domingo, 14 de julio de 2013

Ciberseguridad para PYMES

El pasado 11 de julio de 2013 tuve la oportunidad de asistir al “Primer Taller de Inteligencia Económica: Ciberseguridad para PYMES", organizado por el Instituto de Ciencias Forenses y de la Seguridad (ICFS) de la Universidad Autónoma de Madrid, con la colaboración del Centro Nacional de Excelencia en Ciberseguridad (CNEC) y la Guardia Civil.
  • Programa. Destacar el carácter gratuito de este taller.
  • El objetivo, como bien cuentan en su presentación:
"Inteligencia Económica y Ciberseguridad son dos de los principales pilares para la defensa de nuestra economía, como así lo establece la recientemente Estrategia de Seguridad Nacional. Un elemento clave es su aplicación a las PYMES. El primer paso para ello a) es concienciar a las personas con capacidad de tomar decisiones en la pequeña y mediana empresa de la amenaza que supone el cibercrimen y b) dotarles del conocimiento esencial para mejorar la protección de todos aquellos bienes intangibles que forman parte de su negocio".

Este taller se ha podido realizar gracias al convenio que tiene el Ministerio del Interior con la Universidad Autonoma de Madrid, y la estupenda presentación corrió a cargo de D. Enrique Ávila Gómez (@eavilagomez), Jefe de Servicio de Sistemas Informáticos de la Dirección General de la Guardia Civil y de D. Fernando Esteve Mora, Profesor del Departamento de Análisis Económico de la Facultad de Ciencias Económicas y Empresariales de la UAM.

Se incidió en que las PYMES generalmente no saben gestionar bien:
- La vigilancia competitiva.
- La inteligencia económica.
- La reputación empresarial.

Y la forma de luchar contra estas carencias es con la información y el conocimiento.

También se habló de algo que se tiene miedo a mencionar en España: la guerra económica y temas de espionaje, cuando en Francia existe una Escuela de Guerra Económica y estos términos están absolutamente normalizados. La importancia de este tema es que el campo de batalla está siendo en Internet.

Quedó muy claro que es importantísimo alfabetizar a las PYMES para que comprendan lo complicado que resulta recobrar un activo intangible, y que se deben realizar auditorías de su infraestructura informática, de sus páginas webs y de todo aquello que conlleve un peligro y pueda suponer agujeros de seguridad, para continuar su negocio con su información, datos y prestigio intactos.

  • A continuación pasamos a un Taller Práctico, un ejemplo de laboratorio de la Guardia Civil de un ATAQUE a una PYME.
Fue impresionante todo lo que mostraron, pues por supuesto se ayudaron de power points explicativos para dejar claros algunos conceptos, pero pudimos ver en directo y real este ataque: a la derecha en su puesto, Fran, el "malo" (no se parecía a Lee Van Cleef), y a la izquierda, Alex, "el bueno" (no, no se parecía tampoco a Clint Eastwood :P) con toda la mesa llena de los equipos e infraestructura que verdadaramente iba a ser atacada.

A la vez que íbamos viendo el ataque, recibíamos continuos consejos sobre qué aspectos serían interesantes modificar o tener en cuenta, desde algo básico como cambiar el nombre de red y la password de la red wifi que viene por defecto, el usuario y contraseña de administración del router a mantener todos los programas actualizados.
Como el auditorio tenía perfiles muy variados, en todo momento pudimos interrumpir para preguntar dudas, que muy amablemente contestaron.

Por no entrar en aspectos demasiado técnicos, pudimos ir viendo cómo se atacó el servidor de ficheros SAMBA, el servidor web, como se infectaba con un PDF malicioso o sustituyendo el juego de cartas del escritorio (), y otros tantos ataques variados, encaminados a lo arriba comentado: hacerse con el control de los datos de la empresa (clientes, facturas y todo lo que tengan almacenado), manejar a su antojo su página web de manera que en un momento podían "reirse" y cambiar la portada, así como subir contenido porno o cualquier otro ilegal y llegar a hacer un sistema de pago con todo ello, o meter un troyano para seguir infectando y conseguir aniquilar totalmente la PYME: años de trabajo y reputación tirados por la ventana en cuestión de minutos.

Teniendo en cuenta que hoy en día hay multitud de sistemas controlados con domótica, por ejemplo una casa inteligente de las mostradas en la Villa Solar el pasado septiembre en Madrid, que son capaces de manejar a distancia temas como temperatura, luces, garage, persianas, etc, también se hace necesaria una invulneribilidad (Sistemas Scada).
Y qué decir de las webcams abiertas en Internet, donde pudimos ver un bar de Valencia sin que al parecer se estuvieran enterando, o la facilidad de conseguir los documentos que han sido gestionados en una impresora.

Desde cualquier smartphone hay aplicaciones con las que se puede entrar a una red Wifi mal protegida

Aquí ya se está accediendo al servidor web (un dominio creado www.pymespain.es) y se están viendo todos los servicios


Los tres equipos que vimos hackear: el servidor Linux, un Windows 7 y un Windows XP. En la pantalla con "Armitage" (Metasploit). Muchas herramientas de ataque como ésta pueden ser utilizadas por personas que no saben ni programar

La PYME, "el bueno", con todos los equipos verdaderos que sufrieron el ciberataque

La página web totalmente hackeada, con la típica palabra PWNED! de "aquí estoy, tengo el control y soy dueño de todo"

Un diez para la Guardia Civil que hizo este enorme trabajo, y pudimos ver todo sin que pareciera ciencia ficción, muy palpable, muy cerca y totalmente real, con lo que te conciencias de lo vulnerables que son tanto los usuarios normalitos como las PYMES que no invierten en este tipo de seguridad.

Pasamos un poquito de calor porque en verano se olvidan de que aún puede haber gente en las salas de la UAM, y a las 18h. apagaron el aire acondicionado, pero aún así "aguantamos" y fue muy interesante la parte de preguntas. Hubo muchos comentarios, diferentes puntos de vista, se aclararon dudas, se generó un debate sano y se crearon interesantes sinergias entre ponentes y asistentes.


A mí personalmente me dieron la tarjeta dos personas, una de la UAM-ICFS y una chica de una empresa que realizaba soluciones integrales, desde la página web de un negocio a auditorías. También pude saludar a un caballero que había visto en las jornadas X1RedMasSegura e intercambiar opiniones e impresiones con la amiga que me informó de este taller, Ana Gil.

Se necesitan muchas más iniciativas como ésta para continuar avanzando en esta dirección de concienciación de seguridad en la red, y espero que realicen más talleres interesantes de este estilo. Quizás con un poquito más de duración, pues a mí se me hizo "corto", pero ya es un gran paso no haberlo aplazado para después del verano y comenzar lo antes posible. Los tiempos en Internet son de vértigo, y todo lo que se pueda ir adelantando es de vital importancia.

Mis sinceras felicitaciones a todos los organizadores y equipo de este evento, considero que han realizado una estupenda labor y seguirán haciéndola en el futuro.

7 comentarios:

  1. Me parece impresionante el trabajo que haces y como muestras tu interés por los demás. Un abrazo,

    ResponderEliminar
    Respuestas
    1. Gracias por tus palabras, para mí no es trabajo, lo hago con mucho gusto. Respecto al interés por los demás, me hace reflexionar, pensé que me había convertido en "misántropa" :)
      Un abrazo.

      Eliminar
  2. Impresionante artículo, ahora me como las uñas por no poder asistir :(

    Genial redactado, sin erratas :P y muy claro, como a mi y a mi abuela de (ya) 83 años nos gusta xD

    Me parece una entrada digna de un blog tipo SbD o el lado del mal.

    Genial querida Trinity ;-)
    Besos

    ResponderEliminar
    Respuestas
    1. akil3s, afortunadamente seguro que habrá más eventos parecidos y podrás asistir.
      Gracias por los halagos, me pongo colorá *^^* pero vamos, si mi abuela, que tiene más años que la tuya, se sientan ambas y se enteran de algo, me parecería milagroso :DDD.
      Halaaaa! eso si que no lo puedo consentir, comparar mi entraducha con esos dos gigantes, aunque sé que el comentario va hecho con muy buena intención, gracias! :)

      Todo un honor que te hayas pasado por aqui.
      Besos! :*

      Eliminar
  3. Un evento interesante para conocer todos los temas de seguridad que deben tenerse en cuenta en las pymes y empresas, fundamental para garantizar la integridad de la información en todo momento. Saludos.

    ResponderEliminar
    Respuestas
    1. Efectivamente fue muy interesante, pues en poco tiempo te conciencias de la importancia que tiene la seguridad de tu empresa, independientemente de su tamaño. Se enseñan estrategias a seguir y se incide en puntos que aunque teóricamente los tengas en la cabeza, no te paras a pensarlos detenidamente ni darle la importancia que merecen, y este tipo de eventos ayudan a ello.
      Gracias por tu visita. Saludos.

      Eliminar
  4. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar

Gracias por participar en Mi Matrix Particular. Te esperamos pronto.

Comparte

© Trinity

Related Posts Plugin for WordPress, Blogger...