Webinar: Un Ejército con Una Persona: Respuesta a Incidentes en las Computadoras de Pequeñas Empresas

¿Puede un pequeño equipo de seguridad defenderse de los mejores cibercriminales del mundo?

¡Descubra las herramientas y las tácticas para lograr la victoria!

En las batallas acostumbran ganar los ejércitos más numerosos. Por supuesto, el número proporciona una ventaja muy importante para distribuir las tareas, tener un control mayor y responder al fuego enemigo con más fuerza, pero no se pueden dejar afuera estrategias, tácticas y sobretodo la planificación y los equipos. Un ejemplo es la batalla de Crécy (1346), en la Guerra de los Cien Años, cuando 9000 ingleses ganaron contra 33000 franceses gracias a la utilización del arco largo, un arma nueva bien destructiva. Esta batalla demostró como la herramienta adecuada utilizada con el justo entrenamiento y una buena táctica puede revertir el resultado de cualquier batalla, aunque no se disponga de muchos soldados para la defensa y la respuesta.  Esto es tan cierto en la Guerra de los Cien Años como en la batalla actual contra el cibercrimen. Está comprobado que los cibercriminales ya no apuntan solo a las grandes empresas sino también a las pequeñas, que tienen menos recursos para la seguridad defensiva y que representan una presa más accesible. ¿Cuáles serán los instrumentos adecuados y la planificación correcta para defenderse de los ciberataques aunque su equipo de seguridad TI es pequeño?

EnCase Puede: Un Panorama de las Leyes de Protección de Datos Personales en Latinoamérica

¿Por qué se deben proteger los datos? ¿Cuál es la situación normativa de la protección de datos en América Latina? ¿En qué peldaño de la escalera está mi país? ¿Cómo puede una organización cumplir con estas normativas cuando el comportamiento correcto, la buena fe y la ética no son suficientes? Si los derechos de los clientes están en primer lugar, ¿cómo se pueden satisfacer estos derechos cuando sea necesario?

El artículo 12 de la Declaración Universal de los Derechos Humanos dice que "nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques." Aquí se reconoce el derecho a la discreción, a la privacidad. No se trata de tener “anonimato” o de “estar solo”, sino del derecho a mantener el control sobre su propia información como un requisito previo para el ejercicio de muchos otros derechos humanos.

En los últimos tiempos, desde que internet ha conquistado su lugar en la vida cotidiana, los datos y la información de cada persona se han hecho cada vez más común, creando en algunos casos ventajas y ocasionando peligros en otros. Hoy en día dejamos nuestros datos en lugares que no podemos controlar fácilmente, lugares donde no sabemos si se han almacenado de forma segura, pudiendo así ser robados por hackers para cometer fraude o para difundirlos con intenciones maliciosas. El control de la información definitivamente se ha hecho mucho más complicado para los usuarios, pero el problema es aún mayor en las organizaciones, debido a que tienen que tratar con los datos personales de miles de personas para cumplir leyes y normativas reglamentarias.

EnCase para Pequeñas Organizaciones: Auditoría para Identificar los Artefactos de Internet en los Dispositivos de los Empleados

Navegar en internet es una práctica rutinaria, sea para tareas laborales, intercambio de información o recreación. En la actualidad, muchas pequeñas organizaciones deben estar atentas a la actividad que generan sus empleados en el momento que ingresan a páginas de internet para revisar que éstas estén autorizadas y sean adecuadas dentro de la organización. 

Los auditores de estas organizaciones tienen la posibilidad de hacer seguimiento e identificar qué páginas están visitando los empleados durante el horario laboral. En organizaciones que delegan responsabilidades a empleados facultados (autoridad descentralizada), es común que no se cumplan las políticas de seguridad y que la navegación en Internet esté abierta a páginas no autorizadas. Además del riesgo causado por la navegación a sitios infectados debemos pensar en la posibilidad de que algunos empleados estén cometiendo delitos a través de este medio.

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si Las Actualizaciones de Windows Están Habilitadas

En muchas pequeñas organizaciones algunos empleados tienen privilegios de administradores, lo cual les permite configurar las máquinas a su manera. Esto facilita que puedan habilitar y deshabilitar muchas seguridades en sus computadoras. Una de éstas es deshabilitar las actualizaciones de Windows. Sin éstas los empleados que  no aplican actualizaciones constantemente para sus equipos de trabajo de Windows Microsoft están poniendo en riesgo la organización. La funcionalidad de Windows Update cuando se activa, automáticamente instala las revisiones ante amenazas nuevas, algunas muy críticas para solucionar los problemas de seguridad que personas ajenas como los hacker pueden aprovechas para tomar información de los PCs. Y lo más aconsejable es obtener las actualizaciones de seguridad es activar las actualizaciones automáticas de Windows y así la organización está informada acerca de los problemas de seguridad.

Con el presente artículo pretendemos señalar como un dueño de una pequeña organización, puede realizar auditorías y ver la importancia de verificar que sus empleados tengan habilitada las actualizaciones de Windows. Auditorías realizadas con apoyo de la herramienta especializada como EnCase Enterprise v7, la cual permite revisión de equipos de empleados de manera remota sin alterar el curso del día a día.

La primera de ellas es realizar una exploración sencilla para comprobar que este ejecutándose el proceso, cuyo nombre es wuauclt.exe. Éste archivo hace parte del sistema operativo y básicamente es el notificador de actualizaciones automáticas del sistema, que verifica si existen actualizaciones. Por lo tanto es importante que se revise su existencia en la ruta C:/WINDOWS/System32/wuauclt.exe así:

Para auditar que los actualizaciones están habilitadas, puede hacer clic la opción de Operating System de Sweep Enterprise, revisando los procesos abiertos para verificar si el proceso wuauclt.exe está en ejecución, como se muestra en la siguiente imagen:

 El Sweep Enterprise también le permite ver si el registro (log) de actualizaciones de Windows Update esta abierta. Este archivo es C:/Windows/WindowsUpdate.log y almacena todos los actualizaciones realizados en el equipo:

Otra forma de auditar si la opción de actualización de Windows está habilitado y revisar si el empleado ha deshabilitado las notificaciones de actualizaciones automáticas en la clave de registro UpdatesDisableNotify del Centro de seguridad de Windows, indicando que el valor de la clave es igual a 0:

Para las pequeñas organizaciones es de suma importancia que éstas y otras opciones de seguridad estén habilitadas. Lo cual le garantiza que su recurso más importante como es la información esté resguardada de personas externas y porque no decirlo de internas. El tener habilitada la opción de actualizaciones de Windows minimiza riesgos  que los  equipos  y la organización sufran de robos de información o daños. También las pequeñas organizaciones realizando auditorías periódicas a través de herramientas como EnCase Enterprise pueden establecer que funcionarios se están valiendo de sus permisos como administradores y aprovechan para desactivar las actualizaciones automáticas de Windows.

RELACIONADOS

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si El Antivirus Está Habilitado 

EnCase para Pequeñas Organizaciones: Auditando para Encontrar Números de Tarjetas de Crédito

EnCase Para Pequeñas Organizaciones: El Rastro Que Deja Outlook en Archivo .ost  

Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase

Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase

EnCase Para Pequeñas Organizaciones: Auditoría Para Identificar Si El Antivirus Está Habilitado

Hoy vamos hablar de cómo Auditar a través de EnCase Enterprise si los equipos tienen habilitado y actualizado el antivirus dentro de los computadores de Pequeñas Organizaciones. Pues para nadie es un secreto que cada vez más, se está extendiendo el uso de Internet y de correo electrónico, como la expansión  de los virus por esos medios. Los empleados si se conectan a Internet desde sus estaciones de trabajo, permiten que otras personas usen el equipo o compartan los archivos con otros empleados, siempre deben tomar medidas necesarias para impedir que el equipo sufra daños. Pero también en muchas organizaciones donde no existen los controles pertinentes hay empleados que poseen privilegios de administrador que les permite deshabilitar la protección contra el Antivirus.

El mantener habilitado el antivirus es muy importante, puesto que hay delincuentes informáticos que están pendientes de este evento para atacar los equipos que están desprotegidos. Como por ejemplo realizando robo de información personal,  intrusiones a su equipo a través de Internet o enviando software malintencionado diseñado para dañar el equipo (virus, gusanos y troyanos).  Por estas y muchas razones más  a continuación expondremos las maneras que se puede Auditar los equipos de Pequeñas organizaciones,  algunas de forma manual a través de conexión remota con  EnCase Enterprise y otras más avanzadas y automatizadas con EnCase Cybersecurity. Para este artículo vamos a emplear EnCase Enterprise.

EnCase para Pequeñas Organizaciones: Auditando para Encontrar Números de Tarjetas de Crédito

Hoy en día, muchas personas llegan a cualquier establecimiento comercial y pagan sus compras con el comúnmente llamado “dinero plástico”, nombre coloquial que damos a las tarjetas de crédito. Las tarjetas de crédito son una manera fácil de pagar; quitan la necesidad de cargar dinero en efectivo y facilitan el pago de cuentas en restaurantes, almacenes, tiendas, etc. También se utilizan para compras en línea o pagos en estilo “tarjeta no presente”. Estos avances tecnológicos en las transacciones electrónicas traen grandes ventajas para el usuario, pero también traen brechas en su seguridad que permiten a delincuentes inescrupulosos realizar fraudes. Capturando números de tarjeta, claves de acceso y otros identificadores secretos, estos delincuentes pueden clonar tarjetas de crédito e incluso pueden llegar a suplantar la identidad de sus víctimas.

Muchas personas realizan sus transacciones electrónicas en computadores desde sus sitios de trabajo, pensando que son el lugar más seguro para realizarlas. Infelizmente, ya han existido diversos casos donde empleados de pequeñas y grandes organizaciones se aprovechan de la confianza de sus compañeros de trabajo para robarles información confidencial y así cometer fraudes a través de Internet suplantando al dueño de la tarjeta. Esto es lo que comúnmente llamamos robo de datos, la sustracción de la información de tarjetas de crédito durante una transacción para luego utilizarlas realizando compras a distancia. Adicionalmente, otras organizaciones tienen que guardar los números de tarjetas de crédito de clientes para poder ofrecerles servicios diferenciados (cobro automatizado, programas de asiduidad, pago de servicios, etc), convirtiéndolas en objetivo no sólo de empleados inescrupulosos sino que también de hackers. 

EnCase Para Pequeñas Organizaciones: El Rastro Que Deja Outlook en Archivo .ost

El uso del correo electrónico corporativo, hoy en día es una de las principales herramientas de comunicación dentro de las organizaciones. Permitiendo intercambiar correspondencia con facilidad dentro y fuera de la organización. También existiendo ya políticas del buen uso dentro de ellas o como normas internas, pero que frecuentemente los empleados no tienen en cuenta. Convirtiéndose  el correo corporativo en fuente para poder cometer fraudes como es el hurto de correspondencia; así mismo, otro de los más comunes es el fraude por giros falsos, se inicia con algún tipo de correo electrónico y después el fraude termina con ofertas falsas, cartas o fraude nigerianos. También se presta para  chantajes, calumnias, entre muchos más actos delictivos que se cometen a través del correo electrónico. 

Los empleados de pequeñas empresas, conocen que al configurarles el correo corporativo (Outlook) se les deja creado un archivo con extensión .pst dentro de sus computadoras. Pero también empleados resentidos con la empresa, que siempre están pensando es cometer algún fraude o hacer algún mal a través del correo electrónico corporativo y que piensan que eliminando el archivo .pst están desapareciendo toda huella de los mensajes enviados o recibidos. Lo que desconocen  este tipo de empleados es que muchas veces por default cuando se configura  Outlook con el servicio de información de Microsoft Exchange Server, se guarda una copia en el disco duro local con todo el contenido del buzón. Almacenando en un archivo de datos de Outlook un archivo con extensión .ost sin conexión (tiene la capacidad de usarse de modo caché de Exchange).

EnCase Para Pequeñas Organizaciones: Cómo Auditar Los Archivos De Imágenes Rápidamente.

En la actualidad se están cometiendo muchos fraudes internos o externos en las pequeñas organizaciones, esto sucede por tenerse expuesta determinada información, ya sea en Internet o dentro de ella. Y una manera de cometer fraudes es utilizar la modalidad de captura imágenes de la pantalla cuando otro empleado está visitando páginas o sitios web En especial de bancos en línea o ingresando a cuentas de correos electrónicos corporativos o comerciales y bases de datos o sistemas de información de la organización. Esto con el fin de conseguir contraseñas e información de interés para luego cometer fraudes informáticos (robo de datos, pagos no autorizados, transacciones extrañas y otros fraudes que hacen perder dinero, también fraude con tarjetas de crédito).

EnCase Para Pequeñas Organizaciones: La Evidencia Que Se Encuentra En Skype

A medida que avanza la tecnología las comunicaciones también van un paso adelante. Años atrás para comunicarnos con otras personas debíamos hacerlo a través de telefonía fija o por correo aéreo. Pero esto cambio, ahora existen los teléfonos inalámbricos, teléfonos celulares de baja y alta gama. En vez de ir al correo aéreo podemos enviar cartas o mensajes a través de los dispositivos celulares o computadores es más, si queremos podemos establecer conversaciones viendo a  otras personas que estén en la misma ciudad o incluso fuera del país, esto gracias a la evolución de la tecnología.

Dichas conversaciones se pueden establecer a través de Skype un cliente VoIP desarrollado por Kazaa que también es una red P2P. Skype permite que los usuarios realicen llamadas de voz, envíen mensajes del texto y compartan archivos  a otros usuarios clientes de Skype. 

EnCase Para Pequeñas Organizaciones: Los Archivos Borrados Siempre Dejan Huella

Hoy en día en las pequeñas empresas y con el auge de la implementación del uso de nuevas tecnologías y de las comunicaciones a través de Internet, se están abriendo puertas para cometer delitos informáticos y éste tipo de organizaciones no son la excepción para que sus empleados se vean tentados a realizar fraudes e incidentes informáticos.

Un tema culminante en el momento de realizar investigaciones o auditorias en organizaciones pequeñas, que proporcionan una gran fuente de información valiosa en una investigación, es el hallazgo de información en archivos borrados. Estes archivos que han sido eliminados de  manera accidental o intencionalmente por los empleados para ocultar rastros de  hechos malintencionados en contra de la empresa. 

EnCase Para Pequeñas Organizaciones: Los Fraudes y Su Rastro en el Archivo NTUSER.DAT

El avance de la tecnología agiliza y facilita la mayor parte de las actividades cotidianas dentro de una organización. Sin embargo, también es usado para actos delictivos y obtener beneficios personales, por parte de algunos funcionarios que actúan de manera inescrupulosa. Esta actividad ha generado pérdidas económicas considerables tanto al sector empresarial como en los particulares durante los últimos años.

Para los examinadores y/o auditores el gran reto es identificar el delito qué está cometiendo un empleado dentro de una organización,  por el uso de Internet, como por ejemplo cuando se comete una amenaza y/o fraude. Para ello una fuente muy importante que suministra bastante información identificando de una manera clara en qué actividad estaba involucrado el usuario, lo que estaba haciendo, cuando lo estaban haciendo y por qué, es analizar la gran base de datos que suministra el archivo NTUSER.DAT, a continuación revisaremos algunos ejemplos de fraude y cómo podemos solucionar los problemas en los que se enfrentan los examinadores y/o auditores ante un incidente cibernético.

EnCase Para Pequeñas Organizaciones: Un Vistazo a los Retos en Seguridad de la Información

Leyendo sobre los reportes diarios de brechas de seguridad de compañías, algunos dueños de pequeñas organizaciones o personas que toman decisiones quizás no se identifican con los retos en seguridad de la información en los que se encuentra su empresa en el ámbito actual de seguridad informática. Parece ser más fácil pensar que los criminales no están interesados en la información que su pequeña organización pueda tener. Comúnmente, pequeñas organizaciones puede que no tengan el presupuesto, personas capacitadas o, más importante, el deseo de comprar y manejar herramientas de seguridad como también el constante monitoreo de los sistemas.