¿Por qué una empresa debe garantizar un Protocolo de seguridad en su estructura Informática?

Las empresas no sólo se exponen a grandes pérdidas económicas, sino que en muchas ocasiones se ven también expuestas a importantes pérdidas de datos e información.

En la actualidad los ataques de hackers y ciberdelincuentes son una de las principales preocupaciones de las empresas en esta era digital. Importantes organizaciones, tanto públicas como privadas, han sufrido estos ataques a sus sistemas informáticos. Estar protegidos frente a virus, malware, ataques de denegación de servicio o ingeniería social no es nada sencillo, y muchos negocios se sienten indefensos y no sólo eso, se encuentran expuestos a estos y otros ataques. 

A nivel mundial, se ha demostrado que los ataques de ransomware están aumentando no solo en frecuencia, sino también en gravedad. Convirtiéndose en un negocio en auge para ladrones cibernéticos, que acceden a la red y secuestran datos y sistemas.

Por supuesto, hablar de seguridad informática para empresas no solo implica mantener la información segura, sino también emplear una forma de mantener esos datos seguros. La Seguridad de datos incluye conceptos cómo encriptación de datos, tokenización y prácticas de gestión de claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una organización. 

Por ello, es prioridad que las empresas consideren la seguridad de datos como un punto de vital importancia. Los expertos en seguridad tienen entre sus objetivos proteger la red de las amenazas, administrar los servicios activos en la organización, monitorear la red y establecer normas de trafico que se adapten de acuerdo a las necesidades de la empresa. 

El objetivo de las medidas de seguridad debe ser:

Proteger la información de la empresa.

Garantizar la continuidad del negocio en el caso de que incidencia.

Minimizar los riesgos.

¿Por qué es mejor prevenir un ciberataque?

Cuando los sistemas informáticos de una organización reciben el ataque de un malware, por ejemplo; se inicia un proceso de recuperación de los sistemas informáticos de la organización, lo que lleva un estudio preciso para saber saber cuáles son los alcances de ese ataque, si fue automatizado o dirigido, sin olvidar que se debe invertir tiempo y mucho más dinero del que suponía crear un plan de contingencia contra amenazas cibernéticas.

Sin embargo, si una organización ha tomado las medidas necesarias y se ha asesorado por un equipo experto en el tema, podra estar mejor preparado ante un ataque informático, aunque actualmente, ninguna organización privada o pública se encuentra exenta de riesgos ante un ataque dirigido. Pero, lo mejor es estar preparado ante cualquier eventualidad. 

La seguridad de una empresa cuando se gestionan datos influye en la confianza de sus clientes, proveedores y colaboradores, así como en la propia subsistencia del negocio, por lo que la seguridad de la información debe ser un pilar esencial en cualquier estrategia de negocios de una organización.

@NCAIntelligence en Twitter y Facebook

Exposición de Información sensible en la Dirección General de Ingresos (DGI)

La Dirección General de Ingresos en una organización gubernamental que se encarga de gestionar la recolección de impuestos para el Estado de Nicaragua.

A través del sistema de gestión automatizado en el dominio dgi.gob.ni, los naturales y jurídicos registrados pueden realizar sus declaraciones de impuestos, trámites y gestiones de manera fácil y dinámica dentro y fuera del país.

El sistema de la DGI envía notificaciones de manera regular con información de relevancia para los contribuyentes y así también el estado de solvencia o insolvencia de cada usuario registrado.

El sistema de notificaciones de la DGI envía a los contribuyentes un email con información sobre las declaraciones no presentadas en el período correspondiente mes a mes, todo ello a través de su correo “notificaciontributaria@dgienlinea.gob.ni“.

Un detalle importante es que en la información, hay un link que redirige hacia un archivo PDF con el estado del usuario:

https://alertasfiscales.dgi.gob.ni/FileAlertas/omisidad/omisidad20200307415687269.pdf

Aquí, el usuario puede descargar el documento directamente desde el el servidor de datos en el dominio de la DGI.

Vista del PDF desde el Navegador donde redirige desde la notificación al correo electrónico.

Al ver el enlace a primera vista está la ruta del endpoint “/FileAlertas/omisidad/”, luego el prefijo “omisidad” concatenado con la fecha de emisión del documento “20200307”, concatenado también con un número de 9 dígitos “415687269” y finalizando con el formato del archivo “.pdf ”.

Al enlace se le puede dar segumiento sin ningún tipo de validación de usuario, lo que permite que el documento sea expuesto y accesible a través de internet y desde cualquier parte del mundo.




Proof of Concept:

El sistema al no hacer ningún tipo de validación, permite al atacante utilizar fuerza bruta y enumeración para extraer información disponible desde el endpoint “omisidad” en la URL de la notificación.

En la Prueba de Concepto, se mantiene el prefijo “omisidad” en el enlace (ROSA), por conclusión básica se determina que el mismo día se hacen envíos masivos a todos los contribuyentes con omisidad, que generalmente se hacen entre las fechas 7-8 y 16-17 de cada mes, solo nos queda el nombre del archivo PDF, que es un número que puede ser generado aleatoriamente entre rangos, para intentar por medio de ataque de enumeración, extraer omisos de otro contribuyente.

El script de la prueba concepto es simple, se realiza la solicitud al endpoint con el payload que es la fecha del documento y el número de 9 dígitos, concatenados con el formato PDF del archivo, de ser negativo, regresa un 404 que renderizo con “bs4” capturando la etiqueta “span” como el meta_string.

De ser positivo el payload (fecha+número aleatorio de longitud 9) éste se descarga y se almacena en directorio, tantos test como se necesiten.

Para la prueba concepto, se creó un servidor virtual que imita el comportamiento de respuesta que el servidor de la DGI realiza, por tanto las pruebas se realizaron bajo estricto control y sin llegar a hacer ningún tipo de solicitud al servidor de la DGI.

El codigo para el test en GitHub: https://github.com/RealDebian/DGI-POC

Es claro en el concepto y las pruebas, la falta de validación de usuario al momento de recibir las notificaciones permite extraer información sensible de la organización y de sus contribuyentes, por lo tanto recomiendo realizar un replanteamiento sobre los procesos de notificación y validación de los usuarios en el sistema, ya que no revisar ese proceso de notificación y validación dejaría a la institución expuesta y sin dar cumplimiento a la Ley de Protección de Datos* (Ley No. 787), la cual tiene por objeto la protección de las personas naturales y jurídicas frente al tratamiento, automatizado o no, de sus datos personales en ficheros de datos públicos y privados, así como dejaría a sus contribuyentes en indefensión.

______________________________________

*Ley N°. 787, Protección de Datos, aprobada el 21 de Marzo de 2012, publicada en La Gaceta, Diario Oficial N°. 61 del 29 de Marzo de 2012.