Redes sociales en el trabajo

En la actualidad, las empresas necesitan tener presencia en Internet, y esto implica estar en las redes sociales. Para conseguir esto no solo se utilizan perfiles corporativos, sino que también se está empezando a permitir su uso a sus empleados.

Una buena utilización de las redes sociales supone un beneficio para las empresas. Ahora bien, es más que necesario crear un procedimiento de utilización de dichas redes porque cada comentario y publicación que se haga desde las cuentas oficiales de la empresa implicará, de cara a sus lectores, que estos siempre se atribuyan a la empresa y no al empleado que los escribió.

La utilización de cuentas personales en el trabajo se está empezando a permitir porque, dado que todos estamos interconectados y las usamos en nuestra vida cotidiana, hay estudios en los que se demuestra que en aquellas empresas que se permite su uso, sus trabajadores son más eficientes.

Aplicaciones-Android

Hace algún tiempo, el mayor inconveniente que veían las empresas para permitir el uso de redes sociales era la pérdida de tiempo para sus trabajadores. En la actualidad, el problema derivado de este uso es la gran cantidad de información que fluye a través de ellas y que, en algunos casos, puede ser utilizada para atacar a la empresa.

Respecto a las cuentas personales, se publica mucha información que puede ser muy útil para los cibercriminales a la hora de preparar ataques especialmente diseñados y dirigidos.

Con un poco de ingeniería social, y a través de las redes sociales, se pueden conseguir direcciones de correo electrónico, o conocer a más personal que trabaja dentro de la empresa. En definitiva, datos que podrían ser utilizados posteriormente.

Es por ello por lo que la utilización de redes sociales dentro de la empresa puede provocar un problema de seguridad, con lo que es más que necesario que ésta informe, forme y conciencie a sus trabajadores en cuanto a la seguridad en Internet se refiere.

Aparte de permitir recopilar información sobre el personal de la empresa, gustos, personalidad y otro tipo de información, las redes sociales son una cara visible de la empresa. En los tiempos que corren es posiblemente mucho más importante que su propio sitio web.

Es por esta razón por la que es necesario formar y concienciar sobre seguridad a las personas encargadas de las redes sociales de la empresa. Es muy necesario que siempre estén alerta, sean capaces de detectar si un enlace puede o no ser malicioso, detectar si un correo electrónico recibido es o no falso y, por supuesto, utilizar mecanismos de autentificación seguros.

Cuando nos referimos a mecanismos de autentificación seguros, queremos indicar que deben utilizarse contraseñas robustas y fuertes. Para no tener que recordarlas, es bueno la utilización de sistemas de almacenamiento de contraseñas (hay diferentes aplicaciones para esto, tanto para PCs o móviles como en la nube).

redes-sociales-seguridad-itsitio

Además, siempre que sea factible y la mayor parte de las rede sociales lo permiten, se debe utilizar una autentificación en dos pasos que consiste en el envío de un PIN tras introducir correctamente la contraseña. Hay diversas formas de hacer llegar este PIN al usuario; la más común suele ser un mensaje al móvil asociado a la cuenta.

En muchas ocasiones una misma cuenta es utilizada por varias personas. Esto provoca que, por comodidad, las contraseñas terminen siendo débiles (cortas, con palabras conocidas, sin incluir símbolos, etc.). El resultado, a veces, es un ataque a una cuenta de una red social y, vinculado a esto, que se puedan hacer publicaciones que pueden dañar la imagen corporativa.

Otro de los problemas asociados es la utilización de redes públicas o redes wifi no seguras. Es muy importante que, dado que la imagen corporativa es probablemente lo más valioso para una empresa, se tenga especial cuidado con estos puntos de acceso a Internet.

Cuando estamos en un hotel, en una cafetería o en cualquier otro sitio que nos ofrece wifi gratuito, corremos un gran peligro porque nunca sabemos quién más está en esa red. Es común que los cibercriminales se conecten a estas redes por la facilidad para atacar a un usuario, dado que ambos se encuentran en la misma red.

Es muy posible que la utilización de estas redes por parte de nuestros empleados no sea para usos importantes para ellos como transacciones bancarias, compras on-line, etc. Sin embargo, también es muy posible que no tengan esa percepción en cuanto a la importancia de las redes sociales. Incluso cuando sí son conscientes de la importancia de proteger sus cuentas, puede que solo las utilicen para visitar alguna web, sin darse cuenta de que las aplicaciones instaladas en el móvil están sincronizándose continuamente.

Por este motivo, es importante concienciar a quienes vayan a utilizar las cuentas corporativas para que no usen ese tipo de redes. En cualquier caso deberían de servir únicamente para tener conectividad y, una vez que se consiga, habría que tener algún mecanismo para una navegación segura, como puede ser una VPN (Red Privada Virtual), que opere en la empresa.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

14 apps de iPhone conectadas de manera encubierta con un servidor malicioso

En diciembre de 2017 algunos sitios publicaban el hallazgo de un malware en juegos para Android en Google Play que una vez instalados descargaban e instalaba desde un servidor “Golduck” un archivo APK malicioso. La amenaza, además de mostrar publicidad y enviar mensajes SMS Premium a los contactos, tenía la capacidad de controlar los equipos al permitir enviar sigilosamente código malicioso hacia el dispositivo infectado, especialmente si tenían habilitado el acceso root.

Sin embargo, recientemente investigadores de Wandera descubrieron 14 aplicaciones para iPhone que de manera encubierta se comunican con servidores asociados a Golduck. Se trata de juegos clásicos que se comunican con el mismo servidor C&C utilizado por el malware Golduck.

Según explicaron los investigadores al portal de TechCrunch, el dominio estaba siendo monitoreado por su uso para distribuir malware en el pasado. Pero decidieron investigar cuando comenzaron a ver comunicación entre dispositivos iOS y el servidor.

redes-sociales-seguridad-itsitio

Las apps de juegos involucradas son:

  • Commando Metal: Classic Contra
  • Super Pentron Adventure: Super Hard
  • Classic Tank vs Super Bomber
  • Super Adventure of Maritron
  • Roy Adventure Troll Game
  • Trap Dungeons: Super Adventure
  • Bounce Classic Legend
  • Block Game
  • Classic Bomber: Super Legend
  • Brain It On: Stickman Physics
  • Bomber Game: Classic Bomberman
  • Classic Brick – Retro Block
  • The Climber Brick
  • Chicken Shoot Galaxy Invaders

Si bien los investigadores afirman que las apps en sí mismas no representan una amenaza, sí ofrecen a un atacante la posibilidad de acceder al dispositivo del usuario que las tiene instaladas.

Por ejemplo, en el caso de Block Game, el juego ofrece publicidad a través de la red Google Admob, que se activa cuando el usuario presiona ciertos campos, como por ejemplo, el botón de pausa. Sin embargo, existen áreas secundarias que también activan publicidad pero que no están relacionadas con Admob, sino que están asociadas al conocido servidor malicioso de Golduck. Además, al presionar esta área se envía al servidor C&C información como la dirección IP, datos relacionados la ubicación, tipo de dispositivo y versión, además de la cantidad de publicidad desplegada en el dispositivo.

Desde TechCrunch corroboraron esto al probar instalando una de las apps de juegos en un iPhone y monitoreando los datos que son enviados.

Por el momento, las aplicaciones solo están desplegando publicidad, pero los investigadores expresaron al medio que existe preocupación por el riesgo latente de que se aproveche de esta funcionalidad de backdoor que deja la app con el servidor malicioso para enviar algún tipo de comando que suponga una amenaza más seria.

Se estima que las 14 aplicaciones fueron descargadas cerca de un millón de veces desde que fueron publicadas. Actualmente, las apps no están disponibles en App Store ya que los enlaces están caídos.

Como recomendación para los usuarios, aconsejamos siempre descargar aplicaciones de tiendas oficiales. Pero como vemos en este caso y también en otras oportunidades con Google Play, incluso en tiendas oficiales logran infiltrarse apps maliciosas. Por eso, es importante tomar recaudos adicionales, como revisar la cantidad de descargas, comentarios y calificación de la app, además de revisar los permisos que solicita y concedes a la aplicación antes de instalarla.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

10 principales fallos de seguridad de los dispositivos IoT

La Fundación OWASP (Open Web Application Security Project) es una organización dedicada al análisis y divulgación de temas, documentos y herramientas relacionadas con la seguridad del software a nivel global. Recientemente publicaron su “IoT Top 10 2018” como parte de su proyecto enfocado a la Internet de las Cosas. Un breve documento en el que se indica cuáles son los 10 principales problemas de seguridad asociados con dispositivos de la Internet de las Cosas (IoT) y que deberían ser tenidos en cuenta por todos aquellos que desarrollen, creen o manejo sistemas IoT.

1. Contraseñas débiles, predecibles o dentro del código

Uso de credenciales no modificables, disponibles de manera pública o fáciles de adivinar mediante fuerza bruta; e incluso de backdoors en firmware o software cliente que permiten obtener acceso no autorizado a sistemas aprovechando estas contraseñas vulnerables.

Aplicaciones-Android

2. Servicios de red inseguros

Servicios de red inseguros e innecesarios corriendo en el propio dispositivo, especialmente en aquellos expuestos a Internet, que comprometen la confidencialidad, autenticidad o disponibilidad de la información o permiten control no autorizado de manera remota.

3. Ecosistema de interfaces inseguros

Problemas de seguridad en interfaces web, móviles, en la nube, o API de backend en ecosistemas que están fuera de los dispositivos y que permiten que tanto los dispositivos como ciertos componentes relacionados puedan ser comprometidos.

4. Falta de mecanismos de actualización seguros

Falta de un sistema sencillo para actualizar el dispositivo de manera segura. Esto incluye: falta de validación del firmware en el dispositivo, falta de seguridad en el envío (tránsito no cifrado), falta de mecanismos que permitan evitar volver un paso hacia atrás, y falta de notificaciones acerca de cambios de seguridad debido a las actualizaciones.

5. Uso de componentes poco seguros o anticuados

Uso de componentes/librerías de software obsoletas y/o inseguras que podrían permitir que el dispositivo sea comprometido. Esto incluye personalizaciones inseguras de la plataforma del sistema operativo y el uso de software de terceras partes o componentes de hardware de una cadena de suministro comprometida.

6. Insuficiente protección a la privacidad

Información personal del usuario almacenada en el dispositivo o en el entorno al cual se conecta el dispositivo que es utilizada de manera poco segura, inapropiada o sin permiso.

redes-sociales-seguridad-itsitio

7. Transferencia y almacenamiento de datos de manera poco seguro

Falta de cifrado o control de acceso para datos sensibles que están dentro del ecosistema; incluyendo datos en reposo, en tránsito o durante su procesamiento.

8. Falta de controles de gestión

Falta de soporte de seguridad en dispositivos lanzados a producción, incluyendo la gestión de activos, gestión de actualizaciones, desarmado seguro, monitoreo de sistemas y capacidades de respuesta.

9. Configuración poco segura por defecto

Dispositivos o sistemas lanzados con configuraciones por defecto poco seguras o sin la posibilidad de hacer más seguro al sistema mediante la aplicación de restricciones a partir de cambios en la configuración.

10. Falta de hardening

Falta de medidas que permitan robustecer los dispositivos desde el punto de vista físico, lo que permite a potenciales atacantes llegar a información sensible que podría ser de utilidad en un futuro ataque remoto o tomar control local del dispositivo.

Hace ya un tiempo que la seguridad en los dispositivos IoT es un tema que se sigue de cerca. Aspectos como la insuficiente protección a la privacidad, que se menciona en el punto 6, también fueron detectados por investigadores de ESET en un estudio que se publicó a principios de 2018 luego de analizar doce populares dispositivos IoT disponibles en el mercado y en el que cada uno de los dispositivos inteligentes evaluados presentó algún problema de privacidad; además de otro tipo de vulnerabilidades.

Hay quienes ya tomaron nota de algunos de estos problemas que presentan los dispositivos IoT y están tomando medidas, como es el caso del estado de California, en Estados Unidos, que aprobó una nueva ley que para el año 2020 exigirá que todos los dispositivos inteligentes comercializados deberán venir configurados con contraseñas únicas.

De acuerdo a la opinión jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez, en el informe Tendencias 2019, es de esperarse que este año veamos con más frecuencia casos de amenazas desarrolladas específicamente para dispositivos IoT.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Liberan a joven de 20 años responsable del ciberataque que afectó a políticos alemanes

El domingo pasado autoridades alemanas registraron la vivienda de un joven de 20 años en la ciudad de Heilbronn, sospechoso de ser el autor de la exposición de datos privados de políticos alemanes y otras figuras públicas del país germano en los días previos a la navidad. Tras ser detenido por la Policía, ayer lunes fue interrogado por miembros de la Fiscalía de Fráncfort y reconoció su responsabilidad en el ataque. Sin embargo, fue puesto en libertad el mismo lunes por la noche por no haber motivos suficientes para mantenerlo bajo custodia.

redes-sociales-seguridad-itsitio

El joven es un estudiante que vive con sus padres y que adquirió sus habilidades de manera autodidacta. Asimismo, dijo haber expuesto los datos por estar molesto por declaraciones realizadas por políticos y distintas figuras públicas de su país, aseguró el fiscal Georg Ungefuk, que es a su vez el portavoz de la Oficina Central de Lucha contra la Ciberdelincuencia (ZIT) del Fiscal General de Fráncfort.

De acuerdo a la información que dejó la investigación, el joven actuó solo y no cuenta con antecedentes penales. La información fue expuesta desde dos cuentas de Twitter diferentes, una denominada “God” y otra “Orbit”. Según cifras del Ministerio Federal del Interior, el ataque afectó a unas mil personas entre políticos, periodistas y celebridades, aseguró el medio local rbb24. Los datos fueron divulgados siguiendo el formato del calendario de Adviento, realizando una filtración por día entre el 1 y el 24 de diciembre, que incluyó números de teléfono y en algunos casos de tarjetas de crédito.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

  • 1
  • 2
Iberbyte informática® 2019. Todos los derechos reservados©. -