El threat hunting: una de las principales tendencias en ciberseguridad en 2020

Innovations systems connecting people and intelligence devices. Futuristic technology networking and data exchanges connection and computer industry from telecommunication and internet development.

El threat hunting es una de las técnicas de lucha contra los ciberdelicuentes que más importancia está ganando, en la medida en que las empresas quieren ir por delante de las últimas ciberamenazas y responder con rapidez cualquier potencial ataque.

¿Qué es el threat hunting?

Threat hunting es la práctica de buscar de manera proactiva ciberamenazas que puedan estar pasando desapercibidas en una red. Se investiga en profundidad para detectar elementos maliciosos en su entorno que se hayan podido filtrar por las barreras iniciales de seguridad.

Una vez se ha colado, un potencial atacante puede permanecer sigilosamente dentro de la red durante meses mientras recaba datos, busca información confidencial o se hace con claves de acceso que le permitirán moverse con soltura dentro del entorno.

Una vez que el adversario ha logrado con éxito saltarse los controles y un ataque ha traspasado las defensas de la organización, muchas empresas carecen de las herramientas necesarias para evitar que la amenaza persista en el sistema. Por eso el threat hunting es un componente esencial en toda estrategia de defensa.

¿Cuándo tiene cabida el threat hunting?

El threat hunting complementa los procesos estándar de detección, respuesta y resolución de incidencias. Mientras las soluciones tecnológicas de seguridad analizan datos para generar alertas, el threat hunting trabaja en paralelo para obtener pistas a partir de esa información. Posteriormente, es analizada por humanos especializados y preparados para identificar cualquier señal de actividad del potencial atacante.

Así, esta búsqueda activa de amenazas que no han hecho saltar las alarmas se ha convertido en una de las principales tendencias en ciberseguridad en 2020. 

Los cazadores de amenazas y son expertos en identificar los signos de la actividad irregular y, asumiendo que los intrusos ya están en el sistema, inician la investigación para encontrar un comportamiento inusual que pueda confirmar la presencia de actividad maliciosa. 

¿Cómo funciona el threat hunting?

En esta búsqueda proactiva de amenazas la investigación suele dividirse en tres categorías principales:

  1. Investigación impulsada por hipótesis.

Las investigaciones impulsadas por hipótesis a menudo se desencadenan por una nueva amenaza que se ha identificado gracias a la información disponible sobre las últimas tácticas, técnicas y procedimientos (TTP) de los atacantes. Una vez que se ha identificado un nuevo TTP, los threat hunters verificarán si los comportamientos específicos del atacante se encuentran en su propio entorno.

  • Investigación basada en indicadores conocidos de riesgo o indicadores de ataque.

Este enfoque para la búsqueda de amenazas implica aprovechar la inteligencia táctica de amenazas para catalogar los indicadores de riesgo y ataque con nuevas amenazas asociadas. Estos luego serán el detonante que alertará a los threat hunters  para descubrir posibles ataques ocultos o actividad maliciosa en curso. 

  • Analítica avanzada y machine learning.

El tercer enfoque combina un potente análisis de datos y aprendizaje automático para tamificar una enorme cantidad de información con el fin de detectar irregularidades que pueden sugerir actividad maliciosa potencial. Estas anomalías se convierten en pistas que son investigadas por analistas expertos para identificar amenazas que puedan pasar desapercibidas. 

Los tres enfoques requieren la participación humana directa, cuya combinación con recursos de inteligencia de amenazas y tecnología de seguridad avanzada es una protegerá de manera proactiva los sistemas y la información de una organización. 

El Threat hunting paso a paso.

El proceso de búsqueda proactiva de amenazas cibernéticas normalmente implica tres pasos: un desencadenante, una investigación y una resolución.

Paso 1: El detonante.

Un detonante señala hacia un sistema o área específica de la red que requiere una investigación adicional cuando se identifican acciones inusuales que pueden ser indicadoras de actividad maliciosa. A menudo, una simple hipótesis sobre una nueva amenaza puede ser el detonante del threat hunting. Por ejemplo, un equipo de seguridad puede buscar amenazas avanzadas que estén utilizando herramientas como el malware sin archivos para evadir las defensas existentes.

Paso 2: Investigación.

Durante la fase de investigación, el threat hunter se puede apoyar en soluciones tecnológicas para profundizar en los posibles riesgos de acción del malware en el sistema. La investigación continúa hasta que la actividad se considera benigna o se ha creado una imagen completa del comportamiento malintencionado. 

Paso 3: Resolución.

La fase de resolución implica la comunicación de información de actividad malintencionada relevante a las operaciones y los equipos de seguridad para que puedan responder al incidente y mitigar las amenazas. A lo largo de este proceso, los threat hunters recopilan tanta información como sea posible sobre las acciones, métodos y objetivos de un atacante. También analizan los datos recopilados para determinar las tendencias en el entorno de seguridad de una organización, eliminar las vulnerabilidades actuales y realizar predicciones para mejorar la seguridad en el futuro. 

Desde Grupo Paradell recomendamos la utilización de esta metodología tradicional para monitorizar e identificar de manera proactiva actividades sospechosas o potencialmente maliciosas con el objetivo de tomar medidas o minimizar, si no evitar, el daño, usada de forma combinada con otras soluciones inteligentes como la fórmula idónea para una óptima protección ante las posible amenazas.

La importancia de la ciber seguridad para los despachos de abogados

Los despachos de abogados gestionan de manera habitual gran cantidad de información muy sensible y confidencial de sus clientes. Esta información se encuentra expuesta a sufrir ataques por parte de ciberdelincuentes que pueden constituir delitos contra la confidencialidad, la disponibilidad de los datos recogidos y los propios sistemas informáticos. Leer mas

Ataque al CEO, un ciberataque en auge

A pesar de que se trata de un ciberataque cada vez más frecuente, el “ataque al CEO” o “fraude del CEO” tiene menos repercusión pública de la que nos gustaría. Ello se debe a que, al tratarse de una suplantación de identidad y no comprometer datos personales más allá de los del propio afectado, no requiere que la empresa notifique a la Agencia de Protección de Datos por incumplimiento de la RGPD o LOPDGDD Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales. Como consecuencia, las medidas de seguridad informática implementadas al respecto difieren en cada empresa, sin existir un protocolo específico sobre cuáles son las apropiadas en cada caso.

Leer mas

Due Diligence reputacional en las empresas

Due Diligence reputacional en las empresas

El Due Diligence reputacional consiste en el proceso de buscar y compilar información sobre una situación particular de un individuo o una organización. 

¿Cuál es la información que se suele someter a un proceso de Due Diligence reputacional?  Leer mas

Grupo Paradell e iusTime renuevan su acuerdo de colaboración profesional

acuerdo de colaboración con iusTime

El director de Desarrollo de Negocio de Grupo Paradell, Fernando Dombriz, y el presidente de la Red Internacional de Asesorías iusTime, Antonio Aladueña, han firmado la renovación del acuerdo de colaboración profesional para el desarrollo de sinergias y cooperación con todos los asociados de la Red Nacional e Internacional.

iusTime es una red de asesorías que presta servicios especializados de gestión a empresas, PYMES, autónomos, profesionales, emprendedores y start-ups de todos los sectores económicos.

Con este acuerdo Grupo Paradell e iusTime tienen como objetivo común la orientación en el servicio profesional, así como poder cubrir las necesidades de los clientes de los despachos profesionales de la Red iusTime, en relación especialmente a la prestación de servicios de investigación Privada y de Forensic Informático.

Grupo Paradell Detectives dispone de una unidad de negocio enfocada al Litigation Support, hecho que encaja perfectamente con el objetivo de iusTime de obtener pruebas e información que permitan apoyar sus demandas ante los Tribunales de Justicia y realizar así informes pre-judiciales que permiten conocer la viabilidad de los pleitos.

Según las necesidades de cada caso, el equipo multidisciplinar de Grupo Paradell aportará soluciones de alto valor añadido para los despachos de la Red iusTime y sus más de 20.000 clientes a nivel nacional e internacional.

Las acciones por violación del derecho de marca están recogidas en la Ley 17/2001 de Marcas

Acciones por violación del derecho de marca

El titular de una marca registrada podrá ejercitar ante los órganos jurisdiccionales las acciones civiles o penales que correspondan contra quienes lesionen su derecho y exigir las medidas necesarias para su salvaguardia, todo ello sin perjuicio de la sumisión a arbitraje, si fuere posible. Leer mas

Incumplimiento de los requisitos de la red de distribución selectiva. Una sentencia práctica

En este artículo del blog de Grupo Paradell comentaremos la sentencia de la Audiencia Provincial de Barcelona relativa a un caso de incumplimiento de requisitos en la red de distribución selectiva.

La Audiencia Provincial declara que las demandadas han infringido el derecho de exclusiva de la actora al comercializar sus productos de la marca Mustela sin respetar aquellas circunstancias que determinan la existencia de motivos legítimos para excepcionar el agotamiento de las marcas. En la comercialización por parte de los demandados no se cumplen  los requisitos de la red de distribución selectiva y se venden  condiciones que menoscaban el prestigio de la marca. El informe de detectives aportado fue una de las claves para probar como se comercializaban los productos de Mustela por la empresa infractora. Leer mas

NULIDAD DE MARCA ESPAÑOLA POR COMPETENCIA DESLEAL

La marca, principal activo intangible de toda empresa, engloba una serie de elementos que definen sus valores y la identifica ante el consumidor y la diferencia frente a la competencia. Todos estos elementos son objeto de la protección que otorgan las leyes y convenios de Propiedad Intelectual. Buen ejemplo de ello es la reciente sentencia en relación con la imitación del envase y otros elementos esenciales que acaban incurriendo en un acto de competencia desleal. Leer mas

DESPIDO PROCEDENTE BASANDO LA PRUEBA EN GPS INSTALADO EN VEHÍCULO DE EMPRESA, CONSTATADO POSTERIORMENTE POR DETECTIVE.

EI Juzgado de lo Social de Murcia ha dictado una interesante sentencia sobre el control del trabajador ejercido por el empresario con el objetivo de demostrar el incumplimiento de las obligaciones de los trabajadores.

El control se inició con una verificación del GPS instalado en el vehículo de la empresa y se constató posteriormente con total certeza tras un seguimiento realizado por un detective.

Datos de la sentencia: Juzgado de lo Social / Sede: Murcia Sección: 8 / Fecha: 14-01-2019 / Nº de Recurso: 230-2018 / Nº de Resolución: 14-2019

 

En el caso que nos ocupa los trabajadores tenían la obligación de realizar la fumigación de una serie de parques y jardines desde las 00:00 hasta las 07:00.  Su trabajo lo realizaban con una furgoneta-remolque que llevaba una cuba de fumigación.

A través del GPS que llevaba dicho vehículo, la empresa pudo saber que los trabajadores paraban el citado vehículo durante largos periodos de tiempo, lo cual era incompatible con el desarrollo de sus funciones pues debían ir de un sitio para otro para proceder a la fumigación, además de que el sitio donde  paraban durante todo ese periodo de tiempo no era ningún punto de las rutas que tenían obligación de fumigar

Debido a lo anterior, se decidió contratar por parte de la empresa los servicios de un detective para que realizara un seguimiento y poder constatar lo que era una evidencia, que ustedes no prestaban servicios durante todos estos periodos, este hecho fue constatado por el propio detective a través de los distintos seguimientos que realizó a los trabajadores.

Estos hechos suponen comportamiento desleal y fraudulento para con el empresario y transgresor de la buena fe que debe imperar en la relación laboral. La conclusión es que los  trabajadores se ha dedicado habitualmente  a permanecer entre las 3:00 horas y las 6:30 horas de la mañana en el interior de su vehículo en una zona en la que no hay ningún punto de servicio al que debieran atender, siendo el tiempo de inactividad, siempre, de más de una hora y media, a veces mucho más. Se trata de una falta muy grave que constituye transgresión de la buena fe contractual merecedora de la sanción de despido. hechos que se les imputaban y que conocían que los vehículos de la empresa estaban dotados de localizador.

Uno de los trabajadores reconoció los hechos y llegó en el acto conciliatorio a un acuerdo con la empresa.

El otro trabajador presentó demanda por despido improcedente

Respecto del fondo del asunto, según indica el propio Juzgado de lo Social el despido debe ser declarado procedente conforme a lo dispuesto en el art. 55.4 del E.T ., ya que han quedado absolutamente probados los hechos imputados al actor en la carta de despido, los cuales son constitutivos de una clara transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo.

 

Ley de Secretos Empresariales (Ley 1/2019, de 20 de febrero)

El pasado 21 de febrero ha sido publicada en el BOE la Ley de Secretos Empresariales. La citada Ley entrará en vigor el día 12 de marzo de 2019.

Tal y como señala la misma en su preámbulo las organizaciones están cada vez más expuestas a prácticas desleales que persiguen la apropiación indebida de secretos empresariales, como el robo, la copia no autorizada, el espionaje económico o el incumplimiento de los requisitos de confidencialidad. La globalización, una creciente externalización, cadenas de suministro más largas y un mayor uso de las tecnologías de la información y la comunicación, contribuyen a aumentar el riesgo de tales prácticas.

Ante tal situación es necesarios que los poderes públicos establezcan mecanismos que permitan garantizar la competitividad que se sustenta en el saber hacer y en la información empresarial no divulgada.

En este contexto, dentro de la Unión Europea se aprobó  la Directiva 2016/943 del Paralamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, a fin de armonizar la legislación de los Estados miembros con el objetivo de establecer un nivel suficiente y comparable de reparación en todo el mercado interior en caso de apropiación indebida de secretos empresariales.

A través de esta Ley 1/2019 se realiza la transposición de la Directiva al ordenamiento jurídico español.  Está estructurada en veinticinco artículos distribuidos en cinco capítulos, una disposición transitoria y seis disposiciones finales.

La definición de lo que debe ser considerado un secreto empresarial está concretada en el artículo 1  que señala que a efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

  • a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;
  • b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y
  • c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

El artículo 3 recoge las situaciones en las que se considerara ilícita la obtención de secretos empresariales. Señalando entre otras cuestiones que será ilícita cuando se lleve a cabo mediante el acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir.

En relación al cálculo de los daños y perjuicios está regulado en el artículo 10, estableciendo que al fijarse la indemnización de daños y perjuicios se tendrán en cuenta todos los factores pertinentes, como son los perjuicios económicos, incluido el lucro cesante, que haya sufrido el titular del secreto empresarial, el enriquecimiento injusto obtenido por el infractor y, cuando proceda, otros elementos que no sean de orden económico, como el perjuicio moral causado al titular del secreto empresarial por su obtención, utilización o revelación ilícitas.

El mismo artículo señala que también podrán incluirse, en su caso, los gastos de investigación en los que se haya incurrido para obtener pruebas razonables de la comisión de la infracción objeto del procedimiento judicial. Como sabemos, es muy habitual recurrir a  detectives privados para la obtención de pruebas en los casos de violación de secretos empresariales. Estos gastos podrán ser incluidos en la reclamación de daños y perjuicios por parte del perjudicado.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies