Etiqueta: vulnerabilidades

Qué hacer si la seguridad de las redes ha sido vulnerada

En la mañana del 16 de octubre, investigadores revelaron al mundo un nuevo “exploit” llamado KRACK que aprovecha las brechas de seguridad y entonces su Wi-Fi ha sido vulnerada y permite a los invasores leer y modificar los datos en redes inalámbricas. Las vulnerabilidades son en el protocolo de seguridad más utilizado actualmente en las redes Wi-Fi, el WPA2, y con ellas se pueden descifrar los datos, hacer ataques de repetición de paquetes, secuestrar conexiones TCP e inyectar tráfico HTTP, entre otras acciones.

El problema afecta a prácticamente todos los dispositivos con conexión Wi-Fi, ya sean computadoras con diferentes sistemas operativos, enrutadores, dispositivos móviles o dispositivos conectados bajo el Internet de las Cosas. Lamentablemente, no está claro todavía si las vulnerabilidades ya están siendo explotadas por los delincuentes cibernéticos alrededor del mundo.

Cambiar la contraseña de los dispositivos o redes no hace ninguna diferencia en el momento, así como cambiar a otros protocolos de seguridad Wi-Fi (WPA o WEP) también no ayudará. Después de todo, el WPA también es vulnerable a estos ataques, y el WEP tiene seguridad aún más débil.

De todos modos, la pregunta más importante ahora es: ¿Qué hacer? Las siguientes recomendaciones a los Administradores de Seguridad pueden ayudar a mitigar los riesgos asociados con las nuevas vulnerabilidades encontradas:

 

Análisis de la situación actual

En este momento, es vital buscar información de los fabricantes de cada uno de los productos utilizados en la red para entender si son vulnerables o no, así como para identificar si el fabricante ha publicado una actualización para solucionar el problema. Un grupo de trabajo es necesario para garantizar que dicha información esté rápidamente a la mano y ayude en la toma de las decisiones siguientes. Además, también es fundamental mantenerse atento a las actualizaciones de los diferentes productos y asegurar que las vulnerabilidades se corrigen tan pronto como sea posible.

 

Cifrado integral

En sistemas críticos, el uso de una capa adicional de cifrado integral entre los equipos de usuarios y servidores es una alternativa a considerar. Hay soluciones en el mercado que ofrecen cifrado integral a través de agentes de software que se pueden instalar de modo automático y remoto, cuya gestión está asociada a la identidad de los usuarios en la red, facilitando la administración y reduciendo costos.

 

Micro-segmentación

Prepárese para lo peor y tenga en cuenta que el invasor puede tener éxito al infiltrar un malware fuera del alcance de sus líneas de defensa tradicionales. Trabajar con el llamado Campo Reducido de Confianza (Reduced Scope of Trust o RSOT), según Gartner, es la mejor alternativa para aislar sistemas sensibles. Un principio similar es defendido por Forrester con su concepto de “Zero Trust”. Actualmente, esta metodología puede ser fácilmente implementada por soluciones avanzadas de micro-segmentación, que es la seguridad definida por software. Ella también puede incluir el uso de cifrado integral y técnicas para hacer los sistemas “invisibles” a análisis utilizados por los invasores. El resultado final es que, si un sistema crítico cualquiera (por ejemplo, una base de datos de tarjetas de crédito, sistemas de pago, sistemas de relacionamiento con clientes, etc.) es aislado mediante micro-segmentación, seguirá aislado y protegido contra malware infiltrado en la red.

 

Seguridad de aplicaciones móviles

Con los ataques mencionados anteriormente, se aumentan los riesgos de la contaminación por malware en dispositivos móviles que puede causar incidentes de seguridad. El consumidor de una empresa es el empleado de otra – y el malware que inadvertidamente se instaló en su smartphone, en empresas que adoptan modelos BYOD (Bring Your Own Device o “Traiga su Propio Dispositivo), es el malware “traído” a la empresa – y esto tiene un gran potencial para generar un incidente de seguridad de grandes proporciones. Educar a los usuarios internos es fundamental, pero también esencial es garantizar que las aplicaciones móviles y los recursos de la empresa estén debidamente protegidos. Soluciones de seguridad para aplicaciones móviles que utilizan conceptos de Application Wrapping (Envoltorio de Aplicaciones) son capaces de proporcionar seguridad a los datos confidenciales almacenados, transmitidos y procesados por las aplicaciones de negocio, incluso en ambientes hostiles como un smartphone infectado con malware.

 

Monitoreo de incidentes

Mantenga procesos de monitoreo de incidentes e inteligencia de amenazas para asegurar que solamente alertas pertinentes sean emitidas, ya que hoy la complejidad de los entornos tecnológicos genera una gran cantidad de eventos y hace difícil mantener el foco sobre lo que es realmente pertinente, algo como buscar una aguja en un pajar. Herramientas de correlación de eventos y plataformas SIEM (Security Incident & Event Management o Gestión de Incidentes y Eventos de Seguridad) son cruciales para hacer frente a este y otros futuros retos de seguridad cibernética. Técnicas de Análisis de Seguridad – seguridad a través de análisis avanzado de datos -, que identifican comportamientos anómalos y generan alertas independientemente de firmas de ataques conocidos, son una capa adicional para SIEM e igualmente importante. Añada a eso profesionales calificados en operaciones 24×7, bases de reglas de correlación y análisis robusto de datos, así como mecanismos para mejora continua de estas bases, procesos maduros para análisis, confirmación y priorización de incidentes para asegurar tratamiento adecuado, además de respuesta ante incidentes a través de procesos, herramientas y profesionales de alta calidad.

Seguridad con análisis avanzado de datos

Herramientas de análisis están siendo utilizadas por departamentos de marketing y negocios para evaluar el comportamiento y la experiencia que los consumidores comparten en redes sociales. La misma tecnología puede utilizarse para monitorear las diferentes redes sociales en búsqueda de actividades delictivas, no sólo identificar comentarios relacionados con exploits, sino también ofertas de venta de datos robados, divulgación de dispositivos de red vulnerables, contraseñas y otra información sensible. Es común que delincuentes inexpertos también utilicen las redes para vanagloriarse de sus logros. Equipos de seguridad pueden contar con soluciones que hacen el monitoreo por palabras clave en modo 24×7 y en diferentes idiomas para ser notificadas cuando este tipo de mensajes es compartido. Información sobre el perfil, la hora y la ubicación del usuario que publicó la información puede ayudar en la identificación y la sanción del criminal.

 

Gestión de riesgos

Asegúrese de que su proceso de Gestión de Riesgos evalúe constantemente cómo las nuevas amenazas, tecnologías y cambios en el entorno empresarial se reflejan en el nivel de los riesgos organizacionales. Dichos procesos deben garantizar que los riesgos serán identificados y evaluados, y que apoyarán la toma de decisiones sobre cuáles controles de seguridad son necesarios para mantenerlos siempre dentro de niveles aceptables para la organización.

El reciente estudio Unisys Security Index 2017 reveló que el ciudadano mexicano está más preocupado por la seguridad en Internet que por su capacidad de cumplir compromisos financieros.

La preocupación por temas del mundo virtual, como ataques de hackers y virus cibernéticos, fue apuntada por un 77% de los encuestados, y las transacciones en línea fueron citadas por un 72% – ambas consideradas grandes preocupaciones. De otro lado, temas del mundo “físico”, como la seguridad personal o la seguridad financiera, se destacaron por un 77% y un 90% de los encuestados, respectivamente.

Es importante tener en cuenta que las entrevistas para la realización del Unisys Security Index 2017 se llevaron a cabo antes de los recientes incidentes de seguridad cibernética divulgados en gran escala, como WannaCry y Petya. De esta manera, es posible que la preocupación acerca de los problemas en línea sea actualmente aún mayor que la identificada en el periodo de la realización de la encuesta.

Estos datos son bastante reveladores, ya que Brasil es conocido por alarmantes estadísticas de violencia y actualmente enfrentamos una tasa de desempleo récord, viviendo el tercer año de crisis política y económica sin precedentes que afecta la seguridad financiera de todos. Si las preocupaciones por la seguridad en el uso de Internet es aún mayor que la preocupación por estos otros temas, tenemos un mensaje claro: hay una crisis de confianza de los usuarios de Internet en los servicios en línea.

El ciudadano que utiliza servicios públicos digitales así como el consumidor que compra productos y servicios digitales de las empresas no acredita que sus datos estén protegidos. Con los datos del estudio, no es posible determinar o inferir cuál es el impacto de la falta de confianza en el uso de los servicios digitales, pero es razonable asumir que él existe y es importante.

Hay miles de organizaciones públicas y privadas que están invirtiendo miles de millones en tecnología y adoptando la Transformación Digital para ofrecer servicios innovadores y beneficios para ciudadanos y consumidores. Sin embargo, muchas no están cosechando los resultados esperados, y la razón – al menos en parte – proviene de la desconfianza de los brasileños relacionada con la seguridad de sus datos.

 

¿Cómo revertir esta percepción de inseguridad? ¿Cómo recuperar la confianza?

En primer lugar, está el aspecto de cómo se percibe la seguridad. Deben adoptarse acciones de comunicación y mecanismos visibles (pero que no sean inconvenientes para la experiencia del usuario). Sin embargo, el más importante es asegurar que la confianza sea bien merecida y que la seguridad percibida no sea ilusoria. Esto es posible a través de medidas adecuadas que tengan por objetivo el aumento de la seguridad real.

Desde el punto de vista estratégico, es importante garantizar que elementos de seguridad sean una parte integral de las decisiones de negocios y de nuevos proyectos desde la concepción, lo que consiste en dar voz al departamento de seguridad de la información y no limitarlos a decisiones operacionales en el campo tecnológico.

Desde un punto de vista táctico, es crucial adoptar medidas de prevención (por ejemplo, la tecnología de micro-segmentación), pero es relevante no limitarse sólo a ellas. Es necesario ampliar la seguridad para predicción, detección y respuesta ante incidentes. Un reciente estudio de Gartner estima que los presupuestos de seguridad deben pasar por una transformación en los próximos años, con una fuerte aceleración de las inversiones en herramientas de predicción, detección y respuesta. Esas herramientas representarán en 2020 el 60% del presupuesto total de seguridad, superando así el presupuesto de prevención. Esto sucede en un mundo de amenazas cada vez más sofisticadas. Prevenir seguirá siendo imprescindible, pero no será suficiente.

Desarrollar la confianza de ciudadanos y consumidores es un punto clave en el proceso de Transformación Digital. En ese escenario, la seguridad funciona como un facilitador de la innovación, y no como una barrera.

Acciones en el nivel estratégico, como la aproximación entre las áreas de seguridad y de negocios, así como en el nivel táctico, favoreciendo la predicción o detección y respuesta ante incidentes, proporcionarán más seguridad real y, en última instancia, apoyarán el aumento de la confianza y de la adhesión a plataformas digitales en todo el país, un beneficio para el conjunto del mercado, la población y el desarrollo tecnológico.

 

Por: Leonardo Carissimi, Director de Soluciones de Seguridad de Unisys en América Latina.

 

 

Microsoft asegura que las vulnerabilidades no afectarán a los usuarios actualizados

El sábado Microsoft comunicó que reparó las vulnerabilidades de la reciente divulgación de supuestas técnicas de espionaje de la Agencia de Seguridad Nacional, lo que significa que los clientes deben estar protegidos si han mantenido su software actualizado.  Y es que, la fuga del viernes causó preocupación en la comunidad de seguridad. Las herramientas de espionaje incluyen cerca de 20 exploits diseñados para hackear versiones antiguas de Windows, como Windows XP y Windows Server 2008.

“Nuestros ingenieros han investigado los exploits revelados, y la mayoría de los exploits ya están reparados”, dijo la compañía en un blog a última hora del viernes. Sin embargo, tres de los exploits encontrados en la fuga no han sido parcheados, aunque no funcionan en plataformas que Microsoft soporta actualmente. Por ello, a los clientes que siguen ejecutando versiones anteriores de productos -como Windows 7 o Exchange 2010- la compañía les anima a utilizar la oferta actual.

Matthew Hickey, director de la firma de seguridad Hacker House, ha examinado las filtraciones y está de acuerdo con la evaluación de Microsoft. El director aconseja que las empresas, que a menudo retrasan los parches para propósitos operativos, se muevan rápidamente para instalar los arreglos de Microsoft a los servidores que estén en estado crítico.

La filtración del viernes fue la última revelación de un misterioso grupo conocido como The Shadow Brokers. El grupo ha estado publicando archivos que hacen sospechosos a la NSA. Los expertos en seguridad dicen que la divulgación del viernes es probablemente otro golpe para la agencia espía estadounidense. De hecho, The Shadow Brokers también han advertido que tienen más archivos para lanzar.

Redacción

 

Cisco señala que hay problemas de seguridad en sus equipos inalámbricos

En los dispositivos Cisco Aironet 1830 Wave 2 Series y Cisco Aironet 1850 Series Access Points, que ejecutan el software Cisco Mobility Express, se han detectado vulnerabilidades que podrían permitir a un atacante remoto no autenticado tomar el control completo de un dispositivo afectado, indicó la firma.

Mientras tanto, en la categoría de alerta “alta” Cisco también advirtió de una vulnerabilidad en la interfaz de administración web del Software Cisco Wireless LAN Controller (WLC) que podría permitir que un atacante remoto no autenticado causara una denegación de servicio (DoS). “A través de la vulnerabilidad un atacante podría aprovechar mediante el acceso a una URL específica oculta en la interfaz de administración web y provocar una recarga del dispositivo y provocar una denegación”, advirtió Cisco.

También avisó de una vulnerabilidad con IPv6 UDP procesamiento de paquetes de entrada en el software Cisco Wireless LAN Controller (WLC) que podría permitir a un atacante remoto no autenticado acceder al dispositivo. “La vulnerabilidad se debe a la validación de IPv6 UDP incompleta. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un paquete IPv6 UDP diseñado a un puerto específico en el dispositivo de destino. Un exploit podría permitir al atacante afectar la disponibilidad del dispositivo”, anunció Cisco. La compañía ha publicado actualizaciones de software que se ocupan de esta vulnerabilidad también.

La última advertencia de nivel “alto” está en las extensiones multimedia inalámbricas (WME) 802.11 en el software Cisco Wireless LAN Controller (WLC). Se trata de una vulnerabilidad que podría permitir que un atacante no autenticado adyacente causara una denegación de servicio (DoS). “La vulnerabilidad es debida a la validación incompleta de entrada del paquete WME 802,11. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de marcos malformados 802.11 WME a un dispositivo de destino que podría permitir al atacante para hacer que el WLC se cargará de forma inesperada “, afirma Cisco. Cisco ha publicado actualizaciones de software que se ocupan de esta vulnerabilidad.

La última advertencia se refiere a una vulnerabilidad en RADIUS Cambio de Autorización (CoA) de procesamiento de solicitudes en el Cisco Wireless LAN Controller (WLC). Esto podría permitir que un atacante remoto no autenticado causará una denegación de servicio (DoS) mediante una desconexión. Cisco explica que se debe a una “falta de validación de entrada adecuada del paquete RADIUS CoA. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de un paquete RADIUS CoA diseñado a un dispositivo de destino y provocar una desconexión a través del WLC forma inesperada”.

Finalmente, la firma asegura que no hay soluciones alternativas disponibles.

Redacción.

Sólo el 35% de los negocios en México protegen sus datos: Estudio

Hoy en día, la seguridad informática ya no se trata solamente de esperar para responder al siguiente ataque cibernético. Resulta imprescindible estar preparado y contar con el plan de seguridad informática más robusto posible antes de sufrir un ataque.

En 2016, se invirtieron más de 113 millones en soluciones de software de seguridad en México, según las predicciones de los analistas de la industria; sin embargo, México ocupa el sexto puesto en lo relativo a ataques cibernéticos en tiempo real.

Un estudio realizado por Citrix y The Ponemon Institute sobre infraestructura de seguridad informática arrojó que tan solo el 34% de los directores de las empresas mexicanas visualizan la ciberseguridad como una prioridad estratégica y que el 64% de ellas no están realmente preparadas para las nuevas potenciales amenazas que llegarán de tendencias relacionadas con el “Internet de las Cosas” (IoT). Además, el 62% de las compañías encuestadas creen que el mayor factor de riesgo tiene que ver con las complejidades organizacionales. Por otro lado, los empleados no están siguiendo los requisitos de seguridad corporativa porque son demasiado complejos y los limitan en su productividad; además, las políticas entorpecen su capacidad de trabajar como prefieren. En este contexto, no sorprende el auge de la TI no autorizada, o shadow IT, porque los empleados quieren maneras más fáciles de hacer su trabajo.

Los activos de datos son cada vez más numerosos, lo que pone más información en riesgo, según el 87% de los encuestados. Acerca de las generaciones de trabajadores, el 49% aseguró que los millennials podrían generar mayores riesgos para la protección de los datos confidenciales y sensibles debido a un uso inapropiado de las aplicaciones y dispositivos en sus empleos por lo que la capacitación con ellos resulta clave.

  • Los resultados también revelaron que los profesionales de la seguridad y de TI están muy preocupados por sus operaciones actuales:
  •  El 86% por ciento de los encuestados están preocupados por las vulneraciones a la seguridad que involucran información de gran valor.
  • El 78% indica que las tendencias de ataques en la seguridad de la infraestructura de TI se focalizan en el uso de identidades digitales en las empresas y el 63% contestó que se centrarán en el creciente uso de las redes sociales en los puestos de trabajo.
  • Acerca de los factores que aumentan los riesgos en las organizaciones, el 90% cree que el principal elemento es la incapacidad de atraer y retener talento especializado en ciberseguridad. Además, el 70% asegura que la falta de inversión en las tecnologías adecuadas provoca el crecimiento drástico de las brechas.
  • El 82% dicen que existe un riesgo que surge de su incapacidad de controlar los dispositivos y aplicaciones de sus empleados.

N. de P. Citrix

 

 

Las vulnerabilidades de código abierto crecerán 20% en 2017

El código abierto es cada vez más frecuente en aplicaciones comerciales y domésticas. Según señala la recopiladora de estadísticas sobre proyectos de código abierto Black Duck Software, el número de ataques basados en vulnerabilidades aumentará un 20% este año. Asimismo, el peligro de más del 50% de los proyectos de software comercial compuestos de código abierto ha subido de un 3% en 2011 a un 33% hoy, según el vicepresidente de la consultora, Mike Pittenger.

“Dos tercios de las aplicaciones comerciales tienen código con vulnerabilidades conocidas”, afirma Pittenger. “Lo malo es que los compradores no tienen manera de saber en qué software están. Claro que, por lo general, las empresas no se quieren aproximar a la realidad, ya que cuando proporcionan a los clientes una lista de componentes, suele ser incompleta. Solo los grandes compradores corporativos suelen pedir a los vendedores la lista completa y revisada por terceros, como Black Duck.

Esto no significa que haya que evitar el código abierto. Hay que ser conscientes de que escribir el mismo código desde cero requiere mucho tiempo y eso retrasaría el tiempo de comercialización y dañaría la competitividad de la empresa. Es por ello por lo que se está acelerando la tendencia de los proveedores de software comercial que utilizan código abierto.

A pesar del crecimiento del porcentaje de los ciberataques en este tipo de software, existe una gran cantidad de apoyo en la comunidad para crear proyectos que traigan consigo seguridad y actualizaciones. Sin embargo, según Ed Moyle, director de Liderazgo e Investigación en ISACA, la estrategia de tener muchos ojos para revisar las vulnerabilidades de la fuente del código abierto no siempre funciona. “Cualquiera puede auditar el código, pero parece ser que todo el mundo lo asume y luego nadie lo hace”, explica Javvad Malik, defensor de Seguridad de AlientVault.

El problema más grave de este panorama es que los cibercriminales son conscientes de ello. La fuente de código abierto es omnipresente, por lo que los atacantes pueden ir tras un gran número de objetivos con el mismo exploit. A esto hay que sumarle que los usuarios no realizan a menudo parches o actualizaciones. Y para más inri, el nuevo código se escribe con las vulnerabilidades conocidas y antiguas puesto que ya están incorporadas.

Los expertos también informan de que el crecimiento del Internet de las Cosas también se ha convertido en un problema de seguridad importante desde el año pasado. Y lo seguirá siendo este año. “Mucho código abierto se está utilizando en dispositivos inteligentes y en el IoT”, asegura Malik.

Según Pittenger, se descubren entre 2,000 y 4,000 ataques nuevos cada año. Para solucionar el problema, los proveedores de software y sus clientes deben hacer frente a esta situación. Pero es probable que empeore antes de que empiece a mejorar.

Redacción

Cloud e IoT, y las nuevas vulnerabilidades que las acompañan

Cloud es ahora una opción principal para los activos de TI. Es inmejorable en términos de costo, escalabilidad y agilidad y ha sido impulsado por la poderosa e imparable transformación digital. Ahora nos permite alcanzar mucho más allá de lo que los enfoques tradicionales podrían lograr. Del mismo modo, la transformación digital ha reforzado la aparición de Internet de las cosas (IoT).

IoT, como la nube, puede ofrecer una ventaja competitiva significativa a las empresas a través de verticales de la industria si se implementa correctamente.

Sin embargo, tanto el IoT como la nube abren nuevas vulnerabilidades y crean la necesidad de un nuevo enfoque para la seguridad de TI donde la conectividad y la gestión de amenazas ya no pueden ser manejadas por separado.

La mayoría de las organizaciones distribuidas se enfrentan a la necesidad de revisar su estrategia de redes de WAN y sucursales. Necesitan una red asequible, unificada y fácil de administrar que sea segura y eficiente tanto para los activos en la nube como en los locales, dondequiera que estén los usuarios: estáticos o móviles.

Dependiendo del grado de adopción de las nubes, las empresas están considerando múltiples opciones para aprovechar el Internet como transporte dentro de su WAN. Las primeras empresas de cloud computing están adoptando sucursales locales en la sucursal, mientras que las organizaciones de TI híbridas utilizan un enfoque en el que el tráfico de Internet fluye de la sucursal a varios centros regionales.

Otros están combinando estos enfoques para obtener más beneficios de rendimiento y seguridad. En el lado de la LAN, las empresas deben aislar los puntos de acceso cableados e inalámbricos relevantes para el negocio y evitar que sean expuestos por la creciente participación de Internet.

sdn-telco-red

Con todos estos cambios, la cadena de funciones de red y seguridad dentro de una sucursal necesita más que una actualización. Se requiere un enfoque totalmente nuevo donde la conectividad y la seguridad se manejan como una sola, desde la fase de diseño hasta las operaciones reales y la administración del cambio.

 

Dos enfoques para la seguridad de las sucursales 

Con la mayoría de las aplicaciones empresariales en ubicaciones SaaS, Internet reemplaza a MPLS como la espina dorsal de la red de las organizaciones distribuidas. Si un usuario puede acceder directamente a Internet, sin un backhaul en el centro de datos, se obtiene un mejor rendimiento y menor costo incurrido. Pero, ahora más que nunca, el tráfico de Internet debe ser inspeccionado y asegurado antes de entrar en la sucursal.

Existen varias opciones de seguridad para las organizaciones. Pueden replicar la pila de seguridad completa que utilizan en centros regionales o centros de datos en cada sucursal, o bien, pueden aprovechar el poder de la nube dirigiendo el tráfico de Internet a los proveedores de Cloud Access Security Broker (CASB) como zScaler o NetSkope.

La cadena de funciones dentro de una rama se convierte en un híbrido de componentes locales y basados en la nube. Esa cadena de servicios necesita ser configurada y alineada con los objetivos de seguridad y desempeño de la empresa, algunas veces por aplicación.

cloud-nube-datacenter-seguridad

Sólo las soluciones inteligentes de SD-WAN y SD-Security pueden trascender las limitaciones de la red IP y proporcionar la conciencia de aplicación necesaria utilizando funciones tanto locales como basadas en la nube para optimizar la seguridad, el rendimiento y la eficiencia.

 

La segmentación de la red es más crítica que nunca 

En un mundo en el que los dispositivos de IoT, como los sistemas HVAC, están siendo utilizados como una plataforma de ataque, lo que lleva a que se roben datos críticos de los clientes, muchas organizaciones están tomando pasos hacia la segmentación de la red -construyendo múltiples sub-redes dentro de una red compartida. La segmentación de la red no es nueva, pero ha sido históricamente engorroso implementar y administrarla.  Hasta ahora, la segmentación de la WAN y la segmentación de la LAN se consideraban de forma independiente cuando, de hecho, forman parte del mismo imperativo empresarial.

Es sólo con la llegada de SD-WAN, SD-LAN y SD-Security que las organizaciones pueden implementar la segmentación de la red para la seguridad y rendimiento de las aplicaciones de extremo a extremo, desde el centro de datos (local o basado en la nube) hasta La WAN y los dispositivos de usuario final en la LAN. Un enfoque integral de la segmentación de red es aquel que combina las fortalezas de la segmentación LAN, la segmentación WAN y las capacidades de firewalling de próxima generación. Con este enfoque, la conectividad y la seguridad para cada usuario se puede lograr.

 

N. de P.

El HTTP/2 ofrece mayor rendimiento, pero baja confianza en seguridad

El nuevo protocolo poco a poco se empieza a implementar, ofrece un mejor rendimiento y es compatible con el protocolo anterior, HTTP/1.1. No se han encontrado problemas de seguridad en el propio protocolo, pero hay vulnerabilidades en algunas implementaciones y la posibilidad de una menor visibilidad en el tráfico de Internet, por lo que vale la pena esperar un poco para actualizarse.

Se debe tener en cuenta que el protocolo HTTP/1.1 tiene alrededor de 16 años y es el estándar de mensajería subyacente para solicitar páginas web y recursos asociados. Cuando los navegadores utilizan varias conexiones para enviar solicitudes paralelas, provoca congestión. Los sitios web utilizan una serie de trucos y soluciones para tratar de ofrecer contenido más rápido.

HTTP/2 promete solucionar el problema con la multiplicación, que beneficia especialmente a los sitios web con muchos objetos pequeños. Para el usuario fina no resultará distinto, pero el sitio web podría cargarse un poco más rápido.

No contiene  cifrado

El cifrado obligatorio no está integrado en el propio protocolo. Sin embargo, todas las implementaciones de navegador actuales requieren encriptación TLS, agregando una capa de seguridad para la web.

Esto significa que las empresas podrían no ser capaces de analizar de forma efectiva el tráfico HTTP/2, tanto las conexiones entrantes que podrían entregar malware como las conexiones salientes que filtran datos críticos.

Algunos proveedores ofrecen soluciones que funcionan con cifrado HTTPS y SSL. Pero los cambios que vienen con HTTP/2 están en un nivel más básico. Resolver este problema no va a ser fácil. Los proveedores tendrán que actualizar sus productos para manejar HTTP/2.

Es recomendable que la empresa ejecute las pruebas primero para ver si son capaces de inspeccionar el tráfico HTTP/2 con sus sistemas actuales y, en caso contrario, es posible que sea mejor esperar.

Nuevas vulnerabilidades

HTTP/2 plantea otros riesgos para las empresas, además de la cuestión de la visibilidad en el tráfico de Internet. Ya se han descubierto varias vulnerabilidades, todas relacionadas con ataques distribuidos de denegación de servicio. Incluyen la lectura lenta, la bomba HPACK, el ataque de ciclo de dependencia y la vulnerabilidad de abuso de multiplexación de flujo.

El protocolo en sí, no tiene problemas, el problema está en las implementaciones. En una prueba realizada recientemente se comprobó que, en los principales servidores web, incluyendo Apache, IIS, Jetty, Nghttpd y Nginx, eran vulnerables a al menos un ataque. Esto significa que los atacantes no necesitan un ejército de máquinas infectadas para actuar como relés o relés de aumento.

A pesar de que se han corregido sus vulnerabilidades, esto no quiere decir que todos los servidores Web hayan instalado los parches.

Las empresas que necesitan actualizarse a HTTP/2 y ejecutar sus propios servidores web y no pueden mantener los parches actualizados, conviene usar un firewall de aplicaciones web que proteja contra las nuevas vulnerabilidades a medida que se descubren.

Maria Korolovo

Diez predicciones sobre ciberseguridad para 2017

Las predicciones sobre ciberseguridad realizada el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky Lab, para este 2016 ha estado repleto de drama, intriga y exploits. A continuación, le compartimos las predicciones de la firma para 2017:

Kaspersky Lab espera que para el próximo año aparezca malware residente en la memoria del equipo que no sobrevive más allá del primer reinicio, tras el cual se borrará la infección. Este tipo de malware, destinado al reconocimiento general y la recopilación de credenciales se desplegará con toda probabilidad en entornos altamente sensibles donde los ciberdelincuentes buscan evitar levantar sospechas.

La atribución de las ciberamenazas se llenará de falsas alarmas. A medida que los ciberataques lleguen a desempeñar un papel aún más importante en las relaciones internacionales, la atribución se convertirá en un tema central que determine la actividad política, como por ejemplo las represalias.

El auge de la guerra de información. Es probable que aumente la información hackeada con fines agresivos en 2017 y existe el riesgo de que los ciberdelincuentes usen exploits manipulando los datos o divulgando de forma selectiva la información.

Junto a esto, Kaspersky Lab espera ver un aumento de Hackers Vigilantes, hackeando y volcando datos, supuestamente por el bien común. A medida que los fabricantes de IoT continúan lanzando dispositivos sin proteger, existe el riesgo de que los hackers vigilantes actúen e inhabiliten el mayor número posible de ellos.

Vulnerabilidad creciente del cibersabotaje. Las infraestructuras críticas y los sistemas de producción están conectados a Internet y en muchas ocasiones lo hacen con poca o ninguna protección. Esta situación incentiva a los ciberatacantes a perjudicarles o interrumpirlos, sobre todo en tiempos de creciente tensión geopolítica.

El espionaje se hace móvil. Kaspersky Lab cree que habrá más campañas de ciberespionaje dirigidas a móviles, beneficiándose del hecho de que la industria de la seguridad no puede obtener acceso total a los sistemas operativos móviles para el análisis forense.

La mercantilización de los ataques financieros. Kaspersky Lab espera ver cómo crece la “mercantilización” en los ciberataques financieros con recursos especializados y que estos ataques se encuentren a la venta en foros cibercriminales.

Comprometer sistemas de pago: A medida que los sistemas de pago se vuelvan cada vez más populares, crecerá el interés criminal por ellos.

Kaspersky Lab también anticipa el continuo aumento de ransomware, aparecerán programas maliciosos skiddie (es decir, escrito o adaptado por novatos), que bloqueen de forma permanente los archivos o los eliminen para obligar a la víctima a pagar el rescate, sin darle nada a cambio. Puede que veamos cambios de actitud donde se entienda que no pagar el rescate es una buena opción para evitar que prolifere este negocio.

Finalmente, se destaca el llamamiento cibercriminal de la publicidad digital: Durante el próximo año, veremos el tipo de herramientas de rastreo y targeting utilizadas en la publicidad destinadas a vigilar a los presuntos activistas y disidentes. Del mismo modo, las redes de anuncios (que proporcionan un excelente perfil de destino a través de una combinación de IP, huellas dactilares de navegador, interés de navegación y selectividad de inicio de sesión) serán utilizadas por actores avanzados de ciberespionaje.

Redacción

12 vulnerabilidades de hardware y software que debe tomar en cuenta

No es exagerado decir que las organizaciones tienen al menos un poco de hardware y software antiguo que todavía está en uso. Una computadora antigua que todavía está resoplando, corriendo un viejo sistema operativo y tal vez una aplicación que es difícil de reemplazar, que no necesariamente plantea una señal de alerta con el personal de TI. ¿Por qué gastar dinero en nuevos equipos o software si lo que ya está dentro de la empresa es adecuado y funciona?

Walker White, presidente de BDNA, una compañía que rastrea y analiza los datos del final de la vida (EOL) de hardware, software y dispositivos médicos, señala que el principal problema con el software pasado de fecha y el hardware heredado, es que una vez que pasan su ciclo de EOL, el proveedor ya no mantiene o da soporte a los productos, dando lugar a vulnerabilidades de seguridad y riesgo para las organizaciones. Tal como indica el informe Estado de la Empresa (Q2 2016) realizado por BDNA, muchas organizaciones no son conscientes de las posibles responsabilidades, que pueden costar millones de dólares en el caso de un ataque exitoso después de que una vulnerabilidad es explotada.

Aquí está una mirada al hardware, software y las vulnerabilidades de dispositivos móviles que debe abordar ahora, para reducir el riesgo y aumentar la seguridad.

Antiguos equipos de escritorio, laptops y notebooks

White sostiene que, aunque el software representa un riesgo mucho mayor que el hardware, muchas vulnerabilidades de hardware en realidad están basadas en software. El principal problema con las computadoras más antiguas es que muchos equipos no tienen funciones de seguridad incorporadas, tales como UEFI (Unified Extensible Firmware Interface) con Secure Boot, un sistema básico de auto reparación de salida/entrada (BIOS), autenticación previa al inicio, unidades de cifrado automático y similares. Aunque estas características no pueden impedir las infracciones el 100% del tiempo (¿y quién puede?), mejoran en gran medida la seguridad general de las computadoras personales y de la empresa.

Los elementos a eliminar en el inventario de computadoras de su organización:

  • Las computadoras con BIOS convencional: Los equipos antiguos, así como las laptops y notebooks, con el BIOS convencional no pueden ejecutar el arranque seguro, una característica de UEFI que se agregó por primera vez en Microsoft Windows 8 y ahora aparece en las ediciones más recientes, así como en Windows Server. Arranque seguro o Secure Boot ayuda a prevenir que se cargue el malware durante el proceso de arranque de la computadora. Para mayor protección, la tecnología SureStart de HP, que se introdujo en el 2013, detecta el código del BIOS dañado o en peligro antes de que incluso cargue, y luego lo copia con una “buena” versión firmada digitalmente si es necesario.
  • Las computadoras sin autenticación previa al arranque (PBA) o un módulo de plataforma segura (TPM): Como otro nivel de protección, PBA impide que el sistema operativo se cargue hasta que el usuario introduzca la información de autenticación, como una contraseña. PBA entra en acción después de las cargas de BIOS, pero antes de que se inicie el sistema operativo. Esta característica ha existido durante varios años y ha sido reemplazada en algunas computadoras por Microsoft BitLocker utilizando TPM.
  • Routers viejos: Dirigido principalmente a pequeñas oficinas/oficinas en casa ﴾SOHOs, por sus siglas en inglés﴿, los routers viejos ‐especialmente aquellos fabricados en el 2011 y anteriores‐ pueden tener serias vulnerabilidades.
  • Las unidades que no se auto cifran: Disponibles desde el 2009, las unidades de cifrado automático, o SED por sus siglas en inglés, son especialmente importantes para los equipos móviles. Una SED requiere una contraseña, además de la contraseña de inicio de sesión del sistema operativo, y la tecnología cifra y descifra los datos de la unidad de forma automática.

Otra consideración es el uso en general de discos duros antiguos. Deb Shinder, una consultora de tecnología y seguridad, entrenadora y escritora, señala que incluso cuando los viejos discos duros no son una amenaza directa a la seguridad, lo hacen vulnerable a la pérdida de datos, ya que son propensos a fallar.

Cómo enfrentar las vulnerabilidades del software

Donde las correcciones y actualizaciones de hardware suelen requerir descargas de dinero en efectivo, las vulnerabilidades de software reparado, a menudo implica cambios de bajo costo o incluso gratuitos. La siguiente lista incluye los tipos de software que deben mantenerse actualizados, parchados o que deben ser reemplazados tan pronto como sea posible:

  • Sistemas operativos sin parches o desactualizados: En abril del 2014, Microsoft dejó de dar soporte a Windows XP, lo que significa que ni las actualizaciones automáticas ni la asistencia técnica está disponible. De acuerdo con Microsoft, incluso si se ejecuta algún tipo de software antivirus en Windows XP, éste tiene “una eficacia limitada en PCs que no tienen las últimas actualizaciones de seguridad”. Shinder advierte contra el funcionamiento en los sistemas operativos de servidor antiguos, como Windows Server 2003 y versiones anteriores, que proporcionan “un número mucho menor de elementos de seguridad” que los sistemas operativos más modernos, y esos antiguos servidores FTP que se sientan alrededor de la red, por lo general utilizados con poca frecuencia, presentan una superficie de ataque que los administradores podrían pasar por alto.
  • Software de productividad sin parchar o desactualizado: Las versiones sin actualizar de Microsoft Office, especialmente las versiones más antiguas como Office 2002, Office 2003 y Office 2007, son arriesgadas. Una vulnerabilidad común es el potencial para la ejecución remota de código si un usuario abre un archivo o una vista previa preparada maliciosamente, o si visita una página web que contiene el contenido que explota la vulnerabilidad. Si tiene éxito, el atacante puede obtener acceso al sistema del usuario, lo que puede suponer un riesgo sustancial si el usuario tiene privilegios administrativos.
  • Aplicaciones personalizadas heredadas: De acuerdo con Shinder, muchas organizaciones siguen ejecutando software heredado que fue escrito a medida para ellos, incluso cuando el proveedor se haya ido a la quiebra y ya no puede proporcionar actualizaciones o parches. “Para las organizaciones, la idea de empezar de nuevo con una nueva aplicación o un proyecto de desarrollo personalizado puede parecer abrumadora. Sin embargo, el software heredado no se ha codificado teniendo en mente los ataques sofisticados de hoy”, anota Shinder, dejándolo muy vulnerable si se expone a Internet o en un entorno con controles de seguridad inadecuadas.
  • Navegadores web sin parchar: Las vulnerabilidades del navegador están muy extendidas; no hay ningún navegador que esté completamente libre de vulnerabilidades de seguridad. Las vulnerabilidades comunes incluyen la suplantación de URL, scripting cruzado, ataques de inyección, virus explotables, desbordamiento de búfer, violaciones de ActiveX y muchos más. En resumen, ejecute la versión más actualizada de su navegador web preferido y actualícelo tan pronto como las actualizaciones estén disponibles.
  • Plug‐ins desactualizados: Un blanco fácil para los atacantes son los plug‐ins desactualizados del navegador para el software utilizado en la web, y los plug‐ins con la mayor cantidad de vulnerabilidades están relacionados con PDF de Adobe y Adobe Flash también conocido como Shockwave flash, así como Java y Microsoft Silverlight. Los plug‐ins de WordPress también han sido víctimas de una serie de vulnerabilidades de seguridad, tanto es así que WordPress ofrece un plug‐in para comprobar la vulnerabilidad de otros plug‐ins de WordPress.

Cambio de protocolos

Cuando se desarrolló el conjunto de protocolos TCP/IP por primera vez y la Internet estaba en su infancia, la seguridad no era la más alta prioridad. Ahora las cosas han cambiado de forma espectacular. Muchos protocolos de comunicaciones han sido revisados o sustituidos con seguridad incorporada. Uno de los cambios más recientes es el cambio de Secure Sockets Layer (SSL), que se ejecuta por sobre TCP/IP, a su sucesor, Transport Layer Security (TLS).

114446797

Ambos protocolos proporcionan encriptación y autenticación de datos entre las aplicaciones y servidores, como el servidor y el navegador web, y están diseñados para permitir comunicaciones seguras a través de Internet. Sin embargo, lo “seguro” en SSL es ahora una contradicción debido a las vulnerabilidades bien documentadas.

De hecho, incluso TLS 1.0 y algunas implementaciones de TLS 1.1 se consideran inseguras, con expertos recomendando el uso de TLS 1.2 y posterior. Eso significa que los servidores web deben estar ejecutando la última versión de TLS, especialmente aquellos que alojan plataformas de comercio electrónico. PCI DSS 3.1, el último estándar para la seguridad de las tarjetas de pago, eliminó a SSL y aquellas primeras versiones de TLS de su lista de estándares de cifrado aprobados.

White de BDNA también advierte contra los defectos en TCP. Cita una grave vulnerabilidad en el TCP que se ejecuta en Linux que utiliza canales secundarios. Un atacante puede tener éxito en la secuenciación de paquetes por conocer las direcciones IP del emisor y el receptor, y luego interceptar paquetes e insertar contenido malicioso. Esta vulnerabilidad ha existido durante varios años, pero se ha descubierto recientemente, lo que ha resultado en parches para la próxima versión del sistema operativo Linux.

Dispositivos móviles o de Internet de las cosas

La explosión del uso de dispositivos móviles y de la Internet de las Cosas (IoT) ha hecho que el trabajo y la vida personal sean más fáciles en muchos aspectos, pero al mismo tiempo ha dado paso a un grupo de problemas de seguridad. Estas son algunas de las preocupaciones más urgentes en relación con lo móvil y la IoT:

  • Dispositivos y sistemas operativos móviles viejos: Algunos dispositivos con sistemas operativos antiguos no se pueden actualizar, y las actualizaciones de seguridad son soportadas por un tiempo limitado. Por ejemplo, el iPhone 3 y los modelos anteriores (los que se vendieron antes de octubre del 2011) no pueden ejecutar la última versión de iOS, que tiene muchas características de seguridad incorporadas. Los dispositivos Android son más difíciles de definir debido a los múltiples proveedores de teléfonos con múltiples productos que ejecutan el sistema operativo. Tenga en cuenta que Google proporciona actualizaciones de seguridad para Android por tres años a partir de la liberación, y las actualizaciones a una nueva versión de Android por dos años a partir de la liberación.
  • Los dispositivos IoT viejos: De acuerdo con Shinder, los viejos dispositivos de la IoT “que están habilitados en red, como las viejas cámaras IP utilizadas para la vigilancia, no reciben actualizaciones regulares y con frecuencia están utilizando protocolos inseguros. Con el carente estado de la seguridad de la IoT, en general, tener dispositivos más antiguos en la mezcla solo lo hace peor.

Los siguientes pasos a realizar

US‐CERT recomienda listas blancas de aplicaciones, mantenimiento de aplicaciones y sistemas operativos parchados y actualizados, y la restricción de privilegios administrativos a las aplicaciones y sistemas operativos como una estrategia para reducir el riesgo.

Las organizaciones también deben automatizarse tanto como sea posible, lo que incluye permitir las actualizaciones del sistema operativo y de las aplicaciones a no ser que los administradores tengan una razón específica para no hacerlo. Para mantener SoHo Routers al día, actualice el firmware mediante el mecanismo de actualización con solo un botón, si está disponible, o descargue una actualización desde el sitio de soporte técnico del fabricante e instálelo. En cuanto a los dispositivos móviles, debe mantenerlos actualizados con el último software, y enseñarles a los usuarios a descargar aplicaciones solo de fuentes de confianza, como la Apple Store o Google Play.

Mantenerse en la cima de la información de la vulnerabilidad es fundamental para la protección de los entornos de TI. Una buena fuente es la página web de alertas US‐CERT, así como la lista de la MITRE Corporation, Vulnerabilidades y exposiciones comunes (CVE por sus siglas en inglés). Para las organizaciones que ejecutan productos de Microsoft, revise los avisos y boletines de seguridad de Microsoft TechNet, o suscríbase para recibir notificaciones de seguridad, a través de RSS o correo electrónico.

Otra opción es suscribirse a un catálogo de terceros sobre los proveedores y detalles de productos, como Technopedia de BDNA. Este tipo de servicios reúne los datos, y luego los traduce y normaliza para utilizar el lenguaje y las condiciones normales, eliminando las variantes de nombres para un solo proveedor, producto único y/o versión de un producto.

Kim Lindros, CIO/Trad. CIOPeru

Microsoft despliega su mejor paquete de seguridad del año

Microsoft ha hecho públicos los paquetes de seguridad, están divididos en 14 boletines de seguridad, incluyendo uno específico dedicado a Flash Player. De los mencionados, 7 han sido considerados como críticos. En su mayoría, están dirigidos a solventar fallos detectados en Windows, Internet Explorer, Microsoft Edge, Exchange y Office, además de los servicios y aplicaciones web asociadas a Office 365. Un total de 50 vulnerabilidades cubren el espectro final, con 26 asociadas al producto Flash Player de Adobe. También se incluye el navegador Edge.

Microsoft destaca que los administradores de TI deben dar prioridad a las correcciones de Internet Explorer, previstas en el boletín MS16-104, así como las de Microsoft Edge (MS16-105), Microsoft Office (MS16-107), Microsoft Graphics Component (MS16-106), OLE Automation para VBScript (MS16-116) y Adobe Flash Player (MS16-117).

La mayoría de las vulnerabilidades pueden ser explotadas de manera que permitan la ejecución de código de forma remota, engañando a los usuarios a visitar determinadas URL comprometidas, o a abrir archivos diseñados para propagar código malicioso. Estos suelen ser los vectores de ataques más explotados por los cibercriminales para llevar a cabo sus ataques.

Otra de las vulnerabilidades relacionadas con los navegadores de Microsoft, tanto de Explorer como Edge, CVE-2016-3351, se podría aprovechar para divulgar información en cadena. Esta vulnerabilidad no ha sido divulgada al público, pero ha sido ya empleada. La compañía no ha dado más detalles al respecto.

Silverlight ha recibido una buena actualización, la MS16-109 que también es de prioridad, a pesar de que estar clasificada como importante, y no como crítica. La vulnerabilidad podría provocar la ejecución remota de código si un usuario visita una página web comprometida que contiene una aplicación diseñada especialmente para Silverlight.

En el apartado de los servidores, los administradores deben centrarse en la actualización para Microsoft Exchange (MS16-108), que parchea las vulnerabilidades críticas en el Oracle Outside In Technology (OIT). Se trata de una colección de (SDK) que pueden ser utilizados para extraer, formatos de archivo no estructurados.

Los investigadores del equipo de Talos de Cisco encontraron a principios de año dichas vulnerabilidades asociadas a Oracle OIT e informaron de que podrían afectar a muchos proveedores, incluyendo Microsoft Exchange. Oracle lanzó actualizaciones en el mes de julio y Microsoft ha importado ahora estas correcciones.

La actualización de Office también debe estar en la agenda de los administradores de TI encargados de tener al día los servidores, dado que se aplica a Microsoft SharePoint Server 2007, 2010 y 2013. Según los fallos encontrados, se podría permitir a atacantes tomar el control completo de los servidores afectados, mediante el servicio de automatización de Word y Excel, destaca en su blog Amol Sarwate, director de vulnerabilidades de los laboratorios de Qualys.

Lucian Constantin, IDG News Service