Autor: Brenda

Categorías
Higiene Digital

¿Qué tan importante es la Higiene Digital?-2

Cyber security on internet concept with 3d padlock and shield, protect personal data and privacy from cyberattack and hacker, secure access on digital tablet computer

[btx_image image_id=»79″ link=»/» position=»overlapleft»][/btx_image]

La higiene digital es el concepto que agrupa los cuidados ante las consecuencias de nuestras interacciones con las nuevas tecnologías: todas aquellas cosas que se requieren para no afectar el uso constante del móvil, las tablets o los ordenadores, cómo lo es, darles el mantenimiento que requieren, configurándolos de modo que sean poco vulnerables, y actualizándolos de manera oportuna para mantener un entorno digital limpio.

“Así como ha incrementado el uso de tecnología para continuar con las actividades, también ha aumentado el número de intentos de ataques y fraudes digitales. Es por esto que la nueva normalidad no sólo viene acompañada de nuevas medidas de higiene personal, sino también requiere tener una mejor higiene digital para evitar ser víctima de algunos ataques digitales que han crecido a la par de la pandemia”. mencionó, la Dra. Verónica Rojas Mendizábal, Docente de la Escuela de Ingeniería de CETYS Universidad Campus Mexicali.

Para reforzar este concepto y adaptarlo a la vida diaria, hay que añadir, algunos de los hábitos que se deben adoptar para no ser presa fácil de crímenes cibernéticos es realizar constantemente una actualización y dar mantenimiento a los dispositivos, eliminando archivos y datos que ya no son funcionales, con énfasis especial en:

  • Antivirus: A medida que los hackers intentan nuevos ataques, los desarrolladores de antivirus agregan nuevos métodos para detectarlos, por eso, debes procurar contar con la versión más actualizada.
  • Contraseñas: Crear contraseñas difíciles de descifrar, que contengan palabras poco comunes, mayúsculas, minúsculas y caracteres especiales, y modificarlas cada seis meses, esto te ayudará a mantener tu información a salvo.
  • Fuentes de consulta: Sé selectivo o selectiva con la información que revisas. Algunas veces se difunden links que contienen virus, que pueden afectar a tus dispositivos, asegúrate de que las ligas que te comparten vengan de una fuente confiable antes de abrirlas.
  • Términos y condiciones: Antes de ejecutar aplicaciones móviles, lee los términos y condiciones, ya que muchas de las aplicaciones gratuitas te piden autorización para compartir tus datos. 
  • Respaldos: Crear respaldos periódicos es un importante hábito de higiene digital que te ayudará a recuperarte pronto en caso de ser víctima de un incidente.

Cuando trabajas de manera remota debes tener en cuenta que si tú tienes una excelente higiene digital pero las personas que trabajan no, quedas vulnerable. Frente a esto, las empresas deben promover entre sus colaboradores una cultura de buenos hábitos de higiene digital, y proveerles las herramientas necesarias para proteger su información, por ejemplo, con aplicaciones que garantizan una buena encriptación de datos.

Es importante mantener la Higiene Digital siempre como principal herramienta dentro de tu empresa, por ello nos ponemos a tu disposición para generar una cultura de Higiene digital impecable y lograble dependiendo los objetivos de tu empresa.

¿Ya conocías la importancia de la Higiene Digital?. 

 

Categorías
Uncategorized

¿Qué es la ingeniería social y cómo evitarla?-2

La ingeniería social, en el contexto de la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violen los protocolos de seguridad. Ya sea divulgar una contraseña, permitir que alguien acceda a las instalaciones o simplemente hacer clic en un enlace. Los objetivos de la ingeniería social pueden ser desde personas u entidades individuales hasta grandes colectivos, ya sea de forma indiscriminada o a colectivos dirigidos y concretos de una entidad.

Formas y prácticas de Ingeniería social:

Phishing

Es la forma más popular de la ingeniería, se realiza a través de la comunicación digital, cómo, correo electrónico o mensajes de texto. El phishing se basa en las probabilidades del envío de un mensaje masivo, atractivo y creíble, alguna de las personas receptoras hará clic, en un enlace incrustado en este.

El resultado del Phishing siempre será que el objetivo haga clic en un enlace que lo llevará a un sitio web bajo el control del atacante, a veces, el sitio web se verá como la página de inicio de sesión legítima de un sitio confiable, como la del banco del usuario, otras veces, el sitio web es legítimo y ha sido invadido por el atacante para redirigir a los usuarios a otra parte, como a un servidor de distribución de Malware.

Algunos atacantes se dirigen a grupos o individuos específicos, lo que se le conoce como Spear-phishing, en el caso de que el objetivo sean altos ejecutivos se le llama Whaling (Caza de ballenas).

Pretexting 

Es generalmente practicada por teléfono, en la que el atacante inventa un escenario creíble con el fin de persuadir a la víctima para que viole una política de seguridad. Por ejemplo: Llaman del supuesto servicio de atención al cliente o del de prevención del fraude de un banco, en la que el atacante intenta que el objetivo revele números de cuenta, números de identificación personal, contraseñas o información similar.

¿Cómo podemos prevenir los ataques de ingeniería social? 

La principal manera de mitigar los ataques de ingeniería social es la implementación de buenas prácticas de seguridad para minimizar los riesgos de seguridad asociados a la tecnología.

En Lithen diseñamos procesos y campañas para implementar buenas prácticas de seguridad minimizando, controlando y dando seguimiento a las víctimas.

Fuente: La universidad en Internet 

[btx_image image_id=»102″ link=»/» position=»center»][/btx_image]

Categorías
Seguridad en Desarrollo de Software

Desarrollo de Software Seguro-2

Computadora
Seguridad en el desarrollo de software

Es un modelo de trabajo que se basa en la realización de exploraciones de seguridad continuas dentro de la construcción de un proyecto, es decir desde sus fases iniciales y antes de que se escriba una sola línea de código. Estas pruebas se centran en descubrir y corregir cualquier error en una etapa temprana y comprenden tests de autenticación, autorización, confidencialidad, integridad, estabilidad, no repudio, disponibilidad o resiliencia.

El objetivo es asegurarnos de que impediremos el acceso al programa y a los datos almacenados por parte de los usuarios.

Ciclo de vida de desarrollo de seguridad 

El seguimiento de procedimientos recomendados para el desarrollo de software seguro requiere la integración de seguridad en cada fase del ciclo de vida de desarrollo, del análisis de requisitos al mantenimiento, independientemente de la metodología de proyecto.

Como resultado de infracciones de datos de alto perfil y el aprovechamiento de brechas de seguridad operativa, cada vez más desarrolladores comprenden que la seguridad se debe abordar a lo largo de todo el proceso de desarrollo.

Las fases para el desarrollo de Software seguro son las siguientes

  • Capacitación
  • Requerimientos
  • Diseño
  • Implementación
  • Comprobación
  • Resultados
  • Lanzamiento

Metodologías 

Las metodologías de desarrollo seguro de software sitúan a la seguridad en el centro del proceso.

Existen distintos modelos, concebidos por grandes compañías, organizaciones nacionales y bajo paradigmas de código abierto.

  • S-SDLC (Secure Software Development Life Cycle). Se basa en verificar los requisitos de seguridad a lo largo de las distintas fases de construcción del software: análisis, diseño, desarrollo, pruebas y mantenimiento. Sobre todo, durante las dos primeras, ya que gran parte de las debilidades de los sistemas se generan incluso antes de comenzar las tareas de programación. Las claves del S-SDLC son la atención al detalle, para favorecer la identificación inmediata de las vulnerabilidades; y la mejora continua.
  • CLASP (Comprehensive Lightweight Application Security Process): Proyecto del OWASP que establece una serie de actividades, roles y buenas prácticas dirigidas a coordinar los procesos de desarrollo seguro de software. La organización OWASP CLASP se asienta en cinco perspectivas o vistas que abordan los conceptos generales de esta metodología, la distribución de funciones, la valoración de las actividades aplicables, la implementación de estas actividades, y el listado de problemas que pueden dar lugar a la aparición de vulnerabilidades.
  • SSDF (Secure Software Development Framework): Iniciativa del NIST (National Institute of Standards and Technology de Estados Unidos), provee indicaciones para evangelizar a la organización acerca de la importancia de la seguridad informática; proteger el software de uso habitual ante hipotéticos ataques; orquestar un desarrollo seguro de software; y detectar y solucionar con rapidez cualquier vulnerabilidad.
  • Pushing Left, Like a Boss: Serie de artículos en línea donde se describen los distintos tipos de actividades de seguridad de aplicaciones que los desarrolladores deben seguir para crear código más seguro.
  • Plataforma de identidad de Microsoft: Se trata de una plataforma completa que consiste en un servicio de autenticación, bibliotecas de código abierto, registro y configuración de aplicaciones, documentación completa para desarrolladores, ejemplos de código y otro contenido. La plataforma de identidad de Microsoft admite protocolos estándar del sector tales como OAuth 2.0 y OpenID Connect.

Cualquier paso en falso puede develar datos personales o dejar un software a merced de mentes malintencionadas. Por ello, es imprescindible tener presentes las técnicas de desarrollo seguro de software en todo momento y en proyectos de todo tipo.

 

Fuente: Microsoft Documentación

Categorías
Uncategorized

Protege información y activos tecnológicos con las Pruebas de Penetración-2

HACKER

En LITHEN operamos con diferentes metodologías para evaluar riesgos y vulnerabilidades de seguridad en el desarrollo de infraestructura, de esta manera generamos estrategias integrales vinculadas a los objetivos de tu organización.

Una de estas metodologías son las pruebas de penetración, estás evalúan la seguridad de las organizaciones desde un punto de vista digital. Se utilizan para identificar fallos y mitigarlos antes de que se materialicen y causen un daño a la organización.

Las pruebas van más allá del análisis del código, se enfocan en el hackeo de la aplicación y/o la infraestructura digital. De esta manera se amplía la superficie de análisis para detectar mayor número de vulnerabilidades.

Las pruebas de penetración además permiten clasificar las vulnerabilidades de acuerdo con su tipo: aplicación o infraestructura y nivel de riesgo (Crítico, Alto, Medio, Bajo, Informativo). Proporcionan evidencias de la explotación y el impacto que genera en la organización. Brindan lo necesario para recomendar los controles que fortalezcan la defensa en el entorno digital con un enfoque de gestión de riesgos.

Para definir este servicio, en LITHEN operamos con distintas metodologías avaladas por distintos organismos, entre las más importantes destacan:

Pentesting de caja blanca

En una prueba de caja blanca se conoce la composición interna y se tiene acceso total al software para detectar vulnerabilidades, es decir, tienen pleno acceso al código fuente, a la documentación de la arquitectura y a las credenciales de usuario. Por eso se conoce como caja blanca, porque hay claridad total sobre la estructura que se quiere trabajar. A partir de esta prueba, puedes obtener una evaluación completa de las vulnerabilidades tanto internas como externas de la infraestructura TI.

Pentesting de caja gris

La prueba de penetración de caja gris, tiene una pequeña diferencia con la anterior, ya que solo se tiene acceso a las credenciales y no al código de fuente ni a la documentación de la arquitectura. En este caso, se realizan ataques desde la perspectiva de los usuarios para determinar el impacto que podría tener una persona malintencionada.

Pentesting de caja negra

En un pentesting de caja negra, no posee más información de la que ya es conocida por cualquier persona, poniéndose desde la perspectiva de un hacker externo. No tiene credenciales ni acceso a ninguna información privada.

El objetivo principal de todas estas es conocer si un atacante externo sin información previa podría obtener acceso al sistema, a la aplicación o a los datos de la organización.

Es necesario identificar qué tipo de prueba se realizará, si se trata de un aplicativo o su infraestructura de nube. Estas dos opciones contemplan alcances y metodologías distintas, por lo que es recomendable definirlas. 

El tipo de prueba define la manera cómo se realizará la evaluación de seguridad con respecto al punto donde el atacante está situado.

Pruebas internas

Son pruebas que se hacen dentro del ambiente en el que la aplicación converge con infraestructura de nube y en algunos casos en sitio. Generalmente evalúan servicios que no se encuentran publicados en internet. Se pueden realizar en aplicaciones, servidores, bases de datos o la red corporativa.

Pruebas externas

Se realizan sobre los servicios accesibles sólo desde internet, tal y como lo haría un atacante ajeno a la organización. Generalmente no se evalúan algunos servicios de la infraestructura, que solo están disponible si la prueba fuera interna.

El tipo de caja definirá el contexto de la prueba, estipulando si se realizarán pruebas estáticas, dinámicas, con credenciales de acceso al aplicativo o servidor.

En LITHEN te platicamos algunos beneficios de contar con estas Pruebas 

  • Identificar las vulnerabilidades técnicas que no puedan ser detectadas por un análisis de vulnerabilidad organizacional.
  • Identificar y clasificar los hallazgos de acuerdo con estándares internacionales de gestión de riesgos como lo es CVSSv3.1
  • Realizar un plan de solución a los hallazgos y de mejora continua.