martes, 16 de octubre de 2012

Informe Global sobre Fraude 2012

Una año más, la empresa KROLL publica su Informe Anual Global sobre Fraude (2012).

En dicho informe se desprende que el fraude sigue siendo predominantemente un trabajo interno. El estudio de este año muestra que el 60% de los fraudes son cometidos por personas que trabajaban para las empresas de alguna manera, superando el 55% del año pasado. Los resultados están contenidos en un estudio realizado a más de 1.200 ejecutivos senior de todo el mundo, encargado por Kroll a Economist Intelligence Unit.

Principales Conclusiones del Informe:
-La preocupación sobre el fraude está en alta en el mundo entero
-El robo de información sigue siendo una amenaza grave
-Muchas empresas carecen de preparación necesaria para una mayor aplicación de la reglamentación
-Las empresas enfrentan dificultades para implementar estrategias contra el fraude

Fraude en el Sector TI

El extenso informe hace detallados análisis del fraude por regiones y por sectores. En el caso del sector TI, uno de los más susceptibles de sufrir este mal, el estudio llega a las siguientes conclusiones:



El informe completo se puede descargar gratuitamente en este enlace:


(Nota: Informática Forense SL es partner de Kroll en España para investigaciones periciales)

miércoles, 5 de septiembre de 2012

¿Verdad o Mentira? AntiSec vs FBI en Twitter

Definitivamente, algo ha cambiado. Estos días podemos contemplar atónitos como dos organizaciones están entablando una batalla mediática en Twitter. Lo más curioso es que uno de los contendientes, AntiSec, es una organización de hackers "undergroud", y el otro, el mismísimo FBI, una reconocida organización gubernamental de lucha contra el crimen.

Ayer asistimos el explosivo anuncio en Twitter de AntiSec de que había hackeado un portátil del FBI  que contenía 12 millones de cuentas de usuarios de Apple, de las que al parecer ya habría "liberado" 1 millón de ellas en sitios de descarga de torrents.


Y ayer mismo, el FBI respondió públicamente que dicho robo no es cierto, y que en el portátil del agente del FBI supuestamente "hackeado" nunca ha existido información de usuarios de Apple.
Y para reforzarlo, también lo ha publicado en Twitter.

Definitivamente, algo ha cambiado en el equilibrio de fuerzas cuando el FBI tiene que salir al paso y desmentir un rumor en Twitter.

¿Quien miente? ¿Quien dice la verdad? Habrá que estar pendientes de Twitter para ver como evoluciona este asunto.

Mas detalles, en este artículo de Wired.

jueves, 14 de junio de 2012

Red social para los antiguos alumnos de Informática Forense

Dentro de su iniciativa para potenciar su área de formación, Informática Forense acaba de crear un grupo privado en LinkedIn, denominado "IF-Formación" para todos aquellos antiguos alumnos de sus cursos de formación que quieran estas en contacto y compartir noticias, resolver dudas, intercambiar experiencias profesionales, etc.

El acceso a dicho grupo está restringido, por lo que es necesario solicitar la invitación al mismo. 

Además, y de forma progresiva, se irán creando grupos específicos para los alumnos provenientes de las diferentes organizaciones con las que Informática Forense colabora en materia de formación, así como para cada nuevo curso de formación en seguridad informática, peritaje, técnicas forenses, cumplimiento normativo, etc, de forma que sirva de punto de encuentro entre los estudiantes a lo largo de toda su formación, y más allá de esta.

La creación de cada subgrupo se notificará directamente a los alumnos interesados. El primero en crearse ha sido el destinado a AINITICAN, la Asociación de Ingenieros e Ingenieros Técnicos en Informática de Cantabria, tras la reciente realización del Curso de Básico de Introducción al Peritaje Informático.

domingo, 20 de mayo de 2012

El robo de información: un delito en crecimiento en empresas con alto uso de TI


Según el último Informe Global sobre Fraude 2011/2012 (de la empresa Kroll) un 25% de organizaciones a nivel mundial ha tenido que retrasar o detener una fusión o adquisición, o el lanzamiento de un nuevo producto o solución, por filtración de datos.

La mitad de las compañías se siente muy vulnerable al robo de información, y en aquellas que tienen más pérdidas por fraude, los autores más probables fueron ejecutivos de alto nivel (29%) o ejecutivos menores (8%)

La mayor incidencia en el robo de información y datos electrónicos, según Kroll, ocurre en las empresas financieras (29%); TIC (29%); salud, farmacéuticas y biotecnología (26%); y servicios profesionales (23%). Asimismo, en 28% de las compañías afectadas por fraude, los autores más probables de estos fueron ejecutivos menores, en tanto que en otro 21% fueron empleados de nivel gerencial. 

En Europa, se observa un mayor incremento en aquellas empresas con mayor uso de tecnologías informáticas.
Fuente: Informe Global sobre Fraude Kroll 2011/2012

Consejo 1:

Se aconseja tener cuidado con empleados que se quedan después de horas de trabajo, que vienen a trabajar solos en fines de semana muy seguido, que se tratan de ocultar al hablar por teléfono o que tratan de obtener de manera incisiva detalles de proyectos confidenciales, pues esto podría indicar que se está compartiendo información privilegiada que puede beneficiar a otros.

Un caso reciente en España

A principios de 2011 un tribunal español condenó a 3 años de prisión a un ingeniero por sustraer información confidencial de la consultora en la que trabajaba y ponerla a disposición de la compañía a la que se incorporó poco después.

Sin embargo, si la demanda se hubiese realizado hoy las consecuencias de aquel robo podrían haber afectado incluso a la empresa "receptora" de la información robada.

Tras la última reforma del Código Penal, vigente en España desde el 23 de diciembre de 2010, la empresa que reciba la información robada tambien puede ser imputada penalmente e incluso condenada.

Consejo 2:

Por ello, los expertos legales recomiendan que, ante una nueva incorporación, el nuevo trabajador firme un documento en el que se le obligue a no traer información confidencial de su anterior empleadora.

La traición del ex-empleado

1. Las represalias de los exempleados son la gran ‘ciberamenaza’ para las empresas, según un estudio de Ernst & Young
2. Pese a ello, sólo un 26% de las compañías afirma tener medidas implantadas para mitigar este riesgo
3. La informática forense es crucial para probar que tras la salida del directivo hay un caso de competencia desleal y fuga de información

Consejo 3:

Desde Informática Forense recomendamos que las empresas cuenten con un protocolo para recoger el equipo de los empleados que se van y documentar la salida del personal, entre otros procesos.

Además, ofrecemos un servicio de apoyo en dicho proceso que incluye, entre otras, la realización de copias forenses de los discos duros de dichos equipos, y la custodia legal de dichas evidencias informáticas, servicios que tenemos certificados bajo las normas ISO-27001 e ISO-20000.

Informática Forense es parter de Kroll en España.

sábado, 14 de abril de 2012

ISO 27001: ¿Hacia un cumplimiento obligatorio?


En el 2009, hace ya unos años,  se publicó un post de este mismo título en el portal DelitosInformáticos.com. Aunque este post ya tiene un tiempo, es un artículo de recomendada lectura pues lo que allí se postula sigue estando, y cada vez más, de actualidad en España.

Recordemos que desde el año 2010 en España están vigentes varias normas jurídicas que promueven más o menos directamente la utilización de un Sistema de Gestión de la Seguridad de la Información,  tanto en las AA.PP. como en las empresas privadas.

La ISO-27001 en las AA.PP

Por ejemplo, el RD 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, fue aprobado en Enero de 2010 y, recordemos, afecta a TODAS las AA.PP.  Cualquiera que esté familiarizado con el ENS reconocerá inmediatamente que lo que se pretende implemetar es un SGSI basado en la ISO27000. De hecho, su Anexo II se establece una guía de métricas e indicadores que recuerda mucho a la ISO-27002, y el modelo de gestión que se postula es el ya conocido PDCA (Plan-Do-Check-Act).

Aunque ya debería estar ya en su recta final de implantación en todas las AA.PP. de todo el territorio nacional, por las actuales restricciones presupuestarias está bastante retrasado, por ser suave. Sin embargo, en aquellas AA.PP. que ya lo han implementado (ej, algunos Ministerio) ya se está empezando a notar el "efecto tractor" que tiene de cara a sus proveedores, a los cuales se les está empezando a pedir su propio certificado ISO-27001. Cuando se complete su implantación, ese efecto tractor llegará a ser "irresistible" para los proveedores, y en última instancia se convertirá en una obligación de facto contar con esa certificación.

La ISO-27001 en las Empresas

En el otro extremo, el de las empresas privadas, tenemos la reforma del Código Penal de Junio de 2010, en donde se establece por primera vez la responsabilidad penal de la empresas, las cuales serán multadas, inhabilitadas (ej, para contratar con la AA.PP. o para recibir subvenciones) o incluso disueltas. 

El nuevo Código establece de manera muy precisa la imputación a las personas jurídicas de aquellos delitos cometidos en su nombre, o por su cuenta y en su provecho, por las personas que tienen poder de dirección.

También se fija la obligación de las empresas de ejercer el debido control sobre sus empleados, teniendo en cuenta que la responsabilidad penal de la persona jurídica podrá declararse independientemente de que se decrete o no responsabilidad penal de la persona física en cuestión.

Así mismo se introduce la figura de la estafa a los inversores, de tal manera que podrá imputarse este delito a los administradores de sociedades que falseen información para lograr captar inversores u obtener créditos y se castigará la difusión de noticias o rumores sobre empresas que ofrezcan datos falsos.

Si tenemos en consideración la proliferación de los delitos informáticos, y su mayor persecución y tipificación en las sucesivas reformas de dicho Código Penal, el riesgo de que un directivo o un empleado cometa un delito informático punible es cada vez mayor.

Es por ello que TODAS las empresas españolas, tanto las grandes como las más PYMES, deberían diseñar un sistema de control que detecte y prevenga las conductas delictivas, este sistema voluntario debería evitar un descuido por parte de los administradores, dar una rápida respuesta en la investigación de denuncias o contemplar las repercusiones legales posibles, en función de la actividad de la empresa.

Y dentro del ámbito de la informática, un sistema de control que regule el buen uso de los sistemas informáticos y la información que ellos contienen, como por ejemplo la información de carácter personal regulada por la LOPD, se llama ISO-27001.

Además, si tenemos en cuenta que una de las pocas medidas atenuantes que una empresa imputada en un delito informático es que antes de que se celebre el juicio implemente medidas de control que impidan la realización de dicho delito en el futuro, por lo que implantar una ISO-27001 podría evitar que la empresa fuese inhabilitada para contratar con las AA.PP. o incluso disuelta, en el peor de los extremos.

Todo ello hace que en la actualidad la ISO-27001 sea una norma casi obligatoria, tanto para las AA.PP. como para todas las empresas españolas que utilicen sistemas informáticos, correo electrónico, Internet, comercio electrónico... en su vida diaria, es decir: TODAS.





miércoles, 11 de abril de 2012

Nueva Amenaza: Hacking de dispositivos médicos personales


Según acaba de publicarse en WIRED, los expertos en cyberseguridad americanos están muy preocupados por una nueva vía de ataques: los dispositivos médicos personales controlados por ordenador (bombas de insulina, marcapasos, desfibriladores etc), muchos de los cuales se controlan a través de wifi.


Han alertado a las autoridades federales de los riesgos reales que dichos dispositivos tienen, habiendo demostrado en diversos estudios la sencillez con que se pueden hackear de forma remota, con el serio riesgo que ello supone para los pacientes.

Por lo que parece, el nivel de seguridad que los fabricantes de estos dispositivos incorporan es muy deficiente, algo que se ve agravado por la ausencia de control de sus vulnerabilidades en dichos dispositivos por parte de los CERT (centros de respuesta ante emergencias informáticas), algo que se propone abordar en un futuro cercano.


viernes, 23 de marzo de 2012

Entrevista Aragón Radio: Operación policial francesa contra el terrorista Mohamed Merah


El pasado 22 de marzo, Javier Pagés participó en el programa de radio "Despierta Aragón", conducido por el periodista de Aragón Radio Paco Doblas, en relación con la operación de la policía francesa contra el terrorista francés Mohamed Merah, que fué identificado gracias a la dirección IP de su ordenador.

En cuanto esté disponible publicaremos el enlace a la entrevista.