Categor铆a: Seguridad

Cuatro acciones para evitar un ciberataque

Los ciberatacantes generalmente tienen una ventana de oportunidad promedio de siete d铆as para explotar una vulnerabilidad conocida, antes de que los defensores incluso hayan determinado que son vulnerables, al menos as铆 lo inform贸 Tenable, tras resaltar que la falta de visibilidad hace dif铆cil encontrar vectores de amenaza aislados, y a煤n m谩s complicado abordarlos una vez que se encuentran. Esto se debe a que, en la mayor铆a de los casos, las herramientas y t谩cticas disponibles solo est谩n dise帽adas para abordar 谩reas espec铆ficas y no integradas.

Luis Isselin, director general de Tenable M茅xico, inform贸 que a menudo las soluciones de seguridad no se est谩n integrando de forma correcta en toda la organizaci贸n. Si bien, este problema no es nuevo, si es preocupante debido a que la superficie de ataque contin煤a expandi茅ndose cada vez m谩s.

“Los 聽profesionales de TI y seguridad cibern茅tica expresan continuamente el gran reto que tienen al 聽proteger 聽todas las aplicaciones aisladas, as铆 como los dispositivos de tecnolog铆a operacional (OT) e Internet de las Cosas (IoT) que se est谩n implementando fuera del departamento de TI”, destac贸 el directivo.

De acuerdo con Isselin, los CISO deben crear una estrategia de ciberseguridad hol铆stica que les permita establecer cuatro acciones b谩sicas para evitar un ciberataque:

 

1) Visibilidad

El CISO requiere visibilidad en todos los aspectos de la superficie de ataque de la organizaci贸n, incluidos los recursos de la nube, contenedores, sistemas de control industrial y 聽dispositivos m贸viles, que pueden estar o no en el radar de TI. El tener conocimiento sobre聽 d贸nde est谩n las exposiciones, o d贸nde es probable que se encuentren, revela un panorama mucho m谩s amplio de lo que est谩 en riesgo en la empresa.

 

2) Prioridad

El CISO debe comprender el problema y la criticidad de los activos. Deber谩 dar prioridad en funci贸n de la importancia de los activos afectados para el negocio y la probabilidad de que se explote una vulnerabilidad determinada.

 

3) Medir el progreso

Evaluar el progreso de cada decisi贸n tomada como parte de las estrategias de ciberseguridad es esencial. Los CISO deber谩n identificar las m茅tricas y los KPI (Key Performance Indicator) con los que medir谩 sus esfuerzos;聽 dichas m茅tricas deben ser visibles por unidad de negocio, geograf铆a y tipo de activo. El objetivo es comprender c贸mo cambia el perfil de exposici贸n diario, semanal, mensual, de modo que pueda ayudar a comprender si las inversiones de la empresa en ciberseguridad est谩n dando frutos.

4) Comparar pr谩cticas de seguridad (Benchmarking)

Es importante conocer las experiencias de otros colegas en materia de seguridad; el CISO deber谩 investigar sobre 聽otras pr谩cticas de ciberseguridad que se est茅n llevando a cabo en 聽su mismo rubro, as铆 como en otras industrias fuera del 谩mbito de su misma empresa.

El informar sobre las聽 mejores pr谩cticas existentes a聽 la junta directiva聽 le ayudar谩 a saber c贸mo est谩 rankeada la organizaci贸n ante 聽su sector y ante la mejor seguridad en su clase. 聽Asimismo, garantizar谩 聽聽聽el cumplimiento聽 con su responsabilidad fiduciaria al brindar la adecuada supervisi贸n de riesgos.

篓La聽 capacidad de los CISO de llevar a cabo una estrategia de ciberseguridad hol铆stica y de dar seguimiento a estas 4 acciones b谩sicas 聽ser谩 聽vital para comprender la exposici贸n total al riesgo y la efectividad de sus medidas de ciberseguridad en la organizaci贸n 篓 finaliz贸 Luis Isselin

Multicloud y Data Protection, est谩n impulsando la nueva era de la seguridad en M茅xico: Estudio

Thales聽anunci贸 los resultados de su 2018 Estudio de Tendencias de Cifrado en M茅xico. El informe, basado en una investigaci贸n independiente del Ponemon Institute y patrocinado por Thales, refleja algunos de los cambios y desaf铆os que las organizaciones mexicanas experimentan debido a tendencias como multicloud, la necesidad de proteger la informaci贸n confidencial de fuentes internas y externas, divulgaci贸n accidental y las continuas amenazas de los hackers hac铆a la seguridad de los datos.

El reporte revela que las empresas est谩n adoptando el cifrado en M茅xico para proteger datos o aplicaciones confidenciales, el 30% de los encuestados dicen que tienen una estrategia de cifrado aplicada de forma consistente en sus organizaciones. Sin embargo, est谩 por debajo del promedio global del 43%.

M茅xico obtuvo la calificaci贸n m谩s alta para los hackers como una amenaza para los datos confidenciales en comparaci贸n con cualquier otro pa铆s en la encuesta global.

Los registros financieros (52%) y los datos relacionados con los pagos (51%) son los dos tipos de datos que com煤nmente se cifran m谩s en M茅xico. Este es un cambio significativo respecto al a帽o pasado, donde los datos de empleados / HR fueron el tipo de datos que se cifr贸 de manera dominante .Y, por segundo a帽o consecutivo, M茅xico, m谩s que cualquier otro pa铆s en la encuesta, clasific贸 la gesti贸n de claves como una caracter铆stica de cifrado de alto valor.

 

Crecimiento constante proyectado del cifrado en la nube

El uso cada vez mayor de m煤ltiples proveedores de la nube hace que las organizaciones luchen por hacer frente a un mayor n煤mero de implementaciones de cifrado, lo que hace que sea necesariopersonal m谩s capacitado y experimentado que maneje la administraci贸n de claves. A pesar del alto valor que las organizaciones mexicanas asignan a la administraci贸n de claves, tambi茅n reportaron el nivel m谩s alto donde se requiere mayor esfuerzo (77%) asociado con la falta de personal calificado.

  • El 46% de los encuestados de M茅xico est谩 utilizando m谩s de un proveedor de nube p煤blica y el 71% planea hacerlo en los pr贸ximos dos a帽os;
  • El 78% de los encuestados de M茅xico usan la nube para aplicaciones y datos confidenciales / no sensibles hasta el momento, o lo har谩n en los pr贸ximos dos a帽os; y,
  • El 45% de las organizaciones indica que solo usar谩n claves para el cifrado de datos en reposo que ellos, en lugar de un proveedor de la nube, controlan.

Un caso para la protecci贸n de claves, gesti贸n de claves y aplicaciones de encriptaci贸n.

Tanto las soluciones de gesti贸n de claves como los m贸dulos de seguridad de hardware (HSM), as铆 como las aplicaciones de cifrado, desempe帽an un papel importante en las iniciativas de protecci贸n de datos. El rendimiento, la aplicaci贸n de pol铆ticas, el soporte para algoritmos emergentes y la gesti贸n de claves son muy importantes a medida que crece el uso del cifrado

Para M茅xico, se espera que el uso de HSM crezca a lo largo del pr贸ximo a帽o para varios casos de uso incluidos principalmente el cifrado de bases de datos, el cifrado de la nube p煤blica, el procesamiento de transacciones de pago y el suministro de credenciales de pago.

Cinco estafas cibern茅ticas que todos debemos conocer

Los cibercriminales utilizan una amplia variedad de t谩cticas de estafa para obtener acceso a un dispositivo o red, extorsionar por dinero o robar informaci贸n valiosa.

Cuando se trata de comprender las amenazas de hoy y c贸mo protegerse y asegurar su organizaci贸n contra ellas, conocer las diversas t谩cticas en las cuales se utiliza聽ingenier铆a social para enga帽ar a los usuarios puede ser de mucha ayuda.

Con esto en mente, las personas pueden minimizar el impacto de las estafas cibern茅ticas al conocer las variantes m谩s comunes que utilizan los cibercriminales. Fortinet presenta en este art铆culo un resumen de las principales.

 

1. Phishing

Los ataques de phishing son muy comunes tanto en las redes corporativas como en las personales. Ocurrencuando un delincuente env铆a una comunicaci贸n (correo electr贸nico, llamadatelef贸nica, mensaje de texto, etc.) en laque pretende ser otra persona para extraer o acceder a credenciales, datos personales o informaci贸n聽financiera sobre聽el individuo objetivo o informaci贸n sensible relacionada con la organizaci贸n para la cual trabaja. Aqu铆 hayalgunos consejos que debe tener en cuenta para reconocer este tipo de mensajes maliciosos:

Verifique los nombres de los contactos: tenga cuidadosi recibe comunicaciones de una fuente que no reconoce y que le pide que realice una acci贸n comoproporcionar informaci贸n personal o iniciar sesi贸nen un sitio. Verifique su direcci贸n de correo electr贸nico聽o n煤mero de tel茅fono y comp谩relo con la persona u organizaci贸n con la que dice estar asociado聽para descubrir inconsistencias.
Busque faltas de ortograf铆a y gram谩tica deficiente: las organizaciones profesionales se toman el tiempo de聽leer sus comunicaciones antes de enviarlas. A menudo, los cibercriminales de phishing no lo hacen. Si recibe un mensaje de una fuente聽supuestamente confiable聽que incluye errores tipogr谩ficos, una gram谩tica deficiente o una mala puntuaci贸n, es probable que sea una estafa.
Busque comportamiento agresivo: si el tema y tono de聽un mensaje son demasiado agresivos, es probable que sea una estafa. 驴Alguna vez ha visto un correo electr贸nicoen su carpeta de SPAM que dice algo similar聽a “Urgente! Su cuenta est谩 sobregirada por X d铆as. Cont谩ctenos INMEDIATAMENTE鈥! El objetivo aqu铆es hacer que se sienta inc贸modo, se asuste y tome la acci贸n que desean los estafadores.

2. Spear phishing

Mientras que los ataques de phishing se env铆an en masa y ofrecen pistas relativamente f谩ciles de detectar, el spear phishing es su contraparte m谩s espec铆fica y mucho聽m谩s sofisticada. Los estafadores que practican este tipo聽de phishingrealizan investigaciones en profundidad聽sobre susv铆ctimas y se toman el tiempo de comprender聽su organizaci贸n, colegas, intereses y m谩s para aumentar sus posibilidades de 茅xito. Para protegerse mejor del spear phishing, considere lo siguiente:

Sea discreto al entregar informaci贸n: por m谩s que suene simple, si los usuarios no estuviera entregandovoluntariamente su informaci贸n a los cibercriminales, el phishing no ser铆a la estafa聽m谩s efectiva.
Mantenga una buena higiene de seguridad:cuanto practicar聽la higiene b谩sica de seguridad, niega a los estafadores muchos de los vectores de ataque comunes聽que utilizan para infectar sus m谩quinas y obtener acceso a su informaci贸n o a la red de la organizaci贸n. La implementaci贸n de h谩bitos simples y cotidianos puede contribuir en gran medida a evitar聽que las estafas comprometan con 茅xito un dispositivo聽o red.

3. Baiting

El baiting o las estafas de carnada, como sugiere聽su nombre, apuntan a persuadir a los usuarios desprevenidos聽para que realicen una determinada聽acci贸n como聽descargar un virus o ingresar informaci贸n personal a cambio de lacarnada“. Los cibercriminales聽puede ofrecer聽cualquier cosa, desde software antivirus gratuito o pel铆culas que los usuarios pueden descargar, hasta un cebo f铆sico como una unidad de memoria con la etiqueta聽Informaci贸n de Salario Corporativo” que la v铆ctima聽puede encontrar聽y conectar a su m谩quina. Si bien este tipo de estafa puede tomar muchas formas, el objetivo final es siempre el mismo: atraer a los usuarios para que instalen softwaremalicioso. Para protegerse y proteger聽su organizaci贸n, preste atencin a estos聽indicadores comunes: 聽

Evite ofertas gratuitas: como dice el viejo refr谩n:si聽suena demasiado bueno para ser verdad, es probable que no lo sea”. Muchos聽estafadores cibern茅ticos聽intentar谩n atraer v铆ctimas con promesas dedescargas gratuitas, env铆os gratuitos, suscripciones gratuitas, etc.
Evite las unidades flash externas o los discos duros desconocidos: las hostigaciones se puede realizardigitalmente o con unidades f铆sicas que instalan software malicioso. Aseg煤rese de conocer al propietario de la unidad antes de conectarla a su聽mquina.

4. Ataques a dispositivos m贸viles

Los dispositivos m贸viles tambi茅n est谩n siendo cada vez聽m谩s atacados por estafas criminales. Las aplicaciones聽falsas utilizadas para extraer datos o ransomware est谩n ampliamente disponibles, especialmente para el sistema operativo Android. Tome en cuenta lo siguiente:

Evite el enmascaramiento de malware como aplicaciones聽y actualizaciones leg铆timas: un n煤mero creciente de aplicaciones falsas est谩n disponiblesen tiendas de aplicaciones de terceros. Adem谩s, los implantes y actualizaciones que explotan aplicaciones y dispositivos聽tambi茅n abundan聽(como el malware de criptominer铆a).
Use WiFi seguro: tenga cuidado con el Wifi gratuito. Los espacios p煤blicos y tiendas que ofrecen conexiones WiFi gratuitas son lugares comunes聽para los ataques de intermediarios聽en donde聽los delincuentes a menudo transmiten la disponibilidad de servicios WiFi y luego los utilizan paracapturar datos. Cuando use WiFi p煤blico, use conexiones VPN y evite transacciones confidenciales.

5. Ataques a dispositivos IoT

Los dispositivos del IoT tambi茅n son un vector de ataque cada vez m谩s popular. Muchos dispositivos IoT son f谩ciles de explotar, tienen una conexi贸n a Internet persistente y utilizan procesadores GPU potentes, lo que los hace ideales para la criptominer铆a y las vulnerabilidades DDoS. C贸mo estar mejor preparado?

Actualice credenciales: la estrategia de explotaci贸n聽m谩s com煤n es simplemente intentar conectarse a un dispositivo IoT utilizando su nombre de usuario y contrase帽a predeterminados. Siempre que sea聽posible, cambie la contrase帽a de sus enrutadores, televisores inteligentes y sistemas de entretenimiento en el hogar.
Sea cuidadoso con los autom贸viles conectados: a medida que m谩s y m谩s dispositivos se interconectan, se vuelven vulnerables al ser el eslab贸n m谩s d茅bil de la cadena. Los dispositivos聽como los autos conectados no solo son objetivos聽atractivos para los atacantes, ya que contienen聽datos del usuario, informaci贸n de contacto del tel茅fono e incluso informaci贸n de pago, sino que su聽compromiso tambi茅n puede representar un riesgo聽para los conductores y pasajeros. Al comprar un autom贸vil conectado, revise y cambie聽cuidadosamente sus configuraciones de seguridad聽predeterminadas y evite instalar aplicaciones de fuentes desconocidas.

Las estafas cibern茅ticas pueden afectar a cualquier聽persona que no est al tanto de estas se帽ales de advertencia comunes. A medida que las personas contin煤an adoptando m谩s y m谩s dispositivos que se conectan a una red, el riesgo de ser v铆ctima de una estafa聽solo aumenta. Al conocer las estafas cibernticas聽comunes que se dirigen a las personas hoy en d铆a y聽reconocer los signos reveladores de esas estafas, puede聽proteger su valiosa informaci贸n y la informaci贸n de las redes a las que se conecta.

 

Por: Ladi Adefala, estratega de Seguridad senior de聽Fortinet.聽

驴Huir o enfrentar? La decisi贸n que debe tomar el departamento de TI

En un estudio reciente de Citrix, se le pregunt贸 a encargados del 谩rea de TI de diferentes pa铆ses de Latinoam茅rica cu谩l es su mayor miedo y contaron que el principal es que los empleados caigan en trampas de hackers usando dispositivos corporativos (34%), seguido por la posibilidad de que se pierda un dispositivo con informaci贸n clave para el negocio (31%) y por 煤ltimo, que hackers ataquen a la organizaci贸n (29%).

Definitivamente, el mayor temor del departamento de TI convive con ellos en la empresa. Esto confirma como el paradigma de seguridad de la informaci贸n cambi贸: hoy las personas y los dispositivos tienen que estar en el centro de la estrategia de seguridad corporativa. Se trata de dise帽ar un modelo de seguridad con un enfoque hol铆stico que contemple las acciones del usuario, los dispositivos, la red, los documentos, el acceso y el uso de las aplicaciones. Para hacerlo es fundamental:

1. Crear un per铆metro digital seguro: se trata de establecer un per铆metro de seguridad basado en software alrededor de toda la empresa que constate la identidad de las personas, las credenciales de acceso, el uso de software y aplicaciones, y que encripte el tr谩fico que circula en la red.

2. Avanzar hacia laseguridad contextual: Esto permite analizar a la persona y su contexto. Y gracias a algoritmos de machine learning se puede identificar que comportamientos son 鈥渘ormales鈥 y cuales potenciales amenazas. A la vez, permite analizar si la persona hace un uso inseguro de los datos y crear capacitaciones para resolverlo.

3. Garantizar el acceso a datos y aplicaciones de forma segura: implica contar con tecnolog铆a que permita acceder a los datos y aplicaciones de forma segura desde cualquier lugar y dispositivo sin comprometer la seguridad de los datos y contemplando la experiencia del usuario.

Pero volviendo al concepto del miedo, 茅ste deber铆a llevarnos a la acci贸n. No obstante, el 57% de los encargados de TI no tiene planeado invertir m谩s en seguridad por el momento. Incluso considerando que el 40% cree que su infraestructura no est谩 preparada para afrontar vulnerabilidades. Aquellos que s铆 invertir谩n en seguridad (43%) lo har谩n para enfrentar los h谩bitos inseguros de los empleados (35%), para administrar dispositivos m贸viles (20%) y cumplir con regulaciones (16%).

La seguridad de la informaci贸n es y seguir谩 siendo un punto clave para los departamentos de TI. Pero tiene que ser mucho m谩s que eso, no puede quedar s贸lo en un temor o en un checklist de prioridades. El mayor miedo que tienen los l铆deres de TI de la regi贸n ya nos lo contaron, ahora hay que dar paso a la acci贸n.

 

Por: Juan Pablo Jim茅nez, vicepresidente de Citrix para Latinoam茅rica y El Caribe.

Necesario mejorar habilidades de equipos de Ciberseguridad para enfrentar retos actuales: CompTIA

Una mayor dependencia en m茅tricas para medir el 茅xito combinado con la mejora de habilidades en los equipos de seguridad pueden ayudar a las organizaciones a mejorar su eficacia en ciberseguridad, de acuerdo a un nuevo reporte de CompTIA; “Tendencias en Ciberseguridad 2018: Construyendo Equipos de Seguridad Efectivos鈥.

El estudio explora lo que las organizaciones est谩n haciendo para asegurar la informaci贸n y manejar problemas de privacidad en un entorno que ha crecido en complejidad.

El reporte revisa las maneras en que las compa帽铆as est谩n formando equipos de seguridad utilizando tanto recursos internos, como a trav茅s de asociaciones externas.

El uso de m茅tricas de seguridad para medir 茅xito e informar sobre decisiones de inversi贸n es un 谩rea que est谩 tomando mayor importancia, de acuerdo al reporte. 鈥淎unque s贸lo una entre cinco organizaciones utilizan m茅tricas de manera importante dentro de su funci贸n de seguridad, un 50% de compa帽铆as son usuarios moderados de estas medidas,鈥 coment贸 Seth Robinson, Director Senior de An谩lisis de Tecnolog铆a de CompTIA.

鈥淓l uso de m茅tricas en el 谩mbito de ciberseguridad proporciona una oportunidad excelente para reunir muchas partes del negocio鈥, continu贸. 鈥淒esde el nivel directivo a trav茅s de las capas administrativas y hasta las personas a cargo de las actividades de seguridad, todos tienen un inter茅s creado en establecer las m茅tricas adecuadas y de revisar el progreso para alcanzar las metas.鈥

Robinson aconsej贸 que la pauta m谩s importante para establecer m茅tricas de seguridad es la de verificar que todos los aspectos de la seguridad sean cubiertos. Esto deber铆a incluir:

  • M茅tricas t茅cnicas, como el porcentaje de tr谩fico de redes marcado como an贸malo.
  • M茅tricas de cumplimiento, como el n煤mero de auditor铆as exitosas.
  • M茅tricas de la fuerza laboral, como el porcentaje de empleados que completen capacitaci贸n en seguridad.
  • M茅tricas de socios, como el n煤mero de acuerdos externos con lenguaje de seguridad.

Mejorando Habilidades de Equipos de Seguridad

El uso de m茅tricas de seguridad y la formaci贸n de equipos de seguridad debieran verse como actividades complementarias, aunque para muchas organizaciones la mejora de habilidades ser谩 necesaria.

鈥淟as habilidades base como seguridad de redes, seguridad extrema y conciencia de amenazas a煤n forman el cimiento de un equipo fuerte,鈥 coment贸 Robinson. 鈥淧ero como la nube y la movilidad se han arraigado en las operaciones TI, otras habilidades han tomado igual o mayor importancia.鈥

Se necesita mejorar en un amplio conjunto de habilidades, empezando por evaluaci贸n de vulnerabilidades, conocimiento de amenazas, cumplimiento de normas y seguridad operacional, control de accesos e identidad,聽 detecci贸n de incidentes y respuesta.

Para cerrar sus brechas de habilidades las compa帽铆as est谩n enfocadas primeramente en capacitar a sus empleados actuales o ampliar el uso de experiencia de terceros. Una nueva plantilla o nuevas asociaciones son consideraciones secundarias. Las certificaciones de la industria tambi茅n pueden jugar un papel importante.

En lo referente al uso de recursos externos, 78 por ciento de las compa帽铆as conf铆an en socios externos para algunas o todas sus necesidades de seguridad. Muchas firmas se apoyan en m谩s de un socio externo, otro indicador de la complejidad de la ciberseguridad.

Un poco m谩s de la mitad de las compa帽铆as encuestadas (51%) utiliza un proveedor general de soluciones TI; mientras que 38 por ciento utiliza una compa帽铆a general de seguridad, una que pueda manejar seguridad tanto f铆sica como TI. Cerca del 35 por ciento de las compa帽铆as est谩n comprometidas con una firma de seguridad enfocada en TI, tal como un proveedor de servicios de seguridad administrado; y 29 por ciento utiliza una firma que proporciona servicios t茅cnicos de negocios, como mercadotecnia digital o administraci贸n de contenidos.

No hay forma de recuperar datos vulnerados de Google+

El pasado 8 de octubre Google dio a conocer, a trav茅s de su blog, que la red social Google+ cerrar谩 definitivamente en agosto de 2019 debido a un problema en su sistema que expuso informaci贸n personal de al menos 500,000 usuarios alrededor del mundo.

Sin embargo, a pesar de que la compa帽铆a dar谩 a sus usuarios 10 meses para recuperar y borrar sus datos estos ya fueron vulnerados. Asimismo, Google+ se vincula con cualquier cuenta de Google como Gmail, Google Docs, Google Analytics, entre otras, por lo que los usuarios de estas plataformas tambi茅n quedaron expuestos.

鈥淎l parecer, no hay forma de que el usuario recupere la informaci贸n, la falla dej贸 los datos expuestos por alg煤n tiempo. La compa帽铆a tuvo un mal manejo de gesti贸n, pues, al abrir una cuenta en cualquier servicio de Google, autom谩ticamente se crea un perfil en Google+. Si bien la gente puede tomar la decisi贸n de borrar las cuentas, esto no cambia mucho la situaci贸n鈥, coment贸 Fabio Assolini, analista senior de seguridad de Kaspersky Lab.

Seg煤n la informaci贸n compartida por Google, los datos expuestos v铆a su API incluyeron direcciones de correo electr贸nico, ocupaci贸n, sexo y edad. Sin embargo, en ese mismo anuncio la compa帽铆a tambi茅n dio a conocer que no encontraron evidencia de que el desarrollador tuviera conocimiento sobre esta falla, o de abuso del API, y tampoco encontraron pruebas de que los datos de perfil hayan sido mal utilizados.

Las direcciones de correo electr贸nico son los datos m谩s valiosos que estuvieron expuestos durante la filtraci贸n, ya que pueden ser utilizadas para env铆o de spam o para ataques de spear-phishing.

Al momento, no se ha dado a conocer qui茅nes son los afectados o de qu茅 pa铆ses, por lo que los usuarios de cualquier servicio Google deber谩n estar atentos y tomar las medidas de seguridad necesarias, principalmente al abrir correos electr贸nicos.

 

Se detecta vulnerabilidad de d铆a cero para Microsoft Windows

La tecnolog铆a de Kaspersky Lab para prevenci贸n autom谩tica de exploits, integrada en la mayor铆a de las soluciones de endpoint de la empresa, ha detectado una serie de ataques cibern茅ticos dirigidos. Los ataques se deben a un nuevo malware que aprovech贸 una vulnerabilidad de d铆a cero en el sistema operativo de Microsoft Windows. La intenci贸n era que los ciberdelincuentes 聽pudieran obtener acceso persistente a los sistemas, especialmente aquellas v铆ctimas en el Medio Oriente, pero Microsoft subsan贸 la vulnerabilidad con un parche el pasado 9 de octubre.

Los ataques de d铆a cero son una de las formas m谩s peligrosas de amenazas cibern茅ticas, ya que implican la explotaci贸n de una vulnerabilidad que a煤n no ha sido descubierta ni corregida. Si los agentes de amenazas la encuentran, pueden utilizarla para crear un ataque que abrir谩 el acceso a todo el sistema. Este escenario de ataque es ampliamente utilizado por agentes avanzados en ataques APT, y se utiliz贸 en este caso.

La vulnerabilidad descubierta de Microsoft Windows fue utilizada con las v铆ctimas a trav茅s de una puerta trasera PowerShell.

Luego fue ejecutada para obtener los privilegios necesarios que la instalaran persistentemente en los sistemas de las v铆ctimas. El c贸digo malicioso era de alta calidad y fue escrito para permitir la explotaci贸n segura de tantas versiones de Windows como fuera posible.

Los ciberataques tuvieron como objetivo menos de una docena de organizaciones diferentes en el Medio Oriente a finales del verano. Se sospecha que el agente que maneja el ataque podr铆a estar relacionado con el grupo FruityArmor, ya que este agente de amenazas ha utilizado exclusivamente una puerta trasera PowerShell en el pasado. Tras el descubrimiento, los expertos de Kaspersky Lab le informaron de inmediato a Microsoft sobre la vulnerabilidad.

鈥淐uando se trata de vulnerabilidades de d铆a cero, es fundamental vigilar activamente el panorama de amenazas en busca de nuevas vulnerabilidades”, dijo Anton Ivanov, experto en seguridad para Kaspersky Lab.

SamSam, nuevo ransomware que afecta a infraestructuras cr铆ticas

S21secreport贸 un aumento en los ataques llevados a cabo mediante el ransomware SamSam, el cual es muy particular ya que se lleva a cabo con moderaci贸n, en un n煤mero relativamente peque帽o de ataques dirigidos. El gobierno de Estados Unidos public贸 un aviso acerca de la naturaleza oportunista del mismo, puesto que aprovecha las vulnerabilidades de los sistemas y servidores, para as铆 moverse lateralmente a trav茅s de la red para identificar a sus potenciales objetivos.

El origen de este malware se sit煤a en el a帽o 2016, bajo la autor铆a del grupo conocido como Gold Lowell, quienes tienen como objetivo la industria de la salud, infraestructuras cr铆ticas y gobiernos locales.

Los atacantes de SamSam utilizan una combinaci贸n de t茅cnicas, tales como el pentesting; herramientas como Mimikatz, para obtener credenciales; o PSexec para moverse lateralmente en las redes del objetivo, donde el malware ser谩 instalado manualmente.

Esta t茅cnica permite sortear los antivirus y evitar la generaci贸n de alertas, ya que los dispositivos de seguridad generalmente reconocen este tr谩fico como comandos leg铆timos desde dentro de la organizaci贸n atacada.

 

M茅todos de ataque

Cada ataque de SamSam se ha realizado utilizando una versi贸n diferente del malware, con sus correspondientes mejoras en el c贸digo, que tambi茅n le permiten robar las credenciales de accesos de los dispositivos afectados. En algunos casos, cuando la ejecuci贸n es bloqueada por una herramienta de protecci贸n endpoint, los atacantes modifican el registro de entrada para deshabilitar el escaneado endpoint.

Una vez dentro de una red, pasar铆a todo el tiempo posible escaneando la red, mapeando su dise帽o y utilizando varias herramientas leg铆timas para expandir su acceso a servidores locales desde donde podr铆an infectar otras estaciones de trabajo.

Por 煤ltimo, el ransomware cifra las m谩quinas comprometidas y muestra la nota de rescate a la compa帽铆a afectada, con el consiguiente pago de la compa帽铆a por cada computadora individual o en bloque para todas las estaciones de trabajo infectadas.

 

10 consideraciones de Akamai para la gesti贸n de bots

驴Cu谩l es la soluci贸n de gesti贸n de bots m谩s adecuada? Si se eligiera un sitio Web al azar, se sorprender铆a. Probablemente, descubrir铆a que聽los robots Web automatizados (bots) generan entre 30 y 70 % del tr谩fico total de los sitios Web actuales. Esta sencilla estad铆stica oculta una realidad compleja: identificar el tr谩fico procedente de bots es una cosa, pero saber qu茅 medidas tomar al respecto (y llevarlas a cabo) es algo mucho m谩s complicado, al menos as铆 lo asegura Hugo Werner, Vicepresidente Regional de Akamai para Am茅rica Latina.

El mercado de la gesti贸n de bots est谩 en constante evoluci贸n e incluye muchos proveedores de diferentes tama帽os, que tienen diversos conocimientos y competencias. No obstante, si en algo se parecen es en el marketing: todos dicen que tienen la soluci贸n a sus problemas. Debe ver m谩s all谩 del marketing y centrarse en la capacidad real. Es decir, ir al grano: los resultados. Debe aprender a evaluar las soluciones de gesti贸n de bots y comprender qu茅 implican las diferencias.

Al igual que con cualquier otra herramienta, seg煤n Werner, una soluci贸n de gesti贸n de bots adecuada es aquella que cumple su cometido y contribuye a cumplir los objetivos. As铆, podr谩 satisfacer las necesidades de su empresa adem谩s de controlar todo el contenido malicioso que le quita el sue帽o. Pero, 驴c贸mo averiguar si la soluci贸n le ofrecer谩 todas estas prestaciones sin apostar todo su presupuesto y uno o m谩s a帽os de su vida para comprobarlo?

Es por ello que Akamai nos ofrece una lista de los 10 factores principales que debe tener en cuenta al elegir una soluci贸n de gesti贸n de bots.

1. Eficacia

Hay proveedores que afirman ser capaces de detectar 99.9聽% de los bots, lo cual le har谩 pensar que se les da muy bien el marketing.

La verdad es que todas las soluciones pueden detectar bots. Lo que importa es, 驴cu谩ntos se detectan? El problema es que los bots cambian constantemente, as铆 que es imposible calcular la eficacia. Lo que s铆 puede hacer es equiparse con buenos conocimientos acerca del panorama de bots, de las tecnolog铆as de detecci贸n y de las diferencias entre ellas. Aseg煤rese de que la soluci贸n que est谩 evaluando pueda detectar los bots m谩s sofisticados con los que se pueda encontrar.

2. Protecci贸n s贸lida

Los bots no se van por mucho que los bloquee. Vuelven una y otra vez, a la vez que mutan en un intento por evitar los mecanismos de detecci贸n. Muchas soluciones de gesti贸n de bots pueden detectarlos (al menos, algunos) justo despu茅s de implantarlas, pero despu茅s los pierden de vista cuando estos empiezan a mutar. Debe asegurarse de que la soluci贸n que elija no resulte ser flor de un d铆a, si no que resista el paso del tiempo y le ayude a solucionar un problema tras otro a largo plazo.

3. Falsos positivos

Cuando una soluci贸n de gesti贸n de bots le informa de que ha bloqueado un bot, 驴c贸mo sabe que era un bot realmente? Muchos proveedores se toman a la ligera los falsos positivos. Para algunos, mostrarle al cliente que han bloqueado muchos “bots” es m谩s importante que asegurarse de que no sean usuarios leg铆timos. No obstante, lo que necesita es resolver el problema de los bots sin que ello afecte negativamente a su negocio. Debe poder confiar en que al proveedor que le presta sus servicios le preocupa c贸mo afectan los falsos positivos.

4. Acciones flexibles

La mayor铆a de las soluciones de gesti贸n de bots optan por un enfoque de protecci贸n ante el problema. Dan por sentado que todos los bots son maliciosos (y que, por tanto, se deben bloquear), excepto algunos espec铆ficos que se sabe que son inocuos (porque se incluyen en una lista blanca). Sin embargo, 驴qu茅 ocurre con los bots “buenos” que aniquilan el rendimiento de los sitios Web? 驴Y con los servicios emergentes para el consumidor que permiten a los clientes comunicarse con usted de nuevas formas? El hecho es que existe una amplia gama de bots cuyo impacto no encaja dentro de una lista blanca o negra. Necesita disponer de flexibilidad para aplicar diferentes acciones seg煤n el tipo de bot y el impacto que tenga en el negocio y en la TI.

5. Visibilidad y generaci贸n de informes

Cualquier soluci贸n de gesti贸n de bots puede mostrarle estad铆sticas generales sobre el tr谩fico de bots, pero se necesita algo m谩s que eso. Las estad铆sticas generales sirven para planificaciones de estructura o facilitar informes a sus superiores, pero no muestran suficientes detalles para analizar el tr谩fico de bots. Tampoco le aportan las pruebas que necesita para confirmar que la soluci贸n est谩 tomando las medidas adecuadas. Cuando se trata de una soluci贸n que podr铆a bloquear a sus usuarios, lo menos recomendable es una caja negra. La soluci贸n que elija debe ayudarle con su empresa y acelerar la recopilaci贸n de informaci贸n.

6. Protecci贸n de las API

Independientemente del proveedor o de la soluci贸n, las tecnolog铆as de detecci贸n de bots m谩s sofisticadas de hoy en d铆a se basan en la inyecci贸n de c贸digo de JavaScript y el an谩lisis de la respuesta del cliente. Pero, 驴qu茅 hacer con las API cuando los clientes basados en API no responden a JavaScript? Si necesita dejar las API expuestas para admitir a terceros o aplicaciones m贸viles, debe contar con una soluci贸n que les proteja de la misma manera que lo hace con sus p谩ginas Web. De lo contrario, sus bots (y los problemas relacionados) no har谩n m谩s que migrar de sus p谩ginas Web a sus API.

7. 驴In situ o en la Nube?

Hay debates eternos: 驴el huevo o la gallina? 驴In situ o en la Nube? Existe una amplia gama de soluciones de gesti贸n de bots. Algunos proveedores ofrecen soluciones in situ. Otros, las estructuran como soluciones basadas en la Nube. Debe averiguar qu茅 es lo que m谩s le conviene, pero tambi茅n evaluar c贸mo encajar谩 la soluci贸n en el resto de su infraestructura Web. 驴Dispone de servidores Web in situ o en la Nube? 驴Tiene uno o varios centros de datos? 驴Utiliza alguna CDN? Su elecci贸n depender谩 de todo esto.

8. Desarrollo general

Su sitio o aplicaci贸n Web es el alma de su negocio. Los requisitos en cuesti贸n de tiempo de actividad son tan rigurosos que solo es posible hacer cambios en la aplicaci贸n en los intervalos de tiempo predefinidos. Si cree que esto se aplica a su organizaci贸n, debe determinar qu茅 cambios impondr谩 la soluci贸n propuesta. Algunos proveedores necesitan que cambie la aplicaci贸n para que efect煤e una llamada de API a la soluci贸n. Otros, necesitar谩n que codifique su JavaScript en cualquier p谩gina que desee proteger. Eso significa que quiz谩s tenga que integrar la soluci贸n en el ciclo de vida de su aplicaci贸n. Y no solo eso. Siempre que el proveedor cambie de soluci贸n o el c贸digo JavaScript, quiz谩s tenga que modificar tambi茅n su aplicaci贸n.

9. 驴Sitio o p谩gina?

Si su sitio Web tiene m谩s de una p谩gina, es probable que tenga diversos problemas de bots que afecten a las diferentes partes del sitio. Por ejemplo, el scraping de precios de sus p谩ginas de productos, el scraping de su contenido digital de valor a帽adido o ataques de abuso de credenciales a las p谩ginas de inicio de sesi贸n. Sin embargo, cuando se trata de soluciones de gesti贸n de bots, algunas est谩n dise帽adas 煤nicamente para resolver un solo problema. Aseg煤rese de que sus soluciones de gesti贸n puedan ayudarle a abordar todos sus problemas de bots, independientemente de que afecten a todo el sitio o solo a determinadas p谩ginas.

10. Servicios gestionados

Es preciso gestionar los bots para controlar sus efectos sobre usted y su negocio, pero esta gesti贸n no siempre es f谩cil. En ocasiones, necesitar谩 la ayuda de expertos que conozcan los problemas de bots que sufre. Cualquiera puede analizar una solicitud HTTP y crear una firma para bloquear el tr谩fico, pero as铆 no se soluciona el problema. Lo que necesita es alguien que pueda establecer una correlaci贸n entre sus problemas y el tipo de bots, y dise帽ar e implementar una estrategia capaz de resolverlos.

Lecciones que nos deja el reciente problema de seguridad de Facebook

La semana pasada, Facebook se encontr贸 en el centro de las noticias debido a un fuerte problema de seguridad que puso en riesgo la informaci贸n personal de millones de usuarios de la red social.

El 28 de septiembre surgi贸 la noticia de que un atacante explot贸 una vulnerabilidad t茅cnica en el c贸digo de Facebook que le permitir铆a ingresar a las cuentas de cerca de 50 millones de personas.

Si bien Facebook fue r谩pido al atender la vulnerabilidad y corregirla, se帽alan que no saben si alguna cuenta fue efectivamente vulnerada.

Este problema sigue al esc谩ndalo de Cambridge Analytica de principios de este a帽o que result贸 en un grave mal manejo de los datos de millones de personas que usan Facebook. Ambos eventos ilustran que no podemos ser complacientes con la seguridad de los datos. Las empresas que resguardan datos personales y sensibles deben estar muy atentas a la hora de proteger los datos de sus usuarios.

Sin embargo, incluso las m谩s vigilantes tambi茅n son vulnerables. Incluso unaa simple brecha de seguridad puede afectar a millones de usuarios, como podemos ver.

Hay algunos aspectos que podemos aprender de esto que aplican a otras conversaciones sobre seguridad: implementarla bien es notoriamente dif铆cil y los atacantes persistentes encontrar谩n errores para explotar. En este caso, se trat贸 de una combinaci贸n de tres errores en la plataforma de Facebook aparentemente sin relaci贸n entre s铆.

Esta es una lecci贸n para cualquiera que diga que puede construirse un acceso excepcional de forma segura. No es un momento para el j煤bilo, sin embargo. Creo que la transparencia con la cual los ingenieros de Facebook se enfrentaron a este problema contribuir谩 a los esfuerzos de la red social para reconstruir la confianza con sus usuarios. Y seamos sinceros, esos ingenieros encontraron el problema ellos mismos a trav茅s del monitoreo de sus sistemas.

Facebook no solo proporciona los medios t茅cnicos de acceso a sus propios servicios, sino tambi茅n para otros. Si bien a煤n no hay pruebas de que se hayan comprometido las aplicaciones de terceros, creo que debemos pensar en descentralizar algunos de estos mecanismos de inicio de sesi贸n antes de que colapse uno de estos castillos de naipes. No se trata de algo trivial, ya que construir y mantener estos sistemas de manera segura requiere de muchos recursos, que no est谩n disponibles para todos.

Se trata de un problema complejo, que est谩 ganando notoriedad como un asunto significativo que debemos resolver pronto si realmente queremos ver una Internet abierta, globalmente conectada, confiable y segura para todas las personas.

 

 

Por: Olaf Kolkman,

Chief Internet Technology Officer,

Internet Society.