Continuamos con la segunda entrega de esta serie de artículos que hemos puesto en marcha, con el objetivo de concretar la evolución de amenazas para los diferentes entornos en este año 2014. Se trata de una serie de predicciones realizadas hace pocos meses, pero que van cumpliendose irremisiblemente.

BYOD: Trae tu propia destrucción

BYOD o Bring Your Own Device es algo que está en boca de todos desde hace algunos meses, al menos para los que seguimos las fuentes de información sobre seguridad de primera mano. Se trata de un concepto popular que permite a los trabajadores desarrollar sus actividades también cuando no están en la oficina, ya sea a través de su PC de escritorio, portátil, tablet o smartphone.

El BYOD es muy satisfactorio para el trabajador, le permite funcionar en un entorno que ya controla. Para la empresa existe una mezcla de sensaciones, ya que por un lado le permite ahorrar bastante dinero en equipamiento, mientras por otro supone un dolor de cabeza, pues impica definir políticas de seguridad adicionales y más control. Muchas empresas siguen reticentes a esto, pues siempre hay una parte del proceso de trabajo de sus empleados que no podrán controlar o asegurar, al menos como ellas quisieran.

Para solventar este problema se han diseñado las MDM o Mobile Device Management , suites de control y seguridad que permiten controlar de forma bastante exhaustiva estos dispositivos y sus comportamientos. Pero es una medida "paliativa", más que protectora, y su alcance es limitado. Por eso, conviene mantenerse al margen de este fenómeno en redes de alta seguridad o integridad de datos.

Los trabajadores evaden las herramientas de privacidad

Los sitios web se diseñan, ante todo, para ser funcionales y atractivos. Normalmente están diseñados de forma sencilla al uso, incluyendo las máximas opciones y características posibles. Todos los que hayamos usado, alguna vez, aplicaciones corporativas para realizar tareas concretas (no hablemos ya de las industriales) habremos comprobado el contraste que hay con lo anterior. Son sistemas diseñados hace muchos años , que normalmente no son actualizados o mimados para su usabilidad y que no se alteran porque cuesta dinero y...aún funcionan ¿verdad?

Si esto ocurre, el resultado es instantáneo: el empleado acaba abandonando la red corporativa para buscar la funcionalidad deseada en la red de redes, incluso aunque sea totalmente contrario a lo "permitido" por la normativa de la empresa. Es más frecuente de los que parece que, por ejemplo, un empleado recomiende a otro enviar un archivo a través de una cuenta de correo externa, que no tiene esa "estúpida" limitación de 2 Mb por archivo, o pasar enlaces a través de Facebook, Yahoo o similar, para saltar el filtro que el sistema de seguridad de la empresa bloqueará de forma inmediata.

Estudiemos, por tanto, las necesidades de nuestros trabajadores y mejoremos sus herramientas.

Ciberseguridad: no es una moda pasajera

Las modas vienen y van, en Internet como en ningún sitio. Pero esto no es como los vinilos o la música disco. Aunque al principio parecía una moda, el término sigue plenamente vigente. Algunos diríamos que más que nunca.

Sin embargo donde si ha habido confusión es a la hora de distinguir entre seguridad interna y seguridad externa o de cara a la red. Sin embargo, en estos dos últimos años, se ha confirmado que ambos términos deben ser estudiados. Muchas compañías han descuidado uno de estos dos apartados, por lo que su seguridad no ha llegado al nivel que debería, facilitando la tarea a los atacantes.

Poco a poco, lo que se va viendo es que la ciber-seguridad ya no es una preocupación que se percibe en los niveles gerentes y altos cargos de una empresa, sino que ha pasado a la base de la misma a través de normativas y políticas (incluso con sanciones). Aún queda mucho por hacer, no obstante, y a medida que todo avanza en la red, se hace imprescindible seguir adaptando la normativa para no dejar "huecos" inseguros. Es algo que concierne a todos los individuos de una empresa sin importar su cargo, y las empresas que no apliquen esta idea lo acabarán pagando.

No podemos confiar en nadie

Trust No One (TNO) es la consigna incamsable de Steve Gibson (desarrollador de grc.com y el show Security Now, además de un gurú de la ciber-seguridad). La frase quiere decir lo que véis, hasta sus últimas consecuencias.

El hecho es, que cuanto más dependientes nos hacemos de otros, en este caso hablando de servicios online, más vulnerables nos volveremos. Es algo que quedó demostrado el año pasado y deberemos seguir recordando para no equivocarnos.

La primera máxima de esta técnica es no dejar que nada escape a nuestro control. Por ejemplo, navegando sin antes haber cifrado nuestros archivos. Muchos asumen que su ISP o proveedor va a proteger sus datos y esto no es así, pues estos podrían acabar siendo escuchados, capturados y vendidos o utilizados en nuestra contra. Podrían aplicarnos un ataque MiTM o secuestrarnos alguna sesión de escritorio remoto o navegación.

Cada sesión de navegación debe empezar con una buena base, encriptado mediante TLS (SSL), SSH o cualquier forma disponible. Incluso usando un sistema de transmisión encriptado, antes deberíamos encriptar nuestros archivos personales y de valor antes de hacerlos circular por la red.

Más Phishing y más específico, además de SPAM

Parece que ya nos hemos hecho insensibles al elevado nivel de SPAM y otros emails indeseados del día a día. 2014 asiste a nuevos crecimientos de envíos de spam, ataques tipo phishing y otros ataques basados en ingeniería social. El ratio de nuevos usuarios de Internet está creciendo a niveles más rápidos que nunca, empujado por los países que están sufriendo cambios económicos. Por otro lado, crece de forma nunca vista el número de smartphones y dispositivos móviles, algo que ningún atacante o grupo pasará por alto.

Con un mercado de opciones tan rico para un hacker , las infecciones y filtrados de datos aumentan, lo que a su vez generará más SPAM, ya que todos estos dispositivos contienen información que en muchos casos permite que el atacante copie modelos de comunicación de empresas o asociaciones.

Social Network Harvesting

Facebook, Google+ o Twitter, el "abc" de cualquier internauta hoy en día...no son medios seguros. Mucha gente se siente como en una burbuja de seguridad ficticia, ya que pueden hablar con sus amigos o compañeros sin que nadie les moleste, pero la realidad es que nuestra privacidad se va por el sumidero lentamente.

Los hackers son los primeros en consultar las redes sociales cuando buscan información sobre un objetivo (empresa o individuo). Es un fenómeno que continuará creciendo este año, mientras los malos siguen depurando sistemas que puedan analizar de forma automatizada y más rápida las bases de la Big Data .

Pensaos dos veces lo que publicáis en Internet.