EDICIóN GENERAL
429 meneos
4646 clics
La ciberseguridad de la industria española es un sainete, y los ataques se están disparando

La ciberseguridad de la industria española es un sainete, y los ataques se están disparando

Desde su casa, el hacker Amador Aparicio podría abrir las compuertas que vacían el estanque del Retiro. O cambiar la temperatura de la piscina de un hotel de lujo. España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a internet, la mayoría sin protección alguna. Los más sensibles, las infraestructuras críticas, están siendo duramente ciberatacados, con un aumento del 357% el pasado año. Y, según los expertos, esta cifra se queda corta.

| etiquetas: ciberseguridad , tecnología , hacker
Comentarios destacados:                      
#2 Es lo que pasa cuando hasta en algunas multinacionales dedicadas al I+D tienen como expertos y responsables de IT a gente cuya respuesta en materia de seguridad perimetral es "¿Y quien va a querer hackearnos a nosotros?".
- ¿Seguimos hackeados?
- Si.
- ¿Vamos a hacer algo?
- No lo se. :foreveralone:
#1 Pues se convoca una reunión de contingencia a las 7 de la tarde para valorar el esfuerzo necesario para solucionar el problema. :troll:
#41 Donde la cúspide de la empresa que no tiene ni puta idea, estima que se puede tardar una semana en solucionarlo, y las órdenes van bajando por la jerarquía, cada jefecillo recortando tiempo para cubrir su culo, hasta llegarle al técnico de sistemas, que le dicen que tiene 2 horas para arreglarlo.
#41 Y que el jefe A llegue 15 minutos tarde para que haya que explicar lo que pasa desde el principio.

Y que el jefe B llegue cuando terminas de explicarselo al jefe A.

Y que entonces llamen a otro tio porque "tambien tiene que estar enterado"....
Es lo que pasa cuando hasta en algunas multinacionales dedicadas al I+D tienen como expertos y responsables de IT a gente cuya respuesta en materia de seguridad perimetral es "¿Y quien va a querer hackearnos a nosotros?".
Me recuerda a lo que pasa cerca del final de la 4ª temporada de Vikingos, la prepotencia hace que se pague muy caro. Que es básicamente lo que dice el compañero GonzaloRG perfectamente en su comentario #2

Pero además es que dependiendo del diseño de la web es más o menos factible al hackeo, incluso más llamativa para ello. Luego en cima tenemos la Administración Electrónica, que sigue siendo para llorar y no sólo en seguridad sino en funcionalidad. Y lo peor es que luego te enteras que hacer esa web costó, por ejemplo 200.000 € y tu piensas ¿Cómo puede ser que una web tan horrible en todo costase eso? Luego lo vuelves a pensar y sabes porqué...

Salu2
#4 Y te inventas estupideces. Y erre. Cuando se hace una web para la administración no solo es la web publica, sino tambien la interna y tambien la parte fisica. Y tienes que añadir que habrá que enseñar a ciertos funcionarios a gestionar la parte interna.
¿Te suena el concepto "punta del iceberg"?
#42 y #55 Ya se vé los expertos en seguridad que hay...

Test de Qualys SSL Labs para la página del Servicio Estatal Público de Empleo (antiguo INEM)

www.ssllabs.com/ssltest/analyze.html?d=www.sepe.es

Calificación F

Salu2
#88 ¿Y en que coño contradice lo que yo he dicho? Aparte de en nada.
#88 si eso no tiene perdón...
#4 En España en seguridad estamos bien, y de hecho hay gente muy buena aquí y fuera. Si made in España. Por favor basta ya de tanto bulo
#55 en España hay gente MUY buena en temas de Seguridad Informática. Pero MUCHO.
Pero no están en puestos estratégicos (mayoritariamente) de las grandes empresas. O están en el extranjero, o están en consultoras de Seguridad, en las que hacen sus auditorías, escriben sus recomendaciones, y luego las empresas aplican (o no, dependiendo de la pasta que se quieran gastar y lo "responsables" que sean, y lo bien que lo sepan hacer) las indicaciones que aparecen en los informes.

De las PyMES ya ni hablemos.
#55 si el problema no son los tecnicos. Son los que deciden.
frg #5 frg *
#2 La seguridad perimetral no es todo. Lo "normal" es tener los sistemas de control (los de las presas, eléctricas, nucleares y similares) en redes aisladas, con un firewall de entrada y un IDS/IPS, para cumplir la auditoría. Luego viene lo de tener millones de reglas absurdas en el firewall, ignorar el IDS/IPS, o tener un "equipo de seguridad" de broma, si le añadimos una nula auditoría/seguridad interna, o la ausencia de unas mínimas "buenas prácticas", con lo que se consigue que cualquiera, con interés, pueda planificar y realizar una intrusión. Una vez dentro, ..., como lo diría, eres DIOS en cuestión de minutos, ...
#5 por supuesto, no todo es la "seguridad perimetral" pero para un post de meneame no me voy a extender mucho en los protocolos pasivos o activos a seguir antes, durante y despues de la explotacion de un fallo de seguridad....

Pero, al menos por experiencia propia, que trabajo en una empresa de I+D, si la secretaria dedica un par de semanas de Google se podria llevar la mitad de nuestra informacion a la competencia. No hay control de la informacion, no hay control de acceso, hasta hace bien poco los sistemas criticos estaban en DMZ en vez de en VPN (Tras años de lloros por fin hicieron caso).... etc etc
#6 En mi empresa puedes acceder a toda la red interna desde un router con WPA y WPS activado (ha llegado a tener wep), al que además se puede acceder desde fuera. Un empleado lo intentó, lo consiguió y se lo comunicó a los de IT y el tema sigue igual que antes.
#5 en las presas, eléctricas, y demás infraestructuras (Quiero pensar que no las nucleares), lo "normal" es tener un SCADA conectado a la versión gratuita de team viewer para que el pobre técnico al mando se pueda conectar las 24 horas al día los 365 días al año desde su casa, porque contratar a más técnicos "es caro".
#76 Las nucleares solo se diferencian de las otras en el apellido. La gestión es igual o peor, en algunos casos.
#2 Quién dice eso no ha trabajado nunca como scanner en un grupo de piratas. Yo sí, y desde aquí les digo que serán hackados, tageados, abusados y luego sus recursos serán vendidos a otros grupos, y sin que ellos lo sepan.
#2 O a gente de carreras perrofláuticas que se cree que con sus powerpoints lo soluciona todo y no tienen ni repajolera idea.
#12 que es una carrera perroflautica?
#13 ¿Director de empresas hosteleras? Lo que estudian en esa carrera es más o menos lo mismo que se daba en 8º de EGB
#19 No porque en octavo de EGB yo no estudie como pagar 750 euros al personal de hotel diciéndole la cosa esta mu mala, mientras esta el hotel lleno y espanya bate records de turistas :-D
#19 director de empresas hosteleras es una carrera perroflautica? o_o
#2 Eso mismo discutía yo hace unos meses con un colega que estaba desarrollando un sistema de sensores para no se qué historias. El modelo de seguridad que proponía era de broma, intenté explicarle un montón de formas de hacerlo mejor, y al final su respuesta siempre era la que tú dices.

La seguridad es un tema muy delicado, y la mayoría de los "profesionales" ni saben, ni se lo toman en serio.
#2 Paga cacahuetes y contratarás monos.

En España se pagan cacahuetes (salvo para los puestos directivos no productivos, que ahi se reparten lo que se ahorran en los curritos).
#43 Santa verdad.
#44 se me olvidó añadir que hasta el ingeniero más cualificado currará como un mono si le pagas cacahuetes. Porqué gente cualificada, la hay.
#45 no hace falta añadirlo. Tengo un ejemplo muy muy cercano. Un tio que se desvivia por la empresa metiendo y mejorando sistemas en sus horas libres por que es lo que le gusta. Despues de 5 años de empujar noches, fines de semana, vacaciones e incluso discutir con su pareja por la empresa, cuando solicito la mejora salarial o en su defecto que se le abonasen las extra... la respuesta fue "Esto es lo que hay". Tambien hay que mencionar a los padefos de sus compañeros que se bajaron…   » ver todo el comentario
#48 Por desgracia ese es el caso más habitual. Yo lo he vivido de cerca. La moraleja es : En el curro cumple pero sin regalar ni un minuto (obviamente cada caso es un mundo y habrá mucha gente que tenga que tragar porque no tiene otra)
#66 si ya, te doy la razon, pero sigue habiendo gente que son filones para las empresas, hasta que se queman y dejan de producir. Ese perfil de tecnico hay que cuidalo y alimentarlo, que crezca contigo... que este agusto y produzca. La empresa sale ganando.
#48 es FUNDAMENTAL q los trabajadores aprendamos q a las empresas hay q tratarlas como ellas te tratan
#43 Esa es la vulnerabilidad
#2 Ese mismo diálogo me sucedió una vez... dió la casualidad que pocos días antes, salía en noticias nacioinales lo de los Pcs Zombies. Un poco de giro interesado en la conversación, me permtió hacerle ver a esa persona que si no tenía cuidado, uno de esos Pcs Zombies podría ser el suyo...
Se le cambió la cara.
#71 Yo para convencer a la gente suelo seguir una estrategia bastante sencilla y que no requiere de muchos conocimientos. Les enseñas 4 noticias gordas, como el record en DDoS, y luego desde el movil con zanti o intercepter (no necesitas nada profesional) les gastas 4 bromas en su red. Cuando ven que con la mano izquierda en los huevos has hecho que su pc haga algo que ellos no mandaron se acojonan. Luego terminas diciendo para cagarles mas, "y esto lo hago yo sin tener ni puta idea".
No hay huevos!!
Oferta de hace unos pocos meses: Analista de Seguridad Senior por 36000€/año
Qué bien se está en el extranjero. En España, estamos a la medida del valor que damos a los activos...
#7 Venia a decir lo mismo... pero te has adelantado. Quizas añadiría mas: Llegan ofertas para desarrollo de sistemas embedded/IoT/Industriales por incluso menos dinero... y luego claro, queremos sistemas injuankeables. Pagas cacahuetes, tienes monos, así de simple.
Abres el shodan, escaneas un rango de ips, y la mitad de trastos embedded te los encuentras con el password por defecto que trae la librería típica de hacer servicios web del SDK del hardware que usan... alumbrados publicos, vehiculos municipales, depuradoras, estaciones de servicio, es un puto chiste.
#21 SHODAN? Ese era el nombre de la IA que manejaba la nave en System Shock. Qué recuerdos. ¿No me digas que hay un software de hackeo que se llama así??
#72 shodan.io
#7 no soy de tu rama, pero si son 3.000$ netos no parecen cacahuetes para el coste de vida de Espania.

En Australia si seria una mierda
#58 en mi caso particular, serían unos 2200€ netos al mes.
Los sueldos de estos mismos profesionales por encima de los pirineos (la frontera entre España y el resto de Europa), Senior, es de, al menos, el doble.
En Madrid con 2200€ vives, pero tampoco es para echar cohetes, y mucho menos si tienes familia.

Como me repatea el concepto de "en España el coste de vida es bajo y por eso los salarios también son bajos". Yo tengo gastos MUY similares viviendo en Alemania, pero aquí no buscan cubrir el cupo con esclavos, aquí reconocen y pagan a los PROFESIONALES.
#59 pero es que en esos paises la base de consumo y la cantidad que gastan es mayor. Me explico, a mi me pagan 30$ la hora por un trabajo sin mucha cualificacion porque a mi jefa la sale rentable lo que los clients pagan y porque estos pueden pagarlo.

Si te vas a una mediana empresa en Espania, pues igual encuentras que hay qie reducir costes para bajar el precio final porque la gente no puede permitirselo, y pagan pues la mitad.

PD: Yo vivia de alquiler en madrid con 1500 euros al mes. Cierto qie para una familia no da, pero deberia haber un segundo sueldo en casa. Lo de qie 1 mantenga a 4 paso a mejor vida hace mucho
Muy bueno
¿Y si alejamos Internet de asuntos sensibles?

Internet = entretenimiento, cultura, red sin intimidad y basuras varias.
#10 Eso, los aviones los controlamos con paloma mensajera, que es mas dificil de hackear
#14 Salvo que tengas un dragunov...
#17 o te dediques a la Cetrería
#14 Por lo general, los sistemas de control de trafico aéreo están (afortunadamente, porque su seguridad es de chiste) en redes privadas, aisladas de internet.
#10 y en la guerra radio electronica, cirugia de minimo acceso, investigacion bioinformatica, servicio financieros.

vamos que si dices que internet solo para basuras varias no tienes ni idea del mundo que te rodea.
#10 Falacia simplificativa. Internet = entrenemiento :palm:
#10 Premio al comentario cuñao del dia  media
Si no hay la típica imagen del malvado juaker usando el ordenador en pasamontañas, no hay meneo.
#11 Sale un tío trepando por el ciberespacio (con cuerda, eso si). Es el siguiente nivel xD.
Pff me juankean mi ordenador y dirian "Este tio ve porno"

Pfff menudo problema
#16 El problema es pensar como piensas tú. Si te hackean el ordenador es para tener el control de ese ordenador, no para ver lo que tienes en él ni lo que navegas. La cantidad de cosas que pueden hacer teniendo el control de tu PC va desde spam masivo hasta ataques cibernéticos, mientras tú piensas que no importa lo que tengas en él.
#16 "sólo se un idioma 101001, con eso puedo robarte tu dinero, tus sueños, tus fantasias eroticas, toda tu vida.

Desde cualquier país, desde cualquier lugar, cuándo y cómo quiera." RATH

Cc #20 #27 #53
#67 "ME importa una mierda" Hamstar
#16 dejame juankarlearte el pc y seguramente en poco tiempo tenga las contraseñas de todo de todos los q vivan contigo.

Al menos si me gustaran esos temas.... XS
#27 NO te olvides de decir que me gusta ver "Big Tits Teens"
#82 en algun momento tendras hijos o pareja...

A todos.
#16 Y luego utilizarán tu ordenador como pasarela para robar 10.000 tarjetas de crédito.

Cuando se presenten unos tíos en tu casa, precinten tu ordenador y te metan el puño por el culo para ver si llevas drogas escondidas....¡vas a sentir el porno en directo!
#16 Hay un capítulo de Black Mirror para ti.
#74 Me estas diciendo que existen los cloneS?!?!!?!
a mí me mola poner honeypots (y sí, el aliento de mi gato huele a comida de gato)
Normal!!!!!!!!!!! en el INCIBE solo contratan a familiares....................

pd: ( debe ser que existen algunas familias con un gen predestinado al estudio de la ciberdelincuencia)
#23 bueno, los que realmente trabajan en incibe son los de la subcontratas. Los familiares son los que cobran por ir :troll:
#49 una pregunta, ¿ hay gente que fuma mucho, no?
claro, despues tienen ese bronceado perfecto..... ;)
#50 menos mal que en León hace fresquito, si fuera Valencia no veas
mientras que en otros paises se fomenta la seguridad, con universidades teniendo grados en hacking o forensics, formando expertos en seguridad que luego empresas pulen, en españa tenemos un gobierno que para que te de cita para renovarte el dni tienes que creerte que una pagina con un certificado creado por ellos mismos es signo de seguridad y confianza
#24 Ahi le has dao. En la Uni espanyola lo que importa es que compres el libro que ha escrito el catedrático para que le caigan unos eurillos de más al final de mes.
#36 yo tengo algunas asignaturas en comun con los de forensics y a un chico español lo ha pillado una empresa americana y se lo llevan a EEUU a formarle, para que de lo mejor de el cuando vuelva a reino unido, entrando con un contrato de 2 años como graduate, por lo que se ha asegurado estabilidad para seguir formandose y mejorar, no me imagino indra cogiendo un recien graduado y pagandole la estancia en otro pais mientras le forman dandole un buen sueldo y la estabilidad
#24 (y #36 ) como aficionado, lo que hace el gobierno está bien.
El certificado es realmente válido y seguro, vete allí y solicitalo, si otra entidad manejase el tema, manejaría el certificado también, y sería inseguro.
Los certificados auto firmados son igual de válidos que el resto, y puedes confiar en ellos... ¡te lo da personalmente un funcionario que te pide el DNI!
Voy a insistir, si los certificados vinieran con el navegador, nuestra seguridad estaría en peligro
#90 vamos a diferenciar el certificado que tiene el DNI que es un certificado ciudadano emitido por la CNMT, y que es para uso individual y no para usar como certificado en una pagina web, pero el de la pagina web estaba firmado por la una entidad no reconocida internacionalmente, los certificados se general a partir de otros certificados, me explico, cuando tu accedes a una web segura esta tiene un certificado que tiene un certificado raiz que viene a ser quien ha creado ese certificado, esas…   » ver todo el comentario
se soluciona facil, en mi empresa no tenemos ningun pc conectado entre si, ni con internet, salvo el del jefe
#26 Eso es fácil, pero no es cómodo, que es la razón de que todo esté conectado con todo de manera insegura: COMODIDAD :roll:
#26 ¿Vienes del pasado, de los 80?
#64 al menos la musica era mejor xD
En España piensan que PENTESTING es una marca de vibradores. :roll:
#29 Sólo unos pocos afortunados sabemos que en realidad venden los mejores bolis.
Id a vender seguridad a un polígono industrial....
Y llorarás....
#30 el problema es que el que va a vender seguridad, normalmente, es el que te agarrará de los huevos cuando tenga todos tus recursos en su mano. La consultoría llave en mano, además de tener un precio que no se puede permitir la empresa media, sólo se hace una pregunta: ¿ cuánto le puedo sacar a éste? Y el comercial ni siquiera se pregunta eso.
Soy el corresponsable de IT de mi empresa, un chaval FP2 que formatea, instala, da helpdesk y poco más. Ponme si tienes huevos a filtrar paquetes, jeje...Y mi empresa no tiene para más.
#30 O peor; que te digan que no son IC y por lo tanto no les precoupa. Y que eso del GDPR para Mayo de 2018 todavía está lejos...
#30 En el polígono de mi barrio toda la seguridad física la llevan gitanos, no me quiero imaginar quién llevará la ciberseguridad...
#47 Pero no es porque sean gitanos, es proque son duros o al menos lo parecen. Así que los que van a entrar en las naves del polígono se lo piensan y van a otro polígono que parezca menos vigilado, a no ser que quieran algo concreto de alguna de las naves, en cuyo caso sabiendo que hay gitanos vendrán con unos tíos más duros y mejor armados.

En el ciberspacio es parecido. Tienes que poner medidas duras y que además lo parezcan. Si un atacante ve que un equipo de ciberseguridad responde y no sabe que está pasando, simplemente sabe que reacciona, depende de las ganas que tengan de joderte en concreto se irán. Obviamente si con las contraseñas por defecto y los exploit de hace un año burlan la seguridad, pues lo seguirán haciendo.
si la mayoría de los usuarios que tienen router no cambia la pass del wifi ni la del administrador y menos le corta la administración desde internet ...
:palm:
Yo lo tengo claro, si quiero hacer algo bien en informática, sólo contrato a usuarios de Menéame. Los mejores, la élite, son los que saben realmente hacer todo bien.
"Según Amador, estos programas se pueden obtener muchas veces en la misma página del fabricante, que está mal protegida y permite descargar lo que se quiera."

Ehm, what? el fabricante no tiene por qué proteger las descargas del software de acceso... es el cliente el que tiene que proteger su sistema para que aunque tengas el software, desde fuera no puedas entrar.

Por cierto, relacionada en parte, creo yo: www.meneame.net/story/backdoor-hardware-sistemas-criticos-podria-amena
Lo de que los programas se pueden descargar de la web del fabricante... Pues claro.

En Siemens tienes disponible la prueba de TIA Portal, en Schneider la licencia ilimitada de Modicom, rockwell pone rxlogix de prueba, Omron también tiene versiones de prueba de sysmac...
Y esos porque son con los que trabajo, pero imagino que otros fabricantes harán lo mismo.
¿qué inseguridad aporta que los fabricantes proporcionen los entornos de programación? Ninguna.

Otra cosa distinta es que te puedas conectar en la red y los variadores, plcs, hmis... Estén sin proteger y, haciendo uso del entorno, cojas el programa y lo modifiques (modifiques secuencias o fuerces estados o zonas de memoria).
Y como siempre, una gran basura de artículo hablando de ciberseguridad
#77 Es que no es un artículo de ciberseguridad, es un artículo en un medio general para que los responsables de turno se interesen un poco por el tema y le pregunten al becario si tienen ciberseguridad de esa.
comentarios cerrados

menéame