boletin

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “ATAQUES A ELEMENTOS DE PROTECCIÓN FÍSICA Y REDES OT”

Por D. Pedro Benito Durán (Responsable de Auditoría y Pen Testing en GLOBAL TECHNOLOGY).

Muestra a través de un programa los ciberataques que acontecen a nivel mundial en tiempo real, además de una demostración práctica de lo fácil que puede ser atacar a una industria o una infraestructura crítica y paralizar la producción o el servicio, por ejemplo, alterando el funcionamiento de un puerto conectado a internet, como el proceso de uperización de una industria de lácteos. Basta con alterar los datos de algún sensor (termostato, ascensor, centrifugadora…) conectado a un ordenador, utilizando el software específico, para que un proceso industrial se detenga, ya que sus protocolos se diseñaron con objeto de ser funcionales, no de ser seguros.

Objetivos de Protección Física susceptibles de ser hackeados:

• Cámaras.
• Sensores de presión, movimiento, etc.
• Relés de apertura de accesos y tornos.
• Contadores y registradores de presencia.
• Tornos, botones de apertura.

Otros objetivos:

• Cámaras y visión artificial
• Sensores
• PLCs
• Scadas
• Human machine interface

Entre las contramedidas que las empresas deben tomar son:

• Protección de las ubicaciones físicas.
• Control de acceso.
• Sistemas de monitorización de accesos.
• Sistemas de limitación de acceso.
• Sistemas que permitan el seguimiento de personas o activos.
• Sistemas de gestión de factores ambientales.
• Sistemas de protección de corriente.
• Sistemas de protección adicionales para centro de control.
• Sistemas de control de los dispositivos de configuración portables.
• Sistemas de protección de cableado.

CONCLUSIONES

• Nunca debemos asumir que un sistema industrial es seguro porque su importancia funcional sea muy alta.
• Los sistemas industriales se diseñan para tener gran tolerancia a fallos no para que sean seguros.

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “LUCHA CONTRA LA CIBERDELINCUENCIA”

Por D. Diego Alejandro Palomino (Inspector-Jefe responsable de la Sección de Fraude en Comercio Electrónico de la Policía Nacional)

La ciberdelincuencia ha pasado a ser una actividad que comporta un alto rendimiento con muy bajo riesgo. El 84,7% de los delitos informáticos son estafas y muchas de ellas no son denunciadas.

La ciberdelincuencia actúa en cuatro grandes amenazas:

1. La ciberdependencia, donde se incluyen
   1. el ransomware,
   2. el malware móvil y
   3. los ataques DDOS;

2. El fraude on-line:
   1. con el phishing y
   2. la ingeniería social;
3. Los delitos relacionados con material sexual de menores.
4. La Dark Web, visitarla no supone un delito, pero sí es un buen escenario para investigar porque allí se producen en muchas ocasiones compraventas fraudulentas.

Un valioso truco para detectar intentos de phishing: cambiar la dirección del remitente de minúsculas a mayúsculas, cambiar “oes” por “0” ceros, por ejemplo, direcciones “http” en vez de “https”. Ello nos permite detectar más fácilmente errores tipográficos que no son tan inocentes.

Existen herramientas como FakeCalls, para simular llamadas o Fake Apps, para simular aplicaciones o redes sociales falsas.

Para acabar con todas estas amenazas hay que potenciar los mecanismos de cooperación internacional. Acabar con la ciberdelincuencia exige generosidad, comprensión y apoyo mutuo. Las capacidades y las habilidades suman, pero la actitud multiplica.

Jornada ASECOPS de Ciberseguridad (MAN-21 de junio) “ASPECTOS LEGALES Y ESTRATEGIA PARA MAYOR EFICACIA EN LA LUCHA CONTRA LOS CIBERATAQUES”

Por AYUELA JIMÉNEZ ABOGADOS (D. Joaquín Jiménez Rubio, Socio de lo Penal Económico y Compliance. y D. Jesús Villamor, Socio de Penal Económico)

Joaquín Jiménez Rubio, explicó las obligaciones de las empresas en materia de ciberseguridad en cuanto a su responsabilidad civil por los actos de sus empleados en el ejercicio de sus funciones, por lo que conviene que las empresas adopten medidas para la seguridad de la información y ciberseguridad para evitar que incurran en un riesgo legal porque los cambios derivados en la normativa de compliance penal, convierten a las compañías en responsables de los delitos que los empleados puedan producir en el ámbito laboral. Esto afecta directamente al ámbito de la ciberseguridad, ya que gran parte de las brechas de seguridad provienen de errores humanos. Para evitar que se produzcan delitos informáticos, una compañía necesita códigos éticos, formación y protocolos de actuación, que le permitan afrontar un proceso judicial con garantías en caso de ser necesario.

Jesús Villamor explicó lo establecido en el Código Penal Español para poder recuperar dinero, datos y restaurar los daños, y conductas peligrosas. Son dos los bienes jurídicos que el Código Penal protege:

• La intimidad (en este caso uso de los datos personales de las empresas y revelación de secretos)
• La propiedad (delitos contra el patrimonio): delitos de estafas informáticas como el método phishing, daños al software, que se penaliza por daños a la empresa y a la sociedad)

En todo caso lo primero que se debe hacer en cuanto la empresa es víctima de estos delitos es ponerlo en conocimiento de las Fuerzas de Seguridad del Estado y denunciarlo en el Juzgado de lo Penal.