Categor铆a: Privacidad

SamSam, nuevo ransomware que afecta a infraestructuras cr铆ticas

S21secreport贸 un aumento en los ataques llevados a cabo mediante el ransomware SamSam, el cual es muy particular ya que se lleva a cabo con moderaci贸n, en un n煤mero relativamente peque帽o de ataques dirigidos. El gobierno de Estados Unidos public贸 un aviso acerca de la naturaleza oportunista del mismo, puesto que aprovecha las vulnerabilidades de los sistemas y servidores, para as铆 moverse lateralmente a trav茅s de la red para identificar a sus potenciales objetivos.

El origen de este malware se sit煤a en el a帽o 2016, bajo la autor铆a del grupo conocido como Gold Lowell, quienes tienen como objetivo la industria de la salud, infraestructuras cr铆ticas y gobiernos locales.

Los atacantes de SamSam utilizan una combinaci贸n de t茅cnicas, tales como el pentesting; herramientas como Mimikatz, para obtener credenciales; o PSexec para moverse lateralmente en las redes del objetivo, donde el malware ser谩 instalado manualmente.

Esta t茅cnica permite sortear los antivirus y evitar la generaci贸n de alertas, ya que los dispositivos de seguridad generalmente reconocen este tr谩fico como comandos leg铆timos desde dentro de la organizaci贸n atacada.

 

M茅todos de ataque

Cada ataque de SamSam se ha realizado utilizando una versi贸n diferente del malware, con sus correspondientes mejoras en el c贸digo, que tambi茅n le permiten robar las credenciales de accesos de los dispositivos afectados. En algunos casos, cuando la ejecuci贸n es bloqueada por una herramienta de protecci贸n endpoint, los atacantes modifican el registro de entrada para deshabilitar el escaneado endpoint.

Una vez dentro de una red, pasar铆a todo el tiempo posible escaneando la red, mapeando su dise帽o y utilizando varias herramientas leg铆timas para expandir su acceso a servidores locales desde donde podr铆an infectar otras estaciones de trabajo.

Por 煤ltimo, el ransomware cifra las m谩quinas comprometidas y muestra la nota de rescate a la compa帽铆a afectada, con el consiguiente pago de la compa帽铆a por cada computadora individual o en bloque para todas las estaciones de trabajo infectadas.

 

10 consideraciones de Akamai para la gesti贸n de bots

驴Cu谩l es la soluci贸n de gesti贸n de bots m谩s adecuada? Si se eligiera un sitio Web al azar, se sorprender铆a. Probablemente, descubrir铆a que聽los robots Web automatizados (bots) generan entre 30 y 70 % del tr谩fico total de los sitios Web actuales. Esta sencilla estad铆stica oculta una realidad compleja: identificar el tr谩fico procedente de bots es una cosa, pero saber qu茅 medidas tomar al respecto (y llevarlas a cabo) es algo mucho m谩s complicado, al menos as铆 lo asegura Hugo Werner, Vicepresidente Regional de Akamai para Am茅rica Latina.

El mercado de la gesti贸n de bots est谩 en constante evoluci贸n e incluye muchos proveedores de diferentes tama帽os, que tienen diversos conocimientos y competencias. No obstante, si en algo se parecen es en el marketing: todos dicen que tienen la soluci贸n a sus problemas. Debe ver m谩s all谩 del marketing y centrarse en la capacidad real. Es decir, ir al grano: los resultados. Debe aprender a evaluar las soluciones de gesti贸n de bots y comprender qu茅 implican las diferencias.

Al igual que con cualquier otra herramienta, seg煤n Werner, una soluci贸n de gesti贸n de bots adecuada es aquella que cumple su cometido y contribuye a cumplir los objetivos. As铆, podr谩 satisfacer las necesidades de su empresa adem谩s de controlar todo el contenido malicioso que le quita el sue帽o. Pero, 驴c贸mo averiguar si la soluci贸n le ofrecer谩 todas estas prestaciones sin apostar todo su presupuesto y uno o m谩s a帽os de su vida para comprobarlo?

Es por ello que Akamai nos ofrece una lista de los 10 factores principales que debe tener en cuenta al elegir una soluci贸n de gesti贸n de bots.

1. Eficacia

Hay proveedores que afirman ser capaces de detectar 99.9聽% de los bots, lo cual le har谩 pensar que se les da muy bien el marketing.

La verdad es que todas las soluciones pueden detectar bots. Lo que importa es, 驴cu谩ntos se detectan? El problema es que los bots cambian constantemente, as铆 que es imposible calcular la eficacia. Lo que s铆 puede hacer es equiparse con buenos conocimientos acerca del panorama de bots, de las tecnolog铆as de detecci贸n y de las diferencias entre ellas. Aseg煤rese de que la soluci贸n que est谩 evaluando pueda detectar los bots m谩s sofisticados con los que se pueda encontrar.

2. Protecci贸n s贸lida

Los bots no se van por mucho que los bloquee. Vuelven una y otra vez, a la vez que mutan en un intento por evitar los mecanismos de detecci贸n. Muchas soluciones de gesti贸n de bots pueden detectarlos (al menos, algunos) justo despu茅s de implantarlas, pero despu茅s los pierden de vista cuando estos empiezan a mutar. Debe asegurarse de que la soluci贸n que elija no resulte ser flor de un d铆a, si no que resista el paso del tiempo y le ayude a solucionar un problema tras otro a largo plazo.

3. Falsos positivos

Cuando una soluci贸n de gesti贸n de bots le informa de que ha bloqueado un bot, 驴c贸mo sabe que era un bot realmente? Muchos proveedores se toman a la ligera los falsos positivos. Para algunos, mostrarle al cliente que han bloqueado muchos “bots” es m谩s importante que asegurarse de que no sean usuarios leg铆timos. No obstante, lo que necesita es resolver el problema de los bots sin que ello afecte negativamente a su negocio. Debe poder confiar en que al proveedor que le presta sus servicios le preocupa c贸mo afectan los falsos positivos.

4. Acciones flexibles

La mayor铆a de las soluciones de gesti贸n de bots optan por un enfoque de protecci贸n ante el problema. Dan por sentado que todos los bots son maliciosos (y que, por tanto, se deben bloquear), excepto algunos espec铆ficos que se sabe que son inocuos (porque se incluyen en una lista blanca). Sin embargo, 驴qu茅 ocurre con los bots “buenos” que aniquilan el rendimiento de los sitios Web? 驴Y con los servicios emergentes para el consumidor que permiten a los clientes comunicarse con usted de nuevas formas? El hecho es que existe una amplia gama de bots cuyo impacto no encaja dentro de una lista blanca o negra. Necesita disponer de flexibilidad para aplicar diferentes acciones seg煤n el tipo de bot y el impacto que tenga en el negocio y en la TI.

5. Visibilidad y generaci贸n de informes

Cualquier soluci贸n de gesti贸n de bots puede mostrarle estad铆sticas generales sobre el tr谩fico de bots, pero se necesita algo m谩s que eso. Las estad铆sticas generales sirven para planificaciones de estructura o facilitar informes a sus superiores, pero no muestran suficientes detalles para analizar el tr谩fico de bots. Tampoco le aportan las pruebas que necesita para confirmar que la soluci贸n est谩 tomando las medidas adecuadas. Cuando se trata de una soluci贸n que podr铆a bloquear a sus usuarios, lo menos recomendable es una caja negra. La soluci贸n que elija debe ayudarle con su empresa y acelerar la recopilaci贸n de informaci贸n.

6. Protecci贸n de las API

Independientemente del proveedor o de la soluci贸n, las tecnolog铆as de detecci贸n de bots m谩s sofisticadas de hoy en d铆a se basan en la inyecci贸n de c贸digo de JavaScript y el an谩lisis de la respuesta del cliente. Pero, 驴qu茅 hacer con las API cuando los clientes basados en API no responden a JavaScript? Si necesita dejar las API expuestas para admitir a terceros o aplicaciones m贸viles, debe contar con una soluci贸n que les proteja de la misma manera que lo hace con sus p谩ginas Web. De lo contrario, sus bots (y los problemas relacionados) no har谩n m谩s que migrar de sus p谩ginas Web a sus API.

7. 驴In situ o en la Nube?

Hay debates eternos: 驴el huevo o la gallina? 驴In situ o en la Nube? Existe una amplia gama de soluciones de gesti贸n de bots. Algunos proveedores ofrecen soluciones in situ. Otros, las estructuran como soluciones basadas en la Nube. Debe averiguar qu茅 es lo que m谩s le conviene, pero tambi茅n evaluar c贸mo encajar谩 la soluci贸n en el resto de su infraestructura Web. 驴Dispone de servidores Web in situ o en la Nube? 驴Tiene uno o varios centros de datos? 驴Utiliza alguna CDN? Su elecci贸n depender谩 de todo esto.

8. Desarrollo general

Su sitio o aplicaci贸n Web es el alma de su negocio. Los requisitos en cuesti贸n de tiempo de actividad son tan rigurosos que solo es posible hacer cambios en la aplicaci贸n en los intervalos de tiempo predefinidos. Si cree que esto se aplica a su organizaci贸n, debe determinar qu茅 cambios impondr谩 la soluci贸n propuesta. Algunos proveedores necesitan que cambie la aplicaci贸n para que efect煤e una llamada de API a la soluci贸n. Otros, necesitar谩n que codifique su JavaScript en cualquier p谩gina que desee proteger. Eso significa que quiz谩s tenga que integrar la soluci贸n en el ciclo de vida de su aplicaci贸n. Y no solo eso. Siempre que el proveedor cambie de soluci贸n o el c贸digo JavaScript, quiz谩s tenga que modificar tambi茅n su aplicaci贸n.

9. 驴Sitio o p谩gina?

Si su sitio Web tiene m谩s de una p谩gina, es probable que tenga diversos problemas de bots que afecten a las diferentes partes del sitio. Por ejemplo, el scraping de precios de sus p谩ginas de productos, el scraping de su contenido digital de valor a帽adido o ataques de abuso de credenciales a las p谩ginas de inicio de sesi贸n. Sin embargo, cuando se trata de soluciones de gesti贸n de bots, algunas est谩n dise帽adas 煤nicamente para resolver un solo problema. Aseg煤rese de que sus soluciones de gesti贸n puedan ayudarle a abordar todos sus problemas de bots, independientemente de que afecten a todo el sitio o solo a determinadas p谩ginas.

10. Servicios gestionados

Es preciso gestionar los bots para controlar sus efectos sobre usted y su negocio, pero esta gesti贸n no siempre es f谩cil. En ocasiones, necesitar谩 la ayuda de expertos que conozcan los problemas de bots que sufre. Cualquiera puede analizar una solicitud HTTP y crear una firma para bloquear el tr谩fico, pero as铆 no se soluciona el problema. Lo que necesita es alguien que pueda establecer una correlaci贸n entre sus problemas y el tipo de bots, y dise帽ar e implementar una estrategia capaz de resolverlos.

Lecciones que nos deja el reciente problema de seguridad de Facebook

La semana pasada, Facebook se encontr贸 en el centro de las noticias debido a un fuerte problema de seguridad que puso en riesgo la informaci贸n personal de millones de usuarios de la red social.

El 28 de septiembre surgi贸 la noticia de que un atacante explot贸 una vulnerabilidad t茅cnica en el c贸digo de Facebook que le permitir铆a ingresar a las cuentas de cerca de 50 millones de personas.

Si bien Facebook fue r谩pido al atender la vulnerabilidad y corregirla, se帽alan que no saben si alguna cuenta fue efectivamente vulnerada.

Este problema sigue al esc谩ndalo de Cambridge Analytica de principios de este a帽o que result贸 en un grave mal manejo de los datos de millones de personas que usan Facebook. Ambos eventos ilustran que no podemos ser complacientes con la seguridad de los datos. Las empresas que resguardan datos personales y sensibles deben estar muy atentas a la hora de proteger los datos de sus usuarios.

Sin embargo, incluso las m谩s vigilantes tambi茅n son vulnerables. Incluso unaa simple brecha de seguridad puede afectar a millones de usuarios, como podemos ver.

Hay algunos aspectos que podemos aprender de esto que aplican a otras conversaciones sobre seguridad: implementarla bien es notoriamente dif铆cil y los atacantes persistentes encontrar谩n errores para explotar. En este caso, se trat贸 de una combinaci贸n de tres errores en la plataforma de Facebook aparentemente sin relaci贸n entre s铆.

Esta es una lecci贸n para cualquiera que diga que puede construirse un acceso excepcional de forma segura. No es un momento para el j煤bilo, sin embargo. Creo que la transparencia con la cual los ingenieros de Facebook se enfrentaron a este problema contribuir谩 a los esfuerzos de la red social para reconstruir la confianza con sus usuarios. Y seamos sinceros, esos ingenieros encontraron el problema ellos mismos a trav茅s del monitoreo de sus sistemas.

Facebook no solo proporciona los medios t茅cnicos de acceso a sus propios servicios, sino tambi茅n para otros. Si bien a煤n no hay pruebas de que se hayan comprometido las aplicaciones de terceros, creo que debemos pensar en descentralizar algunos de estos mecanismos de inicio de sesi贸n antes de que colapse uno de estos castillos de naipes. No se trata de algo trivial, ya que construir y mantener estos sistemas de manera segura requiere de muchos recursos, que no est谩n disponibles para todos.

Se trata de un problema complejo, que est谩 ganando notoriedad como un asunto significativo que debemos resolver pronto si realmente queremos ver una Internet abierta, globalmente conectada, confiable y segura para todas las personas.

 

 

Por: Olaf Kolkman,

Chief Internet Technology Officer,

Internet Society.

 

Conozca el funcionamiento de la Dark Web para prevenir fraudes

Cyxtera Technologies alerta sobre el funcionamiento de la Dark Web y la necesidad de monitorearla constantemente para prevenir futuros ciberataques, en particular aquellos relacionados con la falsificaci贸n de tarjetas de cr茅dito.

Se esperaba que la tecnolog铆a EMV ayudar谩 a prevenir el fraude relacionado con la falsificaci贸n de tarjetas de cr茅dito, y si bien es cierto que la incidencia de este tipo de fraude se ha reducido, recientemente se ha visto un incremento en el n煤mero de estafas sin tarjeta presente. Las razones de esto son varias, pero una nueva racha de brechas junto a la facilidad para realizar compras online ha alimentado el fuego. Para complicar a煤n m谩s la situaci贸n, el plazo que ten铆an las entidades para cumplir con los requerimientos EMV fue pospuesto de 2017 a 2020.

 

La Dark Web: La tienda online m谩s completa para futuros cibercriminales

De acuerdo a Cyxtera Technologies, inmediatamente despu茅s de que se realiza un ciberataque exitoso, los datos robados son empaquetados y comercializados en la Dark Web. “Generalmente, esto ocurre mucho antes de que las instituciones y clientes se enteren de que una brecha ha ocurrido y de que su informaci贸n sensible ha sido comprometida. Lo preocupante es queincluso las instituciones financieras puedentardar meses en revelar el incidente a sus clientesy al p煤blico en general”, destac贸 David L贸pez, VP de Latinoam茅rica de Cyxtera.

Los datos de las tarjetas son m谩s valiosos justo despu茅s de que la brecha ha ocurrido. Durante los primeros d铆as y semanas, las tarjetas robadas generan m谩s ganancias para los hackers.

Adem谩s, los datos son empacados en lotes, beneficiando a los potenciales defraudadores a medida que utilizan los datos para adquirir ilegalmente bonos de regalo y productos que luego podr谩n cambiar por dinero en efectivo. Curiosamente, las tarjetas de cr茅dito corporativas son m谩s valiosas que las de clientes regulares.

“Los mercados negros operan de forma similar a las tiendas online de retail. En ellos se pueden encontrar servicios de soporte, garant铆as de devoluci贸n, convenientes medios de pago y todas las comodidades que normalmente ofrecen las cadenas de negocios”,聽asegur贸 David L贸pez de Cyxtera. Y agreg贸, “adem谩s, en los mercados negros se emplean monedas imposibles de rastrear, lo cual dificulta la tarea de perseguir y judicializar a los autores de los cr铆menes”.

驴Qu茅 pueden hacer las instituciones para proteger a sus clientes y prevenir p茅rdidas monetarias?

Los defraudadores dedican tiempo y recursos en la ubicaci贸n de sus potenciales v铆ctimas y en la planeaci贸n de los ataques.聽“Esto significa que la capacidad de una organizaci贸n para monitorear e identificar proactivamente ataques en curso es vital. Estar al tanto de los oscuros tratos en la Dark Web brinda a las compa帽铆as una ventaja 煤nica en la lucha contra el fraude”, destac贸 el ejecutivo de Cyxtera Technologies.

En la Dark Web se pueden ubicar ciertos datos cruciales como por ejemplo n煤meros de identificaci贸n bancaria o datos de usuarios. “Con este conocimiento, las organizaciones pueden detener el fraude con tarjetas falsas antes de que ocurran. Ver lo que sucede en la Dark Web le brinda a las instituciones la habilidad de cancelar las tarjetas comprometidas, en vez de tener que reemplazar todas las tarjetas de su poblaci贸n de clientes”, destac贸 L贸pez de Cyxtera. Adicionalmente, el monitoreo proactivo permite que el departamento de IT obtenga valiosos datos sobre los puntos m谩s comprometidos y pueda activar alertas en tiempo real en caso de que ocurra un ataque.

Desafortunadamente, el fraude no tiene intenciones de abandonarnos en ning煤n momento debido a los millones de datos y registros actualmente disponibles en la Dark Web. A medida que las instituciones ofrecen mayor facilidad para realizar compras online, ya sea a trav茅s de dispositivos m贸viles, televisores inteligentes, quioscos interactivos, computadoras de escritorio y dem谩s, estas brechas continuar谩n ocurriendo masivamente y los estafadores tendr谩n m谩s recursos a su alcance para perpetrar sus cr铆menes.

 

Facebook admite problema de seguridad con 50 millones de cuentas

Facebook, a trav茅s de su VP of Product Management, Guy Rosen,聽reconoci贸 en su blog聽que el 25 de septiembre聽descubri贸 la existencia de una falla de seguridad que afect贸 a casi 50 millones de cuentas. A pesar de que la investigaci贸n se encuentra en sus comienzos, la compa帽铆a puede confirmar que聽los atacantes han explotado una vulnerabilidad en el c贸digo聽que ten铆a impacto sobre la funci贸n 鈥Ver c贸mo鈥. Esto le permit铆a聽obtener los tokens de acceso聽(los cuales sirven para que los usuarios no tengan que re-ingresar sus datos cada vez que usan la aplicaci贸n) que luego pod铆an ser aprovechados para聽tomar el control de la cuenta.

Hasta el momento,聽Facebook ha arreglado la vulnerabilidad聽y adem谩s se ha puesto en contacto con las fuerzas de seguridad para informarles de la situaci贸n. Asimismo,聽se han reseteado los tokens de acceso de las 50 millones de cuentas que han sido afectadas, con el objetivo de brindarles mayor protecci贸n, as铆 como tambi茅n聽se ha realizado la misma acci贸n para otras 40 millones de cuentas聽que podr铆an haber sido explotadas a trav茅s de la funci贸n 鈥Ver c贸mo鈥 el a帽o pasado. Esta funci贸n le permite a los usuarios ver c贸mo otras personas ven su propio perfil. Es decir, en total se est谩 hablando de 90 millones de cuentas vulneradas.

De momento聽no hay confirmaciones sobre si se han utilizado esas 90 millones de cuentas聽o si alguien ha accedido a la informaci贸n all铆 contenida, as铆 como聽tampoco est谩 claro qui茅n est谩 detr谩s de estos ataques聽ni cu谩l es su motivaci贸n. Asimismo, Facebook contin煤a investigando si hubieron m谩s cuentas comprometidas y cuales son las implicancias y alcances reales de este ataque.

Desde WeLiveSecurity de Eset recomiendan聽atentos a cualquier notificaci贸n que Facebook realice聽al ingresar a la cuenta as铆 como tambi茅n聽prestar especial atenci贸n a los correos electr贸nicos聽que se reciban con respecto a esta cuesti贸n ya que la misma聽podr铆a ser aprovechada por otros atacantes聽para llevar a cabo聽ataques de Phishing聽para robar datos de acceso a cuentas.

“Su cuenta ha sido pirateada”, nueva extorsi贸n enviada desde tu propio correo

ESET identific贸 una campa帽a de extorsi贸n a trav茅s de correo electr贸nico con un mensaje que tiene como asunto “su cuenta ha sido pirateada” y que hace creer a la v铆ctima que el correo fue enviado desde su propia cuenta.

Se detect贸 la campa帽a a trav茅s del correo y tiene la particularidad de que el mensaje que llega al usuario fue enviado desde su propia cuenta, lo que lleva a la v铆ctima a suponer que el atacante tiene acceso a su cuenta. Esta campa帽a a煤n se encuentra activa.

A trav茅s de un mensaje intimidatorio, se le hace creer al usuario que su computadora ha sido infectada con un troyano聽y que el atacante posee su informaci贸n confidencial. El objetivo final del correo es una estafa, donde se solicita un pago a la potencial v铆ctima.

Imagen 1: Correo electr贸nico recibido por los usuarios.

La clave de la campa帽a se encuentra en la direcci贸n desde la cual se env铆a el correo. Mediante una t茅cnica conocida como spoofing (permite la falsificaci贸n de alg煤n rasgo de una comunicaci贸n inform谩tica), el atacante hace creer a la v铆ctima que el correo ha sido enviado desde su propia cuenta de correo.

Imagen 2: El receptor y el remitente parecen ser la misma cuenta.

La t茅cnica de suplantaci贸n es utilizada cuando no se incluye un mecanismo de autenticaci贸n. 鈥淪i no se toman las medidas de precauci贸n adecuadas a la hora de configurar los servicios de correo electr贸nico, cualquiera puede enviar correos falsificados, que a simple vista parecieran provenir de una direcci贸n o un dominio leg铆timo, pero que en realidad no corresponden con el emisor.鈥, coment贸 Cecilia Pastorino, Especialista en seguridad inform谩tica de ESET Latinoam茅rica.

El objetivo de este tipo de campa帽as es econ贸mico. A cambio de borrar la informaci贸n confidencial supuestamente obtenida por el atacante, se solicita un pago mediante el env铆o de Bitcoins. Al momento de la investigaci贸n, la billetera contaba con 0.35644122 Bitcoins, equivalente a poco m谩s de 2.400 d贸lares.

鈥淓sta extorsi贸n se trata de una campa帽a de Ingenier铆a Social mediante la cual se busca enga帽ar a los usuarios para que realicen un pago. Desde el Laboratorio de Investigaci贸n de ESET, recomendamos no responder聽los correos de este estilo y entender que se trata de un enga帽o; por supuesto, tampoco se debe pagar a los atacantes.鈥, asegur贸 Cecilia Pastorino.

M茅xico entre los 10 pa铆ses m谩s atacados a nivel mundial

Seg煤n estudio de Kaspersky, 43% de las empresas en todo el mundo tuvo al menos una fuga de datos en el 煤ltimo a帽o, adem谩s de que dos de cada cinco de los casos vio afectada la informaci贸n de identificaci贸n personal de los clientes. Esto se vio reflejado en el 41% de las Pymes y 40% de las Enterprise encuestadas.

Este 煤ltimo dato cobra especial relevancia en nuestro pa铆s, ya que la mayor铆a de las empresas son pymes o microempresas, quienes crean 95% de los empleos. Anteriormente se cre铆a que los ataques s贸lo buscaban afectar a grandes empresas, sin embargo, al ser las pymes las m谩s vulnerables y a la vez, quienes menos protecci贸n tienen, son blanco f谩cil para hackers.

鈥淐uando nosotros entendamos que las amenazas no se tratan ni de malware, ni de hackers sino se trata de adversarios, motivaciones y blancos objetivos, nos daremos cuenta entonces de que siempre detr谩s de un ataque hay un inter茅s en particular por parte de los atacantes鈥, coment贸 Roberto Mart铆nez, Senior Security Researcher de Global Research and Analytics Team (GREAT) de Kaspersky Labs.

Seg煤n datos de Kaspersky, M茅xico es el 10vo. pa铆s m谩s atacado a nivel mundial, el segundo a nivel de Am茅rica Latina s贸lo despu茅s de Brasil. El pa铆s recibe en promedio 1.5 millones de ataques al d铆a.

Adem谩s, seg煤n datos citados de la Comisi贸n Nacional para la Protecci贸n y Defensa de los Usuarios de Servicios Financieros (Condusef), el robo de identidad es uno de los ataques m谩s comunes en el pa铆s, siendo M茅xico el 8vo. lugar en sufrir ataques de este tipo. 驴El motivo? 67% es debido a la p茅rdida de documentos, 63% es ocasionado por el robo de cartera o portafolios, 53% sufri贸 de informaci贸n robada por una tarjeta bancaria.

Otro de los ataques m谩s recurrentes en M茅xico es la criptomniner铆a, que seg煤n Kaspersky, est谩 mostrando m谩rgenes de crecimiento por arriba del Ransomware. 鈥淓l malware es un medio, no un fin. En este caso si el objetivo es financiero, probablemente muchos de estos grupos vieron ya m谩s negocio en crear criptomonedas que en pedir un rescate que tal vez no les paguen, es por ello que han preferido de manera silenciosa minar criptomonedas鈥, agreg贸 Mart铆nez.

 

Dark Tequila, el malware desarrollado en M茅xico

Se trata de una compleja operaci贸n cibern茅tica descubierta por Kaspersky Labs a la cual denominaron “Dark Tequila”, la cual ha sido creada localmente y habr铆a estado atacando a usuarios en M茅xico durante, al menos, cinco a帽os, rob谩ndoles credenciales bancarias y datos personales.聽La amenaza se centra, principalmente, en robar informaci贸n financiera, pero una vez dentro de una computadora tambi茅n sustrae credenciales de otras p谩ginas.

 

-Karina Rodr铆guez, Computerworld M茅xico.

Interpol emite alerta por falsa actualizaci贸n de TPV en M茅xico

Interpol ha emitido una notificaci贸n morada a trav茅s de la Comisi贸n Nacional para la Protecci贸n y Defensa de Los Usuarios y Servicios Financieros (Condusef) advirtiendo a los comercios que utilicen Terminales Punto de Venta (TPV) que est茅n atentos ante la posible instalaci贸n de un c贸digo malicioso que permitir铆a clonar los datos de tarjetas de cr茅dito o d茅bito que tengan chip, adem谩s del n煤mero de PIN.

Seg煤n el comunicado, los criminales detr谩s de esta amenaza se hacen pasar por las instituciones financieras y env铆an a empresas y/o comercios un mensaje que parecen ser leg铆timos mediante el cual notifican la existencia de una 鈥渁ctualizaci贸n鈥 del sistema de la terminal que est谩 instalado en una computadora y para ello solicitan acceso remoto a la terminal para infectar a distancia la m谩quina.

Una vez infectadas las computadoras, los cibercriminales tienen la capacidad de redirigir los datos de las tarjetas a un servidor externo sin que las empresas o comercios se den cuenta y quedarse con informaci贸n como: n煤mero de cuenta y de tarjeta del cliente, fecha de vencimiento de la tarjeta, tipo de tarjeta y otros datos m谩s del titular de esta.

El organismo internacional recomienda a comercios y personas que operen con TPV y que sean contactados por una actualizaci贸n o mantenimiento del sistema, que primero consulten con su banco, ya que podr铆a tratarse de una acci贸n fraudulenta que intenta infectar con un malware para clonar los datos de las tarjetas.

Asimismo, el comunicado tambi茅n aconsej贸 a las instituciones financieras que notifiquen a empresas y/o comercios esta situaci贸n como medida para fortalecer la seguridad y as铆 evitar que caigan en la estafa.

Forcepoint lanza nueva unidad de negocios para Infraestructura Cr铆tica

Forcepoint anunci贸 la creaci贸n de una nueva unidad de negocio para cumplir espec铆ficamente con los desaf铆os de seguridad que enfrentan los proveedores de infraestructura cr铆tica en el sofisticado panorama actual de las amenazas cibern茅ticas.

La nueva unidad de Infraestructura Cr铆tica de Forcepoint aprovechar谩 el conjunto total de capacidades de la divisi贸n de Gobiernos Globales y Seguridad Empresarial de la compa帽铆a para brindar productos de seguridad cibern茅tica, que se encuentran al nivel del Departamento de Defensa de Estados Unidos para la detecci贸n de amenazas internas, mejoras en la seguridad de datos y protecci贸n avanzada contra amenazas a la infraestructura cr铆tica. Inicialmente, la empresa centrar谩 sus esfuerzos en las organizaciones que utilizan Sistemas de Control Industrial (SCI), como la energ铆a, el petr贸leo, el gas y la fabricaci贸n de nivel cr铆tico.

La compa帽铆a ofrecer谩 una cartera de productos integrados de seguridad cibern茅tica basados en el comportamiento humano y contenido para el espacio industrial. Se centrar谩 inicialmente en soluciones de seguridad de redes dise帽adas para brindar m谩s visibilidad sobre amenazas que enfrentan los sistemas de control industrial.

Conectar tecnolog铆a operativa (OT) como sistemas de control industrial (SCI) y sistemas de control de supervisi贸n y de adquisici贸n de datos,聽( SCADA) a la red de TI,聽puede ofrecer nuevos niveles de funcionalidad, ahorro de costos y transparencia para aprovechar los macrodatos y las conclusiones del an谩lisis de datos. Depender de los dispositivos conectados tambi茅n expande exponencialmente la zona de ataque del entorno de OT dentro de la infraestructura cr铆tica.

La combinaci贸n de intrusos sofisticados que entienden c贸mo alterar un proceso f铆sico, con una frecuencia de ataques dirigidos a usuarios con acceso acreditado a informaci贸n confidencial agravan los desaf铆os que enfrentan los directores de seguridad de la informaci贸n y los operadores de plantas industriales para definir la propiedad de estas 谩reas.

Seg煤n Gartner, e 2021, el 70% de la seguridad de OT ser谩 administrada directamente por los departamentos gestionados por la Direcci贸n 聽de informaci贸n, direcci贸n de seguridad de la informaci贸n o director de seguridad, en comparaci贸n con el 35% actual.

Las soluciones de infraestructura cr铆tica de Forcepoint se adaptar谩n para cumplir con los requisitos de contenido de los entornos industriales, proporcionando segmentaci贸n segura para satisfacer las necesidades operativas, como socios proveedores que requieren acceso remoto, y una l铆nea de referencia para monitorear amenazas en entornos industriales.

La soluci贸n de Forcepoint permite a los operadores de infraestructura cr铆tica contar con la seguridad de un firewall o la transferencia de datos unidireccional de manera segura a 谩reas m谩s sensibles, al mismo tiempo que garantiza el cumplimiento de est谩ndares tales como NERC-CIP, NEI-08-09 y ISA/IEC 62443.

 

Se帽al ac煤stica, nueva forma de robar el patr贸n de desbloqueo de un tel茅fono

Un nuevo ataque nombrado 鈥淪onarSnoop鈥 reduce en un 70% el n煤mero de intentos para desbloquear un patr贸n. Mediante el ataque de canal lateral ac煤stico es posible identificar el patr贸n de desbloqueo de un tel茅fono, seg煤n una investigaci贸n de la Universidad de Lancaster y de la Universidad de Link枚ping.

Un ataque de canal lateral es un tipo de ataque que no explota una vulnerabilidad en el dispositivo afectado, sino que obtiene informaci贸n adicional que surge de la propia implementaci贸n de un dispositivo. En este caso, la se帽al ac煤stica que se genera mediante la interacci贸n del micr贸fono y el altavoz del dispositivo permite explotar informaci贸n secundaria que, entre otras cosas, revelar谩 el patr贸n de desbloqueo en el dispositivo.

鈥淓n la mayor铆a de los casos, los ataques de canal lateral son pasivos. Es decir que un atacante aprovecha informaci贸n que surge naturalmente, como puede ser el sonido que emite un dispositivo como consecuencia de su funcionamiento. Sin embargo, esta es la primera vez que se demuestra la posibilidad de generar de manera activa un ataque de canal lateral ac煤stico.鈥, coment贸 Camilo Gutierrez, Jefe del Laboratorio de Investigaci贸n de ESET Latinoam茅rica.

Todo comienza cuando el usuario instala una aplicaci贸n maliciosa en el dispositivo. La misma hace que el tel茅fono comience a reproducir una se帽al sonora que no est谩 en el rango auditivo de los seres humanos (20 Hz 鈥 20 KHz), con lo cual es imperceptible. Esta se帽al rebota en los objetos que rodean al tel茅fono creando un eco, el cual es registrado por el micr贸fono del dispositivo.

Calculando el tiempo que transcurre entre la emisi贸n del sonido y el retorno de su eco o rebote a la fuente que lo emite es posible determinar la ubicaci贸n de un objeto en un espacio f铆sico y tambi茅n saber si existe movimiento; tal como funciona un sonar. Los investigadores fueron capaces de utilizar esta informaci贸n para hacer un registro del movimiento del dedo de un individuo al momento de ingresar su patr贸n de desbloqueo, ya que con el micr贸fono del tel茅fono se grababan diferentes ecos que daban informaci贸n sobre la posici贸n del dedo. Esto fue posible cuando el tel茅fono estaba est谩tico y lo 煤nico que se mov铆a era el dedo.

De los cientos de miles de patrones posibles que un usuario puede llegar a dibujar, hay 12 que son los m谩s comunes. Para la investigaci贸n se realizaron pruebas con diez voluntarios a los cuales se solicit贸 que dibujen cada uno de estos 12 patrones. Luego, probaron distintas t茅cnicas para reconstruir el movimiento del dedo a partir del an谩lisis del sonar, lo que deriv贸 en un algoritmo que reduc铆a a 3.6 los patrones m谩s frecuentes que se utilizaron durante las pruebas.

鈥淪i bien el ataque SonarSnoop no tiene una precisi贸n fina, reduce en un gran porcentaje las posibilidades de identificar un patr贸n de desbloqueo. En el futuro es posible que el rendimiento pueda mejorar y que surja un nuevo tipo de amenaza. Si bien esta investigaci贸n demuestra que es posible que se implementen este tipo de ataques, a煤n no hay amenazas que lo implementen. Sin embargo esto demuestra la importancia de contar con una soluci贸n de seguridad en los dispositivos m贸viles para reducir los riesgos de infectar el sistema con cualquier tipo de amenaza鈥, concluy贸 Gutierrez.