15/05/2024

Autor

el remero en su barco

Memorias Infofor: El remero en su barco

Guido Rosales 13/07/2020

Un caso que concentra varios otros. Cualquier parecido con la realidad es mera coincidencia. Refleja el estado de muchas de nuestras empresas familiares o aparentemente corporativas con una fuerte tradición familiar. Donde en teoría se tiene un esquema empresarial, pero algo que las Redes sociales no permiten encubrir.

Erase una vez...

Una noche de un mes cualquiera, recibimos una afligida llamada.

Nos han hackeado!! y parece que es interno!!

Así comienza la platica donde un atribulado gerente general con un marcado tono de misterio y vergüenza ajena, pero como de costumbre sin haber fijado las condiciones básicas de confidencialidad comienza a narrar su historia.

Los hechos

Días antes mientras el Gerente General se encontraba de viaje, el tesorero había recibido un correo muy parecido sino idéntico a los que el mismo gerente enviaba:

Señor tesorero, pague a esta cuenta x cantidad de DOLARES, de inmediato

El tenor y estilo por supuesto era mucho mas intimidante, precisamente en esta historia nació el termino del Jefazo, para describir a aquellos gerentes con pocas pulgas y reacios a recibir objeciones a sus ordenes. También comenzamos a llamarlos los GERENTES XX, no por algún carácter hacia su libido precisamente sino por cuanto generalmente son Gerentes generación X, gruñones que eXplotan facilmente.

En la historia, por supuesto que el Tesorero, victima y como mas adelante diremos, "el remero", no atino a preguntar ni cuestionar por que debía hacerse ese pago no planificado. Al final el era un simple tesorero que cumplía tareas operativas. Contacto a su banco y cumplió las condiciones para las transferencias interbancarias. Con eso el había cumplido a cabalidad lo que decía su manual de funciones y lo que se habían encargado de dejar bien claro toda la plana mayor de la empresa en nuestra historia.

La investigacion - Colecta de evidencia

Después de haber negociado condiciones, que por cierto en estos casos es algo extraño, por lo siguiente: Cuando se cotizan servicios para prevenir, todo es caro, pero cuando se cotizan servicios forenses que podrían de alguna manera atenuar la culpa y la pena de los involucrados, ya no miden los recursos. Generalmente la aceptación es casi inmediata. claro siempre se le deja su margen de aparente negociación. Como cuando la esposa te pregunta si le queda el vestido para comprárselo. al final solo podrás opinar sobre el color, igual seguramente acabar comprándolo.

Llegamos con mucho sigilo y aparente secreto de estado. Aparente por cuanto solo haber gestionado temas de negociación ya habían corrido por todos los pasillos de la empresa. Rara vez un tema de estos se mantiene al margen de la dueña de la información en el negocio, la Secretaria de Gerencia.

Lo primero que llama la atención? la distribución de espacios y equipamiento. Como en el gráfico del articulo. Todos los gerentes bien ubicados en cómodas y reservadas oficinas, pero el Remero que en nuestra historia es el TESORERO ubicado un poco mas y en recepción, para que todos los vean y pueda ser mas fácil disponer de los recursos. Sobre el equipamiento? Por supuesto que las gerencias con portátiles últimos modelos con gran capacidad de procesamiento y almacenamiento. Sabemos que esos cargos necesitan poderosos recursos para ver facebook y navegar por el inmenso internet. Y nuestro ramero? con un equipo de escritorio, discos saturados de información, dado que ademas de tesorero debe ser contador y procesar planillas. Entonces el disco y su procesador estaban como colectivo de barrio en hora pico.

Comenzamos con el proceso de adquisición y para sorpresa el Gerente General dispone hacer la copia de TODOS los equipos, pero el suyo no estaba en la ofician, el ultimo por supuesto, pero estaba el anterior de hace unos 6 meses que también debía servir para el efecto de colectar datos. Los Gerentes Propietarios a veces parten de la convicción de que al ser dueños de al empresa, ellos están exentos de cualquier sospecha por defecto. Sin embargo en muchos casos se ha utilizado la figura del auto atentado para diferentes fines:

  • Fraude entre socios
  • Evasión impositiva
  • Lavado de dinero
  • etc.

También colectamos datos de servidores y vemos como estaba siendo tratada la seguridad a nivel de Data center. Empresas que invierten miles de dolares en marketing, pero solo cientos, ni el 20% en la seguridad de sus sistemas de información. y ni que decir de los funcionarios de sistemas que para no ampliar mucho la explicación, también pertenecían al grupo de remeros, tecnológicos en este caso, pero al final remeros!!

Colectamos la imagen de todos los equipos de manera muy sigilosa, por cierto!! y salimos con todos los datos listos para el análisis.

Colectamos la imagen de todos los equipos de manera muy sigilosa, por cierto!! y salimos con todos los datos listos para el análisis.

La linea tableau, permite realizar copias forenses a mayor velocidad y con mayor precisión forense.

La investigación - Análisis de evidencia

Generalmente se utilizan herramientas forenses especializadas para agilizar y profundizar el análisis.

En este caso utilizamos FTK toolkit para colocar todas las imágenes forenses y analizarlas en conjunto.

La investigacion nos permitio descubrir varias practicas empresariales que si bien no demostraban la autoria, explicaban el modus operandi perpetrado por los autores:

  1. El gerente tenia la costumbre de sobrepasar a algunas gerencias en la toma de decisiones. Al final el Gerente era también miembro del directorio.
  2. Las normas y procedimientos se hicieron con un enfoque nulo en cuanto a riesgos. Las tareas y obligaciones no contemplaban situaciones de excepción y riesgo. al final el Tesorero no había incumplido su normativa. No decía nada sobre verificación ante la orden de la gerencia.
  3. No se habia establecido el control dual: hecho y verificado. Si el gerente ordenaba, se debia cumplir.
  4. Los correos en cuanto a estilo y contenido del gerente hacia los mandos inferiores denotaban un marcado autoritarismo.
  5. Los indicios de phishing apuntaban a los mandos gerenciales. al final eran los que tenían ilimitados privilegios de navegación tanto desde los canales internos como desde conexiones móviles en los equipos empresariales.
  6. La suplantación se dio en el correo del Gerente General.
  7. Varios gerentes tenían una negocio propio que atendían en el tiempo y con los recursos empresariales.
  8. Ademas de relaciones laborales, se encontraron indicios de relaciones extra maritales.
  9. La configuración de servidores no estaba regionalizada. Existían conexiones de todo el mundo.
  10. El monto comprometido era similar al promedio de transferencias. no despertó sospechas.
  11. Todo el grupo gerencial tenia una relación de parentesco y amiguismo.
  12. La escala salarial entre las gerencias y los mandos ejecutivos era muy marcada.
  13. El desarrollo profesional del personal "los remeros" había sido mínimo en los últimos 5 años. Capacitación, salarios, vacaciones estancadas por ejemplo.
  14. La inversión en seguridad y licenciamiento de software era mínima.
  15. La inversión en infraestructura de respaldo era inexistente. Se utilizaban discos compactos para realizar respaldos.
  16. La rotación de equipos se hacia bajo el esquema de amiguismo

Conclusiones

El caso nos demostró el poco nivel de cultura organizaciónal en seguridad de la información, con gerentes obsoletos y hasta digitalmente analfabetos en cuanto a ciberseguridad se refiere. Pero con un elevado ego para poder entender que los tiempos han cambiado y la gestión por los 5 sentidos no es suficiente, el ciber espacio requiere de tecnología, software y hardware especializado para poder ser gestionado y controlado.

De igual manera cuando la curva salarial no es razonable, se tiene una bomba de tiempo que puede estallar en un momento o peor aun puede convertirse en un goteo permanente. Cuando el funcionario desestimado encuentra la forma de obtener su recompensa monetaria dejando de lado el reconocimeitno profesional e inclusive personal. El aparente conformismo pude significar:

"Ojos que no ven, billetera que no siente"

Este caso nos llevo a producir vídeos como el FRAUDE del JEFAZO, que fue actualizado, les recomiendo verlo en el sigueitne enlace

https://youtu.be/rjtLvFdbdWM
Video: El fraude del CEO

Sobre el amiguismo recomiendo ver el siguiente video

https://youtu.be/N1jVSklN1JA
Video: Amiguismo empresarial

Finalmente el tema de cultura de seguridad puede ser acompañado con el siguiente vídeo

https://youtu.be/88x0N60n-TQ
Video: Cultura de Seguridad

El grande se come al pitufo

TIK TOK es peligrosa para usuarios o para su competencia?

Guido Rosales 13/07/2020

Definitivamente cuando uno lee sobre el peligro que aparentemente estarían demostrando ciertas aplicaciones accediendo a los datos de los usurarios que las utilizan uno se pregunta?

No hizo y hace microsoft, Facebook y Google lo mismo desde que fueron creados?

Debemos pensar que empresas como las citadas en el párrafo anterior pueden ver amenazados sus intereses con una plataforma como esta. Similar situación ha ocurrido con Zoom en los meses anteriores. se ha cuestionado su seguridad para llevar agua a otro molino, pero de igual forma las vulnerabilidades se siguen dando en TODAS las plataformas.

TikTok se ha convertido de un espacio para jóvenes en una válvula de escape para mayores. Parecería insignificante el cambio, pero si vemos desde el punto de vista del poder adquisitivo, sera mas fácil comenzar con publicidad desde tiktok, al final ya tienes a quienes pueden pagar (padres) y a quienes pueden pedir (hijos). La mesa esta tendida para empezar a jalar del mantel. Entonces vemos aparecer voces de alerta aparentemente en defensa de los derechos a la privacidad de los usuarios que no han sido tan fuertes cuando eran sus empresas las que tendían las redes monopólicas para acumular ingentes cantidades de datos. No solo les ha preocupado la cantidad de nuevos usuarios, sino la calidad de los mismos. En la época de cuarentena se subieron al carro de tiktok gente adulta con todo y sobretodo con sus billeteras digitales listas para comprar lo que venga.

Así como se acuñaron verbos como facebokear, googlear, ya tenemos zoomear y tiktokear. Así que queda clara la supuesta preocupación por los datos.

Desde el punto de vista de algunos países, están en su derecho de proteger a sus ciudadanos y su mercado interno, pero no por ello nosotros como latinos o bolivianos en mi caso tendríamos que pensar que si los datos antes se viajaban al norte, ahora lo harán al oriente u occidente, como lo vean.

Personalmente mantengo la posición:

al final Alguien tendra tus datos, solo te resta elegir que parte va a donde.

Estadisticas

Si vemos algunas estadisticas que pueden ser recopiladas de diferentes sitios tenemos:

  1. TikTok tiene 800 millones de usuarios activos al mes en todo el mundo.
  2. TikTok ha cruzado las más de 2.000 millones de descargas entre la Play Store de Google y la App Store de Apple en los últimos años. 
  3. TikTok fue la aplicación más descargada en todo el mundo en marzo de 2020 con más de 115,2 millones de instalaciones.
  4. El 41% de los usuarios de TikTok tienen entre 16 y 24 años.
  5. TikTok en España: Se han realizado 14 millones de descargas de TikTok tan solo en España, entre la App Store y Google Play. 
  6. Los usuarios de habla hispana pasan una media de 43 minutos diarios en la aplicación y se conectan en torno a 7 veces al día.
  7. TikTok está disponible en 155 países y en 75 idiomas, lo que cubre a una gran parte de la población global.
  8. El 90% de todos los usuarios de TikTok acceden a la aplicación diariamente. 
  9. El repentino aumento de popularidad de TikTok entre los adultos en 2020 se puede atribuir a la cuarentena por coronavirus.
  10. Respecto al número promedio de vídeos de TikTok vistos en la app, hubo más de 1 millón de vídeos vistos al día en un año.

Fuente: https://ar.oberlo.com/blog/estadisticas-tiktok

Les invito a googlear y ver que el pequeño creció y con seguridad ahora representa preocupación para los grandes. Me quedo con este gráfico

Hace un tiempo tambien publicamos en las redes algo relacionado:

En las RRSS

https://www.facebook.com/guido.rosales.u/posts/10220456045724149

Mas estadísticas

O estas otras de otra fuente, pero muy parecidas

  • ByteDance es dueña de TikTok
  • TikTok está valuada en 75 Billones de dólares
  • Desde 2016 más de 1500 millones de personas han descargado la aplicación
  • 20% de los usuarios tienen menos de 19 años
  • 32% de los usuarios tienen entre 20 y 24 años
  • 27% de los usuarios son personas entre 30 y 40 años
  • Principalmente jóvenes entre 13 y 18 años son más activos en esta aplicación
  • El 55% de usuarios son mujeres y el 45% son hombres

Fuente: https://cocktailmarketing.com.mx/estadisticas-de-tiktok/

Conclusión

Finalmente podemos pegar el grto al cielo en pro de los grandes, pero en los 30 años que venimos usando la tecnología, habiendo pasado desde el inicio de Microsoft cuando aun era DOS, hasta los esquemas de cloud computing y la Inteligencia artificial, el argumento no ha cambiado. Siempre aparece el supuesto SALVADOR que trata de eliminar a la competencia.

Escuchemos como se desgarran las vestiduras, al final todo seguirá en la nube de alguien!!

Calculadora de hash

Consejos prácticos: Calculadora de Hash

Guido Rosales 09/07/2020

En estos tiempos de virtualizacion extrema, firma digital y telepresencia debemos apuntalar mucho mas los cuidados para mitigar los riesgos inherentes a toda esta nueva forma de vida.

Una manera adecuada y recomendada de incrementar los niveles de seguridad en el intercambio de documentos digitales es sin duda el uso de funciones hash como validador DE INTEGRIDAD, CONFIDENCIALIDAD y AUTENTICIDAD.

PRACTICO Y SIMPLE vs COMPLEJO Y DIFICIL?

Recomendamos una herramienta que la uso por mas de 10 años. No vamos a entrar en ninguna polémica de decir la mejor, la única u otro adjetivo calificativo. Simplemente me defino como un usuario activo de estas herramientas que ha encontrado una forma practica de usarla. Para cálculos masivos utilizamos otra que en su momento sera comentada. Este espacio esta dedicado solo a HASHCAL

Hash de texto
Hashcal para calculo de hash de texto

Puede ser utilizada para calcular por ejemplo una clave, colocar como entrada la palabra "yanapti" y como salida que seria la calve colocar el hash en alguno de los algoritmos Md5, Sha1 u otro que seria suficiente por la longitud de clave.

Tambien puede ser utilizada para calcular el valor de hash en un archivo.

hashde archiv

Este valor hash puede ser resguardado para comprobar la integridad y autenticidad del documento. Esta forma es muy utilizada en las firmas digitales, pero si no tiene una, envía el archivo y el hash como validador de autenticidad.

En el ejemplo tenemos de entrada un archivo pdf "Carta oferta Yanapti.pdf" y tenemos el hash correspondiente. Resaltamos el valor en cuadro rojo para algoritmos SHA1 y SHA256.

Entonces, puede usar la siguiente logica.

Su oferta en word, la convierte a PDF, pero le coloca una contraseña de apertura, pro ejemplo "Yanapti" que siendo trivial sera fácil de recordar. En realidad la calve sera el hash SHA1 de la palabra Yanapti en este caso el valorc56fa1292e5513fb4bf2d5a20aad615363fa2e38

Al archivo resultante le extrae el correspondiente hash tambien sha1: a8c42b32a467809f6de20099679a36446a2f8136

La clave la envía por diferente medio y el archivo por correo con su correspondiente hash.

Para descargar HASHCAL puede usar el sgte enlace: https://www.slavasoft.com/hashcalc/index.htm

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023