📰 Artículos

La mayoria de empresas españolas carecen de suficiente seguridad informatica

Prog 5 julio 2003 06:24

⋮

Un 68% (más de 2/3) de las Grandes Empresas españolas, incluyendo la Administración pública, tienen una pésima o deficiente seguridad informática en sus redes internas y conexiones a Internet, según publica Hispasec, basándose en un riguroso estudio llevado a cabo por Hewlett Packard (HP). Es muy alarmante que del total de empresas españolas analizadas por HP sólo un 5% detectó los ataques y un 95% no se percató de que sus sistemas estaban siendo vulnerados, pese a que todas ellas habían sido informadas previamente. Tan sólo un 7% de las empresas del sector financiero (bancos) detectaron las pruebas de intrusión a las que estaban siendo sometidos por parte de HP, seguidas de cerca por las compañías del sector telecomunicaciones (6%). El Gobierno (con un 4%) y la industria (con un 3%), fueron los sectores que menos nivel de detección de las pruebas registraron.

El riguroso estudio llevado a cabo por el "Security Center" de HP fue desarrollado para evaluar la situación en la que se encuentra la seguridad informática de las Grandes Empresas y de la Administración Pública españolas tomando como referencia las compañías con información más crítica, confidencial y vital para sus usuarios (o sea, todos nosotros).

Del estudio realizado por HP con métodos de intrusión creados por la compañía o aprovechando programas disponibles para ataques informáticos que se pueden descargar fácilmente de Internet se desprende que sólo un 13% de las empresas españolas presenta unos niveles de protección suficientes a posibles ataques informáticos. Curiosamente HP realizó su análisis sin tratar de ocultar ni camuflar sus ataques bajo ningún concepto y firmando previamente una autorización expresa con las empresas objeto del estudio (que estaban informadas) sobre dichos ataques. Las pruebas de intrusión se realizaron únicamente con un simple PC con conexión a la red y la duración de las pruebas fue de tan sólo una semana. Durante las pruebas no se empleó en ningún momento técnicas de ingeniería social para engañar a los empleados de las empresas.

Entre los sistemas críticos que las empresas designaron para que fueran vulnerados por el equipo de expertos en seguridad de HP se encontraban servidores financieros, sistemas de facturación, ERPs, sistemas de gestión, bases de datos, servidores de correos, servidores web, etc. La falta de conciencia empresarial tanto pública como privada sobre la importancia de la seguridad informática es un serio problema en la Sociedad de las Tecnologías de la Información que afecta a empresas de todos los sectores. Nuestros datos privados más relevantes están en España a disposición de todo aquel que sea capaz de cogerlos, borrarlos, cambiarlos… La pregunta que podemos hacernos todos es: ¿Podemos confíar en nuestras empresas y en cómo gestionan y almacenan nuestros datos personales? Sobran comentarios :-(

Más información detallada en:

(link roto)

💬 Comentarios

MaX 5 julio 2003 06:29

⋮

Todo los porcentajes del articulo hacen referencia al numero analizado (por supuesto), que segun HP es algo mas del 50% de las empresas con entornos criticos.

Sobre la duracion de las pruebas (1 semana) me parece escasa para el nº de empresas analizadas. Tendrian que decirnos que consideran por una vulnerabilidad :)

Saludos.

✖

Shark 5 julio 2003 06:42

⋮

Yo en ayuntamientos he visto de todo (incluso ayuntamientos supuestamente grandes).

Equipos con información "sensible" conectados directamente a internet.
Equipos con información "sensible" corriendo en windows 95 (hace 1 año).
Departamentos de informática que desconocen la existencia de interbase/phoenix para linux (y que se chulean de que no puedes montar este software en sus maquinas puesto que no corren sobre linux).
Departamentos de informática que obligan a guardar los datos sensibles en los equipos de los usuarios en lugar de equipos especializados a pesar de contar con ellos.

Por otro lado:

Falta de conocimientos de casi todos los funcionarios, especialmente los más mayores (de 40 para arriba).
Explotación de las subcontratas por parte de los propios funcionarios (enseñame esto y ponme a funcionar lo otro).
Malgasto de los recursos económicos por parte de estos.
Tendencia a visitar la cafetería o ir a hacer la compra.

[...]

En españa tenemos un concepto de funcionario que tiene que cambiar ya!

✖

JoeDalton 5 julio 2003 15:25

⋮

los equipos con información 'sensible' luego al final son lo que pasan por las manos de todos los usuarios, o como tu dices... windows 95.
Yo también he visto de todo, instalar un win2k AD y que luego los usuarios entraran compartiendo la base de datos del SAM, sin políticas restrictivas, sin capar disqueteras, usuarios locales administradores locales de todas y cada una de las máquinas, con lo que se instalaban toda y cada una de la mierda posible que pululaba. Libre acceso a internet a todo tipo de usuarios, correos sin filtrado de datos adjuntos, esta es buena: password de administrador en blanco xDD.

Y bueno en la admón pública... administradores echar la bronca a un usuario q tenía una directorio, en su directório de red, que se llamaba juegos y había un par de juegos y decirle que no las llamara 'juegos' que la llamara 'documentos' o 'cosas muy importantes'... no si luego igual entra un virus... y nadie metió el disquete... y bueno sin contar de la asiduidad por la 10ª planta (donde estaba la cafetería) o el hiper de la esquina... en fin... que hablábamos de seguridad en general... no ciertos vicios...

De todas formas lo que está claro, es que la seguridad informática, va ligado a un coste, normalmente elevado, no es lo mismo, la empresa 'paquitolan' que te monta el sistema etc etc... por 4 duros, que la empresa 'manolitowan' que te duplica 8 veces el presupuesto y te hace las cosas en condiciones, como luego, a la hora de la verdad, se escatima en todos los lados, y cuando se trata de informátcia y recursos, mucho más todavía, así pasa, cuántos sitios conoceis que ni siquiera en máquinas con información 'sensible' se hace un simple backup? es triste pero cierto, y no solo eso, no es tener un backup y que funcione, un día se te quema la empresa, con el ordenador y todas las cintas de backup, por ejemplo. O cúantas empresas sin backup con datos importantes, llamalo contabilidad, se les ha jodido el disco duro y... dios mio!!! ahora cómo sacamos los datos... paga a una empresa que te cobre 150boniatos de antes y te recupere la información...

A mi entender la seguridad informática, son los posibles ataques que vengan de fuera, pero también los peores pueden venir de dentro, los típicos enteraillos... con el ... '... y si borro esto... qué pasa??...' son muchas más cosas, pero como todo lleva un coste añadido, pues no todas las empresas están dispuestas a pagarlo, es tan simple, como lo que decía Stendall user: pepito, pass: pepito... con un par... si se concienciara a la gente (incluyendo a los de arriba y terminando por abajo) que todo lo que se hace en un sistema, puede quedar registrado y se puede ver quien ha metido el cuezo... otro gallo cantaría y los usuarios no darían su pass o no sería tan accesibles así como así. De todas formas... no hay nada más que verlo, en las empresas que hay proxy, y los usuarios saben que por dónde navegan... allí se queda grabado... como no se columpian.

Saludos.

✖

BocaDePez 22 noviembre 2003 15:10

⋮

falta de experiencia y falta de conocimientos ya que si ellos estan haciendo esto un hacker facilmente puede introducirse a .... bueno vamos a dercilo asi a jugar un buen rato con la informacion y que en windows 2000 se almacena las claves del administrador en un fichero llamado Sam si el hacker llega a obtener ese fichero puede descifrar cual es la clave del administrador por medios de programas para tal fin.... bueno ya es cuetion que el administrador se ponga las pilas si no quiere que la informacion que estan almacenada en esos sistemas sean robadas o corrompidas.... en el caso de los sistemas cliente como lo windows 95 /98/me carecen de la seguridad para evitar que personas mal intencionadas se hagan de la informacion del mismo ya que al dejar abierto el sistema pueden entrar al registro y encontrar la clave del equipo. bueno espero que esta breve explicacion calme un poco tus dudas......

Prog 5 julio 2003 06:47

⋮

en el artículo de HP que:

"La duración estándar de las pruebas de intrusión fue de una semana."

se refiere a cada una de las empresas analizadas por separado, ya que si hubiera sido una sola semana para todas ellas no habrían tenido tiempo material empleando nada más que un único PC con conexión a la Red.

Imagino que por vulnerabilidades hará referencia a ataques de Denegación de Servicio, explotación de fallos de software por falta de actualización de los S.O.'s, saltarse la protección de los firewalls e incluso tomar control del sistema desde fuera..., aunque es cierto que deberían haber puntualizado más qué tipo concreto de pruebas hicieron. Fijaos que dice también el artículo que algunas de esas pruebas fueron creadas expresamente con software propio de HP. No creo que estén dispuestos a divulgar cómo funciona ese software ni hacer público su "utilidad" si han firmado con dichas empresas contratos de confidencialidad.

En el mismo artículo se puntualiza lo siguiente: "La vulneración de todos estos sistemas por un ataque real podría provocar daños importantes a las empresas con repercusiones económicas, pérdida de imagen, de confianza de los clientes, etc. Algunos de estos daños están relacionados con la generación de facturas falsas, transferencias, robos de bases de datos de clientes o proveedores, envío de correos falsos o control del sistema de gestión de una compañía, entre otros."

Saludos.

Stendall 5 julio 2003 06:57

⋮

te digo que lo de que 2 de cada 3 empresas son inseguras me parece bastante correcto.
Es mas, creo que ya no se trata de vulnerabilidades mas o menos escondidas o truculentas y dificiles de explotar, si no de ordenadores que esta totalmente abiertos de par en par y que cualquiera con unos minimos conocimientos puede usar para hacer lo que le de la gana, spam, ddos, etc...

Yo puedo contar desde mi "experiencia", ya no solo de gestorias, hoteles, ayuntamientos, periodicos, hospitales y otras ramas, si no directamente de empresas que se ganan la vida con internet y que se las supone mas o menos puestas en el tema y sin embargo son los primeros en caer.

Mientras la gente piense que la seguridad es algo que se puede conseguir a base de instalar un firewall y olvidarse del tema, seguiremos en las mismas.

De todas formas, el problema de esto. no es en sí que se entre en un ordenador y se le meta un servidor smtp para spam, lo problematico son los datos que pueda haber y mas tratandose de administraciones etc.. y mientras se siga usando el office para todo y no se encripten las base de datos y demas, los datos de todos, seguiran siendo de dominio publico.

Un saludo.

✖

Prog 5 julio 2003 07:16

⋮

con mis propios ojos como en una oficina de una entidad bancaria bastante conocida como el Password de acceso al ordenador conectado en red (y, por consiguiente, al servidor que almacena toda la información sensible, confidencia y crítica) es... ¡¡¡los apellidos del oficinista!!!

Por consiguiente, todos los datos financieros de las personas que tienen depósitos, han hecho transferencias, números de cuentas, planes de pensiones, hipotecas, saldos, últimos movimientos, planes de inversión, letras del tesoro, etc. son accesibles sabiendo, simplemente, como se llama el empleado que está sentado delante del PC. Si esto ocurre en un banco, en un ayuntamiento cualquiera no creo siquiera que sepan de la necesidad de bloquear el puerto 139, si es que por casualidad saben qué es... :-)

Saludos

✖

Stendall 5 julio 2003 07:26

⋮

estuve trabajando en una inmobiliaria, el tema de los ordenadores y tal, y cuando se cambio todo a windows 2000 (de esto hace ya tiempo), iba preguntando que querian de nombre y pass a los empleados (hay como 40), pues directamente, usuario:nombre password:nombre, osea maria/maria, /juan/juan etc asi todos, los 40, y claro ni les digas que tienen que usar un pasword que no sea de diccionario y que tenga numeros letras etc, por que entonces una de dos, o se les olvida continuamente o te po ponen con un postit en el monitor, asi que ya me contaras :).

Un saludo.

✖

BocaDePez 5 julio 2003 10:50

⋮

Vamos, que antes de poner paquito/paquito les bordo el password en un tapete de ganchillo para que lo pongan sobre el teclado cuando no trabajan... Al menos desde el exterior tendrían alguna dificultad más para sacárselo.

forber 5 julio 2003 11:13

⋮

hola

pues les pegas la contraseña en la frente, que luego hay un ataque o una perdida de datos y el que tiene que dar la cara es el informatico no juan/juan

la cosa cambia si el jefe esta de acuerdo en hacer semejante suicidio xDD

Salu2

✖

Stendall 5 julio 2003 17:36

⋮

BocaDePez 6 julio 2003 17:29

⋮

Es el 1º arma que se usa en contra de la protección de datos,y como podemos ver,en nuestro pais no se está preparad@.

Beijing 5 julio 2003 12:24

⋮

Siempre se habla de la seguridad informática, y de los ataques e intentos de entrar en equipos; la cuestión, para mi, es la información que almacenan dichos equipos y la utilidad que para alguien, ajeno a la empresa en cuestión, pueda tener. Si alguien entra en mi PC, por ejemplo, podrá encontrar fotos familiares (todas muy púdicas, osea que no servirán para las peich's pajilleras), algún documento de información sobre temas específicos (accesibles muchas veces en páginas de internet), y todos los archivos que comparto en el Emule. Si entran en el servidor de mi empresa, que es una escuela, tampoco van a encontrar nada útil para alguien ajeno a nosotros (las "notas" de los alumnos, por si alguien lo ha pensado, no están alojadas en el servidor de la red, ni son accesibles desde ningún equipo de la misma). Luego, como queda claro, sólo pueden resultar "apetecibles" los equipos que contengan información comercial reservada (para la competencia), información financiera y contable (para hacer una estafa, aunque supongo que deberás hacerla tan bien que no te puedan "trincar" antes de que puedas disfrutar de la "pasta" estafada o del producto comprado fraudulentamente), y poco más. Creo que muchos ataques se producen sólo por el placer que supone para el hacker el haber burlado la seguridad de un equipo. Es un poco como si un ladrón entra en tu casa para darse una vuelta por ella, aprovechando que tiene una llave maestra de la puerta de la calle. Pero es cierto que no tenemos conciencia de que estas cosas pueden ocurrir, y de hecho ocurren. Desde luego, para mi, quienes deben protegerse a toda costa son los que cumplen los requisitos anteriores (información financiera, contable o básica para la competencia), pues ya se sabe que la mayoría de los sistemas operativos y el software de base tienen agujeros que parecen cráteres, y desgraciadamente no tienen conciencia de ello.

Salu2¡¡

Gnz 5 julio 2003 13:56

⋮

Ese 95% es tan grande porque la mayoria de empresas no disponen de un tecnico que cuide y mantenta el sistema. Es caro... es un trabajador mas...

Los que se han salvado son seguramente bancos o empresas en las que su red es importante y entonces se han pagado a un tio para que mantenga actualice y monitorize esa red.

La mayoria se conforma con llamar a un tecnico para la instalacion de la red o cuando se estropea.

::: PgZnKz :::

Unicode 5 julio 2003 14:17

⋮

Como se comenta, en ERPs aparecen graves deficiencias de seguridad. Yo, como desarrollador de un ERP para una empresa de servicios informáticos, puedo contar pestes sobre la situación de inseguridad de esos datos, fácilmente accesibles por cualquier usuario dentro de la red (ojo, porqué no hay acceso remoto).

Base de Datos: Oracle. Un único usuario en la BDD tanto para desarrollo como explotación. Privilegios mal concedidos (cualquiera puede borrar una tabla, insertar, modificar...).
La conexión a la Base de Datos desde el ERP recoge los parámetros de conexión (incluidos nombre de usuario y contraseña) en un fichero plano .INI sin encriptación alguna y con permiso de lectura - escritura.
Los usuarios / passwords del ERP están en una tabla sin encriptación alguna. Cualquiera puede verlos y utilizarlos a su antojo.
No se auditan operaciones, ni las conexiones desconexiones a la BDD o al ERP.
Cada ordenador con el ERP tiene el SQL*Plus instalado con lo que facilita aun más poder conectarse a la BDD y modificar lo que nos de la gana (mirando el fichero de conexión indicando anteriormente).
Los usuarios por defecto de Oracle (SYSTEM, SYS) siguen teniendo su passwords por defecto (MANAGER, CHANGE_ON_INSTALL (!!))

Y bueno, esto son algunas de las muchas deficiencias que tiene el ERP con el que trabajo, y bueno, deficiencias que no les importa a los jefes de proyecto ni jefes de división porqué solventarlas son mejoras no facturables, y no interesa.

Así nos va...

✖

xcubo 5 julio 2003 18:01

⋮

Desde luego lo de SYS y SYSTEM es grave, pero lo de poner SQL*Plus en cada ordenador ya es de traca....

De todas maneras es mucho más comun de lo que la gente se cree, principalmente porque la mayoria de las veces los sistemas de complejidad media-alta (un ERP por ejemplo) son instalados por gente que no tiene absolutamente ni idea de los que se trae entre manos.

Un caso que he visto para caerse al suelo (no se si de risa o del susto) es el de una base de datos grande de una cadena de supermercados bastante conocida que llevaba más de un año sin recibir ningún mantenimiento porque se les habia perdido la password de administrador y no podian conectar con un usuario con unos minimos privilegios para hacer nada.

✖

JoeDalton 6 julio 2003 03:38

⋮

por lo menos la clave era medianamente compleja o no estaba al acceso de todo el mundo... no como en algunos sitios: Administrador/[sin password] xDD

TaliesinQ 5 julio 2003 16:44

⋮

Hace pocos dia y a no sé a cuenta de como fuí a parar a una pagina (creo que fué leyendo algunos parrafos de la lssi-ce) en la que ponian que las empresas que manejan ficheros de datos con informacion referente a sus clientes estan obligados a la guarda y custodia de los mismos y que en caso de vulneración o sustraimiento de estos podian ser motivo de multas y otros cargos. Mogollon de texto legal que no entendia en su mayoria.
Había incluso un diagrama en el que se exponía el grado de seguridad del que había que disponer dependiendo del tipo de datos que se guardaran. Obligando a las empresas u organismos inclusive a auditorias externas para preservar que se hicieran las cosas en condiciones.
Y llegados akí me pregunto. Si esta empresa, HP, hace una investigacion, llamemosla auditoría privada, en la que queda fundamentado que se tiene poco o ningun interes por respetar esta ley, no está obligada a informar a algun organimos competente en la materia?
Vaya si yo sé ke mi vecino almacena Millones de fardos de farlopaina en su keo y soy un buen ciudadano(?) no debería informar a los maderos de la situacion? o estaría yo incurriendo en un delito si no lo digo. No sé si mexplicao o no, saken sus conclusiones.

P.D: No puedo dar la direccion exacta de donde lo ví por que no guardé la direccion por ningun sitio y no la encuentro en el historico.

hypnosys 6 julio 2003 18:26

⋮

La semana pasada justo hice un mantenimiento curioso... me habian pedido eliminar datos importantes y hacerlos de manera tal que sean irrecuperables por inspectores tributarios.
Les recomende el ShredX q permite tanto las sobreescrituras del DoD de USA y el método Gutmann (35 sobreescrituras, cuidadosamente diseñadas)... Sin embargo al escuchar las palabras "sobreescrituras" se sintieron incómodos, y me preguntaron si esos métodos eran seguros. Les respondí que si venía el Pentagono, se destripaba al rigido, traian sus caros equipamientos electrónicos, aún así resultaba dificil recuperar datos.
Con lo cual respondieron... "ah, entonces es posible recuperar datos".. ¬¬
Entonces luego de 100 sobreescrituras de datos sensibles (y de espacio "vacio" del disco), decidieron cambiar de disco rígido.

Y para colmo la red de la empresa tiene salida dial-up a internet. "Por seguridad".

"El cliente tiene siempre la razón" (¿A quién se le habrá ocurrido semejante idiotez?)

Bien, me retiro q tengo q estudiar.
Hasta luego gente,

hypno

✖

randolfc 7 julio 2003 12:03

⋮

Borras informacion, creas un programa que te haga un archivo que pete el disco duro con secuencias basura y...

dime: ¿cómo van a sacar algo de ahi?

Vamos, pregunto yo desde mi ignorancia.

✖

hypnosys 28 julio 2003 04:56

⋮

Como los datos se almacenan en medios analógicos, es posible la recuperación de datos.
Pero luego de varias sobreescrituras con datos aleatorios, los datos quedan desordenados, y son difíciles de recuperar.
Incluso, por más q se haga Degauss (desmagnetizarlo) a un rígido se puede recuperar información, siempre quedan cargas insignificantes, mínimas.
Pero luego de 35 o más sobreescrituras, recuperar datos es un suicidio. Y la única forma de conseguir algo vagamente, es sabiendo de antemano lo que se tiene que encontrar.

La cuestión es que el cliente es un completo idiota, y desde su ignorancia, al escuchar q aún hay formas de recuperar datos, (aunque sean inalcanzables económicamente y técnicamente por nuestro gobierno), decidieron cambiar de rígido.

lolete 7 julio 2003 01:50

⋮

Veamos.

Las empresas grandes se están decantando por las empresas de servicios.

Para el que no lo sepa, la empresa de servicios en cuanto a informática o comunicaciones se refiere, es como una ETT. Tienen su cartera de técnicos, titulados y sin titular, con conocimientos y con pocos(curso de office). Son contratas de un año y si sale rentable poner a un chavalillo de 17 años, que no sabe ni lo que es un disco duro, y se ahorran 2000 € al año. No importa la calidad del servicio. En la administración pública menos. Lo que sobra es tiempo y si el no tan cualificado no es capaz de solucionar el problema, vendrá otro que si los epa hacer.

No se forma a los trabajadores con unos mínimos de conocimientos para saber que instalan o por que lo instalan. Lo del administrador/paswword lo he visto en demasiadas empresas, incluso lo he puesto yo, pero claro, algún manda mas lo ha decidido siempre antes.

Este gremio no se está moviendo como debe y ello se traduce en falta de seguridad, desconfianza del usuario, en definitiva miedo.

Worked 11 julio 2003 16:02

⋮

Yo no es que tenga mucha idea de seguridad no.. pero llevo montando servidores durante unos años y por suerte nunca hubo problema alguno...Ahora os cuento como tengo el de mi empresa (se puede criticar.. eso siempre es bueno)

INET: ROUTER -> SERVIDOR LINUX (DEBIAN) <> SWITCH <> LAN

SERVIDOR: Servidor SAMBA para compartir aplicacion de venta/gestion de la empresa sobre una particion encriptada (si no se golpea al servidor en 1h se requiere reidentificacion) y aceptando unicamente ips LANS bajo cuenta de usuario en el linux (vale, aqui peco de simple... pero sino los tios no se acuerdan ni para cristo)

Servidor QMAIL para mail de empresa, todos los puertos "requeridos" filtrados (25/110, aun no se para que coño quieren mirar el correo desde fuera de la empresa...si quieren cuenta de correo personal hay otros medios, pero en fin yo un mandado).Autentificacion tanto de smtp como del pop3 golpeando en una db en mysql, chrooteado

Servidor APACHE (tengo que levantarlo cada vez que hacemos demostracion de una web, aun asi esta chrooteado)

Servidor SSH activado unicamente cuando salgo de la oficina (me encanta el crontab xD) y desactivado a las 6 de la mañana por el crontab (algunos me direis que existe el atd.. pero eso es un agujero mas grande que el del culo del Aznar)

Servidor BIND chrooteado... no estaba muy deacuerdo en ponerlo, pues donde tenemos el dominio nos hace perfectamente la funcion... pero los jefes dijeron que lo querian asi por que se lo recomendara no se quien... asi que yo lo monto.

IPTABLES activado todo el tiempo (si quereis os paso el script del mio ... pero eso en otro capitulo xD)

Y creo que no se me olvida nada mas... se que no es una maquina muy segura, pero por lo menos cumple la funcion y por lo de ahora no vi muchas incidencias en los logs :).

Quejas sobre mi metodo de "seguridad" xDDDDD...

✖

Worked 11 julio 2003 18:01

⋮

Una nota que se me pasó sobre el servidor samba, las dbs son copiadas a las 00 de la semana lectiva (lunes a viernes) a una copia de seguridad diaria, que a su vez es movida a otra partición encriptada cuya clave cambio cada semana, el sabado junto todos los .gz realizados en la semana en un .gz semanal y empieza el bucle denuevo.