¿Por qué es necesario para una PYME hacer backup en la nube?

¿Por qué es necesario para una PYME hacer backup en la nube?

La ciberseguridad es un asunto de todos, no solo de las grandes empresas, las PYMES son blanco de más del 43% de los ataques, y pese a ello se protegen mucho menos y se resisten a hacer backup en la nube. Repasamos algunos casos de grandes pérdidas generadas por ciberataques y cómo podemos evitarlas con herramientas de ciberseguridad y backup en la nube.

 

CONTENIDOS

La situación de las empresas ante los hackers

Algunos ejemplos de ataques a empresas

Recomendaciones de ciberseguridad

¿Por qué hacer backup en la nube?

Una solución profesional de backup en la nube

La situación de las empresas ante los hackers

A pesar de los cada vez más frecuentes casos de empresas cuyos datos han sido dañados o secuestrados, en España aún hay muchas empresas que solo cuentan con una copia de seguridad en las mismas instalaciones y se resisten a hacer backup en la nube.

Normalmente, cuando alguien ha entrado en nuestra casa a robar, la expresión suele ser de pánico al descubrirlo:

cara asustada

Sin embargo, solo una falta de cultura empresarial hace que no seamos más conscientes del riesgo que supone que nuestros datos de empresa estén expuestos, de una u otra manera, a ataques planificados y ejecutados, en muchos casos, con el objetivo de extorsionarnos mediante un ransomware. Hace cuatro  años, un impactante estudio de  Kaspersky Lab y  Ponemon Institute mostró que el 60% de las pequeñas y medianas empresas que sufren ataques acaban desapareciendo a los  seis  meses.

Por tanto, la expresión debería ser la misma, incluso más dramática, cuando sufrimos un  ciberataque, y las medidas de seguridad  las mismas o mayores  que para  bienes físicos.

 Algunos ejemplos de ataques a empresas

En 2016, Yahoo confesó que había sido atacada hacía tres años (2013) y se habían filtrado 3.000 millones de datos de perfiles: direcciones de correo, claves, nombres y apellidos, fechas de cumpleaños, números de teléfonos, … Uno de los mayores hackeos de la historia.

El ciberataque a SONY en 2014 supuso cancelaciones de rodajes y estrenos, revelaciones inéditas de la industria, y pérdidas que alcanzaron 200 millones de dólares.

En 2015, Ashley Madison, una web dedicada a ofrecer relaciones con amantes a personas ya comprometidas, sufrió el robo de datos de 39 millones de perfiles. El caso fue grave, porque se publicaron datos de los usuarios, celebridades y políticos entre otros.

Telefónica, una tecnológica con importantes medidas de seguridad, no pudo  impedir  un ataque  de WannaCry en 2018, como muchas otras empresas y organismos internacionales.

Este año, el hackeo a la cadena de hipermercados TESCO supuso robos de dinero de cuentas bancarias de 20.000 clientes.

Escalofriante, ¿verdad?

 

escalofriante

El hecho de que sean los casos de estas grandes compañías los que salgan a la luz, no quiere decir que una pequeña empresa esté libre de sufrir ataques. El estudio de Kaspe crsky Lab y Ponemon Institute citado indica que el  43% de ataques se dirigen a  PYMES.

Recomendaciones de ciberseguridad

Para evitar estos problemas, los expertos nos hacen algunas recomendaciones:

  • Instalar solo programas de fuentes solventes.
  • Realizar regularmente actualizaciones de sistemas y programas.
  • Hacer campañas de concienciación y formación periódicas a los empleados.
  • Controlar los dispositivos externos introducidos en la empresa (política de seguridad para BYOD -Trae tu propio dispositivo-)
  • Contar con un buen antivirus y antimalware.
  • Monitorización continua de la red y el tráfico de la empresa.
  • Asegurar la seguridad perimetral de tu empresa y disponer de cibrerprotección en tus mismos datos.
  • Realizar copias de seguridad en dos ubicaciones diferentes, una de ellas fuera de la empresa.

Para los cuatro primeros puntos, el equipo TI o de Sistemas de la empresa es fundamental. Sus políticas a la hora de instalar y actualizar sistemas y de concienciar  y formar a los empleados resultan críticas para prevenir ataques.  Para los cuatro  últimos puntos, es indispensable disponer de un EDR (Sistema de Monitorización y Análisis Continuo del Endpoint -dispositivos que se conectan a la red-) y hacer backup en la nube.

¿Por qué hacer backup en la nube?

Un backup en la nube, cuando es ofrecido por una empresa solvente, no solo te proporcionará el backup, también contarás con un sistema de ciberpotección anti malware y ransonmware en el almacenamiento de los datos.  Y por supuesto, un plan de recuperación ante desastre, que te asegure que tus datos están a salvo y puedes seguir trabajando en caso de ataque… Porque la protección no sirve de nada cuando los hackers consiguen entrar y destruyen tus datos o los encriptan y te piden un rescate por ellos. ¿Te imaginas la situación si no cuentas con una copia de seguridad?

lamento por falta de backup en la nube

Una solución profesional de backup en la nube

Por supuesto, hay muchos proveedores de Ciberseguridad. Desde Extra Software, hemos apostado por los sistemas de ciberpotección y backup en la nube de Acronis. Nos hemos aliado con un fabricante de primer orden, porque nos convence la tecnología que utilizan.

  • Encriptación AES-256 de categoría militar par datos en almacenamiento o tránsito.
  • Seguridad certificada SSAE-18, la mejor tecnología de prevención de desastres.
  • Centros de datos diseñados de nivel IV.
  • Tecnología de Inteligencia Artificial frente a ransomware.

El otro motivo por el que lo hemos elegido, es porque cuenta con dos sistemas diferentes de licencia: Per-GB Model, en el que solo pagas por los datos que guardas, y Per-Workload  Model, en el que pagas por la carga de trabajo que se protege. De este modo, te aseguras de que la información que guardas que consideras realmente valiosa en tu empresa. Por último, el sistema de copias de seguridad es también flexible. Puedes trabajar con backup en la nube con copias completas, diferenciales o incrementales, o una combinación de ellas.

Con un sistema como este, no tendrás ningún problema y podrás dormir tranquilo y sin temor a que un ataque acabe con tu empresa en seis meses.

dormir tranquilo por hacer backup en la nube
Formas sencillas de mejorar la seguridad de la red

Formas sencillas de mejorar la seguridad de la red

Nuestra información personal y de trabajo puede estar en constante amenaza si no mejoramos la seguridad de nuestra red. Mantener el software actualizado ayuda a limitar la vulnerabilidad a los ciberataques, sin embargo, debemos tomar otras medidas de seguridad para aumentar todavía más la privacidad y seguridad de nuestros equipos informáticos.

CONTENIDOS

1. Las contraseñas seguras son la obligación

2. Actualiza periódicamente

3. Usa VPN en todas las conexiones

4. Retira todos los servicios que no usas

5. Asegura físicamente la red

Hoy en día son muchas las oficinas remotas y muchos los negocios que se mantienen productivos gracias a las aplicaciones en la nube, como las herramientas de colaboración y dispositivos personales, todo vinculado a una red corporativa.

Pero a medida que la tecnología informática se extiende a los hogares, se está expuesto a más riesgos. Por eso muchas empresas implementan seguridad mejorada en sus redes, que funciona además para proteger la red del hogar del empleado.

Aunque no tengas una súper seguridad cibernética o no cuentes con los recursos para contratar expertos para reforzarla, existen unas formas sencillas de mejorar la seguridad de la red para ayudarte a proteger tu tecnología informática. A continuación, te dejamos las sugerencias:

1. Las contraseñas seguras son la obligación

Las contraseñas siempre serán la primera línea de defensa contra las amenazas cibernéticas. Es por eso que debemos cambiarlas ocasionalmente, así como hacerlas muy seguras, no usando datos como fecha de nacimiento, número de celular, o número de documento de identificación personal.

Es necesario un hábito de actualización periódica de las contraseñas y si tienes un negocio, debes poner como regla el uso de crear y recordar contraseñas seguras a tus empleados, así como su cambio periódico.

2. Actualiza periódicamente

Toda conexión a internet es vulnerable a los ataques cibernéticos, es por eso que nuestras conexiones, sistemas operativos y aplicaciones deben mantenerse actualizadas, con los últimos parches de seguridad.

Las actualizaciones de seguridad no solo eliminan las posibles debilidades, sino que implementan mejoras y limitan el sistema a la exposición de vulnerabilidades. Actualizar solo toma unos minutos y en ocasiones solo el reinicio del equipo.

Icono Seguridad

3. Usa VPN en todas las conexiones

Si tus redes están protegidas solo por las medidas de seguridad genéricas, estás en peligro de ataque. Es por eso que complementar la seguridad agregando más capas como usar una red privada virtual (VPN), permite que tengas una conexión mucho más segura.

Esto se debe a que las VPN pueden cifrar la información que viaja entre internet y tu equipo, resguardándola de ser robada, copiada o seguida. También oculta tu actividad de navegación, es decir, nadie sabrá qué páginas visitas.

Todo esto es posible porque puedes ocultar tu IP y hacerla pasar por otra. Cuando te conectas a una VPN usas la IP del servidor que hayas escogido, por ejemplo, estás en España, pero te conectas a un servidor de USA. De esta forma tu IP se mostrará como de USA.

Es por eso que muchas de estas redes se usan para navegar en plataformas de video porque permiten desbloquear todo el contenido. Por ejemplo, una VPN elude las restricciones geográficas para Netflix y permite a las personas disfrutar de series que están disponibles en otros países pero no en un país de origen.

Estas redes también hacen más segura la conexión a través de Wi-Fi público, el lugar favorito de los hackers para buscar víctimas.

4. Retira todos los servicios que no usas

Cuando tengas aplicaciones y programas vencidos o que no usarás más, lo mejor es desinstalarlos, retirar los inicios de sesión y credenciales asociados a ellos. Esto asegura que la empresa de dicha app o programa no tenga acceso a tu información.

Además, muchos piratas informáticos utilizan los huecos de seguridad de las apps que no se actualizan más para ingresar en tu equipo y robar tu información.

 

5. Asegura físicamente la red

Muchas veces nos aseguramos de tener antivirus, apps, programas y nuestros sistemas operativos actualizados y seguros. Pero cuando hablamos de la seguridad física de la red, la pasamos por alto.

Si bien la protección contra virus, bots, y hackers es crucial, también lo es contra las amenazas locales. Si no proteges la red física en tu edificio, cualquier persona podría aprovecharse de usar su conexión gratuitamente.

Entonces para evitar que cualquier persona conecte un enrutador inalámbrico a tu red, asegúrate de tener un buen plan de seguridad física para esta. El cableado debe estar en un armario bajo llave, el cableado de Ethernet o debe estar a la vista, ni debe ser de fácil acceso. Asimismo, con los puntos de acceso inalámbricos.

Puedes también probar y desconectar los puertos de Ethernet no utilizados, sobre todos los que estén en áreas públicas.

Como ves estas sugerencias son formas sencillas de mejorar la seguridad de la red, no toman mucho tiempo y puedes periódicamente revisar que todo esté en orden. Ten en cuenta, que cada día son más las habilidades que adquieren los delincuentes cibernéticos para robar tu información, así que depende de ti cuidar tu privacidad y datos de terceros que pueden hacerte daño.

Riesgos de seguridad en las empresas tras la pandemia

Riesgos de seguridad en las empresas tras la pandemia

La nueva situación que ha producido la irrupción del teletrabajo a causa de la pandemia ha supuesto un desafío para los equipos de seguridad de las empresas. Los dispositivos que se escapan a la seguridad perimetral de la empresa, una inversión insuficiente o el uso de las redes sociales como canal de comunicación son algunos de los riesgos de seguridad en las empresas tras la pandemia

Artículo elaborado por José Arroyo Viana, administrador de sistemas y experto en ciberseguridad de Extra Software.

Vulnerabilidad de las empresas debido al aumento del teletrabajo

En ciberseguridad siempre se ha hablado de zonas desmilitarizadas, es decir, de crear diferentes perímetros reduciendo la superficie de exposición de la red de la empresa.  Pero, con la llegada del teletrabajo esto ha desaparecido, produciendo riesgos de seguridad en las empresas.

Hoy en día, en muchas empresas, los trabajadores se conectan a la organización desde redes personales de su casa y estas redes por supuesto no están administradas ni controladas por el equipo TI o de seguridad de la empresa.

Estas redes personales generalmente están compartidas con otros elementos del hogar dispositivos que nos son los que tiene la empresa dentro de su red. Muchos trabajadores se conectan incluso usando las redes desde lugares públicos como pueden ser cafeterías u hoteles.

Así que el perímetro se ha desvanecido y todas las medidas de seguridad perimetrales han desaparecido.

Cuando el dispositivo de trabajo está en tu casa

Hace tiempo hablábamos de medidas de seguridad para BYOD (Bring Your Own Device o tráete tu propio dispositivo) refiriéndonos solo a los dispositivos móviles. Pero ahora el BYOD se ha convertido también en el router, la red cableada o la wifi de tu casa, o bien tu ordenador personal, que, en muchas ocasiones, incluso es compartido dentro del hogar con los demás miembros de la familia.

Debido a esto, el número de amenazas y los riesgos de seguridad han aumentado en las empresas. Además, la desaparición del contacto personal con los compañeros de trabajo hace que aumente el número de conexiones, reuniones o transferencia de datos en formato digital.  Esto, junto a un menor control de los dispositivos de los usuarios y un aumento del número de redes que hay que gestionar sin protección perimetral, ha hecho que los equipos de seguridad o TI se hayan visto desbordados. En muchas ocasiones, han tenido que   improvisar, dimensionarse y crear nuevas políticas de seguridad de forma rápida y sin un despliegue controlado. Muchos cibercriminales se han aprovechado de esta situación

La concienciación de ciberseguridad en las empresas

Con el aumento del teletrabajo una de las amenazas que más ha aumentado ha sido el ransomware. Este aumento se ha debido sobre todo al uso de los ordenadores personales para el acceso a las empresas, con la falta de protección que esto implica. Algunas empresas han entregado ordenadores a los empleados para que puedan desarrollar su trabajo mediante un dispositivo controlado, pero en muchas ocasiones lo que ha hecho la empresa es conectar el ordenador personal del hogar del usuario mediante una conexión VPN a la red principal de la empresa. Este ordenador personal obviamente no está controlado por el equipo TI de la empresa, ni tiene las mismas medidas de seguridad que un equipo dentro del perímetro de la empresa Como consecuencia, el ransomware ha evolucionado y ahora es capaz de conectarse vía VPN desde los ordenadores personales a las empresas.

Aunque las compañías estén cada vez más concienciadas, la pandemia ha afectado económicamente a muchas de ellas y no han podido hacer las inversiones en ciberseguridad necesarias, lo que conlleva que no han podido tomar las medidas oportunas. Y todo ha redundado en un aumento de los riesgos de seguridad en las empresas.

Las redes sociales en el trabajo ¿otro riesgo?

Es innegable que las redes sociales forman parte del día a día del trabajador. Es rara la empresa que deshabilite el uso de redes sociales en su red. Estas redes sociales en muchas ocasiones han pasado a ser una herramienta más del trabajo. Estos canales sociales se han convertido también en canales empresariales, hay empresas que comparten documentación por Dropbox, o utilizan WhatsApp para compartirla y mandar mensajes de trabajo. Esto ha hecho que las amenazas y los ataques de phishing se hayan trasladado también a las redes sociales.

Hay que tener en cuenta que un usuario sigue usando sus redes sociales cuando está en el trabajo a la vez que también, cuando llega a casa, sigue haciendo cosas del trabajo.

Todo esto está haciendo que los equipos de TI pierdan el control de la protección de los datos de las empresas. Estos canales están fuera de la protección o lo que llamamos perímetro de la empresa y son otro de los riesgos de seguridad tras la pandemia.

Como hemos visto, tras la pandemia las empresas se han visto obligadas a adoptar medidas de ciberseguridad de manera acelerada. Esto ha provocado que no se haga de una forma suficientemente organizada y con el control adecuado. El déficit de seguridad en los dispositivos domésticos, la falta de concienciación, la escasa inversión y el poco control de los canales sociales son algunos de los desafíos a los que se enfrentas los equipos de seguridad de las empresas.

¿Has perdido el móvil? Protegiendo la seguridad de nuestro móvil

¿Has perdido el móvil? Protegiendo la seguridad de nuestro móvil

Debido a las posibilidades que nos brindan nuestros móviles actuales y a las aplicaciones que tenemos instaladas, podemos acceder cada vez más a información muy sensible. Si por alguna razón esta información cayera en manos de terceros, podríamos ver comprometida gravemente la privacidad de nuestros datos. Por eso, hoy se hace más necesario que nunca, aumentar las precauciones, minimizar los riesgos y saber cómo podemos configurar una buena seguridad de nuestro móvil. En este post os contaremos cómo hacerlo. Y si has perdido el móvil, Clica directamente aquí

Cómo puedo proteger la información en el móvil

Para fortalecer la seguridad de nuestro móvil, es fundamental realizar una serie de acciones previas. Tenemos varios niveles de protección de la información, de forma que en el móvil podemos activar hasta tres capas:

1. Bloqueo del dispositivo

Es la primera capa y la más importante. Se trata de proteger y bloquear el dispositivo con una contraseña, patrón o biometría (una identificación automática de los individuos en función de sus características biológicas). De esta manera se evita que terceras personas puedan acceder a la información o a las aplicaciones contenidas en el dispositivo. Es especialmente relevante para el caso de pérdida o robo el bloqueo remoto del dispositivo, en el que puedes incluir un mensaje en la pantalla de bloqueo. Si se trata de pérdida, y damos con una persona bienintencionada, facilitará las cosas.

2. Bloqueo de aplicaciones

Muchos teléfonos móviles permiten crear una capa específica para bloquear aplicaciones. Esta capa adicional se consigue al solicitar una contraseña de acceso a determinadas aplicaciones, que será diferente a la que usamos previamente para bloquear el dispositivo. Existen aplicaciones específicas en el mercado que permiten configurar cualquier App instalada, como es el caso de WhatsApp, que permite activar este tipo de protección de manera nativa en su versión para iOS.

contraseña apps

3. Añadir una capa al inicio de sesión de una aplicación

Salvo contadas excepciones, como sucede con las aplicaciones bancarias, la mayoría de las aplicaciones solo solicitan un usuario y una contraseña. Por eso, siempre que el servicio lo permita, debemos activar el doble factor de autenticación. Es decir, añadir una verificación en dos pasos, que nos permite colocar una capa más en la seguridad.

También en cuestiones de seguridad con el móvil es muy importante tener en cuenta el almacenamiento de la información dentro del dispositivo. Es una buena idea realizar regularmente copias de seguridad o llevar a los servicios de nube los datos almacenados. Igualmente importante es no guardar en el móvil fotos de contraseñas, tarjetas bancarias, carnet de conducir o documentos de identidad.

¿Qué hacer ante la pérdida del móvil?

En caso de tener el infortunio de perder el móvil se pueden utilizar funcionalidades como “Encontrar mi dispositivo” de Google o “Buscar mi iPhone” de Apple, que permiten localizar y restaurar los dispositivos, bloquearlos e incluso borrar los datos más sensibles de forma remota. Para ello, se ha debido habilitar el móvil previamente. La seguridad de nuestro móvil antes de que suceda nada, resulta pues fundamental para reducir riesgos en los casos de pérdida o sustracción del dispositivo. Por ejemplo, se debe guardar el código IMEI en un sitio seguro e independiente, pues este código permite identificar inequívocamente los dispositivos. Sirve para hablar con tu fabricante si la garantía o seguro protege de la pérdida a o, en casos más graves, cuando se quiere denunciar el robo a las autoridades.

ladrón móvil

¿Qué hacer ante un robo del móvil?

En el caso de robo, hay que saber actuar rápidamente, ya que el tiempo se convierte en una variable relevante para tratar de recuperarlo y minimizar los daños. Antes de empezar las acciones con terceros debemos realizar dos pasos previos:

  1. Tratar de localizar el dispositivo para verificar que realmente se trata de un robo o una pérdida.
  2. Cambiar las contraseñas de las aplicaciones que estuvieran iniciadas en el dispositivo. De esta forma, si quisieran acceder a las aplicaciones, les volverán a pedir el usuario y la contraseña.

Después, seguiremos los siguientes pasos:

  1. Denunciar el robo ante las autoridades y seguir sus instrucciones
  2. Considerar la opción de borrar los datos y restaurar de fabrica el dispositivo mediante las aplicaciones de “Encontrar mi dispositivo” de Google o “Buscar mi iPhone” de Apple, ya mencionadas. Esto solo será posible si el móvil tiene conexión con internet.
  3. Llamar a la operadora de telefonía para bloquear la línea y evitar que el dispositivo acceda a internet o realice llamadas. Reactivar la línea implicará un duplicado de tarjeta y tiene un coste asociado, por lo que se solo se recomienda en el caso de estar seguros de que no se va a recuperar el teléfono.

Los dispositivos móviles se consideran un bien muy preciado, no solo por la información que contienen si no también, en muchos casos, por el propio valor del dispositivo. Por ello hay que extremar las precauciones de seguridad física que prevén un robo. Por ejemplo, hay que evitar dejarlo encima de la mesa en restaurantes, bares o terrazas. Además, no debemos llevarlo en el bolsillo trasero de los pantalones y trataremos de no guardarlo en mochilas o bolsos que no estén lo suficientemente protegidos. Si somos un poco precavidos, conseguiremos una mayor seguridad de nuestro móvil.

 

8 tendencias de Ciberseguridad en 2021

8 tendencias de Ciberseguridad en 2021

La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, las redes y los datos de ataques maliciosos en el mundo digital. Dado que cada vez se producen más filtraciones y aparece más información expuesta en el mundo; la inversión en ciberseguridad es cada vez mayor y seguirá creciendo los próximos años. Hoy te contamos ocho tendencias de ciberseguridad que están definiendo 2021.

Actualmente las ciberamenazas mundiales se desarrollan a un ritmo muy rápido, con una cantidad cada vez mayor de filtraciones de datos cada año. En un reciente informe se reveló que unos alarmantes 7.900 millones de registros fueron expuestos solo en los primeros meses del 2020. Esta cifra es más del doble (112%) de la cantidad de registros expuestos en el mismo periodo en el 2019. Los servicios médicos, los minoristas y las entidades públicas fueron los que sufrieron más filtraciones de los delincuentes digitales. Algunos sectores son más atractivos para los cibercriminales… Sobre todo, aquellos en donde se pueden recopilar datos médicos y financieros. Pero potencialmente todas las empresas que utilizan las Internet pueden ser atacadas para robar datos de los clientes o hacer espionaje corporativo.

Con la extensión de las ciberamenazas en constante aumento, la Corporación Internacional de Datos predice que el gasto mundial en soluciones de ciberseguridad alcanzará la impresionante cifra de 133.700 millones de dólares para el año 2022.

8 tendencias de ciberseguridad en 2021

Según diversos estudios e informes, la mayoría de los ataques cibernéticos afectan a la seguridad de la red. Es el elemento central que permite orquestar y sustentar la seguridad global de las organizaciones. Mostramos a continuación las 8 principales tendencias que han destacado durante este año en el panorama de la ciberseguridad:

1. Identificación de vulnerabilidades.

A medida que el perímetro de la red continúa expandiéndose, la infraestructura de los servicios migra a la nube y cada vez se usa más el aprendizaje automático y la inteligencia artificial. Por lo tanto, es fundamental evaluar los riesgos para definir el nivel de exposición en una organización y determinar los objetivos de seguridad adecuados.

2. Foco en las amenazas internas- “Zero Trust”.

Más del 30% de las brechas de seguridad se originan dentro de las mismas organizaciones. El enfoque “Zero Trust” se basa en asumir que las amenazas (intencionadas o no) vienen tanto desde dentro como desde fuera de la red. Se trata de un modelo de seguridad que requiere verificación de identidad para cada persona y dispositivo que intente acceder a los recursos de una red privada.

3. Invertir en análisis de datos de red.

El 61% de los responsables de redes son conscientes de que es muy difícil hacer un seguimiento adecuado a todos los dispositivos que están conectados a una red. Para atacar este problema, el análisis de información de la red está evolucionando desde un enfoque descriptivo a otro más predictivo y prescriptivo, capaz de proporcionar la información necesaria para actuar proactivamente.

4. Control férreo sobre quién y qué se conecta a la red.

El planteamiento binario de “estar dentro o fuera” se quedará cada vez más obsoleto. Será remplazado por la implementación de políticas granulares (usuario, tipo de dispositivo, ubicación, hora del día, tipo de conexión, etc.) diseñadas específicamente según las características de cada negocio.

5. Contención y aislamiento de ciberatacantes.

La segmentación y el aislamiento de la red es uno de los aspectos más descuidados en la estrategia de seguridad de las organizaciones. Según los últimos estudios, solo un 1% de las empresas tenía una estrategia de segmentación en el 2019. Para el 2023 se espera un aumento del 30%.

6. Creciente importancia de la privacidad de los datos.

Las empresas han invertido casi 9.000 millones de euros en adoptar las políticas de privacidad conforme al RGPD (Reglamento General de Protección de Datos). Esto demuestra la importancia de estas regulaciones para organizaciones que operen en Europa. Mantener la gobernanza bajo control es clave para el cumplimiento de esta norma y evitar multas como los 57.000 millones de dólares pagados por Google en el 2019.

7. Riesgos del Internet de las cosas y del 5G.

El número de dispositivos IoT en el mundo alcanzó los 20.000 millones en el 2020. Según los expertos, se necesitan apenas 3 minutos para hackear un dispositivo de IoT y 6 meses para descubrir la brecha. La llegada del 5G agudizará el problema, ya que fomentará la utilización de estos dispositivos en localizaciones exteriores.

8. Inteligencia Artificial y Aprendizaje Automático.

Según se estima, para el 2024 la inteligencia artificial será parte integrante de todas las actividades de negocio. Al menos el 90% de las aplicaciones corporativas utilizarán inteligencia artificial. Pero hay que tener en cuenta que los ciberdelincuentes se basan precisamente en la inteligencia artificial para realizar sus ataques más sofisticados y difíciles de contener.

Conclusión

Los problemas con la seguridad de la red seguirán aumentando en el futuro, a medida que aumente la conectividad, la movilidad y el uso de la nube. Los que ya hemos visto este año han afectado principalmente a grandes empresas y organizaciones. Son una clara evidencia de que las reglas de juego en lo digital están cambiando. Las tendencias de ciberseguridad de 2021 señalan un ascenso de los riesgos, con más posibilidades para los atacantes, pero también una mayor inversión en políticas de protección.

Si quieres consultar con un experto en ciberseguridad para empresas de Extra Software puedes ampliar información y contactar en este enlace.

Vulnerabilidades en páginas Web (y 5): SQL Injection

Vulnerabilidades en páginas Web (y 5): SQL Injection

Este artículo es el último de la serie sobre vulnerabilidades en páginas Web. En artículos anteriores hemos visto las vulnerabilidades Command Injection, LFI (Local File Inlcusion) y RFI (Remote File Inclusion), XSS (Cross Site Scripting) y reconocimiento WEB. En el dedicado a la vulnerabilidad XSS, veíamos cómo los atacantes podían inyectar código malicioso usando JavaScript, que es un lenguaje del lado del cliente; por lo tanto, el código se ejecuta en el navegador del usuario. La vulnerabilidad que vamos a ver hoy también es de inyección de código, pero en este caso del lado del servidor, concretamente del servicio de base de datos sobre la que se almacena la información de la página Web. Si un atacante consigue acceso a esta base de datos, puede realizar acciones realmente peligrosas.

Artículo elaborado por José Arroyo Viana, administrador de sistemas y experto en ciberseguridad de Extra Software.

CONTENIDOS

¿QUÉ ES SQL INJECTION?

¿CÓMO FUNCIONA SQL INJECTION?

EJEMPLO DE SQL INJECTION

SOLUCIÓN

CONCLUSIÓN

La explotación exitosa de una inyección SQL puede ser devastadora para una organización y es una de las vulnerabilidades de las aplicaciones web más comúnmente explotadas.

¿Qué es SQL Injection?

Ante la necesidad de usar contenido dinámico en las aplicaciones Web actuales, muchas dependen de una base de datos para almacenar datos que serán solicitados y procesados por la aplicación Web. Las aplicaciones Web realizan consultas sobre estas bases de datos para acceder a los datos almacenados en ellas, para realizar estas consultas se utiliza un lenguaje de consultas estructurado o SQL (Structured Query Language).

Para entenderlo mejor vamos a ver un ejemplo. Nos han hecho una página Web para nuestra empresa en la que tenemos una zona privada que para acceder es necesario introducir un nombre de usuario y una contraseña, esta página Web almacena los datos de inicio de sesión en una base de datos llamada “Empresa”.

La aplicación Web hará una consulta para extraer los datos de la base de datos para mostrarlos. Para realizar esta consulta se utilizará la instrucción SELECT. Con ella, una vez localizada la base de datos y tabla que le interesa, puede filtrar los datos para que muestre algunos registros, por ejemplo, los registros de la tabla Usuarios donde la columna id sea igual a 1. Para ello se usará también la cláusula WHERE. Así quedaría la instrucción:

  • SELECT * from Usuarios WHERE id = 1;

Ahora que sabemos lo que es una consulta SQL vamos a ver como los atacantes utilizan SQL injection.

¿Cómo funciona SQL Injection?

Un ataque de Inyección SQL se produce cuando un valor en la solicitud del cliente se utiliza dentro de una consulta de SQL sin un saneamiento previo. Si como desarrolladores Web no hemos saneado el código y confiamos en los datos proporcionados por los usuarios, los atacantes pueden extraer información oculta de las bases de datos o tomar el control del servidor.

Por ejemplo, si la consulta anterior donde estábamos consultando el registro con el id 1 se realiza en una página Web para mostrar los datos de los usuarios, le indicamos que queremos que nos ordene la salida de los datos por la columna número 10.

Como vemos nos indica que la columna 10 es desconocida. La columna 10 es evidente que no existe ya que solo tenemos 4, pero a los atacantes les interesa saber cuál es el número de columnas que hay en tabla. Si lo ordenamos por 4 ya se nos muestran los datos:

El atacante una vez que sabe el número de columnas que tiene la tabla a la que estamos consultando va a hacer una consulta de 4 columnas uniéndola a la consulta actual mediante la cláusula UNION:

SELECT * from Usuarios where id = 1 UNION SELECT 1,2,3,4;– -;

Ahora por cada columna se nos ha agregado una etiqueta numérica. Nosotros como atacantes nos podremos aprovechar de estas etiquetas para poner sentencias de SQL y que nos las muestre. Por ejemplo, con database() sabremos qué base de datos está en uso por el servicio Web

SELECT * from Usuarios WHERE id = 1 UNION SELECT 1,database(),3,4;– -;

Mediante la unión de consultas hemos conseguido saber cuál es la base de datos que está en uso, mediante esta técnica podríamos extraer toda la información de todas las bases de datos alojadas en el servidor.

Ejemplo de SQL Injection

Este tipo de Inyección SQL la podemos considerar como Error-Based (basada en error). Nos vamos a aprovechar del propio error que se nos va a mostrar en la página Web para listar información privilegiada de la base de datos.

Tenemos un cuadro de texto de una página web en el que escribimos nuestro nombre de usuario y contraseña y al ejecutarlo nos aparecen los detalles de nuestra cuenta en la página. Para ello nos hemos creado antes una cuenta en esa aplicación web. El nombre de usuario es ‘extra’ y la contraseña ‘password123’

Vemos que la dirección Web o URL que se nos genera es la siguiente:

http://10.17.20.71/mutillidae/index.php?page=userinfo.php&username=extra&password=password123&user-info-php-submitbutton=View+Account+Details

Nosotros como atacantes podemos intuir que los parámetros username y password (que hemos destacado en negrita) forman parte del SELECT de la consulta que se le está haciendo a la base de datos. Como no sabemos el número de columnas que tiene y es necesario para usar la unión de consultas, vamos a ordenar por la columna número 10. Al reproducir la URL, vamos a destacar en rojo la parte del código que está inyectado, para mayor claridad. (Al final del código inyectado, hemos puesto un comentario de línea usando los siguientes caracteres (– -). Esto se utiliza para que el código inyectado no aplique a lo que va a continuación).

http://10.17.20.71/mutillidae/index.php?page=user-info.php&username=extra’ order by 10– –&password=password123&user-info-php-submitbutton=View+Account+Details

Vemos que nos aparece el mismo error que por consola donde nos indica que no existe esta columna y no puede ordenar por ella. Le hacemos la misma consulta, pero ordenando por 5 columnas y ya no nos devuelve el error por lo que sabemos que hay 5 columnas:

17.20.71/mutillidae/index.php?page=user-info.php&username=extra’order by 5– – &password=password123&user-info-php-submit-button=View+Account+Details

Ahora hacemos una unión con 5 columnas y vemos que nos las muestra poniendo los números debajo, en este caso las columnas visibles son la 2,3 y 4:

http://10.17.20.71/mutillidae/index.php?page=user-info.php&username=extra’ union select 1,2,3,4,5– –&password=password123&user-info-php-submitbutton=View+Account+Details

Ahora sabemos que si ponemos una función de SQL en los espacios donde tenemos los números 2,3 o 4 nos aparecerá por pantalla el resultado de esa función o instrucción. Para llevar a cabo el ataque, donde pone el 2 le ponemos la sentencia database() nos mostrará la base de datos que está actualmente en uso que es owasp10.

http://10.17.20.71/mutillidae/index.php?page=user-info.php&username=extra’ union select 1,database(),3,4,5–&password=password123&user-info-php-submitbutton=View+Account+Details

De la misma forma podríamos poner la sentencia user() para que nos muestre el usuario que está corriendo el servicio:

También podríamos hacer más cosas como leer ficheros locales del equipo, extraer toda la información de la base de datos e incluso modificarla.

Solución

Muchas veces se intentan prevenir este tipo de vulnerabilidades usando filtros. Los filtros pueden hacer que parezca que no hay vulnerabilidades, pero son algo que el atacante puede saltarse.

Algunos programadores también usan una lista negra, por ejemplo, prohíben el uso de UNION, INSERT o sentencias del estilo. De nuevo esto no es 100% efectivo. Otros usan una lista blanca en vez de negra, ….

La mejor manera de evitar SQL Injection es programar la aplicación Web de manera que no permita hacerlas. Una forma sería crear una declaración parametrizada donde los datos y el código estén separados. Luego podemos usar los filtros como segunda línea de defensa. Y también es recomendable usar los menos privilegios posibles para el usuario y usar un usuario por cada base de datos.

Conclusión

En el artículo hemos visto la vulnerabilidad SQL Injection. Como hemos explicado, esta vulnerabilidad se aprovecha de las peticiones que hace la página o aplicación Web a su backend de base de datos.

En el ejemplo hemos visto una vulnerabilidad basada en error, pero hay otros tipos como las basadas en tiempo, en este caso la página Web no devuelve ningún error y se utilizan condiciones basadas en tiempo.

Como siempre, os hemos dejado finalmente unas pautas de seguridad mínimas que se deben seguir para evitar ser víctima de este tipo de vulnerabilidades.