Internet

Proteger nuestras redes ante los ciberataques

2016-05-29T16:32:08+02:00mayo 29, 2016|Internet, Seguridad|

El experto en ciberseguridad John Lyon alerta de la importancia de comenzar a defender los sistemas o después, será demasiado tarde.

Recientemente, el diario El País ha publicado una entrevista realizada a John Lyons, fundador de la Alianza Internacional de Ciberseguridad, quien calcula que una empresa debería destinar el 15% de su gasto en tecnología para proteger redes y sistemas ante ciberataques. No se está cumpliendo, por lo que declara: «El panorama es para asustarse, en menos de cuatro años, el Internet de las cosas habrá estallado y se tendrán alrededor de 200.000 millones de dispositivos conectados a la Red. Es como si cada grano de arena tuviera su propia dirección IP. Y todo, absolutamente todo, podrá ser víctima de un ataque».

El principal problema en ciberseguridad al que se enfrentan los gobiernos es que no tienen expertos para defender sus redes. En el pasado, los países contaban con grandes fuerzas militares para defender sus territorios. Ahora no hay límites porque la guerra se ha trasladado al ciberespacio. La ciberseguridad se debe convertir en una prioridad nacional para los gobiernos.

Un país tiene muchas cosas que defender y es muy difícil tener todos los frentes cubiertos; en cambio, los adversarios, los que amenazan, son mejores atacando que nosotros defendiéndonos. También, son más rápidos desarrollando nuevas tecnologías y técnicas. Estamos dirigiéndonos a una sociedad cada vez más interconectada pero también más vulnerable y el incremento del número de dispositivos conectados atraerá amenazas cada vez peores.

En este momento no se está prestando suficiente atención a la ciberseguridad, a nadie le interesa o le importa. Los gobiernos deben dar el primer paso. Es normal que la ciberseguridad no resulte algo muy atractivo para los políticos y en consecuencia, no se destinen fondos para protegernos. Y aunque la educación, la sanidad o la lucha contra la violencia sean temas muy importantes, se volverán innecesarios e inmateriales si no invertimos ahora en ciberdefensa. Porque en los próximos años estaremos perdiendo tanto dinero con los ataques a nuestros sistemas que se perderá la habilidad para defendernos. Por ejemplo, cada vez estamos más involucrados con nuestra salud y llevamos más dispositivos para controlar nuestro estado. Los médicos desean conocer de forma directa e inmediata cómo van sus pacientes. En un tiempo, quizás en cinco años, podremos registrar todo sobre nuestra condición médica y transmitirla. Si eres diabético podrás saber si necesitas tomar menos o más azúcar en cada momento. Esta interacción puede conllevar muchos beneficios por una parte, pero también tiene sus propias amenazas. ¿Qué va a pasar cuando todos esos dispositivos estén conectados a Internet? Dentro de poco la preocupación ya no será si has perdido dinero en tu cuenta de banco, sino si un hacker puede hacer que se detenga tu corazón.

10 pasos para protegerse del Ransomware

2016-05-20T12:02:40+02:00mayo 20, 2016|Internet, Seguridad|

En días recientes, diversas publicaciones han informado de una serie de empresas que han sido afectadas por ransomware. Pero con un poco de información, se puede reducir significativamente el riesgo y el impacto sobre las organizaciones.

¿Qué es el ransomware? Es un tipo de malware que infecta dispositivos, redes y centros de datos, impidiéndoles ser utilizados hasta que el usuario u organización paga un rescate. El ransomware ha existido al menos desde 1989, cuando el troyano «PC Cyborg» cifraba los archivos del disco duro y pedía el pago de USD $189 para desbloquearlos.

El impacto de este tipo de malware es difícil de calcular, sin embargo, un informe sobre la campaña del ransomware Cryptowall v3, publicado en octubre de 2015 por Cyber Threat Alliance, estima que su costo fue de aproximadamente 325 millones de dólares. Dicha estimación sirve para darse una idea de lo cada una de las campañas de ransomware puede ser capaz de alcanzar, así como de su impacto de manera general.

El ransomware trabaja de varias maneras, por ejemplo, Crypto puede infectar un sistema operativo para que un dispositivo sea incapaz de arrancar. Otros cifran una unidad o un conjunto de archivos. Algunas versiones utilizan un cronómetro y comienzan la eliminación de archivos hasta que un rescate haya sido pagado. Existen todo tipo de exigencias para obtener el pago y poder desbloquear o liberar el sistema, archivos o datos.

El 31 de marzo de 2016, el U.S. Cyber Emergency Response Team y el Canadian Cyber Incident Response Centre advirtieron de manera conjunta sobre el tema después de varios ataques de alto perfil en hospitales. De acuerdo con esta alerta, los usuarios atacados reciben un mensaje como los siguientes:

  • “El ordenador ha sido infectado con un virus. Haga clic aquí para resolver el problema”.
  • “El ordenador se ha utilizado para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $100”.
  • “Todos los archivos de su equipo han sido cifrados  y deberá pagar este rescate dentro de las siguientes 72 horas para recuperar el acceso a sus datos”.

Los siguientes son 10 puntos para la protección contra los efectos de ransomware:

  1. Desarrollar un plan de respaldo y recuperación. Realizar copias de seguridad de los sistemas de manera regular y mantenerlas en algún dispositivo sin conexión.
  2. Utilizar herramientas profesionales de correo electrónico y seguridad web que analicen los archivos adjuntos y páginas web en busca de malware, y bloquean los anuncios potencialmente vulnerables y los sitios de medios sociales que no tienen ninguna relevancia empresarial. Deben incluir la funcionalidad de sandbox, para que los archivos nuevos o no reconocidos sean ejecutados y analizados en un ambiente seguro.
  3. Mantener sistemas operativos, dispositivos y software actualizado.
  4. Asegurar que el antivirus de la red y herramientas antimalware se están ejecutando con las últimas actualizaciones.
  5. Hacer uso de listas blancas de aplicaciones, lo que impide descargar y ejecutar aplicaciones no autorizadas.
  6. Segmentar la red, de esta forma una infección no se propagará fácilmente.
  7. Establecer y hacer cumplir la asignación de privilegios para que el menor número de usuarios puedan afectar las aplicaciones críticas de negocio, datos o servicios.
  8. Establecer y hacer cumplir una política de seguridad BYOD para inspeccionar dispositivos y en caso necesario bloquear el acceso a aquellos que no cumplen con los estándares para la seguridad.
  9. Implementar herramientas de análisis forense, las cuales permitirán después de un ataque identificar de dónde provino, el tiempo que ha permanecido, si ha sido retirado de todos los dispositivos y asegurarse de que no volverá.
  10. No depender de los empleados para mantener la seguridad. Aunque es importante su capacitación para evitar la descarga de archivos adjuntos infectados o dar clic en enlaces del correo electrónico, los seres humanos son el eslabón más vulnerable de la cadena de seguridad.

Si al recibir un ataque se cuenta con la copia de seguridad, después de verificar que todo se encuentra correctamente se podrá continuar con la operación de la organización de forma normal. Otras cosas a considerar son las siguientes:

  • Informar del ataque, una rápida búsqueda en línea le guiará al sitio para reportar los delitos informáticos en región o país.
  • Pagar el rescate no es garantía de recuperar su información. Además, el desencriptar sus archivos no significa que la infección por malware se haya eliminado.
  • Tener un plan para saber qué hacer mientras sus sistemas no se encuentren disponibles.

Ahora, más que nunca, la seguridad es parte integral del negocio. Asegúrese de que está colaborando con expertos que entienden que la seguridad es más que un dispositivo. Es un sistema de tecnologías altamente integradas y de colaboración, combinada con una política eficaz y un enfoque de ciclo de vida de preparar, proteger, detectar, responder y aprender.  Las soluciones de seguridad necesitan compartir la información con el fin de detectar y responder eficazmente a las amenazas siendo capaces de adaptarse dinámicamente a medida que las nuevas amenazas se descubren.

Ransomware en Backblaze

2016-05-19T10:44:47+02:00mayo 19, 2016|Internet, Seguridad|

Hace unos días, la empresa norteamericana Backblaze publicó su reciente experiencia de ransomware. Anteriormente en el artículo ¿Qué es el ransomware? mencionamos que se trata de un mecanismo digital de extorsión, generalmente mediante el cifrado de la información.

En la publicación de Backblaze se detalla cómo una de sus empleadas del departamento de contabilidad al abrir un archivo adjunto en un correo electrónico (aparentemente del correo de voz), desencadenó una infección por ransomware en su sistema. Así, mientras “Elli” terminaba de empacar sus cosas para irse a casa, cada uno de los archivos en su PC fueron codificados. Un momento después, notó algo extraño, la imagen de fondo en el escritorio había desaparecido, sustituyéndola una imagen genérica de un campo de flores. Abrió una carpeta, lo que esperaba ver era lo siguiente:

caso-backblaze-1

Pero esto es lo que realmente vio:

Al no comprenderlo, “Elli” llamó al departamento de TI. Después de revisar el equipo, el encargado preguntó acerca de las acciones más recientes en el equipo, por lo que ella le indica el correo electrónico abierto en la esquina de la pantalla. El encargado preguntó acerca del archivo adjunto, cuando ella le confirma que lo abrió, le informa que el equipo ha sido atacado por un ransomware, así que lo desconecta de la red inalámbrica, desconecta el cable de red, apaga el equipo y desconecta el disco duro. Posteriormente la unidad infectada fue puesta en una sandbox como medida de seguridad para evitar que otros equipos en la red fueran infectados.

Cuando el ransomware procesa los archivos del equipo, incluye algunos archivos “de ayuda”. En los que se dan las indicaciones para que el usuario pueda recuperar sus archivos mediante el pago del rescate.

“Elli” no pagó el rescate, debido a que sus archivos se recuperaron de una copia de seguridad. Sin embargo, es importante mencionar que las diferentes versiones de ransomware pueden complicar el proceso de recuperación de datos. Algunos ataques retrasan su inicio, esperando un periodo de tiempo hasta una fecha específica antes de iniciar el proceso de cifrado. En ese caso, la copia de seguridad tendría que ser capaz de retroceder hasta una fecha previa a la infección para hacer la recuperación de archivos. Algunos ataques intentarán cifrar otras unidades a las que se tenga acceso, por ejemplo la unidad de copia de seguridad local. Por esta razón, es importante una copia de seguridad interna y una externa.

Ingeniería social

Usualmente los atacantes utilizan la ingeniería social para lograr sus objetivos. La ingeniería social se puede definir como la «manipulación psicológica para la realización de acciones o divulgación de información confidencial». En este caso hubo varios trucos:

  • El correo electrónico tenía en el destinatario el nombre completo de la empleada.
  • Era normal en su oficina recibir mensajes de correo electrónico con archivos adjuntos desde el sistema de correo de voz.
  • Era normal en su oficina recibir mensajes desde QuickBooks (software de contabilidad).

Es difícil saber si ella fue solo una de las millones de personas atacadas por ransomware o, como es más probable, “Elli” fue víctima de un ataque dirigido. Los ataques dirigidos, también conocidos como spear phishing, requieren que el atacante obtenga información detallada sobre el blanco para que el correo electrónico parezca lo más auténtico posible. Encontrar la información necesaria para crear un correo electrónico creíble es tan fácil como ingresar al sitio web de la empresa y hacer un poco de investigación en sitios sociales como Facebook, LinkedIn, Google +, entre otros.

Sería fácil culpar a “Elli” por permitir que el sistema se infectara, pero hubo varios errores. Ella estaba usando un navegador para acceder a su correo electrónico en la nube, pero el sistema de correo no bloqueó el mensaje que contenía el malware. Ni el navegador, ni el sistema de correo le advirtieron que el archivo ZIP adjunto contenía un archivo ejecutable. Por último, tampoco el antivirus no detectó nada al descargar y descomprimir el archivo de malware.

El número de ataques ransomware se incrementa de manera constante, también el uso de la ingeniería social por parte de los atacantes es cada vez más frecuente, con lo cual la posibilidad de convertirse en víctima de un ataque será mayor. Además de las medidas de seguridad preventivas, es necesario tomar acciones para identificar y responder cuanto antes a un ataque para evitar sus terribles consecuencias.

Detrás del Firewall, Fortinet

2016-05-18T16:31:00+02:00mayo 18, 2016|Internet, Seguridad|

Fortinet, líder global en seguridad de redes, recientemente ha publicado su  2016 CTAP: Threat Landscape Report, en el cual revela información de las amenazas actualmente existentes en las organizaciones. Los datos para su elaboración se obtuvieron de clientes Fortinet, así como de potenciales clientes.

Algunos puntos que se destacan son los siguientes:

De manera global existieron 32.14 millones de intentos de ataque, en promedio 81,000 por cada organización. El malware se propaga principalmente a través de dos vectores clave, el correo electrónico y el tráfico web. Se registraron intentos de infección a través de plataformas de mensajería instantánea pero en una escala mucho más pequeña.

Se detectaron 71 diferentes variantes de malware, la actividad botnet es todavía dominante y una significativa preocupación para los equipos de seguridad. Nemucod es un caso destacado, debido a que en la última parte de 2015 fue utilizado para distribuir versiones más recientes de ransomware como Teslacrypt y Cryptolocker. En una de cada seis organizaciones fue detectado algún botnet.

Los ataques fueron dirigidos en un 44.6% a la banca y la industria financiera, un 27.4% a organizaciones educativas y un 10.6% a instituciones de salud.

fortinet_datos_seguridad

El tráfico en redes sociales en las empresas son una preocupación común y muy real para los administradores de seguridad, Facebook representa alrededor del 47% de todo este tráfico.

fortinet_productividad

En el caso del audio/video en streaming, el 42% lo conforma YouTube y representa más del 75% en combinación con otros medios como Netflix y Hulu. Es importante destacar que el tráfico de video, aunque no es malicioso en sí mismo, el impacto en el rendimiento de la red corporativa puede ser sustancial, ralentizando otras aplicaciones y necesidades. De hecho, más del 25% del tráfico de red llega a ser utilizado para el uso de redes sociales y audio/video en streaming.

fortinet_performance

Una manera de administrar el tráfico de la red y controlar el acceso web es mediante el uso del firewall. Específicamente en el caso de los dispositivos Fortinet, a través de perfiles de usuario, categorías de contenido y políticas se permite o restringe el acceso a los usuarios. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa mediante las soluciones y dispositivos Fortinet, así como los casos de éxito de nuestros clientes.

CTB-Locker en servidores web

2016-05-18T10:28:05+02:00mayo 18, 2016|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky, TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son sólo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.

En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba de otros por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima. Ahora, la nueva variante ataca a servidores web y exige un rescate de menos de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.

Una falla de seguridad en el servidor web permite la infección de los archivos,  una vez explotado, el sitio web se desfigura. En este caso, la desfiguración, que contiene un sustituto de la página php/html principal, se usa como vehículo del mensaje. Es importante mencionar que no se elimina el código original. Se almacena bajo seguridad en la raíz web con un nombre diferente en un estado codificado. La llave de decodificación se guarda en un servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad. Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat: se requiere una firma/código personal solo disponible para las víctimas.

Aún no se sabe cómo CTB-Locker se instala en los servidores web, pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos. WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el servidor sea más vulnerable a los ataques, ya que los autores de plugins no están comprometidos con ningún tipo de medidas de seguridad.

Por el momento, la única forma de eliminar esta amenaza en pocos segundos es mantener copias de seguridad de los archivos en otra parte. Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.

Google paga USD 6,006.13 por google.com

2016-05-18T08:20:37+02:00mayo 18, 2016|Internet, Servicios Cloud|

En 2010 Google lanzó el Vulnerability Reward Program, con dicho programa la compañía ha buscado que sus servicios sean cada vez más seguros. De acuerdo a la información publicada en el blog de la compañía, este año se ha incluido al estudiante del Babason College, Massachusetts, Sanmay Ved, quien fue capaz de comprar el dominio google.com por la cantidad de USD$12 a finales de 2015.

Al convertir la palabra GOOGLE a números se obtiene 6,006.13 que es la cantidad otorgada a Sanmay Ved, misma que la compañía ha decidido duplicar, debido a que el ganador indicó que realizaría una donación para la caridad.

En este caso, se trata de una dinámica que la empresa genera con la finalidad de obtener la ayuda de los desarrolladores y de esta manera incrementar la seguridad en sus servicios, con beneficios tanto para la empresa como para los desarrolladores. Sin embargo, cuando una empresa pierde por descuido un nombre de dominio, dejando que se cumpla la fecha de vencimiento, no siempre es tan fácil recuperarlo. Esto se debe principalmente a que existen personas y empresas que se dedican a comprar dominios vencidos para posteriormente venderlos a sus antiguos dueños a precios muy elevados.

Nunca debe permitirse vencer un dominio por descuido, ya que éste dejará de funcionar y puede volverse complicada su recuperación, incluso habrá casos en los que no será posible recuperarlo; perjudicando fuertemente la marca de la empresa en cuestión.

En Adaptix Networks incluimos el envío de manera automatizada de recordatorios cuando la fecha de vencimiento del nombre de dominio se aproxima; al realizar la renovación de manera oportuna se evitan los inconvenientes antes mencionados. Le invitamos a ponerse en contacto con nosotros para proveerle más información acerca de la adquisición de nombres de dominio y nuestros planes de hospedaje compartido disponibles.

Redes inalámbricas saturadas en las empresas

2016-05-17T12:21:57+02:00mayo 17, 2016|Internet, Seguridad|

Si en su empresa se sienten frustrados cuando las aplicaciones de negocio y los dispositivos responden de forma lenta al conectarse a su red inalámbrica, lo más probable es que dichos dispositivos y aplicaciones están pidiendo más de lo que su red puede manejar. La implementación de nuevos servicios y el volumen de dispositivos aumentan los niveles de exigencia.

De hecho, un estudio realizado por Forrester Consulting para Zebra Techologies Corporation concluye que la infraestructura inalámbrica de casi la mitad de las empresas se encuentra saturada.

A continuación algunas de las cifras incluidas en dicho reporte:

  • El 46% de las empresas reportaron estar operando con infraestructura de redes inalámbricas saturadas.
  • Casi el 60% de proveedores de transporte y logística, el 54% de las tiendas retail y el 49% de las empresas hoteleras aseguran tener planes de ampliar o actualizar sus capacidades Wi-Fi anticipando mayor presión en sus sistemas debido a nuevos dispositivos y servicios, con esto buscan mejorar el servicio al cliente, aumentar la eficiencia operativa, la toma de decisiones y el potencial del negocio.
  • Las compañías también están planificando añadir nuevos servicios inalámbricos como la videoconferencia y la transmisión de vídeo en streaming junto con otras aplicaciones y servicios específicos de su industria para tener localizados los activos y personal de la empresa.
  • Más del 60% de las empresas participantes en dicho estudio están ampliando, actualizando o planificando implementar tecnologías que les permitan explotar el Internet de las Cosas (IoT).
  • En Francia, el 70% de las compañías están ampliando o actualizando sus redes LAN inalámbricas (WLAN), el 58% en Estados Unidos y aproximadamente el 50% en Reino Unido, Italia y Alemania.

El vicepresidente de Zebra Techologies Corporation, Imran Akbar, lo resume de la siguiente manera: “la red empresarial es la columna vertebral que vincula todas las partes de una compañía y ayuda a obtener, cuidar y mantener a los clientes. Una infraestructura inalámbrica de calidad asegura el flujo de datos en tiempo real, lo que permite a las empresas saber qué está ocurriendo con sus activos, trabajadores y transacciones con el cliente; les permitirá tener una imagen completa de sus operaciones”.

Es importante realizar un análisis de la red empresarial para identificar los motivos por los que no funciona correctamente, con base en ello se podrá elaborar una propuesta para una nueva implementación. Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito de nuestros clientes.

¿Para qué sirve un Firewall?

2016-05-17T11:36:49+02:00mayo 17, 2016|Internet, Seguridad|

La función básica del Firewall es controlar el tráfico y bloquear lo no deseado, vigilando e inspeccionando cada paquete de datos para asegurarse que cumpla con la política de seguridad de la red antes de permitirle el paso.

Los firewalls previenen el éxito de muchos ataques al bloquear fácilmente el barrido de puertos o el escaneo de IP. Restringen el acceso remoto a estaciones de trabajo y servidores en entornos empresariales, proporcionando un grado de aislamiento entre una red y el Internet en general.

También se integran con otros controles de seguridad para proporcionar un nivel adicional de defensa que incluyen sistemas de detección y prevención de intrusos, escaneo de capas de la aplicación y otras defensas avanzadas que monitorean y bloquean intentos de ataque sofisticados.

Cuando el acceso web saliente es permitido sin oposición, se expone a la corporación al malware, a través de amenazas provenientes del cliente y dirigidas al navegador de un usuario. Para contrarrestar esta amenaza, puede contar con funciones de filtrado de contenido web, mediante la asignación de restricciones por perfiles de usuario y el uso de políticas, lo usuarios podrán o no, acceder a ciertas categorías de páginas y aplicaciones web (redes sociales, juegos, videos, P2P, etc.).

Incluso, en algunos casos puede balancear automáticamente la carga de los servicios de Internet. Es decir, para las empresas que cuenten con varios servicios de Internet (previendo la caída de alguno de ellos), el dispositivo se encargará de realizar los ajustes necesarios para balancear el uso de dichos servicios.

Es importante mencionar que el Firewall debe ser una capa en una serie de defensas que conformen una estrategia de seguridad en la empresa, y no como única defensa.

Le invitamos a ponerse en contacto con nosotros para proveerle más información  respecto al apoyo que Adaptix Networks puede brindar a su empresa en este tema, así como los casos de éxito con nuestros clientes.

Ir a Arriba