Google cambia la forma de iniciar sesión en Gmail: tu contraseña ya no será suficiente

Google establecerá por defecto la autentificación en dos factores con la que los usuarios deben confirmar su identidad a través de su teléfono móvil

Introducir tu contraseña de Gmail en un computador, móvil o tablet ya no será suficiente para poder acceder a tu correo electrónico o otros servicios de Google. La compañía ha anunciado en un comunicado que «pronto» empezará a «implementar automáticamente la autenticación en dos pasos para todos los usuarios».

La autenticación en dos pasos es una capa de seguridad adicional de seguridad que pretende verificar que quien está introduciendo una contraseña es realmente el propietario de una cuenta de Google.

Su funcionamiento es relativamente sencillo. Según explica el propio gigante de internet en su blog, los usuarios «tienen que confirmar que realmente son ellos con un simple toque en un mensaje de Google enviado a su móvil«.

Para la mayoría de los usuarios se trata de una medida útil ya que supone una dificultad añadida de cara a que una tercera persona no autorizada (un conocido que ha averiguado su contraseña o un ciberdelincuente que la ha descubierto a través de una filtración o hackeo masivo) pueda acceder a la cuenta de Google de la víctima y con ella a información sensible como correos electrónicos, listado de contactos, fotografías, etc.

Sin embargo, para algunos usuarios este cambio puede suponer un pequeño inconveniente ya que, en la mayoría de las ocasiones, será necesario que lleven el teléfono móvil consigo para confirmar su identidad. Algo no siempre posible en situaciones de apuro o emergencia donde tenemos que conectarnos desde el computador o el móvil de un conocido.

COMO CONFIGURAR LA AUTENTIFICACIÓN EN DOS PASOS

Para la inmensa mayoría de los usuarios, la autentificación en dos pasos resulta un buen modo de proteger las cuentas de correo electrónico y redes sociales y su proceso de activación es sencillo y gratuito.

Si quieres activar manualmente esta función, debes acceder a tu cuenta de Gmail introduciendo tu nombre y de usuario y contraseña de manera normal. Una vez que se ha logrado el acceso, debes hacer click sobre el icono con 9 puntos que se encuentra en la esquina superior derecha de su pantalla y se abrirá un desplegable. Dentro de dicho desplegable, debes seleccionar la opción de cuenta (que normalmente será la primera que aparezca).

Una vez dentro del apartado «cuenta» debes seleccionar la opción «seguridad» en el lateral izquierdo de su pantalla para, a continuación buscar el menú «Iniciar sesión en Google».

Dentro de dicho menú aparecerá la opción de «verificación en dos pasos» que nos permitirá configurar esta opción en nuestra cuenta de Google.

CÓMO SABER SI MI CONTRASEÑA SE HA FILTRADO O HACKEADO

Las contraseñas de millones de usuarios se encuentran publicadas en Internet a disposición de estafadores y ciberdelincuentes sin que sus propietarios legítimos lo sepan.

Afortunadamente, existe una manera sencilla de saber si nuestra contraseña se ha visto comprometida en algún tipo de hackeo o filtración. Esta comprobación es sencilla, gratuita y el proceso no llevará más de 30 segundos.

Para ello, debes acceder a la web haveibeenpwned.com. Una vez dentro, encontrarás una barra de búsqueda en la que nos pide que introduzcamos nuestro teléfono móvil (que debemos escribir en formato internacional) o la dirección de correo electrónico cuya seguridad queremos comprobar.

A continuación, debemos pulsar en el botón de «pwned?» y esperar unos segundos a conocer los resultados. La propia web cotejará el correo introducido y el móvil con los millones de cuentas previamente filtradas y nos dirá si nuestro correo o teléfono se ha visto comprometido en algún momento.

Auditorías de diseño: ¿la función de Auditoría Interna debe participar en los desarrollos tecnológicos estratégicos de las organizaciones?

Por: Por Julio Francisco Naranjo Figueroa – Maestría en Ciberseguridad- Ingeniero Civil Informático.

Como lo comenté en mi artículo “Tormenta Digital Perfecta”, el entorno variable actual VUCA y la digitalización acelerada, producto de muchos factores, entre ellos la pandemia de COVID-19, empuja a las organizaciones a adaptarse rápidamente a los cambios de la tecnología y el mercado, implementando, por medio de la tecnología, desarrollos estratégicos cada vez más rápidos, ágiles y adaptables.

Punto débil de los desarrollos ágiles, riesgos externos

El punto débil de los desarrollos ágiles más común, es la menor visibilidad y tratamiento de los riesgos externos, normativos, regulatorios y el cumplimiento de políticas en cada proyecto estratégico, generando la necesidad de incluir una mirada distinta, temprana e independiente como la de un auditor, que permita aportar como uno más del equipo, sin perder su posición de independencia de la Auditoría, al desarrollo de los proyectos, considerando aspectos  relacionados con la gestión de riesgos, apoyando la identificación y elaboración de las estructuras de control adecuadas en el diseño de las soluciones en etapas tempranas, pudiendo incluirlas en los objetivos del proyecto, siendo parte del presupuesto y alcance del mismo.

En los entornos y equipos de desarrollo de proyectos tecnológicos estratégicos, ágiles y no ágiles, comúnmente, no se ve la participación de las unidades independientes de aseguramiento de auditoría interna, perdiendo un enorme potencial de aporte al asesoramiento oportuno a los proyectos estratégicos, de parte de estas unidades, a las organizaciones, para identificar o evaluar las estructuras de control y los procesos que mejor facilitan el logro de los objetivos, promoviendo un gobierno sólido y una adecuada gestión de riesgos, gracias a las propias funciones de auditoría descritas en los siguientes ámbitos de acción:

  • Mantiene la responsabilidad primaria, ante el organismo de gobierno y la independencia de las responsabilidades de la gestión.
  • Comunica el aseguramiento independiente y objetivo, junto con el asesoramiento a la dirección y al organismo de gobierno, sobre la adecuación y la eficacia de este, así como también, la gestión de riesgo (incluyendo el control interno), para apoyar el logro de los objetivos organizacionales, promover y facilitar la mejora continua.
  • Informa al organismo de gobierno, las deficiencias en la independencia y la objetividad, aplicando las salvaguardas necesarias.

Así mismo, la guía del 2015 “Aprovechar el COSO en las tres líneas de defensa” desarrollada entre el Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO) y el Instituto de Auditores Internos para ayudar a las organizaciones a mejorar sus estructuras generales de gobierno en materia de control interno, al aplicar cada uno de los 17 principios, abre la posibilidad a que las áreas de auditoría, puedan de cierta forma combinar un asesoramiento, consulta o supervisión más cercano a las áreas gestoras y dueñas del control interno, para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, controles y gobierno de forma preventiva, que en este caso, sería a los equipos de proyectos estratégicos, manteniendo estrictamente la independencia y la objetividad de la función de la Auditoría Interna. Adicionalmente, es importante recordar que, en materia de auditorías de la efectividad de las estructuras de control interno, existen dos perspectivas: (i) la auditoría de la operatividad de los controles que están implementados, pero también (ii) la auditoría del diseño de estas estructuras de control interno, que permite identificar controles incorrectamente diseñados, o simplemente la ausencia de controles, para abordar los riesgos que deberían. Nos solemos quedar con la primera, y desgraciadamente olvidamos la segunda, que normalmente es más importante, si cabe.

Lamentablemente, en la realidad de las organizaciones por la dinámica de los proyectos , el mercado digital, o el propio time to market, comúnmente no se ve la participación permanente de las unidades de Auditoría Interna en etapas tempranas, dejando supeditado su campo de acción en el entorno productivo, perdiendo de esta forma la oportunidad de concretar un aporte con su visión holística e independiente de gestión de riesgos, adquirida por el conocimiento y entendimientos de las estructuras y entornos de control de la organización.  Justamente, esa mirada más amplia de las estructuras de control, es la que habitualmente no tienen los proyectos ágiles, dado que están muy enfocados en el avance de la funcionalidad, además de los riesgos propios del propio proyecto, apalancado por la velocidad que le imprimen, perdiendo de vista los riesgos externos en el desarrollo de las estructuras de control, desde la génesis del proyecto, dejando esta tarea a las áreas operativas de producción y haciendo más costosa su implementación, corriendo el riesgo de incumplimiento regulatorio, como en la protección de datos personales o leyes de delito informático, o simplemente aumentando la exposición innecesaria a los ciber-riesgos, exponiendo a las organizaciones a daño reputacional o compromiso de la continuidad operativa, dejando en manos de la tercera línea de defensa la detección de hallazgos como los anteriormente mencionados.

Oportunidades para las unidades de Auditoría

Hoy, la tercera línea defensa, como le llaman algunos, o la función de supervisión independiente que debe representar Auditoría Interna, cuenta con muchas más herramientas para adelantar su evaluación del diseño de estructuras y entrono de control, pudiendo utilizarlas en etapas tempranas del desarrollo de los proyectos. Esto supone sinergias económicas para la Organización, dado que la auditoría de diseño se ejecuta antes de que el proyecto “nazca” con debilidades relevantes en su diseño, cuya corrección posterior resulte más onerosa. En este sentido, una de las herramientas que se pueden utilizar es la Auditoría Continua, descrita en la Guía del Instituto de Auditores Internos GTAG-3, donde se habla de realizar una revisión de la efectividad del diseño de controles, que sean realmente clave de forma continua, con el fin de mantener una retroalimentación a las áreas gestoras de los desvíos detectados. En este caso, lo que aplicaría sería sobre controles clave de los nuevos proyectos, que se encuentra en desarrollo, como por ejemplo, controles de segregación de entornos de desarrollo tecnológicos, controles de versionamiento en entornos de desarrollo, porcentajes de cobertura de los test o QA, controles de gestión de identidades, evaluación de calidad del código fuente, pruebas de seguridad de la información de datos personales, controles de activación de pistas de auditoría (integración con SIEM), entre otros. Evitando con esto, el tener que realizar correcciones posteriores al final del proyecto, que resultan extremadamente costosas y suelen ser más lentas. Todo lo anterior, debiese estar acompañado de auditorías cortas o light, con foco en los hallazgos y retroalimentación ágil, a las unidades de desarrollo en el feedback, sobre la construcción de las estructuras de control, cuando se están creando y no cuando están en operación.

Conclusiones:

La respuesta a la pregunta planteada al principio de este artículo es , las unidades de auditoría deben participar y asesorar, a través de una auditoría de diseño, en el aseguramiento independiente de la eficacia de los procesos de gestión de riesgos en los desarrollos estratégicos. En este sentido, hoy se cuenta con abanico de posibilidades y herramientas para realizar dicha función, aportando de forma significativa a la calidad de los proyectos con una mirada holística y de aseguramiento de los entornos de control interno conforme se van diseñando, asesorando mediante su visión experta en control interno a los equipos de desarrollo, como uno más de los equipos de proyectos, manteniendo la independencia de la función de auditoría ya que los hallazgos son debidamente reportados, buscando ser un aporte en etapas tempranas en el diseño de las estructuras de control, cuando se están creando en el desarrollo. 

Para ello, propongo un modelo concreto y mixto de dos componentes o evaluaciones contrastados, desarrollando un auditoría continua de diseño en controles clave y un Self Assesment, dirigido a los equipos de proyecto, donde el objetivo de la auditoría continua sería la evaluación permanente de controles clave siendo mucho más oportuna y preventiva que la auditoría tradicional aportando con la visión histórica de la efectividad de los controles como por ejemplo en la segregación de entornos de desarrollo tecnológicos, controles de versionamiento, porcentajes de cobertura de los test agiles o QA, aspectos de protección de datos personales, entre otros.  Así mismo, el objetivo del Self Assesment de los equipos de desarrollo ágiles estratégicos, sería un proceso de auto evaluación que aporte valor a través de la mirada interna de los equipos como dueños del control interno sin ralentizar la velocidad propia de la agilidad.  Al identificar los puntos de contraste de estas evaluaciones, se podría efectuar la detección y el levantamiento y para la gestión oportuna de mejoras, por medio de retroalimentaciones ágiles de parte de auditoría a los equipos de desarrollo, ganando entre otras cosas, mejorar los desvíos de forma más económica, ya que las desviaciones o debilidades son remediadas de una forma oportuna en fases iniciales del proyecto, aportando incluso a la disuasión de posibles fraudes o afectación de índices clave para el gobierno corporativo en su plan estratégico.

Referencias

Guía de Auditoría Continua GTAG-3

https://auditoresinternos.es/uploads/media_items/f%C3%A1bricaaudcontinuaweb.original.pdf

COSO “Aprovechar el COSO en las tres líneas de defensa” 2015

https://global.theiia.org/translations/PublicDocuments/COSO-2015-3LOD-Thought-Paper-Spanish.pdf

COSO “ERM 2017 y la Generación de Valor Deloitte” 2017

https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf

Modelo de las tres líneas de defensa 2020: https://global.theiia.org/translations/PublicDocuments/Three-Lines-Model-Updated-Spanish.pdf

Aprende a evitar el email spoofing o suplantación de identidad por correo electrónico

Por Rodrigo Ledezma – Miembro de IVSecurity

Esta técnica consiste en enviar correos con remitente falso y de esta forma difundir spam, malware, generar ataques de phishing o suplantar la identidad de directivos de la empresa, proveedores o clientes. Para identificar cuándo estás recibiendo este tipo de mensajes, deberás interpretar las cabeceras de los correos de esta forma podrás identificar:

1.-La información relativa al emisor y al receptor

2.-Los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino

3.-El cliente de correo que se utilizó para enviarlo

4.-y la fecha de envío y recepción del email.

Aquí un ejemplo de cómo revisar un correo de gmail:

• Abre el correo del cual quieras obtener las cabeceras.

• A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».

Haz clic en «Mostrar original».

Copia el contenido e introdúcelos en https://toolbox.googleapps.com/apps/messageheader/

Da click a analizar cabecera.

Aquí en el informe podrás apreciar el tiempo que demoró el correo desde que se envió hasta que llegó a su destinatario. (un tiempo excesivo de entrega indica que puede ser un correo fraudulento) El campo «From:» donde revisarás que el dominio coincide con el emisor del mensaje que hemos recibido (no hay suplantación). Y que los registros SPF, DKIM y DMARC han sido verificados correctamente.

Google Play Store, ¿la principal fuente de Malware?

Tendemos a pensar que la Play Store de Google es un espacio seguro para descargar e instalar nuestras apps, y a grandes rasgos es así. Google cuenta con un protocolo de supervisión de las apps que distribuye en su propio mercado, para asegurarse de que cuenten con las condiciones adecuadas para ser distribuidas online y garantizar la plena seguridad de los dispositivos de los usuarios.

Sin embargo, un reciente estudio de NortonLifeLock sostiene que hasta un 67% del malware que afecta a los dispositivos Android proviene de apps instaladas desde la propia Play Store de Google. Muchas de ellas suelen ser apps complementarias que aprovechan el tirón de apps más populares. Kaspersky Labs fue capaz de localizar hasta 20 apps maliciosas en torno al Minecraft que habían logrado pasar el filtro de la Play Store de Google.

Se trata de una estadística preocupante que nos invita a buscar alternativas a Google para garantizar la seguridad de nuestros dispositivos, especialmente cuando los utilizan los más pequeños de la casa, que suelen caer más fácilmente víctimas de las estafas y el software malicioso en internet. Estas son algunas de las medidas que puedes adoptar para proteger tu dispositivo.

1. Instala un software anti-malware

Aunque normalmente los virus no son demasiado problemáticos en los smartphones, contar con un antivirus o un software antimalware de confianza en tu teléfono puede facilitarte la detección y eliminación de las apps maliciosas. Esto es especialmente útil a la hora de bloquear las apps que parecen superar los controles de Google, y que aparentan ser ‘legítimas’ desde la Play Store.

A la hora de instalar un software anti-malware, evita los softwares genéricos y trata de apostar por empresas reconocidas, para asegurarte de que funcionan adecuadamente.

2. Utiliza una VPN

Una VPN es una de las herramientas de ciberseguridad esenciales a la hora de proteger los datos que envías o recibes desde tus dispositivos. Esto es especialmente importante si realizas compras con tu smartphone, accedes a tu banca online, o tienes vinculado tu correo electrónico. Una VPN encripta de forma segura todos los datos que envías o recibes desde tus dispositivos, para garantizarte que solo tú y tus destinatarios puedan acceder a ellos.

Si no estás familiarizado con el funcionamiento de las VPNs, puedes instalar una VPN gratis y probarla durante 30 días para comprobar todas sus ventajas. Además, una VPN también te servirá para proteger otros equipos, como laptops o tablets.

3. Desconfía de las apps que solicitan permisos excesivos

Algunas apps solicitan una cantidad de permisos que no parece lógica considerando la función que tienen. ¿Por qué necesitaría una app linterna acceder a tus fotos personales y realizar llamadas? ¿Por qué necesita un calendario acceder a tu cámara frontal? Si una app solicita permisos excesivos, descártala de inmediato para evitarte males mayores. Ten presente que algunas de estas apps abusivas pueden ser muy populares: Facebook o Instagram son aplicaciones que monitorizan prácticamente todo lo que ocurre en tu smartphone así que quizá sea mejor desinstalarlas y optar por redes sociales más seguras como Twitter.

4. Utiliza contraseñas robustas y únicas

En promedio, cada persona tiene unas cien cuentas en diferentes plataformas de internet. Se trata de una cifra muy elevada de nombres de usuario y contraseñas que puede tentarnos a reutilizar algunas de nuestras claves o a elegir contraseñas relativamente fáciles de recordar (y adivinar). Esto es un grave error. Una sola filtración en una sola de estas plataformas podría entonces habilitar el acceso de un hacker a una gran cantidad de nuestras cuentas, incluyendo quizá nuestra banca online o nuestro correo electrónico personal.

Para evitarlo, utiliza siempre contraseñas seguras y robustas únicas para cada plataforma. Puedes ayudarte de un gestor de contraseñas si es necesario.

5. Haz que tu smartphone sea solo tuyo

No es buena idea compartir el uso de tu smartphone con otras personas, por más que se trate de personas en quienes confías, y por más que no tengan la menor intención de causar daños a tu dispositivo. La mayor parte del malware que descargamos en nuestros smartphones lo hacemos por accidente, así que asegúrate de minimizar riesgos y ser tú la única persona que gestiona tu teléfono. Adopta las medidas de protección necesarias, presta atención a las apps sospechosas, y todo debería ir bien en lo sucesivo.

¿Qué hacer cuando un extraño te pide un código de verificación que llega a tu teléfono?

Por Rodrigo Ledezma – Mg en ciberseguridad – Miembro de IVSecurity

Este ciberataque se vale del engaño, es decir, utiliza lo que es conocido como ingeniería social, en estos casos el atacante se hace pasar ya sea por un comprador, servicio técnico o utilizando otras diversas excusas para lograr el engaño y de esta forma solicitar códigos que ha llegado a tu teléfono.
Una vez con estos códigos, el delincuente tendrá acceso a tus conversaciones y contactos. Posteriormente utilizará tu información y tu identidad para engañar a tus contactos haciéndose pasar por ti.

*Es por ello por lo que nunca debes compartir los códigos de verificación que llegan a tu WhatsApp.

*Nunca debes ingresar a enlaces o link que sean enviados por un desconocido, y si es un conocido verifica que él te lo haya enviado.

*Si un contacto conocido te envía mensajes solicitando ayuda económica verifica que esta solicitud realmente sea la persona que conoces.

“Desarrollo Ágil de aplicaciones, sobre tecnologías de código abierto y los Ciber-Riesgos asociados”

¿Es seguro el desarrollo de nuevas tecnologías utilizando código abierto en metodologías ágiles?…

Comenzaré este nuevo artículo con la premisa que la mayoría de las organizaciones de hoy buscan la eficiencia máxima en el desarrollo de productos y servicios, con ciclos de vida cortos para cada producto y servicio, muy enfocadas en la adaptación a la necesidad propia del cliente objetivo, propio de la 4ta revolución industrial. Utilizando como base productiva la explotación en las tecnologías de la información, que les permiten aspirar a lograr el objetivo anteriormente descrito con el menor coste posible, aspirando a mantener un flujo financiero saludable. En el “Estudio de la Agilidad en América Latina”,  realizado por IDC (International Data Corporation) a solicitud de la consultora tecnológica Everis en agosto de 2020, asegura que más de la mitad de las empresas líderes de la región latinoamericana, han logrado reducir costes gracias a la aplicación de métodos ágiles, dado que reducen los tiempos de trabajo y permiten el continuo lanzamiento de nuevos productos al mercado. Así mismo un informe de KPMG publicado en agosto 2020, sobre “Gestión estratégica del talento ante la nueva realidad”,menciona que alrededor del 60% de las organizaciones indican que sus futuras prioridades son el reajuste de los espacios físicos y desarrollo de equipos y desarrollos de equipos ágiles debido al aumento del personal en modalidad de teletrabajo por COVID 19.

Las organizaciones, apuestan por transformar su desarrollo tecnológico y de aplicaciones, pasando de un desarrollo de software tradicional, en base a proyectos tipo cascada o secuencial, hacia uno lo más ágil y/o adaptable a las necesidades del cliente, posiblemente impulsados por el propio time to market de los productos, la presión del propio mercado en que les toca jugar, o simplemente por la estrategia de digitalización organizacional en que se encuentran, que apunta a la eficiencia digital.  Según el estudio de Deloitte, publicado en el 2019 “Peldaños hacia una empresa ágil” existen 4 grandes etapas para el despliegue total de la transformación hacia una empresa ágil.

El desarrollo de una Metodología Agile o Ágil está orientada a la gestión de proyectos o iniciativas y puede utilizarse también en múltiples otros aspectos de la vida diaria, utiliza ciclos de desarrollo cortos, iterativos e incrementales, llamados Sprint para centrarse en la mejora continua del producto o servicio, más que centrarse en la gestión del proyecto mismo. Existen distintos marcos o metodologías ágiles utilizados, como Scrum o Kanban, por mencionar algunos. Independiente del marco o método ágil utilizado para gestión de proyectos de desarrollo de software, es necesario identificar e integrar a la agilidad todo el proceso productivo del mismo, como la gestión de cambios y estructura de testing, entre otros, para asegurar la agilidad e independencia. Así mismo, se debe considerar siempre una adecuada gestión de riesgos en cada ciclo. Como lo indica Javier Pardo en https://www.paradigmadigital.com/techbiz/arquitectura-software-catalizador-agilismo/

“Independientemente de los matices en la definición de agilidad, lo que está claro es que, para ser ágiles, todos los engranajes y resortes de nuestro proceso o sistema deben serlo”.

 Hoy existe un consenso bastante aceptado en que la gestión adecuada de los riesgos en todas las etapas o ciclos iterativos de los desarrollos ágiles resulta clave, ya que con los ciclos iterativos cortos minimizan cualquier impacto imprevisto en el desarrollo del producto, por ejemplo, la flexibilidad propia de los proyectos ágiles, reduce los riesgos relacionados con el negocio, el feedback periódico reduce los riesgos relativos a expectativas de los stakeholders, la modularidad o la arquitectura modularizada en el desarrollo ágil es otro factor muy clave para la detección y remediación oportuna de las posibles desviaciones o incidentes, dado que desarrollan pruebas totales en cada ciclo o entregable, asegurando usabilidad o funcionalidad, además de la mantenibilidad, adaptabilidad y escalabilidad. Por otra parte, al ser la propiedad del proyecto de todo el equipo de desarrollo y tener responsabilidad colectiva, reduce el riesgo general del fracaso, entre otros tantos buenos ejemplos.  Sin embargo, según la organización y comunidad https://agileriskmanagement.org/about-us/,  que documenta y difunde buenas prácticas de gestión de riesgos en proyectos ágiles, es posible que no aborden por completo los riesgos externos a los que está expuesto un proyecto. Estos pueden incluir riesgos ambientales, políticos y legales (por ejemplo, si los elementos del producto están sujetos a requisitos reglamentarios, políticas de seguridad o ciberamenzas en los componentes externos del desarrollo de software). Por lo que, es importante que el rol o personas encargadas de la gestión y liderazgo de los equipos de trabajo, utilicen espacios para analizar los posibles riesgos externos, que se pueden presentar y tener planes de acción para que se pueda adaptar al contexto.

Independiente de la etapa en que se encuentres las organizaciones, siempre se encontrarán con el inconveniente de hacer convivir ambos procesos en determinados momentos (desarrollo tradicional y el ágil), además de los costes o limitación de presupuestos que significa la transformación. Dicho lo anterior, es que muchas de estas organizaciones optan por el uso de herramientas de código abierto o del tipo open source, en que las barreras de entrada del punto de vista económico son mucho más bajas, además de ser muy flexibles y adaptables para el desarrollo ágil y no ágil, dotando al código abierto de una mayor flexibilidad y la creación de conocimiento interno importante.

Código abierto en los desarrollos ágiles

El termino Open Source, viene de los programas de código abierto desarrollados en comunidades de colaboración de forma descentralizada. Que el software sea Open Source, no significa que el software ejecutable se distribuya de forma gratuita, pero sí su código fuente por medio de las comunidades. Por lo general, se habla de «software libre» para destacar la libertad en los derechos de los usuarios finales, pero a veces puede confundirse con el significado de «gratuito”.

Por nombrar algunas características, que se combinan muy bien con los desarrollos ágiles iterativos de software o aplicaciones comerciales, cualquiera puede leer el código, es totalmente transparente, adaptable y flexible, además de ser relativamente sencillo de auditar e incluso colaborar en el desarrollo de funciones. De hecho, el código abierto ha demostrado ser lo suficientemente estable y seguro, así como de ser capaz de detectar y solucionar vulnerabilidades en el menor tiempo posible.

La colaboración entre las empresas y las comunidades del código abierto ha derivado en la oportunidad de conocer los problemas de primera mano, que pudieran afectar a los usuarios, proporcionarles las metodologías y soluciones efectivas a vulnerabilidades comunes en foros o comunidades, lo que permite la colaboración en función a la seguridad propia del código y las aplicaciones liberando de forma continua parches de seguridad o actualizaciones.

No todo puede ser tan bueno en el Open Source

Es un hecho que la mayor parte de los programas desarrollados en la línea del Open Source, por comodidad, reutilizan librerías o componentes gratuitos disponibles en las comunidades de desarrollo abierto, dado que, si se tuvieran que desarrollar desde cero, llevaría mucho tiempo y trabajo, afectando a los tiempos y plazos donde la amenaza del Time to Market se hace presente.  Es en este punto, se comienza a producir un punto de inflexión en la seguridad dado que la reutilización aumenta la probabilidad de materialización de riesgos de ciberseguridad, y las librerías o componentes muchas veces dejan de ser mantenidas por las comunidade. Esta situación es equivalente a la finalización del soporte técnico de un producto licenciado, por lo que se puede presentar un potencial backdoor producto de alguna vulnerabilidad no parcheada en dichos componentes reutilizados. Así lo demuestra un estudio llevado a cabo por la plataforma Veracode, que indica la existencia de una gran cantidad de programas de código abierto que reutilizan librerías también libres, y muchas de estas librerías, aunque funcionan, tienen graves problemas de seguridad.  Adicionalmente, cada librería usa, a su vez, una gran cantidad de dependencias también de código abierto. Veracode, en su publicación “State of Software Security (SOSS) V11”, de un total de 132.465 aplicaciones escaneadas, desde abril 2019 a marzo 2020, encontró que 7 de cada 10 aplicaciones tienen un fallo de seguridad en una biblioteca de código abierto, perteneciente a un tercero en el escaneo inicial, existiendo más vulnerabilidades en bibliotecas de terceros, que el código base nativo. También, publica en el mismo informe, que el 47% de esas bibliotecas defectuosas en las aplicaciones son transitivas; en otras palabras, no son introducidas directamente por los desarrolladores, sino que son arrastradas por las bibliotecas ascendentes.

Así mismo, en el estudio se demuestra que no todas las bibliotecas tienen vulnerabilidades y exposiciones comunes (CVE); esto significa que los desarrolladores no pueden confiar solo en las CVE para conocer los defectos de la biblioteca. Por ejemplo, más del 61% de las bibliotecas defectuosas en JavaScript, contienen vulnerabilidades sin los CVE correspondientes.

               Por otra parte, algunos ecosistemas de lenguajes tienden a atraer muchas más dependencias transitivas que otros. En más del 80% de las aplicaciones JavaScript, Ruby y PHP, la mayoría de las bibliotecas son dependencias transitivas.  Entre los fallos principales de OWASP detectados en el mismo informe, las debilidades en torno al control de acceso son las más comunes y representan más del 25% de todos los fallos. Cross-Site Scripting, es la categoría de vulnerabilidad más común que se encuentra en las bibliotecas de código abierto, presente en el 30% de las bibliotecas, seguida de la deserialización insegura (23,5%) y el control de acceso roto (20,3%).

               Otro ejemplo más reciente del riesgo del uso de las librerías de código abierto es la librería “Libgcrypt”, con un conjunto de herramientas criptográficas de código abierto que se ofrece como parte del paquete de software GnuPG, para cifrar y firmar datos y comunicaciones.  El 2 de febrero de 2021 el portal hispasec.com, informó que es vulnerable y debe ser parcheada lo antes posible por un desbordamiento de buffer que permite sobre escribir memoria más allá del mismo, además de permitir redirigir el flujo de ejecución, sin tener que preocuparse por protecciones como el ASLR (Address Space Layout Randomization), siendo posible, saltar a código cercano dentro de la librería afectada. Si no sabemos que nuestros desarrolladores utilizaron esta librería o en qué parte del código, tampoco sabremos del riesgo que corremos.

El Software libre seguro no existe, lo construimos cada vez que lo programamos.

El software seguro, no es escribir aplicaciones a la perfección la primera vez, sino corregir las fallas de manera integral, oportuna y de forma ágil. Sabemos, que es más fácil encontrar y solucionar problemas en aplicaciones jóvenes o con menos rodaje de codificación, que utilizan lenguajes y marcos modernos, pero incluso con aplicaciones con más “rodaje” productivo o con tecnología más antigua, si los equipos de desarrollo utilizan prácticas de codificación seguras e iterativas, como desarrollar búsquedas frecuentes de fallas, la integración y automatización de los controles de políticas seguridad, agregando una mirada holística del estado de la aplicación, tienen más probabilidades de desarrollar un software seguro.

Existen métodos seguros ya conocidos para la inspección y análisis de código fuente, que permiten alcanzar el objetivo:

  • Inspección estática de código fuente (SAST – Caja Blanca), que permite detectar desviaciones de seguridad en propio código fuente, en etapas tempranas del desarrollo de software, como reutilización de códigos inseguros, uso de protocolos no seguros, entre otros.
  • Inspección dinámica de código fuente (DAST – Caja Negra), relacionada con el análisis de vulnerabilidades y permite a los desarrolladores detectar problemas durante la ejecución del código.
  • Inspección interactiva de código fuente (IAST – Función de las anteriores o caja Gris), permite detectan vulnerabilidades, estas tienen un enfoque similar a un usuario del sistema.
  • Análisis de Composición de software (SCA), una tecnología utilizada para identificar o descubrir componentes de fuente abierta y de terceros en uso en una aplicación y sus vulnerabilidades de seguridad conocidas, las herramientas de SCA examinan el software, para determinar los orígenes de todos los componentes y bibliotecas dentro del software.

Por otra parte, también existen otras herramientas de detección y protección de amenazas sobre las aplicaciones ya productivas, que podrían compensar de alguna forma el riesgo de la falta de revisiones preventivas en el desarrollo iterativo ágil, colaborando con la disminución de la probabilidad de la materialización de ciberataques o también, se podría decir que disminuyen la superficie de ataque sobre las aplicaciones, dentro de las que puedo comentar como WAF (Web Aplication Firewall), que previene de tráficos maliciosos hacia o sobre las aplicaciones y RASP (Runtime Application Self Protection), que añade sensores internos, que analiza la respuesta de la aplicación a cada petición de servicio en tiempo real y es compatible con cualquier entornos por ejemplo en la nube.

Cada uno de estos métodos o herramientas, tiene sus ventajas y desventajas. Por lo que, una combinación y correlación correcta de ellas es fundamental y se debe hacer dependiendo del valor asignado por el negocio, al propio del activo de software (aplicación) a proteger. De esta forma, se deben cubrir todas las etapas desde el proceso iterativo de desarrollo desde las etapas tempranas, hasta los entornos productivos de forma flexible, adaptable, integrado a la gestión del riesgo en todos los ciclos, permitiendo a los desarrollos ágiles, tener más información para evaluar los riesgos externos en cada ciclo iterativo de evaluación.

Conclusiones

Algunas de las posibles causas de los problemas del código abierto que afectan por un lado la seguridad y por otra afecta a la credibilidad de los proyectos ágiles

Normalmente, el código abierto lo mantiene una comunidad que se dedica a lanzar actualizaciones y parches, así como mantener la seguridad del proyecto. Sin embargo, en ocasiones ese proyecto se abandona. Podemos seguir utilizando el programa de código abierto, pero no recibimos actualizaciones. Esto, hace que puedan surgir vulnerabilidades que sean aprovechadas por los piratas informáticos, para poner en riesgo nuestra seguridad y privacidad.

También, hay que tener en cuenta que las vulnerabilidades que haya en este tipo de software, suelen hacerse públicas rápidamente. Si no tomamos las medidas adecuadas, ni un programa que utilizamos, no ha sido parcheado correctamente, nuestros datos pueden estar en peligro y puede invitar a que los piratas informáticos se aprovechen.

A veces, podemos hacer uso de programas de código abierto, que, a su vez utilizan diferentes complementos que también son software libre. El problema llega cuando alguno de esos complementos, deja de existir o no recibe actualizaciones

La conclusión en un comienzo no es tan buena como pensaba antes de escribir el artículo, ya que estamos hablando de un volumen importante de amenazas, que no siempre son observadas por los desarrolladores de software en el entorno ágil, dado que se puede confundir la agilidad y rapidez con la falta de revisiones periódicas y holísticas que permitan identificar los riesgos externos del propio desarrollo. Por otra parte, es muy importante, considerar siempre el descubrimiento y las actualizaciones de inventario de los componentes de arquitectura de software, que soportan el software del tipo Open Source, manteniendo las actualizaciones, que solucionan una gran parte de los problemas identificados.

Por tanto, puedo concluir una respuesta afirmativa a la pregunta ¿Es seguro el desarrollo de nuevas tecnologías utilizando código abierto en metodologías ágiles?, siempre y cuando los equipos de desarrollo y arquitectura utilicen prácticas de inspección y codificación seguras e iterativas, como desarrollar búsquedas frecuentes de fallas, la integración y automatización de aplicación de controles de políticas seguridad, agregando una mirada holística de gestión de riesgos externos.  Dado que intrínsecamente en su definición el código abierto no es inseguro, depende mucho del uso que le demos, o para que lo utilicemos, además del contexto de la arquitectura sistémica en que se realice.

En las manos de los programadores y los equipos ágiles está el llevar a cabo medidas para prevenir o reducir los riesgos que pongan en peligro la seguridad o privacidad al usar software libre.

  • Como primeras medidas, sería integrar la seguridad en el SDLC (System Development Life Cycle), desde las primeras fases hasta el final de ciclo y debe realizarse de forma continua e iterativa.
  • Por supuesto, un punto importante, es mantener actualizado el software. Ya hemos mencionado, que a veces surgen vulnerabilidades que son corregidas mediante parches y actualizaciones. Es cierto, que no siempre están presentes, pero sí en la mayoría.
  • Tener siempre las últimas versiones del software que utilicemos. Así, evitaremos esos problemas que puedan ser aprovechados por los piratas informáticos, para llevar a cabo sus ataques.

Se debe estar al tanto de las vulnerabilidades externas. A veces, puede surgir quede que un complemento que usamos tenga algún fallo de seguridad y sea necesario desinstalarlo. Es importante, que tengamos esto en cuenta para la cadena de suministro de librerías y/o componentes utilizados como insumos para los desarrollos o mantenimientos.

El objetivo de la seguridad del desarrollo de software o aplicaciones, no es escribir aplicaciones a la perfección la primera vez, sino hacerlo lo mejor posible de forma eficiente y utilizando estándares de los ciclos de desarrollo seguro, detectando y corrigiendo las fallas de manera oportuna e integral.

“Aplicar foco en la detección y remediación de las fallas de seguridad en etapas tempranas del desarrollo iterativo libre, es claramente la base de un software seguro, además de ser más económico y eficiente”

Por Julio Francisco Naranjo Figueroa

Maestría en Ciberseguridad

Ingeniero Civil Informático.

Miembro de IV Security

Grupo de Cibercriminales estarían difundiendo información falsa sobre la vacuna contra la COVID-19

La Agencia Europea de Medicamentos cree que la manipulación de los datos filtrados por cibercriminales es un intento para «socavar» la confianza en la vacuna en la COVID-19.

La Agencia Europea de Medicamentos (EMA) ha informado que parte de los datos filtrados sobre la vacuna de la COVID-19 han sido alterados antes de su publicación en línea. Se trata de correos electrónicos confidenciales que un grupo de hackers robó en diciembre de 2020.

Un informe de la agencia reveló que los atacantes robaron información sobre los procesos de evaluación de la vacuna de BioNTech-Pfizer y Moderna. En el mismo documento, indicaron que no se había encontrado evidencia de acceso no autorizado a información sobre los participantes del estudio. La alteración de la documentación podría ser un intento para «socavar» la confianza en la vacuna.

Luego del ataque, la EMA inició una investigación y continuó con el proceso de revisión y autorización de la vacuna. Si bien los plazos programados no se vieron alterados, un mes más tarde de aquel episodio se desconoce quiénes accedieron a sus servidores para robar información y por qué la modificaron antes de publicarla.

No obstante, desde la agencia piensan que la manipulación de la información por parte de los hackers puede deberse a un intento para «socavar» la confianza en la vacuna con desinformación. Precisamente esta hipótesis surge en medio de un terreno en el que las fake news —desafortunadamente— son moneda corriente en las redes sociales.

El informe de la EMA también alerta sobre la precisión del ataque. Los ciberdelincuentes apuntaron directamente a datos relacionados a medicamentos y la vacuna contra la COVID-19. «La agencia continúa apoyando plenamente la investigación criminal sobre la violación de datos. Las autoridades policiales están tomando las medidas necesarias», indicaron.

Los esfuerzos internacionales para hacerle frente a la pandemia de la COVID-19 han sido —y siguen siendo— monumentales. Sin embargo, las amenazas también. La Agencia Europea de Medicamentos no ha sido la única víctima de ciberdelincuentes. El pasado mes de diciembre, IBM reveló un ataque contra la cadena de frío de la vacuna.

IBM Security X-Force descubrió una sofisticada campaña de phishing contra eslabones de la cadena de suministros en al menos seis países. Entre ellos se encontraban Alemania, Italia, Corea del Sur, República Checa, Europa y Taiwán. Debido a la sofisticación del ataque indicaron que podría haber sido comandado por un Estado-Nación.

Transformación digital y Blockchain con Julio Naranjo | Radio Montecarlos FM

Excelente conversación que nos sumerge en el mundo de la transformación digital y blockchain

► Síguenos en nuestras redes sociales!

🌐 SITIO WEB – https://www.ivsecurity.cl

👤 FACEBOOK – https://www.facebook.com/IVseguridad/

🐦 TWITTER – https://twitter.com/ivsecurity

📷 INSTAGRAM – https://www.instagram.com/iv_securitycl/

✉️ CORREO/CONTACTO – hola@ivsecurity.cl

► Sigue a Radio Montecarlos FM!

🌐 SITIO WEB – https://www.radiomontecarlo.cl

👤 FACEBOOK – https://www.facebook.com/montecarlocl/

🐦 TWITTER – https://twitter.com/montecarlocl

📷 INSTAGRAM – https://www.instagram.com/montecarlocl/

✉️ CORREO/CONTACTO – publicidad@radiomontecarlo.cl Educamos en seguridad digital 🦊

Cuidados para prevenir hackeos de Instagram y Facebook con Sebastián Calderón | Radio Guayacán FM

Conoce los cuidados que debes tener para proteger las redes sociales.

► Síguenos en nuestras redes sociales!

🌐 SITIO WEB – https://www.ivsecurity.cl

👤 FACEBOOK – https://www.facebook.com/IVseguridad/

🐦 TWITTER – https://twitter.com/ivsecurity

📷 INSTAGRAM – https://www.instagram.com/iv_securitycl/

✉️ CORREO/CONTACTO – hola@ivsecurity.cl

► Sigue a Radio Guayacán FM!

🌐 SITIO WEB – https://radioguayacan.cl

👤 FACEBOOK – https://www.facebook.com/guayacanfmcl/

🐦 TWITTER – https://twitter.com/guayacanfmcl

📷 INSTAGRAM – https://www.instagram.com/guayacanfmcl/ ✉️ CORREO/CONTACTO – prensaguayacanfm@gmail.com Educamos en seguridad digital 🦊

El 95% de los problemas digitales, se deben a errores humanos

por Julio Naranjo – Miembro de IV Security

Según el Foro de Oliver Wyman. El 95% de los problemas digitales, se deben a errores humanos, como hacer clic accidentalmente en un enlace malicioso y descargar malware.

Es una de las conclusiones que pueden desprenderse del Cyber Risk Literacy and Education Index, el índice desarrollado por el Oliver Wyman Forum para proporcionar un marco de medición exhaustivo sobre el nivel de alfabetización en riesgos digitales o cibernéticos de la población en 5 factores

(Motivación Publica – Política del Gobierno – Sistema Educativo – Mercado Laboral – Inclusividad de la población).

Así mismo coincido con que aumentar la conciencia y la motivación de las personas en cuestiones cibernéticas debe ser un elemento clave de la estrategia defensiva de cada Geografía o País

Si bien no está Chile en la medición, igualmente nos sirve como input o punto de partida para visualizar una vez más que la democratización de la prevención de los ciber riesgos está a medio camino en general en el mundo.

Executive Summary (oliverwymanforum.com)

Cyber Risk Literacy and Education Index (oliverwymanforum.com)

Para ver el informe detallado visita https://www.oliverwymanforum.com/content/dam/oliver-wyman/ow-forum/cyber/index/Oliver-Wyman-Forum-CLE-Index-Methodology-Oct-2020.pdf