Crimeware-as-a-Service (Crimeware como un Servicio), también conocido por su acrónimo CaaS, es un modelo delictivo utilizado con fines de lucro y que centra sus objetivos en el empleo del concepto Cloud Computing.
Dentro de este modelo delictivo interactúan de forma activa diferentes socios de negocio y afiliados donde cada uno retroalimenta el circuito delictivo a través de acciones fraudulenta y utilizando Internet como infraestructura.
Un ejemplo concreto de este modelo de negocio delictivo lo vivimos diariamente con las botnets. Es decir, en primera instancia, el botmaster monta su “negocio” ofreciendo diferentes alternativas. Los consumidores de esos “servicios” son otros personajes del mundo delictivo que alimentan sus ganancias, y las del botmaster, a través de otras acciones maliciosas: envío de spam, phishing, propagación de códigos maliciosos, entre muchos otros.
Como apreciamos en la imagen, la estructura global del negocio fraudulento permite la interacción de diferentes células donde cada una de ellas puede estar conformada por uno o varios delincuentes que son, en definitiva, quienes día a día intentan hacer de nuestros equipos un recurso que permita aumentar sus ganancias económicas.
En consecuencia, este ejemplo es sólo uno de los modelos delictivos de la actualidad, pero suficiente para tener una idea del verdadero y potencial problema que puede originar este tipo de amenazas, sobre todo cuando sin lugar a dudas las compañías son más dependientes de las tecnologías informáticas y exponen hacia “afuera” información con algún nivel de criticidad.
Si pretendemos mitigar de forma eficiente los problemas de seguridad generados por malware en la compañía, es fundamental ser proactivos, implementando soluciones altamente reconocidas en el mercado como los productos de ESET, que ofrecen la confianza que se necesita para garantizar un nivel de seguridad adecuado y de acuerdo a las políticas de seguridad definidas por la alta gerencia.
Jorge Mieres
Analista de Seguridad de ESET
Blog Laboratorio
Filed under Crimeware by on Jan 13th, 2010. Comment. 
“Durante el 2009 Digiware le aporto al Ecuador conocimiento, experiencia, seriedad, ética, profesionalismo y los valores de una empresa que busca mantener un continuo crecimiento sano y limpio. Ofrecimos a nuestros aliados de negocios los mejores productos y servicios en seguridad de la información con consultores expertos y con las más altas certificaciones en temas como ISO27001/27002, BCP/DRP, PCI y Ethical Hacking”, según Pablo Sosa, Gerente General de Digiware Ecuador.
Para destacar algunos casos de éxitos realizados durante el 2009, Digiware brindó servicios de Ethical Hacking a varias empresas locales e implementó soluciones de seguridad basadas en Check Point a clientes corporativos representativos como PORTA y MOVISTAR con resultados de alto impacto sus respectivas gestiones y satisfacción de sus clientes finales.
Como metas para el 2010 Digiware enfrenta el reto de seguir creciendo en su cartera de clientes y en su capacidad humana y técnica para convertirse en la empresa número uno del Ecuador a nivel de Seguridad de la Información; para esto se ha diseñado un Plan de Negocios que permitirá a los clientes actuales y nuevos obtener de Digiware mejores servicios, atención, más recursos y confiabilidad en una empresa que está alineada con las crecientes demandas del mercado local y mundial en la protección del activo más importante de las personas y de las compañías, su información.
La responsabilidad social no es ajena en las miras de Digiware, en este 2010 brindará oportunidades laborales a técnicos y profesionales ecuatorianos de distintas comunidades y nacionalidades para que se integren a la empresa y sean parte del crecimiento responsable y de los lanzamientos de nuevas soluciones a implementar como la provisión de servicios de consultoría integral en seguridad de la información y el inicio del desarrollo de servicios de seguridad gestionada a través de nuestro Security Operation Center (SOC), con el cual se abordará una problemática relacionada con los servicios de seguridad, los costos que enfrentan empresas PYMES y grandes empresas, y agregará un valor muy importante a este esquema el cual es la capacidad de reaccionar en forma proactiva ante un evento de riesgo de seguridad.
“Digiware es una empresa plenamente enfocada en la Seguridad de la información, que está en constante actualización y permanente inversión en capacitación de sus recursos profesionales, ofrecemos una amplia gama de soluciones, servicios y capacitación que nos convierten en el aliado confiable manteniendo estrechas relaciones con los principales fabricantes de soluciones de seguridad a nivel mundial”, testimonio demPablo Sosa.
Filed under ecuador by on Jan 12th, 2010. Comment.
Para finalizar el año, me decidí a escribir algo relacionado con la nota “Facebook causaría pérdidas multimillonarias a las empresas“. Poner un freno a todo esto pareciera algo difícil pero no lo es, afirmo que no lo es cuándo en empresas se aplican, o primero existen políticas de seguridad y de trabajo claras, que especifiquen las penas y sanciones para empleados que accedan las redes sociales en horas laborables.
Por experiencia propia puedo decir que monitorear el uso del tiempo en una empresa funciona a la hora de tomar decisiones, abrir ciertos puertos y conexiones por un periodo determinado para conocer las “aficiones y gustos” de los trabajadores, medir el tiempo perdido en una red social, comparar y guardar estos registros para qué al final de mes, la gente de Recursos Humanos procedan a descontar del salario establecido, los valores que corresponden a las horas perdidas, además, se puede fijar en la misma política el tema del consumo del internet, descontable en caso de recurrir a éstas prácticas.
Medidas “duras” no necesariamente aplicables si las políticas han sido difundidas y más aún si existen documentos donde el empleado acepta las condiciones impuestas por su patrono. Sin política, nada de esto funciona.
Todo esto sin analizar el tema seguridad, conocer la información que se está difundiendo en las redes sociales, si tienen o no repercusión en la imagen de la empresa, pero bueno, eso es otro análisis.
Comparto con ustedes dos perlas publicadas en Twitter por Ignacio Sbampato (aká @ignaciosb), y que tienen relación con el tema Políticas de Seguridad.
Filed under consejos by on Dec 28th, 2009. 2 Comments.
Comparto con ustedes 10 consejos para aumentar la seguridad a la hora de navegar por Internet, difundidos por Computer Associates en el informe “State of Internet Security 2009“.
- Evite los incidentes por hacer clic demasiado rápido. Sea precavido antes de hacer clic y seguir los enlaces.
- Vigile su bandeja de entrada: cuidado con los mensajes que lleven como asunto ¿Has recibido una felicitación? u otros más personalizados del tipo ¿Hola cariño?.
- Trucos de phishing: atención a los mensajes de phishing que pretenden captar sus datos bancarios. Mensajes de notificaciones bancarias o tarjetas de crédito son los más utilizados por los ciberdelincuentes. Los usuarios de eBay o Amazon están entre los objetivos más frecuentes.
- Navegue seguro por Internet: asegúrese de que la protección de la seguridad en línea está activada (firewall, prevención de intrusiones y anti-malware). Los ataques cibernéticos utilizan la optimización de motores de búsqueda para dirigir el tráfico a sitios web maliciosos.
- Estafadores convincentes: las estafas pueden presentarse de forma muy convincente, ya sea ofreciendo un trabajo, grandes descuentos o premios de lotería. En la mayoría de los casos, se dan instrucciones para tener acceso a la propuesta que a menudo requieren que los usuarios aporten una suma inicial de dinero o información personal como datos de la tarjeta de crédito.
- Donaciones fraudulentas: ¿Tiene pensado hacer una donación estas fiestas? Si hace una donación, asegúrese de saber y comprender la causa de la ONG seleccionada. Evite tomar decisiones precipitadas tras haber leído un mensaje o visitado un sitio web que tiene buen aspecto. Dedique tiempo a la investigación y no dude en preguntar.
- Ofertas de compras engañosas: en una economía difícil, muchos de nosotros tratamos de buscar las mejores ofertas para nuestro bolsillo. En Internet se pueden encontrar ofertas con cupones de descuento, tarjetas de regalo y regalos promocionales. Los estafadores suelen inducir a error a los usuarios y, a menudo, piden dinero como cuota de acceso o de miembro para la venta de artículos o para obtener información de tarjetas de crédito.
- Descargas e instalaciones peligrosas: el malware que se distribuye con el spam utiliza técnicas de ingeniería social como puede ser el mensaje ¿problemas en la entrega?. Este mensaje electrónico finge proceder de empresas legítimas de mensajería o transporte, como UPS o DHL. El aspecto y contenido convincentes a menudo llevan a descargar e instalar programas malignos.
- Robo de identidad: los hackers, ladrones de contraseñas y troyanos bancarios podrían sacar provecho en este periodo de fiestas. Las redes sociales son otro objetivo importante en estos días. Estas comunidades son una fuente de comunicación e intercambio donde la gente entra en contacto con amigos y familiares mediante el envío de felicitaciones, mensajes, fotos y videos. Amenazas tales como el Koobface pueden aprovechar el ?estado de ánimo festivo“ con temas relacionados que aumenten las posibilidades de infección.
- Active las protecciones de seguridad: tenga cuidado con su actividad online, active la protección en línea, actualice su software de seguridad y ahorre energía apagando el equipo cuando no esté en uso.
Descargar el informe “State of the Internet 2009“ (PDF 529,KB) Inglés
Filed under consejos by on Dec 25th, 2009. Comment.
El sitio web del Consejo Nacional de Electricidad del Ecuador (CONELEC), sufrió un “deface” la tarde de hoy, en rechazo (según su mensaje), a la suspensión de la estación televisiva Teleamazonas, ordenada por la Superintendencia de Telecomunicaciones de Ecuador (SUPERTEL) .
(Clic para agrandar)
Cabe indicar que este tipo de ataques están penalizados por la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, vigente en la República del Ecuador.
Filed under deface, ecuador by on Dec 22nd, 2009. Comment.
La web de DREA – Dirección Regional de Educación Ayacucho (Perú), ha sido modificada (“deface“).
(clic para agrandar)
Update:
Web de DREA funcionando con normalidad.
Filed under deface by on Dec 22nd, 2009. Comment.
Comentarios Recientes