Categor铆a: Seguridad

C贸mo identificar cuando un empleado quiere robar informaci贸n

Actualmente, el panorama de la corrupci贸n en M茅xico es una de las problem谩ticas m谩s importantes de atender en el pa铆s, que no solo est谩 relacionada con entes gubernamentales; la pr谩ctica es cada vez mayor en las compa帽铆as, por ello, Kroll M茅xico da a conocer los perfiles de aquellos que deciden realizar fraudes en las empresas donde trabajan.

De acuerdo al Reporte Global de Fraude y Riesgo 2017-2018 elaborado por Kroll, los empleados juniors o en entrenamiento (49%); as铆 como ex empleados (37%), y proveedores de servicios de tecnolog铆a (34%) son los responsables de llevar a cabo alg煤n tipo de fraude en las compa帽铆as.

Kroll detect贸 acciones y comportamientos comunes que tienen aquellos que est谩n planeando un robo de informaci贸n de la empresa en la que laboran. Al respecto, Brian Weihs, Director General de Kroll M茅xico comenta, 鈥淪abemos que no todos los defraudadores son iguales, quieren ser invisibles la mayor parte del tiempo, sin embargo, hay ciertas caracter铆sticas que podemos notar se repiten en cada uno de los casos trabajados y nos permiten hablar de un perfil del ladr贸n corporativo鈥.

Son ocho las caracter铆sticas que identifica Kroll:

  • No se suelen tomar vacaciones. Prefieren no tomar un receso para no ser descubiertos cuando no est谩n en la oficina.
  • Son empleados de confianza. Generalmente se acercan a los due帽os o presidentes de empresas y ganan su confianza r谩pidamente.
  • Son los 煤ltimos que salen de la oficina al terminar la jornada. Es en esos periodos de tiempo en los que la oficina est谩 vac铆a o con menor afluencia de p煤blico y empleados,es cuando se cometen las arbitrariedades.
  • Mantienen un bajo perfil dentro de la empresa.聽Con el fin de encubrir sus actividades, los defraudadores tratan de seguir con su 鈥渧ida normal鈥 al interior de las empresas, de tal manera que su conducta no despierte sospechas entre sus compa帽eros de trabajo ni superiores.
  • Logran despistar por completo.聽Los defraudadores, en general tienden a tener una educaci贸n por encima de la media, son de trato agradable y representan al ciudadano com煤n al simular una vida familiar estable.
  • Van m谩s adelante que todos.聽Los defraudadores d铆a a d铆a se est谩n adelantando a los controles, pues suelen tener un conocimiento muy detallado de la forma en c贸mo opera la organizaci贸n y sus sistemas de informaci贸n.
  • Se manejan como 鈥渄ue帽os鈥 del sector donde trabajan. Al tener conocimiento de todo tipo de controles y la confianza de sus superiores, se manejan dentro de su sector de forma muy natural y r谩pida.
  • Rechazan injustificadamente ascensos o rotaciones. Generalmente no buscan ser promovidos ni cambiados de sector para no perder la relaci贸n con el proveedor con el que est谩 haciendo su negocio paralelo.

Este tipo de caracter铆sticas, es un parte del panorama, hay otros puntos a analizar. La f贸rmula que puede llegar a desencadenar alg煤n tipo de fraude en las compa帽铆as contiene cuatro elementos importantes: el incentivo, la racionalizaci贸n, oportunidad, y la capacidad. Estos forman el 鈥淒iamante del Fraude鈥 desarrollado por David T. Wolfe, y Dona R. Hermanson.

鈥淭omando en cuenta los cuatro ejes del 鈥淒iamante del Fraude鈥, resulta m谩s claro entender la problem谩tica al interior de las compa帽铆as. Presiones y situaciones agobiantes, son incentivos para propiciar un comportamiento il铆cito; estos se convierten en argumentos v谩lidos para llevar a cabo acciones indebidas; si no hay un control efectivo dentro de la compa帽铆a que sancione claramente el delito, la oportunidad de cometerlo es mayor, y finalmente si se tiene el conocimiento necesario para llevar a cabo el acto regular, el resultado final detonar谩 en un fraude鈥, explica Arturo del Castillo, Director Asociado de Kroll M茅xico.

驴C贸mo solucionar esto?

Son necesarios los controles permanentes, y el castigo legal a quienes est茅n cometiendo alguna falta. 鈥淪i las empresas identifican al ladr贸n corporativo y en lugar de denunciarlo solo lo despiden sin causa y con indemnizaci贸n, en definitiva, est谩n generando un escenario de fraudes continuos ya que el resto de sus compa帽eros se sentir谩n impunes鈥, indica Arturo del Castillo.

Las empresas deben estar atentas no s贸lo a no generar ambientes propicios para el fraude, sino tambi茅n a identificarlos r谩pidamente. 鈥淐on un castigo legal podemos terminar con el problema de ra铆z. Lo importante es que la empresa est茅 dispuesta a invertir dinero y tiempo en los procesos judiciales鈥, concluye Brian Weihs.

FBI alerta sobre posible ciberataque a cajeros autom谩ticos

El FBI ha detectado un posible ataque a diversos cajeros autom谩ticos del mundo, la operaci贸n 聽fraudulenta recibe el nombre 鈥渟alida de efectivo ATM鈥. Sin precisar el modus operandi, el FBI prev茅 que el retiro de efectivo se realizar谩 mediante tarjetas clonadas.

El posible ciberataque al que se alude se llevar谩 a cabo en los pr贸ximos d铆as, con la probabilidad de que se produzca en fin de semana, como es habitual en este tipo de operaciones.

De acuerdo con el hist贸rico de ataques, son las peque帽as y medianas instituciones financieras las m谩s vulnerables a estas intromisiones, probablemente a causa de un escaso control en su seguridad cibern茅tica o vulnerabilidades de sus proveedores.

Algunas medidas de prevenci贸n y seguridad que el FBI insta a seguir para evitar ser v铆ctima de este nuevo ataque son:

  • Implementar procedimientos de autenticaci贸n dual para la revisi贸n del saldo o retiro de cuenta.
  • Implementar la lista blanca de aplicaciones para bloquear la ejecuci贸n de malware.
  • Monitorear, auditar y limitar las cuentas cr铆ticas del administrador empresarial.
  • Monitorear la presencia de protocolos de red remotos y herramientas administrativas utilizadas para realizar la post-explotaci贸n de una red, como Powershell, cobalt strike y TeamViewer.
  • Monitorear el tr谩fico encriptado (SSL o TLS) que viaja sobre puertos no est谩ndar.
  • Monitorear el tr谩fico de red a las regiones en las que no esperar铆a ver conexiones salientes de la instituci贸n financiera.

S21 ha estado en proceso de monitorizaci贸n de esta informaci贸n, con el objetivo de poder contrastar la citada alerta, as铆 como averiguar el m茅todo y otras caracter铆sticas que este tipo de ataque podr铆a tener en caso de materializarse pr贸ximamente.

Hackers atacan la bolsa de criptomonedas con malware para MacOS

El equipo de investigaci贸n y an谩lisis global de Kaspersky Lab, ha descubierto AppleJeus, una nueva operaci贸n maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyano. El objetivo del ataque fue robar criptomonedas de sus v铆ctimas. Adem谩s de ese malware basado en Windows, los investigadores pudieron identificar una versi贸n, hasta entonces desconocida, dirigida a la plataforma MacOS.

Este es el primer caso en que los investigadores de Kaspersky Lab han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atenci贸n para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas.

Con base en el an谩lisis del equipo de investigaci贸n, la penetraci贸n de la infraestructura de la bolsa de intercambio comenz贸 con el descuido de un empleado que descarg贸 una aplicaci贸n de terceros desde un sitio web aparentemente leg铆timo de una empresa que desarrolla software para el comercio de criptomonedas.

El c贸digo de la aplicaci贸n no es sospechoso, con excepci贸n de un componente: un actualizador. En el software leg铆timo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, act煤a como un m贸dulo de reconocimiento: primero recopila informaci贸n b谩sica sobre la computadora en la que se ha instalado, luego env铆a estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el c贸digo malicioso regresa, pero en forma de una actualizaci贸n de software. La actualizaci贸n maliciosa instala es un troyano conocido como Fallchill, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente. Este hecho dio a los investigadores una base para atribuir el origen. Despu茅s de instalado, el troyano Fallchill proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar informaci贸n financiera valiosa o bien, instalar herramientas adicionales para tal fin.

La situaci贸n se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. Esta 煤ltima suele estar mucho menos expuesta a amenazas cibern茅ticas en comparaci贸n a Windows.

La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma.

Otra cosa inusual acerca de c贸mo funciona AppleJeus es que, si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utiliz贸 para entregar la carga maliciosa a las computadoras de las v铆ctimas tiene un certificado digital v谩lido para firmar su software y datos de aspecto leg铆timo para registro del dominio. Sin embargo, al menos con base en informaci贸n p煤blica, los investigadores de Kaspersky Lab no han podido identificar ninguna organizaci贸n leg铆tima ubicada en la direcci贸n utilizada en la informaci贸n del certificado.

“Notamos un inter茅s creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instal贸 software para minar Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces teniendo como objetivo las bolsas de intercambio de criptomonedas junto con organizaciones financieras regulares. El hecho de que desarrollaran malware para infectar a usuarios de MacOS adem谩s de usuarios de Windows y, muy probablemente, hasta crearan una compa帽铆a y un software completamente falso para poder entregar este malware sin ser detectados por las soluciones de seguridad, significa que ven gran potencial de ganancias en la operaci贸n, y definitivamente debemos esperar m谩s casos similares en un futuro cercano. Para los usuarios de MacOS, este caso es una llamada de atenci贸n, especialmente si usan sus Macs para realizar operaciones con criptomonedas”, se帽ala Vitaly Kamluk, director del Equipo Global de Investigaci贸n y An谩lisis para Asia-Pacifico en Kaspersky Lab.

El grupo Lazarus, conocido por la forma avanzada de sus actividades y sus v铆nculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino tambi茅n por ataques con motivos financieros. Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.

 

 

Tecnolog铆as que est谩n expandiendo la superficie de ciberataque moderna

Los entornos de TI modernos, formados por tecnolog铆as nuevas y heredadas, est谩n creando una gran brecha en la capacidad de las organizaciones para comprender realmente el riesgo o el Cyber Exposure. Desde el Internet de las cosas hasta las Tecnolog铆as de Operaci贸n (OT), los profesionales de la ciberseguridad tienen la tarea de proteger una red din谩mica y sin fronteras.

M谩s del 90% de las organizaciones tienen aplicaciones que se ejecutan en la nube. Adem谩s, cada d铆a crece la cantidad de proyectos con el Internet de las cosas y el desarrollo de software 谩gil, entre otras nuevas tecnolog铆as.

La superficie del ciberataque cambia constantemente, creando lagunas en la cobertura de seguridad. Hoy en d铆a, los responsables de la seguridad se sienten abrumados por el entorno actual de las ciberamenazas y la gran cantidad de soluciones de seguridad existentes en el mercado. Muchos de ellos carecen de confianza en su capacidad para evaluar con precisi贸n la exposici贸n y el riesgo.

Tenable nos presenta los 聽siete componentes principales de la superficie de ataque cibern茅tico en la actualidad:

01. Nube.聽La agilidad que permite el uso de servicios de infraestructura en la nube, como Amazon Web Services, puede ser un dolor de cabeza para los equipos de seguridad. Las instancias en la nube suelen aparecer y desaparecer, y es com煤n que una estrategia tradicional de administraci贸n de vulnerabilidades las pierda de vista. Un mecanismo que permite el cumplimiento normativo y de pol铆ticas es necesario a pesar de que hay instancias en la nube creadas fuera de las 谩reas de TI.

 

2. Movilidad / BYOD. Las computadoras port谩tiles, tabletas, tel茅fonos inteligentes y otros dispositivos personales ahora pueden conectarse a la red corporativa, pero la falta de pol铆ticas de seguridad robustas para administrar estos dispositivos pondr谩 en peligro la red y los recursos.

 

3. DevOps / Contenedores. A medida que las organizaciones adoptan las pr谩cticas de DevOps para mejorar la prestaci贸n de servicios, la coordinaci贸n entre los equipos de desarrollo y los equipos de seguridad se vuelve cr铆tica. El cambio en la forma en que se construye el software y el uso de activos con una vida 煤til tan corta como los contenedores, ayuda a las organizaciones a aumentar la agilidad pero tambi茅n a exponerse a las amenazas cibern茅ticas. De nuevo, una estrategia de gesti贸n de vulnerabilidad tradicional no se aplica en estos entornos.

4. Aplicaciones web. La entrega de aplicaciones personalizadas puede aumentar la eficiencia y mejorar la experiencia de los empleados y los clientes, pero tambi茅n significa que las organizaciones deben asumir la responsabilidad de encontrar fallas en su propio c贸digo de desarrollo.

 

5. Sistemas SCADA. Con la digitalizaci贸n, existe una necesidad a煤n mayor de salvaguardar los activos industriales. Por ejemplo, la transformaci贸n del sector de la energ铆a en M茅xico implica la implementaci贸n de sistemas de control y adquisici贸n de datos (SCADA, por sus siglas en ingl茅s). Estos sistemas, integrados a las redes de comunicaci贸n, los hacen vulnerables a los ciberataques que, en la mayor铆a de los casos, representan una amenaza para la seguridad nacional, ya que son instalaciones de infraestructura cr铆tica. La necesidad de conocer, gestionar y controlar el grado de exposici贸n se vuelve cada vez m谩s importante.

 

6. Internet de las cosas en la industria. La transformaci贸n digital est谩 impulsando la conectividad con componentes que, por lo general, no formaban parte de una red inform谩tica. La convergencia entre el OT y la tecnolog铆a de la informaci贸n (TI) es una realidad en constante crecimiento y es responsabilidad de las 谩reas de seguridad tomar conciencia del deber de conocer el grado de exposici贸n a un ataque en toda la superficie y no solo sobre la tradicional Activos de TI.

7. Internet de las cosas en la empresa. Los dispositivos en todas partes ahora est谩n conectados y son programables, como sistemas de video vigilancia, control de acceso, sistemas telef贸nicos, sistemas de climatizaci贸n y sistemas de iluminaci贸n. Est谩n todos conectados a la red corporativa y ampl铆an la superficie del ciberataque.

Los equipos de seguridad necesitan un enfoque moderno para comprender su base de el谩stica de activos, un enfoque que les permita conocer el inventario de activos de la organizaci贸n y su nivel de exposici贸n al riesgo en todo momento. La mayor铆a de los ataques exitosos resultan de explotar una vulnerabilidad conocida no remediada, por lo que incluir CyberExposure en su programa de seguridad se vuelve cr铆tico para el 茅xito de su organizaci贸n.

 

Por: Luis Isselin, gerente regional de Tenable en M茅xico.