Adelántate a los hackers: ¡Fórmate en seguridad informática!

Una actualización del código de seguridad de Twitter aseguró que nada más conocer el fallo lo soluciona, y reconoció que por dicha vulnerabilidad, la plataforma había sido víctima de un ciberataque que se saldó con el robo y la filtración de los datos de 5,4 millones de usuarios y ahora se venden por 30.000 euros en foros de piratería.

En enero de este año, un informe de HackerOne comunicó una vulnerabilidad que permitió

a un atacante la adquisición del número de teléfono, la dirección de correo electrónico y la

IP de los usuarios de Twitter.

Una vulnerabilidad de la app dejó expuesta dicha información.

Es una amenaza grave, ya que las personas no solo pueden encontrar usuarios que han

restringido la capacidad de ser encontrados por correo electrónico/número de teléfono, sino

que cualquier atacante puede enumerar gran parte de la base de usuarios de Twitter y se

pueden vender a partes malintencionadas con fines publicitarios o para identificar a

celebridades en diferentes actividades maliciosas.

El informe de HackerOne establece que se trataba de un problema de seguridad y prometió

estudiar el caso. Indica que "después de investigar más a fondo el problema y trabajar para corregir la vulnerabilidad, Twitter otorgó al usuario zhirinovsky una recompensa de 5.040 dólares (casi 5.000 euros)"

1. Yo nunca he sufrido ningún ataque de seguridad informática ni nadie cercano a mí.

No estoy preparado para defenderme de estos ataques de seguridad informática creo que

no recibimos información ni formación necesaria para poder prevenir este tipo de ataques.

Sí que me preocupa la seguridad de mis equipos informáticos cuando me conecto a internet

porque puedo ser víctima de uno de estos ataques de ciberseguridad.

2. Actualmente, resulta imposible crear un entorno informático inaccesible a delincuentes

informáticos aunque si se puede constituir un entorno preventivo que dificulte el acceso a

los hackers, incorporando medidas preventivas:

● Desarrollar dentro de la organización buenas prácticas para la gestión de la fuga de

información.

● Definir una política de seguridad y procedimientos para los ciclos de vida de los

datos.

● Establecer un sistema de clasificación de la información.

● Definir roles y niveles de acceso a la información.

● Protección del papel. Desarrollo de políticas para la destrucción del papel,

conservación de documentación, políticas de clean desk.

● Sistemas de control de acceso, físicas a las instalaciones e informáticas en los

ordenadores y sistemas de comunicación (móviles y tablets)

● Control de los dispositivos extraíbles (pendrives, discos externos,...)

● Desarrollo de planes de formación en materia de ciberseguridad y seguridad de la

información, buenas prácticas de los sistemas informáticos etc. Estos planes de

formación deben tener como objetivo la sensibilización y la formación de los

usuarios.

● Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los

incidentes derivados de los riesgos cibernéticos y el uso inadecuado de las

infraestructuras tecnológicas.

Denuncias:

1. Comunicaciones a la AEPD.

Las empresas que hayan sufrido una brecha de seguridad, independientemente del sector

al que pertenezcan, se encuentran obligadas a realizar una notificación expresa a la

Agencia Española de Protección de Datos sin demora, en un plazo máximo de 72 horas

siempre que sea posible. La notificación dirigida a la Agencia deberá incluir: naturaleza del

incidente, identidad y datos de contacto de protección de datos, consecuencias del

incidente; y medidas correctoras propuestas o adoptadas.

2. Denuncias ante la Policía, la Guardia Civil o el Juzgado. Actualmente tanto la Guardia

Civil con el Grupo de Delitos Telemáticos y la Policía con la Brigada de Investigación

Tecnológica perteneciente a la UDEF. Disponen de equipos de trabajo, especialmente

formados para la investigación de estos ciberdelitos, es más, incluso disponen de grupos de

trabajo que investigan y focalizan su trabajo, únicamente a delitos informáticos cometidos

en el seno de empresas. Además, es absolutamente necesario que ante el descubrimiento

de un ataque informático se proceda a la denuncia del hecho ante las autoridades

competentes.

3. Adelántate a los hackers: ¡Fórmate en seguridad informática!

Cecilia. C