Omar Calvo Monsalve

Gerente y cofundador
Soluciones en seguridad informtica
S.A.S
info@tuseguridadinformatica.com

Autobiografa
Entusiasta de la seguridad de la informacin
17 aos de experiencia en el tema
Mas de 5000 empresas atendidas en el
recorrido a nivel nacional
Expositor en eventos de seguridad a nivel
nacional. Securinfo Bogota 2012, ESET
Security day Medelln 2014
Apoyo a los medios de comunicacin locales y
nacionales con contenidos del tema
Autobiografa
Especializacin nacional e internacional, con
compaas del medio:

Panda Security: Espaa, Uruguay, Venezuela
Kaspersky: Republica dominicana, Colombia, Italia
ESET: Colombia
Sophos: Ecuador, Colombia
Agenda

Antecedentes
Realidad
Actualidad
Hacia el futuro
El que hacer

EL FIN DE LA INOCENCIA DE LA
INSEGURIDAD INFORMTICA
"Del ansia de saber al ansia de poseer". As
resume Chelo Malagn, del equipo de
seguridad informtica (CERT) de RedIRIS.

La evolucin de los atacantes en una
Internet donde la seguridad ha pasado
de ser la gran olvidada a la peor
pesadilla.
TIEMPOS EXPONENCIALES
En diez aos han aumentado
exponencialmente el nmero
y complejidad de los ataques,
con el internauta de a pie
como cebo fcil.
TIEMPOS EXPONENCIALES
Hoy, una de cada 150 pginas est
infectada. En 2006 era una de cada
20.000. En 2009, cada da se
infectaban 15.000 pginas. Hace
unos aos el pas de origen de donde
provena la mayora del spam era los
Estados Unidos. Hoy es Brasil.
Cibercrimen
Definicin
Seguramente todos de manera directa o
indirecta nos hemos visto expuestos a ser
vctimas de fraude, extorsin y espionaje
informtico. Este delito, mejor conocido como
cibercrimen, no slo pretende conseguir un
beneficio principalmente econmico, sino que
tambin abarca el dominio de Internet como
ataques con fines polticos, programas
informticos maliciosos, etc. Fuente Discovery.

Cibercrimen 2
Existen atacantes profesionales de muy alto
nivel que poseen los recursos y las habilidades
para desarrollar programas maliciosos muy
complejos, con el fin de robar informacin
crtica. Una vez ms el hecho de que los
ataques dirigidos, debido a que generan poca
o nula actividad fuera de sus vctimas
especficas, pueden 'volar por debajo del
radar'. Quizs un gobierno?
Implementacin controles de seguridad de la informacin
Gestin de BYOD en la empresa
Lleva adelante actividades de
concientizacin en su empresa?
Problemas de presupuesto?
Prioridad de las preocupaciones en
empresas de amrica latina

1. Explotacin de vulnerabilidades
2. Infeccin de malware
3. Luego continan los fraudes, casos
de Phishing
4. Ataques DOS (Denied Of Services).
Ingenieria Social
Esta tcnica sigue una metodologa. Si la tcnica
falla en una vctima, entonces se busca otra.
Tener cuidado en aceptar nuevos amigos en las
redes. La mayora acepta a desconocidos, de los
cuales, algunos podran ser cdigos maliciosos que
se ejecutan automticamente que entablan
conversacin con la vctima empleando las frmulas
bsicas de cortesa para conocer a alguien. Una vez
que se obtiene la confianza, la amenaza enva ligas
para descargar archivos infectados.

Te encontraste una USB? Sera suerte?
O Quizs NO?
Definicin de suerte

Aquello que ocurre o puede ocurrir para bien
o para mal de personas o cosas. RAE
Estar en el lugar preciso, en el momento
indicado con la informacin correcta. Creo.
Fui muy afortunado(a), te a pasado?
Al que le van a dar le guardan. Dice el adagio
Recupera tus carpetas ocultas
Fallos en las aplicaciones
El Mircoles, septiembre 17, 2014
Un fallo de seguridad del navegador de Android
podra afectar al 40% de usuarios
Se ha descubierto una vulnerabilidad en el
navegador de Android, lo que, a grosso modo,
permite que una serie de exploits Javascript
puedan acceder a las cookies y las contraseas
almacenadas en nuestros terminales y puedan,
por ejemplo, mandar correos en nuestro
nombre.
Secuestro de informacin
Ramsomware
Este tipo de malware no intenta pasar
desapercibido, sino que encripta documentos
importantes de los usuarios con un fuerte
cdigo criptogrfico y le exige a las vctimas el
pago de una gran suma de dinero para
desbloquear los archivos.
CryptoWall y el Cryptolocker
Onion Locker o CTB-Locker

Dispositivos mviles
4 de Abril de
2005. Funeral
de Juan Pablo II
13 de marzo
de 2013,
durante la
presentacin
del papa
Francisco
BYOD
No es una marca china de autos, pero se est
usando cada vez ms en las empresas del
mundo.

Las siglas BYOD corresponden a Bring Your
Own Device que en espaol vendra siendo
tre tu propio equipo o dispositivo mvil.
Proteje
su telfono inteligente,
tambin su
tableta?.
O quizas ninguno?.
Fuente: http://opensignal.com/reports/fragmentation-2013/
Mltiples versiones del sistema operativo Android, algunas ya no se actualizan
293.000 de 2,000,000 de aplicaciones son Malware o se
consideran dainas
69.000 de ellas estn disponibles en Google Play
22% de ellas filtran informacin privada
33% Causan uso exesivo de batera
28% Causan uso exesivo de memoria
Existen unas 293.000 aplicaciones
consideradas Malware
32
Source: de Telegraaf, NL, March 9
th
, 2013
First anti-virus solution to protect
smart TVs. June 8, 2012
Internet de las Cosas (IoT): 70% de
dispositivos son vulnerables

Un estudio de HP revel que los modernos
productos que se conectan a Internet y forman
parte del Internet de las Cosas o Internet of
Things (IoT), presentan, en promedio, 25
vulnerabilidades. Y por lo tanto, que las
posibilidades de los cibercriminales se siguen
expandiendo.
Las vulnerabilidades encontradas en la
investigacin de HP

Falta seguridad de las contraseas
Problemas de privacidad
Falta de cifrado, credenciales predeterminadas dbiles
y credenciales transmitidas en texto plano
Interfaces web inseguras
Falta de permisos granulares de acceso
Proteccin inadecuada del software

El 60% no usa cifrado cuando descarga actualizaciones,
permitiendo que puedan ser interceptadas y modificadas.
La seguridad del IoT preocupa a 7 de
cada 10 usuarios segn HP

Por otra parte, el 90% de los dispositivos no
informticos, con conexin a Internet, recolecta al
menos un dato personal del usuario, ya sea a travs
del dispositivo mismo, su aplicacin mvil o la
nube. Esta informacin puede ser nombres,
direcciones o tarjetas de crdito, por ejemplo.

El estudio se hizo sobre 10 populares productos IoT y sus
componentes mobile o en la nube, y dej al descubierto un total de 250
vulnerabilidades. Incluy televisores, webcams, termostatos, tomacorrientes,
aspersores, hubs, cerraduras, alarmas, balanzas y controles de portones de
garage.
La ciberseguridad

Es como pastorear ovejas:
Tienes que defenderlas todas
pero el lobo buscar llevarse a
la ms dbil. Desigual esfuerzo.

Ciberdefensa
El Arte de la Guerra, Sun Tzu

El Arte de la Guerra nos ensea que NO
debemos depender de la posibilidad de que el
enemigo no venga, sino que debemos estar
siempre listos a recibirlo. No debemos
depender de la posibilidad de que el enemigo
NO nos ataque, sino del hecho de que
logramos que nuestra posicin sea inatacable
Reglas de oro para la proteccin de la
privacidad en la red 1 de 3
No subas a la Red lo que no quieras que se
comparta.
Bien sea por la privacidad del servicio que ests
utilizando, porque haya alguien que captura el
contenido antes de que puedas borrarlo y lo
comparte, o porque utilizas un servicio que
puede ser vulnerable a ataques.
Lo que se publica en Internet, se queda en
Internet.
Reglas de oro para la proteccin de la
privacidad en la red 2 de 3
No te fes de ningn servicio
online

Famosas como Jennifer Lawrence,
Avril Lavigne, Kayley Couco o
Selena Gmez. La razn, sus fotos
ms ntimas deambulaban por toda
la red sin ningn tipo de control.

Entre ellas hasta 101 famosos
sufrieron un hackeo en sus cuentas
de iCloud.

Apple parchea la vulnerabilidad que
desnud a las famosas.

Verificacin de acceso de dos(2) pasos
Apple aade Verificacin en 2 Pasos a
iCloud
Apple aade Verificacin en 2 Pasos a
iCloud
Apple aade Verificacin en 2 Pasos a
iCloud
Apple aade Verificacin en 2 Pasos a
iCloud
Apple aade Verificacin en 2 Pasos a
iCloud
Reglas de oro para la proteccin de la
privacidad en la red 3 de 3
Asegura tus contraseas
Cierra bien las sesiones antes de
abandonar el servicio que ests
utilizando
Asegura bien tus dispositivos mviles
NO te hagas fotos ntimas con el mvil
ni las compartas en Internet, ni siquiera
en un servicio privado
Gua de supervivencia en el
Cibermundo
Contraseas
Informarse y formarse
Suplantacin de sitios populares
Cibercafes
Sistemas operativos Linux, Mac,
autoinmunes?
Redes Wi-Fi publicas
Redes punto a punto de pirateria





Las 6 peores contraseas en la historia

1. Simple y consecutiva. 123456 es fcil de recordar,
verdad?
2. Nombres de nuestros seres queridos. Sabemos que adoras a
tu madre, pero usar su nombre como cdigo de acceso es
ponrselo muy fcil a los piratas informticos
3. Palabras obvias. Todos sabemos que el objetivo de una
contrasea es mantener alejados, lo mximo posible, a
extraos y hackers. As que, con expresiones como
contrasea, cambiame, noentres te aseguramos que
slo conseguirs justamente lo contrario.


Las 6 peores contraseas en la historia
4. Palabras de moda. Por supuesto, t no eres el nico
que los conoce; los hackers tambin saben de ellos.
Aljate de JustinBieber, si no quieres que tu email
reciba visitas inesperadas.
5. Deportes. Deja RealMadrid o FCBarcelona para los
partidos de ftbol con tus amigos y escoge una
contrasea ms segura.
6. Complejidad engaosa. Aadir signos de exclamacin,
nmeros o maysculas a una contrasea simple tampoco
sirve de nada. fUtbol1 o rOcky2 no son lo
suficientemente seguras. Son tan predecibles.
10 Acciones inaplazables - 1
1. Utiliza Windows 7, 8 o superior, Linux, Mac
Os, Android en versiones recientes
2. Actualiza los parches que el fabricante del
sistema operativo publica, siempre se debe
crear un punto de restauracin, por si hay
que devolver la instalacin del parche
3. Ten instaladas y actualizadas nicamente las
aplicaciones o programas que realmente usas


10 Acciones inaplazables - 2
4. Compra e instala software de proteccin
endpoint completo, multidispositivo, actual y que
responda a los retos de hoy: revisar el valor a
invertir VS el valor de la informacin a proteger.
Nada que perder?.
5. Si eres usuario y promotor de los servicios y
programas gratuitos: recuerda que: gratis es
recortado, no necesariamente bueno, tampoco
barato y algunas cosas te las cobran aunque no te
enteres. Plata es lo que plata vale.
10 Acciones inaplazables - 3
6. Crear copias de seguridad en medios
reescribibles (disco duro externo) y en medios
no reescribibles, DVDs, Bluerays.
7. Si compartes el computador, separar los
perfiles o espacios de trabajo
8. Educar, empoderar, sembrar valores para la
vida a tus seres queridos y castigar de ser
necesario. Antes que bloquear, restringir y
denegar acceso a contenidos.
10 Acciones inaplazables - 4
9. Protege tu identidad digital, utiliza claves
seguras, activa doble factor de autenticacin, revisa
la configuracin de seguridad de tus servicios en
lnea. No hables con extraos, No recibas dulces
a extraos, el ciberespacio es parte de tu vida real.
Recuerda la pelcula MATRIX: lo que sucede en la
MATRIX te afecta en tu mundo real.
10. Piensa, antes de poner informacin en redes
sociales, antes de aceptar enlaces con contenidos
desconocidos, comunica a alguien de confianza si te
convencen de una cita a ciegas. Es el MUNDO REAL

Conclusiones -1
La seguridad de la informacin es dinmica,
evoluciona respondiendo a nuevas amenazas
La informacin nunca esta libre de riesgos
pero es posible minimizar la materializacin
de estos, evitar que se concrete un ataque
Tu la primer lnea de defensa de tu privacidad,
intimidad de tu informacin.
Una cadena es tan fuerte como su eslabn
mas dbil


Conclusiones -2
Comprar una solucin de seguridad para la
informacin, es como comprar un seguro para
tu vida o tu carro, este no evitara tengas un
accidente o que te roben el vehculo, pero si
minimizara el impacto econmico y anmico
de este acontecimiento. Piensa que si esto
sucede y no hubieses comprado el seguro o la
proteccin para ?. Estaras dispuesto a
perderlo todo, a afrontar las consecuencias de
tus acciones u omisiones?.
Albert Einstein


LOCURA: seguir haciendo lo mismo y
pretender que las cosas cambien.
Gene Spafford

El nico sistema seguro es aquel que est
apagado y desconectado, enterrado en un
refugio de cemento, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados.
An as, yo no apostara mi vida por l.

Charles Chaplin
La vida es una obra de teatro que
NO permite ensayosPor eso
canta, re, baila, llora y vive
intensamente cada momento de tu
vidaantes que el teln baje y la
obra termine sin aplausos.

Agradecimientos a ustedes y a: