La Organización de los Estados Americanos (OEA) presentó los lineamientos “CSIRT Americas Baseline”, con el objetivo de medir la madurez de los Equipos de Respuesta ante Incidentes Cibernéticos (CSIRT, por su siglas en inglés). 

Dichos lineamientos, afirmó la OEA, actúan como impulsores de la Sección de Ciberseguridad del Comité Interamericano contra el Terrorismo (CICTE), en el fortalecimiento de las capacidades de respuestas ante incidentes cibernéticos de la región. 

En la presentación del documento “CSIRT Americas Baseline”, llevada a cabo en la Ciudad de México, la OEA afirmó que con ello se promueve la cooperación y el intercambio

efectivo de información entre los CSIRTs de la región, facilitando respuestas más rápidas y

coordinadas frente a los incidentes cibernéticos.

“En línea con este propósito, es fundamental evaluar de forma continua la madurez de un CSIRT para enfrentar los incidentes cibernéticos. La madurez es el estado en el que algo o alguien alcanza su desarrollo completo y funciona de manera estable y efectiva”.

“En el caso de un CSIRT, se refleja en su estructura organizativa su integración con la comunidad a la que sirve, la preparación de los miembros de su equipo, el uso eficiente de herramientas tecnológicas y la implementación de procesos claros para gestionar incidentes”, señala el documento. 

Los lineamientos se basan en SIM3, que es un modelo que permite medir el nivel de madurez de los equipos responsables de la gestión de ciberamenazas, vulnerabilidades e incidentes de seguridad. 

No te pierdas: Digital Summit Latam | Ciberseguridad requiere de cooperación e inversión

La OEA explicó que este modelo es gestionado y desarrollado por la Open CSIRT Foundation, y ofrece un enfoque simple y estructurado basado en parámetros clave para analizar áreas fundamentales como la organización, el factor humano, las herramientas y los procesos. 

La Organización aseveró que, al seguir este enfoque de SIM3, los equipos de seguridad pueden avanzar paso a paso en la mejora de su nivel de madurez. Además, agregó, el modelo permite reportar a la gerencia de manera clara y efectiva, destacando los problemas identificados y las áreas que requieren mejoras. 

“Esto podría facilitar la justificación y priorización de recursos en términos de presupuesto, personal, capacitación y otros aspectos críticos para fortalecer las capacidades del equipo”, añadió la OEA. 

El gobierno argentino lanzó el Programa de fortalecimiento en ciberseguridad e investigación del ciberdelito. Propone, como parte de las facultades del Ministerio de Seguridad, incrementar las capacidades de prevención, detección y análisis de respuesta a incidentes cibernéticos y contar con estadísticas más precisas en la materia. Se solicitó adhesión a las provincias y la Ciudad Autónoma de Buenos Aires.

El programa, dependiente de la Dirección de Ciberdelito y Asuntos Cibernéticos, tendrá los siguientes objetivos:

• Incrementar las capacidades de prevención, detección, análisis y respuesta de incidentes cibernéticos.
• Fortalecer las actividades de investigación de las áreas de ciberdelito dependientes de las fuerzas de seguridad y dar asesoramiento técnico para la realización de investigaciones relacionadas.
• Elaborar métricas de hechos que puedan afectar las infraestructuras internas de la jurisdicción, así como las que pudieran ser de impacto en la seguridad interior o en los intereses fundamentales u objetivos vitales de la nación; también generar estadísticas específicas de delitos ciberdependientes y ciberasistidos.
• Articular y canalizar, mediante la Unidad 24/7, acciones con las Provincias y la Ciudad Autónoma de Buenos Aires para el fortalecimiento de la ciberseguridad y la investigación del ciberdelito.
• Instrumentar mecanismos de comunicación y concientización sobre incidentes informáticos.
• Organizar y participar en foros, eventos, talleres y entrenamientos nacionales, regionales e internacionales referidos a la lucha contra el ciberdelito y fortalecimiento de la ciberseguridad.

Se indican, además, una serie de acciones necesarias como fortalecer el Comité de Respuestas de Incidentes de Seguridad Informática, el desarrollo de un plan de respuesta a incidentes de este tipo, fortalecer la capacidad de áreas formativas en materia de ciberseguridad e impulsar acuerdos de colaboración que involucren al sector público y privado.

La medida, que no implica erogación presupuestaria, se da en el marco de un “constante incremento de ciberdelitos y de las personas afectadas por estos” en el país. Además, entre los considerandos se resalta que mediante este tipo de acciones se “pueden identificar organizaciones criminales complejas” y que resulta afín a buenas prácticas internacionales.

La Secretaria de Innovación Pública de Argentina, Micaela Sanchez Malcolm, y el responsable de Relaciones, Nodos y NCC-ES del Instituto de Ciberseguridad de España (Incibe), Miguel Ángel Cañada, firmaron un acuerdo de colaboración para la prevención y gestión de incidentes cibernéticos. La comunicación y posterior firma se completó vía remota.

El memorando es por cuatro años y se presentó como alianza estratégica para el intercambio recíproco de información, las buenas prácticas y el fomento de talento en ambos países. El objetivo madre es la generación de un “ciberespacio más seguro”; también se busca abordar conjuntamente los desafíos emergentes en el ámbito digital.

Al cierre, Sánchez Malcolm resaltó la importancia de darle curso al convenio a fin de “avanzar y robustecer los criterios respecto a la capacitación, la formación y el intercambio en materia de infraestructuras críticas de seguridad”. Agregó que se está invirtiendo en mejorar la infraestructura existente contra ataques y se trabajará en la formación de agentes del Estado.

La Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) de Estados Unidos adoptó nuevas reglas que ordenan que las organizaciones y empresas reguladas divulguen los incidentes de seguridad cibernética que experimentan y difundan anualmente información importante sobre su gestión, estrategia y gobierno de riesgos de ciberseguridad.

Las nuevas reglas requerirán que las entidades registradas divulguen en el nuevo ítem 1.05 del Formulario 8-K cualquier incidente de ciberseguridad que determinen como material y que describan los aspectos materiales de la naturaleza, el alcance y monitoreo del incidente, así como su impacto material o impacto material razonable en el registrante.

La SEC también adoptó reglas que requieren que los emisores privados extranjeros hagan divulgaciones comparables en el Formulario 6-K para incidentes de ciberseguridad materiales y en el Formulario 20-F para gestión de riesgos, estrategia y gobierno de ciberseguridad.

También lee: Ransomware es el mayor incidente de ciberseguridad en la región y sigue en crecimiento

“Ya sea que una empresa pierda una fábrica en un incendio o millones de archivos en un incidente de seguridad cibernética, puede ser importante para los inversores”, dijo el presidente de la SEC, Gary Gensler.

“Actualmente, muchas empresas públicas brindan información sobre seguridad cibernética a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más consistente, comparable y útil para la toma de decisiones”, agregó.

“Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las reglas adoptadas hoy beneficiarán a los inversores, las empresas y los mercados que los conectan”, finalizó.

Las reglas finales entrarán en vigor 30 días después de la publicación del comunicado de adopción en el Registro Federal.

El Nuevo Diario Yhanelly Rodríguez

El presidente Luis Abinader dijo este miércoles que según estudio, República Dominicana es el país número uno a nivel de preparación para prevenir los incidentes cibernéticos.

“El National Cyber Security Index del Governance Academy de Estonia, reportó en enero de este año un avance de 30 posiciones de nuestro país, pasando del lugar 58 al 28, y siendo hoy República Dominicana número 1 en América Latina en cuanto a nivel de preparación para prevenir y gestionar los incidentes cibernéticos, según ese estudio”, expresó.

En ese sentido, el mandatario aseguró que su gestión trabaja en el avance tecnológico. “En el presente, estamos preparando una República Dominicana a prueba de futuro”, expresó.

“Se inició ya la adjudicación de frecuencias del espectro radioeléctrico para proveer el servicio de telefonía 5G, el cual ya empezó a ser ofertado por las empresas de telecomunicaciones del país”, indicó.

Asimismo, anunció que “pronto se iniciará la transmisión de la televisión digital, largamente postergada y que por fin se hará realidad en esta gestión de Gobierno y se llevará conectividad de banda ancha a 90 comunidades que actualmente no tienen cobertura”.

El gobernante habló durante un almuerzo organizado por la Cámara Americana de Comercio de la RD, a donde motivó a los presentes a seguir implementando juntos la Agenda Digital 2030, “porque esto redundará en lograr una nación más competitiva, más justa, más equitativa, más inclusiva, donde la población aproveche las nuevas tecnologías para mejorar su calidad de vida, el Estado esté centrado en los ciudadanos y las organizaciones hagan lo propio para mejorar su productividad y competitividad”.

El Instituto Nacional de Ciberseguridad de España (Incibe), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, reportó 118 mil 820 incidentes de ciberseguridad en España durante 2022. La cifra es 9 por ciento más alta que la informada un año atrás y la previsión de la entidad es que “los casos sigan creciendo de manera continuada”.

El 52 por ciento de los registros afectó a empresas y el resto a la ciudadanía. Los incidentes más frecuentes fueron por fraude online, con acciones como phishing, malware y ransomware. Aunque se clausuraron 654 tiendas fraudulentas en el año, “la cultura de la ciberseguridad es uno de los principales retos”, señalaron las autoridades en un comunicado.

España dispone de un número telefónico para favorecer entornos digitales seguros. La línea 017 es gratuita y confidencial; está gestionada por un equipo de expertos que dan asesoramiento técnico, psicosocial y legal. Se realizaron por este canal unas 67 mil 300 consultas, la mayoría por vía telefónica; el 55 por ciento fue para prevenir incidentes y el resto para solucionarlo.

La Hora Andrea Solórzano

La presencia de más personas en el mundo cibernético ha ampliado el campo para las organizaciones que se dedican a estafar, robar o secuestrar información. Durante el 2022, el equipo de Respuesta a Incidentes Cibernéticos de SISAP, (CERT por sus siglas en inglés) registró más de 200 billones de incidentes cibernéticos.

El CERT de SISAP, empresa de tecnología y seguridad de información, está ubicado en Guatemala y se dedica a combatir las ciberamenazas a nivel regional, así como a minimizar el impacto de futuros incidentes.

Entre el 2021 y 2022 el centro registró hasta un 47% de incidentes tipo ransomware, 17% de Compromiso Email Corp. (BEC) y 12% de malware, siendo estos los tres más frecuentes.

De forma global, a inicios de 2022 el FBI Internet Crime Complaint Center (IC3) reportó pérdidas en las organizaciones por hasta US$50 millones asociados a ransomware y alrededor de US$40 millones por BEC.

¿CÓMO FUNCIONA EL CERT DE SISAP?

El CERT se enfoca en tres niveles de atención ante las ciberamenazas: 1. Detección de la ciberamenaza, 2. Análisis de resolución del ciberdelito y 3. Intervención y contención del incidente.

Mientras que los tres pilares de la seguridad de la información que se buscan resguardar son: la confidencialidad, integridad y disponibilidad.

Con varias acreditaciones internacionales como la Universidad de Carnegie Mellon y Sistemas de Gestión de Seguridad de la Información de ISO 27001, este centro se compone de tres departamentos que se encargan de una estrategia completa en ciberseguridad:

1. Next Generations Security Operations Center.
2. Cyber Threat Intelligence Services.
3. Digital Forensics & Incident Response.

Un equipo de Respuestas a Incidentes Cibernéticos, o CERT, debe tener la capacidad de detectar las amenazas desde antes que las mismas hayan logrado impactar significativamente a la organización.

Además, debe contar con un equipo dedicado a combatir los ataques en tiempo real y, por último, debe tener un equipo para investigar detenidamente cómo ocurrió el ataque cibernético y brindar directrices para que se solventen las brechas de ciberseguridad de las empresas u organizaciones.

De acuerdo con Mauricio Nanne, CEO de SISAP, las organizaciones que cuentan con el respaldo de una entidad dedicada a la ciberseguridad como SISAP, pueden tener la tranquilidad de que todo un equipo de profesionales está resguardando sus activos cibernéticos más valiosos las 24 horas del día los 7 días de la semana, permitiendo con esto que la compañía se enfoque en el desarrollo óptimo de sus actividades principales.

NIVEL 1: DETECCIÓN DE LA CIBERAMENAZA

El equipo responsable de la detección de ciberamenazas dentro del CERT se llama NxSOC, y está enfocado en la detección y respuesta sobre los eventos de seguridad de la información con métodos modernos y escalables.

El NxSOC identificó y atendió en el último año más de 200 billones de incidentes cibernéticos, muchos de ellos fueron clasificados de manera automática a través de procesos automáticos.

El equipo de especialistas del NxSOC se apoya a través de la automatización y de tecnologías como el aprendizaje de máquina (Machine Learning) e inteligencia artificial, para defender con metodologías “state of the art” comprobadas por la industria.

“El propósito de este grupo de especialistas es proteger a las organizaciones y a las personas mientras se desenvuelven constantemente en la nueva sociedad digital para comunicarse, hacer negocios, y sostener la vida diaria. Esto se logra a través de la identificación de eventos de seguridad, contextualizando aquellos que pueden ser el resultado de una explotación, una vulnerabilidad o debilidad en el sistema de seguridad”, explicó Dereck Olson, director del CERT de SISAP.

NIVEL 2: ANÁLISIS Y RESOLUCIÓN DEL CIBERDELITO

La arquitectura de operaciones de seguridad en el CERT de SISAP integra los procesos y funciones de Inteligencia de Ciberamenazas que el equipo de expertos utiliza para recolectar y analizar las tendencias de ataques, actores y las amenazas globales que permiten calcular el riesgo al que se exponen las organizaciones.

“Conocer y comprender las amenazas cibernéticas que están ocurriendo alrededor del mundo son de vital importancia, ya que nos permiten anticiparnos e identificar de mejor manera cualquier incidente o brecha de seguridad que se presente a nuestros clientes”, indicó Daniel Álvarez, gerente del CERT de SISAP.

Este equipo está en constante investigación del entorno digital de amenazas, al estudiar comportamientos y generando estudios que luego sirven para proteger a las organizaciones de la comunidad.

El propósito de ayudar a las organizaciones a entender su contexto y sus amenazas específicas, actuando como sistemas de alerta temprana y buscar con ellos una atención proactiva.

Como parte de sus funciones, hacen uso de tecnologías avanzadas para Brand Protection ya que permiten identificar amenazas de una marca en internet (Clear, Deep y Dark web), por ejemplo, fuga de credenciales, exposición de información, sitios falsos, etc.

NIVEL 3: INTERVENCIÓN Y CONTENCIÓN DEL INCIDENTE

El departamento de Forense Digital y Respuesta a Incidentes forma parte del modelo por capas en la arquitectura del CERT de SISAP, aparece cuando se presenta un incidente crítico que ha superado los dos niveles previos, es decir, este equipo de profesionales es el principal actor cuando un incidente de seguridad de alto impacto se materializa.

Estos especialistas multidisciplinarios en la seguridad son necesarios para identificar, contener, erradicar y recuperar los activos digitales de una organización afectada, desde un centro de comando de incidentes.

Utilizan entre otros, el marco de referencia NIST para la atención a Incidentes (Preparación, Detección/Análisis, Contener, Erradicar, Recuperar, Lecciones Aprendidas). No se debe perder de vista el objetivo único de una respuesta a un incidente: devolver el servicio o equipo afectado a producción en el menor tiempo posible.

SISAP EN EL TOP DE SERVICIOS DE CIBERSEGURIDAD

FROST & SULLIVAN, en su publicación “FROST RADAR™: Americas Managed and Professional Security Services, 2022” ha reconocido a SISAP como parte de los proveedores Top 12 en los servicios de ciberseguridad para el continente americano.

IMPACTO DE LOS CIBERDELINCUENTES

En los últimos años, los fines de los actores maliciosos que más sobresalieron son financieros, según el DBIR de Verizon Business, este es un reporte reconocido por las organizaciones que se publica anualmente por esta importante firma.

Verizon también informó que en el 2022 se estudiaron más de 23 mil incidentes. Las industrias de todo tipo son afectadas por ciberdelincuentes, por lo menos 2,000 de estos incidentes están asociados con organizaciones criminales de menos de 1,000 empleados, y de esos, no menos de 700 se constituyeron en brechas confirmadas.

El ciberataque más frecuente, Ransomware, consiste en un acceso no autorizado a un sistema, aplicación o datos, en donde un usuario no autorizado logra este acceso con la intención de causar algún daño, principalmente secuestrar información con fines económicos.

Las rutas para infiltrarse a las organizaciones a través del ransomware son:

– El 40% ocurre a través de software para compartir pantalla
– El 35% de los ataques utilizan el correo electrónico
– El 17% ocurre al instalar aplicaciones web
– El 7% a través de instalación directa

En el 2021, a nivel global el 37% de las entidades víctimas de este ciberataque pagaron el rescate para recuperar sus datos, mientras que 57% usaron copias de seguridad para recuperarlos, es aquí donde radica la importancia de contar con un plan de prevención ante los delitos cibernéticos que puedan causar grandes pérdidas económicas.

A menos de un mes del ciberataque a la Secretaría de la Defensa Nacional (Sedena) del Gobierno de México, este 24 de octubre la Secretaría de Infraestructura, Comunicaciones y Transportes (SICT) confirmó que fue blanco de un ataque.

La institución cuyo titular es Jorge Arganis Díaz Leal, ausente de manera temporal por motivos de salud, no dio mayores detalles, aunque aseguró que se encuentra una investigación en curso.

“Se activó el Protocolo Nacional Homologado de Gestión de Incidentes Cibernéticos y Plan de Contingencia, en apego a la normatividad, a fin de contener posibles vulnerabilidades a la información y datos derivados de accesos ilícitos a equipos informáticos de la SICT.

Infografía: High Risk: un sexenio de ciberataques en México

“Las investigaciones se encuentran en curso y de acuerdo con el resultado se denunciará y dará vista a las autoridades correspondientes”, publicó la Secretaría en su cuenta oficial de Twitter.

Este se trata de un ciberataque más de los que el gobierno federal de la actual administración ha sido blanco.

A raíz del incidente, la Agencia Federal de Aviación Civil (AFAC) publicó información sobre la suspensión de trámites a fin de resguardar la información.

La AFAC aseguró que dicha suspensión se refiere a cualquier tipo de trámite, sin dar una fecha de normalización.

“En apego a la normatividad, a fin de contener posibles vulnerabilidades a la información y datos derivados de accesos ilícitos a equipos informáticos de la SICT, se suspende cualquier tipo de trámite en la ventanilla de la Agencia Federal de Aviación Civil, hasta nuevo aviso”, publicó la AFAC en su cuenta oficial de Twitter.

Tras declararle la guerra a Ucrania, Rusia pasó de quedar fuera de la mira de los ciberatacantes a convertirse en el blanco número uno de los incidentes de ransomware que se registran alrededor del mundo.

Un nuevo informe de ESET revela que Rusia concentró el 12 por ciento de las detecciones de ransomware (el secuestro de datos y archivos informáticos a cambio de un rescate) durante el primer trimestre de 2021, mientras que, previo al conflicto con Ucrania, solía quedar fuera de las listas de este ciberdelito.

Rusia estaba fuera del alcance de los incidentes cibernéticos debido, principalmente, a que buena parte de los atacantes residen en este país o temen represalias por parte del gobierno de Vladímir Putin.

Sin embargo, el panorama cambió a raíz de la guerra que el país mantiene contra Ucrania. La naturaleza de los incidentes muestran que están relacionados con el conflicto bélico y geopolítico. El estudio detectó que incluso los ciberatacantes usaron variantes de pantalla de bloqueo con el saludo nacional “Slava Ukraini!” (¡Gloria a Ucrania!).

Desde la invasión rusa a Ucrania, la cantidad de incidentes de ransomware de aficionados ha incrementado. Los autores de los ataques suelen prometer apoyo a uno de los bandos y posicionan sus acciones como una venganza personal.

Te recomendamos: Guerra Ucrania-Rusia: qué impacto tiene en la ciberseguridad e industria de chips

“Aunque no es insólito, Rusia nunca ha tenido que comer tanto de su propia comida para perros. Una serie de incidentes contra objetivos rusos de alto perfil parece apoyar esta interpretación. Un grupo que comenzó a atacar a víctimas como la agencia espacial rusa Roscosmos y la radio y televisión estatal rusa fue NB65”, indica el informe.

ESET también advierte que las amenazas de spam y phishing han explotado notablemente en la guerra. Los estafadores usan organizaciones sociales y altruistas como señuelo para aprovecharse de las personas que quieren apoyar a Ucrania.

Pese a que Rusia se ha vuelto un blanco importante para los ataques cibernéticos, no ha dejado de ser el principal país de donde provienen las vulnerabilidades. La investigación señala que 60 por ciento de los ataques de protocolo de escritorio remoto se originaron en esta nación.

También lee: Ciberseguridad: ¿qué está pasando con Rusia y su ‘guerra híbrida’ contra Ucrania?

El gobierno ruso suele utilizar los ciberataques como una pieza importante de su estrategia militar en los enfrentamientos que ha sostenido con diferentes países, como Estonia, Georgia y Crimea. Ucrania no ha sido la excepción, pues ha dirigido varios incidentes de ransomware a su contrincante para vulnerar sectores esenciales y la infraestructura crítica.

Las agencias de Estados Unidos, la Unión Europea y otros países atribuyeron a Rusia un hackeo a una red de Internet satelital de Viasat que presta servicios en Ucrania, ocurrido en febrero de este año. El incidente no sólo afectó a la población ucraniana sino también a usuarios de toda Europa.

Por eso, en meses anteriores las asociaciones del sector TIC llamaron a la Unión Europea a reforzar su apoyo técnico y financiero a Ucrania en materia de ciberseguridad, para detener y prevenir los ataques provenientes de Rusia.

El Equipo de Respuesta ante Emergencias Informáticas de Argentina (Cert.ar, por sus siglas en inglés), que depende de la Secretaría de Innovación Pública, informó 591 incidencias de este tipo en el país durante 2021, lo que significa un crecimiento de 226 por ciento interanual. Sólo 18 de los casos permanecen abiertos; el resto se encuentran cerrados.

El Estado fue el sector más comprometido, con un total de 235 incidentes, mientras que el segundo lugar fue para el segmento de finanzas.

El 56 por ciento de los casos reportados fueron de fraude, el delito informático más habitual. Entran en este rango el uso no autorizado de recursos, derechos de autor, suplantación de identidad y pishing.

–

-

“Estamos comprometidos en dotar con mayor fortaleza las capacidades del Estado en la gestión técnico administrativa de los incidentes de seguridad informática en el sector público”, dijo Martín Olmos, subsecretario TIC local. “Notamos que tanto los ataques de phising con los de ransomware han evolucionado en técnicas de penetración más avanzadas y sofisticadas”, agregó el Director de Prevención en Sistemas y Redes Informáticas de la cartera, Abel Decaroli.

Relacionado: América Latina: 600% más intentos de ciberataques en 2021

La información del estudio procede de fuentes externas y de los datos recibidos en los canales de comunicaciones de Cert.ar. El nuevo Equipo de Respuesta fue creado por la Dirección Nacional de Ciberseguridad mediante disposición administrativa en febrero del año pasado. Entre sus tareas, se encuentra el conocimiento de posibles ataques que pueden afectar a sistemas y redes del sector público.