Subscribe
Share
Share
Embed
Un@ invitad@ espectacular, una pregunta y una conversación llevada hasta el final para matar la pregunta. Recorremos el globo para encontrar las mentes más brillantes en temas como innovación, emprendimiento, liderazgo, growth, ciberseguridad, agilidad, experiencia del cliente y muchoooo más. Con cada invitad@ hacemos una inmersión profunda en una pregunta y luego la editamos a menos de 18 minutos de perfección. Si disfrutas este podcast y te gustaría escuchar más... por favor déjame saber qué invitad@s, qué temas, y qué preguntas te gustaría que matemos dejando un mensaje aquí en Spotify o en cualquiera de mis redes sociales @robbiejfrye
Hello, hello, hello y bienvenidos a
Matamos Preguntas.
Un invitado o invitada increíble, una
pregunta y una conversación llevada hasta
el final para responder la pregunta.
Sin decir más, aquí tienes tu host, el
gringo loco Robbie J.
Fry.
Hola, hola, hola, ¿cómo estás?
Bienvenidos a Matamos Preguntas en este
especial de ciberseguridad.
Mis invitados son Dan Borgoño, senior
security engineer at LATU, Mauricio Gomez,
senior business development specialist at
Fluid Attacks, y Luis Montoya, carente en
ciberseguridad y seguridad de la
información at Ban Colombia.
Este parque es un poco diferente.
Estos son tres fragmentos tomados de tres
breves conversaciones sobre seguridad con
ese crack.
Pero antes de arrancar, ayúdame a
multiplicar el impacto de Matamos
Preguntas regalando una reseña en Spotify
o en tu player favorito.
Y cuenta al mundo que AMAS MATAMOS
PREGUNTA.
Y lo más importante, quiero celebrar las
empresas que hacen posible este podcast.
Voy a decirte una palabra y quiero que
pienses en las primeras palabras que te
vienen a la mente al escucharla.
Y la palabra es...
Abogados.
Estoy dispuesto a apostar que las palabras
que imaginas no son tan positivas.
Sin embargo, son súper súper importantes y
especialmente si tienes una startup.
¿Por qué?
Escuche bien.
28% de todas las startups fracasan debido
a algo legal.
Uff, esto también me sorprendió.
Por eso tuve que saber más cuando escuche
acerca de Filo, abogados que sí sí saben
de startups.
Cualquier duda que tienes sobre el mundo
legal y startups, Filo Legal tiene la
respuesta.
Y si estás en modo fundraising o
estructuración para rondas de venture
capital,
tienes que usar su servicio FiloScale.
Es decir, en cualquier momento de un
startup, Filo es el abogado que sí vas a
amar.
Nosotros usamos Filo y los amamos.
Filo es una parada obligada para cualquier
cosa legal con tu startup.
Corta la corbata y visita a las personas
que hacen el mundo legal más humano
haciendo click en el link Filo.co
FiloScale.co para temas de fundraising.
Filo, baby!
Y con ese dicho, matemos preguntas.
Dan, hay tantas aplicaciones de ahorro que
es abrumador y todas, o no todas, pero en
general, quieren que te registres o tienes
que ingresar con una contraseña o regalas
tu correo, etcétera.
Siento que hay muchas, o yo sé que hay
muchas, que tienen muy poca protección de
ciberseguridad, es que no hay doble
verificación, puedes ingresar sin
problemas, etcétera.
¿Cómo puedes saber si
en un riesgo o no.
Uno puede confiar o no en la empresa a
veces con cosas muy simples.
Si uno se da cuenta de que por ejemplo uno
está entrando en una cuenta pero no
necesita una contraseña y nunca se la
requirió, o por ejemplo el servicio no le
pide doble factor de indicación,
usualmente uno puede empezar a sospechar
de que tan segura es la aplicación con la
que uno está interactuando porque, por
ejemplo, si ves tus datos
y nunca en ningún momento tuviste que
meter alguna credencial o entrar por un
mail o algo por el estilo que te de una
capa de confianza uno usualmente podría
sospechar de que te asegura los datos como
si yo pudiera acceder sin problemas a mis
datos que le impide al atacante poder
acceder a los mismos datos y de repente
que haría un atacante con esos datos míos
entonces son cuestiones que a veces nos
tenemos que empezar a plantear y que
justamente con cuestiones muy simples
Checks muy simples, uno se puede dar
cuenta si realmente uno está metiendo los
datos en una aplicación que puede ser
peligrosa o que no tiene los suficientes
estándares de seguridad y cuando uno puede
realmente confiar en la empresa.
Usualmente si estamos hablando de empresas
grandes o empresas que están con sistemas
bancarios, usualmente ya cumplen con
ciertos estándares, por lo tanto uno puede
confiar tranquilamente.
Por ejemplo, es muy difícil que un día
alguien pueda hackear los datos de
Facebook, usualmente o de Instagram.
Pero solamente es muy difícil hackear la
plataforma, o solamente lo que también va
pasando es que se termina engañando al
usuario para que cliquee o entre en la
plataforma que parece muy igual, pero
efectivamente no es la misma y termina
metiendo sus credenciales en algún lugar
erróneo, por ejemplo.
Y Dan, por favor, ¿algunas recomendaciones
para nosotros como usuarios para
protegernos?
La mejor recomendación es, de nuevo, estas
son recomendaciones muy simples, pero
sirven mucho cuando existen soluciones así
que por ahí son peligrosas.
Con el hecho de tener doble factor de
aplicación y una contraseña bastante
fuerte, eso ya es un buen punto de
entrada.
Pero hay cosas que sirven mucho y que por
ahí a las personas no le da mucho
importancia que es activar lo que es
notificaciones de eventos.
Muchas aplicaciones tienen, por ejemplo,
Instagram, o las billeteras virtuales, o
los sistemas de home banking, tienen lo
que se llaman notificaciones de eventos.
Cuando uno hace una compra sin
cambio de la tarjeta o pido una
actualización de la tarjeta, usualmente me
llega de haber por algún otro canal de
comunicación, ya sea un SMS o un mail, me
llega a mi una notificación de cuál es la
transacción que yo hice.
Entonces, de esta forma, si alguien me
hackeó a mi y me robó el dato de tarjeta
de crédito, lo voy a identificar enseguida
y lo puedo denunciar enseguida porque por
más que Hacker haya podido vulnerar y
atacar una aplicación que es vulnerable,
utilizar mucho mi datos porque yo
enseguida lo voy a poder identificar.
Eso es una muy buena medida de seguridad.
Y lo otro es siempre no utilizar cosas
raras, no utilicen aplicaciones, teléfonos
routeados, no interen aplicaciones que
sean de Play Store.
Siempre que se muevan en ambientes, traten
de no conectarse a redes WiFi abiertas,
utilicen VPN.
Ese tipo de mecanismos de seguridad, si
bien son muy simples, son muy genéricos.
si ir en un montón de lugares, si ir en un
montón de ocasiones, de nuevo, con las
mínimas medidas de seguridad que
recomiendan en todos lados, creo que uno
puede estarlo suficientemente seguro.
¿Cuántos quieres de Ransomware,
específicamente, en cómo funciona?
En un lenguaje muy sencillo.
En realidad, un ransomware es un programa
que tiene unas facultades.
Y esas facultades te mandan un correo, te
mandan un link, te contactan con un
mensaje de texto, de alguna manera te
contactan.
buscan alguna manera para entrar a tu
tecnología, lo que llamaríamos un problema
de seguridad, logran entrar y lo que hace
un RAM server es secuestrar tu información
para ellos poder monetizar.
Está fuera y trata de entrar a tu
portátil, trata de entrar a tus
servidores, trata de entrar al cloud,
trata de entrar a alguna parte.
¿Por qué trata de entrar?
Porque hay problemas de seguridad.
¿Cómo lo hackean a uno, Robby?
De tres maneras.
¿O lo hackean por la aplicación?
como te lo dije al principio, tratando de
inyectar código a través de los campos de
entrada de información o te hackean vía de
la infraestructura, es decir, atacan los
puertos y encuentran un puerto abierto que
no era y por ahí pueden entrar, conociendo
el código fuente.
Si tú tienes un código fuente y ese código
fuente tiene las credenciales quemadas, es
decir, nombre de usuario Mauricio Gómez,
contraseña, contraseña 321.
¿De acuerdo?
Si tú dentro del código fuerte alguien lo
lee y la contraseña está ahí, pues tú la
coges, nombre de usuario, contraseña, la
pones y voilà, y logras entrar.
Y la última es el ser humano.
Tú le mandas un link, señor, su paquete,
yo soy de FedEx, su paquete ha llegado,
por favor haga clic aquí para la encuesta
de satisfacción.
O por WhatsApp, de repente alguien que no
conoces te manda, mira, por favor, únete a
este grupo que estamos analizando
inversiones en no sé qué parque.
Y tú haces clic inocentemente.
te disparan un chisme, un buen chisme
dentro de una organización todos queremos
hacerlo y tu te inventas una historia y la
gente va a dar clic en él, no se, mira
quieres participar en el bono, que pasa
cuando haces clic tu estas autorizando a
ejecutar algo, si?
dependiendo como tengas protegido o no tu
sistema, celular o portátil o servidor vas
a dar acceso o no a que se instale algo,
mejor dicho has de cuenta un crimen
organizado, el año antes
le pegaron al Colónial Pipeline y dejaron
la costa este sin combustible, porque
hicieron un ransomware.
Le pegaron y quedamos sin nada.
Impactó los sistemas de control industrial
y no había bombeo.
Si no había bombeo, pues los delictos no
funcionaban y no había combustible.
Lo que sé es que le pegaron al Colónial
Pipeline, dejó de funcionar.
De repente tú empezás acá.
Yo vivo en North Carolina.
De repente nadie podía tanquear.
En las noticias.
un ransomware vino al FBI, vino al uno y
viene al otro.
No sabemos si pagaron, si no pagaron.
Tú sabes las políticas del gobierno
americano que no se someten a extorsiones
o cosas de ese estilo.
Y de repente empezó otra vez a funcionar.
No sabemos cómo se arregló, pero lo cierto
es que un ransomware impactó y quitó esto.
Y hay más historias de ransomware, hay más
de ransomware, pero ransomware no es
magia.
Ransomware es una aplicación construida
con un propósito de encontrar de...
mirar qué vulnerabilidades hay en tus
servicios, en tu tecnología, para entrar
en él y poder secuestrarte de la
información y buscar monetizar.
Eso es un ransomware.
Si tu tecnología no está bien hecha, ese
ransomware va a poder entrar.
Construye tu tecnología para que resista a
ese tipo de tecnología.
Lucho, ¿qué son smishing, dishing y
phishing?
Smishing, y yo creo que queríamos abordar
todos, hombre, Robby.
Smishing...
son esos mensajes de texto que llegan a
nuestros celulares, sí, con promociones,
que dicen, mira, el día de hoy, accediendo
a este link o esta URL que tienen el
mensaje, tienes un descuento de XTema, o
te ganaste una herencia e ingresa aquí
para diligenciar tal tema, o intentan
suplantar mensajes originales de negocios,
de compañía de todo nivel, no
necesariamente son exclusivamente
financieras, esto aplica para retail y
cualquier otro tipo de empresas donde te
dicen,
Mira, por ser un cliente presidencial,
accede a este link para poder recibir un
bono de 50% descuento, de 70% descuento.
Y así, con conceptos atractivos, empieza a
generar ese interés por las personas y
empezamos a entrar a esas URLs que son
URLs que no son reales, son ficticias y
empezamos a entregar nuestros datos,
nuestra información.
Y ahí es donde empezamos a perder y a caer
y a generarse el impacto que al final es
una pérdida monetaria o una pérdida de
información personal que puede inclusive
ser sensible.
Ahora, el mismo comportamiento ocurre en
los correos electrónicos.
Y el comportamiento es un correo
electrónico ficticio.
Tratan de suplantar, cierto, una entidad
tratando de maldad, promociones, cierto.
Y dependiendo de la época y el contexto lo
hacen más seguido.
Entonces, si tu organización o su contexto
de vida, perdón, está, porque van a llegar
los pagos tributarios, entonces van a
empezar a hacer correos electrónicos
ficticios y crean páginas web ficticias
para que el correo electrónico sea el
enganche para poder llegar a la página
ficticia.
Y te empiezan a hacer preguntas de
información personal, información
financiera, y tú, digámoslo así,
inconscientemente entregas tu información
y al final...
se genera ese gancho malicioso de fuga de
información financiera personal en un
correo electrónico.
Entonces, una cosa es phishing, correo
electrónico, otra cosa es smishing, que es
un mensaje de texto, y el otro es el
vision, que casi nunca suena, pero el
vision es una llamada telefónica.
Al menos yo he recibido muchas llamadas
telefónicas diciendo que por mi buen
comportamiento o...
por ser un buen cliente tengo derecho a un
nuevo producto y que solamente tengo que
diligenciar esto o entregar esta
información.
Eso es el concepto de vision, es una
llamada telefónica.
Lucho, mira, yo entiendo que somos el
eslabón más débil, sin duda, el humano.
¿Qué necesitamos comprender y cómo hacemos
que grandes grupos entienden sin hacerlo
demasiado complicado?
Es obvio a veces, pero también no es
obvio.
Entonces...
qué hábitos o qué tenemos que hacer para
entendemos no la tecnología, pero cómo
protegernos como usuarios.
El hábito, el hábito, creo que la palabra
es el hábito, el hábito te va a ayudar a
que eso que hoy no entiendes, naturalmente
en el tiempo, va a ser algo comprensible,
entendible.
Y soy los de los partidarios que entre
menos tecnicismo utilicemos, vas a
permitir que las personas se acerquen más
a las definiciones de ciberseguridad.
Pero te vas a dar cuenta, si uno coge y
hace un mapeo de la seguridad física, que
es lo que más conoce la gente, a la
seguridad digital va a saber que es muy
similar.
Cierto?
Nadie puede entrar físicamente a un
edificio porque sí, necesita autenticarse.
Y la persona que se va a autenticar tiene
que saber si tú eres tú, no?
Entonces presentas tu ID o tu pasaporte o
algo y él chequea y te mira y mira y mira
la veracidad del documento.
En el mundo digital es similar.
Cada uno de los conceptos es muy similar,
es muy similar.
O por ejemplo, en tu casa.
para los que viven en unidad cerrada,
existe seguridad en portería.
Eso quiere decir entonces que mi puerta de
la casa puede estar abierta o le tengo que
colocar seguridad en la puerta de mi casa.
Pues se la pongo porque es seguridad por
capas.
Inclusive puedo tener la puerta con
diferentes configuraciones de seguridad,
pero fuera de eso si tú logras entrar,
pregunta, las joyas de tu casa están
tiradas en todas partes?
Pues no, van a estar recopiladas en una
parte y probablemente guardadas para que
nadie las vea.
son seguridad coro capas.
Esto es un ejemplo de la seguridad física
que funciona igual.
No es diferente, sino que, repito, el
contexto digital, porque no es lo que
normalmente nos enseñan, no quiere decir
que tengan modelos diferentes.
Y seguramente del apartamento habrán unos
que digan, bueno, si yo vivo en un primer
piso, el riesgo es más complejo, entonces
tengo que colocar seguridad en las
ventanas.
Pero el que vive en un piso 18 dice,
bueno, no me hace sentido.
invertir en esa seguridad porque la
materialización es menor, pero si tengo
que colocar otras cosas, qué sé yo.
Cierto, entonces mira que haciendo un
simil sencillo de la seguridad física
también funciona por capas.
Nadie se queda solamente con la seguridad
de la portería por muy buena que sea, ¿no?
Y con eso estoy haciendo el simil de no
nadie se queda solamente con la seguridad
del dispositivo por muy bueno que sea.
No, yo coloco seguridad por capas porque
el día que volveré en la portería de mi
casa estoy tranquilo que al menos hay un
riesgo menor.
en mi casa, no sé los demás apartamentos,
al menos en el mío, de que no entren.
Ese es el concepto, pero nada de eso es
suficiente si la persona no es consciente
de que él tiene una función y que él debe
ser parte de este modelo.
No sirve de nada que la portería tenga un
nivel de seguridad fuerte, que la puerta
tenga un nivel de seguridad fuerte, que
las joyas de la corona estén en una parte
fuerte.
Si yo a todos fácilmente le digo, mira...
Si alguien quiere ir a mi casa, la llave
está debajo del tapete que está en la
entrada por si quieres la utilizas.
No existe nada.
Por mucho dinero que hayas invertido, no
existe nada.
El ciberseguridad es lo mismo.
Tú puedes colocar todos los controles y
invertir una suma de dinero importante.
Si por allá un administrador de un
servidor tiene usuario, admin y contraseña
admin, que es una mala práctica.
No sirve de nada.
O peor, tiene en una hoja todas las
contraseñas por si se les olvida.
Entonces aquí está el del servidor 1,
servidor 2, servidor 3.
no hacen nada, no hacemos nada, se cae
todo el modelo.
Por ende, yo tengo un término que digo que
los seres humanos son el primer human
firewall de todo un ecosistema de
seguridad.
Es la primera barrera de seguridad.
No es ni la más ni la menos importante.
Es una capa fundamental de todo el
sistema.
Human firewall, el firewall humano.
Esa persona tiene que estar formada, tiene
que estar capacitada para que nos ayude de
todo el ecosistema.
a un ecosistema más seguro, sin duda
alguna.
Si te gozaste este podcast y te gustaría
escuchar más, ojalá que sí, por favor
déjeme saber qué invitados, qué temas y
qué preguntas te gustaría que matemos.
Déjeme un mensaje aquí, ¿sí?
en Spotify o en cualquiera de mis redes
sociales usando arroba RobiJFry.
Y también, si quieres la versión extendida
de este podcast,
Debes ser un miembro de Quinto y puedes
encontrar todo en Quinto.ai Muchas gracias
por escuchar y siempre puedes ganar más
plata pero no más tiempo Chau chau chauu