Posts etiquetados ‘seguridad de la información’

cnpic-logo


Dentro de las TIC en el ámbito de las infraestructuras críticas, es habitual la existencia de sistemas de control industrial, que presentan ciertas peculiaridades con respecto a los sistemas tecnológicos empleados en otros ámbitos, debido a la importancia que se presta a la operatividad en tiempo real, y al grave impacto que tendría cualquier incidente sobre ellos. En este sentido el CNPIC, gracias al acuerdo de colaboración que tiene con el Centro Criptológico Nacional (CCN), presenta una serie de guías de interés para la seguridad de los sistemas de control industrial, también conocidos comúnmente como sistemas SCADA. A continuación se relacionan dichas guías y sus objetivos:

  • Version 03-2010 Guia 480A SCADA – Guía de buenas prácticas
    • Obtención de una profunda comprensión de los riesgos a los que se enfrenta el negocio de las amenazas de los sistemas de control de procesos con el fin de identificarlos y conducirlos al nivel adecuado de protección de seguridad que se requiere.
  • Version 03-2010 Guia 480D SCADA – Establecer capacidades de respuesta
    • Basándose en los fundamentos explicados en la CCN-STIC-480A proporciona orientación para establecer las capacidades de respuesta relacionadas con las amenazas a la seguridad digital del control de procesos y los sistemas SCADA.
  • Version 03-2010 Guia 480E SCADA – Mejorar la concienciación y las habilidades
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, se desarrolla examinando en detalle cada una de las áreas clave, proporcionando una orientación general sobre la mejora de las habilidades de seguridad en el control de procesos dentro de las organizaciones.
  • Version 03-2010 Guia 480F SCADA – Gestionar el riesgo de terceros
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación sobre las buenas prácticas de gestión de riesgos de terceros para la seguridad de los sistemas de control de procesos.
  • Version 03-2010 Guia 480G SCADA – Afrontar proyectos
    • Basándose en los fundamentos explicados en la CCN-STIC-480A, proporciona orientación de buenas prácticas sobre cómo incluir consideraciones de seguridad en los proyectos de seguridad en control de procesos.

logo_ccn_med

Al igual que en años anteriores, 2015 ha visto incrementar el número, tipología y gravedad de los ataques contra los sistemas de información de las Administraciones Públicas y Gobiernos, de las empresas e instituciones de interés estratégico o aquellas poseedoras de importantes activos de propiedad intelectual e industrial y, en general, contra todo tipo de entidades y ciudadanos.

La generalización del uso de los medios electrónicos incrementa la superficie de ataque y, en consecuencia, los beneficios potenciales derivados, lo que constituye sin duda uno de los mayores estímulos para los atacantes.

Así lo ha constatado, un año más, el Centro Criptológico Nacional al elaborar su ya tradicional Informe de Ciberamenazas y Tendencias y cuyo extracto y principales conclusiones presentamos en este documento. En él se examina el impacto, en España y fuera de sus fronteras, de las amenazas y los ciberincidentes más significativos ocurridos en 2015: ciberespionaje (por estados y empresas), ciberdelincuencia, hacktivismo2 y, como singularidad, el que hemos denominado ciberyihadismo (acciones atribuibles a grupos de tendencia violenta y radical dentro del islam político), los actores internos o los ciberinvestigadores.

CCN-CERT: Resumen ejecutivo

cnpic-logo

incibe

Identificación y reporte de incidentes de seguridad para operadores estratégicos


Guía básica de Protección de Infraestructuras Críticas

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Destacar que la respuesta a incidentes en IICC se realiza desde INTECO en estrecha colaboración con el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) a través del CERT de Seguridad e Industria.

El funcionamiento de dicho servicio de respuesta incluye el reporte a INTECO-CERT y CNPIC de los propios incidentes de seguridad, su análisis y el escalado necesario para poder gestionar su resolución y dar una respuesta por parte de INTECO-CERT a los operadores con las recomendaciones oportunas que permitan reducir el riesgo para la seguridad que suponga dicho incidente.

Para facilitar una gestión más adecuada, en este documento se definen también las pautas y actuaciones que pueden adoptar los operadores que puedan estar sufriendo un incidente, así como las categorías y niveles de criticidad del mismo. Esta información se incluirá al tratar cada incidente en el sistema de gestión de incidentes (en adelante RTIR, de Request Tracker Incident Response).

Como guía de identificación y reporte de incidentes de seguridad, aunque se incluyen cuestiones específicas que pueden ser sólo de aplicación al caso concreto que se desarrolla, los criterios generales que aquí se exponen atienden a buenas prácticas generalmente reconocidas en la gestión de incidentes y, como tales, pueden servir de referencia en el diseño e implementación de este tipo de servicios en cualquier otro ámbito.

CNPIC/INCIBE – Guía de reportes de incidentes de seguridad

Bruselas llevaba tres años en busca de una buena ley de protección de datos que proteja la información de los ciudadanos europeos. Este martes, el Parlamento Europeo —reunido en pleno en Estrasburgo (Francia)—, junto a las otras instituciones de la UE, ha dado finalmente el visto bueno a la propuesta de la Comisión liderada por la comisaria del ramo, Vera Jourová, para dotar a la UE de una nueva ley de protección de datos.

“Este es un acuerdo fundamental, con consecuencias muy importantes. Esta reforma no sólo fortalece los derechos de los ciudadanos, sino también la adaptación de las reglas en la era digital para nuestros negocios, al tiempo que reduce la carga administrativa”, ha declarado Félix Braz, ministro de Interior luxemburgués, país que ostenta la presidencia de turno de la UE hasta final de 2015.

Se prevén multas de hasta el 4% del ingreso de una empresa en caso de violar la privacidad

Aunque aún no se han desvelado todos los detalles de este acuerdo, las fuentes consultadas lo consideran “equilibrado” tanto para las personas como para las empresas. Por ejemplo, las empresas no podrán compartir datos de los usuarios sin su autorización. Los consumidores deberán dar su consentimiento “explícito” para el intercambio de datos. Las empresas también verán su parte de beneficio, pues podrán reducir sus cargas porque la obligación de notificación previa a la autoridad supervisora será eliminada. Así, las obligaciones de las compañías se graduarán en función del riesgo potencial para la privacidad.

Algunas claves

  • Habrá mayor y más fácil acceso a los datos de cada uno. Cada individuo tendrá más información sobre qué tratamiento reciben sus datos personales.
  • Habrá derecho a la portabilidad de los datos. Es decir, habrá más facilidad para trasladarlos de un servidor a otro.
  • Derecho al olvido. Si un ciudadano lo desea, y bajo algunos requisitos, sus datos serán eliminados.
  • Las empresas deben informar al ente supervisor de cada Estado cuando los datos que maneja han sido pirateados. El ciudadano tiene derecho a saber si ha sufrido un ataque pirata que ha afectado la privacidad de sus datos.
  • Un continente, una ley. Bruselas quiere ir armonizando las normas entre los 28 Estados miembros.

Otra de las implicaciones que tendrá la nueva norma es que las empresas podrán sufrir multas de hasta el 4% de sus ingresos en caso de que haya violado la privacidad de un usuario comunitario. Braz así lo atestigua diciendo que se trata de dos textos (un reglamento y una directiva) “ambiciosos y prometedores”.

Sobre la edad límite para acceder a plataformas como Instagram o Facebook sin autorización paternal, se ha acordado que se dejará libertad de decisión a los Estados miembros siempre y cuando se fije entre los 13 y los 16 años.

El eurodiputado Jan Philipp Albrecht, de los verdes y miembro del comité de Libertades de la Eurocámara, ha confirmado también a través de su cuenta de Twitter que el texto está cerrado. “Hecho. La información oficial llegará en cualquier momento”, ha avanzado. Albrecht ha sugerido que las empresas designen a un oficial de protección de datos si se procesa información sensible a gran escala, como por ejemplo, de un gran número de consumidores.

Más protección en la era digital

La reforma de la directiva de los años noventa consta de dos elementos fundamentales. El primero de ellos es la protección de los datos personales y el segundo, el uso de los datos personales para fines policiales, algo que preocupa cada vez más a las autoridades dada la situación de alarma terrorista en la que está sumida Europa desde los atentados de París del 13-N.

La Unión Europea quiere blindarse ante el flujo de información masivo que se intercambia con otras potencias, como Estados Unidos, especialmente desde el caso de espionaje por parte de la NSA destapado por el exespía estadounidense Edward Snowden en 2013. Lo que quiere evitar la UE es que los datos de sus ciudadanos puedan ser objeto de violaciones de privacidad. Por ejemplo, una de las propuestas es dotar de potestad a los jueces nacionales para frenar el traslado de datos de la UE a EE UU de una persona concreta a través de una plataforma como Facebook. Así lo confirmó, además, el Tribunal de Luxemburgo, una sentencia del pasado octubre.

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

Bruselas 15.12.2015

http://internacional.elpais.com/internacional/2015/12/15/actualidad/1450208377_400556.html

Pedoporno.mpg. Ahí pone pedoporno, sí. Y es exactamente lo que parece: el nombre de un archivo de vídeo que contiene repugnantes imágenes de pornografía infantil. El término aparece en las líneas del código fuente del producto estrella de Hacking Team, una de las empresas de ciberseguridad más importantes del mundo, que vio hundida su reputación el pasado verano cuando piratas informáticos burlaron sus defensas y robaron 400 gigas de documentación sensible que inmediatamente fueron filtrados a través de Wikileaks. El software malicioso Galileo RCS, que utilizaban los servicios secretos de 35 países para infectar ordenadores, teléfonos móviles y tabletas con troyanos espía desde cualquier parte del globo, tenía por tanto la potencial capacidad de introducir ese material incriminatorio -y otros de naturaleza terrorista- en la computadora o el terminal contaminado a distancia.

No hay ninguna prueba de que el Centro Nacional de Inteligencia (CNI) haya puesto en marcha esa sorprendente utilidad del programa Galileo RCS (Remote Control System), pero sí de que contrató ese software al menos desde 2010 y hasta este mismo año. De los correos electrónicos que Hacking Team intercambió con los espías españoles, y los de los propios responsables de la compañía italiana entre ellos, se desprende además que los servicios secretos españoles no sólo adquirieron esa tecnología para conocerla o estudiarla, sino que la emplearon en operaciones de control y seguimiento a sospechosos, a pesar de que hasta el 5 de diciembre de este año no entrará en vigor la reforma de la Ley de Enjuiciamiento Criminal que regula expresamente su uso. Ésta es sólo una de las revelaciones que hace en su libro El Quinto Elemento (Deusto Ediciones) el empresario Alejandro Suárez Sánchez-Ocaña, que ya impresionó en 2012 con Desnudando a Google.

“Con el programa RCS podían hacer de todo: entrar en el ordenador, tomar su control, sustraer toda la información, monitorizar los correos electrónicos, las páginas web visitadas, grabar las conversaciones de Skype y seguirlas en tiempo real, hacer fotos con la cámara cada X horas, memorizar las pulsaciones del teclado o del ratón… Y en el teléfono móvil, además, tener localizada permanentemente a la persona investigada a través del GPS”, explica Suárez.

En Wikileaks pueden leerse efectivamente un buen puñado de emails enviados a Hacking Team desde el dominio del CNI areatec.com, aunque lo habitual es que las comunicaciones más comprometidas se llevasen a cabo a través de un sistema cifrado. Sin embargo, el ingeniero responsable en España de la compañía, Sergio Rodríguez-Solís, deslizó en un correo interno el contenido de una conversación secreta mantenida con los espías españoles. En ella, éstos admitían que habían tenido que desconectar bruscamente el RCS “después de cerrar una operación” porque una revista científica de la Universidad de Toronto había publicado un artículo en el que se descubrían las vulnerabilidades que permitían rastrear y localizar a los usuarios de ese software. Con preocupación, el CNI pregunta si es posible “recuperar las pruebas” que habían sido obtenidas en el ordenador infectado.

Suárez denuncia en su libro que esta actividad es ilegal: “Si la ley no te habilita a infectar un ordenador, todas las pruebas que se hayan conseguido son ilegales. Entiendo que no han tenido permiso ya que no es una actividad legal: un virus no se podía utilizar entonces. Me extrañaría mucho que existiera un registro judicial de esas actividades porque el juez habría incurrido en una prevaricación”.

Así se infecta un ordenador

La manera más sencilla que tiene el CNI para infectar un ordenador o un teléfono móvil a distancia es a través del envío al investigado por correo, Twitter, Facebook o Whatsapp, de un enlace a una página web aparentemente inocente -el de esta misma información en elmundo.es, por ejemplo- que lo que hace es redireccionar a quien lo pulsa a otra dirección intermedia donde se esconde el troyano, que se introduce así discretamente sin que el perjudicado llegue a notarlo en ningún momento. Pero Hacking Team vendía también un dispositivo, llamado Network Injector, que permitía inocular el virus a través del wifi o de la infraestructura de servicios de Internet que utilizase el sospechoso. Una vez dentro del terminal que se quiera espiar, la obtención de información es coser y cantar.

Aunque oficialmente los productos de Hacking Team tienen el calificativo de armas y sólo pueden venderse a agencias gubernamentales, la empresa rusa de antivirus Kaspersky llevó a cabo una investigación mediante mapas de calor que descubrió que estaban tan extendidos que era prácticamente imposible que no hubiesen caído en manos de organizaciones privadas para efectuar espionaje industrial o empresarial o bien de mafias internacionales o grupos terroristas. La difusión de su código fuente en Wikileaks facultaría en realidad para emplear ese software a cualquiera con conocimientos informáticos avanzados.

La lista de usuarios oficiales de Galileo RCS la encabeza México, pero de ella forman parte tiranías como Marruecos, Sudán o Etiopía, que de hecho utilizó el programa para perseguir, espiar y señalar a periodistas disidentes.

Un portavoz oficial de los servicios secretos españoles señaló a este periódico que “si el CNI ha utilizado ese software, ha sido, como siempre, con permiso del magistrado del Tribunal Supremo encargado del control de legalidad de sus actividades”. En este sentido, recordó que la agencia dirigida por el general Félix Sanz ha aprobado este mes de octubre un código ético que impone como principios de funcionamiento el de legalidad, obligando a un respeto escrupuloso a la Constitución y la ley, y el de proporcionalidad, que significa que los medios empleados sean los más adecuados y menos invasivos de derechos fundamentales.

Los correos electrónicos de Hacking Team que pueden leerse en Wikileaks implican también a la Guardia Civil, que no llegó a contratar sus servicios pero, al parecer, sí los de otra empresa del sector: FinFisher. En una serie de comunicaciones del mes de mayo de 2014, un comandante del Instituto Armado, identificado con su nombre y apellidos, se interesa por cómo infectar el sistema operativo SLAX, basado en el software libre y muy popular entre grupos antisistema.

Según la documentación filtrada, la Policía Nacional también habría contratado con Hacking Team, si bien la relación habría expirado en fecha indeterminada. Su intermediario con la compañía de ciberseguridad habría sido el empresario del sector tecnológico Javier Tsang, quien, según uno de los correos, se ofreció a concertar una visita al subdirector de sistemas de información del Ministerio del Interior, Enrique Belda, y a que fuese Telefónica quien hiciese el desembolso por los productos de Hacking Team, que luego cedería a la Policía a cambio de una tarifa mensual.

http://www.elmundo.es/cronica/2015/10/26/562b47a2e2704e07768b464c.html?cid=MOTB23701

JOAQUÍN MANSO

Los intentos de sabotaje a la red de infraestructuras críticas del Estado no solo tienen su origen en cortes de fibra óptica -como el que paralizó recientemente el AVE entre Madrid y Barcelona-, sino que también se propagan a través del mundo virtual. En lo que va de año el Instituto Nacional de Ciberseguridad (Incibe) ha interceptado un total de 63 “incidentes de seguridad” vinculados a las infraestructuras esenciales, entre las que se encuentran el sistema energético, el de transporte o, entre otros, el financiero.

Se trata del mismo número de incidentes que se registró en el conjunto de 2014, por lo que los expertos en seguridad virtual llaman a reforzar la “concienciación” y “robustecer las estructuras de acción” ante el incremento y la profesionalización de estos ataques.

“La amenaza evoluciona, estamos ante una situación dinámica, debemos estar en situación de defensa permanente y supervisar todos los sistemas”, señaló el General de División y Jefe del Mando de Ciberdefensa, Carlos Gómez López de Medina, durante el seminario Ciberseguridad, Defensa Nacional y Suministro Energético celebrado recientemente en Madrid y organizado por Iberdrola. “Existe una falta de percepción del riesgo, y eso nos hace vulnerables”, añade, por su parte, Miguel Ángel Ballesteros Marín, general director del Instituto Español de Estudios Estratégicos.

La mayor parte de los ataques se concentra en el sistema energético y en el de transportes, según comentan a este diario fuentes de Defensa. La tipología de los ataques es muy diversa, y pueden ir desde la suplantación de identidad en páginas web, robo o alteración de información, hasta el intento de denegación de servicio, que busca bloquear los servidores de un operador estratégico. “Los peores ataques son aquellos de los que no te enteras. Te pegan la puñalada y se llevan los datos sin dejar registro“, explica Ángel González Berdasco, técnico de seguridad del Equipo de Respuesta ante Emergencias Informáticas (CERT) de Seguridad e Industria.

Detección y control

Este centro persigue los incidentes y las vulnerabilidades del sistema de infraestructuras y, en caso de localizar una amenaza, se pone en contacto con el operador estratégico para proceder a su solución. En otros casos es la propia empresa la que denuncia el asalto y pide ayuda a los informáticos del Incibe a través de un teléfono de emergencia. “Actualmente hay riesgos de todo tipo. La mayoría de los ataques que recibimos van destinados a dañar nuestra imagen reputacional, aunque también sufrimos intentos de paralizar nuestras actividades”, explica el responsable de la seguridad virtual de uno de los grandes operadores estratégicos. “Los ataques sobre infraestructuras críticas suelen ser intentos de generar un daño grave o muy grave. Normalmente, se trata de avisos que si se llevaran a cabo tendrían efectos desastrosos”, añade.

Este concepto aglutina a toda aquellas “entidades u organismos responsables de las inversiones o del funcionamiento de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica por proporcionar un servicio indispensable para la sociedad”.

Todos los expertos consultados coinciden también en lo difícil que es seguir el rastro de los piratas informáticos, a menudo oculto tras varios servidores distintos y ubicados en distintos países. “El atacante suele comprometer una cadena de servidores, lo que hace muy difícil seguir su rastro. Nosotros vamos cortando la cabeza a la hidra, pero ésta sigue infectando”, ilustra González Berdasco. Entre los principales atacantes, los especialistas en Defensa destacan grupos de terroristas, miembros del crimen organizado y los Estados potencialmente adversos.

En un 60% de los casos, el intento de ataque viene desde dentro de la propia organización. “Hay empleados que conocen los recursos de la empresa y sus funcionamientos”, explica el director de ciberseguridad de una cotizada española.

Los incidentes de seguridad en infraestructuras son sólo una minúscula parte de los más de 36.000 episodios que en el Incibe han detectado en lo que va de año, centrados principalmente sobre los dispositivos informáticos de particulares y empresas. La red académica y científica RedIris es otro de los objetivos de estos sabotajes, con 3.000 incidentes en lo que va de año. “Prácticamente, el 95% de estos ataques son bots, es decir, equipos comprometidos controlados por organizaciones criminales o ciberdelincuentes”, explican en el centro de seguridad. “El 5% restante son páginas web utilizadas para hacer fraude, distribución de malware o programas maliciosos, envío de spam, intentos de vulneración…”, añaden.

Por distribución geográfica, el 30% de los incidentes de seguridad se concentra en la ciudad de Madrid y alrededores, mientras que un 15% están ubicados en el perímetro de Barcelona.

http://www.elmundo.es/economia/2015/10/26/562cf6c0e2704e21798b45bb.html

VÍCTOR MARTÍNEZ

@vmartinez_EM

26/10/2015

Miles de usuarios gallegos de Internet -clientes de la compañía R- se quedaron sin conexión a Internet durante buena parte de la tarde del sábado. A lo largo de todo el día habían sufrido dificultades para navegar de forma efectiva por la Red. Aunque el servicio logró restablecerse sobre las 16 horas, la compañía informó a través de su cuenta de Twitter que sobre las 20.30 su red volvía a sufrir una nueva caída. Pasada la una y media de la madrugada, R anunció que la navegación web volvía a estar estable.

El problema, que impidió acceder y consultar páginas web y disfrutar de servicios como Netflix o Spotify, fue causado por problemas en los servidores de la compañía de telecomunicaciones R. Su servicio de televisión y teléfono no se vio afectado. Aseguraron que se habían puesto en contacto con la Guardia Civil y con el Instituto Galego de Ciberseguridade.

La empresa, recientemente comprada por la vasca Euskaltel, informó a las 16 horas que dio por «estabilizado» el servicio, pero ya entonces reconoció que podía haber lentitud en las conexiones.

Según R, los técnicos lograron encontrar el origen del problema, aunque por el momento se desconoce la causa. Horas antes la compañía había publicado en su cuenta oficial de Twitter que los problemas, que también afectaron a empresas como Inditex, Ikea y la propia Voz de Galicia, pudieron deberse a un ataque a su red.

Una fuente de R consultada por La Voz de Galicia confirma que fue «un ataque masivo a los DNS».

¿Qué son los DNS?

DNS son las iniciales de Domain Name System (sistema de nombres de dominio). Es un mecanismo complejo, fundamental para el buen funcionamiento de Internet y para poder acceder de forma efectiva a las webs. Su función más importante es traducir correctamente los nombres de dominio recordables por los usuarios -como www.xunta.es– en los identificadores númericos (IP’s) usados de verdad para conectar la gran telaraña de equipos que componen la Red.

Cuando un usuario teclea, por ejemplo, www.lavozdegalicia.es en su navegador, su ordenador comprueba si tiene la dirección guardada en su memoria, si no es así, se la pide a un servidor de la empresa que le presta el servicio de conexión a internet. Si este no la tiene memorizada, se la pide a otro situado en un escalón superior de la Red. Y así sucesivamente. Mientras duró el problema, algo falló en esta cadena y R no pudo responder a las peticiones hechas desde los terminales de sus clientes. En la práctica es como si no tuvieran conexión.

Quejas en las redes

Por ahora la compañía, que tiene 320.000 clientes, no concreta el número de afectados, pero las quejas emitidas en las redes sociales por usuarios particulares fueron muy numerosas. Desde R quisieron dejar claro en todo momento que el problema no afectaba a la seguridad de los datos, sino al acceso a las páginas web.

La noticia de la venta de R saltó el 24 de julio. Entonces se hizo público que la vasca Euskaltel iba a comprar la compañía gallega por 1.155 millones de euros. Fue un jugoso negocio para los dos principales accionistas de una empresa clave para las telecomunicaciones en Galicia, el fondo CVC y Abanca. Reciben de los vascos 1.190 millones; el banco seguirá como accionista, pero el fondo se irá con un beneficio de 519 millones.

http://www.lavozdegalicia.es/noticia/tecnologia/2015/10/24/problemas-conexion-internet-galicia-usuarios-compania-r/00031445690215250265935.htm