Calvo PYME-Turismo y Su Cuota de Participación en Ciberseguridad
2
PYME:Turismo y su cuota de participación en Ciberseguridad Rodrigo Calvo, Universidad Cenfotec Diversos estudios en los últimos cinco años han venido reflejando la necesidad de que las Pequeñas y Medianas Empresas a nivel mundial tomen medidas eficientes en la reducción del riesgo a la información no sólo de sí mismas sino también de sus clientes. Los mitos que han existido alrededor de estas empresas se pueden resumir en dos: “Somos muy pequeños para que alguien quiera hackearnos”, y “Los Bancos y entidades afines son los que tienen el dinero que los ciberdelincuentes quieren, nosotros no estamos ahí”. En una investigación limitada al último trimestre del 2015 encontramos que un Sitio Web perteneciente a una PYME del sector Turismo en Costa Rica fue utilizado como complemento de un ataque de malware del tipo Troyano financiero. Según indican diversos medios de comunicación y compañías de seguridad, dicho Troyano identificado como Dridex, es usado para robar credenciales de bancos. Su rango de acción se estimó en aproximadamente 300 organizaciones en 40 países. Veamos las típicas características tecnológicas que poseen las PYME de Turismo: 1. Tienen presencia mediante un sitio web comprado a algún proveedor en Estados Unidos. 2. La dirección IP asignada al dominio no es exclusiva a este, lo que implica que muchos otros dominios en el web se resuelven con la misma IP. 3. El proveedor del servicio web utiliza Servidores Apache que corren bajo plataforma Linux. 4. La PYME turística típicamente no tiene a alguien dedicado exclusivamente a Tecnología de la Información. El modelo que usan generalmente es de outsourcing tecnológico. 5. El sitio web típicamente es sencillo e incluye información básica de la empresa y modo de contacto. Las empresas mejores asesoradas también facilitan links de terceros para procesar reservación de servicios en línea. 6. Algunas de estas empresas pagan múltiples dominios para llamar la atención del cliente, quien al final es redirigido al sitio web con el nombre comercial de la empresa. 7. Por último, la Administración del Sitio Web no la hace la empresa sino el proveedor de servicios de hosting. 8. Mercado meta principalmente de habla inglesa. El caso identificado le llamaremos www.costa-rica-X-Y.abc, redirige a un web de una empresa, PYME:Turismo, fuera de la GAM. El uso dado a este sitio por el cibercriminal fue el de almacenamiento del archivo infectado para que otros sitios, o bien referencias directas, propagaran copias para infectar a cientos de equipos en el Internet. Si bien la página de la empresa no refleja un vínculo directo con el malware: ¿Cuál es la razón para estar preocupado? Para responder esto, analicemos el proceso de infección de Dridex.
description
Se estudia un caso de ataque de Ciberseguridad en una empresa de turismo pequeña con presencia Web.
Transcript of Calvo PYME-Turismo y Su Cuota de Participación en Ciberseguridad
PYME:Turismo y su cuota de participación en Ciberseguridad Rodrigo Calvo, Universidad Cenfotec
Diversos estudios en los últimos cinco años han venido reflejando la necesidad de que las Pequeñas y
Medianas Empresas a nivel mundial tomen medidas eficientes en la reducción del riesgo a la
información no sólo de sí mismas sino también de sus clientes. Los mitos que han existido alrededor de
estas empresas se pueden resumir en dos: “Somos muy pequeños para que alguien quiera hackearnos”,
y “Los Bancos y entidades afines son los que tienen el dinero que los ciberdelincuentes quieren,
nosotros no estamos ahí”.
En una investigación limitada al último trimestre del 2015 encontramos que un Sitio Web perteneciente
a una PYME del sector Turismo en Costa Rica fue utilizado como complemento de un ataque de malware
del tipo Troyano financiero.
Según indican diversos medios de comunicación y compañías de seguridad, dicho Troyano identificado
como Dridex, es usado para robar credenciales de bancos. Su rango de acción se estimó en
aproximadamente 300 organizaciones en 40 países.
Veamos las típicas características tecnológicas que poseen las PYME de Turismo:
1. Tienen presencia mediante un sitio web comprado a algún proveedor en Estados Unidos.
2. La dirección IP asignada al dominio no es exclusiva a este, lo que implica que muchos otros
dominios en el web se resuelven con la misma IP.
3. El proveedor del servicio web utiliza Servidores Apache que corren bajo plataforma Linux.
4. La PYME turística típicamente no tiene a alguien dedicado exclusivamente a Tecnología de la
Información. El modelo que usan generalmente es de outsourcing tecnológico.
5. El sitio web típicamente es sencillo e incluye información básica de la empresa y modo de
contacto. Las empresas mejores asesoradas también facilitan links de terceros para procesar
reservación de servicios en línea.
6. Algunas de estas empresas pagan múltiples dominios para llamar la atención del cliente, quien
al final es redirigido al sitio web con el nombre comercial de la empresa.
7. Por último, la Administración del Sitio Web no la hace la empresa sino el proveedor de servicios
de hosting.
8. Mercado meta principalmente de habla inglesa.
El caso identificado le llamaremos www.costa-rica-X-Y.abc, redirige a un web de una empresa,
PYME:Turismo, fuera de la GAM. El uso dado a este sitio por el cibercriminal fue el de almacenamiento
del archivo infectado para que otros sitios, o bien referencias directas, propagaran copias para infectar a
cientos de equipos en el Internet.
Si bien la página de la empresa no refleja un vínculo directo con el malware: ¿Cuál es la razón para estar
preocupado? Para responder esto, analicemos el proceso de infección de Dridex.
1. La organización Cibercriminal envía spam incluyendo un documento adjunto en
formato MS Word.
2. El receptor del correo visualiza el documento y una “sugerencia” en este le
indica que debe habilitar el Modo Edición.
3. Una vez el modo Edición está activado en el editor de texto el usuario, sin saberlo,
indirectamente habilita al documento de Word para bajar desde el sitio www.costa-rica-X-
Y.abc el malware final.
¿Proteger el sitio web significa aumentar la complejidad tecnológica para la PYME:Turismo?
Normalmente los proveedores de web hosting ofrecen planes básicos que incluyen: facilidad para
publicar sitios, alta disponibilidad, espacio en disco, etc, sin embargo, la mayoría del tiempo trasladan al
cliente la responsabilidad del tema de escaneo de antivirus del sitio web.
Debido a las ocho razones que comentamos al inicio del artículo consideramos oportuno que el
empresario PYME:Turismo piense en la ventaja que tendría para el negocio que su sitio web sea
confirmado por terceros como un sitio web seguro y, en caso de no estarlo, sea avisado en un rango no
mayor a dos horas de alguna anomalía para que pueda informar al proveedor del hosting. Lo anterior
se adquiere en el mercado como una subscripción a un servicio especializado que al menos realice las
siguientes acciones:
a. Escaneo de Vulnerabilidades.
b. Escaneo de Malware.
c. Diagnóstico de errores de configuración.
Máster Rodrigo Calvo, CISSP,CEH Sr. Security Engineer, Infolock Technologies. Profesor, Universidad Cenfotec
