A través del correo electrónico coordinamos y resolvemos multitud de tareas laborales en nuestro día a día. En ocasiones, las prisas y rutinas hacen que no apliquemos todas las medidas de seguridad que serían necesarias al utilizar esta herramienta, algo que utilizan los ciberdelincuentes para llevar a cabo sus propósitos de engaño.
Uno de los casos más habituales es lo que conocemos como email spoofing o suplantación de identidad por correo electrónico. Mediante esta técnica maliciosa se envían correos con remitente falso para enviar spam, difundir malware o llevar a cabo ataques de phishing y suplantar la identidad de directivos de la empresa, proveedores, clientes, etc.
Los métodos cada vez más depurados de los ciberdelincuentes hacen que sea complicado distinguir un correo legítimo de otro que no lo es. Pero, no te preocupes, vamos a darte ventaja explicándote las pautas necesarias para que identifiques cuándo estás recibiendo este tipo de mensajes.
Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:
La información relativa al emisor y al receptor,
los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino,
el cliente de correo que se utilizó para enviarlo, y
la fecha de envío y recepción del email.
Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.
Soldados alemanes trasladan un tanque durante unos ejercicios el 12 de febrero, en Bergen Hohne.FABIAN BIMMER / Reuters
El portal eBay se ha hecho popular en Alemania por vender todo tipo de cosas relacionadas con el mundo militar: los visitantes pueden hacerse, por precios módicos, con herramientas, uniformes y trajes diseñados para combatir guerras químicas. Pero la compra realizada recientemente por una firma de seguridad supera con creces las expectativas: un viejo ordenador portátil de la Bundeswehr, el Ejército alemán, con información clasificada sobre un sistema de misiles aún en funcionamiento.
Fue la curiosidad lo que llevó a un grupo de expertos informáticos a descubrir en el portal la oferta de un viejo ordenador Rocky II+ RT686 del fabricante alemán Roda, equipado con el sistema operativo Windows 2000, un anticuado procesador Pentium III, 128 MB de memoria y cinco kilos de peso. El portátil, que arranca sin necesidad de solicitar datos de acceso, fue comprado por 90 euros. Cuando lo encendieron se llevaron una sorpresa que dejó en ridículo las estrictas medidas de seguridad militar de la Bundeswehr: los expertos en informática encontraron, entre otras cosas, instrucciones para destruir el sistema de defensa aérea Ozelot en caso de emergencia.
Los investigadores de seguridad de la empresa G Data, con sede en Bochum, descubrieron esta documentación, así como el software para pedir piezas de repuesto, en ese viejo portátil que habían comprado por pura curiosidad en eBay. Aunque el procedimiento establece que hay que retirar el disco duro o borrarlo con métodos fiables antes de vender un ordenador viejo, los responsables militares no lo hicieron con este portátil, que llevaba almacenada, sin encriptar, documentación clasificada sobre este sistema armamentístico.
Tim Berghoff y su colega Alexandra Stehr de la empresa G Data vieron con sorpresa que podían tener acceso al software de gestión Modis al escribir la contraseña guest (invitado). A partir de ese momento, ambos expertos tuvieron acceso con detalle a toda la documentación del sistema de defensa antiaérea ligera (LeFlaSys) Ozelot, un pequeño tanque ligero armado con antimisiles que sigue siendo utilizado por la Bundeswehr. También encontraron instrucciones sobre cómo utilizar y destruir todo el sistema en caso de una emergencia.
“Las viejas computadoras de los LeFlaSys fueron todas desechadas y enviadas a reciclar con la orden de borrar o inutilizar los medios de almacenamiento existentes”, anunció una portavoz del Ministerio de Defensa, citada por la revista Der Spiegel, que dio a conocer la compraventa del ordenador. “Se supone que se produjo un error durante el reciclaje del ordenador en cuestión”, añadió.
Según el Ministerio de Defensa existe desde 2019 la obligación de retirar o destruir todos los soportes de datos antes de vender un equipo informático. Al ministerio tampoco pareció incomodarle el hallazgo hecho por los expertos del grupo G Data y en un intento para restar importancia al error cometido señaló que sus computadoras no contienen información que pueda permitir a un tercero obtener datos confidenciales.
El ministerio tampoco ha mostrado interés en recuperar el dispositivo. “El portátil sigue en posesión de G Data y pronto será utilizado como un ordenador de juegos retro”, dijo Berghoff.
No es la primera vez que algo así le ocurre a la Bundeswehr. El pasado mes de julio, un guardabosques de la Alta Baviera había comprado un ordenador portátil junto con las instrucciones de funcionamiento clasificadas de un lanzacohetes MARS. Esta computadora la compró en una subasta de la Sociedad de Recaudación Federal (Vebeg) que tiene, entre otras cosas, la misión de gestionar los objetos que desecha el Ejército, desde teléfonos y vehículos hasta helicópteros y ordenadores viejos.
El guardabosques que encontró los datos contó al periódico Süddeutsche Zeitung que se habían marcado como información clasificada “solo para uso oficial” y que el disco duro no había sido borrado por Vebeg por alguna razón desconocida. El guardabosques había comprado cuatro computadoras a la vez, pero solo encontró datos en una de ellas y también contó que había podido burlar la protección de la contraseña con unos pocos intentos.
Uno de los aspectos esenciales de un Sistema de Gestión de la Seguridad de la Información (SGSI) de acuerdo a los requisitos de ISO 27001:2005, es la evaluación de los riesgos a los que están sometidos los activos de la organización.
Para ello existen dos conceptos fundamentales: Amenaza y Vulnerabilidad, sobre los cuales me gustaría recordar lo siguiente:
• RIESGO: (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias.
• AMENAZA: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
• VULNERABILIDAD: (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
De la lectura de la definición de vulnerabilidad, así como la mención en la propia ISO 27001:2005, cuando habla de “identificar los riesgos” (4.2.1.d) y dice “identificar las vulnerabilidades bajo las que podrían actuar dichas amenazas”, se entiende que la vulnerabilidad nunca es la consecuencia de la amenaza, sino una situación existente que pudiera ser aprovechada (explotada) por una determinada amenaza.
En muchos de los SGSI que he tenido la oportunidad de conocer, algunos incluso con varios años de existencia y evolución, he comprobado cómo se confunde vulnerabilidad con “consecuencia”, estableciendo la siguiente errónea analogía:
En el siguiente gráfico explico con un ejemplo la relación entre Riesgo, Amenaza y Vulnerabilidad:
Mi resumen:
• La vulnerabilidad nunca es la consecuencia.
• La vulnerabilidad es un factor o situación que debe existir para que la amenaza se manifieste.
• La vulnerabilidad es una “debilidad”.
• Las vulnerabilidades están ligadas a las características y condiciones de los sistemas de información, así como a su entorno.
• Las vulnerabilidades pueden ser cambiantes, incluso cuando las amenazas permanezcan estáticas.
En un mundo en el que cada día existe un mayor número de procesos de negocio soportados por sistemas informáticos, surge la necesidad de disponer de una metodología que permita disponer de información veraz sobre las actividades realizadas, así como del resultado de las mismas.
Ya no basta con prestar un servicio u obtener un resultado deseado, sino que debemos poner a disposición de aquéllos que lo demanden, información descriptiva de las actividades realizadas. Esta información debe disponer de una serie de atributos que la hagan fiable para el receptor de la misma.
Tradicionalmente hemos dispuesto de los llamados “logs de actividades”, los cuales nos proporcionaban, cada uno de una forma particular, determinada información sobre qué había sucedido en un determinado sistema de información. El punto débil de estos logs ha sido siempre el mismo: “demostrar que no han sido alterados”, es decir, que se garantiza su cadena de custodia. Esto hace que el valor del log quede limitado al valor que el receptor del mismo le quiera otorgar, existiendo siempre una cierta “duda razonable” sobre que dicho log sea un fiel reflejo del hecho que trata de describir o probar.
Con el fin de establecer un método para la gestión de este tipo de logs, que a partir de ahora denominaremos “evidencias electrónicas”, nace la norma UNE 71505, cuyos principales objetivos son:
Definir y describir los conceptos de seguridad de la información relacionados con las evidencias electrónicas.
Identificar las relaciones entre el Sistema de Gestión de Evidencias Electrónicas (SGEE) y el Sistema de Gestión de la Seguridad de la Información (SGSI).
Especificar los controles de seguridad aplicables a la gestión de evidencias electrónicas.
Describir los formatos de intercambio de las evidencias electrónicas y los mecanismos técnicos aplicables, para el mantenimiento de su confiabilidad.
La confiabilidad de las evidencias electrónicas e fundamenta en el cumplimiento de la siguiente triple pareja de atributos:
Autenticación e integridad.
Disponibilidad y completitud.
Cumplimiento y gestión.
La norma UNE 71505 establece los requisitos para la gestión de las evidencias electrónicas a lo largo de todo su ciclo de vida, incluyendo, por lo tanto las actividades relacionadas con las siguientes fases de dicho ciclo de vida:
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
Funcional
Siempre activo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferencias
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Estadísticas
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
Comentarios recientes