Etiqueta: ataque

Comienzan los ataques a bases de datos CouchDB y Hadoop

El grupo de hackers que se encargaron de atacar con ransomware las bases de datos de MongoDB y de Elasticsearch, culminando el el borrado definitivo de miles de datos, han comenzado a apuntar a otras tecnologías de almacenamiento. Los investigadores ahora están observando ataques destructivos similares en accesos de Hadoop y de CouchDB.

Los investigadores de seguridad Victor Gevers y Niall Merrigan, que supervisaron los ataques de MongoDB y Elasticsearch , también comenzaron a dar seguimiento de las nuevas víctimas de Hadoop y CouchDB. Ambos han reunido hojas de cálculo en documentos de Google donde documentan las diferentes firmas de ataque y los mensajes que quedan después de que los datos se eliminen de las bases de datos.

En el caso de Hadoop, un marco utilizado para el almacenamiento distribuido y el procesamiento de grandes conjuntos de datos, los ataques observados hasta ahora pueden ser descritos como vandalismo, debido a que los atacantes no piden que se realicen pagos a cambio de devolver los datos eliminados. En su lugar, su mensaje indica a los administradores de Hadoop que aseguren sus despliegues en el futuro.

hadoop-big-data

Según el último recuento de Merrigan, 126 casos de Hadoop han sido borrados hasta ahora. El número de víctimas es probable que aumente por los miles de despliegues de Hadoop accesibles desde Internet, aunque es difícil decir cuántos son vulnerables.

Los ataques contra MongoDB y Elasticsearch siguieron un patrón similar. El número de víctimas de MongoDB saltó de cientos a miles en cuestión de horas. El último recuento pone el número de bases de datos borradas de MongoDB en más de 34.000 y el de Elasticsearch en más de 4.600.

Un grupo llamado Kraken0, responsable de la mayoría de los ataques de ransomware contra bases de datos, está tratando de vender su kit de herramientas de ataque y una lista de instalaciones vulnerables MongoDB y Elasticsearch por el equivalente a 500 dólares en bitcoins.

En el caso de CouchDB –plataforma de bases de datos esimilar a MongoDB-, el número de bases de datos borradas está creciendo rápidamente llegando a más de 400 hasta ahora. A diferencia del vandalismo de Hadoop, los ataques de CouchDB se acompañan de mensajes de rescate a los atacantes pidiendo 0.1 bitcoins (alrededor de 100 dólares)para devolver los datos. Se aconseja a las víctimas no pagar porque, en muchos de los ataques de MongoDB, no había pruebas de que los atacantes hubieran copiado los datos antes de eliminarlos.

Tras haber observado los ataques, los investigadores de Fidelis Cybersecurity han publicado una entrada en su blog con más detalles y recomendaciones sobre cómo asegurar dichos despliegues.

IDG.es

Importante la protección de datos a la hora de combatir ciberataques: Estudio

A pesar de la evidente amenaza que representan los ciberataques, la encuesta realizada por Kaspersky Lab reveló puntos de vista variados en cuanto al estado de protección y formas de mitigación estratégica, exponiendo las principales debilidades y vulnerabilidades respecto a las amenazas existentes y emergentes.

Actualmente, todas las empresas enfrentan ciberataques de una u otra forma y en los últimos 12 meses, 43% de las empresas experimentó pérdidas de datos como resultado de un fallo de seguridad. Entre las grandes empresas, el 20% informó de cuatro o más fallos en la protección de datos durante el mismo período.

Percepción contra realidad

La encuesta realizada a nivel mundial se centró en comparar la percepción existente en cuanto a las amenazas de seguridad contra los incidentes de seguridad cibernética que se han experimentado en la realidad, para destacar puntos potenciales de vulnerabilidad, más allá de las sospechas usuales de malware y spam. Las principales amenazas emergentes estuvieron bien representadas entre las empresas: 32% de las empresas sufrió un ataque dirigido y 20% experimentó un incidente relacionado con ransomware. Otra amenaza seria expuesta por la encuesta es el descuido de los empleados: esta causa contribuyó a un incidente de seguridad en casi la mitad (43%) de las empresas.

En comparación a las áreas más vulnerables de incidentes de seguridad, según lo informado por las empresas

Sin embargo, cuando se les preguntó dónde se sienten particularmente vulnerables, surgió un conjunto diferente de desafíos. Las tres amenazas más difíciles de manejar incluyen: el intercambio inapropiado de datos a través de dispositivos móviles (54%), la pérdida física de hardware que expone información confidencial (53%), y el uso inadecuado de los recursos de TI por los empleados (50%). A esto siguen otros desafíos emergentes como la seguridad de los servicios en la nube de terceros, las amenazas relacionadas con IoT y los problemas de seguridad referentes a la externalización de la infraestructura de TI. La diferencia entre la percepción y la realidad indica la necesidad de estrategias de seguridad que van más allá de la simple prevención y, en un contexto más amplio, de la tecnología.

Finalmente, Veniamin Levtsov, vicepresidente de Negocios Empresariales en Kaspersky Lab, señaló, “los resultados de la encuesta indican la necesidad de un enfoque diferente para abordar la creciente complejidad de las amenazas cibernéticas. Las dificultades no vienen necesariamente de lo avanzado de los ataques, sino de la creciente área de ataque, misma que requiere de un conjunto más diverso de métodos de protección. Esto complica aún más las cosas para los departamentos de seguridad de TI, quienes tienen más puntos vulnerables que asegurar”.

Redacción

 

Hacker demuestra que es fácil atacar la red WiFi de una ciudad

Amihai Neiderman, es el jefe de investigación de la firma israelí de seguridad cibernética Equus Technologies, quiso encontrar una manera de comprometer esta red, lo realizó como un proyecto paralelo en su tiempo libre.

En un ejemplo perfecto de cómo las redes inalámbricas públicas pueden ser peligrosas para la privacidad y la seguridad, un hacker israelí demostró que podría haber tomado el control de la red Wi-Fi gratuita de una ciudad entera.

El ejecutivo de la firma, vio en su camino de regreso del trabajo un punto de acceso inalámbrico que no había visto antes. Resultó que el hotspot que vio, anunciado como “FREE_TLV”, formaba parte de la red Wi-Fi de toda la ciudad creada por la administración local de Tel Aviv, Israel. Esto hizo que Neiderman se preguntara: ¿Qué tan seguro es?.

Durante las próximas semanas, encontrar una manera de comprometer esta red y se enfocó en realizar el ataque de investigación en su tiempo libre. Primero conectó con la red a través de uno de los puntos de acceso repartidos por la ciudad y comprobó cuál era su nueva dirección IP. Esta es normalmente la dirección pública asignada al enrutador a través de la cual todos los clientes Wi-Fi acceden a Internet.

A continuación, desconectó y exploró esa dirección IP para los puertos abiertos. Encontró que el dispositivo estaba sirviendo una interfaz de conexión basada en web sobre el puerto 443 (HTTPS). Esta interfaz muestra el nombre del fabricante – Peplink – pero no otra información sobre el tipo o modelo del dispositivo. Se dio cuenta de que era necesario un análisis más profundo del firmware real del dispositivo. Identificar el dispositivo y encontrar el firmware exacto para descargar desde el sitio web del fabricante no fue fácil, porque Peplink crea y vende muchos tipos de dispositivos de red para diversas industrias.

Una vez que todo fue desempaquetado y cargado en un emulador, Neiderman pudo acceder a los scripts CGI (Common Gateway Interface) que formaban la interfaz web del enrutador. No tardó mucho tiempo hasta que el investigador encontró una vulnerabilidad de desbordamiento de búfer en el script CGI que manejaba el proceso de cierre de sesión. El defecto se podría explotar enviando una cookie de sesión muy larga al script y eso provocaría una explotación exitosa que resultaría de la ejecución de código arbitrario y el control total sobre el dispositivo.

Neiderman presentó sus descubrimientos y esfuerzos de ingeniería inversa el jueves en la conferencia de seguridad de DefCamp en Bucarest, Rumania. El investigador negó decir si realmente probó su hazaña en los enrutadores Peplink ya que eso podría darle un lío en problemas legales.

Finalmente, el hacker dijo que se impresionó bastante con la manera en la que la empresa había respondido ante su informe y cómo se encargaron de la vulnerabilidad.

Redacción

IoT: La siguiente frontera en la lucha para proteger al Internet

El viernes 21 de octubre millones de usuarios despertaron para encontrarse con la imposibilidad de utilizar sus aplicaciones, acceder a sus archivos o conectarse a sus redes sociales. No solo las redes corporativas fueron afectadas. Muchos servicios de comunicación, entretenimiento, pagos y soporte como Twitter, Spotify, Netflix, Paypal y Heruku permanecieron inaccesibles por horas para muchísimos usuarios alrededor del mundo.

El problema fue causado por un ataque masivo de negación del servicio (denial-of-service, o DoS) concentrados en Dyn, uno de los proveedores más importantes del servicio de nombres de dominio (domain name service o DNS). Fuentes ligadas al Departamento de Homeland Security (DHS) de los Estados Unidos de América señalaron (sin confirmarlo) que estos ataques probablemente fueron causados por nuevas variantes de “malware” que utilizaron dispositivos del Internet de las Cosas (IoT) para lograr su objetivo.

¿Pero no es que todo mundo habla del IoT como el siguiente gran paso en la evolución del Internet? ¿Qué no nos habían dicho que los beneficios del IoT sobrepasaban sus riesgos? ¿Cómo entonces el IoT no me dejó ver mi serie favorita, pagar lo que compré, o hacer mi trabajo?

Las respuestas a esas preguntas son: si lo es; así es:

  • El IoT es al fin y al cabo la siguiente generación del Internet, y como tal utiliza muchos de sus mismos servicios. El DNS mencionado arriba es como las páginas amarillas del Internet, y sirve para que la información que se cruza por ella llegue a su destino de manera confiable y expedita. Es un gran sistema y funciona a la perfección la mayoría del tiempo.
  • Un ataque de DoS es un intento de inhabilitar el acceso un recurso de la red (internet) por parte de los usuarios, por ejemplo una página web. Un ataque Distribuido de DoS (DDoS) es cuando ese ataque se lanza desde múltiples direcciones de IP – o como en este caso, dispositivos – todos apuntando al mismo tiempo al mismo objetivo. Típicamente el objetivo se derrumba ante la cantidad de solicitudes de acceso y la enorme presión del tráfico generado.
  • Cuando se lanza un ataque de DDoS a un proveedor de DNS importante como Dyn es como si de repente se robaran las páginas amarillas del Internet, y entonces el tráfico no puede encontrar la ruta hacia su destino, no hay manera de encontrar ni la dirección de destino, ni la manera de llamar al destinatario para que se identifique. Caos informático en su más pura expresión.
  • Lo que sucedió este viernes pasado es exactamente esto… solo que los dispositivos de ataque no fueron PC´s o servidores infectados con algún malware, sino que APARENTEMENTE fueron dispositivos de IoT que no habían sido correctamente protegidos, asegurados y monitoreados.

El potencial de alcance de este tipo de eventos es increíble. Si nos creemos los datos de los analistas del mercado, el IoT es potencialmente una red de dispositivos alrededor de 100 veces más grande que el internet que conocemos hoy en día, con una tasa de adopción y crecimiento acelerada, 5 veces más veloz que el crecimiento de la red eléctrica o la telefónica, y con un alcance inaudito.

Pero también es cierto que estos dispositivos no son ni tan complejos ni tan poderosos como una PC o un servidor. De hecho son bastante sencillos, y asegurarlos y monitorearlos es una tarea que se puede llevar a cabo siguiendo lineamientos de seguridad, sistemas y soluciones existentes en el mundo de TI. El problema es que no los vemos como computadoras, y como muchas veces no son “problema” de TI, a veces hacemos caso omiso de ellos.

Cada medidor, interruptor, motor, controlador, luminaria, cámara, etc. que sea susceptible a conectarse al Internet o que esté ya conectado a ella debe someterse a los protocolos de seguridad, administración, control y monitoreo que sean pertinentes.  La posibilidad de crear un IoT seguro está a nuestro alcance, y con él todos sus beneficios.

En ho1a estamos convencidos que aunque los riesgos son reales, estos se pueden identificar, acotar, prevenir y remediar. Y lo más importante es que los beneficios y el potencial del IoT representan la oportunidad de crecimiento, diferenciación, rentabilidad y eficiencia más disruptivos que hemos visto desde el nacimiento del Internet.

 

 

roberto-de-la-mora-ho1a

Por: Roberto de la Mora,

Director de Mercadotecnia, Innovación

y Desarrollo de Negocios en ho1a.

@rdelamora

 

El papel de la comunicación después de un ciberataque

¿Cuál sería su reacción al descubrir por fuentes externas que su empresa fue blanco de un ataque cibernético? ¿Y si los sistemas fueran derrumbados porque un cibercriminal pide un rescate de un millón de pesos por los datos críticos robados a la compañía? ¿Usted estaría preparado para lidiar con ese escenario? ¿Sabría cómo comunicar ese incidente? ¿Tendría un plan de comunicación para tratar ese problema?

En este último punto se encuentra el mayor error que veo que las empresas cometen: no tener un plan de comunicación de crisis establecido. Además, un reciente estudio del MIT en sociedad con FireEye y Hewlett Packard Enterprise, que se llevó a cabo con 225 empresas, señaló que el 44% de ellas no tienen un plan de comunicación de crisis vigente y el 15% desconocen la existencia de él en la compañía.

Otro gran error es tener un plan enfocado en otras emergencias que no contemplan el ciberespacio, como incendios o desastres naturales, por ejemplo. El ciberataque es un asunto muy delicado para discutirse en público, pues existen diversos escenarios y la empresa necesita tener la certeza de quién es el enemigo y el riesgo que está enfrentando. Los cibercriminales pueden haber conseguido acceso a los datos de funcionarios, clientes y hasta de propiedad intelectual de la empresa.

Generalmente los ciberataques son reportados por terceros, sorprendiendo a las empresas víctimas, 53% de los incidentes en los que Mandiant (empresa perteneciente al grupo FireEye) participó en 2015 fueron descubiertos por fuentes externas, lo que coloca a la empresa afectada en una situación reactiva y con muchas incertidumbres.

Las brechas de seguridad también suelen ocurrir por largos periodos; en 2015, por ejemplo, el tiempo promedio en que los cibercriminales permanecieron en la red de la víctima sin ser detectados, fue de 146 días, de acuerdo con el reporte M-Trends 2016. Esa demora en detectar la invasión vuelve más difícil controlar la crisis y explicar a los diversos públicos afectadosqué aconteció.

Los accionistas, clientes, funcionarios, socios, partes afectadas y medios necesitan ser comunicados pero no se especifica cómo. Debemos asegurarnos de que recibirán un mensaje asegurándoles que la empresa está resolviendo el incidente y protegiendo los datos, y se deberán también enviar actualizaciones siempre que haya nuevas informaciones para compartir. Recordemos filtrarlas, reportando apenas lo que realmente interesa y no todos los detalles del ataque.

En un momento delicado como éste es crucial contar con el involucramiento de los líderes, pues un ciberataque no es responsabilidad solo del equipo de TI, sino un problema de toda la empresa. Las partes afectadas quieren oír un posicionamiento que venga de la dirección.

 

Para la elaboración de un plan de comunicación efectiva son válidas algunas recomendaciones:

  • Establezca el equipo de comunicación de crisis. Seleccione a los profesionales de comunicación, del departamento legal, del equipo de TI y de la dirección que estarán involucrados en el momento. Dependiendo del incidente, considere traer profesionales especializados para ayudar internamente.
  • Si su empresa no cuenta con recursos internos para el desarrollo, actualización constante y ejecución de un plan, busque a socios que tengan experiencia en ésta área. Ellos van a desarrollar con usted o para usted, un plan de respuesta a la crisis bien pensado, con diferentes escenarios. En caso de que llegue el momento de crisis, sus portavoces sabrán qué y cómo comunicar.
  • Garantice un mensaje unificado. Asegúrese de que todos los portavoces sean igualmente entrenados y dispongan de la misma información. Es importante que ellos hayan recibido el media training antes de la crisis.
  • Active canales de comunicación. En caso de que la crisis se vuelva pública provea un website lo más rápido posible y suba las informaciones útiles. Active también canales de atención donde los diversos públicos, como accionistas y medios, puedan hacer preguntas o enviar informaciones.
  • La práctica lleva a la perfección, ensaye el plan de crisis para diversos ciberataques con el equipo de comunicación y los portavoces de la dirección una vez por trimestre.

 

Por: Vitor de Souza, vicepresidente Global de Comunicación de FireEye Inc.

 

 

 

 

 

Brecha de seguridad afecta a 43 millones de usuarios de Last.fm

Todo parece indicar que los ciberdelincuentes se hicieron de manera ilegal la información de 43 millones de usuarios. En el hallazgo se incluyen usuarios con nombres y apellidos, direcciones de correo electrónico y contraseñas seguras con un algoritmo denominado MD5, según informa la fuente LeakedSource en su blog.

Last.fm hasta el momento no ha realizado alguna declaración al momento, pero el servicio de música informó de un ataque hace cuatro años y pidió a todos sus usuarios que procedieran a cambiar sus contraseñas cuanto antes.

LeakedSource aclara que obtuvo los datos robados a través de la identificación daykalif@xmpp.jp Jabber ID. La web ofrece una serie de datos de interés, por ejemplo, las claves más utilizadas por los usuarios. En primer lugar, vuelve a aparecer la secuencia numérica “123456” como más frecuente, utilizada por 255.319 usuarios. En segundo puesto aparece “password” con 92.652 usuarios, y en tercero “lastfm”, utilizada por al menos 66.857 usuarios. El servicio de música en streaming ha decaído en los últimos años en pro de otros que han reforzado su presencia y los que fueron lanzados nuevos, como es el caso de Apple Music.

Los hackers que se encuentran detrás del ataque podrían haber contado con los datos robados para atacar a otras cuentas de Internet, aprovechándose que los usuarios muchas veces utilizan la misma clave para diferentes servicios o aplicaciones de la red. El ataque se produjo en el año 2012, con lo que los malhechores han contado con amplio período de tiempo (4 años) para explotar la información robada antes de que se haya hecho pública. Los expertos en seguridad están instando a los usuarios afectados a que modifiquen sus contraseñas de todas las cuentas de Internet, además de que utilicen la autenticación de doble factor para incrementar la seguridad de las mismas.

Redacción

Tipos de infiltrados que plantean un ataque de alto riesgo

En internet seguramente encontrará una enorme cantidad de artículos que citan aterradoras amenazas internas en las empresas, este no es uno de esos artículos.

Usted ya sabe que es una enorme preocupación y que pocas organizaciones mantienen un nivel de control razonable sobre ellas. Entonces ¿por dónde debe comenzar? En primer lugar se debe analizar la raíz del problema para poder entender quiénes son esos infiltrados, además de averiguar por qué representan un riesgo.

Uno podría estar tentado a relacionar estos personajes con trabajos o cargos específicos. Pero es mejor resistirse a dicho impulso porque sus características pueden encontrarse en toda la organización, independientemente de la posición de una amenaza. Para que quede claro, a continuación le presentamos siete perfiles de los infiltrados más comunes de alto riesgo.

Los que buscan la conveniencia les gusta ignorar los protocolos. La manera “oficial” de hacer las cosas es muy costosa, difícil y complicada así que prefieren utilizar sus propios métodos, como optar por su servicio favorito para compartir archivos en lugar del que ha proporcionado la corporación. Asimismo utilizarán con frecuencia su correo electrónico personal para no tener que enfrentarse a las limitaciones de desempeño o del tamaño de los archivos adjuntos que pueden enviar.

Las víctimas accidentales cometen errores, probablemente debido a la falta de capacitación (o porque desconocen) sobre los procesos y sistemas adecuados. Las víctimas accidentales van a oprimir el botón incorrecto, enviarán un documento a la persona equivocada o cometerán un error inadvertido. Probablemente nuestras víctimas accidentales están cansadas, estresadas o distraídas cuando realizan estas acciones. Son particularmente vulnerables porque las amenazas externas a menudo “crean” miedo y pánico como parte de un esquema de phishing o de estafas telefónicas, de manera que sus objetivos no se dan cuenta de que les están tendiendo una trampa.

Los sabelotodo quieren “contribuir”, “mostrar valor” y ser visibles siempre que sea posible. Desafortunadamente pueden compartir más información de la necesaria en su respuesta a un correo electrónico. Se adelantan a responder a una solicitud cuando alguien más calificado debería hacerlo o comienzan comunicaciones sobre temas sin el tacto o la sutileza necesarios. Publicarán sin pensarlo en los medios sociales sobre temas delicados como los resultados trimestrales que aún no se han anunciado oficialmente. Algunos sabelotodo buscarán a propósito robar o manipular información confidencial por diversión, curiosidad o para demostrar que pueden hacerlo.

Los intocables creen que esas “historias de terror” no les pueden pasar a ellos. Han ganado acceso privilegiado y están mostrando una actitud arrogante al respecto. Constantemente el personal de TI utiliza sus credenciales de “súper usuarios” a su conveniencia, por ejemplo, solo para provocar que un servidor de misión crítica sea infectado por malware cuando abren un correo electrónico que contiene phishing. Los auditores, los ejecutivos financieros, los desarrolladores y otros ejecutivos con privilegios podrían retener demasiada información almacenada localmente después perder su computadora portátil, o dejarla a vista de todos, lo que un ladrón podría aprovechar para huir con ella.

Los facultados están convencidos de que tienen el derecho a tener acceso a ciertos tipos de datos o hacer cosas a su propio modo. Ignoran los procesos y las políticas. Han llegado a la conclusión de que “son dueños” de los datos, incluyendo listas de clientes, los códigos fuente, la investigación científica y la documentación o plantillas de procesos. Y si bien normalmente asociamos este comportamiento con los altos ejecutivos que creen que las reglas no les aplican, cualquiera puede desarrollar esta actitud en todos los niveles de la compañía.

Los traidores son empleados maliciosos. A veces traen entre manos un plan cuando se les está contratando. Sin embargo, con frecuencia tienen buenas intenciones en su primer día de trabajo pero pierden su brújula moral después de endeudarse o de que su descontento ha aumentado debido a no recibir un nuevo nombramiento o un incremento de  salario. Internalizan un descontento destructivo debido a las diferencias con colegas, jefes inmediatos o con la propia organización.

Infiltrados secretos que no deberían estar dentro de la compañía en primera instancia. Pero están ahí donde han ejecutado efectivamente la primera etapa de un ataque externo: Lograr internarse en la red.  Si bien en las últimas décadas nos hemos enfocado en las “defensas” contra dichos ataques, la realidad es que en algún punto una brecha tendrá éxito. En esta etapa, los infiltrados secretos tienen acceso a la red y para tener seguridad es necesario adoptar las medidas para “detectar” tal brecha. Pero a diferencia de los seis perfiles de alto riesgo antes mencionados, éstos son hackers profesionales quienes son expertos y tienen fuertes motivaciones, además de que dominan el acceso y los privilegios de un infiltrado.

Para concluir, es importante en la organización educar a los usuarios, pero no es algo nuevo, con frecuencia se pasa por alto como una solución potencial debido a la mentalidad que se desarrolló cuando la mayoría de nosotros no sabía cómo ajustar los relojes de nuestras videograbadoras y que nunca nos molestamos en aprender. No obstante los empleados de hoy crecieron con Nintendo, el Internet y los teléfonos inteligentes, se sienten orgullosos de conocer las aplicaciones más recientes y cada función de sus dispositivos móviles. Esto significa que las organizaciones pueden apelar al “orgullo técnico” de esta generación, educarla sobre cómo los “hábitos profesionales” recomendados pueden elevarlos a posiciones de confianza.

N. de P. Forcepoint

Un nuevo ransomware borra el cifrado aunque las víctimas paguen

El ransomware, es la última plaga de ciberataques que sufren tanto particulares como empresas, continúa causando estragos en la red mediante el secuestro de datos. Según advierten los expertos, la mejor respuesta es hacer siempre un back-up para estos casos, así como no pagar el chantaje por recuperar la información.

El objetivo es por un lado no alimentar este tipo de ataques al no ceder ante los hackers, pero por otro lado, el fin también es no arriesgar dinero en vano, ya que, tratándose de criminales, las víctimas nunca pueden estar seguras de recuperar sus datos; y de hecho, un nuevo ransomware viene a confirmar esto: el software malicioso Ranscam, descubierto por la empresa de ciberseguridad Talos, borra los datos de sus víctimas a pesar de que hagan el pago del chantaje.

Este ransomware detectado, desarrollado por amateurs según estiman los expertos de Talos, sigue en un principio el típico esquema de encriptar los datos del dispositivo y amenaza con borrarlos a menos que se realice un pago, pero con la variante de que no llega jamás a devolverlos ya que los elimina desde un principio.

La noticia que señala Ranscam, es que aún no se ha distribuido masivamente a través de internet, aunque no significa estar a salvo de estos ataques; es importante mantener copias actualizadas de todos los equipos que disponga uno, en especial aquellos con información sensible.

Los softwares maliciosos de este tipo acceden a sus víctimas como cualquier otro malware: mediante correos, direcciones a webs peligrosas, aplicaciones de desarrolladores desconocidos, para poder combatirlo es importante mantener el antivirus del dispositivo actualizado así como no confiar en los correos de direcciones desconocidas.

Redacción

Se mantiene el robo de datos corporativos por parte de empleados

Un estudio de Accenture, señala que el 69% de las compañías experimentó el robo de sus datos confidenciales, por parte de sus empleados en el último año, esta actividad se sitúa por delante de los ataques de malware, entre las principales preocupaciones de los ejecutivos de seguridad TI.

Así se desprende del último informe al respecto de esta consultora, llamado “The State of Cybersecurity and Digital Trust 2016”, que ha elaborado junto a HfS Research. Una de las principales conclusiones es que el 69% ha experimentado un robo o intento de robo de datos por parte de sus empleados en los últimos doce meses. Entre los sectores más afectados por este hecho figuran medios de comunicación y las TIC, con un 77%.

La investigación de Accenture demuestra, además, cómo la falta de presupuesto, para la contratación de talento experto en ciberseguridad y empleados bien formados, está dificultando la habilidad de las organizaciones para defenderse de estos ataques.

El estudio analiza el presente y el futuro de la ciberseguridad dentro de la empresa y los pasos recomendados para recuperar la confianza en “lo digital”. Sus resultados indican que hay brechas muy importantes entre la oferta y la demanda de talento, una desconexión entre los equipos de seguridad y las expectativas del equipo de dirección, y una considerable diferencia entre las necesidades de presupuesto y la realidad.

Cerca de la mitad de los encuestados indican estar preocupados por el robo interno de datos con el 48%, a pesar de tener soluciones de seguridad y las infecciones de malware obtiene un 42% que pueden sufrir en los próximos 12 a 18 meses. Preguntados sobre los niveles actuales de financiación y de personal, el 42% de los altos ejecutivos dice necesitar más presupuesto para la contratación y formación de profesionales en ciberseguridad. El 54% indica que sus empleados actuales no están preparados para prevenir las infracciones de seguridad, y que las cifras solo mejoran cuando se trata de detectar (47%) o dar respuesta a los incidentes (45%).

Redacción

 

IoT representa mayores riesgos para los conductores

FireEye dio a conocer el reporte “Connected Cars. The Open Road for Hackers” en el que demuestra que la mayoría de las funciones de los vehículos ya sea la dirección, aceleración, frenado, arranque a control remoto, desbloqueo de las puertas, son controladas por el software de los sistemas digitales que funcionan dentro y fuera del vehículo, ese software contiene millones de líneas de código susceptibles a vulnerabilidades que pueden ser aprovechadas por personas con intenciones maliciosas y poner en riesgo la vida de los conductores.

En el reporte destacan las principales amenazas a los sistemas del vehículo y le compartimos un desglose de los avances tecnológicos que a la vez conllevan riesgos:

Comunicación vehículo a vehículo

Los vehículos incrementarán progresivamente la comunicación (V2V) entre sí de forma autónoma con el fin de ayudarse a guardar su distancia y para cambiar de carril, al mismo tiempo que usan otros datos que mejoran el funcionamiento del auto. También se pronostica interacción del vehículo con la infraestructura (V2I) para que se comunique con señales de tráfico y las del camino para mejorar la gestión de los datos de tráfico y optimizar el uso de las carreteras. Sin embargo, se piensa que el uso indebido de los sistemas V2V o V2I podría afectar la seguridad y causar colisiones.

WI-FI para acceso a Internet

Los puntos para acceso inalámbricos de los autos nuevos aumentan el potencial de abuso si no están bien asegurados e interconectados, ya que las mayores capacidades de ancho de banda incrementan el daño que un agente malicioso podría causar.

Control de colisiones

Los sistemas de frenado modernos utilizan radares u otros sensores para detectar un accidente inminente, pero un vehículo comprometido podría enviar datos manipulados al sistema que controla esta función y provocar que se frene de manera inesperada.

Sistema de monitoreo de presión de llantas

Sirve para vigilar frecuentemente la presión de los neumáticos y comunicarse a través de una conexión inalámbrica de corto alcance y que podría ser utilizado como vector de infección en busca de malware específico para el vehículo.

Unidades de control electrónico para el funcionamiento del vehículo

Encargados de controlar la dirección, los frenos y la aceleración pueden ser manipuladas. Asimismo, el velocímetro o el medidor de la temperatura también pueden ser afectados para mostrar datos falsos u ocultar el mal funcionamiento del vehículo.

 Cerradura sin llave

Los delincuentes pueden usar amplificadores de señal y dispositivos de intercepción para obtener acceso no autorizado a los vehículos que usen este tipo de cerraduras.

 Sistema telemático

Muchos vehículos modernos ofrecen sofisticados sistemas telemáticos que incorporan radio, conexiones Bluetooth, USB y GPS además de varios más puntos de acceso Wi-Fi, que, si bien en conjunto ofrecen un medio de control, también pueden comprometer su seguridad.

Puerto de diagnóstico a bordo

Es un puerto en el que el usuario puede conectar dispositivos para medir hábitos de conducción, realizar diagnósticos mecánicos o mejorar la experiencia del conductor; sin embargo, también es un vector potencial de malware. Por mencionar un ejemplo, un mecánico podría inadvertidamente infectar a varios vehículos utilizando una herramienta de diagnóstico afectada.

Control de clima

El clima interior de un vehículo puede perturbar la comodidad del conductor y, por lo tanto, su capacidad para conducir el vehículo con seguridad. La manipulación de los sistemas de control climático podría arruinar el sistema de enfriamiento durante épocas calurosas.

Sistema de navegación GPS

Los agentes amenazantes podrían falsificar la pantalla del GPS para dirigir al conductor a otro destino, o reunir información de las rutas almacenadas para obtener los patrones de viaje.

mirrorlink-auto

Finalmente, el reporte señala que, debido a la aparición de estos nuevos riesgos, los fabricantes de automóviles y proveedores no sólo deben garantizar la seguridad del funcionamiento tradicional y operación de sus vehículos, sino también asegurar la integridad del conductor. Esto requiere comprender la naturaleza de las amenazas y vulnerabilidades en un panorama que evoluciona rápidamente, a la par de diseñar medidas de seguridad proactiva para proteger contra esos peligros potenciales. Una evaluación del riesgo de “una sola vez” no es suficiente, ya que los generadores de amenazas están evolucionando constantemente.

Además, se deben evaluar si un determinado atacante puede lograr objetivos particulares, como es el robo de información sensible o tomar el control de un dispositivo o sistema, mientras que las pruebas de penetración evalúan los controles de seguridad preventivas para áreas específicas de sistemas y redes críticas, Internet de las cosas y tecnologías inalámbricas.

Ante los avances tecnológicos que muestra el sector automotriz y las posibilidades de vulnerar los sistemas vehiculares son cada vez más amplios, por lo tanto, fabricantes como consumidores deben estar conscientes de ello antes de sufrir pérdidas importantes.

N. de P. FireEye