28 jul 2021

Clickbait o no, la odisea de saber cuánto debo invertir en ciberseguridad


Desde hace varios años, cuando empecé a cambiar el Burp por ecuaciones de 4 filas en Excel, comencé a entrar en debates algo más profundos sobre el por qué de ciertas cosas del sector. Una pregunta que siempre se suele repetir en mesas redondas, entrevistas con prensa o, simplemente, cuando visitas una empresa nueva, es la de "¿cuánto debo invertir en seguridad?". Que una Ibex35 invierta en ciberseguridad, es lo habitual. Si no, su negocio estaría perdido (y todo y con eso, muy a menudo sufren ciertos sustos). Pero... ¿y una PYME?

Antes de nada, me gustaría definir que es una PYME (en España), que es un concepto que no todo el mundo suele tener claro. De acuerdo al Anexo I del Reglamento (UE) nº 651/2014 de la Comisión, una PYME sería una empresa menor de 250 empleados o de 50 millones de euros de facturación. Dentro de las PYMEs, tendríamos 3 subdivisiones, las medianas (con más de 50 empleados y menos de 250, o más de 10 millones de euros de facturación y menos de 50 millones), las pequeñas (con más de 10 empleados y menos de 50, o más de 2 millones de facturación y menos de 10), y las micro (las que restan).

Vista la división del párrafo anterior, parece obvio que las PYMEs medianas y pequeñas deberían invertir en cyber porque se lo "pueden permitir", pero, opinión personal, nunca me han parecido acertadas las estrategias de invertir el X% de tu facturación en ciberseguridad, por poco que sea, dado que no podemos negar la evidencia de que la seguridad es un "gasto", y esto es algo que aprendes tras pegarte durante años con los departamentos de compras de infinidad de clientes. Hay que invertir, lo que haya que invertir. Entiendo su motivo, es una manera sencilla de categorizar y de recomendar algo que para muchos parece obvio, pero nos tiene que quedar claro el concepto de que la seguridad es una cuestión de confianza, y la seguridad debe implantarse cuando no tenemos confianza. ¿No confiamos en que nuestra aplicación sea robusta? Ponemos un WAF. ¿No confiamos en que nuestro servicio de correo frene el spam? Ponemos un antispam. ¿No confiamos en que nuestros desarrolladores programen sin generar brechas de seguridad? Establecemos un programa de auditorías periódicas. ¿No confiamos en que nuestra contraseña sea robusta? Desplegamos un 2FA. Cuestión de confianza. 

No todas las empresas nos dedicamos a lo mismo, y, por tanto, no todas tenemos las mismas necesidades de seguridad, ni tenemos por qué tener el mismo gasto.  Una PYME pequeña de unos 20 empleados que facture 1,5 millones de euros, y se dedique al comercio online, probablemente tenga que tener un buen ERP, un CRM, una aplicación fuerte y robusta para la venta online, una pasarela de pago, un buen WAF, un antispam top, etc. etc. Es decir, una parte importante de sus beneficios deberían ir dedicados a la calidad y seguridad de sus servicios, dado que es el core de su negocio. Sin embargo, Ibai Llanos, que también gana esos 1,5 millones de euros, probablemente le valga con tener su PC bastionado hasta los dientes con un buen antivirus, 2FA en todas sus cuentas, y en las de su mánager o agencia de marketing. ¿Veis por donde voy? Por mucho que las empresas tengan un "mismo tamaño" en lo que se refiere a nº de empleados o facturación, no tienen por que tener las mismas necesidad de seguridad, ni mucho menos tienen por qué realizar la misma inversión.

El Instituto Ponemon, que realiza muchos estudios de este tipo, sacó como conclusión en 2015 que las empresas invertían en ciberseguridad de media el 8,2% del presupuesto de TI. Así mismo, de acuerdo con otro estudio de IDG de 2020, las empresas españolas invirtieron el 4% de sus ventas en TI. Si hacemos una sencilla ecuación, obtenemos que el presupuesto cyber "medio" estaría en el 0,3% de la facturación, por lo que nuestros amigos Ibai y la PYME de comercio electrónico deberían invertir en ciberseguridad unos 45.000 € al año. Con estos números básicos, Ibai Llanos sería el influencer mejor protegido de Twitch :), pero la PYME de comercio probablemente sufra un leak más pronto que tarde...

¿Qué tenemos que hacer entonces? Pues lo que se lleva recomendando toda la vida, realizar un buen análisis de riesgos, identificar cuales son tus activos clave, localizar amenazas, riesgos y aplicar las mitigaciones que se estimen necesarias. ¿Necesito una ISO 27001 para ello? En absoluto. Si la implantas adecuadamente como mejora, te será de mucha ayuda dado que plasma el conocimiento de muchos profesionales en la materia y te dará una base sobre la que armar la seguridad global de la compañía. Pero si tu objetivo es implantarla por el mero cumplimiento (cumplo y miento), ahorratelo. Probablemente un nivel 1 de CIS Controls te dará una guía básica sobre como acometer esos primeros pasos en el camino hacia la ciberseguridad, con un trabajo que apenas te llevará una semana si eres una micropyme o una pyme pequeña. Y de esta primera revisión obtendrás un primer plan de acción que te permita calcular "cuánto" debes gastar para sentar una base mínima en seguridad.

No me enrollo más, simplemente quería dejaros esta reflexión/conclusión. No tratemos de buscar cifras mágicas que apliquen a cualquier negocio. Cada empresa necesitará gastar una cifra, y esta solo podrá ser calculada tras conocer sus necesidades y su situación actual.

Saludos!

22 jul 2021

CVE-2021-36934: Microsoft no gana para disgustos (y nosotros tampoco)

Muy buenas!

Después de un par de semanas con el revuelo del PrintNightmare (para los despistados, una vulnerabilidad que permitía ejecutar comandos como SYSTEM en Windows) este lunes nos fuimos a la cama viendo como el bueno de Benjamin Delpy (Kiwi o "el tío de Mimikatz" para los amigos) comunicaba una nueva vulnerabilidad grave que afecta a los sistemas Windows modernos: 10, Server e, incluso, el flamante nuevo Windows 11.


La vulnerabilidad realmente es simple: por alguna razón (¿despiste?), Microsoft ha cambiado las ACL de los ficheros SAM y SYSTEM para que puedan ser leídos por cualquier usuario del equipo, aunque no tenga privilegios de Administrador. Estos ficheros pueden ser utilizados para obtener los hashes NTLM de los usuarios locales del equipo y, de este modo, crackearlos para obtener las contraseñas en claro o usar directamente los hashes para autenticarte como otro usuario del equipo, como el administrador local del mismo, permitiendo una escalada de privilegios local de forma sencilla.

Tal vez a alguno le chirríe esto último: ¿autenticarte con el hash?¿Directamente, sin saber la contraseña? Sí, esto es lo que se denomina "pass-the-hash" y, aunque no tenga sentido ninguno... es algo antiguo, ampliamente conocido y que Microsoft, de momento, no va a cambiar ¯\_(ツ)_/¯

Volviendo a la vulnerabilidad, cualquier usuario tiene acceso de lectura a estos ficheros... pero no es tan trivial leerlos, porque están bloqueados por el Sistema Operativo. Sin embargo, aquí llega el segundo problema de esta vulnerabilidad: las Shadow Copies. Sin entrar en mucho detalle, esto es un servicio de Windows que crea instantáneas del equipo para recuperar en caso de desastre (los famosos puntos de restauración). El problema aquí es que la copia de seguridad de los ficheros SAM y SYSTEM sí puede ser leída con total normalidad y mantiene los ACL de los originales, lo que permite que cualquier usuario obtenga dichos ficheros de una forma totalmente trivial.

Para ver la criticidad de esta vulnerabilidad, en el siguiente vídeo de Kiwi podemos ver cómo la explota, cambiando la contraseña al usuario administrador local de la máquina aprovechando que puede leer la SAM y SYSTEM de la Shadow Copy sin tener privilegios de ningún tipo.


¿Y ahora qué?

Bien, lo primero que tenemos que hacer es asumir que somos vulnerables, ya que esto afecta a todos los Windows 10 a partir de la versión 1809. Este es uno de esos casos en el que actualizas y se lía (shame on you, Microsoft). Sin embargo, la solución es muy sencilla.

Si queremos confirmar que somos vulnerables, simplemente debemos lanzar el comando icacls C:\Windows\system32\config\SAM como administrador. Si aparece un resultado como el siguiente, tenemos el problema en casa:


Para arreglar esto, la solución propuesta por Microsoft en el CVE-2021-36934 es simple: arreglar manualmente las ACL a estos ficheros con el comando icacls %windir%\system32\config\*.* /inheritance:e (de nuevo, como adminstrador). En este caso, observaremos como los ficheros SAM y SYSTEM únicamente son accesibles por el grupo de Administradores.

Vale, llegados a este punto, la vulnerabilidad ha desaparecido... pero recordemos que lo más seguro es que tengamos una shadow copy con los ficheros SAM y SYSTEM del pasado, aún vulnerables.

Para confirmar que las shadow copies existen, usaremos el comando vssadmin list shadows (como administrador).


Como no sabemos en qué momento apareció la vulnerabilidad, siempre que sea posible, la mejor opción será borrar todas las shadow copies con el comando vssadmin delete shadows /for=c: /all.

Una vez hayamos borrado las shadow copies y arreglado las ACL de los ficheros SAM y SYSTEM, podremos volver a respirar tranquilos (y esperemos que durante cierto tiempo). Finalmente, podremos esperar a que se cree una nueva shadow copy o forzar su creación de forma manual a través de la herramienta de creación de puntos de restauración.


Saludos!!

20 jul 2021

Ciberseguridad: El gran reto de la era digital

El próximo día 22 de julio (jueves) a las 18.00 la Universidad Europea de Madrid realiza un evento sobre el reto que supone la ciberseguridad en la era digital. Tengo la suerte de estar presente en el evento, ya que llevaré el peso de las preguntas, junto a unos invitados de primer nivel. El próximo mes de septiembre tengo el honor de volver a la Dirección del Máster de Seguridad de las Tecnologías de la Información y las Comunicaciones. De 2018 a 2020 tuve la suerte de compartir Dirección y ahora en el curso 2021-2022 tengo la suerte de volver. 

¿Qué habrá en las mesas redondas? Habrá 3 mesas redondas con diferentes temáticas. 

Mesa 1: 18.00 a 18.40

El futuro de la ciberseguridad y el trabajo en el sector

Iván Sánchez (CISO de Sanitas en Europa y LatAm) 

Silvia Barrera

Daniel González Gutiérrez (Vicepresidente y Socio de Zerolynx) 

Pilar Vila (CEO en Forensic & Security y directora del Curso Online en Peritaje Informático) 

Juan Francisco Bolivar (Director, Head of Cybersecurity Operations and Cyber-Resilience en Radisson Hotel Group)


Mesa 2: 18:40 a 19:15

Ciberseguridad, una gran oportunidad de desarrollo para jóvenes

Santiago Hernández Ramos (ex-alumno. BBVA) 

Elías Grande (ex-alumno. BBVA) 

Álvaro Nuñez-Romero (ex-alumno. Telefónica Tech) 

Paula de la Hoz (Telefónica Tech)


Mesa 3: 19:15 a 19:40

Nuevas tendencias y plataformas: Youtube, Twitch y Ciberseguridad

Marcelo Vázquez (aka S4vitar)

Guillermo Obispo (Protapp)


Puedes contactar con los ponentes a través de MyPublicInbox.

Os esperamos en el evento el día 22 de julio a las 18.00.



13 jul 2021

Participamos en el XXI Congreso Español sobre Sistemas Inteligentes de Transporte (#ITSES2021)


Desde hoy, hasta el próximo jueves 15 de julio, en la Sala Retiro de IFEMA, tendrá lugar el XXI Congreso Español sobre Sistemas Inteligentes de Transporte (ITS). Durante estas tres jornadas se abordará el doble reto que se nos plantea para los próximos años: la aportación eficaz de los ITS en la consecución de las metas del Plan de Recuperación, Transformación y Resiliencia y la participación del Sector ITS en los importantes fondos para lograr el impulso que se requiere en este complicado momento. A través de diferentes conferencias y mesas de debate se presentará el tema desde diferentes ámbitos que prometen ser muy interesantes.

Desde Zerolynx tendremos la oportunidad de asistir al evento más importante del sector, a través de una relevante conferencia sobre la importancia de la ciberseguridad en la movilidad.

Actualmente, el aumento de conectividad en los vehículos inteligentes supone un grave problema para la sociedad, ya que ocasiona una mayor exposición ante ciberataques que puedan derivar de forma colateral en accidentes de tráfico o puedan alterar la circulación en las vías, aparte de afectar a la protección de los datos. Debido al peligro que supone un ciberataque y los graves efectos que puede causar en la sociedad, es necesario un exhaustivo diseño, implementación y evaluación de las medidas de ciberseguridad empleadas en los vehículos de nueva generación y sus sistemas de comunicaciones. Open Mobility Security Project tiene como objetivo ser el marco de trabajo de referencia que permita a fabricantes, proveedores y auditores evaluar la ciberseguridad de un sistema de movilidad conectado, siendo aplicable durante todas las fases del desarrollo de producto, facilitando así el cumplimiento normativo y la generación de evidencias que ello implica, de una forma ágil, sencilla y con gran trazabilidad, a través de un framework libre y abierto.

Nuestra presentación tendrá lugar mañana miércoles 14 de julio, durante el bloque “ITS para la Gestión de la movilidad”, el cual dará comienzo alrededor de las 17:15. No os la perdáis.

9 jul 2021

Prevención y mitigación de ataques Ransomware

Buenas! Hoy os traigo un post muy interesante para que podáis compartir con vuestras familias y amigos, compañeros y, en definitiva, con todos aquellos no tan habituados a tratar con la ciberseguridad diariamente como nosotros. Seguro que os ahorra alguna explicación que otra sobre el ransomware, por lo que recomendadles este artículo para que lo lean con calma y puedan aprender un poco más sobre este problema de actualidad. ¡No les asustéis demasiado!

Mucho texto, música de ambientación y.. acción.


¿Qué es un ransomware?

En un tipo de ataque realizado por ciber criminales que impide a los usuarios de la organización el acceso a sus archivos y por ende, a su sistema. Se caracterizan por exigir el pago de un rescate para poder "revertir" el ataque (normalmente, solicitado mediante pago vía criptomonedas, por su anonimidad). Comúnmente, realizan el cifrado de todos los datos de los equipos afectados pero, algunos además, roban y filtran los datos públicamente.

El 61% de las empresas sufrieron un ataque ransomware en 2020. Un 20% más que en 2019.

Nuestra recomendación siempre será NO REALIZAR EL PAGO BAJO NINGÚN CONCEPTO, ya que, de esta forma, promovemos el uso de este tipo de prácticas y no nos asegura que vayamos a revertir el estado de los archivos de nuestra organización.

Más del 52% de las empresas pagaron el rescate y solo el 66% de ellas, recuperaron sus datos. El 34% restante perdieron tanto el dinero, como todos sus datos.

Recientemente (y durante los últimos años) hemos visto el peligro y coste que suponen este tipo de ataques en organizaciones de cualquier tipo. Además de que muchos de los datos jamás podrán ser recuperados, puesto que el pago a los ciber criminales NO asegura para nada que vayan a revertir el estado de tus ficheros.

Los ataques ransomware son peligrosos además de por paralizar por completo la organización, por la facilidad con la que las organizaciones pueden ser infectadas.

Podéis leer estos desastrosos datos en la siguiente fuente: The state of email security report

¿Los ataques ransomware son peligrosos a pesar de tener una copia de seguridad de toda mi infraestructura?


Imagen de candado inútil

(Obviemos que esa copia de seguridad no es accesible desde la red interna de la empresa 😜)

Si, son peligrosos, puesto que el problema no es el ransomware sino que esto nos indica que la seguridad de la infraestructura y la formación de tus empleados en materia de ciberseguridad y prevención de ciberataques no está a la altura del cibermomento que vivimos. Hoy, será un ransomware, mañana, un leak de todos tus datos y pasado, los de tus clientes.

Las compañías que fueron atacadas con ransomware en 2020 perdieron una media de 6 días laborables de trabajo. Además, el 37% perdieron más de 7.

Además, es bastante improbable que exista una copia de seguridad completa de toda tu infraestructura y de tenerla, se perdería mucho tiempo en restaurar el estado anterior de todos los sistemas y podría conllevar una pérdida económica grave (esto, teniendo en cuenta que la copia de seguridad funcione, dado que en gran parte de los casos los backups nunca se prueban...).

Formación como método de prevención

Llegamos a un punto importantísimo y vital en este caso. Estos ataques, frecuentemente, comienzan a través de phishing, por ejemplo, vía correo electrónico y es por eso que los empleados son una parte fundamental en la prevención. Una correcta formación de la organización y todo su personal puede prevenir casi cualquier tipo de ataque satisfactorio a la compañía, puesto que son el primer punto de entrada de los ciberataques.

Actualizar, actualizar y actualizar 

Siempre hacemos hincapié en este punto, en la actualización del software utilizado en toda la compañía, además, del uso de software de calidad.

Los ataques con cualquier tipo de fin, aprovechan fallos publicados en internet del software que estemos utilizando en nuestra organización. De no tener nuestros sistemas y software actualizados, estaríamos poniendo en riesgo la integridad de los datos de toda la compañía (y de los clientes 😕), lo que podría conllevar pérdidas económicas y sanciones legales.


Las vulnerabilidades en software que aún no han sido parcheadas o revisadas son llamadas 0day.

Nuestra recomendación para la mejora de la prevención y mitigación de ataques ransomware

  • Actualizar la seguridad del correo electrónico de la organización.
  • Actualizar e inventariar cualquier tipo de software implementado en la organización.
  • Una correcta configuración de los servicios de email de la organización.
  • Uso de antivirus actualizado y de calidad.
  • Creación de múltiples copias de seguridad en diferentes ubicaciones y NO conectadas a la red empresarial, además, de pruebas periódicas de las mismas por parte del equipo técnico.
  • Implementar software de detección de vulnerabilidades.
  • Revisión de los posibles 0-day del software que utilizamos y notificar a los proveedores de dicho software para su corrección.
  • Contratar servicios de seguridad ofensiva, fortificación de los sistemas de información e inteligencia a empresas especializadas en este tipo de servicios.
  • Contratar servicios de formación en materia de ciberseguridad y prevención de ciberataques.
  • Procedimientos rigurosos de contraseña y autenticación de doble factor.
  • Contratar servicios de asesoramiento para la correcta implantación de la ciberseguridad en la organización.
Espero que sirva, al menos, como concienciación. 😄

¡Un cibersaludo!