Gestión del Riesgo

Mediante este artículo pretendí generar un primer acercameinto a la gestión del riesgo bien definida tal como figura en ISO 27005, explicando la esencia de dicho proceso y tratando de hacérsela llegar a todo el mundo. Si os es más cómodo al final del post hay un enlace para descargar la revista en la que se publicó donde además podreis encontrar otros artículos muy interesantes. Os dejo con la gestión del riesgo.

INTRODUCCIÓN

Todos manejamos el riesgo cada día en nuestras vidas; no cruzamos los semáforos en rojo, tratamos de ser puntuales en el trabajo, dedicamos tiempo a la gente que tenemos cerca... Esto también es manejar o gestionar el riesgo, pero lo hacemos de forma inconsciente. El término riesgo, no resulta fácilmente definible en primera instancia, sin embargo, abordándolo desde lo cotidiano se puede llegar a una definición sencilla; "el riesgo es la probabilidad de que suceda un acontecimiento adverso ante unas circunstancias determinadas". En los ejemplos anteriores estamos manejando el riesgo de forma intuitiva, conocemos las posibles consecuencias y, con el fin de evitarlas, tomamos precauciones reduciendo (mitigando) dicho riesgo.

Sin embargo, esto que en nuestra vida resulta tan intuitivo y consideramos natural, en la mayor parte de los casos no se ha trasladado a la vida empresarial, por lo que se ha caído en un ambiente de incertidumbre en el que se prefiere estar ciertamente en lo incorrecto que vagamente en lo acertado. No existe pues una base sobre la cual justificar las inversiones de la empresa en tecnologías de información y sus servicios asociados para que éstas sirvan a la consecución de sus objetivos de negocio.

Las empresas, todas y cada una de ellas, desarrollan su actividad en un ambiente sujeto a múltiples amenazas, algunas de ellas comunes y otras dependientes de la actividad de la empresa. De esta forma, todas las empresas que se encuentran en una zona con actividad sísmica están sujetas a la amenaza de un terremoto y sin embargo las amenazas es-pecíficas de un banco tienen poco que ver con las de una empresa textil puesto que sus áreas de negocio son muy disjuntas. Algo parecido sucede con las vulnerabilidades, aunque éstas son inherentes al activo (sobre esto puede leer más aquí). Un papel es vulnerable al agua, un CPD a un incendio o un ordenador portátil a una caída. Sin embargo, los activos que podemos encontrar al igual que las vulnerabilidades variarán y dependerán de la actividad de la organización, si bien hoy día muchos activos son comunes a todas las organizaciones, los PCs son un claro ejemplo.

A buen seguro, sea cual sea la actividad de una organización, su dependencia de la información que maneja la hace vulnerable a su pérdida, indisponibilidad o revelación, lo que le puede provocar desde pequeñas molestias, pasando por multas de diferente cuantía, repercusiones a su imagen y hasta su completa desaparición en casos extremos. No en vano, nos encontramos en la sociedad de la información, y ésta se ha convertido en el activo más importante para el buen desempeño de las actividades en las organizaciones.

Con el objetivo de proteger la información organizacional, han surgido diferentes metodologías y normas que pretenden sentar las bases para la implantación de un Sistema de Gestión de Seguridad de la Información (en adelante SGSI) que permita establecer los procesos necesarios para manejar y gestionar la información de forma segura dentro de la organización. Una de estas normas es la ISO 27001 en la que se establecen un conjunto de cláusulas relacionadas con la gestión de un SGSI y 133 controles que deben ser implementados por una organización con el objetivo de proporcionar seguridad a la información que maneja y de la cual se sustenta.

Vamos a ilustrar el proceso de Gestión del Riesgo con un ejemplo lo más cercano posible a nuestro día a día y exponiendo la esencia de dicho proceso con el objetivo de familiarizarnos con este proceso que es, sin duda alguna, el corazón del SGSI.


En un día soleado decidimos salir a dar un paseo por nuestra bonita ciudad y nos encontramos con que debemos cruzar una calle transitada. A lo largo de nuestras vidas hemos aprendido una serie de controles que mitigan los riesgos subyacentes de tener que cruzar una calle, sin embargo, nuestro cerebro obra de forma automática y nosotros no nos paramos a pensar en las implicaciones que ello realmente tiene y en cómo hemos pasado de cruzar la calle sin mirar por cualquier parte a cruzarla por un paso de peatones, esperando a que el semáforo esté en verde y mirando a ambos lados de la carretera.

¿Qué es lo que hacemos realmente?, ¿Qué proceso seguimos inconscientemente?, ¿Podemos inspirarnos en nuestro comportamiento y extrapolarlo al ámbito empresarial?.
El proceso de Gestión del Riesgo se puede dividir en varias fases mediante las cuales se consigue un objetivo. Estas fases quedan expuestas en los puntos siguientes.

ESTABLECIMIENTO DEL CONTEXTO

Lo primero que tenemos que tener claro es dónde queremos llegar y qué estamos dispuestos a tolerar. Debemos por tanto Establecer el objetivo y fijar los criterios:

• Establecer el objetivo: Nuestro objetivo es cruzar una calle transitada.

• Fijar los criterios: Establecer los criterios bajo los cuales estamos dispuestos a cruzar la calle. Un criterio bastante prudente puede ser: “no estoy dispuesto a cruzar la calle si no se me garantiza razonablemente que mi integridad física no corre peligro”.

Nos ponemos manos a la obra a ver qué acciones podemos llevar a cabo con la intención de conseguir nuestro objetivo.

EVALUACIÓN DEL RIESGO

El proceso de Evaluar el Riesgo consta de dos partes bien diferenciadas. En la primera de ellas se Analiza el Riesgo al que se está sujeto, en nuestro caso, a lo riesgos derivados de cruzar una calle. Mientras que en la segunda se deben priorizar esos riesgos para saber a qué debo prestar más atención y destinar el mayor número de recursos.

Análisis de Riesgos
El análisis de riesgos es el diagnóstico de la situación, ¿a qué me expongo?. Es una fase crítica puesto que si el diagnóstico es equivocado, el tratamiento también lo será. Podemos hacer un símil claro con un caso médico en el que si se nos diagnostica mal y se nos da un tratamiento basado en ese mal diagnóstico, difícilmente nos recuperaremos.

Podemos encontrar aquí dos subfases:

Identificación del riesgo: Identificar las amenazas, las vulnerabilidades, y las posibles consecuencias:

• Amenazas: Aquello que puede causarnos algún daño. ¿Qué puede frustrar nuestro objetivo?. En circunstancias normales, la mayor amenaza la suponen los vehículos, sin embargo, un obstáculo en la calzada puede constituir también una amenaza.

• Vulnerabilidades: ¿Qué cualidades nos hacen vulne-rables?. Somos vulnerables en esta situación por nuestra condición humana, porque nos encontramos en pié y nos disponemos a cruzar la calle. Nuestra condición y entorno nos hace vulnerables al tráfico y a los obstáculos.

• Consecuencias: Vamos a identificar las posibles consecuencias que podemos tener en función de nuestras vulnerabilidades. Los vehículos pueden provocarme un golpe si cruzo sin precaución y un obstáculo en la carretera, una caída.

Estimación del riesgo: Basándonos en las posibles consecuencias y su probabilidad de ocurrencia, debemos estimar cuál es el nivel de riesgo al que estaríamos sometidos. Esto ha de hacerse sin tener en cuenta ninguna de las medidas que se puedan imponer o se hayan impuesto, de lo contario estaríamos calculando lo que se denomina riesgo residual (estaríamos asumiendo que los controles funcionan). Para poder hacer la estimación necesitamos una escala sobre la cual valorar (estimación cualitativa) o un método para calcular ese riesgo (estimación cuantitativa). En este caso vamos a emplear una escala muy sencilla de 3 valores (Bajo, Medio y Alto) y vamos a estimar los riesgos de forma intuitiva por simplicidad. Por tanto, el escenario es que cruzamos la calle para llegar al otro lado de forma inmediata y sin pensar. Podemos determinar que por la condición y el entorno tenemos un riesgo Medio de sufrir una caída en caso de que haya un obstáculo y un riesgo Alto de sufrir un golpe causado por el tráfico.

Valoración de Riesgos
Decidir en base a nuestros criterios, es decir, mantener nuestra integridad, qué riesgos son más importantes. En este caso, dada la simpleza del ejemplo y los niveles bajo los que se clasifican los riesgos tras su estimación, este paso es trivial, pero imaginemos que tuviese varios riesgos en cada nivel de clasificación. En esta fase tendríamos que establecer un orden. Dado que no es el caso, nos vamos a salvaguardar de los riesgos de golpe y caída en el citado orden. Este orden nos da una idea de a qué hay que dedicarse con más cuidado, a qué hay que poner más atención y recursos.

TRATAMIENTO DEL RIESGO

Ver qué opciones tengo para lidiar con los riesgos que me supone cruzar la calle. Las opciones son:

• Reducir o mitigar el riesgo: Aplicar contramedidas o controles que nos permitan minimizar el riesgo hasta que lo considere aceptable. Cruzar la calle con un nivel de riesgo que nos permita asegurar al máximo posible nuestra integridad física.

• Aceptar el riesgo: No aplicar controles, simplemente aceptar los posibles riesgos.

• Evitar el riesgo: No cruzar la calle.

• Transferir el riesgo: Al tratarse de nuestra integridad física, nada puede compensarnos cualquier incidente que podamos sufrir, de forma que ésta no es una opción para nuestro ejemplo. Si bien, en el caso organizacional, tiene sentido contratar un seguro para determinados incidentes de forma que, de suceder, la empresa obtiene una compensación económica.

Consideramos que nuestra opción para ambos riesgos es mitigarlos, tenemos claro que queremos cruzar y ahora debemos decidir qué acciones llevar a cabo. Vamos a dirigirnos hasta un paso de peatones, a comprobar que no hay obstáculos para cruzar al otro lado, a situarnos en la acera a una distancia prudencial de la calzada y en una zona con no mucha gente, a esperar a que el semáforo se ponga en verde y una vez que lo haga, miramos a ambos lados de la calzada y cruzamos con la mayor de las garantías.

ACEPTACIÓN DEL RIESGO

Ya hemos decidido qué debemos hacer y aceptamos el riesgo residual que podamos correr una vez aplicadas todas las acciones descritas. Estamos pues de acuerdo a que esas medidas son suficientes para que nuestra integridad física corra el mínimo riesgo.

CONCLUSIONES

Éste ejemplo, nos ha mostrado cómo se puede analizar algo que para nosotros resulta tan cotidiano como cruzar una calle desde la perspectiva del proceso de Gestión del Riesgo, sin embargo, el entorno organizacional es, si cabe, mucho más complejo, no tenemos que proteger una persona sino todas las que integran la organización, y aunque las personas siempre son lo más importante, desde el punto de vista de su gestión económica, la información que se maneja en la organización y cómo se trata es crucial para su supervivencia y la consecución de sus objetivos.

Trasladando el ejemplo desarrollado a lo largo de este artículo a la información que manejan las organizaciones, obtenemos lo que se conoce como Gestión de Riesgos de Seguridad de la Información.

Se han pasado por alto algunas fases de la gestión del riesgo que pueden verse en ISO 27005 así como tareas muy importantes cuando tratamos de trasladar esto al mundo organizacional como es la asignación de responsabilidades (quién hace qué) con intención de no enmarañar aun más algo que de por sí, incluso en un ejemplo como el que se ha mostrado, resulta difícil.

Lo importante es la esencia. Si no nos paramos a pensar qué es para nosotros lo más importante y evaluamos y gestionamos los posibles riesgos, tenemos una venda en los ojos y en cualquier momento puede ocurrir una contingencia que dé al traste con muchos años de trabajo.

Cada vez más, al igual que en otros campos como la prevención de riesgos laborales, en la seguridad de la información la filosofía pasa de reactiva a preventiva. Ya no basta con tener las copias de seguridad, hay que poner los controles necesarios para que esas copias de seguridad no tengan que utilizarse y en caso de que así sea, para que se garantice que son correctas y que albe-gan los datos necesarios para cubrir las expectativas de recuperación del negocio.

En toda carrera siempre hay un primer paso y en ésta el primero es hacerse la pregunta; ¿Puede mi negocio sobrevivir sin mi información?.

Este artículo apareció primero en CTICRM digital nº2 Abril de 2009 revista de libre difusión.

Salu2

Los Movimientos del mercado

No es ningún misterio que el mercado de la seguridad de la información se mueve tan rápido que si te paras ya no te pones al día, sin embargo, todo aquel que quiera mantenerse en este mundillo tiene que estar al tanto día a día de lo que se está moviendo ahí fuera. En esta entrada quiero destacar un análisis bastante acertado de Joseba Enjuto sobre hacia donde va el mercado de la seguridad de la información. En él se destacan 4 vías de evolución:

• SOC
• CMI
• Seguridad Organizacional (Seguridad lógica, Seguridad física, etc)
  
• Gestión de Identidades, SSO y Gestión de logs

No dudeis en visitar la entrada para disponer de mayor información.

Salu2

Backtrack 3.0

Esta mañana nos levantamos con una gran noticia:

nueva versión de Backtrack!!, ya tenemos la versión 3.0!.

Por introducir a aquellos que no la conozcan, Backtrack es un live-cd de linux donde se hace una recopilación de herramientas de "test de intrusión", para los que no la habeis probado, es vuestro momento ;). Si quereis saber más podeis mirar en esta entrada del blog de Sergio Hernando y para aquellos que querrais probarla... a que esperais!

Salu2!

OSSTMM

Hoy he visto una noticia sobre OSSTMM y me he dicho a mi mismo, esto no lo puedo pasar por alto!. He de reconocer que esto de los test de intrusión es mi lectura preferida en mis ratos libres y que ya conocía OSSTMM y también ISSAF del que os hablaré en otra ocasión puesto que tienden a utilizarse juntos para los test de intrusión según comentaban en las listas de Pen-testing de security-focus.

El Open Source Security Testing Metodology Manual (OSSTMM) es una iniciativa del Institute for Security and Open Methodologies (ISECOM) para crear un metodología estándar que permita evaluar de qué nivel de seguridad dispone la organización evaluada. Para ello dispone de cinco secciones a lo largo de las cuales se evalúa:

• Controles aplicados sobre los datos y la información
• Niveles de concienciación de seguridad del personal
• Niveles de control sobre la ingeniería del software y el fraude
• Seguridad en Sistemas y Redes de Comunicaciones
• Dispositivos inalámbricos
• Dispositivos móviles
• Seguridad de los controles de acceso físico
• Procesos de seguridad
• Ubicaciones físicas
• Perímetros

OSSTMM se centra en los detalles técnicos de qué es lo que se debe comprobar exactamente, qué se debe hacer antes, durante y después de un test de seguridad y cómo medir los resultados. La metodología es actualizada continuamente con nuevos test para las mejores prácticas, leyes y regulaciones.

ISECOM ha establecido toda una línea de certificaciones que acreditan a su poseedor los conocimientos en la aplicación de OSSTMM a un área específica o desde una perspectiva concreat pudiendo encontrar hasta 4 certificaciones:

• Analista de Seguridad
• Experto en Seguridad
• Tester de Seguridad
• Experto en Seguridad inalámbrica

Y por último y no por ello menos importante, en este mundo de la seguridad hay más de uno que dice ser algo que no es, de manera que aquí puedes verificar si quien te ha dado la tarjeta diciendo tener alguno de éstos certificados realmente lo tiene o te está metiendo un bulo.

Un saludo a tod@s

Sensores en los Sistemas de Alarma

Es curioso que de la forma que menos te lo esperas te llega la inspiración para un post. Estando ayer en unas instalaciones me percaté de que había un sensor volumétrico en las dependencias en las que me encontraba. No puedo evitarlo, cuando llego a cualquier parte la evalúo desde el punto de vista de la seguridad de la información, ya sea la oficina de mi amigo, la casa de mi tia o el Ayuntamiento de mi pueblo. Miro si los extintores están en regla, con la revisión pasada, si hay detectores de humo, sistema de alarma, dónde se encuentran los sensores volumétricos, si hay post-it en cualquier parte, la ubicación de los servidores, si se puede realizar shoulder surfing desde una dependencia a otra porque exista un cristal o porque haya línea de visión directa, y así me podría pasar un buen rato.

Si algo tenemos en común la gente que he conocido y yo mismo en el mundillo de la seguridad de la información es la curiosidad. Somos gente inquieta que no puede parar de preguntarse cómo funcionan las cosas y como no, yo ayer me pregunté cómo funcionaban los sensores de las alarmas y de qué tipos habría mas allá de los omnipresentes volumétricos que son los más frecuentes, al menos hasta donde yo he podido ver.

Pues bien, tras dar unas cuantas vueltas por la red, en wikipedia viene una somera explicación tras la que me he dispuesto a encontrar más sobre los diferentes tipos de sensores.

El sensor el la parte del sistema de alarma que es capaz de detectar una alteración en las codiciones que se establecen como normales. Cuando esto sucede transmite una señal a un cuadro de mandos central que la procesa y realiza ciertas acciones; ponerse en contacto con la policía, con un centro de vigilancia 24h, activar una alarma sonora, una luz muy potente, etc, etc.

De la referencia Anterior podemos identificar 6 tipos de sensores si bien el último no resulta de especial interés para este post puesto que no se refiere a sensores físicos o ambientales:

• Sensores Magnéticos
• Sensores Inerciales o Sísmicos
• Sensores de Movimiento
• Sensores de Rotura de cristales
• Sensores Termovelocimétricos
• Detectores de Personas Caídas

Sensores Magnéticos
Este tipo de sensores está destinado a monitorizar la situación en la que se encuentran elementos deslizantes como puertas y ventanas, normalmente constan de un módulo de mayor tamaño que es el encargado de monitorizar la posición del imán que se encuentra en la puerta o ventana. La siguiente imagen es la que, al menos yo, tenía en la cabeza y me ha costado encontrar dada la gran variedad y configurabilidad de estos dispositivos.


Sensores Inerciales o Sísmicos
Normalmente se fijan a una ventana o a una puerta y son capaces de detectar cuando alguien está intentando forzarla, al igual que ocurre con los sensores magnéticos este dispositivo permite el movimiento detro de las instalaciones puesto que es un sensor de seguridad perimetral. Se puede ajustar su sensibilidad de forma que no se active ante un simple toque a la puerta o a la ventana.


Sensores de Movimiento
Los sensores de movimiento permiten una segunda línea de defensa tras las defensas perimetrales. Esto supone que si un intruso ha conseguido vurlar la defensa perimetral tendrá que lidar con un detector de movimiento en el interior de la ubicación. Si bien suelen estar en el interior también pueden usarse para detectar movimientos en el exterior lo que puede generar un gran número de falsos positivos por razones obvias. Estos detectores de movimiento pueden ir acompañados de cámaras mediante las cuales se pueden extraer fotografías o vídeos en el momento de la activación del sensor. Detectan cambios de luz.




Sensores de Rotura de cristales
Estos sensores permiten enviar una señal al cuadro principal de alarma antes de que un instruso acceda al edificio si éste trata de hacerlo a través de una ventana rompiendo el cristal de la misma. Los sensores más avanzados permiten detectar la rotura a partir de la vibración producida y el sonido generado al romper el cristal.


Sensores Termovelocimétricos
Estos sensores son sensibles a los cambios de temperatura por lo que se colocan el lugares que puedan suponer un primer conato de incendio como por ejemplo una sala de archivo. Son capaces de detectar humo en un radio de 40 metros y por debajo de los 7 metros de altura. Para conseguir su cometido cuentan con una membrana que es capaz de detectar la expansion del aire provocada por una subida de temperatura.



Como última reflexión me gustaría apuntar que los sensores viven con nosotros cada día, en las puertas deslizantes para detectar la presencia de un biandante propiciando su apertura automática, en los coches para facilitar el aparcamiento o dejando al coche que aparque solo, en tu móvil para detectar movimientos o cambios de posición, en el aire acondicionado y la calefacción, mira a tu alrededor y te faltará poco menos que decir aquello de "en ocasiones veo sensores"...

Para los que deseeis conocer más, este puede ser un buen lugar.

Un saludo a tod@s.

La AEPD se pone las botas

La Agencia Española de Protección de Datos incrementa el número de denuncias y el montante recabado por las sanciones, datos que se desprenden de la publicación de su memoria 2008.

Algunos de los principales hechos que se desprenden del citado documento son los siguientes:

• Incremento de las actuaciones inspectoras previas a la iniciación de procedimientos sancionadores se de un 45,4%.
• Los sectores de telecomunicaciones, entidades financieras y videovigilancia son los que han sufrido más inspecciones suponiendo, en conjunto, el 50,9% de todas las realizadas."
• "Las sanciones a las Administraciones públicas crecieron un 19,7% en su conjunto.
• 22,6 millones de euros en sanciones que suponen un incremento del 15% con respecto a las de 2007

Aquí teneis algunas conclusiones más pero esto pone los pelos de punta a cualquiera...

Google Chrome

Bueno, bueno bueno, ya estamos de vuelta de vacaciones, espero que no se me haya perdido nadie y que todos lo hayais pasado de... vamos, todo lo mejor posible.

Mientras trabajo en un post acerca de sensores en dispositivos de alarma os dejo una referencia muy pero que muy interesante a un post de Security Art Work donde podeis leer las virtudes y problemas desde el punto de vista de la privacidad que tiene el uso del nuevo navegador de Google; Chrome. No os alarmeis porque como vereis, todo tiene solución :).

Éramos pocos... y Google parió a Chrome.

Salu2.

ubicación físisca de los equipos

Estos días pasados leí un post de Javier Cao acerca de la ubicación del CPD en una empresa según el estándar ANSI/TIA-942 en el cual se aborda dicha problemática desde 4 puntos de vista; arquitectónico, eléctrico, de comunicaciones y de seguridad y en el que se establecen cuatro niveles (denominados TIER) en base al porcentaje de disponibilidad anual de dicho CPD.

Meditando sobre algunas de las consideraciones que en dicho estándar se hacen y sobre algunas de las situaciones que he vivido como auditor, tengo la sensación que la realidad en la gran mayoría de las empresas pasa simplemente por plantearse que una mala situación de sus sistemas de información representa un problema de seguridad. He visto servidores en lugares tan poco aconsejables como un armario empotrado semicerrado y situados encima de una leja de madera. Que el armario estuviese semicerrado no era por la ventilación (la poca que pudiera tener de esa forma) sino porque junto al servidor se encontraba allí dentro un router enracable encima de otra leja y los cables de red salían del armario por la puerta. Por si todo esto fuera poco, allí también estaban como no, las respectivas regletas de corriente y un monitor para poder administrar el servidor desde el mismo estante.

La norma ISO 27001 recoge un control sobre la ubicación de los sistemas de información y hace mención a que éstos deben ubicarse físicamente de forma que se resguarden de posibles incidentes de carácter ambiental, tales como incendios o inundaciones y donde se minimicen los riesgos de acceso no autorizado. Es por ello que me gustaría dar algunas directrices sobre en qué condiciones deben encontrarse los servidores de una organización en cuanto a ubicación dentro de las instalaciones y condiciones ambientales:

1. Los servidores no deben estar directamente sobre el suelo.
2. No deben ubicarse sobre material fácilmente inflamable, como por ejemplo lejas de madera.
   
3. No deben encontrarse ubicados físicamente en un lugar de tránsito de personas.
4. Deben encontrarse protegidos por un sistema que impida su manipulación a personal no autorizado; armarios bajo llave o, en caso de ser posible y/0 necesario, habitaciones dedicadas.
5. Los cables de comunicaciones y alimentación no deben pasar o cruzar por lugares con tránsito de personas.
6. Los Servidores deben estar ubicados en un lugar con la debida refrigeración y ventilación de forma que se mantengan entre los márgenes especificados por el fabricante.

Un aspecto sumamente importante a este respecto es la monitorización de la temperatura a la que se encuentra el ordenador. Hemos visto No Conformidades de Auditores de Certificación por unas condiciones ambientales no del todo adecuadas (equipos en un rincón y con poca ventilación) que podrían haberse evitado con una monitorización de la temperatura de dichos servidores de forma que se introduce un control compensatorio. "No tengo presupuesto para más ahora mismo pero estoy monitorizándolo y me aseguro de que se mantenga entre los límites especificados por el fabricante".

e-crime

Durante años, el modelo de ataque y la motivación que les llevó a realizarlos ha cambiado ostensiblemente pasando una época en la que los ataques se realizaban por personas aisladas para las que la principal cuestión de fondo era su superación personal y la adquisición de conocimientos técnicos hasta llegar a un modelo de crimen organizado en el que las organizaciones de e-crime tienen roles claramente diferenciados y siguen un propósito claramente económico y/o político.

En un reciente estudio de S21SEC podemos ver en detalle las fases por las que ha pasado lo que es a día de hoy la nueva mafia del mundo sin fronteras.

De este estudio me gustaría resaltar algunos puntos que nos dan una idea de hacia donde se dirije el crimen electrónico organizado:

1. "Las amenzas geopolíticas han sido durante 2008 una preocupación creciente por parte e todos los países debido al incremento de la tensión y actividades militares y políticas en Internet (cyberwarfare)"
2. "El volumen de spam en 2008 se ha reducido drásticamente"
3. 5 botnets aglutinan más del 70% del envío de SPAM en el mundo
4. "Los cibercriminales tienen foros en Internet dedicados especialmente a la compra/venta de datos robados, como números de tarjetas de crédito y otros elementos relacionados con el fraude"
5. "En la actualidad, el objetivo principal de la ciberdelincuencia es el dinero"
6. "Se prevee un importante incremento de fraude on-line para 2009"
7. "Continua profesionalización del cibercrimen con la imparable irrupción de bandas organizadas"
8. Es de esperar que el cibercrimen se oriente hacia el robo de datos corporativos
9. "Es muy probable que se creen nuevas familias de troyanos cuyo objetivo será atacar a empleados de sectores muy concretos (banca, sanidad, financiero)"

Este estudio se centra claramente en el SPAM pero en la fuente de la cual se han extraido algunos de los datos podemos encontrar información detallada sobre virus, en la que como no, tenemos a nuestro amigo conficker reinando de forma anárquica sobre todos, y estadísticas sobre phishing, de donde podemos resaltar que, a dia de hoy, Europa es con diferencia la principal fuente de emails de estas características.


Para aquellos que les pique la curiosidad sobre el phishing aquí teneis un artículo que escribí hace unos meses sobre este problema de escala mundial.

También teneis la posibilidad de ver más conclusiones de este informe aquí.