Categoría: Seguridad

Descubren campaña de malware móvil que ha afectado 25 millones de smartphones

Los investigadores de Check Point han descubierto una nueva variante de malware móvil que ha infectado a alrededor de 25 millones de teléfonos móviles en todo el mundo sin que los usuarios se diesen cuenta. Simulando ser una aplicación de Google, el malware explota vulnerabilidades conocidas en Android y, de forma automática, reemplaza las aplicaciones instaladas por versiones con código malicioso sin que el usuario participe en el proceso.

Conocido como “Agent Smith”, el malware utiliza actualmente su amplio acceso a los recursos de los dispositivos para mostrar anuncios fraudulentos para lucrarse, pero también podría utilizarse fácilmente para fines mucho más intrusivos y perjudiciales, como el robo de credenciales bancarias y las escuchas clandestinas. Esta actividad se asemeja a campañas anteriores de malware como Gooligan, Hummingbad y CopyCat.  Agent Smith se dirigía principalmente a hablantes de hindi, árabe, ruso o lenguas de Indonesia. Hasta ahora, las principales víctimas se encuentran en la India, aunque otros países asiáticos como Pakistán y Bangladesh también se han visto afectados. Por otra parte, también ha habido un número notable de dispositivos infectados en otras regiones del mundo como Reino Unido, Australia y Estados Unidos. En este sentido, Check Point ha trabajado codo con codo con Google y en este momento no queda ninguna aplicación infectada en Play Store.

“El malware ataca de forma silenciosa las aplicaciones ya instaladas en el dispositivo, lo que dificulta que el usuario medio de Android pueda combatir estas amenazas por sí mismo”, dijo Jonathan Shimonovich, Jefe de Investigación de Detección de Amenazas Móviles de Check Point Software Technologies. “Combinar la prevención y la inteligencia avanzada de amenazas, al tiempo que se adopta un enfoque basado en salvaguardar los activos digitales, es la mejor protección contra ataques invasivos de malware móvil como el de Agent Smith. Además, es importante destacar que los usuarios sólo deben descargar aplicaciones de tiendas de confianza para reducir el riesgo de infección, ya que las tiendas de terceros a menudo carecen de las medidas de seguridad necesarias para bloquear las aplicaciones cargadas de adware”, añade Shimonovich.

Para deshacerse de esta aplicación maliciosa, los expertos de Check Point señalan los siguientes pasos a seguir:

Para Android:

  1. Ir a menú
  2. Haz clic en el gestor de aplicaciones
  3. Selecciona la aplicación sospechosa y desinstálala.
  4. Si no se encuentra, elimina todas las aplicaciones instaladas recientemente.

 

Para iPhone:

  1. Ir a menú
  2. Inicia Safari
  3. En la lista de opciones, asegúrate de que la opción “bloquear pop-ups” está seleccionada
  4. Después, haz clic en “opciones avanzadas” y “datos web”
  5. Elimina los datos de cualquier página web que esté en la lista y no reconozcas

 

Industria aérea: sin inmunidad ante los ciberataques

Los ataques cibernéticos se han vuelto cada vez más populares. Sea cual sea el portal de noticias que revisemos, diario encontramos información de todo tipo de ataques que ponen a prueba la seguridad informática de distintas industrias. Sin embargo, a pesar de ser también algo común, poco escuchamos de intromisiones en la industria de la aviación. Desafortunadamente, que no se propague la información no excluye a nuestra industria de este mal.

De dos años a la fecha, la industria de transporte aéreo ha registrado al menos 200 ciberataques, siendo la ganancia financiera el principal motivo, y pese a que las aerolíneas han destinado recursos para protegerse, los incidentes van en aumento.

Hace unos meses se registró un ataque en un aeropuerto europeo, en el que se derribó el sistema para el manejo de pasaportes, convirtiéndose en una verdadera pesadilla operativa. Poco tiempo después se presentó otro ataque que hackeó las pantallas donde se despliega la información de todos los vuelos, lo que orilló al personal  a registrar la información en hojas de papel para que los usuarios pudieran abordar a tiempo, de hecho, hay imágenes en Twitter que muestran este caos.

Otro caso sucedió en Filipinas, donde los hackers utilizaron las pantallas para colocar mensajes en contra del gobierno. Posteriormente, una aerolínea europea vio vulnerabilidad en su sistema de pago en línea, cuando los compradores introducían los datos de sus tarjetas, estos se copiaban en el sitio del atacante.

Sin embargo, es el robo de identidad uno de los peores problemas. En 75 aeropuertos de Estados Unidos se llevó a cabo una campaña de pesca o phishing, es decir, correos de usuarios ilegítimos con el objetivo de descargar archivos maliciosos.

Como podemos ver con todos los ejemplos anteriores, la industria del transporte aéreo  nunca ha estado exenta de presentar problemas con su ciberseguridad, y los directivos están conscientes de ello. Tanto las aerolíneas como los aeropuertos están de acuerdo en que la prioridad número uno para sus inversiones es la seguridad cibernética.

Recientemente en una entrevista, Ed Bastian, Director General de Delta Airlines, fue cuestionado acerca de cuál es su mayor preocupación, a lo que  respondió que  en estos días, la ciberseguridad, pues las personas que intentan atacar están utilizando la tecnología para causar un daño real al negocio y en general, las corporaciones se mantienen muy calladas cuando ocurre un hackeo, e incluso, cuando sale, afirman que solo unos pocos clientes se vieron afectados.

El desafío de la industria de proteger a pasajeros, tripulaciones de vuelo y socios comerciales se está volviendo cada vez más complejo, por ello, el monitoreo constante de los programas de seguridad cibernética para detectar el avance y cambio de los vectores de amenazas, desde programas de lealtad hasta operaciones de aeronaves y plataformas de tecnología, debe ser prioridad tanto para aerolíneas como aeropuertos.

Es por esto que 95% de las aerolíneas y el 96% de los aeropuertos ya invierten en programas de Investigación y Desarrollo en iniciativas de seguridad cibernética, registrando un gasto anual de tres mil 900 millones de dólares en 2018, lo que representa un 9.0% de su presupuesto general para dicho tema.

Ya no se trata de si habrá alguna clase de ataque, se trata de qué tipo de ataque, cuándo y estar preparados para reaccionar. Cuando ocurre lo inevitable, es fundamental contar con defensas que puedan minimizar el daño a la organización. Si bien la prevención es la mejor defensa, no todos los ataques pueden prevenirse. La detección temprana, junto con un conjunto claramente definido de procesos operativos para abordar rápidamente un ataque, es vital para reducir las consecuencias.

 

 

Por: Uriel Torres,

Director General México y Centroamérica,

SITA.

Descubren nuevo ransomware que aprovecha vulnerabilidad de Windows

Los investigadores de Kaspersky han descubierto a Sodin, un nuevo ransomware que aprovecha una vulnerabilidad de día cero de Windows para obtener privilegios de administrador en el sistema infectado. El ransomware también aprovecha la arquitectura de la Unidad Central de Procesamiento (CPU) para evitar ser detectado, una funcionalidad que no se ve a menudo en este tipo de amenazas. Además, en algunos casos, el malware no requiere la interacción del usuario ya que los atacantes simplemente lo plantan en servidores vulnerables.

El ransomware, o el cifrado de datos o dispositivos acompañado de una demanda de dinero, es una ciberamenaza persistente que afecta tanto a individuos como organizaciones de todos los tamaños en todo el mundo. La mayoría de las soluciones de seguridad detectan las versiones comunes y los vectores de ataque establecidos. Sin embargo, métodos complejos como el de Sodin que implican el aprovechamiento de una vulnerabilidad de día cero, descubierta recientemente en Windows (CVE-2018-8453), para escalar privilegios pueden evitar levantar sospechas por algún tiempo.

Este malware parece ser parte de un esquema RaaS  ransomware-as-a-service), lo que significa que sus distribuidores pueden elegir libremente la forma en que éste se propaga.

Hay indicios de que el malware se está distribuyendo a través de un programa de afiliados. Por ejemplo, los programadores del malware han dejado en su funcionalidad ‘un agujero’ que les permite descifrar los archivos sin que sus afiliados sepan: una ‘clave maestra’ que no requiere de la clave del distribuidor (normalmente las claves del distribuidor son las que se han utilizado para descifrar los archivos de las víctimas que pagan el rescate). Los programadores podrían utilizar esta función para controlar el descifrado de los datos de la víctima o la distribución del ransomware, eliminando, por ejemplo, a ciertos distribuidores del programa de afiliados al inutilizar el malware.

Además, aunque las amenazas de ransomware usualmente requieren algún tipo de interacción con el usuario, como abrir un archivo adjunto en un mensaje de correo electrónico o hacer clic en un enlace malicioso, los atacantes detrás de Sodin no hacen uso de este recurso, ya que generalmente encuentran un servidor vulnerable y envían una orden para bajar el archivo malicioso llamado “radm.exe”, el cual guarda el ransomware localmente y lo pone en marcha.

La mayoría de los objetivos de Sodin han sido detectados en Asia: el 17.6% de los ataques se han detectado en Taiwán, el 9.8% en Hong Kong y el 8.8% en la República de Corea. Sin embargo, también se han observado ataques en Europa, Norteamérica y América Latina. Los cibercriminales detrás de este ataque exigen a cada víctima el equivalente a $2,500 dólares estadounidenses.

Según investigadores de Kaspersky, lo que hace que Sodin sea aún más difícil de detectar es el uso de la técnica “Heaven’s Gate”. Ésta permite que un malware ejecute código de 64 bits a partir de un proceso de 32 bits, lo cual no es una práctica común y no suele ocurrir en ransomware.

Los investigadores creen que la técnica de Heaven’s Gate se usa en Sodin por dos razones principales:

  • Hacer que el análisis del código malicioso sea más difícil, pues no todos los examinadores de código soportan esta técnica y, por lo tanto, no pueden reconocerla.
  • Evadir la detección mediante soluciones de seguridad instaladas. Esta técnica se usa para eludir la detección basada en la emulación, un método para descubrir amenazas previamente desconocidas que implica el lanzamiento de código que se comporta de manera sospechosa en un entorno virtual que emula a una computadora real.

“Aunque los ataques de ransomware han disminuido un 30% en los últimos dos años, hemos visto un cambio en su comportamiento: los cibercriminales eligen sus objetivos con base en su potencial, dándole preferencia a las grandes instituciones y compañías que pueden pagar el rescate solicitado, disminuyendo el volumen de ataques contra usuarios domésticos. Estos ataques centrados en organizaciones buscan dejarlas sin acceso a sus sistemas durante mucho tiempo, causando daños considerables que a su vez han llevado a que los cibercriminales empleen técnicas cada vez más avanzadas, como en el caso de Sodin”, comenta Roberto Martínez, analista de seguridad senior en Kaspersky.

Aumenta el uso de IoT, al igual que crecen las amenazas

Avast, en colaboración con la Stanford University, descubrieron que más del 34% de los hogares en todo el mundo ahora tienen al menos un dispositivo conectado a Internet. En América del Norte, ese número es casi el doble, con un 66%, lo que conlleva un crecimiento asociado en los riesgos de ciberseguridad.

La investigación examina el estado de los dispositivos de IoT. Avast exploró 83 millones de dispositivos IoT en 16 millones de hogares en todo el mundo para comprender la distribución y el perfil de seguridad de los dispositivos IoT por tipo y fabricante. Los hallazgos fueron luego validados y analizados por los equipos de investigación de Avast y la Universidad de Stanford.

“La comunidad de seguridad ha discutido durante mucho tiempo los problemas asociados con los dispositivos emergentes de IoT”, dijo Zakir Durumeric, profesor asistente de ciencias de la computación en la Universidad de Stanford. “Desafortunadamente, estos dispositivos se han mantenido ocultos detrás de los enrutadores domésticos y hemos tenido poca información a gran escala sobre los tipos de dispositivos implementados en los hogares reales. “Estos datos nos ayudan a arrojar luz sobre el surgimiento global de IoT y los tipos de problemas de seguridad presentes en los dispositivos que poseen los usuarios reales”.

La investigación revela una imagen compleja del ecosistema de IoT y los desafíos subsiguientes de la ciberseguridad en hogares de todo el mundo. Los hallazgos clave incluyen:

  • Norteamérica tiene la mayor densidad de dispositivos IoT de cualquier región, con el 66% de las casas que poseen al menos un dispositivo IoT; En comparación con el promedio mundial del 40%.
  • Incluso con más de 14,000 fabricantes de IoT en todo el mundo, el 94% de todos los dispositivos de IoT son fabricados por solo 100 proveedores.
  • Los protocolos obsoletos como FTP y Telnet todavía se usan ampliamente; más del 7% de todos los dispositivos de IoT siguen utilizando estos protocolos, lo que los hace especialmente vulnerables.

Distribución de proveedores de IoT en todo el mundo

El documento exploró más a fondo la distribución de los proveedores globales de IoT. Si bien hay una cola muy larga de más de 14,000 proveedores globales de IoT, el dominio del mercado se limita a sólo unos pocos.

“Un hallazgo clave de este documento es que el 94% de los dispositivos de IoT domésticos fueron fabricados por menos de 100 proveedores, y la mitad están hechos por sólo diez proveedores”, dice Rajarshi Gupta, Director de AI en Avast. “Esto coloca a estos fabricantes en una posición única para garantizar que los consumidores tengan acceso a dispositivos con sólida privacidad y seguridad por diseño”.

Al reforzar estos dispositivos contra el acceso no deseado, los fabricantes pueden ayudar a evitar que los malos actores pongan en peligro estos dispositivos por espionaje o ataques de denegación de servicio.

Riesgos de seguridad significativos no están siendo abordados

Como parte del estudio, Avast identificó que una cantidad significativa de dispositivos utilizan protocolos obsoletos como Telnet y FTP. El siete por ciento de todos los dispositivos de IoT son compatibles con uno de estos protocolos.

Este también es el caso del 15% de los enrutadores domésticos, que actúan como una puerta de entrada a la red doméstica. Este es un problema grave ya que cuando los enrutadores tienen credenciales débiles, pueden abrir otros dispositivos y, posiblemente, hogares completos a un ataque.

Hay pocas razones para que los dispositivos IoT sean compatibles con Telnet en 2019. Sin embargo, la investigación muestra que los dispositivos de vigilancia y los enrutadores son compatibles con el protocolo. Los dispositivos de vigilancia tienen el perfil Telnet más débil, junto con los enrutadores e impresoras. Esto se alinea con la evidencia histórica, como el papel de Telnet en los ataques del botnet Mirai, lo que sugiere que este tipo de dispositivos son numerosos y fáciles de comprometer.

BlueKeep es capaz de controlar servidores conectados a Internet

De acuerdo con Sophos, a raíz de varias alertas de seguridad, principalmente señaladas por la Agencia de Seguridad Nacional estadounidense (NSA), Microsoft lanzó parches destinados a proteger las versiones de sus sistemas operativos, incluyendo las que ya no reciben actualizaciones regulares como Windows XP, debido a la vulnerabilidad conocida como BlueKeep.

BlueKeep es una falla grave que utiliza el protocolo de escritorio remoto (RDP), que permite a las personas controlar máquinas de Windows con una interfaz gráfica de usuario completa, a través de internet.

Desde los servidores alojados en la nube hasta los escritorios de Windows utilizados por trabajadores remotos, se convierten en una entrada potencial a la red local de una organización.

Este acceso no autenticado a través de RDP, permite a los atacantes la capacidad de emitir comandos para instalar malware, modificar datos y crear nuevas cuentas de usuario.

Afecta a los equipos que ejecutan Windows XP, Windows 7, Windows Server 2003 y 2008.

El equipo de SophosLabs Offensive Research, publicó una prueba de concepto de ataque BlueKeep, utilizando un exploit propio para explicar cómo esta vulnerabilidad sigue siendo una amenaza grave. El código es obviamente demasiado peligroso para ser publicado, por lo que SophosLabs ha grabado un vídeo que muestra, sin los archivos, como se puede utilizar el exploit para obtener el control total de un sistema remoto sin autenticación.

 

Recomendaciones de Sophos

La aplicación de parches a todas las computadoras afectadas contra esta vulnerabilidad es el mejor método para protegerse de los ataques. Sophos recomienda instalar sus sistemas de seguridad, que se irán actualizando automáticamente, ya que irá agregando nuevas protecciones que ayuden a mitigar esta amenaza a lo largo del tiempo.

Otros pasos para ayudar a los administradores de TI a mejorar la protección son:

  • Si no se utiliza RDP, se recomienda deshabilitarlo para uso externo y limitar su uso internamente. Si RDP está deshabilitado el exploit no funcionará.

  • Exigir a los usuarios que utilicen una VPN para llegar a un servidor RDP interno.

  • Aplicar controles adicionales, como la autenticación multifactor, a todas las máquinas que albergan servicios RDP.

  • Bloquear el tráfico de red entrante en el puerto 3389 / TCP en el firewall.

  • Habilitar la autenticación de nivel de red (NLA) en los sistemas afectados para ayudar a evitar que los atacantes no autenticados aprovechen la vulnerabilidad.

  • Realizar una evaluación de los sistemas en la red interna para determinar qué máquinas son vulnerables y, si no pueden ser parcheadas, considerar implementar restricciones adicionales en el acceso interno a esas máquinas, como aislarlas en una VLAN restrictiva.

Kaspersky formará a astronautas en ciberseguridad

La ciberseguridad es un elemento tan transversal a la sociedad que llega incluso al espacio. Así lo quiere Kaspersky, que ha firmado un acuerdo de colaboración con el Centro de Investigación y Entrenamiento de Cosmonautas Gagarin, en Moscú, Rusia, donde se preparan astronautas de todo el mundo, para desarrollar un programa, tanto para astronautas como para los especialistas TIC del centro, para formarlos en temas de seguridad digital.

Para la compañía, las tecnologías avanzadas juegan un papel clave en la exploración del espacio y, por tanto, es fundamental que el sector esté protegido.

“Si cualquier ataque tiene un impacto económico importante y puede acarrear consecuencias extremas en la vida cotidiana, las mismas podrían resultar devastadoras para el sector espacial”, comentó Eugene Kaspersky, CEO de la organización.

La formación incluirá especialización en las amenazas que afectan a la industria espacial, los objetivos a los que se dirigen los cibercriminales o los distintos métodos de ciberataque. Según la CEO, el centro “es una institución vital para el campo de la exploración espacial. Nos ilusiona apoyar a este centro que se creó en los comienzos de la era de la exploración espacial y donde se entrenan hoy astronautas de todo el mundo”, finalizó.

 

IDG.es

Nuevo malware ataca cajeros automáticos de la región

Kaspersky ha descubierto una nueva muestra de malware especializado en ataques a cajeros automáticos (ATMs),  cuya actividad ha sido detectada en Colombia y México. Después de un breve análisis, quedó claro que el objetivo de ATMJaDi, como fue nombrado, es vaciar los cajeros automáticos infectados.

Según analistas de la empresa, el hecho que los ataques de este malware se centran en un subconjunto específico de ATMs sugiere que posiblemente este haya sido creado por insiders o empleados corruptos del banco.

Tal como sucede con la mayoría de los programas maliciosos para cajeros automáticos, los atacantes detrás de ATMJaDi deben encontrar una manera de instalar el malware. Al analizar el código, los investigadores notaron que este no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas pero que es capaz de enviar comandos personalizados para dispensar dinero de las ATMs. Este descubrimiento sugiere que el grupo detrás de ATMJaDi pudo haber sido desarrollado por insiders con acceso al código fuente de un banco en particular y por ende, a la red donde están conectados los cajeros automáticos.

Una vez instalado, el malware, en forma de archivo Java con el nombre “INJX_PURE.jar”, busca el proceso que controla al ATM para manipularlo e infectar la máquina por medio de comandos legítimos. Al completarse exitosamente la infección, el malware muestra la frase “libertad y gloria” en la pantalla de la terminal en ruso, portugués, español y chino. El mensaje es seguido por la palabra rusa “отдельный”, la cual significa “separado”. Sin embargo, la mayoría de las palabras encontradas en el código aparecen en inglés.

“Los autores de ATMJaDi parecen haber incluido banderas falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código están en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada “, afirma Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky. “Además, el hecho que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias”, alerta Bestuzhev.

Otro detalle que llamó la atención de los investigadores es que el malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos. En su lugar, el código del malware está escrito en un lenguaje de programación de Java, el cual no es comúnmente utilizado en programas maliciosos para ATMs pero tiene orígenes en América Latina. Estos procesos específicos del software controlan a los ATMs que corren en Java y segmentan la actividad a cajeros que corren bajo ese mismo software. Esta acción dirigida indica que los cibercriminales estudiaron detalladamente al blanco antes de programar el malware.

 

El futuro de la ciberseguridad se encuentra en marcos regulatorios globales

Mientras en países europeos existe un reglamento relativo a medidas restrictivas contra los ciberataques –es decir un marco legal para responder a ataques externos— Estados Unidos lanzó el año pasado una actualización sobre su marco regulatorio de ciberseguridad. Sin embargo, México registra bajos niveles en materia de marcos regulatorios y jurídicos, así como, instituciones encargadas de tratar la ciberseguridad y en lo que respecta a programas de capacitación y certificación de organizaciones de carácter público en esta materia.

El principal cambio respecto a las leyes anteriores en el caso de la Unión Europea es que han decidido reforzar y blindar el marco legal para poder imponer sanciones y medidas restrictivas a los responsables de los ciberataques. Esto significa que por primera vez se podrá sancionar a los responsables, pero también a aquellos que presten apoyo financiero, técnico o material.

A nivel mundial, México se encuentra detrás de Estados Unidos y Reino Unido con más ciberataques, de acuerdo con la corredora de seguros Lockton México. El país es un objetivo atractivo porque no cuenta con sólidos mecanismos de defensa que le permitan hacer frente a estas amenazas puesto que no hay grupos especializados en defensa cibernética.

El gasto público del gobierno destinado a enfrentar algunas amenazas externas, como ataques a infraestructura crítica y ciberataques, tiene una caída de 22.7 por ciento en términos reales frente al mismo periodo de 2018.

Si bien en la Procuraduría General de la República existe una Unidad encargada de ejecutar y supervisar acciones policiales que apoyen las investigaciones relacionadas con medios electrónicos y tecnológicos bajo la conducción y mando del Ministerio Público de la Federación, la cual se denomina como la “Unidad de Investigaciones Cibernéticas y Operaciones Tecnológicas”, aún no hay respuesta estratégica de seguridad nacional por parte del gobierno, por lo cual, los sectores como el financiero, productivo, bancario e instituciones educativas son las más afectadas por malas prácticas de ciberseguridad.

En estos días, la ciberseguridad es un elemento clave para el desarrollo económico y social de un país, los gobiernos deben establecer estrategias prioritarias para llevar a cabo diversas medidas de prevención y reacción.

1.- Protección de terminales. Si en ciberseguridad empresarial decimos que el eslabón más débil son los empleados, en ciberseguridad nacional lo son también los usuarios, llámense políticos y funcionarios públicos, ellos deben contar con terminales que tengan las medidas de seguridad informática más avanzadas, así como extremar las precauciones cuando se comuniquen por correo electrónico o intercambien información de todo tipo.

 

2.- Redes distribuidas. Toda la información de un gobierno es sensible y no puede estar en los mismos servidores, ya que, en caso de intrusión, las consecuencias serían catastróficas. Además de diversificar el alojamiento, una parte de dicha información deberá ser almacenada, en la medida de lo posible, en plataformas sin acceso a internet.

 

3.- Monitorización en tiempo real. En un ciberataque, cada segundo, cuesta más que el anterior. Las agencias de ciberseguridad deben controlar y monitorizar en tiempo real todos los procesos que acontezcan en su sistema informático, algo muy simple de hacer con una solución avanzada de ciberseguridad. La mejor forma de contrarrestar una amenaza contra la ciberseguridad nacional es tener visibilidad de qué se está produciendo y cómo. Así, ante un posible ciberataque, se podrá reaccionar rápido y minimizar los daños.

Una de las principales predicciones para el año 2019, en El informe anual de PandaLabs, es el auge de los ataques sin malware. Esto se debe, por una parte, a la mayor dificultad para detectarlos, y por otra, a la mayor capacidad ciber-ofensiva mundial, ya sea de estados como de bandas criminales, asociadas o no con estados.

Según el estudio “Hábitos de los usuarios en ciberseguridad 2019”, es tanta la necesidad de estar conectados que, en muchas ocasiones, los usuarios no se detienen a pensar sobre los lugares a los que se conectan y las consecuencias que esto puede tener. Ello se refleja en que una tercera parte de los participantes afirmó conectarse a redes públicas, ya sea de forma habitual u ocasional. Si bien, no todas estas redes son maliciosas, existe el riesgo de que los usuarios se conecten a puntos creados con la finalidad de esparcir códigos maliciosos o robar información, por lo que es recomendable utilizar puntos de conexión seguros y, en general, fomentar la concientización de los usuarios sobre la importancia de buscar conexiones seguras.

CONDUSEF reportó en 2018 que las quejas por fraudes cibernéticos crecieron 25% respecto del mismo periodo de 2017 y representan cada año una mayor proporción (del 12% al 59%).

Como ejemplo, esta semana se informó sobre personas que en sus estados de cuenta tienen cargos no reconocidos de suscripciones a plataformas de streaming y compra viajes o boletos de autobús que nunca tomaron, posiblemente fueron víctimas de “carding”, una forma de estafa en línea que consiste en acceder ilegalmente al número de una tarjeta bancaria y a través de un software generar de manera aleatoria la fecha de expiración y el código de seguridad.

Ahora el malware ya no es el principal reto para las empresas que cuentan con una ciberseguridad avanzada, pero sí lo es el detectar comportamientos sospechosos en usuarios, máquinas y procesos.

Es por esta razón que el Threat Hunting es tan importante en el panorama de ciberseguridad actual; la búsqueda proactiva de amenazas es la mejor manera de asegurar una seguridad total frente a hackers cada vez más profesionalizados.

Según el estudio “Perspectiva de ciberseguridad en México” realizado por COMEXI, los tres principales ciber riesgos que enfrenta el sector público son el posible robo o alteración a la información que resguarda sobre los ciudadanos, afectaciones a la operación de servicios públicos y operaciones de entidades gubernamentales, y el potencial daño a la confianza en instituciones.

El cibercrimen está en constante evolución, ha cambiado mucho en los últimos años, y no dejará de avanzar, mejorando sus métodos e incorporando nuevas tácticas para conseguir colarse en nuestra red corporativa. Los cibercriminales siempre están buscando nuevas maneras de comprometer nuestra seguridad informática y causar problemas para usuarios y organizaciones en todo el mundo.

¿Cómo se esconde y propaga la botnet de spam Emotet?

Una nueva tarea de inteligencia de Black Lotus Labs revela tácticas no documentadas utilizadas por la botnet de spam Emotet para ocultarse y propagarse, mientras que sus operadores han cambiado el foco para ofrecer su botnet como servicio a otros actores maliciosos.

A través de una compleja infraestructura escalonada de comando y control (C2), esta botnet globalmente distribuida es una de las botnets de spam más prolíficas que operan en la actualidad. Emotet demuestra la evolución constante de los operadores de botnet y la red de dispositivos infectados en los que se apoya para llevar a cabo sus actividades delictivas en internet. Black Lotus Labs es el brazo operativo de amenazas e investigaciones de CenturyLink.

Parte del peligro de Emotet reside en su capacidad de penetración. “Durante los seis últimos meses, hemos identificado, en promedio, 40,000 bots exclusivos de Emotet por día”, comenta Mike Benjamin, director de Black Lotus Labs.

 

La estructura de comando de Emotet ha evolucionado para utilizar terminales infectadas (bots) como otra capa de jerarquía. Estas Bot C2s representaron el 80% de los C2sen 2019.

Durante los últimos 30 días, más de 17,000 direcciones IP exclusivas de bots asociadas con los C2 de Emotet también fueron asociadas con C2 de Trickbot.

Usando análisis de red, Black Lotus Labs puede observar a medida que las botnets de Emotet cambian a nuevos C2, a veces incluso antes de que sean distribuidas.

Hackers éticos: las ciberdefensas se ponen a prueba

No es ninguna novedad que las brechas de datos y los ciberataques van en aumento, y que los hackeos son cada vez más sofisticados. Las empresas están luchando para mantenerse al día con las motivaciones, tácticas y apetitos de destrucción de los ciberdelincuentes, los que cambian rápidamente.

El problema se agrava aún más con las tecnologías emergentes como el Internet de las Cosas (IoT por sus siglas en inglés), que proporcionan a los hackers nuevos mecanismos y medios de ataque. Las organizaciones también están migrando datos a la nube con frecuencia, moviendo grandes volúmenes de datos de trabajo y aplicaciones en diversas configuraciones de implementación. Con ello, dejan atrás una gran cantidad de datos desprotegidos para que los hackers los exploten. Entonces, ¿qué medidas pueden tomar las empresas para evitar interrupciones?

 

Percepción del enemigo

Tanto para entender como para mantenerse al día con la evolución de la mentalidad de los cibercriminales, muchas empresas están peleando fuego con fuego. En otras palabras, contratando a hackers para que les ayuden. De hecho, grandes empresas como Airbnb, PayPal y Spotify recientemente revelaron que han gastado voluntariamente más de 38 millones de libras en hackers éticos para reforzar sus defensas cibernéticas y evitar la violación de datos.

Los hackers éticos pueden desempeñar un papel fundamental para ayudar a los equipos de seguridad a considerar todos y cada uno de los posibles vectores de ataque al proteger las aplicaciones. Aunque los arquitectos de seguridad tienen una gran cantidad de conocimientos sobre las mejores prácticas del sector, a menudo carecen de experiencia de primera mano sobre cómo los atacantes realizan reconocimientos, encadenan múltiples ataques o acceden a las redes corporativas.

Equipado con todas las habilidades y astucia de sus adversarios, el hacker ético está legalmente autorizado a explotar las redes de seguridad y mejorar los sistemas mediante la reparación de las vulnerabilidades encontradas durante las pruebas, además de revelar todas las vulnerabilidades descubiertas.

Si bien puede sonar contraintuitivo hacer uso de los hackers para ayudar a planificar y probar nuestras defensas cibernéticas, lo que sí tienen en abundancia es experiencia práctica y valiosa.

De acuerdo con el Informe Hacker de 2019, la comunidad de hackers de sombrero blanco (como se denomina a los hackers éticos) se ha duplicado año tras año. En 2018, se repartieron 19 millones de dólares en recompensas, casi igualando el total pagado a los hackers en los seis años anteriores. El informe también estima que los hackers éticos que perciben más dinero pueden ganar hasta cuarenta veces el salario medio anual de un ingeniero de software en su país de origen.

 ¿Dónde encontrar a los hackers éticos?

El método más común es un esquema de “recompensa por error” que opera bajo términos y condiciones estrictas. De esta manera, cualquier miembro del público puede buscar y enviar vulnerabilidades descubiertas para tener la oportunidad de ganar una recompensa. Puede funcionar bien para servicios disponibles al público, como sitios web o aplicaciones móviles, y las recompensas dependen del nivel de riesgo percibido una vez que la organización afectada confirma la validez de su descubrimiento.

El uso de subcontratación masiva y el pago de incentivos tiene beneficios obvios. Los hackers obtienen prestigio reputacional y/o moneda fuerte para mostrar y probar sus habilidades en un foro muy público. A cambio, la organización de contratación adquiere nuevas dimensiones de inteligencia y perspectivas de seguridad.

Algunas empresas optan por contratar directamente a hackers. Aquí, la experiencia práctica es clave. Si bien puede parecer contraintuitivo hacer uso de hackers externos -algunos de los cuales tienen un historial de actividad delictiva- lo único que tienen en abundancia es experiencia práctica. Al final del día, un hacker es un hacker. La única diferencia es lo que hacen una vez que se encuentra un error o una vulnerabilidad.

Por último, emplear a un ex cibercriminal es una decisión arriesgada que debe tomarse caso por caso. También, vale la pena señalar que la verificación de antecedentes penales sólo ayuda a identificar a los delincuentes anteriores, ya que carecen de contexto sobre cómo ha cambiado una persona.

Por ejemplo, es poco probable que alguien acusado de un ataque de denegación de servicio a una edad temprana se haya convertido en un criminal internacional de carrera. De hecho, algunos jóvenes delincuentes se convierten a menudo en consultores de seguridad muy respetados y en líderes de opinión de la industria.

 

Mantén a tus amigos cerca…

Aunque parece perverso contratar a hackers y ex-criminales, está claro que pueden aportar un conocimiento inestimable del mundo real a una serie de actividades de seguridad, incluyendo el modelado de amenazas y las pruebas de penetración. Pueden ofrecer una perspectiva que otros no han considerado y pueden mostrar a las empresas cómo adaptarse a las amenazas, dándoles una idea de sus tácticas y motivaciones.

Con más empresas que adoptan este enfoque de ciberseguridad, es importante vigilar de cerca su actividad para asegurarse de que estos hackers no estén volviendo a sus viejas formas maliciosas y pongan en riesgo su negocio.

 

Por: Tristan Liverpool, Director de Ingeniería de Sistemas de F5 Networks.