Etiqueta: phisihing

Dispositivos IoT, los que menos protección reciben

Mucha gente de la industria utiliza las convenciones para dar a conocer la investigación en la que han estado trabajando. Asistí a una charla muy interesante impartida por la Dra. Zinaida Benenson acerca de lo que hace que la gente haga clic en enlaces maliciosos. La Ciberguerra es un área de interés para mí y Kenneth Geers presentó un excelente resumen (¡demasiado corto!) sobre el actual conflicto entre algunos países.

La Doctora presento algunos cuantos temas que repercutieron bastante en las noticias, tanto que una azafata de mi vuelo de regreso a casa me preguntó acerca de ello después de enterarse que yo había asistido a la conferencia. Por supuesto, algunos de estos hackeos pueden sonar aterradores, pero usted no debe asustarse demasiado todavía.

Ransomware para termostatos inteligentes

En el evento “IoT Village” de DefCon, dos investigadores revelaron que era posible cargar malware en termostatos inteligentes. Imagínese llegar a casa para aliviarse de los 38 grados de afuera, sólo para descubrir que han infectado su termostato con ransomware y ahora tendrá que pagar 100 dólares.

Para conseguir que el ataque funcione, el malware tendría que ser cargado en el termostato. El fabricante proporciona una ranura de tarjeta de memoria para que sus clientes puedan subir sus propias fotos. Sin embargo, no verifican para asegurarse de que sólo las fotos se carguen. Los investigadores fueron capaces de cargar su malware simplemente insertando una tarjeta de memoria SD infectada en el dispositivo.

De esta manera, aunque el termostato muy probablemente no vaya a ser hackeado mientras está leyendo esto, se muestra el potencial de que los maleantes sigan atacando a nuestros hogares mediante dispositivos que la mayoría de la gente ni se imaginaría.

Nuevo hackeo de Jeep

Photo Whitney Curtis for WIRED

Quizá recuerde la gran historia del año pasado donde dos investigadores hackearon remotamente un Jeep desde el sillón de su casa mientras era conducido por la autopista. Este año, se dio a conocer un nuevo grupo de ataques que tomó el control del frenado, aceleración y dirección a cualquier velocidad. Fueron capaces de superar diversos controles de seguridad en el vehículo, conectándose directamente a la red CAN del auto y enviar señales para aprovecharse de los componentes de control de crucero y estacionamiento asistido del carro.

Spear Phishing Automatizado

Mientras que los dos anteriores hackeos no fueron necesariamente algo en lo que la persona promedio tiene que preocuparse de inmediato, un par de proyectos revelaron de lo que usted definitivamente debe estar consciente. Dos investigadores desarrollaron una nueva herramienta que utiliza un bot automatizado para analizar la información de una persona de sus mensajes de Twitter y Facebook, para crear una campaña de phishing que tiene mucho mayor probabilidad de engañar a alguien para que haga clic en un enlace. El bot, llamado SNAP_R, observa qué y cuándo publica alguien, y de qué temas publica o responde. Posteriormente crea un mensaje que se asemeja a algo que su víctima probablemente leería y en el que haría clic.

¿Qué representa esto para usted? Muy probablemente podríamos ver un aumento en campañas de phishing a lo largo de Twitter y Facebook. En su estudio, los investigadores observaron  que en 60% de los mensajes generados por su herramienta, se hizo clic. ¡Esté atento a más phishing en el futuro!

¿Qué es el Danger Drone?

Este proyecto se inició con una combinación de 500 dólares al adquirir una tarjeta Raspberry Pi y un cuadricoptero, es efectivamente una laptop de hackeo voladora. Muchos dispositivos de “hogar inteligente” sufren de problemas de seguridad. Un dispositivo puede ser hackeable, pero debido a que no se conecta directamente a Internet, el riesgo parece bajo. Con algo como un Danger Drone, este riesgo podría aumentar drásticamente.

danger-drone

Usted seguramente se pregunta, “¿Por qué crear algo como eso?”. Con la mayoría de los proyectos como este, la intención no es facilitar la vida de los maleantes. De hecho, es aumentar la conciencia del problema, y obligar a los fabricantes a prestar más atención a la seguridad. Muchas veces una compañía será alertada de una vulnerabilidad de seguridad, en el caso del Danger Drone, el objetivo es proporcionar a los profesionales de seguridad mejores herramientas para evaluar la seguridad de una organización, y elevar la conciencia de los problemas de seguridad en torno a Internet de las Cosas (IoT).

¿Qué puede hacer para permanecer seguro?

El termostato inteligente y los hackeos de Jeep no deberían afectar a la persona promedio en absoluto, ya que ambos requieren de acceso físico a los dispositivos. Estos están destinados a crear conciencia de los problemas. Aunque no es algo que tiene que enfrentar hoy, definitivamente es algo que debe considerar.

Actualización:  Ya sean tabletas, laptops, smartphones y cualquier dispositivo inteligente como un termostatos, iluminación conectada y televisores inteligentes, es extremadamente importante que esté atento sobre cómo mantener sus dispositivos actualizados con las más recientes actualizaciones y parches de software.

Sea Escéptico: El phishing es una manera muy común para la propagación de malware y para robar información personal. Siempre piense dos veces antes de hacer clic en un enlace que no espera, incluso si es de alguien que usted conoce.

Utilice Software de Seguridad: En caso de que accidentalmente haga clic en un enlace malicioso, el contar con un software de seguridad integral instalado en el dispositivo le ayudará a evitar que el malware infecte el sistema.

N de P. Intel Security

 

El cibercrimen altera la agilidad de las empresas digitales

 

La industrialización del cibercrimen está dando como resultado a las empresas dificultades para actuar ante un ataque.

Un estudio realizado por BT y KPMG lo confirme, se destaca que el 94% de los responsables de TI son conscientes de que el cibercrimen está chantajeando y sobornando a los empleados para acceder a las organizaciones, en torno a la mitad admite no tener estrategia alguna para prevenirlo.

A esto se le une el hecho de que la gran mayoría de empresas se siente limitada por la regulación, recursos disponibles y dependencia de terceros cuando hay que reaccionar ante dichos ataques.

El informe BT-KPMG muestra que los Directores de Riesgos Digitales (conocidos como CDROs) están siendo designados en la actualidad para desempeñar papeles estratégicos que combinen la experiencia digital con las capacidades de gestión de alto nivel. Considerando que un 26% de los encuestados confirman que ya se ha nombrado a un CDRO, los datos del informe sugieren que el rol y la responsabilidad de la seguridad están siendo revisados por parte de las organizaciones.

Mark Hughes, CEO de Security de BT comenta que “la industria está sufriendo una escalada entre bandas criminales profesionales y entidades estatales que emplean sofisticadas técnicas. Los criminales cibernéticos del siglo XXI tienen un perfil de empresario despiadado y eficiente, apoyado por un mercado negro muy desarrollado y de rápida evolución”, afirma el directivo.

El informe “Pasando a la ofensiva, trabajando conjuntamente para impedir el crimen digital”, cita a un amplio número de directivos de seguridad de organizaciones globales conocidas y enumera ejemplos de las distintas formas de ataques criminales detectadas por estas organizaciones, entre las que se incluyen diferentes tipos de malware o ataques de phishing.

En las conclusiones del estudio se desprende la necesidad de cambiar la mentalidad y considerar que la seguridad no es implemente un ejercicio de defensa. De hecho, es el gran habilitador que facilita la innovación digital y permite alcanzar el beneficio.

Redaccion

 

Los programas de formación en seguridad suspenden en contenido

Los programas de formación en seguridad no son suficientes para mitigar los riesgos internos de las organizaciones. Un estudio lo afirma, como las negligencias internas encabezan las listas de los problemas de seguridad a los que deben hacer frente las compañías.

En el mes de abril, la firma de investigación de seguridad Ponemon Institute, llevó a cabo una encuesta a más de 600 personas encargadas con la protección de datos, privacidad y formación de empleados en sus organizaciones. El informe que aborda “la gestión del riesgo a través de información privilegiada, capacitación y cultura”, destaca que el 66% de los encuestados afirma que los empleados son el eslabón más débil a la hora de reforzar la seguridad en las compañías, mientras que el 55% afirmaba haber sufrido un incidente de seguridad o robo de datos debido a la negligencia o mal uso de alguno de sus empleados.

Los componentes con más negligencias que afectan a los profesionales son:

  • El 55% con el uso de dispositivos móviles no autorizados en el lugar de trabajo.
  • El uso de servicios en la nube no aprobados por las organizaciones, así como el de aplicaciones móviles en el lugar de trabajo con un 54%.
  • Sucumbir a los ataques phising dirigidos con el 47%.
  • El 60% destacó por violación de derechos de acceso.

Mientras que las empresas invierten en la formación de sus empleados y se esfuerzan en el hecho de que la información sensible se mantenga confidencial, la mayoría afirma no estar teniendo éxito. La firma de seguridad detectó que el 60% de los encuestados dijeron que sus empleados no tienen conocimiento de los riesgos de seguridad asociados a su empresa. Tan solo el 35% de los encuestados afirmó que la alta dirección cree que es una prioridad que los empleados estén bien informados sobre las últimas amenazas de seguridad y las metodologías que están llevando a cabo los ciberdelincuentes.

Michael Bruemmer, vicepresidente de Experian destaca que “las empresas siguen sufriendo las consecuencias de los empleados, ya sea víctima de ataques cibernéticos o bien, de exponer la información sin ser consciente”. Existen varios procedimientos que las empresas deben adoptar para formar mejor a sus empleados, destaca el directivo, quien afirma que “es necesario poner en marcha prácticas que refuercen una mayor cultura en seguridad”.

  • Sólo el 49% de los encuestados destaca que su curso incluye phishing o ataques de ingeniería social.
  • Sólo el 38% de los encuestados destaca que el curso incluye seguridad asociada a dispositivos móviles.
  • Sólo el 29% afirma que su programa incluye servicios de seguridad en la nube.

El informe encuentra que si bien, todas las empresas encuestadas tienen un programa de formación para sus empleados, muchos de ellos no abordan con la profundidad necesaria el tema de la seguridad con lo que no pueden impulsar cambios significativos de comportamiento para reducir el riesgo de la información. De hecho, solo la mitad de los encuestados está de acuerdo en que el programa de formación actual puesto en marcha reduce los comportamientos anómalos.

El 43% de los encuestados afirma que lo habitual consiste en un solo curso básico común para todos los empleados, con lo que se ignoran las áreas críticas o información que puedan manejar los distintos departamentos.

Tanto Ponemon Institute como Experian, proponen la aplicación de metodologías más ilustrativas y que permitan al empleado interaccionar para que las prácticas a poner en marcha sean más fáciles de retener. Es posible utilizar juegos interactivos, simular situaciones con correos electrónicos de phishing, así como comunicar las consecuencias reales de una fuga de datos o lo que cualquier incidente de seguridad puede provocar. Los altos ejecutivos deben dar ejemplo al participar en este tipo de programas de entrenamiento de la protección de datos y privacidad, haciendo hincapié en la importancia de reducir el riesgo de una fuga de datos o incidente de seguridad.

Thor Olavsrud, IDG News Service