad del Departamento de Hacienda de Carolina del Sur (SCDOR) exponiendo públicamente los números de la seguridad social y otra información relativa a 3,6 millones de personas, así como 387.000 números de tarjetas de crédito y débito. Y su gobernadora, Nikki Haley, hablando con la prensa del suceso, ha manifestado en declaraciones públicas: “Quiero a esta persona estampada contra un muro… Quiero tratar con crueldad a este hombre”. Fuerte, ¿verdad?

Volveremos después a esta declaración de la gobernadora Haley en unos momentos, porque si contemplamos este suceso, que ha sido ampliamente descrito en detalle en Computerworld y en WBTV, veremos que la magnitud de la brecha de seguridad ha focalizado, de nuevo, la atención en la ciberseguridad a nivel de estado y de administraciones públicas. Y la situación que vemos no es muy halagüeña.

Las personas que están a cargo de la protección de nuestros datos, su procesamiento y almacenamiento son conocidos como CISOs, es decir, Chief Information Security Officers en inglés (Directores de Seguridad de la Información). Esta gente ha sido encuestada recientemente sobre el tema de ciberseguridad. Cuando les preguntamos si reciben el compromiso apropiado por parte de los ejecutivos así como la financiación o recursos para salvaguardar la seguridad de la información, apenas un 14% contestan afirmativamente. Incluso si tenemos en consideración que cualquiera que esté al cargo de algo normalmente siente que no tiene los recursos necesarios, el número es bastante alarmante. Y sin embargo, la respuesta es consistente con otra pregunta: el 86% de los CISOs que trabajan para los estados identifican “la falta de recursos o financiación suficiente” como una de las barreras clave para poder abordar, de la forma correcta, el problema de la ciberseguridad.

Veamos otra estadística que me ha sorprendido: la mitad de todos los CISOs tienen un equipo de cinco profesionales de la ciberseguridad o menos. Mientras que seguramente estás pensando que este número es bastante pequeño, déjame que te advierta de la fuente de estos datos: la National Association of State Chief Information Officers (NASCIO) y la firma Deloitte, que han trabajado conjuntamente en la elaboración del informe “State goverments at risk: A call for collaboration and compliance” (“Los estados en riesgo: una llamada a la colaboración y al cumplimiento”). El informe también se conoce como 2012 Deloitte-NASCIO Cybersecurity Study y está disponible para su descarga libre en formato PDF.

eset españa, nod32 antivirus, portada del informe de deloitte

Imagen de portada del informe de NASCIO y Deloitte. La metáfora lo dice todo.

Creo que cualquiera que esté familiarizado con la contratación de personal en el sector privado coincidirá conmigo que media docena de personas gestionando la seguridad de millones de datos privados de un estado completo es una situación sorprendentemente desproporcionada. De acuerdo, probablemente estas personas no son las únicas que trabajan en proteger los datos –seguro que más de uno tenemos la esperanza de que cada agencia del estado dedica parte de sus recursos humanos a este fin-, pero piensa por un momento en la cantidad de datos que cada estado almacena sobre nosotros: todo tipo de información privada y confidencial de sus habitantes, incluyendo nombre, dirección, fecha de nacimiento, número de la seguridad social, número del permiso de conducir, foto, peso, color de ojos, lista de propiedades, ingresos e impuestos pagados. Casi nada, ¿verdad?

Incluso en los estados menos poblados de Estados Unidos, Wyoming y Vermont, tienen más de medio millón de residentes cada uno. Intenta comparar mentalmente los Estados a compañías hipotéticas cuyos negocios pueden significar el procesar grandes cantidades de datos privados y confidenciales de, al menos, medio millón de clientes, o de cerca de seis millones, que es la población media de los estados de US. Es duro imaginar a estas compañías trabajando en la protección de tal cantidad de datos con solo seis profesionales de la ciberseguridad. Lo que es más, otro 28% de los CISOs solo tienen entre 6 y 15 personas en el equipo. Deloitte, en el informe, señala este dato como preocupante, ya que en una compañía del sector de servicios financieros, lo típico es tener al menos una cantidad cercana a 100 personas para manejar toda la seguridad de los datos. Quizá por todo esto, aquí la noticia no es tanto el hecho en sí que te estamos contando, sino que no haya más violaciones de la seguridad en otros Estados…

Si esto te parece preocupante y quieres saber más, espera a conocer otra perla del estudio bianual de Deloitte-NASCIO, que encontramos en algunas métricas interesantes que comparan datos de 2010 y 2012. Lamentable… Una de las comparativas dice en su edición de 2010 que el 88% de los CISOs que trabajan para las administraciones públicas consideran la falta de recursos como la gran barrera de la seguridad de la información, comparado con el 86% de 2012: es una mejora, evidentemente, pero no mucho si tomamos en consideración que han pasado dos años entre uno y otro estudio.

Volviendo a Carolina del Sur, la gobernadora Haley ha revelado que sabe perfectamente de dónde proviene el ataque, pero que no lo ha compartido con su equipo de gobierno. Sin embargo, sí está dando algunas pistas, sobre todo sobre el género del atacante al afirmar: “Quiero tratar con crueldad a este hombre”. No sé si el trato con crueldad es legal en Carolina del Sur, pero sí sé que el impacto de esta brecha de seguridad en los presupuestos del Estado puede ser brutal. Tomemos de referencia y con cuidado el cálculo realizado por Larry Ponemon acerca del coste que supone cada dato personal hackeado: unos 200 dólares. Si lo multiplicamos por los 3,6 millones de registros a los que el atacante ha tenido acceso, nos encontramos con la bonita cifra de 720,000,000 millones de dólares. Para ponerlo en perspectiva: es mucho más que las partidas presupuestarias destinadas a universidades y colegios de Carolina del Sur, que fue de 568,870,814 millones de dólares para el año fiscal 2010-2011.

Por mucho que la Hacienda de Carolina del Sur diga que buena parte de la información que ha sido filtrada estaba cifrada, este hecho, por sí mismo, no les exime de los costes de notificación y de solución. Los datos robados afectan a personas que no residen ya en Carolina del Sur, pero que han estado pagando sus impuestos entre 1998 y 2012. Y esto también significa en este caso que probablemente habrá otras leyes de otros Estados que también se tengan que aplicar. Teóricamente se supone que el cifrado de la información pudiera ralentizar el proceso de convertir los datos en dinero contante y sonante mediante la suplantación de identidad o el acceso fraudulento a cuentas bancarias y similares, pero el que esto sea una realidad depende de la fortaleza del cifrado.

Es curioso: esta brecha de seguridad en la hacienda pública llega menos de diez semanas antes del comienzo del nuevo año fiscal, que entra en vigor el próximo 1 de enero de 2013. Este es el momento en el que los americanos empiezan a rellenar y a entregar sus declaraciones, muchos de ellos solicitando la devolución de los impuestos pagados de más durante el año. Así que muchas de las peticiones de devolución fiscal solicitadas electrónicamente podrían crearse con números de la seguridad social robados, lo que podría suponer un gran problema para las arcas del Estado.

Para los criminales no sería nada complicado presentar versiones falsas de declaraciones de la renta utilizando los populares formularios W-2 y simular que el empleado en cuestión ha estado pagando más impuestos de la cuenta. Muchos empleados no suelen hacer su declaración de la renta hasta varios meses después de que haya comenzado el nuevo año. Y sorprendentemente, el organismo competente (Internal Revenue Service, IRS, el equivalente a nuestro Departamento de Hacienda) no suele verificar los datos aportados a los formularios W-2 recibidos hasta que la devolución no ha sido satisfecha. En otras palabras: primero devuelven el dinero y luego lo revisan. Y si hablamos de locuras… el servicio de Hacienda podría, bajo demanda, reintegrar el dinero a una tarjeta de débito pudiendo perder, de esta manera, el rastro de los datos. De hecho, esta es la receta para el fraude, lo que está costando al Departamento del Tesoro de Estados Unidos pérdidas de millones de dólares al año. Curioso, precisamente el mismo tipo de estafa que se puede cometer con los datos robados en Carolina del Sur.

Ya, ya sé qué estás pensando: nos pilla muy lejos, es Estados Unidos… Bueno, miedo me da preguntar al Gobierno español cuánta gente trabaja en la seguridad de la información salvaguardando nuestros datos. Si tienes el dato, compártelo. Ojalá estemos en este punto mucho mejor preparados que en el otro continente.

Solo te dejo unos apuntes para que juzgues por ti mismo: el Gobierno español ha publicado en 2011 un documento titulado “Estrategia Española de Seguridad“. El documento es público y libre para la descarga. Si echas un vistazo al índice, verás que se habla de las ciberamenazas en la página 65: apenas cuatro páginas donde, después de describir los diferentes organismos que tenemos en nuestro país encargados de este tema, pasa a relatar una serie de buenos deseos donde encontramos expresiones como “Mejorar la ciberseguridad pasa por fortalecer la legislación…”, “Además, hay que concienciar a las Administraciones Públicas, empresas y ciudadanos sobre el riesgo…”, “(…) debemos, a nivel nacional, crear más medios y coordinarnos mejor”…

Da la sensación de que queda todo por hacer, ¿verdad? Espero que sea solo una sensación y que no tengamos disgustos por el camino…

Yolanda Ruiz Hervás



Aumenta el gasto en compras online en España, pero se mantiene la desconfianza

Categorias: Estadísticas,Estudio,Informes | | Sin comentarios » |

El Observatorio Nacional de las Telecomunicaciones y de la Seguridad de Información, ONTSI, de Red.es, acaba de publicar su estudio “Comercio Electrónico B2C 2011”. Este estudio, que tiene carácter anual, analiza mediante encuestas los hábitos y comportamientos que tienen los internautas españoles frente a las marcas que operamos y vendemos online (B2C son las siglas de Business to Consumers, es decir, venta a usuario final). La verdad es que todos los que nos dedicamos a este mundo esperamos siempre ansiosos la publicación de esta información, por lo que nos aporta no solo como indicador de nuestra economía digital, sino porque incluye otros parámetros como son el índice de confianza que muestran los usuarios a la hora de comprar online, así como cuáles son las principales barreras o frenos de entrada al comercio electrónico.

Las buenas noticias económicas (que se agradecen en el contexto en el que nos movemos) es que el comercio electrónico en España ha crecido dos puntos porcentuales, ya que generó un volumen de negocio en 2011 de 10.917 millones de euros, registrando una tasa interanual de crecimiento del 19,8%.

 Eset españa nod32 antivirus ONTSI

Pero si hay un dato que realmente nos ha llamado la atención, y que lógicamente va unido al volumen de facturación, es la cantidad de usuarios de Internet que compran: en 2010 era del 50,7%, es decir, 13,2 millones de personas, cifra que ha aumentado hasta 25,9 millones de personas, representando un 66,3% de los navegantes. Eso sí, su gasto medio ha bajado un poquito, de 831 € a 828 €, pero con la que está cayendo, es normal que todos tengamos tendencia a ahorrar, aunque sea un poquito.

Si nos fijamos en los métodos de acceso a las webs de compra, vemos que aunque son varios los puntos de entrada, lo más común es acceder a través de un buscador:

 Eset españa nod32 antivirus ONTSI

Por otro lado, el 66,2% ha utilizado la tarjeta de crédito como medio de pago, ya sea de débito o de crédito, bajando el porcentaje a otros métodos quizá más seguros, como la tarjeta prepago.

Eset españa nod32 antivirus ONTSI

Porcentaje que aumenta si tenemos en consideración todo el volumen de comercio electrónico.

 Eset españa nod32 antivirus ONTSI

Ahora, vamos a pararnos un momento en lo que ONTSI detecta como frenos al comercio electrónico. Es decir, por qué la gente que todavía no lo hace no compra online…

Eset españa nod32 antivirus ONTSI

A poco que eches un vistazo verás que hay dos motivos que se repiten en cada una de las casuísticas: desconfianza hacia la formas de pago e incertidumbre a la hora de facilitar datos personales y su tratamiento posterior.

Al igual que nosotros, los cibercriminales conocen perfectamente los perfiles de los internautas, y por eso todas y cada una de sus acciones van encaminadas a cazar a sus víctimas allí donde saben que están. Lamentablemente hemos visto muchísimos casos de robos de información, de contraseñas, de información personal y financiera, y también conocemos muchos casos de sustracción de dinero o de suplantación de identidad a la hora de realizar compras cuyo producto nunca recibes. Y también hemos visto, y hemos hablado, acerca de cómo muchísimas plataformas se quedan con nuestros datos y los utilizan posteriormente con fines comerciales o de marketing, o…

Pero esto es como la vida misma: la vida tiene sus luces y sus sombras. Si lo piensas bien, salir a la calle también es peligroso, porque te puedes encontrar con locos que te pueden robar, hacer daño…, o te puede atropellar un coche. Pero no por eso dejamos de salir a la calle. Eso sí, salimos sabiendo las consecuencias y tomando nuestras precauciones.

Lo mismo sucede con la Red. Existen muchos peligros, sí, es verdad, y muchos desalmados cibercriminales que andan a la caza y captura de una víctima a la que robarle hasta la ropa interior si se deja. Y también muchos sitios fraudulentos de comercio electrónico, y muchos links que parecen lo que no son, y un larguísimo etcétera. Pero todo ello junto no debe ser óbice para no disfrutar de las grandes ventajas que nos ofrece Internet. Simplemente, nos indica que tenemos que recorrer un camino de aprendizaje que nos haga estar cada día más seguros, a evitar los sitios más peligrosos y a saber que si un desconocido viene hacia nosotros con gabardina, sombrero de detective y gafas de sol, igual no es lo que parece.

Nos encanta ver datos positivos, y os animamos a todos aquellos que tenéis problemas de confianza a atreveros a la aventura online. Pero eso sí, hacedlo con precaución, con una formación, educación y concienciación previa en seguridad y con una buena protección de seguridad instalada en el equipo. Y poco a poco, según nuestros conocimientos crezcan, según veamos que no pasa nada si realizamos compras en sitios de confianza y según nos convirtamos en un internauta que sigue buenas prácticas en seguridad, te irás dando cuenta de que Internet es genial, y que hay muchísimas cosas de las que podemos disfrutar en  total libertad y confianza.

Por una Internet más sana y por nuevas noticias como esta.

Yolanda Ruiz



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje