Categoría: Amenazas

Mercado negro: precios y servicios que se ofrecen en la dark web

El cibercrimen como servicio existe cuando un criminal ofrece productos o infraestructura en el mercado negro a cambio de un precio. ESET investigó la industria del cibercrimen desde la dark web para conocer qué se ofrece y  cuánto cuestan estos servicios.

“La industria del cibercrimen es un negocio que costó al mundo 3 trillones de dólares en 2015 y se prevé que esta cifra ascenderá a 6 trillones en 2021, según afirmó Cybersecurity Ventures. Por costos nos referimos a los gastos incurridos luego de un incidente, ya que en un ataque de ransomware, por ejemplo, no solamente se contabiliza el pago del rescate, sino también los costos relacionados a la pérdida de productividad, mejora de las políticas de seguridad, inversión en tecnología, o daños a la imagen, por mencionar algunos”, comentó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Dentro de los que los investigadores de ESET se encontraron se encuentra:

Ransomware como servicio

Se encontró diversos paquetes de ransomware en la dark web, como si se tratara de la venta de software legal. Actualizaciones, soporte técnico, acceso a los servidores de C&C y distintos planes de pago son algunas de las características que se observaron.

Uno de los ransomware que se ofrecen es Ranion, que sigue un esquema de pago periódico. Cuenta con varios planes de suscripción disponible por distinto precio, donde el más económico tiene un costo de 120 dólares por un mes y el más caro alcanza los 1900 dólares anuales si se agregan funcionalidades al ejecutable del ransomware. Quien desee contratar estos servicios debe encargarse de la propagación del malware, haciendo llegar el ransomware a las víctimas.

Ransomware Ranion se ofrece en la dark web.

Venta de acceso a servidores

Se ofrecen credenciales de acceso por escritorio remoto (RDP) a servidores en distintas partes del mundo. Los precios varían entre 8 y 15 dólares por cada uno y se puede buscar por país, sistema operativo y hasta sitios de pagos a los que se ha accedido desde el servidor. La compra de estos accesos podría verse asociada a la posterior ejecución de un ransomware, utilizar el servidor como C&C de alguna botnet o a la instalación de algún malware más sigiloso, como troyanos bancarios o software espía.

Venta de accesos por RDP a servidores de Colombia.

Alquiler de infraestructura

Cibercriminales, poseedores de botnets o redes de computadoras infectadas, ofrecen el alquiler de su poder de cómputo, ya sea al servicio del envío de correos de spam o para generar ataques de DDoS. En el caso de los ataques de denegación de servicio, el precio varía de acuerdo con el tiempo que dura el ataque (puede variar entre 1 hora y 24 horas) y la cantidad de tráfico que la botnet es capaz de generar en ese tiempo. Un ejemplo de 60 dólares por 3 horas.

Relacionado a lo anterior, está el caso de jóvenes y adolescentes que ofrecen el alquiler de sus (pequeñas) botnets, generalmente para atacar servidores de juegos online como Fortnite. Utilizando redes sociales para promocionarse y sin preocuparse por mantenerse anónimos. También suelen ofrecer cuentas robadas en venta.

Instagram como plataforma para ofrecer en alquiler botnets.

Venta de cuentas de PayPal y tarjetas de crédito

Los autores de ataques de phishing no utilizan directamente las cuentas robadas sino que revenden las cuentas a otros criminales. Por lo general cobran un 10% de la cantidad de dinero que tiene disponible la cuenta robada. En algunos casos los vendedores incluso muestran las herramientas y sitios falsos que utilizan para hacer phishing.

Cibercriminales que explican el paso a paso.

Los investigadores de ESET observaron la manera en que los cibercriminales, escondidos detrás de herramientas que les proveen cierto grado de anonimato, configuran una fructífera industria criminal, que incluye desde publicidad y marketing hasta servicios de atención al cliente, actualizaciones y manuales de usuario. En este ecosistema criminal hay muchos clientes internos pero la verdadera ganancia la tienen aquellos cibercriminales que cuentan con una infraestructura o servicio bien establecido.

Durante su presentación en la última edición de Segurinfo el Global Security Evangelist de ESET, Tony Anscombe, hizo un recorrido por la dark web y mencionó: “la industria del malware dejó de ser disruptiva y en la actualidad presenta características como las de una empresa de software”. Lo que sostiene que en la actualidad existe un proceso de comercialización y distribución del software y de los productos y servicios que los cibercriminales ofrecen en esta industria.

Descuidos del personal, responsable del 46% de los inicidentes de seguridad: Estudio

19% de los hombres latinoamericanos admite ver contenido para adultos en la computadora de su trabajo, según reveló un estudio regional desarrollado por Kaspersky Lab en conjunto con la consultora chilena de estudios de mercado CORPA. De acuerdo al sondeo, quienes llevan la delantera en este ámbito son los peruanos (26%), seguidos por brasileños (24%), mexicanos y argentinos, con 19%. En tanto, quienes menos aseguran mirar fotos y videos de índole sexual en la oficina son chilenos (14%) y colombianos (12%).

En cuanto a las mujeres, las colombianas son las que más caen en este hábito con 13%, seguidas por peruanas, con 10%, mexicanas y brasileñas, con 9%. Al final de la lista están argentinas y chilenas, con 7% y 4% respectivamente.

Según un estudio publicado por Kaspesky Lab a principios de este año, más del 17% de los usuarios mexicanos infectados por malware móvil en 2017 sufrieron ataques relacionados con temas pornográficos.

El estudio mostró también que los troyanos bancarios disfrazados de reproductores de video porno ocupan el segundo lugar entre los tipos más extendidos de malware accionado por la pornografía. Le siguen el malware con acceso root y el ransomware. Este último, en muchos casos, utiliza tácticas de scareware: un programa malicioso en el PC que bloquea la pantalla y muestra un mensaje que indica que se ha detectado contenido ilegal y, por lo tanto, el dispositivo se ha bloqueado. Para desbloquearlo, la víctima debe pagar un rescate.

Además de mirar contenidos de índole sexual en el trabajo, la reciente encuesta mostró que los hombres son quienes más compran en línea mientras se desempeñan laboralmente: en promedio, 42% de ellos lo hace, principalmente jóvenes de entre 25 y 34 años. En contraste, quienes menos practican esto, son mujeres de 18 a 24 años.

Asimismo, 73% de los trabajadores latinoamericanos -hombres y mujeres- declara leer su correo personal en la oficina, y 49% afirma que revisa y postea en sus redes sociales. De estos, 40% no ve mayores inconvenientes, debido a que en el trabajo “pasa la mayor parte del día”.

Junto con esto, 25% de los latinoamericanos señala que no cuenta con una laptop únicamente para trabajar y, si lo tiene, 30% de los encuestados lo conecta a una red pública de Wi-Fi (cafés, restaurantes y aeropuertos) cuando está fuera de la oficina. Solo 8% asegura que se conecta a una red virtual privada (VPN) mientras se encuentra en campo.

“Las prácticas poco rigurosas de algunos colaboradores pueden ocasionar graves daños a las compañías, ya que aumentan el riesgo de filtración de datos corporativos confidenciales”, recalca Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina. “El riesgo de infección existe y está presente tanto en sitios para adultos, como en aquellos que no tienen nada que ver con pornografía. En el caso de los primeros, los estafadores están bien preparados para atraer a los usuarios. Sin embargo, no basta con que los empleados eviten la pornografía online y las apps sospechosas. Lo importante es mantener siempre protegidos los dispositivos, tanto los de los propios trabajadores, como los de toda la organización”, agrega.

Tal vez te interese: 4 Maneras de crear una cultura de seguridad en TI

Respecto del uso de dispositivos pertenecientes a empresas, si bien 30% de los consultados afirma pertenecer a una compañía de más de 300 empleados, solo 44% responde a una política corporativa de seguridad que resguarda el uso de celulares o computadores portátiles. Otro 35% no se rige por ninguna norma y 21% desconoce si su compañía tiene alguna implementada. De estos, 29% corresponde a jóvenes de entre 18 y 24 años.

“Los empleados, siendo los usuarios finales, son el eslabón más débil de la cadena en ciberseguridad ya que sus malos hábitos en línea ponen en riesgo a las redes corporativas y los datos confidenciales de las empresas. Una investigación que realizamos a principios de año reveló que los descuidos del personal contribuyeron al 46% de los incidentes de ciberseguridad en las empresas en 2017, lo que evidencia la importancia de que las organizaciones establezcan políticas y normas de seguridad de TI, y que hagan esto factible para todos los colaboradores y no solo para quienes son expertos en el área”, finaliza Bestuzhev.

 

México, entre los países más afectados por el ransomware en 2018

Eset informa que los países de la región que terminaron el año con más detecciones de malware del tipo ransomware fueron Colombia (30%), Perú (16%) y México (14%). Mientras que, a nivel global, Estados Unidos (9%) y Rusia (7%) se llevaron los primeros puestos en el ranking.

Las familias de ransomware que más actividad mostraron en el mundo fueron TeslaCrypt, Crysis y CryptoWall, seguidos de TorrentLocker y WannaCryptor. Sin embargo, algunas de estas familias impactaron de forma particular en Latinoamérica.

Colombia fue el país con más detecciones del ransomware llamado “Crysis” principalmente por una campaña dirigida especialmente para el país. La campaña utilizaba ingeniería social para engañar a los usuarios a través de un supuesto correo electrónico que le informaba de una situación de deuda. De este modo, el usuario descargaba el archivo adjunto del falso correo y se infectaba. El 82% de las detecciones de ransomware en el país corresponden a Crysis. En total, se detectó en el país un incremento de 199% respecto a las detecciones de ransomware durante 2017.

Perú también tiene su propio micro ecosistema de ransomware dominado particularmente por dos familias. Una de ellas es CryptProjectXXX. Esta variante, además de cifrar la información, posee capacidades para robar información sensible. La otra familia de ransomware presente en el país es Filecoder.NHN, creada en 2016 y programada con lenguaje Autolt. Este lenguaje tuvo un incremento del 810% en detecciones desde su aparición en el 2015.

En el caso de México, el escenario del ransomware se encontró un poco más diversificado. A lo largo del año pasado, más de 200 variantes de ransomware se propagaron en territorio mexicano. Las dos familias que centralizaron mayores detecciones fueron Crysis y TeslaCrypt, cada una concentrando el 14% de las detecciones de FileCoder del país. CryptoWall con 13% obtuvo el tercer lugar.

Detecciones de FileCoder en Latinoamérica durante el 2018. ESET.

Para finalizar, cabe mencionar que si bien el ransomware ha dejado de ser el foco principal de atención en el mundo de la ciberseguridad en cuanto a cantidad de detección, las devastadoras consecuencias que tiene sobre sus víctimas lo posicionan actualmente como la principal causa de preocupación para las organizaciones de la región, según datos del ESET Security Report elaborado por ESET Latinoamérica.

“Según lo visto a lo largo de todo el 2018, y especialmente, con la aparición masiva de los criptomineros, creemos que los cibercriminales podrían modificar su modus operandi, enfocándose en la creación de ransomware más complejo para entornos corporativos con campañas de propagación mucho más enfocadas. O quizás reinventen la forma de secuestro digital añadiendo nuevas funcionalidades. De cualquier forma, podemos esperar que ambas amenazas continúen vigentes en los próximos años, y no que una desplace o reemplace a la otra”, reflexiona Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

Troyano suplanta identidad de la CFE para infectar usuarios mexicanos

ESET lanza la alerta sobre un correo fraudulento dirigido a usuarios mexicanos, donde se intenta suplantar a la Comisión Federal de Electricidad (CFE), como ya ha ocurrido en otras ocasiones, haciendo alusión a una supuesta deuda de los usuarios.

Tal como se observa en la imagen aquí abajo, el correo aparenta llegar desde una cuenta oficial de la institución en cuestión, aunque se puede observar que, naturalmente, el correo de origen no corresponde con la empresa. En el mensaje los atacantes sugieren al usuario revisar un documento a la brevedad, para “evitar sanciones”.

Se trata de una campaña de propagación de malware activa. A diferencia de campañas similares (donde se utilizaba macromalware para la descarga y ejecución del payload), en esta ocasión el código malicioso se descarga de forma directa desde los enlaces incluidos en el cuerpo del correo

El documento de descarga aparenta ser un archivo PDF, aunque en realidad se trata de un ejecutable (EXE), identificado por las soluciones de seguridad de ESET como Win32/Neurevt.I.

Esta variante de Neurevt se identificó por primera vez en abril de 2015, con una importante actividad en territorio mexicano desde entonces.

De hecho, en los últimos años ha sido utilizada con frecuencia en campañas maliciosas relacionadas con la suplantación de identidad de distintas instituciones mexicanas.

Por ejemplo, de septiembre de 2015 a mayo de 2016 estuvo propagándose activamente; otro pico importante de actividad se identificó en mayo de 2017, y un ligero resurgimiento hacia finales de 2018, tal como lo muestra en la gráfica de actividad del código malicioso.

Entre otras características, se trata de un troyano que funciona como una puerta trasera (backdoor) que puede ser controlado de forma remota. Neurevt.I también tiene la capacidad de propagarse a través de medios removibles una vez que ha infectado un sistema y una de sus principales funciones consiste en robar contraseñas e información sensible de los usuarios.

Desde su aparición hasta la fecha, México ha sido el país con el mayor número de detecciones de esta amenaza a nivel mundial y regional, ya que el 45% de las detecciones globales se han realizado en territorio mexicano, lo que muestra su continua actividad en esta zona geográfica.

Como ocurre con frecuencia, una de las vías más utilizadas para propagar este tipo de códigos maliciosos continúan siendo los correos electrónicos, por lo que seguir buenas prácticas en el uso de esta importante herramienta, así como contar con una solución de seguridad contra malware, se han vuelto prácticamente una necesidad.

Además, es importante verificar los remitentes de dichos mensajes e ignorar enlaces sospechosos que instan a la descarga de archivos en Internet o redirigen a sitios desconocidos. Es recomendable hacer caso omiso a los mensajes intimidatorios o que suenan demasiado buenos para ser verdad, ya que cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad.

 

Joven de 20 años, autor de la filtración de datos de políticos alemanes

La semana pasada se dio a conocer la filtración masiva de datos de cientos de políticos alemanes, de prácticamente todas las formaciones excepto de la ultraderecha.

En concreto, se publicó información personal de los funcionarios públicos en Twitter, incluida la canciller Angela Merkel, desde contactos o mensajes privados hasta detalles de tarjetas de crédito. Se trata de un ataque perpetrado durante el mes pasado y que, a modo de calendario fue publicando los datos de los distintos funcionarios día a día en Twitter. De este ataque se han salvado las formaciones ultraderechistas del conglomerado político teutón. Del escándalo, también se han visto salpicados celebridades y periodistas.

Ayer fue detenido un joven de 20 años como presunto culpable del incidente, aunque ya ha sido puesto en libertad.

Según varios medios alemanes, el joven habría confesado la autoría aunque, tal y como publica Der Spiegel, no es consciente de las consecuencias que ha tenido su acción. “En el curso del interrogatorio, el sospechoso ha confesado haber actuado solo”, señaló Georg Ungefuk, fiscal de la oficina que investiga los delitos cibernéticos, en unas declaraciones recogidas por The New York Times. “Con respecto a su motivación, ha espetado que estaba indignado con el panorama político actual”.

 

IDG.es

Edificios inteligentes impulsan seguridad y reducen costos

Los incendios se han convertido en un problema que aqueja a varios negocios y empresas de México. Anualmente en ese país se registran cerca de 3 mil incendios estructurales, de los cuales 20% son causados por fallas en instalaciones eléctricas y otro 15% por aparatos electrónicos en mal estado, promediando una muerte por incidente. Además, las pérdidas económicas alcanzan los 4.8 billones de pesos, de acuerdo a las instituciones de seguros.

En la actualidad, México y varios países de Latinoamérica se han dedicado a construir de forma vertical grandes plazas comerciales, hospitales, hoteles y oficinas bajo el concepto de edificios inteligentes, esto con la idea de poder obtener el mayor rendimiento posible de los mismos sin gastar mucho en su mantenimiento. “Estas construcciones deben ser capaces de recopilar datos en todos los sistemas y presentarlos en un formato útil para los responsables de la toma de decisiones a través de soluciones inteligentes de infraestructura”, comentó Rafael Vásquez, Director General de Era Telecomunicaciones.

La verticalidad de los complejos previamente mencionados aumenta el riesgo de una tragedia en caso de que exista un incendio u otro tipo de accidente de esa índole por las dificultades que implicaría desalojarlo.

Varios edificios han empleado soluciones de última generación que permiten reducir la posibilidad de que ocurran siniestros e incluso disminuyen el consumo energético en las instalaciones.

“Soluciones de última generación funcionan desde el engine conectando cada luminaria a través de sensores, este define temperatura, iluminación y movimiento, por lo que detectan cualquier acción en las instalaciones”, comentó David Girón, Business Development Manager de Wtec AG.

Las luminarias, sensores y alarmas que utilizan este tipo de soluciones, al igual que la gran mayoría de los artefactos que tenemos hoy en día, ya forman parte del IoT o internet de las cosas; es decir que ya están conectadas a una infraestructura de red. En los edificios inteligentes, estos dispositivos están cableadas hacia un centro de datos, el cual hay que gestionar de la mejor manera posible y reducir a lo más mínimo cualquier riesgo de error humano para no caer en downtimeo fallas que pueden generar una tragedia.

“Existen alternativas para la gestión automatizada de centros de datos que permiten asegurar centros de datos y sobre todo facilitar el control de los mismos. Estas soluciones reportan de manera inmediata cualquier cambio no programado o desperfecto en la infraestructura de cableado, o en cualquier dispositivo que requiera un tratamiento especial para su conexión, como luminarias, alarmas, cámaras o controles de acceso, entre otros; los cuales ayudan a mantener más vigilado el edificio inteligente”, concluyó José Armas,Director Comercial de ERA Telecomunicaciones.

Hackers podrían publicar documentos relacionados con el 11-S

Un grupo de hackers está solicitando un rescate por información de más de 18,000 documentos relacionados con el 11-S, de lo contrario, amenazan con publicar toda esta información de carácter sensible.

En concreto, se trata del grupo de atacantes The Dark Overload (El señor oscuro) los cuales afirmaron tener en su poder estos documentos del famoso atentado terrorista ocurrido el 11 de septiembre de 2001 a las torres gemelas y el pentágono de los Estados Unidos, y que, de no recibir a cambio un pago de una cantidad indeterminada en bitcoins, filtrarían estos datos.

Todos estos archivos han sido supuestamente robados a las aseguradoras Hiscox y Lloyd’s y este grupo de hackers aseguran que podrían revelar “toda la verdad” de uno de los mayores atentados de la historia de Occidente y que golpeó el corazón del World Trade Center bajo la autoría de Al Qaeda.

Según lo publicado por el grupo, cualquier persona que pueda estar preocupada por su aparición en los documentos puede pagar por el rescate de dicha información. The Dark Overload saltó a la fama en 2016 por publicar historiales sanitarios de pacientes de distintos centros médicos. También está detrás de un pirateo a Netflix y se estima que ha actuado contra más de 50 grandes compañías.

IDG.es

¿Se puede hackear el Face ID de Apple?

El gurú chino de la ciberseguridad, Wish Wu, asegura que sabe cómo burlar el sistema de reconocimiento facial de los nuevos dispositivos Apple, conocido Face ID. Tanto es así que, según Reuters, éste iba mostrarlo durante su participación en la conferencia Black Hat Asia, pero la compañía para la que trabaja, Ant Financial, le ha pedido que cancele la charla.

Las connotaciones que podrían haber tenido esta revelación son importantes ya que este sistema se utiliza para asegurar decenas de millones de iPhone en todo el mundo que cuentan con aplicaciones bancarias, de sanidad, correos electrónicos o simplemente mensajes y fotografías personales.

La compañía de la manzana lanzó este sistema para su última versión de dispositivos (iPhone X) en sustitución de Touch ID, la solución biométrica basada en la huella dactilar y que logró ser pirateada solo unas horas después de su lanzamiento en 2013. Sin embargo, la probabilidad matemática de que una persona al azar pueda burlar a Face ID es de una entre un millón, mientras que la de Touch ID era de una entre 50,000. Todavía, aseguran los expertos ( y aparte de lo que haya dicho Wu) no se ha publicado ningún documento que explique con éxito cómo saltarse esta barrera protectora.

En conversación con Reuters, el propio Wu se ha mostrado de acuerdo con la decisión de su compañía de cancelar dicha charla en el evento. “Lo hemos hecho para garantizar la credibilidad y la madurez de los resultados de la investigación”.

 

IDG.es

tRAT, troyano que se esconde en antivirus y marcas de prestigio

S21sec alerta acerca de una campaña de phishing de un troyano denominado tRAT, que se ejecuta a través de las macros contenidas en documentos infectados. Dicho malware es un modular escrito en Python, que se comunica con el panel de control y es capaz de descargar módulos adicionales mediante mensajes encriptados con distintas claves dependiendo del módulo que utilice.

Una vez que el dispositivo está infectado, el atacante es capaz de acceder a la información almacenada dentro del mismo.

La particularidad de este malware es que usa los logos e imagen de marcas comerciales para esconderse. Los ataques han sido realizados a través de dos campañas que distribuyen tRAT.

En la primera, se utiliza la marca de una aplicación de reseñas hoteleras y una imagen de un supuesto video cargándose. Esto puede llevar al receptor a entender que para que el video cargue completamente será necesaria la habilitación de los macros. Si estos son habilitados, se producirá la descarga del payload de tRAT.

En la otra variante, los atacantes utilizan la imagen de un fabricante de antivirus para computadoras personales. Estos emails contienen un archivo Word adjunto con un texto en el que se puede leer “Este documento ha sido asegurado por el fabricante“. Esto lo hacen para hacer creer a las potenciales víctimas que el contenido del Word es seguro y, así incitar a la habilitación de los macros, que posteriormente descargan el tRAT.

Investigadores de Proofpoint descubrieron que la actividad se origina desde TA505, un grupo de cibercriminales conocidos por sus campañas con malware bancario y ransomware.

 

Recomendaciones

Es necesario verificar que los remitentes de los documentos sean siempre fuentes confiables y no desconocidos, así como un uso responsable al abrir un documento que incluya macros. Además se debe mantener actualizada la suite Microsoft Office, así como los parches de seguridad de la misma.

Aumenta la cantidad de tráfico encriptado: Fortinet

A medida que las organizaciones aceptan más dispositivos móviles y del Internet de las Cosas (IoT) en sus redes y adoptan arquitecturas de múltiples nubes cada vez más complejas, los datos y los flujos de trabajo ya no se limitan a un segmento estático y altamente seguro de la red. El tráfico web y basado en aplicaciones comprende un mayor volumen del tráfico total y gran parte de éste incluye datos confidenciales o acceso a información que tradicionalmente estaba oculta en el centro de datos.

Para adaptarse a este cambio, las organizaciones están aumentando su dependencia de la encriptación, principalmente la capa de sockets seguros (SSL) y la seguridad en la capa de transporte (TLS), para proteger sus datos en movimiento.

El tráfico encriptado ha alcanzado un nuevo umbral de más del 72% de todo el tráfico de la red. Eso es un aumento de casi el 20% en tan sólo un año, en comparación con el 55% en el tercer trimestre de 2017.

Esta estrategia tiene muchos beneficios, el más importante es que permite que datos, aplicaciones, flujos de trabajo y transacciones iniciadas tanto por empleados como por consumidores se muevan a donde los requerimientos del negocio lo necesitan. A su vez, esto permite la transición global a una economía digital.

Si bien en muchos sentidos el crecimiento de la encriptación es bueno para la seguridad, la tasa de encriptación más alta también presenta desafíos severos a la inspección profunda del tráfico para monitorear y detectar amenazas. Debido a que la encriptación es simplemente una herramienta, puede usarse para proteger cualquier tráfico de detección, ya sea bueno o malicioso. Los cibercriminales, por ejemplo, son muy conscientes del crecimiento de la encriptación y la utilizan para su ventaja al ocultar su presencia y evadir la detección, ya sea entregando malware o extrayendo datos robados. Y a medida que el volumen y el porcentaje de datos encriptados continúan creciendo, estas tácticas delictivas tienen más probabilidades de ocultarse a simple vista.

 

Pocos dispositivos de seguridad pueden mantenerse al día

Una razón por la que esta es una preocupación creciente y está a punto de alcanzar un umbral crítico es que la inspección del tráfico encriptado impone limitaciones de rendimiento en casi todos los firewalls y dispositivos de sistemas de prevención de intrusión (IPS) disponibles en el mercado hoy en día.

De acuerdo con los resultados de las pruebas recientes de NSS Labs, muy pocos dispositivos de seguridad pueden inspeccionar datos encriptados sin afectar gravemente el rendimiento de la red. En promedio, el impacto en el rendimiento para la inspección profunda de paquetes es del 60 por ciento, las tasas de conexión se redujeron en un promedio del 92 por ciento y el tiempo de respuesta aumentó en un 672 por ciento. Por supuesto, este tipo de resultados hace que la mayoría de los dispositivos de seguridad tradicionales sean casi inútiles en las redes de hoy en día, donde la encriptación es la norma y el rendimiento es fundamental. Como resultado, gran parte del tráfico encriptado de hoy no se está analizando en busca de actividad maliciosa, lo que lo convierte es un mecanismo ideal para que los delincuentes difundan malware o puedan extraer datos.

Las empresas deben conocer y preocuparse si no están descifrando e inspeccionado el tráfico SSL, no sólo de fuentes no confiables, sino también de dispositivos, especialmente IoT.

Abordando el reto

Fortinet presenta algunas sugerencias para ayudar a las organizaciones a abordar este creciente problema de seguridad:

  • Practique una buena higiene de seguridad: casi todas las listas de recomendaciones debieran comenzar aquí. La realidad es que la mayoría de los problemas encontrados en las redes actualmente son el resultado de una falla por no parchear, actualizar o reemplazar dispositivos vulnerables, no verificar configuraciones en busca de errores y no reforzar elementos como puertos para evitar una fácil explotación.

 

  • Pruebe sus dispositivos actuales: a medida que su entorno de red sigue evolucionando, es fundamental que identifique posibles obstáculos antes de que se produzcan. En la medida posible, pruebe los dispositivos de seguridad existentes para detectar problemas de rendimiento al inspeccionar grandes volúmenes de tráfico encriptado SSL/TLS. Del mismo modo, verifique que sean compatibles con todos los cifrados principales.

 

  • Implemente controles de red: una onza de prevención vale una libra de cura. En términos de redes, eso significa generar la mayor cantidad de riesgo posible fuera de la red. En el caso de prevenir un incidente cibernético debido a malware encriptado, la prevención incluye implementar un control de acceso a la red (NAC) para identificar dispositivos, segmentar automáticamente el tráfico para limitar el riesgo y usar análisis de comportamiento para que cuando las aplicaciones no estén donde las espera o el tráfico se origine de un lugar inesperado, usted sea alertado.

 

  • Considere una solución de descifrado fuera del dispositivo: si su volumen de tráfico encriptado es abrumador para los recursos disponibles, considere implementar una solución cuya única función sea descifrar y volver a encriptar los datos.

 

  • No todos los dispositivos de seguridad son iguales: los resultados de las pruebas de laboratorios de terceros como NSS son sus aliados. Una solución totalmente integrada resuelve muchos problemas, especialmente cuando los recursos son limitados. La verdad es que algunos proveedores, aunque sean pocos, tienen la solución frente a los problemas de inspección de SSL/TLS y deben examinarse para evaluar si son buenos candidatos para remplazar las soluciones implementadas actualmente que no pueden mantenerse al día.

 

Esto es solo el comienzo

Si su organización aún no se ha visto afectada por este desafío, pronto lo será. No hay ninguna señal de que el volumen de tráfico vaya a disminuir, ni de que el porcentaje de tráfico de red que se está encriptando o la necesidad de una inspección especializada disminuyan. El mejor enfoque es abordar este desafío antes de que se vuelva crítico. Lo último que quiere hacer es permitir que el tráfico no inspeccionado fluya libremente a través de su red o ser víctima de su propia interrupción por denegación de servicio cuando sus herramientas de seguridad ya no puedan cumplir con los requisitos de rendimiento de su red.

 

Por: John Maddison, vicepresidente senior de Productos y Soluciones de Fortinet.