CNCCS presenta su primer “Informe sobre Malware en Smartphones”

Febrero 7th, 2011

Los smartphones, el nuevo objetivo de las mafias del fraude online

• La escasa concienciación de los usuarios y la gran cantidad de información personal y confidencial, principales motivaciones de las mafias para este nuevo tipo de ataques

• El CNCCS te proporciona una guía de buenas prácticas para proteger tu smarthphone

El estudio pretende constituir una radiografía que refleje la situación actual de los smartphones en lo referente a seguridad, describiendo las principales amenazas a las que se enfrentan, así como las medidas existentes para mitigar los riesgos asociados. Los dispositivos móviles ya no son simples teléfonos y no pueden ni deben ser tratados como tal.

Los dispositivos móviles han ido evolucionando hasta converger prácticamente en cuanto a funcionalidades con los ordenadores personales, hecho que se traduce en un notable incremento en la usabilidad de los móviles en cualquier ámbito. Pero como nota negativa debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que los usuarios no son conscientes de los peligros que entraña no tener protegido su terminal ni de la cantidad de información personal que se almacena en el mismo. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este sector entre sus objetivos. Un objetivo de gran crecimiento y alta remuneración.

El primer código malicioso destinado a dispositivos móviles apareció en 2004, pero desde entonces los ataques han evolucionado a una velocidad de vértigo hasta llegar al último detectado hace escasos meses: ZEUS Man in the Mobile.

“Durante muchos años las empresas de Seguridad hemos avisado que los dispositivos móviles serían objeto de la mayoría de los ataques que hoy ocurre en el mundo PC, y ha sido finalmente en 2010 donde hemos visto el cambio en la tendencia. Creemos que 2011 será realmente el año donde los ataques a dispositivos móviles pasará de ser una estimación, a ser una realidad” señala David Barroso, director de S21sec e-crime.

Hay que estar preparado para las futuras infecciones ya que los creadores de malware evolucionan continuamente sus técnicas y no cabe duda de que el malware para dispositivos móviles va a seguir evolucionando teniendo en cuenta que el futuro cercano apunta a un increíble incremento de los smartphones para todo tipo de operaciones: móvil como medio de pago, banca electrónica, seguimiento de individuos a través del GPS del móvil, ataques de ingeniería social avanzados, etc.
“Uno de los grandes problemas a los que nos venimos enfrentando los profesionales de la seguridad es la movilidad de los usuarios. Dentro de dicha movilidad, junto a portátiles, tabletas y similares, cada vez juegan un papel más decisivo los smartphones. Incrementar la seguridad de estos dispositivos, desde todos sus puntos de vista -desde el malware a la protección de la información almacenada, pasando por la gestión de los mismos o la auditoría- es un reto para cualquier departamento de seguridad, reto a afrontar de forma inmediata si queremos proteger nuestra información y, por tanto, nuestro negocio” afirma Antonio Villalón, Director de Seguridad de S2 Grupo.

¿Cómo pueden los usuarios proteger sus dispositivos?

La limitada concienciación en lo referente a seguridad de los usuarios de estos dispositivos y el consecuente comportamiento pueden ser los factores de mayor riesgo para los smartphones a corto plazo. Es de gran importancia comprender que un dispositivo móvil de estas características ya no es un simple teléfono y no puede ni debe ser tratado como tal.

El CNCCS propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

 Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
 Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
 Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
 Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
 Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
 Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
 Configurar el Bluetooth como oculto y con necesidad de contraseña.
 Realizar copias de seguridad periódicas.
 Cifrar la información sensible cuando sea posible.
 Utilizar software de cifrado para llamadas y SMS.
 Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
 Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
 En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
 En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
 Monitorizar el uso de recursos en el smartphone para detectar anomalías.
 Revisar facturas para detectar posibles usos fraudulentos.
 Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
 Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
 Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
 Evitar el uso de redes Wi-fi que no ofrezcan confianza.
 Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

“Si bien las amenazas para móviles no forman parte aún del objetivo de muchos ciberdelincuentes, estamos viendo cómo aparecen los primeros ataques reales por parte de éstos. En los próximos meses los ataques para dispositivos móviles, principalmente para aquellos basados en Android, el sistema operativo de Google, crecerán de forma exponencial” afirma Luis Corrons, director técnico de PandaLabs.

Si desea visualizar el informe completo haga click aquí

Más información:

S21sec Asesores de RRPP y Comunicación
María Asín / masin@s21sec.com Elisa Morán – emoran@comunicacionrrpp.es
Tlf. 902 222 521 Tlf. 91 577 45 54

Posted in General, notas de prensa | 11 Comments »

El Consejo Nacional Consultivo de Cyberseguridad apoya al Gobierno para que se desarrolle una legislación coherente contra los ciyberdelincuentes

Noviembre 9th, 2010

Ataques como el ocurrido la semana pasada contra las webs de SGAE, Ministerio de Cultura y Promusicae suponen un delito en España con la legislación actual

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) apoya la iniciativa por parte de las Administraciones Públicas de desarrollar una legislación coherente con los tiempos,  para poder responder en un futuro a ciberataques como los ocurridos la pasada semana a SGAE, al Ministerio de Cultura y a la entidad Promusicae.

Se han incluido dos párrafos sobre este tipo de actividades ilegales en la reforma del código penal que entrará en vigor el próximo 22 de diciembre:

  • El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
  • El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años

(Artículo 264 del Código Penal)

 Xabier Mitxelena, presidente del CNCCS, ha afirmado que “desde el Consejo Nacional Consultivo de CybserSeguridad estamos muy orgullosos de que se haya conseguido un marco legislativo que se adecue a la realidad que estamos viviendo. No obstante seguiremos contribuyendo a la mejora de la seguridad de los ciudadanos en Internet.

 El CNCCS se creó hace más de un año para impulsar tanto en organismos públicos como en empresas privadas la necesidad de contar con un marco legislativo acorde con la realidad del cibercrimen, a través de medidas concretas dirigidas a ciudadanos para mejorar su protección en internet.

En qué consistió el ataque

El pasado jueves 7 de octubre, el grupo de ciberactivistas “Anonymous” anunció un ataque de denegación de servicio contra la Sociedad General de Autores y Editores (SGAE), así como contra el Ministerio de Cultura español. El objetivo de este grupo, que ha realizado ataques similares en los últimos meses en otros países, es reclamar mayor libertad a la hora de compartir información en Internet, de forma que no se cierren las webs de intercambio de ficheros. Un ataque de denegación de servicios consiste en saturar el servidor en el que se aloja una página web con un número de peticiones mayor de la que es capaz de soportar.

 Están previstos varios ataques globales similares en las próximas semanas, especialmente debido a la notoriedad de la SGAE en todo el mundo.

 Sobre CNCCS

 El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada fundada por: AEDEL, Amper, Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB security, Isec Auditors y S21sec. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la cyberseguridad nacional o global, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Posted in notas de prensa | No Comments »

El Consejo Nacional Consultivo de Cyberseguridad cumple con éxito su primer año de vida

Julio 20th, 2010

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) celebra su primer aniversario con gran éxito tras haber impulsado tanto en organismos públicos como en empresas privadas la necesidad de contar con un marco legislativo acorde con la realidad del cybercrimen, A través de medidas concretas encaminadas a mejorar la seguridad nacional así como otras actividades dirigidas a ciudadanos para mejorar su protección en Internet.

Fundado justo ahora hace un año por Panda Security, S21Sec, Hispasec Sistemas y Secuware, el CNCCS cuenta con 14 nuevas compañias y organismos: Amper, Bdigital, Colegio Oficial de Ingenieros de Telecomunicaciones, Colegio Oficial de Ingenieros en Informática del País Vasco, Universidad Deusto, Indra, Informática 64, Internet Security Auditors, Kinamik, Optenet, S2grupo, TbSecurity, Telefónica y Aedel.

Un año de proyectos

La Presidencia del Consejo, de carácter rotativo, ha sido ocupada en este año por Juan Santana, CEO de Panda Security, y en la actualidad por Xabier Mitxelena, Director Gerente de S21sec. En ambas presidencias, el CNCCS ha participado en diferentes iniciativas que le han otorgado un papel relevante en el sector de la seguridad en Internet.

Uno de estos proyectos ha sido el apoyo a la formación del Plan Nacional de Cyberseguridad, que el senador del Grupo Socialista, Félix Lavilla, presenta ante el Senado. El proyecto fue posteriormente aprobado por el Congreso de los Diputados, que insta al Gobierno para que finalmente se llevara a cabo. Este proyecto, tiene como finalidad el liderar iniciativas encaminadas a innovar en materia de seguridad con el fin de establecer un marco regulador de un uso saludable y seguro de las Nuevas Tecnologías de forma preventiva.

Asimismo, el proyecto pretende ser un Plan Estratégico de Seguridad Nacional que sea referente y ayude a trabajar de forma continua en los modelos de prevención. Dicho Plan permitirá identificar las oportunidades para la industria, el desarrollo del Sector de la Seguridad Digital, la creación de empleo para profesionales de alta cualificación y la potenciación internacional de la industria. Igualmente, se fomentará la creación de actividad económica basada en la aplicación práctica de la I+D+i nacional.

El proyecto que ha puesto en marcha el CNCCS incluye además la figura de un responsable en materia de seguridad, así como la implantación en INTECO de un laboratorio de certificacón de sistemas de gestión de infraestructuras críticas que permita elaborar un catálogo de empresas y productos certificados, tanto de España como de la Unión Europea.

Durante este año, el CNCCS también ha participado en diferentes encuentros que ha reunido a la étite nacional en seguridad y gestión de riesgos empresariales, como es el caso del diálogo CSO organizado por Econique Iberia el pasado mes de enero; el II Security Blogger Summit en febrero; o el encuentro CNPIC para abordar la seguridad en infraestructuras críticas. Además, Xabier Mitxelena, como Presidente del CNCCS, participó el pasado mes de mayo en las VII Jornada Internacional ISMS Forum Spain.

Asimismo, el Consejo Nacional Consultivo de Cyberseguridad ha organizado durante este año 2010 numerosos eventos; entre ellos, una mesa redonda con medios de comunicación para alertar acerca de la labor que queda por hacer en materia de protección de infraestructuras críticas, así como varias conferencias en la Universidad de Deusto, para la protección de los delitos de internet.

Todas las actividades llevadas a cabo por el CNCCS han sido apoyadas durante este año por los medios de comunicación que, conscientes del problema actual en España en materia de Cyberseguridad, han seguido muy de cerca las iniciativas del Consejo.

Concienciación a la Sociedad

La labor del Consejo durante este año también ha estado dirigida a la concienciación sobre el uso responsable y seguro de las nuevas tecnologías con la Campaña de concienciación ciudadana HaztePre, www.haztepre.es. Esta campaña, que se ha puesto en marcha junto con el Instituto de Tecnologías de la Información y Comunicación (INTECO) y la Oficina de Seguridad del Internauta (OSI), está dirigida a cualquier persona con conocimientos básicos sobre Internet. Hazte Pre, cuyo lema es En Internet, como en la vida, hay que ser PRE: ser precavido, estar prevenido y preparado, abarca los principales hábitos de utilización del ordenador de los internautas españoles y aconseja sobre cómo mantenerse seguros o cómo actuar de forma prudente.

Estamos encantados con la buena acogida que ha tenido el Consejo en este último año. De hecho, esto nos ha servido para darnos cuenta, aún más, de la necesidad que teníamos en España de un organismo de estas características, ha asegurado Xabier Mitxelena, Director Gerente de S21sec y presidente del Consejo Nacional Consultivo sobre Ciberseguridad. Estamos orgullosos del trabajo y los resultados obtenidos durante este año en todas nuestras acciones, lo que nos fortalece y anima a seguir llevando a cabo nuevas iniciativas que contribuyan a la mejora de la seguridad en Internet y redes de información.

Proyección de futuro con nuevos miembros

En los próximos meses, el CNCCS, que cuenta ya con 18 miembros, seguirá impulsando una serie de proyectos con la intención de concienciar de la importancia de la seguridad en Internet. Entre las actividades previstas por el CNCCS para los próximos meses destacan la promoción de la seguridad en Infraestructuras críticas, la elaboración de un Plan con leyes nacionales contra el cibercrimen o la participación activa en ciclos de conferencias, como las jornadas que organizará la Universidad de Deusto del 30 de agosto al 3 de septiembre.

En la actualidad, el CNCCS está abierto a la incorporación de nuevos miembros, siempre y cuando cumplan los siguientes requisitos:

-Ser una compañía o institución española, cuya empresa matriz o central resida en nuestro país.

-Contar con personalidad jurídica y estar debidamente inscritas en el registro mercantil, durante un plazo mínimo de dos años.

-Tener actividades de I+D+i en materia de seguridad informática en España.

-Desarrollar actividades representativas dentro del ámbito de la seguridad informática.

Para solicitar su adhesión, que debe ser aprobada por el Comité de Dirección del Consejo, deben hacerlo a través de su página web, www.cnccs.es.

Posted in notas de prensa | 3 Comments »

CNCCS, INTECO y OSI (Oficina de Seguridad del Internauta) lanzan en Euskadi la campaña de concienciación ciudadana sobre seguridad en Internet HaztePre

Junio 23rd, 2010

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) -fundado por Panda Security, S21Sec, Hispasec Sistemas y Secuware-, junto con el Instituto de Tecnologías de la Información y Comunicación (INTECO) y la Oficina de Seguridad del Internauta (OSI) han puesto en marcha la campaña de concienciación ciudadana HaztePre. La campaña, que se encuentra disponible en www.haztepre.es, está dirigida a cualquier persona con conocimientos básicos sobre Internet.

El objetivo de Hazte Pre, cuyo lema es En Internet, como en la vida, hay que ser PRE: ser precavido, estar prevenido y preparado, es concienciar sobre un uso responsable y seguro de las nuevas tecnologías, por lo que ofrece no sólo material educativo, sino consejos, guías y herramientas gratuitas.

La campaña abarca los principales hábitos de utilización del ordenador de los internautas españoles y aconseja sobre cómo mantenerse seguros o cómo actuar de forma prudente. La documentación sobre la campaña contiene información detallada sobre las amenazas que circulan por Internet, guías sobre cómo navegar de forma segura por la Red (cómo comportarse de manera segura en las redes sociales, cómo hacer compras seguras en Internet), un teléfono de atención ciudadana de la Oficina de Seguridad del Internauta, herramientas de seguridad gratuitas y muchos otros recursos adicionales.

Esta campaña viene motivada por el déficit de seguridad a la hora de navegar que se ha observado en la sociedad española a través de distintos estudios. Una de las razones principales es que en nuestro país la difusión de Internet ha sido muy rápida. Actualmente siete de cada diez personas consume contenidos digitales1. La rápida penetración de Internet entre los usuarios ha provocado que muchas personas que navegan por la Red no cuenten con los conocimientos sobre seguridad informática adecuados, lo que implica que el 56,03% de los equipos españoles estén infectados. De hecho, nuestro país se sita en el puesto nmero ocho del mundo en cuanto a nmero de ordenadores infectados2.

Gran parte de las infecciones están causadas por la carencia de conocimiento de los usuarios sobre los peligros de la Red y sobre cómo se pueden evitar. Así, por ejemplo, segn una encuesta de Panda Security3, aunque el 96% de los usuarios del País Vasco están protegidos con un software de seguridad, apenas un 25% de ellos cuenta con una suite de seguridad y sólo un 42% cuenta con algo tan elemental como un firewall. Mientras, más de la mitad apuesta por tener instalado tan sólo un antivirus. Sin embargo, el 76% de los internautas vascos confirma haber sido víctima de amenazas informáticas.

En lo que al comportamiento a la hora de navegar por la Red se refiere, los datos también reflejan la laxitud de los ciudadanos vascos. Así, por ejemplo, el 67% de los encuestados afirma realizar movimientos bancarios utilizando Internet, pero un 45% reconoce que no toma ninguna precaución especial a la hora de hacerlo, a pesar de que en lo que va de año se han registrado más de 1.300 casos de phishing dirigidos a entidades financieras4.

Segn Luis Corrons, Director Técnico de PandaLabs, laboratorio antimalware de Panda Security: Los que tenemos acceso a las nuevas tecnologías hacemos uso de ellas, normalmente sin muchos conocimientos, ya que las hemos adoptado sin ser especialistas. Por ello, pocos somos conscientes de que navegar por Internet conlleva sus riesgos. Sin intención de generar alarma, sí creemos que es importante aumentar el nivel de concienciación sobre el problema, puesto que para conseguir una Internet segura para todos, debemos tomar una serie de precauciones mínimas a la vez que hacer un uso responsable de las tecnologías. Estas campañas de concienciación forman parte intrínseca de los objetivos estratégicos de actuación del CNCCS en la sociedad.

De acuerdo a Juan Carlos Rodríguez, responsable de formación de S21sec: En los primeros diez meses de 2009 se han detectado desde S21sec e-crime alrededor de 2.000 incidentes de fraude online cuyo primer objetivo es el usuario. El anonimato que proporciona la red a los ciberdelincuentes junto con la sofisticación de los ataques hacen que la concienciación y formación de los ciudadanos y la prevención para mantener sus equipos seguros sea totalmente necesaria.

Posted in notas de prensa | 1 Comment »

Ciberseguridad en España: una propuesta para su gestión (ARI)

Junio 22nd, 2010

18/06/2010 – Real Instituto Elcano

Posted in CNCCS en los medios | 2 Comments »

Real Decreto sobre la Protección de Infraestructuras Críticas

Abril 29th, 2010

29/04/2010 CNPIC-es.es

Posted in General | No Comments »

Los “hackers” van rápido y nosotros, con la lengua fuera

Abril 29th, 2010

14/03/2010 El País.com

Posted in La prensa habla | 1 Comment »

Camacho anuncia un Real Decreto para proteger las infraestructuras esenciales contra ataques ciberterroristas

Abril 29th, 2010

18/02/2010 El Economista.es

Posted in La prensa habla | 1 Comment »

El Gobierno prepara una norma para proteger las infraestructuras contra ciberataques

Abril 29th, 2010

18/02/2010 Publico.es

Posted in La prensa habla | 1 Comment »

El CNCCS participa VII Jornada Internacional ISMS Forum Spain

Abril 23rd, 2010

¿Cómo innovar en tiempos de crisis?

El próximo 25 de mayo Xabier Mitxelena, Presidente del CNCCS y Director General de S21sec, participará en representación del CNCCS en el debate I+D y la seguridad como servicio a la ciudadanía, que tendrá lugar en el marco de la VII Jornada Internacional ISMS Forum Spain;  ¿Cómo innovar en tiempos de crisis?

Más información.

Posted in notas de prensa | 2 Comments »

« Older Entries