No sea parte de la estadística
Conozca los métodos más usados por actores maliciosos, para atacar a las organizaciones, y aprenda de los expertos como detectar, proteger y responder eficazmente ante amenazas que ponen en riesgo la seguridad de sus datos y la reputación de su empresa.
No obstante a la gran complejidad técnica detrás de muchos de los ataques modernos, las organizaciones pueden lograr un nivel de protección adecuado y suficiente, con una inversión razonable.
Participe en alguno de nuestros eventos y reciba asesoría experta para definir su estrategia de ciber seguridad.
Nuestros Eventos
Complete la forma de registro y solicite su asistencia a alguno de los eventos agendados para darle la información y las herramientas que necesita, para definir su estrategia de ciberseguridad:
La identidad de sus usuarios, el activo más preciado para un atacante.
El 31 de agosto de 2014, se suscitó un gran escándalo en el medio del espectáculo que recibió el nombre de “Fappening” aduciendo a los términos “Happening” (suceso) y “Fap” (termino usado para referenciar a la auto estimulación sexual), en el que más de 500 fotos y videos íntimos de renombradas estrellas de Hollywood, de la televisión de Estados Unidos, y los deportes, fueron hechas públicas en el foro de intercambio de imágenes 4CHAN.
El suceso generó críticas y reacciones en redes sociales, los medios de comunicación y la sociedad en general.
El material fue obtenido desde iCloud, la plataforma de almacenamiento de Apple, la cual respalda automáticamente todas las fotografías tomadas por dispositivos iOS. Posteriormente, Apple informó que la información de las cuentas de las víctimas fue obtenida atacando específicamente sus nombres de usuarios, contraseñas y preguntas de seguridad y no a través de alguna vulnerabilidad del sistema iCloud. Estos datos personales fueron entonces obtenidos a través de un simple correo de Phishing.
La mecánica fue como a continuación se describe. Dentro de una plantilla de correo muy parecida a la que envía Apple o Google cuando el usuario desea cambiar su contraseña, se incluyó un mensaje alarmante al respecto de un supuesto problema con la cuenta de la víctima. Dicho correo motivó al usuario a acceder a un URL suplantado. Dicho URL replicaba los portales de iCloud o Google Account, de tal forma que la víctima no sospechara nada. Posteriormente los portales motivaban al usuario a ingresar sus datos múltiples veces para asegurar su autenticidad, y terminaba por dirigir al usuario a los portales fidedignos para eliminar cualquier sospecha.
Este tipo de ataques, son cada vez más comunes y han avanzado no solo en frecuencia sino también en creatividad y complejidad. La causa raíz detrás de cualquier ataque de phishing suele ser la incapacidad de los seres humanos y sistemas para autenticarse fácilmente entre sí. Una vez que un atacante logra acceso a una cuenta de usuario de bajo nivel, la usará para lograr acceso a identidades con mayores privilegios, hasta capturar a toda la organización. Por ello las medidas de protección deben aplicarse a todas las identidades, sin importar su cargo, ubicación o nivel de acceso.
Recomendaciones
- Los correos electrónicos de phishing son, por mucho, la amenaza más común. Los atacantes enviarán correos electrónicos de aspecto legítimo de instituciones financieras, organizaciones gubernamentales o esquemas genéricos como loterías para engañar a un usuario para que visite un sitio web suplantado. La implementación de herramientas de protección de correo electrónico basadas en aprendizaje tipo máquina, resultan muy efectivas para evitar que los usuarios finales sean engañados. Estas herramientas incluso simulan el efecto que tendría para el usuario acceder a estos sitios, antes de llegar al buzón de correo del usuario, y en su caso bloquean dichos correos para no ser entregados, o restringen el acceso por el usuario a dichos sitios.
- En el caso de que ya se hayan comprometido las credenciales del usuario, existen herramientas que detectan comportamientos anómalos y pueden ayudar a minimizar el impacto de un posible ataque. Por ejemplo, detectando el uso de credenciales fidedignas desde localidades lejanas (viajes imposibles), desde dispositivos o direcciones IP nunca usadas antes, accesos en horarios atípicos, o intentos de acceder a recursos o datos nunca explorados por dicha identidad.
- El uso de un método de autenticación multi factor (software y hardware) es una gran manera de protegerse del phishing, toda vez que el atacante requeriría lograr acceso a estos dispositivos de hardware en adición a los datos del usuario para poder acceder a sus datos privados.
- Sin duda la mejor inversión será la concientización y educación de sus usuarios finales, para que puedan identificar estos intentos de engaño social, y evitar ser víctimas de estos actores.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
El secuestro de datos, una historia que se repite en promedio 4,000 veces cada día.
La historia sucede normalmente así: Un día llegas a tu oficina, enciendes tu computadora con la idea puesta en completar ese documento tan importante que debes entregar hoy y en el que has trabajado por más de dos meses. Sin embargo, al iniciar el sistema te desconcierta ver que tu fondo de pantalla ya no es el de una de tus imágenes favoritas, sino que ha sido cambiado por un fondo rojo chillante y despliega un mensaje perturbador.
El texto anuncia que todos tus documentos, han sido cifrados y se han vuelto inaccesibles a menos de que un rescate sea pagado a una cuenta de criptomonedas, cuyo número de cuenta aparece en dicho mensaje.
Compruebas angustiado que, en efecto, todos tus documentos, presentaciones, hojas de cálculo, imágenes, música, PDF´s e incluso archivos con extensiones que no conocías se encuentran cifrados. Pronto más y más empleados de la empresa, que llegaron a la oficina después de ti, pasan por la misma experiencia. Unos minutos más tarde se confirma que incluso los servidores críticos de la empresa, en los que están almacenados todas las aplicaciones y datos de negocio fueron afectados. Horas después, los responsables del área de tecnología se percatan que incluso los respaldos fueron cifrados, esto debido a que comparten la misma plataforma de virtualización que el resto de la empresa, nadie estaba preparado para algo así.
La dirección general empieza a considerar pagar el rescate, pero les preocupa ser engañados y extorsionados. Nada les garantiza que el secuestrador cumplirá con su parte del arreglo. ¿Cuánto tiempo podrá la empresa ocultar el problema, antes de que sea evidente para sus accionistas, y clientes?, ¿Qué impacto financiero les generará y cuánto tendrán que trabajar para recuperarse?, ¿Cómo se verá afectada su reputación antes sus clientes?… las preguntas se acumulan, pero nadie ofrece respuestas.
El mundo cibernético no es tan diferente del mundo en el que vivimos. Para proteger su propiedad y activos, las empresas deben tener sistemas de seguridad, políticas, procesos y personal calificado. Del mismo modo, las organizaciones que manejan datos valiosos de los clientes necesitan proteger sus redes y actualizar sus sistemas regularmente. El vector inicial de infección usualmente es el mismo, llega un correo que contiene un mensaje seductor que invita a abrir el archivo adjunto, una vez abierto el ransomware entra en acción sin que nadie se dé cuenta, se replica sigilosamente y en un momento específico después de entrar en contacto con un centro de comando y control, actúa cifrando la información y datos de la empresa.
Los recientes ataques de ransomware nos muestran que los hackers no dudarán en aprovecharse de cualquier situación difícil, aunque sea una pandemia global que nos afecte a todos. La pérdida de un negocio es una ganancia de hacker, por lo que las empresas deben ser proactivas, ahora más que nunca.
Como todo software malicioso nuevo, cuando el primer ataque ransomware documentado ocurrió en 1989 (Troyano AIDS), este tomó por sorpresa a muchas empresas y el coste monetario requerido para poder volver a operar no fue poca cosa, por ejemplo, y por citar las mayores cifras, a Target le costó alrededor de $292 millones de dlls, Home Depot $298 millones de dlls y a Equifax la desbordante cifra de $1.7 mil millones de dlls. Se calcula que actualmente, a una empresa pequeña o mediana, enfrentará costos promedio de $84,116 dólares.
Recomendaciones
¿Se puede evitar ser víctima de Ransomware?, por supuesto que sí, dentro de las medidas que se pueden tomar para no verse en este tipo de situaciones son tanto del tipo preventivo como reactivo:
- Diseñar una correcta arquitectura de red
- Una gestión correcta de vulnerabilidades y riesgos en equipos críticos
- Implementar controles de seguridad en los dispositivos de los colaboradores
- Implementar sistemas de alertamiento, y equipos de respuesta a incidentes
- Ejecución constante de campañas de concientización de amenazas entre muchas otras.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
El ataque a cadena de suministro más grave a la fecha: SolarWinds y ¿cómo nos afecta a todos?
Recientes investigaciones demostraron la forma en la que actores maliciosos lograron tener acceso a los repositorios de actualizaciones de software de una de las empresas proveedoras de software para la operación de sistemas más grandes del mundo “Solarwinds”. El ataque de cadena de suministro detectado a finales de 2020, consistió en alterar el software oficial responsable de proveer actualizaciones y parches a sistemas de marcas como Microsoft, para insertar en dichas actualizaciones un “backdoor”, de tal forma que todos los miles de clientes de Solarwinds que instalaran dichas actualizaciones automáticamente instalaban también el backdoor.
Una vez instalado, el software malicioso permitió el acceso no autorizado a los actores. Los atacantes usaron el protocolo HTTP para la comunicación con el backdoor con el objetivo de no despertar ninguna sospecha y hacer pasar la comunicación como tráfico normal. Este backdoor habilitó la capacidad de transferir archivos, ejecutar archivos, perfilar equipos y sistemas, reiniciar equipos y desactivar servicios del sistema.
Las investigaciones recientes indican que cuando menos transcurrieron 9 meses desde que los atacantes liberaron la versión maliciosa de SolarWinds hasta que se detectó dicho ataque de cadena de suministro, ocasionando que miles de empresas que utilizan el software se infectaran y fueran afectadas de forma importante.
¿Qué podemos concluir de este tipo de ataques?
- En un ataque de cadena de suministro, los atacantes tienen una gran ventaja, que es el tiempo. Se cree que durante estos nueve meses que pasaron desapercibidos, los actores fueron capaces de recolectar información de millones de credenciales y datos sensibles de miles de empresas.
- En este tipo de ataques, la protección no solo depende de nosotros, sino que dependemos de terceros que nos suministran servicios, tecnologías, o bienes. Es poco lo que las empresas clientes de Solarwinds pudieron haber hecho para protegerse de recibir actualizaciones maliciosas, sin embargo, el efecto de la afectación se pudo haber minimizado con los controles de seguridad apropiados.
- En cuanto a los controles de seguridad, es muy importante implementar prácticas, procesos y tecnología que nos permita monitorear y responder eficientemente ante anomalías. La existencia de un equipo interno o externo de seguridad preparado para una eficaz respuesta a incidentes, así como la realización de ensayos, pruebas de penetración, análisis de vulnerabilidades, y auditorías es clave para enfrentar eficientemente un ataque de cadena de suministro.
- En el campo de la seguridad informática, se debe invertir más en estrategias proactivas, que reactivas, pero siempre asumiendo que la empresa ya ha sido comprometida “Assume the breach”. De esta forma la empresa siempre estará alerta y preparada para reaccionar.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
El famoso ataque a Secure ID de RSA que empezó desde la computadora de un usuario curioso
RSA es la empresa creadora de SecurID, un mecanismo de autenticación de doble factor que emplea un token (hardware) que genera un número pseudo aleatorio. Este token era muy utilizado por muchas empresas, entre ellas destacaban los bancos quienes lo usaban para autenticar a sus usuarios de servicios digitales. La generación del número en el Token se efectuaba por un algoritmo específico. Si un actor malicioso lograba tener acceso a ese algoritmo, las implicaciones para las empresas podrían ser importantes, ya que cualquier persona podría generar números válidos, invalidando el efecto de esta media de seguridad, sin mencionar la pérdida del negocio para RSA y de toda la inversión realizada en la investigación y desarrollo de este algoritmo.
En marzo de 2011 RSA sufrió una brecha de seguridad que le permitió a los atacantes tener acceso a los algoritmos de SecurID.
El vector inicial del ataque que se utilizó para acceder a él, fue a través del correo electrónico, los atacantes enviaron un correo electrónico a un grupo selecto de usuarios, con un archivo malicioso de Excel que a través de una macro ejecutaba un código de Adobe Flash que explotaba una vulnerabilidad de dicho software comercial. El mensaje del correo electrónico invitaba al destinatario a abrir el archivo utilizando frases muy tentadoras. Una vez que el archivo Excel fue abierto y ejecutó el código, el atacante pudo obtener acceso remoto al equipo de la víctima y a partir de ahí y tras una serie de movimientos laterales pudo acceder a secretos industriales, entre ellos al algoritmo de SecurID.
Este suceso como muchos otros nos deja un gran mensaje:
- La seguridad no sólo debe de ser aplicada a los equipos críticos de una empresa, sino que debe extenderse a todos los usuarios de la organización, sin importar su puesto, rol, ubicación o tipo de dispositivo que usan para acceder a la red y servicios de la empresa.
- En la actualidad el uso de software de seguridad básica, como antivirus, firewalls o detectores de intrusos no es suficiente. Cada día se descubren nuevas vulnerabilidades y se desarrollan nuevos tipos de malware alrededor de mundo, los fabricantes de antivirus están rebasados en esta labor titánica de identificar nuevos virus. El problema debe ser abordado con un enfoque diferente, que permita el monitoreo constante e inteligente del comportamiento de acciones tanto de usuarios como de servicios del sistema, que no dependan de una base de datos de conocimiento (actualización de firmas de AV), sino de tecnología de aprendizaje tipo máquina, como lo encontramos en software EDR.
Muy probablemente con el software de protección disponible en la actualidad, el vector de ataque que se usó en el 2011 contra RSA no tendría la menor probabilidad de éxito. Los atacantes lo saben por lo que han avanzado y evolucionado en sus técnicas. Por ejemplo, en la actualidad un atacante utilizaría vectores de ataque modernos como los de tipo LOLBins, que consisten en instrucciones de sistema operativo válidas que se insertan en algún archivo pero que ejecutan acciones favorables para un atacante, como descargar y ejecutar un archivo, crear un usuario, borrar archivos, etc.
Bajo este tipo de instrucciones, los antivirus se encuentran en desventaja, porque los LOLBins no son código malicioso, sino al ser instrucciones validas del sistema operativo pasan desapercibidas ante un AV. Por otro lado, un EDR de endpoint al detectar la ejecución de dichas instrucciones, analiza su comportamiento en un contexto completo, y en caso de encontrar efectos maliciosos disparan una alerta y toman acciones de respuesta, como bloquear la ejecución del código y erradicarlo de otros endpoints de la organización, en acciones coordinadas con otros mecanismos y tecnologías de seguridad.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
Las empresas tardan en promedio 197 días en darse cuenta de que su seguridad ha sido comprometida
Cada día que pasa va cobrando más fuerza la idea de que tarde o temprano todas las empresas se verán comprometidas, y que padecerán de una u otra forma los efectos negativos de un ciber ataque.
Un estudio de IBM habla del hecho de que a una empresa en promedio le toma 197 días en darse cuenta de que su seguridad ha sido comprometida y que hay actores maliciosos dentro de su red, 197 días durante los cuales los atacantes se han movido con relativa libertad dentro de la red sin que los responsables de la seguridad se han dado cuenta de la intrusión.
El estudio destaca también el hecho de que a las empresas les toma en promedio 69 días regresar a una relativa normalidad.
Este tipo de datos duros refuerzan la idea de que tarde que temprano la seguridad de cualquier empresa será comprometida. Si las empresas adoptaran la idea de “asumir la brecha” y trabajar bajo la filosofía de que el atacante ya está dentro, podrían enfocar mejor sus esfuerzos y recursos, y adoptarían una actitud más proactiva y menos reactiva (esperar a que el problema suceda, para entonces remediarlo).
Quizás hace 10 ó 15 años, cuando la seguridad se enfocaba en proteger solo el perímetro de la red, el enfoque de protección reactiva resultaba eficaz. Bajo esa filosofía se monitoreaba el tráfico externo de la red, y dispositivos periféricos lo analizaban para detectar actividad maliciosa, luego los dispositivos bloqueaban la actividad y posteriormente un gestor del tráfico de la red bloqueaba la fuente de esta actividad inicial.
Pero ahora no podemos dejar pasar por alto que los atacantes modernos usan técnicas cada vez más avanzadas y están motivados financieramente. Su gran especialidad técnica los hace consientes de las medidas de protección previsibles por lo que recurren a mecanismos ingeniosos e innovadores para evitarlas. Sus vectores de ataque no son directos, porque saben de antemano que sería tardado y costoso superar dichas defensas, y saben entre otras muchas cosas que el tráfico interno es menos monitoreado, y quizás en algunos casos, ni siquiera es supervisado.
Conscientes de esto, el actor de amenaza irá siempre en búsqueda de romper la cadena por el eslabón más débil: sus usuarios.
Como se ha visto en varios ataques exitosos a varias empresas de todos los tamaños y giros, el vector inicial de ataque inicial siempre ha involucrado de una u otra forma a los usuarios, y al mismo tiempo, parece ser que las organizaciones continúan sin prestar atención a ello. En la actualidad los ataques como LOLBins y movimiento lateral son muy exitosos desde el punto de vista del atacante, porque la empresa sigue sin enfocarse en sus usuarios y se esfuerzan poco o nada en monitorear el tráfico que pasa dentro de la red.
Cuando una organización cambia su mentalidad y pasa de: “no voy a dejar que nadie pase” a “voy a comprobar que hay alguien aquí que se supone que no debe estar”, se obliga a reenfocar los esfuerzos y a eliminar la falsa ilusión de estar seguros, basándose en el hecho de no haber sido atacados. Este simple cambio de postura reducirá dramáticamente el tiempo de detección de una brecha en la seguridad, su impacto y por supuesto el costo y esfuerzo de remediar cualquier daño que el atacante haya podido lograr.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
Grupos de actores de amenaza explotaron una importante vulnerabilidad en Microsoft Exchange, dos meses antes de que se hiciera pública su existencia
Cuando una empresa desarrolladora de software libera un parche de seguridad o actualización, las organizaciones consumidoras del software no deberían solo enfocarse en su prueba y despliegue, ya que dependiendo de la gravedad de la vulnerabilidad podría ser necesaria la ejecución de un ejercicio de análisis en busca de indicadores de compromiso (IOC’s), con la intención de descartar una posible intrusión a los sistemas vulnerables.
Lo anterior debido a que existe un periodo de tiempo que comprende desde el día en el que el desarrollador o un posible actor malicioso (lo que ocurra primero), se hace consciente de la existencia de dicha vulnerabilidad, se comprueba el impacto de la explotación de la vulnerabilidad y se desarrolla el vector de ataque, hasta el día en que el parche es liberado para su aplicación.
En este período de tiempo se abre la posibilidad de que la vulnerabilidad se haya aprovechado maliciosamente.
En uno de los más recientes casos que es el de la vulnerabilidad en Microsoft Exchange, la vulnerabilidad fue descubierta y reportada por Orange Tsai el día 5 de enero de 2021 pero no fue sino hasta el 2 de marzo de 2021 que Microsoft liberó un parche para remediarla, es decir, transcurrieron 58 días entre su reporte formal a Microsoft y su mitigación, un tiempo que bien pudo ser aprovechado para que actores de amenaza comprometieran a muchas víctimas.
Usualmente los investigadores de vulnerabilidades no suelen revelar sus hallazgos de manera pública si no hasta tiempo pasado después de su remediación, pero eso no significa que ellos hayan sido los únicos en haber identificado la vulnerabilidad. Tal fue el caso de esta vulnerabilidad de Exchange Server.
A partir de reportes de servicios de monitoreo de seguridad de la compañía Volexity, se tiene conocimiento de la existencia de actividad anómala relacionada con esta vulnerabilidad, desde el día 3 de enero de 2021, es decir, 2 días antes de ser reportada a Microsoft. Lo que confirma que la vulnerabilidad ya estaba siendo activamente explotada.
Se cree que los actores detrás de estas actividades anómalas son los grupos “APT”: LuckyMouse, Calypso, Winnti en un principio, y posteriormente se unieron Tonto Team y Mikroceen y después muchos otros. La mayoría de estos grupos están interesados en espionaje y robo de información confidencial.
Si algo podemos concluir de esta experiencia, es que los atacantes tienen la gran ventaja del tiempo con ellos, pero un correcto monitoreo y gestión de la seguridad puede ayudar a detectar a tiempo si la seguridad de la empresa ha sido comprometida.
¿Te interesa conocer más acerca de cómo proteger a tu empresa de los ataques modernos? Déjanos tus datos y solicita tu asistencia a uno de nuestro próximos eventos.
Beneficios post evento
Demostraciones
En un espacio de una hora, conozca como las soluciones de ciber seguridad se integran para proteger a su organización
Pruebas de concepto
A través de una experiencia 100% inmersiva, simulando escenarios reales, interactúe con las soluciones y compruebe sus capacidades y beneficios
Talleres y evaluaciones
Conózca su nivel de riesgo actual y pruebe a detalle la forma en la que cada solución se integraría a sus ambientes productivos, y obtenga respuesta a sus dudas más compleja
Nuestros Patrocinadores
Contáctanos
Déjenos sus datos para participar en uno de nuestros próximos eventos. (Sujeto a cupo)
contacto@secnesys.com.mx
+52 (55) 85254111
Av. Rio Mixcoac 25-11A, CDMX 03940. México