KPMG Blogs

open

Entradas del tag: ciberseguridad

¿Qué precio tiene la ciberseguridad en un proceso de M&A?

Por David Höhn
on 21. 03. 2018

Cuando una empresa contempla llevar a cabo una fusión o adquisición (M&A, por sus siglas en inglés) y ha identificado su objetivo o target, llega el momento de revisar los números y llevar a cabo el proceso de due diligence, con el fin de valorar activos, datos financieros, proyecciones, valor de marca, potenciales sinergias, estrategia, amenazas, vulnerabilidades, etc.

Pero hay un aspecto que no siempre se está incluyendo debidamente en este proceso de due diligence y que, sin embargo, es crítico: ¿cómo está la ciberserguridad de esa empresa? ¿Tiene unos sistemas de seguridad robustos y cumple con la normativa vigente? ¿O se trata de un factor al que los administradores no han prestado la debida atención?

La pregunta no es una cuestión baladí. Debería plantearse en cualquier operación corporativa, con independencia del  tamaño o sector. Porque no hay industria ni compañía que sea ajena al proceso de digitalización que vivimos y que, desde el punto de vista empresarial, afecta progresivamente a todas sus funciones y procesos.

La conectividad de las personas, las empresas y las cosas (IoT) conlleva, ineludiblemente, riesgos de ciberseguridad. Desde bases de datos propios y de clientes que hay que proteger, wifis y móviles inteligentes corporativos, cámaras de vigilancia, sensores que captan información, sistemas robóticos, sistemas de control en edificios y plantas industriales, banca online y procesamiento de pagos, sistemas de CRM, logística, procesos, etc. Todo debe estar protegido de unos ciberdelincuentes – el cibercrimen supera ya en volumen a la delincuencia tradicional – cada vez mejor organizados y que buscan lucrarse mediante el robo de datos, credenciales, suplantación de identidades y otro tipo de delitos.

¿Qué ocurre si, por no valorar a tiempo los riesgos de ciberseguridad de una empresa antes de ser adquirida, éstos acaban estallando? Los efectos son de sobra conocidos. Desde multas, cada vez más elevadas, por incumplir con la debida obligación de protección de la información (el reglamento europeo de Protección de Datos, RGPD, contempla multas de hasta el 4% de la facturación), hasta el coste económico que supone la pérdida de servicio y los sistemas de restauración durante ese tiempo. Y, lo más preocupante, el daño reputacional que sufre la organización cuando ese fallo de seguridad queda al descubierto y que, sin duda, llevará consigo una pérdida de negocio y de clientes que, en el peor de los casos, puede llegar al 20-40% de los mismo. A modo de ejemplo, un caso real: fue después de una adquisición, en pleno proceso de fusión, cuando el comprador descubrió una importante brecha de ciberseguridad en la empresa adquirida, que afectaba a los datos personales de más de un millón de usuarios del target.

Si la ciberseguridad es un riesgo estratégico, que puede afectar a la imagen la empresa y a sus resultados financieros y, por tanto, debe figurar en la agenda de los consejos de administración, ¿tiene sentido obviar un proceso de due diligence de Ciberseguridad? Desde nuestro punto de vista, ninguno. Al contrario. La revisión de los procesos, sistemas, controles y gobierno de la seguridad debería ser una práctica habitual, dada la relevancia y dimensión de los riesgos. Como dijo Jason Weinstein, procurador del Departamento de Justicia de Estados Unidos durante quince años, “cuando compras una compañía, estás comprando sus datos y puedes estar comprando también sus problemas de seguridad con los datos”.

Según una encuesta de NYSE Governance Services,  el 85% de los directivos reconoce que una brecha en la ciberseguridad en una compañía target puede tener serias implicaciones en la transacción; un 22% dice que paralizaría la compra y un 52% asegura que rebajaría el precio de la misma. Sin embargo, la realidad es que, a día hoy, la due diligence de Ciberseguridad no está totalmente implantada, y existen cada vez más casos de operaciones de M&A en las que ha habido problemas de ciberseguridad.

¿Qué se debería hacer para evitar llegar a este tipo de situaciones? En KPMG hemos desarrollado una metodología específica de evaluación de los riesgos de ciberseguridad aplicada al proceso de due dligence  que es válida tanto para el comprador como para el vendedor. Esta metodología utiliza herramientas de due dilligence tales como entrevistas y revisión de documentación y análisis de  la situación de la ciberseguridad desde diferentes ópticas: Gobierno, Modelo Operacional, Arquitectura, Detección  y Respuesta.

El punto diferencial está en lo que llamaríamos el ‘levantamiento de la huella digital de la empresa adquirida’. Se trata de una técnica no intrusiva, ya que no se entra en los sistemas internos de la compañía, que nos permite evaluar el grado de información pública o expuesta de la compañía target. Ello unido al know how de nuestros expertos en la materia, nos permite evaluar con exactitud el grado de madurez de los sistemas de control y aportar, mediante datos cuantitativos y cualitativos, las potenciales brechas de seguridad a las que la sociedad se puede enfrentar.

Analizamos no sólo la información disponible en la superficie de Internet (Surface Web) sino también en las profundidades de la web (Deep y Dark Web), donde los hackers bucean con libertad, y permite detectar indicios de riesgos que se están incubando. Es allí donde podemos evaluar si hay o no información confidencial de la compañía target que está siendo comercializada por ciberdelicuentes.

En resumen, no valorar los riesgos de ciberseguridad, no solo deja en el aire cualquier proyección sobre el rendimiento real de la operación de M&A en curso, sino que también deja activadas bombas de relojería que pueden estallar en cualquier momento en el seno de la organización adquiriente. Por todo ello, es recomendable realizar, en su debido momento, una adecuada due diligence de Ciberseguridad.

 

Autores:

Alejandro Rivas-Vásquez, Director de Ciberseguridad de KPMG en España

David Höhn, socio de Deal Advisory, responsable de Transaction Services de KPMG en España

Claves para competir en un mercado disruptivo

Por Hilario Albarracín
on 23. 02. 2018

Cada día las empresas se enfrentan a un mercado dominado por el cambio constante y una mayor incertidumbre producto de las tensiones geopolíticas, nuevas legislaciones y el impacto de las nuevas tecnologías. En una sociedad global hiperconectada, asistimos a la transformación de los hábitos de consumo, de la manera de acceder a la información o relacionarnos. Todo ello, genera un entorno de mayor complejidad para las empresas, pero también de enormes oportunidades.

Hace unos años, el día a día de la empresa española estaba marcado por palabras como crisis o inestabilidad. Hoy la mejora de la situación macroeconómica es un hecho, y se pone de manifiesto, por ejemplo, en el optimismo de los primeros ejecutivos de nuestro país. Según el último informe CEO Outlook que elabora KPMG, 7 de cada 10 directivos españoles confía en que su empresa crecerá a lo largo de este año.

A esta mejoría podemos sumar que el sistema financiero se ha estabilizado y que contamos con unos tipos de interés que siguen en mínimos y que están ayudando también a que las empresas puedan impulsar sus planes de crecimiento e inversión.

España crece por encima de la media europea, sus empresas recuperan el dinamismo y algunos sectores clave como el turismo, tan importante en Andalucía, baten nuevos récords tanto en llegada de turistas como en gasto total.

En este momento histórico de cambio tan rápido y profundo, las oportunidades económicas son grandes, pero también los riesgos. En enero de 2009, una persona bajo el pseudónimo Satoshi Nakamoto pero cuya identidad se desconoce, emitió los primeros bitcoins, que valían céntimos. Este pasado año llegaron a valer cerca de los 17.000 dólares y su impacto ha motivado iniciativas regulatorias importantes en China, Corea, Japón o la Unión Europea. Es un ejemplo de cómo la disrupción elimina barreras: geográficas, sociales o tecnológicas.

Por ello es tan importante poder anticipar tendencias y contar con recursos necesarios para navegar en este entorno y adaptarse a los nuevos retos.

La digitalización de los procesos debe impulsar la transformación necesaria de las compañías. Se prevé que en 2020 haya en el mundo más de 20.000 millones de dispositivos conectados que contendrán ingentes cantidades de datos relevantes personales o financieros sobre las empresas y sus usuarios. Datos que será necesario analizar y poner en valor para ser competitivos. Pero también tendremos que protegerlos: la ciberseguridad será cada vez más relevante en el futuro.

Las empresas deben asimismo ganar tamaño para poder competir en un mundo globalizado y poder realizar las inversiones necesarias en tecnología e innovación. Para apoyarlas en este camino, existen distintas iniciativas en curso destinadas a impulsar la transformación digital de las empresas, como incentivos fiscales a la inversión en I+D+i y medidas de apoyo financiero para favorecer que las pymes apuesten por la innovación como una prioridad que traerá competitividad y crecimiento a medio plazo.

Junto a ello, son necesarias las estrategias para el fomento de la internacionalización y el desarrollo del talento necesario para dar respuesta a las demandas del nuevo mercado laboral. Para seguir el ritmo del cambio, se requieren nuevos perfiles especializados en campos específicos y relevantes como el análisis de datos, la robótica o la inteligencia artificial.

Además, debemos reforzar los sistemas de gobierno corporativo. De hecho, nueve de cada diez consejeros delegados han realizado una inversión significativa en buen gobierno y gestión de riesgos en los últimos 12 meses. En Estados Unidos tres cuartas partes de las propuestas votadas en junta de accionistas durante 2017 estaban relacionadas con cuestiones sociales y políticas.

El mercado necesita confianza, de ahí que los reguladores hayan avanzado en la legislación para permitir que los auditores puedan aportar mayor seguridad también sobre la información no financiera y ayudar así a entender mejor la situación de las empresas.

El cambio, en definitiva, nos envuelve a todos. Todos los sectores estamos en un proceso de transformación que debemos aprovechar y del que estoy convencido surgirá una economía y una sociedad más sostenible, más fuerte e innovadora.

 

Autor: Hilario Albarracín es presidente de KPMG en España

Fuente: ABC Sevilla. Publicado el 23 de febrero de 2018

El modelo empresarial del Cibercrimen

Por Alejandro Rivas-Vásquez
on 20. 11. 2017

Cuando pensamos en ciberdelincuentes, la primera imagen que se nos viene a la cabeza es la que habitualmente se utiliza para ilustrarlo: una persona con un suéter con capucha, al que no se ve el rostro y que trabaja sobre el ordenador en una sala totalmente en penumbra. Pero esa clásica imagen ya no tiene que ver nada con la realidad. Desgraciadamente, hace tiempo que el cibercrimen ha dejado de ser una actividad individual y, el hacker criminal, un individuo que, con profundos conocimientos informáticos y con diferentes motivaciones, se dedica a intentar burlar la seguridad de los sistemas de diferentes organizaciones.

Como se pudo ver en los recientes ataques de ransomware, WannaCry y NoPetya, dos malwares que corrieron como la pólvora infectando a cientos de miles de equipos y organizaciones públicas y privadas por todo el planeta, secuestrando datos y pidiendo un rescate económico para liberarlos, el crimen organizado ya no se rige por viejos modelos artesanales. Ha adoptado modelos empresariales de lo más sofisticados, con una planificación y ejecución que no deja nada al azar. Como apuntaba en este interesante artículo David Febrache, Director de Ciberseguridad de KPMG en Reino Unido, los cibercriminales actúan como consejeros delegados (CEOs), con una estrategia definida, un objetivo claro, la búsqueda de beneficios, y con unos recursos (herramientas y habilidades) que, si carecen de ellos, simplemente van y los adquieren en el mercado negro, en las oscuras profundidades de la Dark Web.

Y diría más, el cibercrimen cuenta con sus propios sistemas de Investigación y Desarrollo (I+D) para seguir innovando y mantener su negocio vivo. Ha creado sus propios ecosistemas empresariales, con marketplaces, donde se encuentran comentarios sobre el trabajo de los ciberdelincuentes y el nivel de sus servicios; y cuenta con una red colaboradores o partners. Ecosistemas diseñados a imagen y semejanza de los que tanta popularidad están adquiriendo en el mundo empresarial. En los foros de ciberseguridad es muy común leer: los service desk de los ciberdelincuentes son más amables y eficientes que los de un banco o compañía telefónica.

Es la industrialización del cibercrimen que algunos han dado en llamar Ciberdelincuencia como Servicio (Crime-as-a-Service), como apunta este estudio elaborado por la agencia europea Europol junto al Centro  de Ciberseguridad de la Universidad George Washington. El último informe anual de Europol, Internet Organised Crime Threat Assessment (IOCTA) 2016, recoge detalles interesantes sobre las últimas tendencias en ciberdelincuencia.

La ciberdelincuencia, que ya ha superado a la delincuencia tradicional en el mundo físico, tiene sus propias fuerzas del mercado para equilibrar oferta y demanda, sus propias barreras de entrada, su amplia y variada oferta de servicios y su especialización laboral, con roles profesionales bien definidos, tal y como describe este artículo del Centro de Ciberseguridad Nacional británico (NCSC en sus siglas en inglés)

Bajo este modelo de negocio, los ciberdelincuentes gestionan con la máxima flexibilidad los activos de –digamos- “su compañía” y saben perfectamente cómo monetizarlos y qué procedimientos pueden utilizar para blanquear el dinero. Según el tamaño de su organización, desarrollan in house o adquieren en el mercado los virus que van a utilizar; cuentan con su propio helpdesk; con sistemas para blindarse contra ataques de otros ciberdelincuentes con los que compiten; tienen su propio mercado y escaparte digital donde comprar y vender servicios; sus propios diseñadores y editores para hacer buenas réplicas de las páginas o emails que buscan suplantar la identidad original para hacerse con los datos… Y suma y sigue.

Su lógica es maximizar los beneficios con el menor nivel posible de riesgos. Como cualquier empresa. Por eso centran sus objetivos y buscan acciones en las que puedan conseguir rápidamente economías de escala. Una gran acción a escala global, como ocurrió con WannaCry y NoPetya. No es casualidad que el sector financiero haya sido históricamente uno de los más afectados por ciberataques. Pero eso está cambiando. Y va a seguir cambiando con la digitalización del resto de sectores y la llegada del Internet de las Cosas (IoT en sus siglas en inglés).

Basta recordar que uno de los más afectados por el malware WannaCry fue el sistema público de salud británico: no podía acceder a sus sistemas ni al historial clínico de los pacientes. Todos sabemos ya que los datos tiene tanto o más valor que el dinero.

Y con la creciente automatización y digitalización industrial, la llamada Industria o Empresa 4.0, ningún sector estará a salvo: energía, infraestructuras, transporte… La ciberseguridad deberá ser un aspecto clave, absolutamente integrado en su estrategia desde principio a fin.

Otro aspecto que está cambiando, fruto de esta industrialización del cibercrimen y la búsqueda de acciones que impliquen bajo riesgo, máximo beneficio y gran escala, es la tipología de ciberdelitos. El crecimiento de los ataques de ransomware, como Wannacry y NoPetya, que están haciendo sombra a los clásicos virus troyanos, no son más que una señal de la creciente organización y agresividad de la ciberdelincuencia.

Peor aún, sin desviarme de la esencia de este artículo, la frontera entre la ciberdelincuencia y el ciberterrorismo es cada vez más difícil de delimitar. El ataque NoPetya aún nos deja con la incertidumbre sobre la motivación del atacante: ¿querían dinero o simplemente causar caos?

Si la naturaleza y organización del cibercrimen ha cambiado, para combatirlo no queda otro remedio que adoptar un enfoque de seguridad más dinámico e invertir equilibradamente en mecanismos de defensa, monitorización y respuesta. En otras palabras, los controles de seguridad (personas, procesos o herramientas) no pueden permanecer estáticos y sin capacidad de evolución continua. Asimismo, la gestión presupuestaria de la ciberseguridad tiene que ser tan adaptable como la del negocio.

Conocer su forma de actuar y cómo va evolucionando ésta en el tiempo, igual que evolucionan las estrategias de las empresas para adaptarse al cambio constante, es clave para ganar la batalla a la ciberdelincuencia. Sea cual sea la forma que ésta adopte.

 

Autor: Alejandro Rivas-Vásquez es Director de Ciberserguridad de KPMG en España.

Aún queda tarea para los Bancos

Por Francisco Uría
on 21. 12. 2016

Un año más, los resultados obtenidos por los bancos españoles en el ejercicio SREP realizado por el Banco Central Europeo han sido genéricamente positivos. Podríamos clasificar los desafíos para los bancos españoles en aquellos que tienen que ver con su pasado, los que les ocupan en el presente y aquellos que, aunque probablemente ya les están ocupando hoy, constituyen claves para su éxito futuro.

Los retos que proceden del pasado tienen que ver con la gestión de los efectos de la profunda crisis que sufrió el sector financiero español y el conjunto de nuestra economía a partir del año 2008. El efecto más tangible guarda relación con la presencia en sus balances de activos improductivos (non performing) que provocan el triple efecto de consumir capital, requerir recursos y no contribuir a los resultados de la entidad.

Aunque todos los bancos tengan en sus balances activos de este tipo, la proporción varía de unos a otros. Algunos no tuvieron nunca un volumen muy relevante considerando su tamaño total y otros consiguieron deshacerse de ellos en volumen apreciable a través de distintos procedimientos (incluidas las ventas de carteras o su traspaso a la Sareb).

Otros efectos menos evidentes pueden tener que ver con la falta de inversión en la adaptación de sistemas o procesos o la imposibilidad de captar profesionales con la cualificación necesaria para enfrentarse a los cambios que se están produciendo en el negocio bancario, incluida la transformación digital.

Los retos del presente, ante todo, están relacionados con el esfuerzo continuado para el desarrollo de la regulación que se ha ido aprobando en los últimos años y que no sólo tiene efectos en los requerimientos de capital y liquidez de las entidades. Antes al contrario, algunos de los efectos más importantes afectan a la necesidad de acometer grandes inversiones en el ámbito de la tecnología o para la modificación de sistemas o procesos.

La regulación no ha dejado de aumentar en los últimos años y, cuando parecería que la oleada directamente derivada de los acuerdos de Basilea III (CRDCRR) podría estar a punto de concluir, la Comisión Europea hace apenas unos días ha introducido algunas reformas que, de nuevo, habrán de incorporarse al derecho español, y continuamos a la espera del final de los trabajos que están teniendo lugar en el Comité de Supervisión Bancaria de Basilea y que afectarán fundamentalmente a los modelos internos de las entidades (es decir, a su nivel de capital). De cara al año 2017 tanto esas nuevas reglas sobre capital como la implementación de la regulación sobre resolución bancaria, sin olvidar la compleja adaptación a la nueva normativa contable (IFRS 9), mantendrán bien atareados a los bancos.

Además, deberán seguir trabajando para su adaptación a las normas aprobadas para la mejora de la protección del cliente bancario, como es el caso de la nueva Directiva MIFID (MIFID 2), destinada a generar una profunda transformación en el modelo de negocio de todas las entidades que prestan servicios financieros, incluidos los bancos, y de la PRIPs, una norma aplicable a los productos complejos en que se integran productos financieros de distinta naturaleza. Ambas se aplicarán a partir de enero de 2018 y exigirán al legislador español la adaptación de nuestro ordenamiento durante el año 2017.

Otro de los desafíos del presente se refiere a la dificultad de sobrevivir en un entorno prolongado de bajos tipos de interés, lo que lógicamente afecta a la cuenta de resultados de las entidades. No es un efecto menor. Los resultados del año son la primera fuente de generación de capital y, además, descontada la solvencia de las entidades, su rentabilidad constituye el parámetro fundamental a la hora de atraer a los inversores que, potencialmente, habrían de contribuir a su fortalecimiento en el futuro a través de acciones y otros instrumentos financieros de distinta naturaleza que pudieran ser emitidos por los bancos. Cualquier banco en el mundo que no sea rentable no será solvente a medio y largo plazo. Frente a esta situación, los bancos desarrollan diversas estrategias, que fundamentalmente pueden agruparse en dos ejes: reducción de costes y mejora de los ingresos.

Las estrategias de reducción de costes son, salvo lo que seguidamente se dirá respecto de las oportunidades inherentes a la transformación digital, bastante tradicionales: se trata de reducir el número de empleados, de sucursales y los costes generales necesarios para el desarrollo de la actividad (costes laborales, proveedores…).

Hay otras líneas interesantes que tienen que ver con la posible búsqueda de socios financieros o industriales con los que acometer iniciativas conjuntas para el desarrollo de nuevos negocios o para la ampliación del perímetro de ser vicios tradicionales. En ese camino, pueden combinarse ingresos presentes (los derivados de la venta de una participación en ese negocio) con la posibilidad de una mejora futura de los ingresos. Aquí, el único peligro es que estas operaciones sean cortoplacistas, es decir, que generen un ingreso a corto plazo pero que terminen afectando a la futura rentabilidad del banco, al verse privado de una fuente de ingresos que tenga una posibilidad razonable de crecimiento en el futuro.

Lo malo de este tipo de estrategias es que, aunque sus efectos positivos pueden prolongarse en el tiempo, tienen una duración limitada: la reducción de costes que puede realizarse sin comprometer el futuro de la entidad está acotada, de modo que llegado a un cierto punto, no pueden realizarse recortes adicionales.

Por ello, aunque se trata de una estrategia lógica para superar una coyuntura tan excepcional y depósitos de los clientes. Sin embargo, difícil como la que genera el contexto hacen un contexto actual de bajos tipos de interés, el futuro de la rentabilidad bancaria no puede depender totalmente de este tipo de acciones. Se hace necesario encontrar nuevas FID 2 que, al intensificar la prohibición vías para la mejora de la rentabilidad.

Algunas de esas nuevas vías tienen que determinados servicios financieros, irá ver con la mejora de los ingresos de las forzando de manera paulatina que los entidades. La vía más obvia –además de reclamada por los supervisores bancarios- tiene que ver con la sustitución, al menos parcial, de un modelo basado en el margen financiero para pasar a un modelo mixto en el que también contribuyan otro tipo de ingresos, como los derivados de pagos por la prestación de servicios o comisiones. Nada debería ser más lógico que bancos pudieran cobrar a sus clientes por los servicios de valor añadido que prestan cada día.

El problema es que no ha sido esta la cultura tradicional de relación de los bancos con sus clientes. De hecho, lo que sucedía es que el banco proporcionaba gratuitamente una larga serie de servicios que se “financiaban” con cargo a los ingresos derivados de la inversión de los depósitos de los clientes.

La única cuestión es la de si los bancos serán o no capaces de competir con nuevos operadores (incluidas las ya archifamosas fintechs) en la calidad del servicio, en la experiencia del cliente y en el coste. Sin duda, esa es una de las claves de su futura viabilidad. Para ello, habrá ocasiones en que la mejor estrategia será la de seguir el viejo axioma de “si no puedes vencer a tu enemigo, únete a él”.

Todos estos retos han estado presentes en el año 2016 y tendrán continuidad en el 2017.
Y, por último, y muy ligado con todo lo anterior, están los que tienen que ver con el futuro. Empezaría por mencionar que la clasificación propuesta tiene una pequeña trampa. En realidad, no existen retos del futuro. Lo que podríamos considerar lo son, en el fondo, del presente y los bancos no tienen otra opción que afrontarlos con decisión, dedicando a ellos cuantiosos recursos e inversiones.

En este apartado incluiríamos la transformación digital, entendida en un sentido muy amplio: no sólo lo que hace posible la multicanalidad con el cliente sino también, y sobre todo, la mejora de la calidad de los datos y su acceso, el cambio de sistemas y la mejora de procesos. En suma, todo aquello que, aunque el cliente no vea directamente, constituyen un requisito esencial para que el cambio digital termine desplegando todos sus efectos positivos.

También incluiría su lado negativo, la ciberseguridad. Las cuantiosas inversiones que los bancos tienen que realizar para mantener a salvo los recursos y, no en menor medida, los datos de sus clientes frente a los constantes ataques de que son objeto. Se trata, sin duda, de una cuestión crucial a la que las autoridades y los supervisores bancarios prestan cada vez mayor atención.

En definitiva, las tareas a afrontar en 2016 y 2017 no serán muy distintas: mejorar la rentabilidad por todas las vías posibles, continuar con la implementación regulatoria y mantener el esfuerzo inversor para hacer posible la transformación digital y del modelo de negocio. Nada más…y nada menos.

 

Fuente: Actualidad Económica. Diciembre 2016.

La importancia de la seguridad en el Internet de las Cosas

Por Juan Antonio Calles
on 24. 10. 2016

El pasado viernes 21 de Octubre tuvo lugar un gran ciberataque de denegación de servicio distribuida (DDoS) que afectó a un gran número de los principales proveedores de servicios en Internet, como Twitter, Spotify, The New York Times, Xbox, Paypal o Tumblr, entre otros. Este ataque fue enfocado sobre los servidores DNS de la compañía Dyn, que proporciona el soporte a la resolución de nombres de dominio de estas compañías, bloqueando el contacto entre los usuarios y los proveedores.

Según declaraciones de Kyle York, Chief Strategy Officer de Dyn, fue uno de los ataques más potentes de la historia ejecutado por una botnet (conjunto de dispositivos vulnerados y controlados remotamente) y que involucró, según datos de Dyn, a aproximadamente 10 millones de direcciones IP, es decir, 10 millones de dispositivos diferentes realizando peticiones maliciosas de forma sostenida contra su infraestructura.

El complejo ataque se compuso de tres oleadas diferentes, con un primer ataque ejecutado a las 7:00 am ET, que afectó a los usuarios de la costa Este de Estados Unidos y que tardaron dos horas en mitigar. A continuación, sobre las 12:00h, se produjo una segunda oleada más global y que no se limitó únicamente a esta región. En esta ocasión el servicio fue restaurado en una hora. Por último hubo un tercer ciberataque, que en esta ocasión fue bloqueado rápidamente gracias a las medidas tomadas por el equipo de respuesta a incidentes de Dyn.

El ataque ha sido atribuido al grupo hacktivista “New World Hackers”, que estaría detrás de la botnet Mirai, que cuenta con más de 100.000 dispositivos IoT (Internet of Things o Internet de las Cosas) entre sus equipos controlados.

Pero, ¿por qué se han utilizado dispositivos IoT para la realización de esta ciberataque? Estos dispositivos, cómo pueden ser los smart TVs, smartwatches, cámaras, etc., suelen funcionar bajo el protocolo UDP, en lugar del TCP. UDP es un protocolo más sencillo de implementar durante los procesos de desarrollo de los productos y además acelera la velocidad de conexión entre estos dispositivos y los servidores con los que interactúan para dar servicio a sus usuarios, debido a que no es necesario el establecimiento de una conexión entre origen y destino para que se produzca un envío de datos.

Esto posibilita que un dispositivo hackeado que funcione bajo el protocolo UDP sea mucho más rentable para los atacantes, ya que pueden aumentar en gran medida la potencia de sus ciberataques. Este hecho se ve acrecentado por la falta de medidas de seguridad en numerosos dispositivos IoT, lo que permite diariamente a los ciberatacantes hackear miles de dispositivos que no cuentan con unas barreras adecuadas debido a la falta de inversión en sus ciclos de vida de desarrollo. Esto evidencia la importancia de tener en cuenta la seguridad como uno de los aspectos clave.

¿Qué pueden hacer las compañías para evitar este tipo de problemas?

El ciberataque sufrido recientemente por todas las compañías citadas anteriormente fue producido mediante un ataque a un tercero, Dyn, su proveedor de DNS. El problema fue solventado en esta ocasión por las capacidades técnicas del proveedor para paliar un ataque de esta magnitud en un tiempo total de aproximadamente tres o cuatro horas.

Sin embargo, es necesario ahondar en el problema acontecido. ¿Qué ocurriría si en el futuro se realizase un ataque con 100 o 500 millones de dispositivos? Se trata de una posibilidad bastante factible si se tiene en cuenta que hace tres semanas fue registrado un ciberataque de DDoS que superó el Terabyte (por segundo). Probablemente ningún proveedor podría frenar un ataque de esta magnitud en un tiempo razonable.

El principal problema en este tipo de situaciones se encuentra en el origen, ya que numerosas organizaciones carecen de servicios redundados, lo que lleva a una gran limitación al contar con un único punto de fallo en la conectividad hacia internet.

Por otro lado, y en lo referente a cómo los ciberatacantes lograron vulnerar tantos dispositivos para la construcción de su botnet, es importante tener en cuenta que muchos fabricantes no tienen en cuenta la ciberseguridad en el desarrollo de sus tecnologías, dando lugar a productos que carecen de unas garantías de seguridad básicas. Un dispositivo inseguro es un oasis en el desierto para los delincuentes, esperando a ser vulnerado por ciberatacantes que harán de él un lugar en el que camuflar sus ataques o del que sustraerán valiosa información con la que comerciar en los mercados underground de Internet.

La única manera de garantizar unas medidas de seguridad mínimas al lanzar un nuevo producto al mercado es teniendo en cuenta la ciberseguridad durante todo el ciclo de vida de estos productos, desde su diseño inicial, hasta su obsolescencia. Por desgracia, no todos los fabricantes tienen en cuenta estas medidas básicas, que resultan omitidas en aras de lanzar un producto más rápidamente que la competencia o abaratar sus costes de fabricación.

 

Juan Antonio Calles es Senior Manager del Departamento de Ciberseguridad de KPMG España

Ahora o nunca: tres años decisivos para la empresa

Por Cosme Carral
on 08. 09. 2016

Los próximos tres años traerán consigo una transformación sin precedentes y serán mucho más decisivos para la evolución de la economía que los cincuenta anteriores.

Empresas responsables

Por Hilario Albarracín
on 06. 06. 2016

Los dos últimos años han sido especialmente prolijos en materia regulatoria para reforzar el gobierno de las empresas. A la Ley de Sociedades de Capital y las recomendaciones del Código de Buen Gobierno de la Comisión Nacional del Mercado de Valores (CNMV) se sumará el próximo 17 de junio la entrada en vigor de la nueva Ley de Auditoría de Cuentas, que tendrá importantes implicaciones para los consejos de administración de las grandes compañías y, en especial, de sus Comisiones de Auditoría. Entre las distintas razones que han llevado a los reguladores a reforzar el marco legislativo bajo el que se desenvuelven los órganos de gobierno de las compañías está la consecución de una mayor transparencia y la capacidad para aportar mayor confianza a los inversores y otros grupos de interés. Este impulso reformista viene en gran medida propiciado por la mayor exigencia de los mercados, inversores y la opinión pública hacia las prácticas de gobierno corporativo y la capacidad -y obligación- de los consejeros de responder con responsabilidad y transparencia de sus decisiones y forma de actuar.

Sin embargo, no se debe olvidar que la mejora del gobierno corporativo parte también de la convicción de las propias empresas y sus administradores de que es necesario contar con los mejores estándares y prácticas para operar en un mercado global donde los inversores ya no solo prestan atención a la calidad de los resultados, sino a la forma de obtenerlos.

El buen gobierno es sinónimo de transparencia, pero también de una mayor profesionalización de los consejos de administración. De sus miembros ya no solo se espera que aprueben la estrategia del management, sino que se impliquen en su definición y la cuestionen constantemente.

Igualmente, los consejeros deben tener un mayor protagonismo a la hora de identificar los riesgos a los que se enfrenta la organización, poniendo un especial énfasis a ciertas amenazas que, como la ciberseguridad, hasta hace poco tiempo la tarea de combatirlas correspondía únicamente a una determinada área técnica de la compañía. La eficacia de los consejos de administración obtiene una de las mayores notas en el índice 2015-2016 de competitividad de las instituciones españolas elaborado por el Foro Económico Mundial.

El salto que se ha dado en los últimos años es una prueba de que el nuevo marco normativo, sumado a la propia convicción de las empresas y sus administradores, está causando el efecto deseado.Sin duda, el buen gobierno corporativo constituye uno de los pilares para la creación de valor y la perduración de las compañías en el tiempo. En este sentido, cuestiones como la diversidad, la profesionalización y la comunicación con los accionistas son cuestiones que deben estar entre las prioridades de todos los consejos de administración. 

Autor: Hilario Albarracín es consejero delegado de KPMG en España.

Fuente: El Pais Negocios. Publicado el 5 de junio de 2016

La seguridad de la información en manos de los proveedores

Por Pedro Feu
on 16. 03. 2016

La externalización de servicios, en cualquiera de sus modalidades, representa la opción preferida por la mayoría de las organizaciones para reducir sus costes asociados a las tecnologías de la Información. El ecosistema de TI planteado, donde flexibilidad y precio son los indicadores predominantes, hace que cada vez sean más los proveedores, de todo tipo y tamaño, que para el desempeño de sus funciones tienen acceso a información de la compañía.

Proveedores de servicios de IT son los más representativos, pero no los únicos que generan, acceden, gestionan y soportan información y como es de esperar, aumentando la superficie de exposición aumentan los riesgos: se estima que el 18% de los incidentes de seguridad están provocados directamente por proveedores de servicios. Estos incidentes se sitúan además como los más caros en términos de daños, por delante de los provocados por ciber espionaje y los provocados por malware.

Claro ejemplo de ello son algunos de los incidentes relacionados con fuga de datos más relevantes del pasado 2015. Los ocurrido en la “Office of Personnel Management” de Estados unidos, dos para ser concretos, y la “Army National Guard”, que respectivamente provocaron que se expusieran datos de un total de 25 millones de trabajadores federales y otros 850.000 miembros de la guardia nacional, incluyendo números de la seguridad social, historiales académicos, residencia, salud e incluso historiales delictivos.

Ambos incidentes han sido relacionados con proveedores y subcontratados: el primero y más numeroso a través de un robo de credenciales aprovechado por un equipo de atacantes supuestamente chino, y el segundo con una transferencia de datos a un data center no acreditado.

Parece que tenemos bastante claro que las barreras digitales de nuestra organización van mucho más allá de la infraestructura TI que gestionamos, pero ¿y las barreras personales?, ¿tenemos claro dónde acaban?, ¿Conocen nuestros proveedores las políticas de seguridad de la información corporativas? Y,  más allá de lo que se plasma en los contratos, ¿conocen de verdad los empleados de nuestros proveedores las políticas de seguridad de la información de nuestra organización?, y  nosotros, ¿Velamos por qué las cumplan?, ¿les ayudamos a hacerlo?.

Desde hace tiempo se vienen tomando medidas al respecto, en forma de herramientas mayormente, para limitar y acotar tanto el acceso a la información, como el uso de la misma. Entornos VDI, enmascaramiento de datos, DLP/IRM, y un largo listado de posibilidades técnicas difíciles ya de gestionar en entornos corporativos, cuanto más en entornos que involucran más de una organización. Éstas, junto con los acuerdos de confidencialidad y clausulados de los contratos, representan en la mayoría de los casos las medidas de seguridad que se aplican.

Vayamos al siguiente nivel: establezcamos Programas de Gobierno de la Seguridad proveedores. No se trata sólo de medir si prestan servicios de acuerdo a un SLA, sino de corroborar que lo hacen con los mismos niveles de seguridad que se aplican dentro de la organización. En este sentido lo principal a tener en cuenta es:

– Conocer los proveedores y el nivel de acceso de los mismos a nuestra información.

– Conocer la naturaleza de información que tratan.

– Establecer marcos de control adecuados a la operativa del proveedor.

– Definir modelos y programas de revisión flexibles y efectivos, que permitan corroborar la efectividad de las medidas

Todo esto, además nos permitirá transmitir a nuestros proveedores nuestro compromiso con la seguridad de la información y por supuesto elevar nuestro grado de confort con el tratamiento que sobre la misma se realiza.

KPMG España en los congresos URJC TechFest y TASSI (UPM)

Por kpmg españa
on 05. 02. 2016

Buenas a todos, la semana que viene el equipo de ciberseguridad de KPMG España impartirá varias conferencias en los congresos URJC TechFest y TASSI (UPM), relacionadas con el ámbito del hacking ético, el malware y el desarrollo de soluciones de ciberseguridad.

El lunes, nuestro compañero Juan Antonio Calles responsable del laboratorio de ciberseguridad de KPMG, participará en el TechFest impartiendo una conferencia sobre metodologías de búsqueda OSINT junto a Pablo González a las 19:00h.

El martes, nuestro compañero del equipo de hacking ético, Jesús Alcalde, impartirá un interesante taller introductorio al desarrollo de soluciones de ciberseguridad con la tecnología Node.js a las 17:00h.

El miércoles, nuestro compañero del equipo de ciberinteligencia, Álvaro García, impartirá junto a Juan Antonio Calles un completo taller sobre análisis de malware en smartphones a las 19:00h.

Finalmente, el jueves, Juan Antonio Calles impartirá un taller sobre seguridad en Android y análisis del malware, donde presentará desde un punto de vista práctico las distintas tipologías de malware, técnicas utilizadas, medidas de evasión de sistemas antivirus y metodologías para afrontarlos.

Davos 2016: el cambio, la nueva normalidad

Por John Scott
on 20. 01. 2016

A lo largo de los próximos tres días la ciudad suiza de Davos se convertirá en el epicentro de la actividad política y económica mundial. Una cita que ayudará a marcar la agenda de las grandes tendencias globales en un momento de la historia único que ya se ha calificado como la era de la cuarta revolución industrial. Las tres primeras revoluciones industriales trajeron la mecanización del trabajo, la producción en masa e Internet. En esta nueva época de transformación, el imparable desarrollo de la tecnología y la conectividad se erigen como los grandes motores del cambio. Las fronteras entre el mundo físico y virtual se desdibujan y obligan a cambiar radicalmente la forma de concebir la sociedad, la política y los negocios.

En estos tiempos en los que el cambio es la nueva normalidad, algunos datos subrayan la profundidad del momento histórico que atravesamos. Según Naciones Unidas, alrededor de 3.200 millones de personas tienen ya acceso a Internet y en solo cuatro años se espera que más de 25.000 millones de dispositivos estén conectados. Todo este desarrollo está teniendo efectos evidentes en una economía que no puede entenderse más que de una forma global e interconectada. Los modelos de negocio de cualquier industria están obligados a transformarse y a aprovechar las oportunidades que ofrece esta nueva era de la conectividad.

El Big Data, un concepto que para muchos se entiende aún de forma vaga, será probablemente una de las mayores fuentes de innovación y de creación de valor para las empresas y Gobiernos: el aprovechamiento de los miles de millones de datos generados cada día en cualquier actividad abre unas posibilidades inmensas de desarrollo y generación de riqueza. Pero el desarrollo tecnológico también conlleva nuevas amenazas ante las que el mundo debe prepararse. Según el CEO Outlook, el informe global que KPMG ha realizado encuestando a más de 1.200 CEO, el 29% apunta a los ataques cibernéticos como el riesgo que mayor impacto puede tener en sus negocios. Esta amenaza no debe afrontarse solo mediante una estrategia reactiva sino que significa una oportunidad para mejorar la lealtad y la experiencia de los consumidores.

La ecuación resulta aún más compleja cuando todo este imparable desarrollo tecnológico se encuadra en un contexto de enorme incertidumbre macroeconómica y riesgos geopolíticos. Sería un error concebir cualquier estrategia económica o política sin mirar más allá de nuestras fronteras. Tras la gran crisis económica y financiera de Occidente, el nuevo escenario apunta a un crecimiento global más moderado y volátil que perdurará durante años. Los países emergentes y China son el gran foco de incertidumbre mientras las economías desarrolladas aún se desperezan de una crisis que no ha terminado de disiparse, como aún evidencian los datos de desempleo en países como España. El brusco descenso de las materias primas, causado precisamente por esas peores perspectivas de crecimiento, acentúa la incertidumbre, como también lo hacen las divergentes políticas monetarias en distintas partes del mundo que están cambiando los flujos de inversión.

El envejecimiento de la población en las economías desarrolladas obliga a repensar fórmulas que garanticen el Estado de bienestar a largo plazo y la crisis de los refugiados muestra nuevamente cómo en un mundo globalizado ningún país es ajeno a las grandes tendencias mundiales. El Informe riesgos globales 2016 presentado en la antesala del Foro Económico Mundial dibuja un mapa de amenazas inédito hasta ahora, en el que las migraciones involuntarias son el primer riesgo por probabilidad y las catástrofes medioambientales, el de mayor impacto potencial.

Resulta extraordinariamente necesario no perder de vista este escenario y poner en marcha acciones que contribuyan a reducir las amenazas y maximizar las oportunidades. Han de buscarse acuerdos de gran alcance que ayuden a unificar y hacer más inteligente la regulación internacional, a impulsar la innovación, a construir puentes que faciliten el libre comercio entre distintas áreas del mundo y a asegurar un crecimiento que no pierda de vista grandes temas de la agenda internacional como la sostenibilidad, el medioambiente o la diversidad. Como firma de auditoría y servicios profesionales, estamos convencidos de que todos debemos contribuir a ello, reforzando el activo más importante para cualquier economía y país: la confianza.

John Scott es presidente de KPMG en España, en la región de EMA (Europa, Oriente Próximo, África y Sur de Asia) y vicepresidente Global de KPMG.

Artículo publicado originalmente en El País, el 20 de enero de 2016

Seguridad en los smartphones corporativos

Por Juan Antonio Calles
on 13. 01. 2016

Buenas a todos, en el post de hoy me gustaría hablaros de uno de los focos de infección de malware que están más de moda en las empresas, las infecciones en smartphones corporativos. El teléfono de empresa es ya una necesidad, desde jefes de proyectos y gerentes, a directores y socios, empleados que requieren estar localizados o en contacto con compañeros y clientes, no podrían trabajar si pierden sus smartphones. Por ello, se han convertido en un activo esencial para la empresa, que almacena información muy crítica a golpe de PIN, patrón de desbloqueo, etc. Recordemos que en los smartphones tenemos autenticadas cuentas en clientes de correo, redes sociales, y aplicaciones de distinta índole, en los que si alguien averigua nuestra llave de desbloqueo, estaríamos vendidos.

Tradicionalmente el mundo Blackberry ha estado muy bien administrado de forma corporativa en la empresa, con sus soluciones MDM (como por ejemplo, Enterprise Mobility Management) con acceso por VPN, dispositivos con la partición de trabajo cifrada, uso de certificados, etc. Dispositivos bastante robustos y que tras la aparición de Blackberry OS 10, han vuelto a rivalizar en prestaciones con los smartphones Android e iOS.

Los dispositivos iPhone (sin Jailbreak, esto es otro mundo…) de última generación, disponen también de soluciones muy interesantes de tipo MDM con las que los admininistradores de las compañías pueden gestionar políticas de seguridad de forma remota y automática como Mobileiron, Airwatch, y/o que aprovechan las capacidades nativas del terminal. Además, sus medidas de seguridad, capacidad de cifrado y API de desarrollo más limitada que aunque impide el desarrollo de antivirus tradicionales por beneficio o perjuicio, según se mire, han desembocado en que sea más complejo el desarrollo de malware para las plataformas iOS (pero no imposible, ya que existen un gran número de malwares conocidos para iOS).

Android, sin embargo, por su código abierto y su gran presencia en el mercado, es la plataforma más afectada por el software malicioso, y la puerta preferida de los ciberdelincuentes para sustraer datos de una compañía de forma más o menos sencilla. Por ello, es crucial proteger dichos dispositivos con más ahínco, si cabe, en entornos corporativos. No todas las empresas se encuentran concienciadas con ello, y seducidos por los bajos precios e incluso regalos que hacen los proveedores de telefonía de dispositivos Android a las empresas, por su bajo coste principalmente, las convierten en foco y diana para los potenciales atacantes. En Android existen infinidad de antivirus, soluciones MDM, y aplicaciones de terceros para bastionar los dispositivos. Su código abierto ha posibilitado un gran ecosistema de soluciones de seguridad, así como una inmensa cantidad de malware como por ejemplo el conocido “NotCompatible”. Por ello, es vital contar con potentes soluciones MDM, sobretodo en la mediana y gran empresa. En estas casuísticas, soluciones como Symantec SMM, Xenmobile de Citrix o IBM Endpoint Manager pueden ser interesantes alternativas para mejorar la seguridad de la información en el mundo de la empresa.

Si precisas mejorar la seguridad del parque de móviles de tu compañía, desde KPMG estaremos encantados de asesoraros y acompañaros en el proceso de implantación y mantenimiento de vuestras soluciones de ciberseguridad.

Saludos!

Compañías de Telecomunicaciones y ciberataques

Por kpmg españa
on 12. 01. 2016

Nunca hasta ahora se había visto un cambio tan amplio en la variedad y volumen de las ciberamenazas como durante el último año 2014. En España esa tendencia se ha confirmado en la evolución de 2015, en la que el número de incidentes de ciberseguridad identificados prácticamente triplica al total de incidentes registrados en todo el año pasado.

Uno de los principales vectores de amenazas en el sector de las telecomunicaciones es el riesgo de proliferación de las intrusiones a través de dispositivos móviles, cuya ubicuidad ha agravado los riesgos de seguridad.

Pero si la movilidad representa un desafío de seguridad urgente para las empresas de telecomunicaciones, hasta la fecha no se ha hecho demasiado para implementar las medidas de seguridad. A nivel europeo, sólo el 45% de las organizaciones de telecomunicaciones tiene una estrategia de seguridad de dispositivos móviles en marcha.

Otro aspecto importante a tener en cuenta es la proliferación en el desarrollo de aplicaciones específicas para móviles. Esta tendencia imparable acarrea grandes riesgos cuando no se despliega una adecuada metodología de desarrollo seguro y se implantan prácticas de cifrado de datos tanto en el almacenamiento en los dispositivos como en la capa de transporte.

De la misma manera que el uso de los móviles ha aumentado, también lo ha hecho la utilización de servicios de computación en la nube, en la que los operadores de telecomunicación juegan un papel preponderante. Hoy en día más del 50% de los operadores utilizan este tipo de servicios, aunque pocas veces se hace el debido hincapié en las implicaciones de seguridad en que puede derivar su uso.

Es fundamental que los operadores implanten políticas que formalicen las bases de seguridad en el uso de la nube, incluyendo el cifrado de datos, la protección de los datos críticos para el negocio y la garantía de que los proveedores de servicios se adhieren a las normas de seguridad y regulaciones propias del sector con respecto a dónde se pueden almacenar los datos. También deben exigir que los proveedores de la nube de terceros sigan las prácticas de seguridad.

Los operadores de telecomunicaciones son expertos en la protección de sus propias redes pero también es cierto que los ciberdelincuentes emplean su infraestructura como principal medio de transporte para la mayoría de los ataques, aprovechándose de la propia robustez de la red, su nivel de penetración y sus niveles de servicio.

Así, el despliegue de servicios de acceso de banda ancha proporciona mejor servicio a los clientes pero también mejores vías de ataque por parte de los cibercriminales.

El fenómeno de las botnets, o redes de ordenadores zombis que son infectados por un atacante que puede controlarlos desde un único servidor para perpetrar ataques masivos, está creciendo cada vez más. Esto se debe, entre otras razones, a que hay muchos más ordenadores susceptibles de ser atacados (los equipos domésticos con menos niveles de seguridad) y con mejores capacidades de conectividad (el acceso a Internet con servicios desde los 30 hasta los 300 megas). Este escenario de progreso indudable conlleva a la par un aumento de las posibilidades para los ciberdelincuentes.

Tarde o temprano el operador de telecomunicaciones tendrá que tomar una acción para proporcionar servicios de seguridad sobre la red de acceso. En España, algunos de los principales operadores están realizando fuertes inversiones en desarrollar soluciones para sus clientes en este terreno, aunque dichas soluciones para ser efectivas desde un punto de vista de los consumidores, deberían estar coordinadas y realizadas de manera conjunta para poder garantizar su efectividad.

Es necesario evolucionar hacia una mayor inteligencia en seguridad y garantizar que los incidentes de seguridad pasen a ser tenidos en cuenta como un riesgo crítico para el negocio. Aunque estas amenazas no siempre se pueden prevenir, sí pueden ser controladas a niveles aceptables.

Lo fundamental para lograrlo es el compromiso de los operadores de telecomunicaciones sobre cuatro principios: la seguridad es ahora un imperativo; las amenazas de seguridad son riesgos para el negocio; la información más valiosa de la empresa debe estar siempre protegida en todos los procesos y situaciones; y las inversiones deberían seleccionarse teniendo en cuenta los activos más críticos, las amenazas del ecosistema y sus vulnerabilidades.

Francisco Javier Santos Ortega es director responsable de Ciberseguridad en IT Advisory de KPMG en España

Artículo publicado originalmente El Mundo el 3 de enero de 2016