«Smartphones» y tabletas, una «mina de oro para los atacantes sofisticados»

Tony Hadzima, responsable de Palo Alto Networks en España y Portugal, habla con ABC sobre las vulnerabilidades de empresas y usuarios ante los ciberataques 

 

 

 

 

Introducir el DNI o la cuenta bancaria en nuestros «smartphones», tabletas y ordenadores es ya una costumbre más que habitual para muchos de nosotros. Reservamos aviones, hoteles y entradas para espectáculos por internet, adquirimos ropa «online» y consultamos nuestros movimientos bancarios en cualquier momento y lugar del mundo gracias a esa necesaria conexión 3G que hace ya tiempo se convirtió en compañera habitual de nuestras ajetreadas vidas.

Del mismo modo, también las grandes compañías intercambian y distribuyen su información más confidencial gracias al poderío de la Red, un arma de doble filo que, si bien ha permitido un avance sin precedentes para empresas de todos los sectores, también ha provocado que esa información que la compañía considera secreta no esté, en algunas ocasiones, guardada bajo la confidencialidad que tantas veces se da por segura. 

Tony Hadzima

Tony Hadzima, delegado de zona en España y Portugal de la empresa de seguridad informática Palo Alto Networks, pionera en dispositivos de seguridad en EE.UU. para evitar la vulnerabilidad de grandes compañías, explica a ABC la situación en que usuarios y grandes entramados empresariales se encuentran ante las amenazas que internet plantea para la seguridad de datos confidenciales, en «serio peligro» ante la obsolescencia de algunos sistemas. 

— ¿En qué estado están hoy nuestros niveles de seguridad en la internet? 

En una empresa o Gobierno, la ciberseguridad es un problema de todos, por lo que es muy importante que los líderes de las compañías no pierdan de vista el papel que la seguridad de redes juega para la defensa de sus estrategias. Una de las bases que empresas y Gobiernos deberían tener en cuenta es el «firewall» (un dispositivo que permite o bloquea el paso de ciertos datos a nuestro equipo) de empresa. [¿Qué es el «firewall»?]. Los «firewalls» pueden no solo ver y controlar todo el tráfico, sino también detectar y prevenir la ciberamenazas, algo que no todos los sistemas cumplen. 

 

Diseñados inicialmente en un tiempo donde el tráfico de Red consistía en poco más que e-mails, páginas web y unas pocas aplicaciones de negocio, la mayoría de estos dispositivos siguen utilizando técnicas obsoletas. No han sido capaces de adaptarse adecuadamente al ritmo de los cambios en la naturaleza de las aplicaciones, las amenazas, los usuarios y la propia infraestructura de Red. Como resultado, su efectividad está cayendo precipitadamente. 

— ¿Cuáles son las principales amenazas a las que se enfrenta un usuario que utiliza de forma habitual su «smartphone» o tableta?

Los «smartphones», tabletas y otros tipos de dispositivos móviles son minas de oro para los atacantes sofisticados. No solo hay muchos, sino que también son cada vez más poderosos al tener la capacidad de hacer la mayoría de cosas que puede hacer un PC y, además, cuentan con una seguridad muy pobre si comparamos estos dispositivos con, por ejemplo, un portátil de empresa. Este trío de gran oportunidad, alto valor objetivo y defensa pobre hacen de la movilidad uno de los frentes en ciberseguridad más atractivos en los próximos meses y años.

«Las revelaciones de la NSA conducirán a una mayor discusión sobre el uso de internet»

— ¿Debe cundir el pánico ante las revelaciones del espionaje por parte de la NSA en Estados Unidos?

Aunque nos abstenemos de hacer comentarios sobre el debate político entorno a la NSA, sí es cierto que pensamos que desde la perspectiva tecnológica, las revelaciones de la NSA conducirán a una mayor discusión sobre el uso privado de internet y la encriptación. 

— ¿Son conscientes las empresas de los peligros de la Red? 

Debido a que muchas personas, no sólo las empresas, ahora dependen tanto de internet y las aplicaciones y servicios web relacionados, están también ahora al tanto de cuestiones de ciberseguridad. Ellos también han llegado a reconocer el potencial impacto, si no de ciberamenazas dirigidas directamente a ellos, de aquellas destinadas a las organizaciones comerciales y del sector público que conservan sus datos personales u ofrecen servicios de los que hacen uso a diario. Un reciente hallazgo de Tenable Network Security confirma esta mentalidad, donde un 66% de los encuestados indicó que las empresas debían ser responsables de los ataques cibernéticos que les afectaban. 

— ¿Qué tipo de información confidencial suele ser especialmente atractiva para los intrusos que pretenden «robar» nuestros datos?

Cualquier información que pudiera calificarse como privada, personal o datos críticos, es lo que los intrusos buscan. Esto puede ser cualquier cosa, desde los números de una tarjeta de crédito a historiales médicos, información logística y planes confidenciales de una compañía. 

— ¿Deben, de manera urgente, implementar las empresas sus medidas de seguridad? 

 

Los «firewalls» tradicionales no satisfacen las necesidades de las compañías y no son suficientes para combatir las ciberamenazas. Dado que los primeros «firewalls» no se dirigían directamente a las ciberamenazas, la mayoría de proveedores tuvieron que incorporar complementos, como los antivirus o motores de prevención de intrusiones. Esto ofrece una capacidad básica para detectar las ciberamenazas conocidas, pero ofrece una protección mínima frente a las desconocidas—incluyendo APTs y los ataques de día-cero.

«Los ejecutivos deben entender lo devastador que puede ser un ciberataque»

— ¿Qué deben hacer entonces para solucionar este problema? 

Añadir productos de seguridad de red independientes para la detección de amenazas, filtrado web y prevención de pérdida de datos es otra posibilidad. Sin embargo, esto lleva a una expansión del dispositivo y a una serie de problemas: la complejidad operativa, políticas complicadas y un rendimiento de la red disminuido. Y más importante que todo esto, este enfoque fragmentado impide que los equipos de seguridad obtengan una amplia visión de lo que sucede en su Red. 

— ¿Qué porcentaje de sus recursos económicos deberían invertir las empresas en ciberseguridad?

Depende de la empresa, pero está claro que cada vez más compañías se toman la ciberseguridad en serio. Incluso si los principales ejecutivos no entienden los entresijos de la ciberseguridad y las amenazas, si que entienden lo devastador que puede ser un ciberataque, y el daño económico y coste de reputación y confianza de sus clientes. 

— ¿Cuáles son los retos en cuanto a la lucha por la seguridad en la Red ante la inminente llegada del «Internet de las cosas»? 

A medida que más dispositivos («cosas») pueden conectarse, también se vuelven más vulnerables. La base de la economía global actual, las infraestructuras críticas —incluyendo las redes de energía, redes de comercio financiero, sistemas de distribución de agua, de telecomunicaciones o redes de salud— se han convertido en un objetivo natural para los cibercriminales. Muchos de estos sistemas están sujetos ahora a lo que se conoce como Amenazas Persistentes Avanzadas o APTs, un término que describe su naturaleza, ya que los ciberdelincuentes que están detrás de estos ataques utilizan una combinación de malware más y más sofisticado y están dispuestos a perseguir a sus objetivos durante bastante tiempo.

 

El próximo enchufe podría ser un USB

El último Chromebook de HP es barato y colorido. Pero esconde además una sorpresa. Puede considerarse como uno de los primeros portátiles que pueden cargarse a través de USB.

No es lo más conveniente. Conectado al USB de un ordenador tarda varias horas en llenar su batería. Es más o menos lo mismo que ocurre cuando tratamos de cargar, por ejemplo, una tableta a través del USB del sobremesa. Es un proceso mucho más lento que hacerlo a través del transformador USB para el enchufe de pared.

La razón es que cuando Intel sentó las bases de la arquitectura USB la alimentación no era una de sus inquietudes. Se trataba, en definitiva, de buscar una forma de conectar periféricos al PC para la transferencia de datos, no de corriente. Los puertos USB 2.0 y 3.0 pueden cargar pequeños dispositivos, como móviles, o hacer funcionar discos duros que no requieran mucha energía, pero no son capaces de alimentar grandes dispositivos.

La organización USB (el consorcio que marca el estándar que siguen los fabricantes) ha finalizado por fin la propuesta de lo que se ha dado en llamar USB PD (USB Power Delivery), una nueva especificación que permitirá transferir hasta 100 vatios de potencia a través de un puerto USB. La mayoría de las conexiones actuales de USB soportan unos 2,5 vatios ( 500 mA x 5 V.) o entre 10 y 12 vatios (en los transformadores que se conectan a la pared), así que es un salto importante.

Con USB PD se podrán cargar portátiles, equipos de sonido e incluso televisores en el salón. Salvando los electrodomésticos de alta potencia (lavadoras, secadores de pelo, cocinas, etc...) USB PD podría sustituir fácilmente la mayoría de los enchufes de casa, con la ventaja de que, además de energía, se puede usar para transferir datos y que las conexiones son compatibles con los puertos actuales. Los dispositivos tendrán que estar preparados para el nuevo estándar, pero aquellos que no lo estén podrán conectarse también y funcionar tal y como lo han hecho hasta ahora.

Así accede la NSA a tu Gmail

Intentamos explicar de manera sencilla cómo funcionan los 2 programas del Gobierno de EEUU que recogen nuestros datos en Internet.

Para ello he recurrido al Blog mi Fisico y YO Principia Marsupia, donde se explica de una manera clara y sencilla. Se ha publicado tal como aparece en dicho Blog






 Crédito de la imagen: The White House

Durante las últimas semanas hemos conocido muchos detalles sobre los programas de espionaje del gobierno de EEUU a través de su Agencia de Seguridad Nacional (la NSA).

Snowden ha desvelado diversos programas de espionaje: escuchas a líderes mundiales, recolección masiva de llamadas telefónicas, acuerdos entre agencias de inteligencia de diferentes países, etc.

En este post vamos a intentar explicar en detalle cómo funcionan los 2 programas de espionaje que recogen nuestra información en Internet (y, en particular, cómo acceden a los correos de Gmail).

Dos programas de espionaje secretos: PRISM y MUSCULAR

Según los documentos de Snowden, existen 2 programas principales para recoger información de Internet: PRISM y MUSCULAR.

Aunque los objetivos de ambos programas son similares, el funcionamiento de ambos es muy diferente. Así que empecemos por el principio.

 ¿Qué es PRISM?

PRISM es un programa de recolección de datos que realiza la NSA con la colaboración directa de las grandes compañías de Internet.

En este documento “Top Secret” desvelado por Snowden aparecen las compañías que colaboraban en PRISM. Están todas las importantes: Microsoft, Google, Yahoo, Facebook, Skype, Apple, etc.

 
 Crédito de la imagen: The Washington Post

En este otro documento, la NSA detalla el año en el que esas compañías empezaron a colaborar en PRISM:

 
 
Crédito de la imagen: The Washington Post

¿Cómo accede la NSA a los datos a través de PRISM?

PRISM recolecta datos de 2 maneras: una “semi-legal” y otra “completamente ilegal”.

PRISM “semi-legal”

El gobierno norteamericano, en principio, no puede espiar a sus ciudadanos. La Cuarta Enmienda a la Constitución estadounidense establece que el Gobierno necesita una orden judicial para investigar a un ciudadano.

Pero conseguir una orden judicial no resulta ningún problema para la NSA. Las obtiene a través de un tribunal secreto -pero legal- llamado FISC (Foreign Intelligence Survelliance Court). Este tribunal sólo admite al abogado que representa al Gobierno y nunca publica sus decisiones.

Desde el año 2003, los senadores de EEUU se quejan de que “no tienen ni idea de cómo funciona el tribunal porque sus procedimientos legales son también secretos para ellos”.

En la práctica, esta corte es una triquiñuela legal para circunvalar la cuarta enmienda. Para que os hagáis una idea: el año pasado, la NSA y el FBI solicitaron 1.800 órdenes de investigación. El 98.9% fueron aprobadas por el tribunal.

Una vez la NSA obtiene su orden judicial, las compañías de Internet están obligadas a entregar los datos.

Ah, y por cierto, si no eres ciudadano norteamericano, no estás protegido por la cuarta enmienda.

PRISM “completamente ilegal”

Además de la triquiñuela legal anterior, los documentos de Snowden desvelan otra faceta de PRISM completamente ilegal (sin orden judicial ninguna) y que se realiza con la completa colaboración de las compañías de Internet.

Para entender cómo funciona es interesante analizar las palabras del representante de Facebook cuando se filtraron los primeros documentos:

“Cuando el Gobierno pide a Facebook datos sobre individuos, nosotros sólo entregamos los estrictamente requeridos por la ley”  [lo que hemos hablado antes del PRISM semi-legal]. “Nunca permitimos un acceso directo a nuestros servidores”.

Atención a la última frase. Los periodistas de The Washington Post, estudiando otros documentos de Snowden publicados semanas después, encontraron la trampa lingüística que esconde.

En truco era el siguiente: en efecto, las compañías “no permitían un acceso directo” a sus servidores. Pero lo que hacían era copiar datos de sus servidores a otros servidores (que técnicamente no eran suyos aunque estuviesen dentro de sus instalaciones) a los que sí tenía acceso la NSA. ¡Toma malabarismo lingüístico con la expresión “acceso directo”!

Hasta aquí hemos hablado de PRISM. Ahora vamos a ver otro programa que utiliza la NSA para acceder a nuestros datos (y en particular a Gmail) y que se llama MUSCULAR.

MUSCULAR o cómo acceder al Gmail de manera sencilla

Seguramente os habréis dado cuenta que cuando os conectáis a Gmail, en vuestra barra del navegador aparece “httpS://“ en vez de “http://“ (diferencia en la letra “S”). Básicamente, lo que esto quiere decir es que la conexión entre vuestro ordenador y el servidor de Google está encriptada con el protocolo seguridad SSL/TSL.

Si alguien “pinchase el cable” que va desde vuestro ordenador hasta Google, no podría leer el email que acabáis de enviar porque la información viaja encriptada.

Evidentemente, Google no está formado por un sólo servidor. Cuando os conectáis a Google, en realidad os estáis conectando al servidor que hace de “puerta de entrada” de Google.

La conexión entre vuestro ordenador y “la puerta de entrada” de Google es segura.

Una vez vuestro email llega a Google, la compañía los copia en muchos servidores a la vez. Así, si por ejemplo, se cae uno de sus centros de datos, vosotros podéis seguir accediendo a Gmail.

Problema: las conexiones entre los centros de datos de Google no están encriptadas.

MUSCULAR es el programa de la NSA que pincha los cables entre los centros de datos de Google (o Yahoo) para leer los emails.

Quiza es más sencillo entenderlo con este otro documento de la NSA desvelado por Snowden:







 Crédito de la imagen: The Washington Post

En la nubecita de la izquierda están las conexiones entre los usuarios y Google. Como véis las flechitas tienen escrito “SSL”. Es decir, las conexiones son seguras.

En la nubecita de la derecha están las conexiones internas entre los servidores de Google. Ahí ya no tienen escrito “SSL”. Es decir, las conexiones aquí no son seguras.

Entre las dos nubecitas, está el cuadrito “GFE”, la puerta de entrada a Google. Aquí está indicado que el protocolo de seguridad “SSL” desaparece una vez entras en Google.  

¡ATENCIÓN a la carita sonriente!

Como podéis ver en este mapa, Google tiene centros de datos repartidos por todo el mundo:


 Crédito de la imagen: Google

Muchos de esos centros de datos están conectados entre sí por fibra óptica propia. Con MUSCULAR, la NSA pinchaba esos cables y tenía acceso a todos los datos que circulaban sin encriptar.

Todos estos detalles se los debemos a la enorme valentía de Edward Snowden y al trabajo de análisis que han realizado durante meses los compañeros de The Guardian y The Washington Post.


Espero que sirva para entender estos casos de espionaje.

Blackhole y la seguridad de los navegadores de Internet.

Son Kit Exploid para las Masas

Los Blackhole incluyen una colección de herramientas para sacar partido de las vulnerabilidades de seguridad de los navegadores Web para descargar virus, bots, troyanos y otras variantes de software malicioso a los ordenadores de víctimas desprevenidas.

  

El gran incremento de la actividad maliciosa en el pasado año es atribuible en parte a que los hackers, que se sirven fácilmente de herramientas y paquetes estándar. Con un clic cualquiera puede descargar una  sofisticada suite de ataque repleta de opciones. Una de estas suites es el kit BlackHole – un paquete de

software muy extendido basado en Web. Los precios de estos kits van de los 50 $ para usar un día, hasta los 1.500 $ para todo el año.

 

A principios de abril, GatorHost informó sobre una red zombi con más de 90.000 direcciones IP únicas que se usaba para lanzar un violento ataque a nivel mundial contra las instalaciones de Wordpress. Se supone que el objetivo del ataque era introducir un troyano backdoor en los servidores y capturarlos para la red. En algunos casos, el famoso paquete exploit BlackHole se instaló con éxito.

Acceder a los servidores de Wordpress y abusar de ellos fue el logro de estos ciberdelincuentes que encontraron también la posibilidad de seguir distribuyendo programas maliciosos mediante blogs ya establecidos y con sus lectores habituales.

Entre los ciberdelincuentes, gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.

Durante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.

Campaña consistente en enviar falsos mensajes de parte de US Airways. Los ciberdelincuentes enviaban estos mensajes con el propósito de persuadir a los usuarios a que activasen los enlaces incrustados en los mensajes y que ofrecían "información de reservas online", además de opciones para el check-in de los vuelos. Si el usuario activaba cualquiera de los enlaces, acababa en un sitio fraudulento que contenía BlackHole Exploit Kit con una avanzada forma del programa malicioso ZeuS (GameOver). Este programa malicioso banquero se autoinstala en el ordenador del usuario y roba los datos de sus cuentas bancarias.  Con estos mensajes spam que se enviaron masivamente, los ciberpiratas apostaban a embaucar a algunos usuarios que hubiesen reservado pasajes en US Airways, lo que aumentaría las posibilidades de que activaran los enlaces.

Las fases del ciclo de vida de Blackhole:

Usuarios en un sitio de exploits Blackhole

Los delincuentes acceden de forma ilegal a sitios web legítimos e introducen contenido malicioso que genera enlaces a las páginas del sitio de Blackhole.

El usuario desprevenido visita unsitio legítimo, el navegador descarga de forma automática del servidor de Blackhole el código del kit de explotación.

Los sitios que alojan Blackhole cambian a menudo.

Utilizan dominios recién registrados y adquiridos mediante el uso ilegal de servicios de DNS

Los hosts desaparecen en el plazo de un día.

La capacidad de Blackhole para enviar tráfico constantemente a los hosts correctos demuestra un nivel de control centralizado impresionante.

Blackhole cuenta con varias estrategias para controlar el tráfico de usuarios.

Infectado a partir de la página de destino

El ataque comienza en cuanto el navegador absorbe el contenido del kit de explotación del servidor de Blackhole. En primer lugar, el código (normalmente, JavaScript) averigua cómo ha llegado el navegador al servidor de Blackhole y registra la información para identificar a los socios que han generado el tráfico y pagarles como lo haría una empresa legal. A continuación, obtiene la huella o el perfil del navegador para detectar el sistema operativo utilizado, la versión y si existen complementos de Flash, PDF, Java, etc. instalados.

Los agujeros en la seguridad de Java parecen ser la principal causa de las infecciones con Blackhole.

Blackhole utiliza código legítimo siempre que es posible. Carga del código del exploit a través del motor Java Open Business Engine.

Envío de la carga

El sistema de la víctima, Blackhole entrega la carga indicada.

Las cargas suelen ser polimórficas y cambian cada vez que infectan un equipo.

Las cargas de Blackhole utilizan herramientas personalizadas de cifrado para evitar ser detectadas por los antivirus.

.

Seguimiento

Blackhole toma nota de qué exploits funcionan con cada combinación de navegadores, sistemas operativos y complementos.

Blackhole es eficaz  y se aprovecha vulnerabilidades nuevas de día cero.

INFORME DE SEGURIDAD 2013

“AL IGUAL QUE EL AGUA NO MANTIENE UNA FORMA CONSTANTE,TAMPOCO

 EN LA GUERRA SE DAN CONDICIONES CONSTANTES” 

 

AUNQUE ESTA FRASE SEPRONUNCIÓ HACE 2600 AÑOS,SORPRENDETEMENTE SIGUE SIENDO MÁS QUE RELEVANTE, REFLEJANDO LA GUERRA ACTUAL – LA CIBERGUERRA.

Este es el principio de intenciones del INFORME DE SEGURIDAD 2013 DE CHECK POINT, de ENERO 2013

En este blog vamos a publicar lo mas significativo del Informe y sobre todo lo que mas nos pueda dar a conocer el mundo de la Ciberdelincuencia y los posibles mecanismos y herramientas para protegernos.

La publicación se irá produciendo de forma periódica.

Las técnicas de los hackers cambian constantemente,empleando métodos más avanzados y sofisticados de ataque, elevando las necesidades de seguridad a nuevos niveles. Los centros de datos, ordenadores y teléfonos móviles de empleados, son los primeros objetivos de los hackers, sembrando una amplísima variedad de malware como bots, troyanos y descargas ocultas. Los hackers recurren a las tretas y la ingeniería social, manipulando a usuarios inocentes, para acceder a información corporativa como documentación interna, registros financieros, números de tarjetas de crédito y credenciales de usuario, o simplemente para hacer caer servicios mediante ataques de denegación de servicio. Esta guerra moderna de engaños y ataques sofisticados es una realidad y va a perdurar. La cantidad de información corporativa almacenada en centros de datos, servidores, PCs y teléfonos móviles crece a velocidad de vértigo, y el mayor volumen de datos y plataformas implica mayor riesgo. Por último, la lista de amenazas de seguridad no es precisamente corta, revelando cada nuevo ataque mayor nivel de sofisticación. ¿Cuáles fueron los riesgos principales que afrontó su entorno de red el año pasado? ¿A qué riesgos estará expuesto el año que viene? Estas fueron las cuestiones principales que mantuvieronocupado al equipo de investigación en seguridad de Check Point los últimos meses. Buscando respuestas a estas preguntas, Check Point ha efectuado un análisis de seguridad intensivo.

Metodología
El Informe de Seguridad 2013 de Check Point está basado en la investigación cooperativa y análisis de incidentes de seguridad obtenidos de cuatro fuentes principales de informe: Check Point Security Gateways Analysis Reports, Check Point ThreatCloud©3, Check Point SensorNet© y Check Point Endpoint Security.
Se efectuó un análisis global de los incidentes de seguridad de la red de 888 compañías a partir de los datos recopilados por los Check Point Security Gateways, que inspeccionan el tráfico de red entrante y saliente en tiempo real. Se inspeccionó el tráfico mediante la tecnología multinivel Software Blades de Check Point para identificar un abanico de amenazas de seguridad como aplicaciones de alto riesgo, intentos de intrusión, virus y bots, pérdida de datos sensibles, etc. Se monitorizó el tráfico de red en tiempo real implementando Check Point Security Gateway en línea o en el modo de monitorización (tap).
De media, se monitorizó el tráfico de red de cada organización durante 134 horas. Las empresas recogidas en nuestros informes pertenecen a un amplio repertorio de negocios localizados por todo el mundo 

Además, se analizaron 111,7 millones de eventos procedentes de 1494 Security Gateways empleando los datos generados por ThreatCloud© de Check Point. ThreatCloud es una base de datos de seguridad actualizada en tiempo real y alimentada con los datos de una gran red de sensores globales, emplazados estratégicamente por todo el mundo que recogen información sobre amenazas y ataques de malware. ThreatCloud permite la identificación de tendencias y amenazas globales de seguridad, creando una red cooperativa para luchar contra el cibercrimen. En esta investigación se analizaron datos provenientes de ThreatCloud que se recopilaron durante un periodo de tres meses entre agosto y octubre de 2012.
En lo referente a datos de amenazas, estos se recopilaron de la red de sensores SensorNet© de Check Point entre el uno de julio y el 30 de septiembre de 2012. SensorNet de Check Point es una red de sensores distribuida por todo el mundo que proporciona información de seguridad y estadísticas de tráfico a un sistema de análisis centralizado. Se analizan estos datos para detectar tendencias y anomalías, así como para elaborar una vista en tiempo real de la seguridad por todo el mundo.

Por último, se consideró el análisis de 628 informes de seguridad de controles procedentes de una gran variedad de organizaciones. Los análisis de seguridad incluyeron la exploración de cada host para valorar los riesgos de pérdida de datos, riesgos de intrusión y por malware. Los análisis se efectuaron con la herramienta de informes Endpoint Security de Check Point verificando si se estaba ejecutando el antivirus en el host, si el antivirus estaba actualizado, si se ejecutaba la última versión del software y otros parámetros. La herramienta es gratuita y de libre acceso, pudiendo descargarse del sitio Web público de Check Point.
Este informe está basado en los datos recopilados de estas fuentes.

Los 10 signos de infección malware en el PC

Ventanas azules, sistema lento o dirección IP en listas negra están entre los síntomas más habituales de una amenaza de malware, recogidos por Kaspersky Lab.

Aún siguiendo las Reglas de Oro de Seguridad (actualizar regularmente tu sistema operativo y tus programas, evitar spam, nunca hacer clic en enlaces sospechosos y, por supuesto, una un buen producto antivirus), el malware puede salir de la nada e infectar tu sistema. Pero, ¿cómo darse cuenta? Estos 10 signos que verás aquí debajo no pueden indicarte a ciencia exacta que tu sistema está infectado, pero sí son advertencias a las cuales debes prestas atención:

  

 

1. Fallos inesperados. La consecuencia es muy llamativa: la pantalla se vuelve azul. Es un signo inequívoco de que algo va mal. Cuando sucede, es preciso analizar inmediatamente el sistema en busca de infecciones. 

2. Sistema lento. Si no hay instalada una aplicación que consume muchos recursos, pero aun así el sistema funciona más lento de lo normal, puede ser porque esté infectado con un virus.

3. Excesiva actividad del disco duro. De forma similar, si el equipo tira de disco duro sin causa aparente, es una advertencia de una potencial infección.

4. Ventanas extrañas. Otra señal son las ventanas que aparecen durante el proceso de arranque, particularmente aquellas que no permiten acceder a diferentes diiscos.

5. Mensajes extraños. Cuando aparecen estas cajas de dialogo, el  sistema esta alertando de que algunos programas o archivos no se abrirán. Mal indicio.

6. Funcionamiento erróneo de algún programa. Si tus programas se pierden, están corrompidos o empiezan a abrirse solos, o si recibes notificaciones de que un programa está intentando acceder a Internet por su cuenta, es un signo importante de que tu ordenador es víctima del malware.

7. Actividades inesperadas de la conexión. Si el router pestañea constantemente, indicando un alto nivel de actividad en la red, cuando no están funcionando programas importantes o accediendo a gran cantidad de datos en Internet, algo no funciona correctamente.

8. Fallos en el correo electrónico. Si los emails no llegan a enviarse,  o si nuestros  contactos están recibiendo correos extraños desde nuestra dirección, es una doble señal: o bien el sistema  ha sido atacado, o bien la contraseña de correo fue  robada.

9. Direcciones IP en listas negras. Si recibes una notificación de que tu dirección de IP fue puesta en una lista negra, considéralo un signo seguro de que tu ordenador ha sido hackeado y utilizado como parte del engranaje de una botnet.

10. Desactivación del antivirus. Muchos programas de malware se diseñan para desactivar los programas antivirus, que podrían detectarlos y eliminarlos. Si el antivirus se desactiva repentinamente, puede ser signo de un problema  mayor.

Si recibes una notificación de que tu dirección de IP fue puesta en una lista negra, considéralo un signo seguro de que tu PC no esta en buenas manos.

StoneSoft seguirá independiente por lo menos hasta fin de año

En julio se cerró la compra de la compañía finlandesa por parte de McAfee. María Campos, responsable local, habla de los próximos pasos de la integración

escrito por: Juan Cabrera25 para channelpartner.es

En julio fue confirmada definitivamente la compra del proveedor finlandés de firewalls de última generación StoneSoft (260 empleados y 40 millones de euros de facturación) por parte del gigante estadounidense McAfee (más de 7.000 empleados). La operación se realizó gracias al pago en efectivo a los accionistas de StoneSoft de casi 390 millones de euros.

 María Campos responsable de StoneSoft en España

StoneSoft cuenta con una tecnología para un mercado con muy buenas perspectivas de crecimiento. En 2012, los firewalls de última generación, que integran funciones como la gestión del ancho de banca, el filtrado de URL o la integración con el directorio activo, reportaron unos ingresos en todo el mundo de 500 millones de dólares, y en 2016 podrían llegar a los 4.500 millones.

Ahora, un par de meses después, María Campos, responsable de StoneSoft en España, habla de la marcha de la integración y de cómo queda StoneSoft en la estructura de McAfee, un proveedor que a su vez fue adquirido en su momento por Intel. “Seguimos siendo StoneSoft, pero con la coletilla de ‘McAfee compañía’. Eso quiere decir que mantenemos nuestra independencia dentro de la nueva compañía. McAfee seguirá vendiendo su portfolio y nosotros el nuestro, aunque los cortafuegos de StoneSoft ya están en la lista de precios de McAfee”, asegura Campos, que sigue al mando de un equipo de siete personas en España (por las más de 30 que cubren el negocio de McAfee a nivel local).

La independencia de StoneSoft, que supone también seguir trabajando en oficinas separadas, se mantendrá por lo menos hasta finales de año, según su responsable. “En 2014 veremos qué pasa, pero ya se ha planteado la convergencia de los planes de canal”. La compañía tendrá que ponerse manos a la obra en ese momento para encajar dos redes comerciales que se complementan (StoneSoft vende firewall corporativo y McAfee una amplia gama de producto para todo tipo de empresas, y que va desde del endpoint a la seguridad del CPD), pero donde probablemente habrá solapamientos.

Stonesoft vende a través de Ingecom y Westcon (Afina), aunque parte de su negocio lo hace a través de acuerdos directos con firmas como Dimension Data, Siemens o Keytron. En total, su canal certificado no pasa de 20 compañías. Mientras tanto, McAfee tiene cientos de partners acreditados en todo el país, y muchos atienden a la pequeña empresa e incluso el consumo. Eso se nota en su canal mayorista, dominado por tres generalistas (GTI, Ingram Micro y Tech Data) y complementado por dos especialistas como Satinfo y Lidera, que también dan servicio técnico.

Campos no sabe qué mayoristas van a quedar, pero asegura que “al final imperará la lógica”. La idea es que tanto unos canales o como otros tengan la oportunidad de ampliar portfolio. “Buscamos negocio incremental. McAfee nos debería abrir las puertas en cuentas donde no estamos y al revés”. Campos calcula que después de cruzar las bases de clientes de ambas firmas, puede haber oportunidades en 100 compañías en España. Si lo aprovecha, será un buen empujón para Stonesoft, una empresa que cuenta con una base instalada de 400 clientes y que cada año lleva su tecnología a un centenar más.

“McAfee nos puede ayudar mucho en sectores como las telecos, las utilities o las grandes cadenas comerciales, sobre todo porque ahí ya ha llegado con su tecnología de endpoint (puesto cliente)”. Por último, María Campos confirma que los tres principales accionistas de Stonesoft seguirán en McAfee, “y sin fecha de salida”. Asimismo, McAfee ha decidido mantener los centros de I+D que la firma tiene en Finlandia y en Polonia. Una decisión lógica si se tiene en cuenta que el 85% de su base de clientes (unos 6.500 en todo el mundo) están en EMEA.