Auditorías de diseño: ¿la función de Auditoría Interna debe participar en los desarrollos tecnológicos estratégicos de las organizaciones?

Por: Por Julio Francisco Naranjo Figueroa – Maestría en Ciberseguridad- Ingeniero Civil Informático.

Como lo comenté en mi artículo “Tormenta Digital Perfecta”, el entorno variable actual VUCA y la digitalización acelerada, producto de muchos factores, entre ellos la pandemia de COVID-19, empuja a las organizaciones a adaptarse rápidamente a los cambios de la tecnología y el mercado, implementando, por medio de la tecnología, desarrollos estratégicos cada vez más rápidos, ágiles y adaptables.

Punto débil de los desarrollos ágiles, riesgos externos

El punto débil de los desarrollos ágiles más común, es la menor visibilidad y tratamiento de los riesgos externos, normativos, regulatorios y el cumplimiento de políticas en cada proyecto estratégico, generando la necesidad de incluir una mirada distinta, temprana e independiente como la de un auditor, que permita aportar como uno más del equipo, sin perder su posición de independencia de la Auditoría, al desarrollo de los proyectos, considerando aspectos  relacionados con la gestión de riesgos, apoyando la identificación y elaboración de las estructuras de control adecuadas en el diseño de las soluciones en etapas tempranas, pudiendo incluirlas en los objetivos del proyecto, siendo parte del presupuesto y alcance del mismo.

En los entornos y equipos de desarrollo de proyectos tecnológicos estratégicos, ágiles y no ágiles, comúnmente, no se ve la participación de las unidades independientes de aseguramiento de auditoría interna, perdiendo un enorme potencial de aporte al asesoramiento oportuno a los proyectos estratégicos, de parte de estas unidades, a las organizaciones, para identificar o evaluar las estructuras de control y los procesos que mejor facilitan el logro de los objetivos, promoviendo un gobierno sólido y una adecuada gestión de riesgos, gracias a las propias funciones de auditoría descritas en los siguientes ámbitos de acción:

  • Mantiene la responsabilidad primaria, ante el organismo de gobierno y la independencia de las responsabilidades de la gestión.
  • Comunica el aseguramiento independiente y objetivo, junto con el asesoramiento a la dirección y al organismo de gobierno, sobre la adecuación y la eficacia de este, así como también, la gestión de riesgo (incluyendo el control interno), para apoyar el logro de los objetivos organizacionales, promover y facilitar la mejora continua.
  • Informa al organismo de gobierno, las deficiencias en la independencia y la objetividad, aplicando las salvaguardas necesarias.

Así mismo, la guía del 2015 “Aprovechar el COSO en las tres líneas de defensa” desarrollada entre el Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO) y el Instituto de Auditores Internos para ayudar a las organizaciones a mejorar sus estructuras generales de gobierno en materia de control interno, al aplicar cada uno de los 17 principios, abre la posibilidad a que las áreas de auditoría, puedan de cierta forma combinar un asesoramiento, consulta o supervisión más cercano a las áreas gestoras y dueñas del control interno, para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, controles y gobierno de forma preventiva, que en este caso, sería a los equipos de proyectos estratégicos, manteniendo estrictamente la independencia y la objetividad de la función de la Auditoría Interna. Adicionalmente, es importante recordar que, en materia de auditorías de la efectividad de las estructuras de control interno, existen dos perspectivas: (i) la auditoría de la operatividad de los controles que están implementados, pero también (ii) la auditoría del diseño de estas estructuras de control interno, que permite identificar controles incorrectamente diseñados, o simplemente la ausencia de controles, para abordar los riesgos que deberían. Nos solemos quedar con la primera, y desgraciadamente olvidamos la segunda, que normalmente es más importante, si cabe.

Lamentablemente, en la realidad de las organizaciones por la dinámica de los proyectos , el mercado digital, o el propio time to market, comúnmente no se ve la participación permanente de las unidades de Auditoría Interna en etapas tempranas, dejando supeditado su campo de acción en el entorno productivo, perdiendo de esta forma la oportunidad de concretar un aporte con su visión holística e independiente de gestión de riesgos, adquirida por el conocimiento y entendimientos de las estructuras y entornos de control de la organización.  Justamente, esa mirada más amplia de las estructuras de control, es la que habitualmente no tienen los proyectos ágiles, dado que están muy enfocados en el avance de la funcionalidad, además de los riesgos propios del propio proyecto, apalancado por la velocidad que le imprimen, perdiendo de vista los riesgos externos en el desarrollo de las estructuras de control, desde la génesis del proyecto, dejando esta tarea a las áreas operativas de producción y haciendo más costosa su implementación, corriendo el riesgo de incumplimiento regulatorio, como en la protección de datos personales o leyes de delito informático, o simplemente aumentando la exposición innecesaria a los ciber-riesgos, exponiendo a las organizaciones a daño reputacional o compromiso de la continuidad operativa, dejando en manos de la tercera línea de defensa la detección de hallazgos como los anteriormente mencionados.

Oportunidades para las unidades de Auditoría

Hoy, la tercera línea defensa, como le llaman algunos, o la función de supervisión independiente que debe representar Auditoría Interna, cuenta con muchas más herramientas para adelantar su evaluación del diseño de estructuras y entrono de control, pudiendo utilizarlas en etapas tempranas del desarrollo de los proyectos. Esto supone sinergias económicas para la Organización, dado que la auditoría de diseño se ejecuta antes de que el proyecto “nazca” con debilidades relevantes en su diseño, cuya corrección posterior resulte más onerosa. En este sentido, una de las herramientas que se pueden utilizar es la Auditoría Continua, descrita en la Guía del Instituto de Auditores Internos GTAG-3, donde se habla de realizar una revisión de la efectividad del diseño de controles, que sean realmente clave de forma continua, con el fin de mantener una retroalimentación a las áreas gestoras de los desvíos detectados. En este caso, lo que aplicaría sería sobre controles clave de los nuevos proyectos, que se encuentra en desarrollo, como por ejemplo, controles de segregación de entornos de desarrollo tecnológicos, controles de versionamiento en entornos de desarrollo, porcentajes de cobertura de los test o QA, controles de gestión de identidades, evaluación de calidad del código fuente, pruebas de seguridad de la información de datos personales, controles de activación de pistas de auditoría (integración con SIEM), entre otros. Evitando con esto, el tener que realizar correcciones posteriores al final del proyecto, que resultan extremadamente costosas y suelen ser más lentas. Todo lo anterior, debiese estar acompañado de auditorías cortas o light, con foco en los hallazgos y retroalimentación ágil, a las unidades de desarrollo en el feedback, sobre la construcción de las estructuras de control, cuando se están creando y no cuando están en operación.

Conclusiones:

La respuesta a la pregunta planteada al principio de este artículo es , las unidades de auditoría deben participar y asesorar, a través de una auditoría de diseño, en el aseguramiento independiente de la eficacia de los procesos de gestión de riesgos en los desarrollos estratégicos. En este sentido, hoy se cuenta con abanico de posibilidades y herramientas para realizar dicha función, aportando de forma significativa a la calidad de los proyectos con una mirada holística y de aseguramiento de los entornos de control interno conforme se van diseñando, asesorando mediante su visión experta en control interno a los equipos de desarrollo, como uno más de los equipos de proyectos, manteniendo la independencia de la función de auditoría ya que los hallazgos son debidamente reportados, buscando ser un aporte en etapas tempranas en el diseño de las estructuras de control, cuando se están creando en el desarrollo. 

Para ello, propongo un modelo concreto y mixto de dos componentes o evaluaciones contrastados, desarrollando un auditoría continua de diseño en controles clave y un Self Assesment, dirigido a los equipos de proyecto, donde el objetivo de la auditoría continua sería la evaluación permanente de controles clave siendo mucho más oportuna y preventiva que la auditoría tradicional aportando con la visión histórica de la efectividad de los controles como por ejemplo en la segregación de entornos de desarrollo tecnológicos, controles de versionamiento, porcentajes de cobertura de los test agiles o QA, aspectos de protección de datos personales, entre otros.  Así mismo, el objetivo del Self Assesment de los equipos de desarrollo ágiles estratégicos, sería un proceso de auto evaluación que aporte valor a través de la mirada interna de los equipos como dueños del control interno sin ralentizar la velocidad propia de la agilidad.  Al identificar los puntos de contraste de estas evaluaciones, se podría efectuar la detección y el levantamiento y para la gestión oportuna de mejoras, por medio de retroalimentaciones ágiles de parte de auditoría a los equipos de desarrollo, ganando entre otras cosas, mejorar los desvíos de forma más económica, ya que las desviaciones o debilidades son remediadas de una forma oportuna en fases iniciales del proyecto, aportando incluso a la disuasión de posibles fraudes o afectación de índices clave para el gobierno corporativo en su plan estratégico.

Referencias

Guía de Auditoría Continua GTAG-3

https://auditoresinternos.es/uploads/media_items/f%C3%A1bricaaudcontinuaweb.original.pdf

COSO “Aprovechar el COSO en las tres líneas de defensa” 2015

https://global.theiia.org/translations/PublicDocuments/COSO-2015-3LOD-Thought-Paper-Spanish.pdf

COSO “ERM 2017 y la Generación de Valor Deloitte” 2017

https://www2.deloitte.com/content/dam/Deloitte/co/Documents/risk/Presentaci%C3%B3n%20COSO%20ERM%202017%20(Oct%2024).pdf

Modelo de las tres líneas de defensa 2020: https://global.theiia.org/translations/PublicDocuments/Three-Lines-Model-Updated-Spanish.pdf

Aprende a evitar el email spoofing o suplantación de identidad por correo electrónico

Por Rodrigo Ledezma – Miembro de IVSecurity

Esta técnica consiste en enviar correos con remitente falso y de esta forma difundir spam, malware, generar ataques de phishing o suplantar la identidad de directivos de la empresa, proveedores o clientes. Para identificar cuándo estás recibiendo este tipo de mensajes, deberás interpretar las cabeceras de los correos de esta forma podrás identificar:

1.-La información relativa al emisor y al receptor

2.-Los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino

3.-El cliente de correo que se utilizó para enviarlo

4.-y la fecha de envío y recepción del email.

Aquí un ejemplo de cómo revisar un correo de gmail:

• Abre el correo del cual quieras obtener las cabeceras.

• A continuación, haz clic en la línea de puntos situada a la derecha del icono de «Responder».

Haz clic en «Mostrar original».

Copia el contenido e introdúcelos en https://toolbox.googleapps.com/apps/messageheader/

Da click a analizar cabecera.

Aquí en el informe podrás apreciar el tiempo que demoró el correo desde que se envió hasta que llegó a su destinatario. (un tiempo excesivo de entrega indica que puede ser un correo fraudulento) El campo «From:» donde revisarás que el dominio coincide con el emisor del mensaje que hemos recibido (no hay suplantación). Y que los registros SPF, DKIM y DMARC han sido verificados correctamente.

¿Qué hacer cuando un extraño te pide un código de verificación que llega a tu teléfono?

Por Rodrigo Ledezma – Mg en ciberseguridad – Miembro de IVSecurity

Este ciberataque se vale del engaño, es decir, utiliza lo que es conocido como ingeniería social, en estos casos el atacante se hace pasar ya sea por un comprador, servicio técnico o utilizando otras diversas excusas para lograr el engaño y de esta forma solicitar códigos que ha llegado a tu teléfono.
Una vez con estos códigos, el delincuente tendrá acceso a tus conversaciones y contactos. Posteriormente utilizará tu información y tu identidad para engañar a tus contactos haciéndose pasar por ti.

*Es por ello por lo que nunca debes compartir los códigos de verificación que llegan a tu WhatsApp.

*Nunca debes ingresar a enlaces o link que sean enviados por un desconocido, y si es un conocido verifica que él te lo haya enviado.

*Si un contacto conocido te envía mensajes solicitando ayuda económica verifica que esta solicitud realmente sea la persona que conoces.

“Desarrollo Ágil de aplicaciones, sobre tecnologías de código abierto y los Ciber-Riesgos asociados”

¿Es seguro el desarrollo de nuevas tecnologías utilizando código abierto en metodologías ágiles?…

Comenzaré este nuevo artículo con la premisa que la mayoría de las organizaciones de hoy buscan la eficiencia máxima en el desarrollo de productos y servicios, con ciclos de vida cortos para cada producto y servicio, muy enfocadas en la adaptación a la necesidad propia del cliente objetivo, propio de la 4ta revolución industrial. Utilizando como base productiva la explotación en las tecnologías de la información, que les permiten aspirar a lograr el objetivo anteriormente descrito con el menor coste posible, aspirando a mantener un flujo financiero saludable. En el “Estudio de la Agilidad en América Latina”,  realizado por IDC (International Data Corporation) a solicitud de la consultora tecnológica Everis en agosto de 2020, asegura que más de la mitad de las empresas líderes de la región latinoamericana, han logrado reducir costes gracias a la aplicación de métodos ágiles, dado que reducen los tiempos de trabajo y permiten el continuo lanzamiento de nuevos productos al mercado. Así mismo un informe de KPMG publicado en agosto 2020, sobre “Gestión estratégica del talento ante la nueva realidad”,menciona que alrededor del 60% de las organizaciones indican que sus futuras prioridades son el reajuste de los espacios físicos y desarrollo de equipos y desarrollos de equipos ágiles debido al aumento del personal en modalidad de teletrabajo por COVID 19.

Las organizaciones, apuestan por transformar su desarrollo tecnológico y de aplicaciones, pasando de un desarrollo de software tradicional, en base a proyectos tipo cascada o secuencial, hacia uno lo más ágil y/o adaptable a las necesidades del cliente, posiblemente impulsados por el propio time to market de los productos, la presión del propio mercado en que les toca jugar, o simplemente por la estrategia de digitalización organizacional en que se encuentran, que apunta a la eficiencia digital.  Según el estudio de Deloitte, publicado en el 2019 “Peldaños hacia una empresa ágil” existen 4 grandes etapas para el despliegue total de la transformación hacia una empresa ágil.

El desarrollo de una Metodología Agile o Ágil está orientada a la gestión de proyectos o iniciativas y puede utilizarse también en múltiples otros aspectos de la vida diaria, utiliza ciclos de desarrollo cortos, iterativos e incrementales, llamados Sprint para centrarse en la mejora continua del producto o servicio, más que centrarse en la gestión del proyecto mismo. Existen distintos marcos o metodologías ágiles utilizados, como Scrum o Kanban, por mencionar algunos. Independiente del marco o método ágil utilizado para gestión de proyectos de desarrollo de software, es necesario identificar e integrar a la agilidad todo el proceso productivo del mismo, como la gestión de cambios y estructura de testing, entre otros, para asegurar la agilidad e independencia. Así mismo, se debe considerar siempre una adecuada gestión de riesgos en cada ciclo. Como lo indica Javier Pardo en https://www.paradigmadigital.com/techbiz/arquitectura-software-catalizador-agilismo/

“Independientemente de los matices en la definición de agilidad, lo que está claro es que, para ser ágiles, todos los engranajes y resortes de nuestro proceso o sistema deben serlo”.

 Hoy existe un consenso bastante aceptado en que la gestión adecuada de los riesgos en todas las etapas o ciclos iterativos de los desarrollos ágiles resulta clave, ya que con los ciclos iterativos cortos minimizan cualquier impacto imprevisto en el desarrollo del producto, por ejemplo, la flexibilidad propia de los proyectos ágiles, reduce los riesgos relacionados con el negocio, el feedback periódico reduce los riesgos relativos a expectativas de los stakeholders, la modularidad o la arquitectura modularizada en el desarrollo ágil es otro factor muy clave para la detección y remediación oportuna de las posibles desviaciones o incidentes, dado que desarrollan pruebas totales en cada ciclo o entregable, asegurando usabilidad o funcionalidad, además de la mantenibilidad, adaptabilidad y escalabilidad. Por otra parte, al ser la propiedad del proyecto de todo el equipo de desarrollo y tener responsabilidad colectiva, reduce el riesgo general del fracaso, entre otros tantos buenos ejemplos.  Sin embargo, según la organización y comunidad https://agileriskmanagement.org/about-us/,  que documenta y difunde buenas prácticas de gestión de riesgos en proyectos ágiles, es posible que no aborden por completo los riesgos externos a los que está expuesto un proyecto. Estos pueden incluir riesgos ambientales, políticos y legales (por ejemplo, si los elementos del producto están sujetos a requisitos reglamentarios, políticas de seguridad o ciberamenzas en los componentes externos del desarrollo de software). Por lo que, es importante que el rol o personas encargadas de la gestión y liderazgo de los equipos de trabajo, utilicen espacios para analizar los posibles riesgos externos, que se pueden presentar y tener planes de acción para que se pueda adaptar al contexto.

Independiente de la etapa en que se encuentres las organizaciones, siempre se encontrarán con el inconveniente de hacer convivir ambos procesos en determinados momentos (desarrollo tradicional y el ágil), además de los costes o limitación de presupuestos que significa la transformación. Dicho lo anterior, es que muchas de estas organizaciones optan por el uso de herramientas de código abierto o del tipo open source, en que las barreras de entrada del punto de vista económico son mucho más bajas, además de ser muy flexibles y adaptables para el desarrollo ágil y no ágil, dotando al código abierto de una mayor flexibilidad y la creación de conocimiento interno importante.

Código abierto en los desarrollos ágiles

El termino Open Source, viene de los programas de código abierto desarrollados en comunidades de colaboración de forma descentralizada. Que el software sea Open Source, no significa que el software ejecutable se distribuya de forma gratuita, pero sí su código fuente por medio de las comunidades. Por lo general, se habla de «software libre» para destacar la libertad en los derechos de los usuarios finales, pero a veces puede confundirse con el significado de «gratuito”.

Por nombrar algunas características, que se combinan muy bien con los desarrollos ágiles iterativos de software o aplicaciones comerciales, cualquiera puede leer el código, es totalmente transparente, adaptable y flexible, además de ser relativamente sencillo de auditar e incluso colaborar en el desarrollo de funciones. De hecho, el código abierto ha demostrado ser lo suficientemente estable y seguro, así como de ser capaz de detectar y solucionar vulnerabilidades en el menor tiempo posible.

La colaboración entre las empresas y las comunidades del código abierto ha derivado en la oportunidad de conocer los problemas de primera mano, que pudieran afectar a los usuarios, proporcionarles las metodologías y soluciones efectivas a vulnerabilidades comunes en foros o comunidades, lo que permite la colaboración en función a la seguridad propia del código y las aplicaciones liberando de forma continua parches de seguridad o actualizaciones.

No todo puede ser tan bueno en el Open Source

Es un hecho que la mayor parte de los programas desarrollados en la línea del Open Source, por comodidad, reutilizan librerías o componentes gratuitos disponibles en las comunidades de desarrollo abierto, dado que, si se tuvieran que desarrollar desde cero, llevaría mucho tiempo y trabajo, afectando a los tiempos y plazos donde la amenaza del Time to Market se hace presente.  Es en este punto, se comienza a producir un punto de inflexión en la seguridad dado que la reutilización aumenta la probabilidad de materialización de riesgos de ciberseguridad, y las librerías o componentes muchas veces dejan de ser mantenidas por las comunidade. Esta situación es equivalente a la finalización del soporte técnico de un producto licenciado, por lo que se puede presentar un potencial backdoor producto de alguna vulnerabilidad no parcheada en dichos componentes reutilizados. Así lo demuestra un estudio llevado a cabo por la plataforma Veracode, que indica la existencia de una gran cantidad de programas de código abierto que reutilizan librerías también libres, y muchas de estas librerías, aunque funcionan, tienen graves problemas de seguridad.  Adicionalmente, cada librería usa, a su vez, una gran cantidad de dependencias también de código abierto. Veracode, en su publicación “State of Software Security (SOSS) V11”, de un total de 132.465 aplicaciones escaneadas, desde abril 2019 a marzo 2020, encontró que 7 de cada 10 aplicaciones tienen un fallo de seguridad en una biblioteca de código abierto, perteneciente a un tercero en el escaneo inicial, existiendo más vulnerabilidades en bibliotecas de terceros, que el código base nativo. También, publica en el mismo informe, que el 47% de esas bibliotecas defectuosas en las aplicaciones son transitivas; en otras palabras, no son introducidas directamente por los desarrolladores, sino que son arrastradas por las bibliotecas ascendentes.

Así mismo, en el estudio se demuestra que no todas las bibliotecas tienen vulnerabilidades y exposiciones comunes (CVE); esto significa que los desarrolladores no pueden confiar solo en las CVE para conocer los defectos de la biblioteca. Por ejemplo, más del 61% de las bibliotecas defectuosas en JavaScript, contienen vulnerabilidades sin los CVE correspondientes.

               Por otra parte, algunos ecosistemas de lenguajes tienden a atraer muchas más dependencias transitivas que otros. En más del 80% de las aplicaciones JavaScript, Ruby y PHP, la mayoría de las bibliotecas son dependencias transitivas.  Entre los fallos principales de OWASP detectados en el mismo informe, las debilidades en torno al control de acceso son las más comunes y representan más del 25% de todos los fallos. Cross-Site Scripting, es la categoría de vulnerabilidad más común que se encuentra en las bibliotecas de código abierto, presente en el 30% de las bibliotecas, seguida de la deserialización insegura (23,5%) y el control de acceso roto (20,3%).

               Otro ejemplo más reciente del riesgo del uso de las librerías de código abierto es la librería “Libgcrypt”, con un conjunto de herramientas criptográficas de código abierto que se ofrece como parte del paquete de software GnuPG, para cifrar y firmar datos y comunicaciones.  El 2 de febrero de 2021 el portal hispasec.com, informó que es vulnerable y debe ser parcheada lo antes posible por un desbordamiento de buffer que permite sobre escribir memoria más allá del mismo, además de permitir redirigir el flujo de ejecución, sin tener que preocuparse por protecciones como el ASLR (Address Space Layout Randomization), siendo posible, saltar a código cercano dentro de la librería afectada. Si no sabemos que nuestros desarrolladores utilizaron esta librería o en qué parte del código, tampoco sabremos del riesgo que corremos.

El Software libre seguro no existe, lo construimos cada vez que lo programamos.

El software seguro, no es escribir aplicaciones a la perfección la primera vez, sino corregir las fallas de manera integral, oportuna y de forma ágil. Sabemos, que es más fácil encontrar y solucionar problemas en aplicaciones jóvenes o con menos rodaje de codificación, que utilizan lenguajes y marcos modernos, pero incluso con aplicaciones con más “rodaje” productivo o con tecnología más antigua, si los equipos de desarrollo utilizan prácticas de codificación seguras e iterativas, como desarrollar búsquedas frecuentes de fallas, la integración y automatización de los controles de políticas seguridad, agregando una mirada holística del estado de la aplicación, tienen más probabilidades de desarrollar un software seguro.

Existen métodos seguros ya conocidos para la inspección y análisis de código fuente, que permiten alcanzar el objetivo:

  • Inspección estática de código fuente (SAST – Caja Blanca), que permite detectar desviaciones de seguridad en propio código fuente, en etapas tempranas del desarrollo de software, como reutilización de códigos inseguros, uso de protocolos no seguros, entre otros.
  • Inspección dinámica de código fuente (DAST – Caja Negra), relacionada con el análisis de vulnerabilidades y permite a los desarrolladores detectar problemas durante la ejecución del código.
  • Inspección interactiva de código fuente (IAST – Función de las anteriores o caja Gris), permite detectan vulnerabilidades, estas tienen un enfoque similar a un usuario del sistema.
  • Análisis de Composición de software (SCA), una tecnología utilizada para identificar o descubrir componentes de fuente abierta y de terceros en uso en una aplicación y sus vulnerabilidades de seguridad conocidas, las herramientas de SCA examinan el software, para determinar los orígenes de todos los componentes y bibliotecas dentro del software.

Por otra parte, también existen otras herramientas de detección y protección de amenazas sobre las aplicaciones ya productivas, que podrían compensar de alguna forma el riesgo de la falta de revisiones preventivas en el desarrollo iterativo ágil, colaborando con la disminución de la probabilidad de la materialización de ciberataques o también, se podría decir que disminuyen la superficie de ataque sobre las aplicaciones, dentro de las que puedo comentar como WAF (Web Aplication Firewall), que previene de tráficos maliciosos hacia o sobre las aplicaciones y RASP (Runtime Application Self Protection), que añade sensores internos, que analiza la respuesta de la aplicación a cada petición de servicio en tiempo real y es compatible con cualquier entornos por ejemplo en la nube.

Cada uno de estos métodos o herramientas, tiene sus ventajas y desventajas. Por lo que, una combinación y correlación correcta de ellas es fundamental y se debe hacer dependiendo del valor asignado por el negocio, al propio del activo de software (aplicación) a proteger. De esta forma, se deben cubrir todas las etapas desde el proceso iterativo de desarrollo desde las etapas tempranas, hasta los entornos productivos de forma flexible, adaptable, integrado a la gestión del riesgo en todos los ciclos, permitiendo a los desarrollos ágiles, tener más información para evaluar los riesgos externos en cada ciclo iterativo de evaluación.

Conclusiones

Algunas de las posibles causas de los problemas del código abierto que afectan por un lado la seguridad y por otra afecta a la credibilidad de los proyectos ágiles

Normalmente, el código abierto lo mantiene una comunidad que se dedica a lanzar actualizaciones y parches, así como mantener la seguridad del proyecto. Sin embargo, en ocasiones ese proyecto se abandona. Podemos seguir utilizando el programa de código abierto, pero no recibimos actualizaciones. Esto, hace que puedan surgir vulnerabilidades que sean aprovechadas por los piratas informáticos, para poner en riesgo nuestra seguridad y privacidad.

También, hay que tener en cuenta que las vulnerabilidades que haya en este tipo de software, suelen hacerse públicas rápidamente. Si no tomamos las medidas adecuadas, ni un programa que utilizamos, no ha sido parcheado correctamente, nuestros datos pueden estar en peligro y puede invitar a que los piratas informáticos se aprovechen.

A veces, podemos hacer uso de programas de código abierto, que, a su vez utilizan diferentes complementos que también son software libre. El problema llega cuando alguno de esos complementos, deja de existir o no recibe actualizaciones

La conclusión en un comienzo no es tan buena como pensaba antes de escribir el artículo, ya que estamos hablando de un volumen importante de amenazas, que no siempre son observadas por los desarrolladores de software en el entorno ágil, dado que se puede confundir la agilidad y rapidez con la falta de revisiones periódicas y holísticas que permitan identificar los riesgos externos del propio desarrollo. Por otra parte, es muy importante, considerar siempre el descubrimiento y las actualizaciones de inventario de los componentes de arquitectura de software, que soportan el software del tipo Open Source, manteniendo las actualizaciones, que solucionan una gran parte de los problemas identificados.

Por tanto, puedo concluir una respuesta afirmativa a la pregunta ¿Es seguro el desarrollo de nuevas tecnologías utilizando código abierto en metodologías ágiles?, siempre y cuando los equipos de desarrollo y arquitectura utilicen prácticas de inspección y codificación seguras e iterativas, como desarrollar búsquedas frecuentes de fallas, la integración y automatización de aplicación de controles de políticas seguridad, agregando una mirada holística de gestión de riesgos externos.  Dado que intrínsecamente en su definición el código abierto no es inseguro, depende mucho del uso que le demos, o para que lo utilicemos, además del contexto de la arquitectura sistémica en que se realice.

En las manos de los programadores y los equipos ágiles está el llevar a cabo medidas para prevenir o reducir los riesgos que pongan en peligro la seguridad o privacidad al usar software libre.

  • Como primeras medidas, sería integrar la seguridad en el SDLC (System Development Life Cycle), desde las primeras fases hasta el final de ciclo y debe realizarse de forma continua e iterativa.
  • Por supuesto, un punto importante, es mantener actualizado el software. Ya hemos mencionado, que a veces surgen vulnerabilidades que son corregidas mediante parches y actualizaciones. Es cierto, que no siempre están presentes, pero sí en la mayoría.
  • Tener siempre las últimas versiones del software que utilicemos. Así, evitaremos esos problemas que puedan ser aprovechados por los piratas informáticos, para llevar a cabo sus ataques.

Se debe estar al tanto de las vulnerabilidades externas. A veces, puede surgir quede que un complemento que usamos tenga algún fallo de seguridad y sea necesario desinstalarlo. Es importante, que tengamos esto en cuenta para la cadena de suministro de librerías y/o componentes utilizados como insumos para los desarrollos o mantenimientos.

El objetivo de la seguridad del desarrollo de software o aplicaciones, no es escribir aplicaciones a la perfección la primera vez, sino hacerlo lo mejor posible de forma eficiente y utilizando estándares de los ciclos de desarrollo seguro, detectando y corrigiendo las fallas de manera oportuna e integral.

“Aplicar foco en la detección y remediación de las fallas de seguridad en etapas tempranas del desarrollo iterativo libre, es claramente la base de un software seguro, además de ser más económico y eficiente”

Por Julio Francisco Naranjo Figueroa

Maestría en Ciberseguridad

Ingeniero Civil Informático.

Miembro de IV Security

El 95% de los problemas digitales, se deben a errores humanos

por Julio Naranjo – Miembro de IV Security

Según el Foro de Oliver Wyman. El 95% de los problemas digitales, se deben a errores humanos, como hacer clic accidentalmente en un enlace malicioso y descargar malware.

Es una de las conclusiones que pueden desprenderse del Cyber Risk Literacy and Education Index, el índice desarrollado por el Oliver Wyman Forum para proporcionar un marco de medición exhaustivo sobre el nivel de alfabetización en riesgos digitales o cibernéticos de la población en 5 factores

(Motivación Publica – Política del Gobierno – Sistema Educativo – Mercado Laboral – Inclusividad de la población).

Así mismo coincido con que aumentar la conciencia y la motivación de las personas en cuestiones cibernéticas debe ser un elemento clave de la estrategia defensiva de cada Geografía o País

Si bien no está Chile en la medición, igualmente nos sirve como input o punto de partida para visualizar una vez más que la democratización de la prevención de los ciber riesgos está a medio camino en general en el mundo.

Executive Summary (oliverwymanforum.com)

Cyber Risk Literacy and Education Index (oliverwymanforum.com)

Para ver el informe detallado visita https://www.oliverwymanforum.com/content/dam/oliver-wyman/ow-forum/cyber/index/Oliver-Wyman-Forum-CLE-Index-Methodology-Oct-2020.pdf

¿Qué es el sim swapping y cómo funciona?

Escrito por : Eduardo Arancibia y Manuel Carvajal – Miembros de IVSecurity

Como su propio nombre indica en inglés, el SIM-swapping es un cambio o duplicado de tarjeta SIM (original), donde el atacante traspasa el número telefónico de la víctima a una SIM (blanco), tomando su control con el objetivo de robar toda la información posible enlazada a ese número SIM (original).

A primera vista, parece algo inofensivo, pero cuando nos damos cuenta que la mayoría de nosotros tenemos nuestros números de teléfono vinculados a nuestras cuentas bancarias, de correo electrónico y de redes sociales, rápidamente comienza a ver lo fácil que sería que alguien con acceso a su número de teléfono pudiera hacerse cargo de toda su presencia en línea. 

¡Ojo con lo que publicas en las redes sociales! Tras obtener información personal sobre la víctima, el atacante realiza una amplia búsqueda de datos del usuario cuya identidad quiere suplantar, se hace pasar por ella ante los agentes técnicos o comerciales de la compañía telefónica (X) fingiendo la perdida de la tarjeta SIM, o cualquier otro motivo para cometer el delito.

En el SIM-swapping, la ingeniería social se pone en juego y se engaña directamente al operador de la compañía telefónica (X) asociado para el engaño, no al propio usuario del servicio telefónico.

Mediante la manipulación psicológica, el ciberdelincuente consigue que todos los datos de la SIM (original) de la víctima pasen a su tarjeta SIM (blanco) para poder utilizarla durante la verificación de trámites bancarios u otros servicios.

¿Cómo saber si se ha visto afectado? 

La forma más fácil de saber si su tarjeta SIM ya no está activa es si pierde completamente el servicio en su teléfono. Es posible que reciba un mensaje de texto indicándole que se ha cambiado la tarjeta SIM de su número y que debe llamar al servicio de atención al cliente si no hizo el cambio. Pero con su tarjeta SIM ya no activa, no podrá realizar una llamada desde su teléfono, ni siquiera al servicio de atención al cliente.

En resumen, la forma más rápida de saber si se ha visto afectado es si su teléfono pierde completamente el servicio y no puede enviar o recibir mensajes de texto o llamadas telefónicas. 

¿Cómo puedes evitar el SIM-swapping?

  • No publiques mucha información personal en Internet, especialmente en las redes sociales. Cuantos más datos tuyos haya en la red, más fácil lo tendrán los ciberdelincuentes para hacerse pasar por ti.
  • Tu teléfono móvil, no es el lugar más seguro para guardar toda tu información.
  • Utiliza siempre la doble verificación y otros sistemas de refuerzo de seguridad. Además, protege todas tus contraseñas manteniéndolas totalmente privadas.
  • No vincules tu número de teléfono con tus cuentas bancarias.

¿Qué es el internet de las cosas, también conocido por sus siglas IOT?

Escrito por :Rodrigo Ledezma -Miembro de IVSecurity

No es algo nuevo, se remonta a la década de 1980, con la primera maquina expendedora de bebidas conectada a internet.
Cuando hablamos de Internet de las Cosas asociamos inmediatamente el concepto de “dispositivos inteligentes”, pero la sigla IOT más bien hace referencia a la digitalización de todo tipo de dispositivos.

El aumento de la conectividad y los avances en telecomunicaciones nos permiten en la actualidad que muchos de nuestros dispositivos puedan enviar y recibir información, hacia y desde internet.

Desde ya hace un tiempo estamos realizando tareas que que hasta no hace mucho podrían haber parecido imposibles, como por ejemplo monitorear la ubicación nuestro de vehículo o ver el estado de nuestra casa en tiempo real, ver las cámaras de seguridad desde nuestro smartphone.

IOT asi como IA son conceptos asociados a lo que hoy en día conocemos como la 4ta revolución industrial, en IOT se nos presentan conceptos como domótica, automatización de edificios, ciudades y autos inteligentes. Cuando hablamos de hogares inteligentes, estamos hablando de el uso de la tecnología para conectar nuestros teléfonos inteligentes, sensores remotos y otros dispositivos de IoT hacia a Internet.

Gartner pronostica que para el año 2021 habrá unos 25 mil millones de dispositivos IoT conectados
produciendo un inmenso volumen de datos.

¿En qué dispositivos encontramos este concepto?
En el día a día escuchamos conceptos como como relojes, conectores, luces, vehículos, cámaras de grabación, implantes médicos y hasta ropa inteligente. De hecho, muchos automóviles modernos contienen gran cantidad de sensores y que permiten obtener información del automóvil en tiempo real.

IOT tambien lo podemos encontrar en objetos pequeños y no tan obvios, como por ejemplo termostatos, aires acondicionados y máquinas de café. Estos dispositivos concentran electrónica, sensores, software y conectividad a Internet.

La infraestructura doméstica inteligente se está integrando cada vez más en nuestra vida cotidiana gracias a los avances de las tecnologías, gracias a la Internet de las Cosas (IoT) podemos tener una secadora de ropa que nos envia un mensaje a nuestro smartphone cuando la ropa esta seca y disponible.

Ahora, si nos detenemos a analizar la infraestructura pública nos daremos cuenta que también se esta volviendo cada vez más inteligente y automatizada, aquí hablamos entonces de ciudades inteligentes. Por ejemplo cámaras que reconocen el volumen de trafico y se comunican con los semáforos para que estos adecuen los tiempos para reducir la congestión vial.

Amenazas a la privacidad en internet: ¿Qué es la huella digital y cuál es su importancia?

Escrito por: Manuel Carvajal Castillo – Fundador de IVSecurity

A lo largo de los años, las personas nos hemos adaptado al entorno digital, sin hacer mayores reparos de la información que dejamos en la red al interactuar a través de las plataformas tecnológicas, pero ¿hasta dónde saben de mí?

Cada vez que compartimos algo en redes sociales, enviamos una fotografía o compramos por internet, estamos dejando un rastro. Esta huella digital se forma a partir de todas las actividades que realizamos en la web, vale decir, cuando generamos información al publicar en redes sociales, compartimos nuestra ubicación en un sitio de interés o nos registramos en alguna plataforma de servicio. También incide el contenido emanado por terceros al publicar textos, imágenes o vídeos en los que aparecemos (etiquetas).

Cabe señalar que cada vez que navegas en internet las páginas y los buscadores guardan información sobre nosotros como, por ejemplo, tu nombre de usuario, tus preferencias de navegación, a estos archivos se les conoce como “cookies”.

Por otro lado, están las apps que usamos a diario en nuestro Smartphone, que también realizan un seguimiento de actividad del usuario, un código que por detrás se ejecuta, recopila y envía datos para posteriormente obtener los informes. La información se categoriza y se envía a los servidores de analítica mediante una solicitud de imagen, que es el medio por el que viajan los datos de un sitio web o una aplicación a las herramientas de analítica web.

Conocido lo anterior, debes recordar que “las huellas digitales revelan mucho sobre nosotros, se acumulan y forman un perfil instantáneo de nuestros gustos, hábitos y tiene un alto valor comercial para las grandes empresas” 

¿Pero quién puede ver esa huella digital?

Todo este contenido publicado en la red puede ser encontrado por otras personas a través de cualquier buscador con uno simples clic. Sí, leyó bien, pareciera que esta práctica es un juego de niños.

A través de #EsHoy aconsejamos asegurarte de que los textos imágenes o vídeos que compartas de tu persona sean apropiados y no te causen problemas a futuro, verifica siempre tu perfil de privacidad y etiquetas en las redes sociales más conocidas, tales como, Facebook e Instagram, y por último presta atención a las políticas de privacidad, especialmente de las apps.

Además, recuerda que es muy importante que hables con tus conocidos y amigos para evitar que publiquen información sin tu consentimiento, bloquea las cookies en tu navegador web preferido. ¡Cuida tu huella digital!

¡Cuidado! Cómo pueden hackear tu cuenta de WhatsApp

Escrito por: Manuel Carvajal C – Fundador de IVSecurity

Chile se encuentra en el segundo lugar de los países latinoamericanos que más utilizan la aplicación, alcanzando el 80%.

En la actualidad, WhatsApp se ha convertido la forma de comunicación más habitual entre los individuos, transformándose así en una herramienta casi indispensable en el cotidiano de los seres humanos. Al respecto, según las últimas cifras de la aplicación, la herramienta superó para este año 2019  superó los 1.500 millones de  usuarios activos, aproximadamente, una cifra significativa, pero también peligrosa, pues al contar con una alta cantidad de público, las posibilidades de que WhatsApp sea seguro, se vuelven mínimas.

En este contexto, ya son varios años en que la aplicación ha tratado de mejorar su seguridad, pero los ciberdelicuentes van un paso más adelante y  siempre buscan nuevos métodos para vulnerar y espiar los celulares. Sin embargo, existe un método que permite ver los chats de un móvil desde otro dispositivo, por lo que, a continuación, te explicaremos las formas más sencillas de hacerlo para que a través de ellas puedas tomar las precauciones necesarias y no te conviertas en una nueva víctima espionaje.

Hackeo y prevención

El primer método se denomina “Todo va en el código QR” y, en él, el ciberdelicuente debe tomar el dispositivo físicamente, aprovechando un instante para sujetar el Smartphone, durante menos de 30 segundos, por lo que, en este minuto, entran en web.whatsapp.com desde un explorador del móvil, como por ejemplo, a través de Google Chrome, y, una vez dentro, pinchan en la opción ‘WhatsApp web’, donde aparece el código QR, símbolo que les servirá para espiar el teléfono.

Posteriormente, toman otro móvil, desde el cual llevarán a cabo el espionaje, abriendo la aplicación WhatsApp y dirigiéndose a las ‘Opciones’, lugar en el que aparece ‘WhatsApp web’ y, en ese momento, se abre un buscador de códigos, con el que se podrá escanear el QR del primer dispositivo, por lo que, al instante, aparecerá todo el historial de chats en ambos móviles.

Por su parte, el segundo método es llamado “el mensaje de texto SMS, pues desde que WhatsApp salió al mercado de las aplicaciones digitales, se ha transformado en uno de los servicios de mensajería instantánea más populares en el mundo, debido a sus constantes actualizaciones en los sistemas operativos en los que opera como iOS y Android y a causa de ese éxito en el número de descargas, es que también se ha convertido en un juego de los ciberdelincuentes, con el fin de robar datos de millones de usuarios a través de diversos tipos de estrategias.

El engaño funciona como una cadena de mensajes de texto y bajo el título «Saludos de WhatsApp», nombre que podría engañar a los usuarios, pues el texto que se recibe es similar al que la aplicación envía cuando se instala o se cambia de número, solo que en este caso se agrega un enlace para verificar el número y es ahí donde se produce el ataque de Ingenieria Social (Phishing), es decir, cuando intentan controlar la cuenta de un usuario y además acceder a datos, contactos e, incluso,a las conversaciones que ha tenido la persona afectada.

Cabe destacar que, si tú no has solicitado el mensaje, significa que alguien ha ingresado por error tu número de teléfono al intentar verificar su cuenta o está tratando de acceder a tu cuenta de manera ilegítima, pero en cualquier caso, es muy importante que no pinches ese enlace, pues si una persona ingresa, seguramente, su cuenta será hackeada y, en caso de que así sea, la próxima vez que acceda a la aplicación aparecerá «Tu número ya no está registrado en este teléfono. Esto probablemente se debe a que registraste tu número de WhatsApp en un teléfono diferente».

Por otro lado, en el caso de que un individuo haya pulsado sobre el enlace, existe una forma para solucionar el problema, que consiste en ir a la opción «Verificar» y,  a partir de eso, se volverá a recibir un mensaje de verificación, que en este caso será el real, pues lo ha solicitado el usuario titular de la cuenta.

Recomendaciones de los expertos

Desde la Fundación Whilolab, expertos en ciberseguridad, entregaron a #EsHoy algunas recomendaciones que puedes tomar en pos de la seguridad, lo primero es activar la verificación de dos pasos, esta opciones permite agregar una contraseña cada vez que quieras activar tu cuenta de WhatsApp en un nuevo teléfono, por lo que su activación es totalmente recomendable.

Para añadir esta opción, en los ajustes de WhatsApp debes ingresar a «Cuenta» y luego «Verificación en dos pasos», donde podrás ingresar un PIN de nueve dígitos y una dirección de correo electrónico.

Nunca compartas el código de verificación de WhatsApp con otras personas, pues cada vez que activas WhatsApp en un celular, recibes un mensaje de texto que verifica tu número telefónico y permite que el servicio pueda ser activado.

Si compartes ese número, existe una probabilidad de que otra persona pueda activar tu cuenta de WhatsApp en otro dispositivo, por lo tanto, la recomendación será siempre activar la aplicación y luego, borrar el mensaje y activar la verificación en dos pasos tal como explicamos anteriormente.

Establece un PIN o protección con huella dactilar o reconocimiento facial, según tu celular.

Es de suma importancia que para resguardar tu privacidad y los datos de tu celular actives algún método de protección para tu celular, ya sea un PIN o en el caso de los teléfonos más avanzados bloqueo con huella dactilar o reconocimiento facial. 

Otro consejo es que solicites el bloqueo de tu cuenta en caso de pérdida o robo de tu celular, asi evitamos que otra persona pueda acceder a tus mensajes de WhatsApp en caso de perder tu celular, lo mejor es contactarse directamente con compañia y solicitar que desactiven tu cuenta mientras logras restaurar tu número y tu equipo telefónico.

Para solicitar la desactivación, se debe  enviar un correo electrónico a WhatsApp (support@whatsapp.com), añadiendo en el cuerpo del mensaje «Teléfono robado/extraviado: Por favor, desactiva mi cuenta» además de tu número de teléfono en formato internacional, es decir, en el caso de un número chileno, «+56 9 XXXX XXXX».

Ten cuidado con WhatsApp Web, puesto que aunque resulta ser una forma sencilla  de utilizar la aplicación mientras trabajamos en nuestro computador de escritorio, puede transformarse en un arma de doble filo e, incluso, una puerta para que puedan espiarnos.

Si usas un computador público, donde varias personas lo utilizan diariamente, existe la posibilidad de que otras personas puedan acceder e incluso contestar a tus conversaciones. Por lo tanto, se recomienda que cada vez inicies sesión en WhatsApp Web, lo hagas a través del modo incógnito, o bien, cada vez que dejes de utilizar el computador, cierres la sesión de WhatsApp Web.

Además, desde tu celular y en la opción WhatsApp Web, podrás encontrar la lista de dispositivos con sesiones abiertas, ahí podrás cerrar la sesión todos los dispositivos en donde WhatsApp Web está activo.

Y lo más importante, instala siempre la versión oficial de la aplicación móvil, mantenlo actualizado a su última versión; no caigas en aplicaciones secundarias como Whatsapp Gold y otras que simplemente te pueden robar información de tu dispositivo móvil.

Finalmente, si bien podría pensarse que debido al cifrado de extremo a extremo WhatsApp es un servicio de mensajería seguro, eso no es totalmente cierto, pues aun presenta vulnerabilidades que la hacen susceptible a ciberataques.

[Opinión] Ciberacoso: Una enfermedad social detrás de una pantalla

Por Rodrigo Ledezma:

  • Docente Inacap La Serena – Área ciberseguridad y tecnologías de la información.
  • Ingeniero en telecomunicaciones y
  • Magíster en ciberseguridad
  • Miembro de IVSecurity

Muchos niños y adolescentes víctimas del bullying vieron con felicidad este confinamiento obligado, ya que este alejamiento los mantuvo libres de las constantes agresiones físicas y ataques de sus acosadores. Lamentablemente, los abusos y agresiones se han trasladado de las aulas a los celulares, computadores y tablets. Las múltiples instancias de comunicación provistas por los medios digitales son utilizadas por los agresores para expandir, mantener y aumentar el acoso y agresiones hacia sus víctimas. El anonimato aparente, el distanciamiento físico, la sensación de menor exposición, la inmediatez, la falta de regulación y de normas de censura hacen que a los acosadores les sea cómodo trasladar el bullying a un ciberbullying.

«El 33% de los niños y adolescentes de América del Norte, Central y América del Sur y España, afirmaron haber sido víctimas de ciberbullying o ciberacoso durante la cuarentena originada en la pandemia de coronavirus que afectó y afecta al mundo entero durante este 2020» (Según informe de ONG Internacional ‘Bullying Sin Fronteras’), siendo Twitter, Facebook e Instagram las principales plataformas elegidas por los ciberacosadores. En este sentido, es de suma importancia saber que las consecuencias que el ciberacoso pudiese generar en millones de niños, niñas, adolescentes y jóvenes son muy graves, es decir, las continuas torturas pueden provocar enfermedades, tales como la depresión, estrés, estados de angustia e incluso puede provocar la muerte, puesto que muchos jóvenes optan por el suicidio, como una forma de escapar de este acoso.

La prevención es el mejor camino, detalles pequeños como establecer y mantener una relación basada en la confianza y la comunicación, potenciando la confianza, la autoestima, la empatía, el autocontrol y el manejo adecuado de conflictos son herramientas que permiten gestionar y responder adecuadamente en caso de sufrir un ciberacoso.

Hoy más que nunca debemos estar atentos a señales como tristeza, decaimiento, alteraciones del ánimo o del sueño, aprehensión o indiferencia en el uso de Internet. Estas señales pueden alertarnos de un posible ciberbullying.

Si llegamos a detectar un escenario de ciberbullying debemos actuar con serenidad, propiciando no dañar la autoestima de la víctima, evitando culpabilizar, establecer la confianza mediante la búsqueda de soluciones de manera constructiva. Si es posible debemos guardar las evidencias físicas, (por ejemplo, fotos, pantallazos de conversaciones, etcétera), que nos permitan exponer la situación y denunciarla.