Categoría: Seguridad

Mercado negro: precios y servicios que se ofrecen en la dark web

El cibercrimen como servicio existe cuando un criminal ofrece productos o infraestructura en el mercado negro a cambio de un precio. ESET investigó la industria del cibercrimen desde la dark web para conocer qué se ofrece y  cuánto cuestan estos servicios.

“La industria del cibercrimen es un negocio que costó al mundo 3 trillones de dólares en 2015 y se prevé que esta cifra ascenderá a 6 trillones en 2021, según afirmó Cybersecurity Ventures. Por costos nos referimos a los gastos incurridos luego de un incidente, ya que en un ataque de ransomware, por ejemplo, no solamente se contabiliza el pago del rescate, sino también los costos relacionados a la pérdida de productividad, mejora de las políticas de seguridad, inversión en tecnología, o daños a la imagen, por mencionar algunos”, comentó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Dentro de los que los investigadores de ESET se encontraron se encuentra:

Ransomware como servicio

Se encontró diversos paquetes de ransomware en la dark web, como si se tratara de la venta de software legal. Actualizaciones, soporte técnico, acceso a los servidores de C&C y distintos planes de pago son algunas de las características que se observaron.

Uno de los ransomware que se ofrecen es Ranion, que sigue un esquema de pago periódico. Cuenta con varios planes de suscripción disponible por distinto precio, donde el más económico tiene un costo de 120 dólares por un mes y el más caro alcanza los 1900 dólares anuales si se agregan funcionalidades al ejecutable del ransomware. Quien desee contratar estos servicios debe encargarse de la propagación del malware, haciendo llegar el ransomware a las víctimas.

Ransomware Ranion se ofrece en la dark web.

Venta de acceso a servidores

Se ofrecen credenciales de acceso por escritorio remoto (RDP) a servidores en distintas partes del mundo. Los precios varían entre 8 y 15 dólares por cada uno y se puede buscar por país, sistema operativo y hasta sitios de pagos a los que se ha accedido desde el servidor. La compra de estos accesos podría verse asociada a la posterior ejecución de un ransomware, utilizar el servidor como C&C de alguna botnet o a la instalación de algún malware más sigiloso, como troyanos bancarios o software espía.

Venta de accesos por RDP a servidores de Colombia.

Alquiler de infraestructura

Cibercriminales, poseedores de botnets o redes de computadoras infectadas, ofrecen el alquiler de su poder de cómputo, ya sea al servicio del envío de correos de spam o para generar ataques de DDoS. En el caso de los ataques de denegación de servicio, el precio varía de acuerdo con el tiempo que dura el ataque (puede variar entre 1 hora y 24 horas) y la cantidad de tráfico que la botnet es capaz de generar en ese tiempo. Un ejemplo de 60 dólares por 3 horas.

Relacionado a lo anterior, está el caso de jóvenes y adolescentes que ofrecen el alquiler de sus (pequeñas) botnets, generalmente para atacar servidores de juegos online como Fortnite. Utilizando redes sociales para promocionarse y sin preocuparse por mantenerse anónimos. También suelen ofrecer cuentas robadas en venta.

Instagram como plataforma para ofrecer en alquiler botnets.

Venta de cuentas de PayPal y tarjetas de crédito

Los autores de ataques de phishing no utilizan directamente las cuentas robadas sino que revenden las cuentas a otros criminales. Por lo general cobran un 10% de la cantidad de dinero que tiene disponible la cuenta robada. En algunos casos los vendedores incluso muestran las herramientas y sitios falsos que utilizan para hacer phishing.

Cibercriminales que explican el paso a paso.

Los investigadores de ESET observaron la manera en que los cibercriminales, escondidos detrás de herramientas que les proveen cierto grado de anonimato, configuran una fructífera industria criminal, que incluye desde publicidad y marketing hasta servicios de atención al cliente, actualizaciones y manuales de usuario. En este ecosistema criminal hay muchos clientes internos pero la verdadera ganancia la tienen aquellos cibercriminales que cuentan con una infraestructura o servicio bien establecido.

Durante su presentación en la última edición de Segurinfo el Global Security Evangelist de ESET, Tony Anscombe, hizo un recorrido por la dark web y mencionó: “la industria del malware dejó de ser disruptiva y en la actualidad presenta características como las de una empresa de software”. Lo que sostiene que en la actualidad existe un proceso de comercialización y distribución del software y de los productos y servicios que los cibercriminales ofrecen en esta industria.

Descuidos del personal, responsable del 46% de los inicidentes de seguridad: Estudio

19% de los hombres latinoamericanos admite ver contenido para adultos en la computadora de su trabajo, según reveló un estudio regional desarrollado por Kaspersky Lab en conjunto con la consultora chilena de estudios de mercado CORPA. De acuerdo al sondeo, quienes llevan la delantera en este ámbito son los peruanos (26%), seguidos por brasileños (24%), mexicanos y argentinos, con 19%. En tanto, quienes menos aseguran mirar fotos y videos de índole sexual en la oficina son chilenos (14%) y colombianos (12%).

En cuanto a las mujeres, las colombianas son las que más caen en este hábito con 13%, seguidas por peruanas, con 10%, mexicanas y brasileñas, con 9%. Al final de la lista están argentinas y chilenas, con 7% y 4% respectivamente.

Según un estudio publicado por Kaspesky Lab a principios de este año, más del 17% de los usuarios mexicanos infectados por malware móvil en 2017 sufrieron ataques relacionados con temas pornográficos.

El estudio mostró también que los troyanos bancarios disfrazados de reproductores de video porno ocupan el segundo lugar entre los tipos más extendidos de malware accionado por la pornografía. Le siguen el malware con acceso root y el ransomware. Este último, en muchos casos, utiliza tácticas de scareware: un programa malicioso en el PC que bloquea la pantalla y muestra un mensaje que indica que se ha detectado contenido ilegal y, por lo tanto, el dispositivo se ha bloqueado. Para desbloquearlo, la víctima debe pagar un rescate.

Además de mirar contenidos de índole sexual en el trabajo, la reciente encuesta mostró que los hombres son quienes más compran en línea mientras se desempeñan laboralmente: en promedio, 42% de ellos lo hace, principalmente jóvenes de entre 25 y 34 años. En contraste, quienes menos practican esto, son mujeres de 18 a 24 años.

Asimismo, 73% de los trabajadores latinoamericanos -hombres y mujeres- declara leer su correo personal en la oficina, y 49% afirma que revisa y postea en sus redes sociales. De estos, 40% no ve mayores inconvenientes, debido a que en el trabajo “pasa la mayor parte del día”.

Junto con esto, 25% de los latinoamericanos señala que no cuenta con una laptop únicamente para trabajar y, si lo tiene, 30% de los encuestados lo conecta a una red pública de Wi-Fi (cafés, restaurantes y aeropuertos) cuando está fuera de la oficina. Solo 8% asegura que se conecta a una red virtual privada (VPN) mientras se encuentra en campo.

“Las prácticas poco rigurosas de algunos colaboradores pueden ocasionar graves daños a las compañías, ya que aumentan el riesgo de filtración de datos corporativos confidenciales”, recalca Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina. “El riesgo de infección existe y está presente tanto en sitios para adultos, como en aquellos que no tienen nada que ver con pornografía. En el caso de los primeros, los estafadores están bien preparados para atraer a los usuarios. Sin embargo, no basta con que los empleados eviten la pornografía online y las apps sospechosas. Lo importante es mantener siempre protegidos los dispositivos, tanto los de los propios trabajadores, como los de toda la organización”, agrega.

Tal vez te interese: 4 Maneras de crear una cultura de seguridad en TI

Respecto del uso de dispositivos pertenecientes a empresas, si bien 30% de los consultados afirma pertenecer a una compañía de más de 300 empleados, solo 44% responde a una política corporativa de seguridad que resguarda el uso de celulares o computadores portátiles. Otro 35% no se rige por ninguna norma y 21% desconoce si su compañía tiene alguna implementada. De estos, 29% corresponde a jóvenes de entre 18 y 24 años.

“Los empleados, siendo los usuarios finales, son el eslabón más débil de la cadena en ciberseguridad ya que sus malos hábitos en línea ponen en riesgo a las redes corporativas y los datos confidenciales de las empresas. Una investigación que realizamos a principios de año reveló que los descuidos del personal contribuyeron al 46% de los incidentes de ciberseguridad en las empresas en 2017, lo que evidencia la importancia de que las organizaciones establezcan políticas y normas de seguridad de TI, y que hagan esto factible para todos los colaboradores y no solo para quienes son expertos en el área”, finaliza Bestuzhev.

 

México, entre los países más afectados por el ransomware en 2018

Eset informa que los países de la región que terminaron el año con más detecciones de malware del tipo ransomware fueron Colombia (30%), Perú (16%) y México (14%). Mientras que, a nivel global, Estados Unidos (9%) y Rusia (7%) se llevaron los primeros puestos en el ranking.

Las familias de ransomware que más actividad mostraron en el mundo fueron TeslaCrypt, Crysis y CryptoWall, seguidos de TorrentLocker y WannaCryptor. Sin embargo, algunas de estas familias impactaron de forma particular en Latinoamérica.

Colombia fue el país con más detecciones del ransomware llamado “Crysis” principalmente por una campaña dirigida especialmente para el país. La campaña utilizaba ingeniería social para engañar a los usuarios a través de un supuesto correo electrónico que le informaba de una situación de deuda. De este modo, el usuario descargaba el archivo adjunto del falso correo y se infectaba. El 82% de las detecciones de ransomware en el país corresponden a Crysis. En total, se detectó en el país un incremento de 199% respecto a las detecciones de ransomware durante 2017.

Perú también tiene su propio micro ecosistema de ransomware dominado particularmente por dos familias. Una de ellas es CryptProjectXXX. Esta variante, además de cifrar la información, posee capacidades para robar información sensible. La otra familia de ransomware presente en el país es Filecoder.NHN, creada en 2016 y programada con lenguaje Autolt. Este lenguaje tuvo un incremento del 810% en detecciones desde su aparición en el 2015.

En el caso de México, el escenario del ransomware se encontró un poco más diversificado. A lo largo del año pasado, más de 200 variantes de ransomware se propagaron en territorio mexicano. Las dos familias que centralizaron mayores detecciones fueron Crysis y TeslaCrypt, cada una concentrando el 14% de las detecciones de FileCoder del país. CryptoWall con 13% obtuvo el tercer lugar.

Detecciones de FileCoder en Latinoamérica durante el 2018. ESET.

Para finalizar, cabe mencionar que si bien el ransomware ha dejado de ser el foco principal de atención en el mundo de la ciberseguridad en cuanto a cantidad de detección, las devastadoras consecuencias que tiene sobre sus víctimas lo posicionan actualmente como la principal causa de preocupación para las organizaciones de la región, según datos del ESET Security Report elaborado por ESET Latinoamérica.

“Según lo visto a lo largo de todo el 2018, y especialmente, con la aparición masiva de los criptomineros, creemos que los cibercriminales podrían modificar su modus operandi, enfocándose en la creación de ransomware más complejo para entornos corporativos con campañas de propagación mucho más enfocadas. O quizás reinventen la forma de secuestro digital añadiendo nuevas funcionalidades. De cualquier forma, podemos esperar que ambas amenazas continúen vigentes en los próximos años, y no que una desplace o reemplace a la otra”, reflexiona Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

Troyano suplanta identidad de la CFE para infectar usuarios mexicanos

ESET lanza la alerta sobre un correo fraudulento dirigido a usuarios mexicanos, donde se intenta suplantar a la Comisión Federal de Electricidad (CFE), como ya ha ocurrido en otras ocasiones, haciendo alusión a una supuesta deuda de los usuarios.

Tal como se observa en la imagen aquí abajo, el correo aparenta llegar desde una cuenta oficial de la institución en cuestión, aunque se puede observar que, naturalmente, el correo de origen no corresponde con la empresa. En el mensaje los atacantes sugieren al usuario revisar un documento a la brevedad, para “evitar sanciones”.

Se trata de una campaña de propagación de malware activa. A diferencia de campañas similares (donde se utilizaba macromalware para la descarga y ejecución del payload), en esta ocasión el código malicioso se descarga de forma directa desde los enlaces incluidos en el cuerpo del correo

El documento de descarga aparenta ser un archivo PDF, aunque en realidad se trata de un ejecutable (EXE), identificado por las soluciones de seguridad de ESET como Win32/Neurevt.I.

Esta variante de Neurevt se identificó por primera vez en abril de 2015, con una importante actividad en territorio mexicano desde entonces.

De hecho, en los últimos años ha sido utilizada con frecuencia en campañas maliciosas relacionadas con la suplantación de identidad de distintas instituciones mexicanas.

Por ejemplo, de septiembre de 2015 a mayo de 2016 estuvo propagándose activamente; otro pico importante de actividad se identificó en mayo de 2017, y un ligero resurgimiento hacia finales de 2018, tal como lo muestra en la gráfica de actividad del código malicioso.

Entre otras características, se trata de un troyano que funciona como una puerta trasera (backdoor) que puede ser controlado de forma remota. Neurevt.I también tiene la capacidad de propagarse a través de medios removibles una vez que ha infectado un sistema y una de sus principales funciones consiste en robar contraseñas e información sensible de los usuarios.

Desde su aparición hasta la fecha, México ha sido el país con el mayor número de detecciones de esta amenaza a nivel mundial y regional, ya que el 45% de las detecciones globales se han realizado en territorio mexicano, lo que muestra su continua actividad en esta zona geográfica.

Como ocurre con frecuencia, una de las vías más utilizadas para propagar este tipo de códigos maliciosos continúan siendo los correos electrónicos, por lo que seguir buenas prácticas en el uso de esta importante herramienta, así como contar con una solución de seguridad contra malware, se han vuelto prácticamente una necesidad.

Además, es importante verificar los remitentes de dichos mensajes e ignorar enlaces sospechosos que instan a la descarga de archivos en Internet o redirigen a sitios desconocidos. Es recomendable hacer caso omiso a los mensajes intimidatorios o que suenan demasiado buenos para ser verdad, ya que cuando se trata de un correo legítimo suele estar personalizado y generalmente la información ha sido solicitada con anterioridad.

 

Joven de 20 años, autor de la filtración de datos de políticos alemanes

La semana pasada se dio a conocer la filtración masiva de datos de cientos de políticos alemanes, de prácticamente todas las formaciones excepto de la ultraderecha.

En concreto, se publicó información personal de los funcionarios públicos en Twitter, incluida la canciller Angela Merkel, desde contactos o mensajes privados hasta detalles de tarjetas de crédito. Se trata de un ataque perpetrado durante el mes pasado y que, a modo de calendario fue publicando los datos de los distintos funcionarios día a día en Twitter. De este ataque se han salvado las formaciones ultraderechistas del conglomerado político teutón. Del escándalo, también se han visto salpicados celebridades y periodistas.

Ayer fue detenido un joven de 20 años como presunto culpable del incidente, aunque ya ha sido puesto en libertad.

Según varios medios alemanes, el joven habría confesado la autoría aunque, tal y como publica Der Spiegel, no es consciente de las consecuencias que ha tenido su acción. “En el curso del interrogatorio, el sospechoso ha confesado haber actuado solo”, señaló Georg Ungefuk, fiscal de la oficina que investiga los delitos cibernéticos, en unas declaraciones recogidas por The New York Times. “Con respecto a su motivación, ha espetado que estaba indignado con el panorama político actual”.

 

IDG.es

Hackers podrían publicar documentos relacionados con el 11-S

Un grupo de hackers está solicitando un rescate por información de más de 18,000 documentos relacionados con el 11-S, de lo contrario, amenazan con publicar toda esta información de carácter sensible.

En concreto, se trata del grupo de atacantes The Dark Overload (El señor oscuro) los cuales afirmaron tener en su poder estos documentos del famoso atentado terrorista ocurrido el 11 de septiembre de 2001 a las torres gemelas y el pentágono de los Estados Unidos, y que, de no recibir a cambio un pago de una cantidad indeterminada en bitcoins, filtrarían estos datos.

Todos estos archivos han sido supuestamente robados a las aseguradoras Hiscox y Lloyd’s y este grupo de hackers aseguran que podrían revelar “toda la verdad” de uno de los mayores atentados de la historia de Occidente y que golpeó el corazón del World Trade Center bajo la autoría de Al Qaeda.

Según lo publicado por el grupo, cualquier persona que pueda estar preocupada por su aparición en los documentos puede pagar por el rescate de dicha información. The Dark Overload saltó a la fama en 2016 por publicar historiales sanitarios de pacientes de distintos centros médicos. También está detrás de un pirateo a Netflix y se estima que ha actuado contra más de 50 grandes compañías.

IDG.es

tRAT, troyano que se esconde en antivirus y marcas de prestigio

S21sec alerta acerca de una campaña de phishing de un troyano denominado tRAT, que se ejecuta a través de las macros contenidas en documentos infectados. Dicho malware es un modular escrito en Python, que se comunica con el panel de control y es capaz de descargar módulos adicionales mediante mensajes encriptados con distintas claves dependiendo del módulo que utilice.

Una vez que el dispositivo está infectado, el atacante es capaz de acceder a la información almacenada dentro del mismo.

La particularidad de este malware es que usa los logos e imagen de marcas comerciales para esconderse. Los ataques han sido realizados a través de dos campañas que distribuyen tRAT.

En la primera, se utiliza la marca de una aplicación de reseñas hoteleras y una imagen de un supuesto video cargándose. Esto puede llevar al receptor a entender que para que el video cargue completamente será necesaria la habilitación de los macros. Si estos son habilitados, se producirá la descarga del payload de tRAT.

En la otra variante, los atacantes utilizan la imagen de un fabricante de antivirus para computadoras personales. Estos emails contienen un archivo Word adjunto con un texto en el que se puede leer “Este documento ha sido asegurado por el fabricante“. Esto lo hacen para hacer creer a las potenciales víctimas que el contenido del Word es seguro y, así incitar a la habilitación de los macros, que posteriormente descargan el tRAT.

Investigadores de Proofpoint descubrieron que la actividad se origina desde TA505, un grupo de cibercriminales conocidos por sus campañas con malware bancario y ransomware.

 

Recomendaciones

Es necesario verificar que los remitentes de los documentos sean siempre fuentes confiables y no desconocidos, así como un uso responsable al abrir un documento que incluya macros. Además se debe mantener actualizada la suite Microsoft Office, así como los parches de seguridad de la misma.

Aumenta la cantidad de tráfico encriptado: Fortinet

A medida que las organizaciones aceptan más dispositivos móviles y del Internet de las Cosas (IoT) en sus redes y adoptan arquitecturas de múltiples nubes cada vez más complejas, los datos y los flujos de trabajo ya no se limitan a un segmento estático y altamente seguro de la red. El tráfico web y basado en aplicaciones comprende un mayor volumen del tráfico total y gran parte de éste incluye datos confidenciales o acceso a información que tradicionalmente estaba oculta en el centro de datos.

Para adaptarse a este cambio, las organizaciones están aumentando su dependencia de la encriptación, principalmente la capa de sockets seguros (SSL) y la seguridad en la capa de transporte (TLS), para proteger sus datos en movimiento.

El tráfico encriptado ha alcanzado un nuevo umbral de más del 72% de todo el tráfico de la red. Eso es un aumento de casi el 20% en tan sólo un año, en comparación con el 55% en el tercer trimestre de 2017.

Esta estrategia tiene muchos beneficios, el más importante es que permite que datos, aplicaciones, flujos de trabajo y transacciones iniciadas tanto por empleados como por consumidores se muevan a donde los requerimientos del negocio lo necesitan. A su vez, esto permite la transición global a una economía digital.

Si bien en muchos sentidos el crecimiento de la encriptación es bueno para la seguridad, la tasa de encriptación más alta también presenta desafíos severos a la inspección profunda del tráfico para monitorear y detectar amenazas. Debido a que la encriptación es simplemente una herramienta, puede usarse para proteger cualquier tráfico de detección, ya sea bueno o malicioso. Los cibercriminales, por ejemplo, son muy conscientes del crecimiento de la encriptación y la utilizan para su ventaja al ocultar su presencia y evadir la detección, ya sea entregando malware o extrayendo datos robados. Y a medida que el volumen y el porcentaje de datos encriptados continúan creciendo, estas tácticas delictivas tienen más probabilidades de ocultarse a simple vista.

 

Pocos dispositivos de seguridad pueden mantenerse al día

Una razón por la que esta es una preocupación creciente y está a punto de alcanzar un umbral crítico es que la inspección del tráfico encriptado impone limitaciones de rendimiento en casi todos los firewalls y dispositivos de sistemas de prevención de intrusión (IPS) disponibles en el mercado hoy en día.

De acuerdo con los resultados de las pruebas recientes de NSS Labs, muy pocos dispositivos de seguridad pueden inspeccionar datos encriptados sin afectar gravemente el rendimiento de la red. En promedio, el impacto en el rendimiento para la inspección profunda de paquetes es del 60 por ciento, las tasas de conexión se redujeron en un promedio del 92 por ciento y el tiempo de respuesta aumentó en un 672 por ciento. Por supuesto, este tipo de resultados hace que la mayoría de los dispositivos de seguridad tradicionales sean casi inútiles en las redes de hoy en día, donde la encriptación es la norma y el rendimiento es fundamental. Como resultado, gran parte del tráfico encriptado de hoy no se está analizando en busca de actividad maliciosa, lo que lo convierte es un mecanismo ideal para que los delincuentes difundan malware o puedan extraer datos.

Las empresas deben conocer y preocuparse si no están descifrando e inspeccionado el tráfico SSL, no sólo de fuentes no confiables, sino también de dispositivos, especialmente IoT.

Abordando el reto

Fortinet presenta algunas sugerencias para ayudar a las organizaciones a abordar este creciente problema de seguridad:

  • Practique una buena higiene de seguridad: casi todas las listas de recomendaciones debieran comenzar aquí. La realidad es que la mayoría de los problemas encontrados en las redes actualmente son el resultado de una falla por no parchear, actualizar o reemplazar dispositivos vulnerables, no verificar configuraciones en busca de errores y no reforzar elementos como puertos para evitar una fácil explotación.

 

  • Pruebe sus dispositivos actuales: a medida que su entorno de red sigue evolucionando, es fundamental que identifique posibles obstáculos antes de que se produzcan. En la medida posible, pruebe los dispositivos de seguridad existentes para detectar problemas de rendimiento al inspeccionar grandes volúmenes de tráfico encriptado SSL/TLS. Del mismo modo, verifique que sean compatibles con todos los cifrados principales.

 

  • Implemente controles de red: una onza de prevención vale una libra de cura. En términos de redes, eso significa generar la mayor cantidad de riesgo posible fuera de la red. En el caso de prevenir un incidente cibernético debido a malware encriptado, la prevención incluye implementar un control de acceso a la red (NAC) para identificar dispositivos, segmentar automáticamente el tráfico para limitar el riesgo y usar análisis de comportamiento para que cuando las aplicaciones no estén donde las espera o el tráfico se origine de un lugar inesperado, usted sea alertado.

 

  • Considere una solución de descifrado fuera del dispositivo: si su volumen de tráfico encriptado es abrumador para los recursos disponibles, considere implementar una solución cuya única función sea descifrar y volver a encriptar los datos.

 

  • No todos los dispositivos de seguridad son iguales: los resultados de las pruebas de laboratorios de terceros como NSS son sus aliados. Una solución totalmente integrada resuelve muchos problemas, especialmente cuando los recursos son limitados. La verdad es que algunos proveedores, aunque sean pocos, tienen la solución frente a los problemas de inspección de SSL/TLS y deben examinarse para evaluar si son buenos candidatos para remplazar las soluciones implementadas actualmente que no pueden mantenerse al día.

 

Esto es solo el comienzo

Si su organización aún no se ha visto afectada por este desafío, pronto lo será. No hay ninguna señal de que el volumen de tráfico vaya a disminuir, ni de que el porcentaje de tráfico de red que se está encriptando o la necesidad de una inspección especializada disminuyan. El mejor enfoque es abordar este desafío antes de que se vuelva crítico. Lo último que quiere hacer es permitir que el tráfico no inspeccionado fluya libremente a través de su red o ser víctima de su propia interrupción por denegación de servicio cuando sus herramientas de seguridad ya no puedan cumplir con los requisitos de rendimiento de su red.

 

Por: John Maddison, vicepresidente senior de Productos y Soluciones de Fortinet.

Guía para reducir y gestionar riesgos cibernéticos

Tenable recomendó a las organizaciones, independientemente de su tamaño, grado de riesgo o sofisticación de ciberseguridad, cumplir con el ciclo de vida de la defensa de la ciberseguridad basado en el marco de trabajo del NIST (National Institute of Standards and Technology), el cual  ayuda a reducir y gestionar mejor los riesgos cibernéticos.

Este marco fue desarrollado bajo un enfoque en industrias vitales para la seguridad nacional y económica, incluyendo energía, banca, comunicaciones y defensa. Desde entonces, ha demostrado ser lo suficientemente flexible como para ser adoptado voluntariamente por grandes y pequeñas empresas y organizaciones en todos los sectores de la industria, así como por gobiernos federales, estatales y locales.

Este marco de trabajo es una guía de uso voluntario que consta de estándares, directrices y mejores prácticas para que las organizaciones gestionen mejor y reduzcan el riesgo relacionado con la seguridad cibernética.

El primer objetivo de este ciclo de vida de la defensa de la ciberseguridad comienza con una identificación inicial de la propia postura de riesgo que permite después evolucionar a una estrategia de gestión de riesgos más integral con un enfoque en la reducción del CyberExposure de la organización.

Es importante determinar los sistemas, aplicaciones, activos y datos de la organización, su contexto de negocio, así como identificar aquellos que soportan las funciones críticas para las organizaciones.

“Entender la propia postura de riesgo requiere obtener una visibilidad continua de los activos en toda la superficie de ataque, así como su grado de exposición de acuerdo al contexto actual de las amenazas y su criticidad para la organización”, mencionó Luis Isselin, Director General de Tenable México.

En el pasado, la identificación de activos era un problema relativamente sencillo de resolver.  Hoy en día, el  Bring Your Own Device, Internet de las Cosas, la virtualización, el uso de la nube pública, nuevas estrategias de desarrollo como DevOps y el uso de containersy ahora el uso del cómputo sin servidores (serverless computing), son activos que pueden ser cada vez más efímeros y difíciles de descubrir y controlar. Generalmente en este punto las compañías llegan a fallar debido a la poca visibilidad y comprensión, loque las puede orillar a tener estrategias de seguridad fallidas.

Tras cumplir con la etapa de “Identificación”, el siguiente aspecto en el ciclo de vida de la defensa de la ciberseguridad, es la Protección, dijo Luis Isselin, aquí se deben desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.

Posteriormente, la fase Detectar, la organización tiene que crear y llevar a cabo las actividades apropiadas para identificar la aparición de un evento de ciberseguridad a través de la monitorización continua;  Responder,   permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto, y  por último Recuperar,  permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente.

“Las empresas actualmente tienen dificultades para medir cuán expuestas están en esta nueva era de transformación digital. Debido a esto, es indispensable implementar cada una de estas etapasdentro de un entorno de mejora continua, permitiendo que constantemente la organización optimice sus controles de seguridad y escale a niveles superiores dentro del marco de trabajo”, finalizó Luis Isselin

Brecha en servidores de la NASA expone datos de trabajadores

La NASA ha informado a sus empleados de una brecha de seguridad que expone sus datos, según anuncia la BBC. En el mensaje enviado aseguraba que había sospechas de dos de sus servidores que contenían detalles de antiguos y actuales empleados de la agencia espacial. Aunque, en cualquier caso, ha explicado, el agujero de seguridad no pone en peligro ninguna misión.

Esta es la última de una serie de incidentes que viene sufriendo el organismo desde 2011, aunque este parece un caso leve dentro de su historial. Según declaraciones de un experto de la NASA, la brecha se lleva investigando desde el pasado 23 de octubre.

“Todo nuestro equipo se toma muy en serio la protección de la información personal”, dijo en comunicado. “La NASA sigue con sus esfuerzos para asegurar todos los servidores y está revisando sus procesos y procedimientos para garantizar que se sigan las últimas prácticas de seguridad en toda la organización”.

Entre los datos expuestos se encuentran números de la seguridad social y “otro tipo de información privada” de las personas que han trabajado en la agencia desde julio de 2006.

Y, los ataques anteriores incluyen una toma de control de las computadoras en su Jet Propulsion Laboratory en 2011, y un incidente en 2013 que llevó a ocho dominios web a ser borradas por un grupo llamado Master Italian Hackers Team.

“La gente quiere tener la certeza de que la NASA está aprendiendo de los errores del pasado”, ha comentado Sam Curry, director de seguridad de Cybereason a BBC. “Hay muchas cosas en la agencia de vital importancia en el ámbito de la seguridad nacional”.

 

IDG.es