Seguridad

La mayoría de las empresas esperan un ciberataque inminente

2023-11-03T20:05:36+01:00octubre 20, 2023|Seguridad|

El 61% de los encuestados para un análisis IDC elaborado para Commvault cree que es “probable” o “muy probable” que se produzca una pérdida de datos en sus empresas durante los próximos 12 meses debido a que los ataques cada vez son más sofisticados.

En la realización del informe, IDC encuestó a más de 500 líderes de operaciones de TI y seguridad en todo el mundo para obtener una visión actual de cómo las organizaciones perciben las amenazas de seguridad modernas y abordan la resiliencia cibernética.

La investigación revela que en muchos casos, los altos ejecutivos y los responsables de la línea de negocio están mínimamente comprometidos en las iniciativas de preparación cibernética de su empresa: sólo un tercio (33%) de los directores generales o consejeros delegados y menos de una cuarta parte (21%) de otros altos cargos están muy involucrados. La mayoría de los altos directivos (52%) simplemente no participa. A este respecto, IDC destaca la importancia de que los líderes empresariales desempeñen un papel clave para garantizar que las empresas den prioridad a la preparación cibernética.

También se informa que los ataques de exfiltración de datos (cuando un malware o un actor malicioso lleva a cabo una transferencia de datos no autorizada) ocurren casi un 50% más a menudo que los ataques de cifrado, donde los piratas informáticos intentan decodificar datos cifrados. Los encuestados clasificaron el phishing como la amenaza más preocupante a abordar, dado que la mayoría de los ataques de ransomware comienzan con un ataque exitoso a las credenciales de los usuarios.

“Los ciberatacantes nunca descansan y descubren constantemente formas de explotar las vulnerabilidades. Una estrategia de ciberresiliencia verdaderamente eficaz debe ir más allá de la mera copia de seguridad y recuperación. Es crucial que las organizaciones adopten un nuevo enfoque que abarque la prevención, la mitigación y la recuperación”, afirmó Phil Goodwin, vicepresidente de investigación del Grupo de Sistemas, Plataformas y Tecnologías de Infraestructura de IDC.

Fuente https://www.commvault.com/news/commvault-and-idc-explore-cyber-resilience

Coste de los ciberataques

2023-10-13T20:09:45+02:00octubre 13, 2023|Seguridad|

El coste medio de la suma total de ciberataques a las empresas españolas ha vuelto a ascender por segundo año consecutivo, experimentando en 2022 un aumento del 43%. Esto de acuerdo con la última edición del Informe de Ciberpreparación 2023 de Hiscox.

Al desglosar las empresas por número de empleados, aquellas que cuentan con más de 1.000 empleados también han visto aumentar este coste medio en un 34%, pasando de 248.568 euros en 2021 a 333.939 en 2022. Sin embargo, las grandes afectadas por este aumento han sido aquellas que cuentan con entre 10 y 49 empleados, cuyo coste ha experimentado un aumento del 49,3%, de 15.654 euros en 2021 a 23.374 euros en 2022.

Los ataques de tipo ransomware han sido uno de los mayores intereses de los ciberdelincuentes en los últimos años. Este año, en España, se han presenciado grandes ejemplos de ello, como el ciberataque al Hospital Clínic de Barcelona por el que se pedía un rescate de alrededor de 4,25 millones de euros, o el reciente ciberataque al Ayuntamiento de Sevilla durante el mes de septiembre, por el que los ciberdelincuentes demandaban 5 millones de euros. En este sentido, el informe señala que el coste medio de recuperación del ransomware para las empresas españolas, aún incluso sin incluir los pagos por los rescates, aumentó un 88% en 2022, pasando de 10.415 euros en 2021 a 19.549 euros de media.

Para aquellas empresas que deciden pagar el rescate por los ataques de ransomware, las cifras también pegan el estirón. En este contexto cabe mencionar que el 49% afirma que decidió hacer frente a un rescate en al menos una o más ocasiones para recuperar los datos robados, y un 42% para evitar la publicación de datos confidenciales. La principal razón para optar por esta vía fue proteger los datos del personal, ya que fue indicado por un 39% de las empresas españolas, una cifra que asciende del 30% de 2021.

El presupuesto en 2022

Las empresas españolas gastaron en 2022 una media de 17,8 millones de euros en tecnologías de la información (TI), un porcentaje que se mantiene estable desde el año anterior. Sin embargo, según el informe, en 2022 las empresas han destinado menos parte de este presupuesto a la ciberseguridad, ya que el porcentaje descendió 3,3 puntos porcentuales (20,7%).

“El informe de este año nos muestra cómo los ciberataques a nivel mundial han aumentado por tercer año consecutivo, en cinco puntos porcentuales, y que, pese a la caída en número, los costes de los ciberataques a las empresas españolas se han disparado este año, demostrando una vez más la verdadera importancia que han de conceder a la ciberseguridad. Sin duda, las implicaciones financieras pueden resultar devastadoras para las empresas, sobre todo para las pymes, que son las más vulnerables a la amenaza cibernética. Por ello debemos continuar redoblando nuestros esfuerzos en esta materia y continuar concienciando a todas ellas de su verdadero impacto, que amenaza a la propia viabilidad de su negocio”, concluye Nerea de la Fuente, directora de Suscripción de Hiscox Iberia.

Fuente https://cso.computerworld.es/tendencias/el-coste-de-los-ciberataques-a-empresas-espanolas-continua-al-alza-y-crece-un-43

¿Está la infraestructura de Internet lo suficientemente digitalizada?

2023-10-13T18:19:56+02:00octubre 5, 2023|Seguridad|

El avance de la tecnología ha obligado a administraciones, organizaciones y personas a trabajar con herramientas que promuevan entornos seguros, confiables y modernos a la hora de navegar por la red. No sólo se trata de generar espacios de calidad donde desarrollar la actividad profesional o pasar el tiempo libre, sino de generar infraestructuras capaces de soportar el tráfico y la demanda actual de los usuarios. En este sentido, todavía queda camino que recorrer, así lo consideran más del 40% de los españoles al afirmar que la infraestructura de Internet del país no está lo suficientemente digitalizada, según un informe de Alpha Research para DE-CIX.

El 54,9% considera que la infraestructura de red nacional debería estar “mejor” articulada para dar soporte al imparable aumento del tráfico de datos. Asimismo, señalan que preferirían ver mejoras en la cobertura de red (56,6%) antes que redes WiFi seguras y de alta velocidad en espacios públicos (20,6%). Siguiendo esta misma línea, para el 45,1% de los españoles, los máximos responsables de que se lleven a cabo dichas mejoras son los proveedores de red, seguido por el gobierno (26,9%) y las empresas tecnológicas (15,3%).

La Nube gana protagonismo

Dentro de los avances de la tecnología, la Nube ha ido ganando peso, ya sea para abaratar los costes de manufacturación como para simplificar tareas rutinarias corporativas.

Una tendencia que se percibe en el uso cada vez mayor de la tecnología cloud por parte de los españoles. Según la citada encuesta, más del 50% de los españoles dice utilizar esta tecnología tanto para trabajar como para cuestiones personales, mientras que un 20% sólo para esto último. Asimismo, y si bien la noción del cloud y sus funciones son comprendidas por más de la mitad de los encuestados (60%), existen ciertos desconocimientos en relación a los servicios asociados, como por ejemplo los centros de datos: un 47,5% de los encuestados afirma saber lo que son, mientras que un 30% aseguró saber lo que son, pero no explicarlo.

Tendencias próximas

El 70% de los encuestados considera que nos esperan tiempos dominados por la IA. Otras tendencias próximas citadas están relacionadas con la sanidad electrónica (37,6%) y los vehículos aéreos no tripulados como los drones (37,5%). En este contexto, aunque España cuenta con una de las mejores infraestructuras digitales de Europa, las nuevas demandas animan a la industria a seguir trabajando.

Fuente https://www.computerworld.es/tendencias/esta-la-infraestructura-de-internet-lo-suficientemente-digitalizada-en-espana

El valor de la información

2023-10-13T18:18:54+02:00septiembre 27, 2023|Seguridad|

Marc Porat, el pionero de los teléfonos inteligentes, fundador y director ejecutivo de General Magic, en 1976 predijo que el futuro estaría definido por “máquinas de información, trabajadores de la información y empresas de la información”.

Actualmente sabemos que vivimos en una “sociedad de la información” y trabajamos en una “economía de la información”. Lo sorprendente es que a pesar de la inmensa cantidad de información, se vuelva difícil identificar estrategias específicas para crear valor con dicha información.

La tecnología por sí misma no es sinónimo de progreso, crear valor con la información es lo que constituye el progreso.

Sin embargo, cada dos o tres años se nos recuerda lo fácil que es destruir valor mediante prácticas deficientes de gestión de la información.

En el sector empresarial, el valor destruido por las malas prácticas de gestión de la información a menudo se mide en multas y pagos de demandas. Pero antes de que tales catástrofes salgan a la luz, ¿qué métricas se utilizan (o se deberían utilizar) para determinar si una empresa que cotiza en bolsa tiene en orden su sistema de gestión de la información? O al entrevistar a un posible nuevo empleado, ¿cómo se debe determinar si es un administrador de información competente y responsable?

Fue unos 10 años antes del cambio de siglo cuando la “información” (antes considerada “algo bueno” y universal) comenzó a ser percibida como un problema. Unos 20 años después de la invención de la computadora personal, la población en general comenzó a sentirse abrumada por la cantidad de información que se generaba. Prosperamos con la información, dependemos de la información y sin embargo, también podemos perdernos en ella. Tenemos a nuestra disposición más información de la que una persona podría esperar procesar.

Creando valor con información

Todos somos científicos de la información. Es posible que no tengamos títulos de una i-school ni seamos miembros de una organización comercial o profesional centrada en la gestión de la información, como la Association for Intelligent Information Management o ARMA, pero cada uno de nosotros crea, organiza, gestiona, almacena, recupera, y utiliza la información.

Una estrategia de información tiene que abordar varios desafíos fundamentales: cómo evitar que los períodos de atención finitos se sobrecarguen con información no deseada, y cómo evitar que la información personal y sensible se haga pública, sólo como un comienzo.

Los beneficios de elaborar estrategias eficaces de gestión de la información son realmente significativos.

Fuente http://cio.com.mx/redescubriendo-el-valor-de-la-informacion/

Ciberataque a entidades del gobierno en Colombia

2023-10-18T21:10:15+02:00septiembre 15, 2023|Seguridad|

El proveedor tecnológico latinoamericano IFX Networks que ofrece servicios administrados de telecomunicaciones, almacenamientos de datos, servidores y soporte de TI, fue víctima de ciberataque con ransomware. La multinacional informó el 12 de septiembre que “recibió un ataque de ciberseguridad externo tipo ransomware, afectando algunas de sus máquinas virtuales”.

Los portales web de la rama Judicial, el Ministerio de Salud, la Superintendencia de Industria y Comercio, la Superintendencia de Salud y muchos otros organismos del gobierno colombiano siguen fuera de línea desde hace tres días. El problema es tan grave y complejo que la persona a la que el Gobierno ha encargado resolverlo, el alto consejero presidencial para la Transformación Digital, Saúl Kattan, asegura que no tiene conocimiento de cuántas entidades están afectadas, ni cuánto se demorarán en restablecer los servicios.

Como consecuencia de este cibertataque se sugiere los productos obsoletos de los componentes Vsphere y abordar todas las vulnerabilidades importantes actuales. También se deben realizar evaluaciones de los activos VMware y procurar mantener las últimas versiones compatibles en su infraestructura.

Fuente https://csirt.gob.cl/noticias/10cnd23-00108-02/

https://elpais.com/america-colombia/2023-09-14/hackeo-masivo-en-colombia-la-informacion-de-millones-de-personas-esta-en-manos-de-delincuentes-en-este-momento.html

Actualizaciones que se deben priorizar

2023-10-13T18:18:12+02:00septiembre 5, 2023|Seguridad|

Actualizar el software es un proceso constante y sin fin. Esto plantea la pregunta ¿qué actualizaciones deben tener prioridad? La respuesta no es nada simple, ya que las estrategias de parcheo pueden ser muy diferentes y encontrar la que mejor funcione para la empresa puede depender de diferentes circunstancias.

Sin embargo, en esta publicación se comparte desde un punto de vista general, aquellas actualizaciones que se deben priorizar con base en el riesgo potencial de explotación de la vulnerabilidad.

Es importante destacar que el número de errores no es el problema principal, pero sí la rapidez con que aparecen los parches para solucionarlos y si estos realmente son efectivos. Los parches creados con rapidez rara vez son buena idea. Es una mala señal cuando las actualizaciones son raras y esporádicas, incluso cuando el vendedor pretende fingir que nada ha ocurrido. Por esa razón hay que evitar este tipo de software.

Sistemas Operativos

Los mejores candidatos para dar una máxima prioridad son los Sistemas Operativos. Las actualizaciones más importantes deben de instalarse con la mayor rapidez posible. Hay un riesgo evidente: un Sistema Operativo comprometido es una puerta abierta al resto del software del ordenador.

Para los usuarios de Windows, se debe revisar la lista de actualizaciones cada segundo martes del mes e instalarlas lo antes posible. Si Windows lanza un parche en cualquier otra fecha, se debe instalar cuanto antes.

Navegadores

Los navegadores representan gran parte de nuestra actividad digital, por definición, interactúan en todo momento con Internet por lo que pueden ser los primeros en verse afectados por cualquier tipo de ciberamenaza. Los atacantes no escatiman esfuerzos cuando se trata de encontrar vulnerabilidades en los navegadores.

Se deben instalar los parches lo antes posible, sin olvidar reiniciar el navegador después de la actualización. Si no lo hace, seguirá utilizando la versión anterior y las vulnerabilidades seguirán activas. El Sistema Operativo puede tener más de un navegador instalado y todos necesitan ser actualizados:

  • Internet Explorer: casi ningún usuario lo elige libremente pero este navegador todavía se incluye en cualquier ordenador que tenga Windows instalado y necesita los parches correspondientes.
  • Muchas aplicaciones de escritorio, como por ejemplo las de mensajería, están basados en el marco Electron, un navegador de Chromium que se abre en una aplicación web. Se deben actualizar debido a que heredan los defectos que pueda tener Chromium.

Paquetes de oficina

Los ataques a través de correo electrónico malicioso son de lo más común, en su mayoría contienen archivos infectados, especialmente documentos de Microsoft Office y en PDF. Esto significa que las vulnerabilidades de los programas de ofimática suelen servir como punto de entrada a la red de la empresa objetivo. Por esta razón se debe prestar atención a las actualizaciones de este tipo de software.

Soluciones de ciberseguridad

Las vulnerabilidades pueden ser encontradas en cualquier tipo de software, los productos de seguridad no son una excepción. Los antivirus y otras aplicaciones de ciberseguridad necesitan permisos de gran nivel para operar, por lo que una exitosa explotación de una vulnerabilidad en una solución de seguridad puede generar graves problemas.

Los desarrolladores de software de seguridad son más conscientes que nadie del peligro que puede ocasionar ese escenario. Por esa razón, intentan responder rápidamente a cualquier tipo de vulnerabilidad reportada y publicando las actualizaciones lo antes posible. Por supuesto que en estos casos la rapidez es tan importante como la instalación de esos parches. Recomendamos monitorear con atención las actualizaciones de los productos de seguridad priorizando su instalación.

Aplicaciones de colaboración laboral

Esta categoría de software ha adquirido especial relevancia para los empleados en oficinas en la última década. Aplicaciones de colaboración laboral como Microsoft Teams, Slack, Confluences y similares han ido adquiriendo presencia en la correspondencia comercial, intercambio de archivos y videollamadas.

Es consecuencia natural que estas herramientas de colaboración se hayan convertido en un objetivo atractivo para los ciberdelicuentes ya que pueden aprender mucho del contenido que se comparte en esas aplicaciones. Es importante mantener también estas aplicaciones actualizadas con los últimos parches de seguridad.

Fuente https://www.kaspersky.es/blog/patching-priorities/29098/

Qué es el spoofing

2023-10-13T18:12:25+02:00agosto 21, 2023|Seguridad|

La técnica de suplantación de identidad conocida como spoofing (falsificar), se utiliza ampliamente para engañar a los destinatarios de un mensaje y hacerse pasar por otra persona o entidad. El correo electrónico es una de las modalidades más comunes para llevar a cabo el spoofing.

Cada día se envían miles de correos electrónicos fraudulentos, muchos de ellos son interceptados por los filtros antispam, pero algunos logran llegar a las bandejas de entrada de los usuarios. Para identificar este tipo de ataques, existen varios elementos en los que podemos enfocarnos, y uno de los más recomendables es verificar el remitente del correo. No obstante, esta medida ya no es suficiente, ya que cada vez es más habitual que el correo del remitente haya sido suplantado mediante técnicas de spoofing.

Cómo funciona

Este tipo de ataques se pueden presentar de las siguientes formas:

  • Correos de contactos conocidos: Aunque recibas correos electrónicos de contactos conocidos en quienes confías, es importante tener precaución. Como ya hemos explicado, los ciberdelincuentes pueden suplantar identidades y enviar correos maliciosos en su nombre. Ante peticiones inusuales o mensajes cuanto menos raros, preguntar directamente a la persona en lugar de responder al email.
  • Correos fraudulentos que se envían en su propio nombre: A veces, los usuarios reciben correos fraudulentos que parecen ser enviados desde su propia dirección de correo. En estos casos, rápidamente el usuario suele darse cuenta de que algo no va bien.
  • Usuarios o empresas cuyas direcciones de correo electrónico son utilizadas en los ataques de spoofing: Se utilizan para engañar a los destinatarios, haciéndoles creer que un correo procede de alguien cuando en realidad no es así. Estas personas o entidades pueden sufrir daños en su reputación, privacidad o seguridad, ya que los mensajes fraudulentos parecen provenir de ellos y pueden involucrar acciones perjudiciales en su nombre.
  • Usuarios destinatarios o receptores de los correos electrónicos fraudulentos: Estas personas o entidades pueden ser engañadas o manipuladas por el atacante, quien suplanta la identidad de otra persona o entidad de confianza, de tal forma que pueden ser inducidas a proporcionar información confidencial, como contraseñas, números de cuenta o datos personales, o incluso pueden ser engañadas para realizar acciones como transferencias de dinero o descargas de archivos maliciosos en sus dispositivos.

    El email spoofing se caracteriza por reemplazar la dirección de correo electrónico original del atacante por el de la víctima, ya sea un usuario, entidad o servicio.

    Este tipo de suplantación es posible debido a que el protocolo de transferencia de correo simple (SMTP), que es el principal protocolo utilizado en el envío de correos electrónicos, no incorpora mecanismos de autenticación. Alguien con conocimientos en informática puede manipular las cabeceras del correo para modificar la información que aparece en el mensaje que recibimos, en este caso, el correo del remitente.

    Como resultado, el atacante puede enviar un mensaje haciéndose pasar por cualquier persona o empresa.

Cómo protegerse

  • Verificar la autenticidad del remitente: Revisar cuidadosamente la dirección de correo electrónico del remitente para detectar cualquier irregularidad o discrepancia en comparación con la información conocida y esperada.
  • Revisar la cabecera del correo, para comprobar de quién procede realmente un correo electrónico.
  • Analizar el contenido del mensaje: Presta atención a cualquier solicitud urgente o inusual que implique la divulgación de información sensible o acciones rápidas y desconfía de los mensajes que generen un sentido de urgencia excesivo.
  • Examinar enlaces y adjuntos: No hagas clic en enlaces sospechosos sin antes verificar su origen y comprobar de que sean seguros.
  • Verificar la autenticidad del sitio web: Si te redirigen a una página web, asegura su legitimidad observando la URL para ver si coincide con el sitio web legítimo y buscando señales de seguridad, como un candado en la barra de direcciones o el uso de “https” en lugar de “http”. Se debe ser extremadamente cuidadoso y visitar cualquier página web directamente desde el navegador, nunca desde el enlace proporcionado.
  • Tener instalado un antivirus, actualizado y con las funciones relacionadas con el email activas.
  • Mantener el software actualizado: Asegúrate de tener actualizados los sistemas operativos y programas de seguridad, ya que las actualizaciones suelen incluir parches y soluciones a vulnerabilidades conocidas.
  • Bloquear usuarios de los que puedas sospechar: Si tras el filtro, el atacante logra que recibamos uno de estos correos, recomendamos incluir en la lista negra al remitente.

Fuente https://www.incibe.es/ciudadania/blog/email-spoofing-cuando-el-correo-parece-haber-sido-enviado-por-mi-o-alguien-conocido

Tres estrategias para mitigar el impacto de un ataque con ransomware

2024-05-09T17:48:43+02:00agosto 17, 2023|Seguridad|

1. Crear manuales de respuesta a incidentes

El primer paso para evitar este tipo de ataques es crear un plan asumiendo que es más una cuestión de cuándo llegará un ataque y no si llegará. Según un informe reciente realizado por Vanson Bourne en nombre de Barracuda,el 73% de las empresas sufrieron al menos un ataque de ransomware en 2022.

Sin un plan de respuesta a incidentes, las empresas suelen entrar en pánico, sin saber a quién llamar o qué hacer, por lo que pagar el rescate parezca la salida más fácil. Con un plan en marcha, la gente sabe qué hacer, después de haber practicado el plan con antelación para asegurarse de que las medidas de recuperación de desastres funcionan como se supone que deben hacerlo.

Un plan de respuesta a incidentes debe incluir funciones y responsabilidades claras, protocolos de comunicación y estrategias de recuperación. Según el informe 2023 sobre ransomware y extorsión de Palo Alto, las víctimas de estos ataques deben prepararse para tres tipos de vulnerabilidades: cifrado de datos y sistemas, robo de datos y (más recientemente) acoso.

El porcentaje de ataques de ransomware que implicaron robo de datos aumentó al 70% a finales de 2022 desde el 40% en 2021, mientras que los incidentes de acoso aumentaron al 20% desde menos del 1%. Por lo tanto, los planes de respuesta a incidentes deben incluir no sólo medidas para recuperarse del cifrado de ransomware y protocolos para hacer frente a las amenazas de datos filtrados, sino también qué hacer en caso de que los empleados o clientes estén siendo acosados.

En general, las empresas que consiguen recuperarse más rápidamente de los ataques de ransomware son las que tenían planes de respuesta a incidentes y los habían practicado con antelación.

2. Implantar una ciberseguridad multicapa

Según una encuesta de IDC realizada en junio, las empresas que no sufrieron filtraciones de ransomware solían utilizar todas o algunas de las cinco tecnologías de seguridad clave:

  • Detección y respuesta de puntos finales (EDR).
  • Pasarelas de seguridad en la Nube o agentes de seguridad de acceso a la Nube (CASB).
  • Sistemas de gestión de eventos e información de seguridad (SIEM).
  • Análisis de identidades o análisis del comportamiento de usuarios y entidades (UEBA).
  • Detección y respuesta de redes (NDR).

Disponer de varias capas de defensa, así como configurar la autenticación multifactor y el cifrado de datos es algo fundamental para la ciberseguridad.

Cuando una organización educativa que había invertido mucho en ciberseguridad, se vio afectada por ransomware, pudieron cambiar las operaciones a una copia de seguridad offline. Entonces, los atacantes aumentaron sus exigencias: si la organización no pagaba el rescate, sus datos se filtrarían online. Es decir, la organización estaba bien preparada para un evento de cifrado, pero no para el segundo rescate. Había datos sensibles reales que desencadenarían una serie de acciones de cumplimiento normativo.

La empresa no quería que se filtraran los datos, pero tampoco confiaba en que los atacantes cumplieran sus promesas. Lo que esta organización decidió hacer es no pagar tampoco el segundo rescate. En su lugar, mientras los atacantes esperaban una respuesta, la organización notificó a las víctimas sobre la brecha. Para cuando los datos se filtraron online, ya habían completado las acciones de notificación.

El ataque puso de manifiesto dos puntos débiles en su estrategia de defensa. En primer lugar, su manual de respuesta a incidentes no contemplaba una segunda extorsión. En segundo lugar, no habían cifrado sus datos confidenciales. Después, volvieron a revisar su estrategia, empezando por su manual de respuesta. «¿Cómo podemos mejorar? ¿Cómo reducimos el riesgo? ¿Cómo podemos hacer las cosas de forma diferente la próxima vez?» Lo que también les llevó a cifrar los datos sensibles.

3. Invertir en copias de seguridad sólidas

Cuando los atacantes de ransomware se afianzan en una organización, tienen dos objetivos principales: llegar a los datos valiosos y neutralizar las copias de seguridad.

Si los atacantes consiguen acceder a las credenciales del dominio, no deberían poder acceder también a las copias de seguridad. Si las copias de seguridad requieren un segundo conjunto de autenticación, estarán mucho más protegidas. Otra estrategia son las copias de seguridad inmutables, que no se pueden sobrescribir ni borrar.

Las empresas que evitan invertir en seguridad multicapa, cifrado fuerte, autenticación multifactor y copias de seguridad sólidas porque piensan que no se verán afectadas por el ransomware (o si lo están, creen que sería más barato pagar el rescate y volver al trabajo) están viviendo en el pasado. Esta estrategia podría haber funcionado en 2013, cuando los ataques de ransomware eran poco frecuentes y los rescates eran ínfimos. Pero hoy no funciona.

Fuente https://cso.computerworld.es/reportajes/estrategias-que-ayudan-a-detener-el-ransomware-antes-de-que-se-convierta-en-una-crisis-corporativa

Dominios engañosos

2023-10-13T18:14:43+02:00agosto 12, 2023|Seguridad|

Al recibir en la dirección de correo electrónico del trabajo un email pidiendo que modifiques la contraseña del mismo, confirmes tu periodo de vacaciones o que realices una urgente transferencia de dinero solicitada por el CEO, tendrías que asegurarte que no se trata de una estafa que utiliza dominios engañosos. ¿Cómo puedes, por tanto, comprobar las direcciones de correo electrónico y los enlaces a las páginas web?

La pieza central de una falsificación es por lo general el nombre del domino: la parte siguiente al @, o el inicio del enlace. Su objetivo es que inspire confianza a la víctima. Claro que a los ciberdelincuentes les encantaría secuestrar un dominio oficial de la empresa objetivo, o de alguno de sus proveedores o socios comerciales, pero en las primeras etapas de un ataque no existe esa opción. En su lugar, antes de atacar, registran un dominio que sea similar al de la organización donde trabaja la víctima esperando que no note la diferencia. Este tipo de ataques se denomina ataques similares.

El siguiente paso es alojar una página web falsa en el dominio o enviar correos electrónicos engañosos desde los buzones asociados a él.

Homoglifos: diferentes letras, misma ortografía

Un truco es usar una letra que visualmente sea muy similar o sea casi indistinguible. Por ejemplos, una “L” minúscula (l) en muchas fuentes es prácticamente idéntica a la letra capital “i” (I), por ello enviado desde el correo electrónico JOHN@MlCROSOFT.COM engañaría incluso a los más avispados.

Esta táctica aumentó una vez que fue posible registrar dominios en diferentes idiomas, incluidos aquellos que no usan el alfabeto latino. La “ο” griega, la “о” rusa, y la “o” latina son totalmente indistinguibles para el ojo humano, pero para una computadora se trata de tres letras distintas. Esto permite registrar un gran número de dominios que son parecidos a microsоft.cοm utilizando diferentes combinaciones de letras “o”. Esta técnica de incluir caracteres visualmente similares es conocida como homógrafos o ataques homográficos.

Combosquatting

Combosquatting se ha hecho muy popular entre los cibercriminales en los últimos años. Para imitar un correo electrónico o una página web de la compañía objetivo, se crea un dominio que combina su nombre con una palabra clave relevante, como Microsoft-login.com o SkypeSupport.com. El asunto del correo electrónico y el final del dominio deben coincidir: por ejemplo, una advertencia de acceso no autorizado a una cuenta de correo electrónico que podría vincular a un sitio con la alerta de Outlook de dominio.

La situación ha empeorado por el hecho de que las compañías realmente tienen dominios con palabras clave. Por ejemplo, login.microsoftonline.com es un ejemplo real y legítimo de la página web de Microsoft.

De acuerdo con Akamai, la combinación de combosquatting más habitual es utilizar combinaciones con alguna de estas palabras: support, com, login, help, secure, www, account, app, verify y service. En el caso de www y com se encuentran a menudo en los nombres de sitios web y es posible que un usuario distraído no detecte el punto que falta:  wwwmicrosoft.com, microsoftcom.au.

Suplantación de dominio de nivel superior

A veces, los cibercriminales logran registrar un doppelganger en un dominio de nivel superior (TLD) diferente, como microsoft.co en vez de microsoft.comoffice.pro en lugar de office.com. En este caso, el nombre de la empresa suplantada puede seguir siendo el mismo. Esta técnica se conoce como TLD Squatting.

Una sustitución como esta puede ser muy efectiva. Recientemente se informó que, durante más de una década, varios contratistas y socios del Departamento de Defensa de Estados Unidos han estado enviando por error correos electrónicos al dominio .ML que pertenece a la República de Malí en lugar de al dominio .MIL del ejército estadounidense. Sólo en 2023, un contratista holandés interceptó más de 117,000 correos electrónicos enviados por error a Malí en lugar de al Departamento de Defensa.

Typosquatting: dominios mal escritos

La manera más simple (y más temprana) de producir dominios doppelganger es explotar varios errores tipográficos que sean fáciles de hacer y difíciles de detectar. Aquí hay varios tipos de variación: añadir o eliminar dobles (ofice.com en vez de office.com), añadir o eliminar signos de puntuación (cloud-flare o c.loudflare en lugar de cloudflare), reemplazar letras con sonido similar (savebank en vez de safebank), etcétera.

Los errores tipográficos fueron por primera vez utilizados como armas por los spammers y estafadores publicitarios, pero hoy en día estos trucos se usan junto a contenido de páginas webs falsas para sentar las bases del phishing y el compromiso de correo electrónico comercial (BEC).

Cómo protegerse

Los homoglifos son los más difíciles de detectar y casi nunca se usan con fines legítimos. Por ello, los desarrolladores de navegadores y algunos registradores de dominio intentan defenderse de tales ataques. En algunas zonas de dominio, por ejemplo, está prohibido registrar nombres con letras de diferentes alfabetos. Pero en otro muchos TLDs no existe tal protección, por lo que debes de confiar en las herramientas de seguridadEs cierto que muchos navegadores tienen una forma especial de mostrar los nombres de dominio que contienen una combinación de diferentes alfabetos. Lo que sucede es que representan el enlace en punycode, por lo que se parece a esto: xn--micrsoft-qbh.xn--cm-fmc (esta es la página web de microsoft.com con dos os rusas).

La mejor manera de defenderse de los typosquatting y combosquatting es prestar atención. Para poder hacerlo recomendamos que todos los empleados reciban formación básica en ciberseguridad para aprender sobre las principales técnicas de phishing.

Desafortunadamente, no hay manera de limitar los ataques similares. Cuando uno de ellos está muy bien ejecutado para dirigirse a una empresa específica, no es suficiente con que el personal esté atento. Por ejemplo, este año se han creado ataques, al clonar la puerta de enlace de la intranet de Reddit, que redirigía a sus empleados a una página web falsa que comprometía la seguridad de la empresa.  Por lo tanto, los equipos de seguridad de la información deben pensar no sólo en la capacidad de sus empleados, sino también en importantes herramientas de protección:

  • Protección especializada de servidores correo de spam y spear phishing. Por ejemplo, Kaspersky Security for Mail Server que detecta correos electrónicos maliciosos usando el machine learning y bases de datos de spam actualizadas en tiempo real. Este sistema es, además, capaz de “detonar” correos electrónicos sospechosos poniéndolos en sandbox o en cuarentena.
  • Protección para todos los dispositivos de los empleados – incluyendo sus teléfonos y equipos de cómputo personales que utilizan para trabajar. Esto aumenta la seguridad en general y es clave para interceptar enlaces y archivos maliciosos que no se envían a través del correo electrónico, pero sí a través de otras vías como las redes sociales.

Fuente https://www.kaspersky.es/blog/lookalike-domains-in-bec/29038/

Empleados deben ser parte de su estrategia en ciberseguridad

2023-10-13T17:30:30+02:00agosto 11, 2023|Seguridad|

A medida que el panorama de las amenazas se vuelve más complejo, contar con un equipo de seguridad capacitado y tecnologías adecuadas es esencial.

Crear y mantener una cultura de seguridad cibernética en toda la organización es otro componente vital para administrar el riesgo organizacional de manera efectiva. La ciberseguridad es trabajo de todos, y cada individuo dentro de la organización es responsable de mantener la seguridad del negocio.

Las investigaciones indican que el elemento humano aún constituye la mayoría de los incidentes y es un factor en el 74% de las brechas de seguridad.

El personal puede ser una de las mejores defensas contra el ciberdelito, pero eso solo es posible si conoce y sabe cómo identificar los métodos que utilizan los atacantes.

Debido a que algunos de los ciberataques más comunes (como esquemas de phishing y ataques de contraseñas) se dirigen directamente a los usuarios, la falta de conocimiento puede llegar a debilitar su postura de ciberseguridad.

Si bien la concientización de los empleados no reemplaza a un equipo de profesionales calificados, una fuerza laboral capacitada puede ser un gran socio para su equipo de seguridad al ser los ojos y los oídos, por así decirlo, en primera línea.

La importancia de la formación continua en ciberseguridad

Todos los empleados deben tener una comprensión fundamental de seguridad cibernética y el panorama de amenazas. Aquellos que reciben capacitación en ciberseguridad demuestran una mayor habilidad para reconocer las amenazas potenciales.

La revisión de los programas existentes de capacitación y concientización sobre ciberseguridad podría ofrecer a la organización nuevas oportunidades para abordar el elemento humano de manera más efectiva. Es imprescindible cubrir los conceptos básicos, como phishing, ransomware, uso de redes sociales e Ingeniería Social, entre otros. La creación de un programa de capacitación de concientización sobre seguridad interna o la búsqueda de la ayuda de proveedores confiables son dos formas comunes de abordar esto.

La tecnología importa, pero las personas son primordiales

Las tecnologías adecuadas, profesionales de seguridad capacitados, procesos claros y bien definidos son componentes esenciales de un programa de gestión de riesgos eficaz. Sin embargo, educar a la fuerza laboral sobre los signos de un posible ataque cibernético y ofrecerles orientación sobre qué hacer si sospechan que son el objetivo de uno, es uno de los pasos más importantes que se puede tomar para proteger a sus organizaciones.

Fuente https://www.forbes.com/sites/forbestechcouncil/2023/07/25/why-employees-are-a-crucial-part-of-your-cybersecurity-strategy/

Ir a Arriba