Desafíos y tendencias de Ciberseguridad en el

mundo “hyperconectado”
May 19, 2017
NEC Latin America / RCoC
 AGENDA
1. Breve introducción – NEC
2. Esfuerzos de NEC en Ciberseguridad
3. Algunas tendencias en Seguridad
4. Retos y desafíos en Ciberseguridad
5. Q&A
Breve introducción - NEC
Día Mundial de las Telecomunicaciones y de
la Sociedad de la Información

TELEEXPO – Feria de tecnología e innovación en

telecomunicaciones
NEC - Overview

5 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Esfuerzos de NEC en Ciberseguridad
Día Mundial de las Telecomunicaciones y de
la Sociedad de la Información

TELEEXPO – Feria de tecnología e innovación en

telecomunicaciones
Esfuerzos de NEC en Ciberseguridad

Managing of own global network

+180,000 devices
7 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
Esfuerzos de NEC en Ciberseguridad
 24/7 Incidents response  MSS of Gateway (FW/NIPS)
 Cyber Security Review  MSS of APT (Email)
 Vulnerability Assessment  MSS of APT (Web)
 Penetration Testing  MSS of APT (Server)
 Private SOC Consultancy, Design,  MSS of Outbound Web Protection
Build  Secure Mobile Communications as a
 Cyber Threat Intelligence service
 Digital Forensic services  Cyber Range Training

8 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Algunas tendencias en Seguridad
Día Mundial de las Telecomunicaciones y de
la Sociedad de la Información

TELEEXPO – Feria de tecnología e innovación en

telecomunicaciones
Seguridad Pública/Digital en números

10 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Ciber Tendencias Hoy…

The threat is accelerating:

Attacks are becoming quicker and more serious, with less time to react

Internet of Things is exacerbating the problem:

More devices, more loopholes, more headache

Things are getting personal:

Customers are getting hit, and more C-levels are being fired

Investment in people is still (relatively) low:

More companies still prefer to spend on systems, but not people

Nobody is hack-proof:
Companies should expect to get hacked. Key is to improve response

11 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Breve Introducción – Realidades (2014)
Nobody is hack-proof:
Companies should expect to get hacked. Key is to improve response

Septiembre 2014 Agosto 2014 Noviembre 2014

56 millones de registros Información de 76 100 terabytes de

de tarjetas de crédito. millones de información robada
40 millones invertidos cuentas fue robada 200 USD millones
en controlar la fuga de en perdidas
información

12 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Breve Introducción – Realidades (2015)
Nobody is hack-proof:
Companies should expect to get hacked. Key is to improve response

Junio 2015 Octubre 2015

Septiembre 2015 Octubre 2015
1,4 millones de autos Robo de información de
vulnerables a control Robo de información de Cuenta de correo más de 4 millones de
remoto del motor, 21,5 millones de electrónico del director sus clientes.
transmisión, frenos, empleados de la CIA, comprometida
entre otros. Robo de huellas por un adolecente
dactilares de 5,6 menor de 20 años.
millones de empleados.

13 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Breve Introducción – Realidades (2016)
Anonymous performed
tax and benefits DDoS attacks against
names and contact information from nearly Brazilian
information of 29,000 640,000 companies, 7,9 millions of Government
Department of Homeland including the US National customer’s personal Websites during Rio NSA hacking tools
Security and FBI employees Bank were leaked information leaked Olympics stolen

February 2016 May 2016 June 2016 August 2016 September 2016

DHS FBI Payroll company

…2015… …2017…

Japan ATMs

February 2016 May 2016 June 2016 September 2016 October 2016

$81 million stolen from just in 3 hours, criminals
Bangladesh Bank stole US $12.7 Million from
around 1,400 ATMs placed
in small convenience stores
across Japan.
breach of private email 200 million records of Massive DDoS attack
accounts of more than 100 Yahoo user credentials (IoT) against one of the
party officials and groups stolen largest DNS providers
of USA

14 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Breve Introducción – Realidades (2016) - LATAM
Serious computer Official twitter accounts of Anonymous performed Leak of 11.5 million files
24 Mexican attack to electronic the Uruguay vice DDoS attacks against including emails, invoices,
government web sites vote servers and president and a Brazilian Government bank records, 214.000
were hacked by systems recognized journalist were Websites during Rio offshore entities…
Anonymous hacked Olympics 2,6 terabytes

Mexico Argentina Uruguay Brazil Panama

…2015… …2017…

Japan ATMs

Peru Chile Ecuador Colombia

Official web site of the Official web site of the Anonymous attacked the Official web site of
Peruvian government Chilean government were communication systems votation hacked to 4
were hacked hacked of the Presidency days of the election day

15 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Breve Introducción – Realidades (2017)
Febrero 2017 Abril 2017

Nueva revelación de ataque publicación de 10 capítulos

Millones de credenciales de de la nueva temporada
cuentas robadas
Mayo 2017

Ransomware – WannaCryptor

…2017… …2018…

Marzo 2017

CIA pierde su 'ciber-

arsenal'

16 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Retos y desafíos en Ciberseguridad
Semana de Ciberseguridad desde la Mitad del Mundo

Cuarto Taller Práctico de Aprendizaje aplicado para

CERTs – Región América
 Conocimiento abierto y gratuito

18 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Conocimiento abierto y gratuito

312.000 / 24.700.000 /
0,44 seg 0,41 seg

19 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Conocimiento abierto y gratuito

Escuela de Hacker de ANONYMOUS

Chat en la Deep WEB
20 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
Conocimiento abierto y gratuito

ISO 10015 – directrices para la formación (clausula

4.2 y 4.3)

Plan de formación:
Necesidades
¿Quién?
¿Qué?
¿Cómo?
¿Cuando?
¿Donde?
¿Cuanto?

21 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Ransomware

22 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Internet of Things

23 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Internet of Things

5800 – resultados
Servidores apaches en
Lima

24 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Internet of Things

Establezca buenas prácticas de seguridad en sus

procesos de adquisición / compras
¿Política de IoT?

Consulte el estatus de la versión a

comprar ¡Be careful!
Los dispositivos
Incluya los dispositivos IoT jugaran un gran rol
de IoT en los
en los de
procesos de administración ataques
cambios tipo DDoS futuros
y parcheo de la organización

Exija seguridad en el soporte y

mantenimiento

25 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Ciberespionaje

26 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ciber-Espionaje

Fuente: http://www.elcomercio.com/actualidad/servicios-hacker-espionaje-oferta-restriccion.html

Fuente: http://www.ecuavisa.com/articulo/noticias/actualidad/113540-senain-
niega-tener-relacion-empresa-hacking-team

27 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ciber-Espionaje

Fuente: http://www.cbc.ca/news/technology/laptop-camera-security-tape-1.3649678

28 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ciber-Espionaje
Capacitación y Sensibilización permanente
NIST 800-50 Building an Information Technology Security Awareness and
Training Program

Transferencia de Cambio de hábitos

conocimiento

Implemente soluciones tipo MDM, MAM, MIM, entre otros

29 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
 Medicina Híper-Conectada

30 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío – Ciberataques a la Banca
Entre el 2015 y 2016
FRAUDES se incrementaron un 22%
Fuente: European Cybercrime Centre (EC3)
Malware

Dyre
Carbank
Timba

95% Corkon

Insiders

Phishing
Extorción
Aún usan proveedores

Windows XP /
Windows XP Embedded Fuente: European Cybercrime Centre (EC3) & Trendmicro estudio

31 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío – Ciberataques a la Banca

Kit de clonación

Clonación de 15 tarjetas X seg

Se consigue desde 800 USD
8cm de distancia
lee 1024 bytes por segundo

32 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío – Ciberataques a la Banca

En la medida que se pueda, actualizar los SO o al menos

parcharlos/vacunarlos

Ejecutar pruebas de Ethical Hacking periódicas

Auditar a los proveedores encargados del mantenimiento del sistema y

a los encargados del abastecimiento y recolección de dinero

Establecer buenas practicas de seguridad al interior de la organización,

especialmente en las áreas involucradas en todo el ciclo de gestión de
un ATM (Desarrollo, pruebas, producción)

33 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Medicina Híper-Conectada

34 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío – Medicina “Hyperconectada”

Hoy en día, las brechas de información

causan pérdidas de hasta 5.6 mil millones
de dólares por año

 Conectados a la red (local/Internet)

 Vulnerabilidades antiguas y conocidas
 Vulnerabilidades en el diseño/arquitectura
 Uso de contraseñas débiles
US - Hollywood Presbyterian Medical Center $17,000 USD Fuente: http://www.elcomercio.com/guaifai/ciberataques-hospitales-informacion-seguridad-datospersonales.html

Ca - Ottawa Hospital No hubo necesidad

35 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
Desafío – Medicina “Hyperconectada”

Establezca buenas prácticas de seguridad de la información

/ Ciberseguridad

NIST
ISO 27001 Cybersecurity COBIT 5
Framework

NIST SP-800
ISO 27032
series

36 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 “business email crime”

37 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío – Correos electrónicos como objetivo (CEOs/CFOs)

“business email crime”

Ataques dirigidos

12.000 victimas

Costos por mas de

2 Billones de dólares

Fuente: http://economictimes.indiatimes.com/tech/internet/ceo-email-fraud-becoming-rampant-with-hackers-targeting-high-
officials/articleshow/51918642.cms

38 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ciber-Espionaje
Capacitación y Sensibilización permanente
NIST 800-50 Building an Information Technology Security Awareness and
Training Program

Transferencia de Cambio de hábitos

conocimiento

Implemente soluciones tipo Secure Email Gateway

39 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
 Ransomware

40 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ransomeware
Cifra todos
los archivo

Pago en
bitcoins
Spotify
iTunes
Netflix
AWS

CIFRAS

50 nuevas Variantes
por mes en el FH - 2016

76% - SPAM
Se incremento un 500% con respecto al 2015 16% - AppStore/SW
8% - SitiosWeb
Aprox. 800 MILLONES DE DOLARES - 2016 Fuente: Ransomware by number report –
www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/by-the-
numbers-ransomware-rising

41 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ransomeware
Objetivos más comunes:

SMARTPHONE
LAPTOPS DESKTOPS SMART TVs
TABLETS
Nueva
tendencia
De uso personal
De uso corporativo
42 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información
Desafío – Ransomeware - WannaCryp

Explotación de una
Esta variante sacó
vulnerabilidad conocida
provecho de una de las
SMB – CVE-2017-0145
herramientas de hacking
robadas a la NSA
En el 2016 el 44% de las
vulnerabilidades conocidas
El país más afectado en
causaron las brechas de
LATAM a hoy es México
seguridad

43 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Desafío - Ransomeware

¿Cómo te puedes ¿Cómo EVITAR ser

INFECTAR? infectado?

haciendo clic en: Hacer un Backup periódico de la

información
Sitios web comprometidos Mantener el SO/App/antivirus
Aplicaciones (apps) actualizados
comprometidas No hacer clic en
Correos electrónicos tipo spam enlaces/links/urls/ejecutables
Código malicioso – MALWARE desconocidos

44 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

Resumen
Día Mundial de las Telecomunicaciones y de
la Sociedad de la Información

TELEEXPO – Feria de tecnología e innovación en

telecomunicaciones
Resumen

46 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información

 Luis Mauricio Vergara Jiménez
Arquitecto de Soluciones de Ciberseguridad
Centro de Competencia Regional - LATAM
lvergara@nec.com.co / @MaoVergara
47 © NEC Corporation 2017 Día Mundial de las Telecomunicaciones y la Sociedad de la información