FacebookXLinkedInCorreo electrónicoWhatsAppInstagram

Seguridad

Ransomware, ataque más común en 2021

2022-02-24T17:06:29+01:00febrero 24, 2022|Seguridad|

Este año el informe de IBM Security, X-Force Threat Intelligence Index 2022, indica que el ransomware, los e-mails corporativos comprometidos y el robo de credenciales fueron las principales amenazas para las empresas en Latinoamérica.

Algunos de los principales hallazgos en el reporte:

Manufactura, es la industria más afectada (22%), ya que por primera vez en cinco años superó al sector financiero y de seguros en el número de ataques, ampliando los problemas de la cadena de suministro global. Los ciberdelincuentes encontraron un punto de influencia en el papel crítico que las organizaciones manufactureras juegan en las cadenas de suministro mundiales para presionar a las víctimas a pagar un rescate.

Ransomware, persiste como el principal método de ataque observado en 2021, tanto globalmente como en Latinoamérica. Según el informe de 2022, el promedio de vida de una banda antes de cerrar o cambiar su marca es de 17 meses. REvil fue el tipo de ransomware más común, representando el 50% de los ataques que X-Force remedió.

Ataques de e-mail corporativo comprometido (BEC) contra América Latina es mayor que para cualquier otro lugar en el mundo, con un fuerte incremento del 0% en 2019 a 21% en 2021, fue el segundo ataque más común en la región.

Incremento de vulnerabilidades, destaca el número récord de vulnerabilidades reveladas en 2021. Para las empresas de la región, las vulnerabilidades no corregidas o “parchadas” causaron aproximadamente el 18% de los ataques en 2021, exponiendo la mayor dificultad de las empresas: corregir las vulnerabilidades.

Phishing, fue la causa más común de los ciberataques en el 2021 globalmente, el 47% de los ataques X-Force remedió en América Latina. En las pruebas, la tasa de clics de las campañas de phishing se triplicó cuando se combinó con llamadas telefónicas posteriores a sus víctimas.

Fuente https://diarioti.com/el-ransomware-persistio-como-el-tipo-mas-comun-de-ataque-en-america-latina-en-2021/118993

Más información

Diferencia entre Router y Firewall

2022-02-15T10:43:31+01:00febrero 15, 2022|Internet, Seguridad|

Router

Es un dispositivo de conexión en la red que sirve para encontrar la ruta más corta al entregar los paquetes de datos. Su principal propósito es conectar diferentes redes de manera simultánea.

Al igual que el firewall, funciona en la capa de red, pero también funciona en la capa física y la capa de enlace de datos del modelo OSI. A diferencia del firewall, no incluye cifrado, por lo tanto, no protege la red ante amenazas aunque comparta la conexión a Internet entre las redes y los equipos.

router

Firewall

Es un sistema entre dos redes que implementa una política de control de acceso entre estas. Es decir, todos los paquetes de datos que ingresan o abandonan la red pasarán a través del firewall, y verifica si permite su paso o no. También funciona en la capa de red del modelo OSI, pero a diferencia del router, cifra los datos antes de su transmisión. Un firewall principalmente protegerá la red ante amenazas. Un firewall puede implementarse tanto en hardware como en software.

Diferencias

Firewall Router
Revisa los paquetes entrantes en busca de amenazas. Permite la conexión simultánea de varias redes.
Funciona en capas 3 y 4 del modelo OSI. Funciona en capas 1, 2 y 3 del modelo OSI.
Utiliza el cifrado antes de la transmisión de datos. Sin cifrado de la información.
Un firewall esencialmente no comparte la red. Comparte la conexión a Internet entre las redes.
Filtra el flujo de datos. Dirige el tráfico hacia el objetivo deseado.
Mantiene una tabla de estado que proporciona información sobre el flujo. No mantiene ninguna tabla para la información sobre el estado del flujo.
Generalmente es utilizado en la seguridad perimetral de la red. Se usa para enrutar y finalizar el enlace WAN.

Tanto en los firewalls como en los routers, el tráfico de la red pasa a través de ellos, pero el router puede identificarse como un dispositivo que dirige el tráfico, mientras que un firewall se utiliza principalmente con fines de seguridad o protección.

Sin embargo, actualmente es común para efectos prácticos que un dispositivo realice múltiples funciones.

Por ejemplo, los Next-Generation Firewall (NGFW) mantienen las características de los firewall pero además, poseen capacidades de inspección de contenido más profundas. Estas capacidades permiten identificar ataques de malware y otras amenazas.

En Adaptix Networks recomendamos el uso de equipos FortiGate que integran seguridad, segmentación dinámica y convergencia de red, automatización y capacidades Zero Trust Network Access (ZTNA). También cuentan con unidades de procesamiento de seguridad (SPU) para incrementar la velocidad, la escalabilidad y el rendimiento de la red.

Por lo tanto, se puede simplificar operaciones al sustituir routers por un dispositivo FortiGate con capacidades de red y seguridad.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de nuestras soluciones Fortinet, así como los casos de éxito con nuestros clientes.

Más información

Videovigilancia y su mantenimiento

2022-01-03T08:40:42+01:00enero 3, 2022|Seguridad|

Gran parte de las empresas no cuenta con personal en plantilla para llevar a cabo las labores de mantenimiento a los equipos de videovigilancia, por lo que suelen externalizar el servicio, aunque en muchas ocasiones, solo se recurre a este cuando se presenta algún problema.

De esta manera, el mantenimiento únicamente se convierte en solucionar las incidencias, cuando en realidad, se debe incluir de manera continua y programada la limpieza de equipos, el monitoreo de cámaras y la revisión de los sistemas de grabación para obtener un desempeño óptimo y confiable.

La estrategia tradicional de reparar cuando se produce un fallo no es viable. Para ser productivos y no incurrir en gastos adicionales, se debe planificar. Así, el objetivo principal será que el sistema de videovigilancia opere de manera correcta siempre.

¿De qué nos sirve un sistema de videovigilancia en el que no funcionan todas las cámaras? O como en muchos casos, incluso sin la certeza de que las grabaciones se realizan de manera adecuada.

En Adaptix Networks hemos desarrollado una solución de Video Vigilancia que elimina las cuantiosas inversiones, y reduce radicalmente los gastos de instalación y mantenimiento, mediante un esquema de mensualidades. Consiguiendo, al mismo tiempo,  el óptimo funcionamiento del sistema a través de la planificación y todo a cargo de nosotros.

Le invitamos a ponerse en contacto con nosotros para proveerle más información al respecto, así como los casos de éxito con nuestros clientes.

Más información

Filtro de contenido web

2021-12-07T20:10:53+01:00diciembre 7, 2021|Internet, Seguridad|

Un filtro de contenido web sirve para controlar el acceso a Internet. Puede tratarse de software o de un dispositivo diseñado para determinar el contenido disponible en una computadora o red.

A nivel empresarial el uso de estos filtros permite la protección de los usuarios ante distintos tipos de malware. Así como también, evita el acceso a sitios o servicios en línea que no estén autorizados por políticas internas.

En Adaptix Networks recomendamos el uso de los dispositivos Fortinet, que incluyen filtrado web dentro de su amplia gama de herramientas. El filtro de contenido web de estos dispositivos cuenta con las siguientes características:

  • Bloqueo de tráfico malicioso, mediante actualizaciones en tiempo real que permiten categorizar las URL de acuerdo a su contenido.
  • Detención de amenazas web, debido a que Internet se ha convertido en el medio preferido de hackers y ladrones para el robo de información con la intención de obtener ganancias financieras, es importante la protección ante estos tipos de malware.
  • Inspección de contenido, además del bloqueo de URL mediante listas, estos dispositivos cuentan con una gran cantidad de métodos y funciones que permiten inspeccionar el tráfico web a un nivel granular.
  • Mejor rendimiento, para acelerar el tráfico web durante la inspección de contenido, se tiene compatibilidad con el protocolo de comunicación Web Cache (WCCP) que permite su operación como un motor de router o caché.

Las soluciones con filtro de contenido además de proporcionar a las empresas protección ante amenazas de la web, también de cierta manera protegen la productividad, al impedir el acceso a determinadas categorías de sitios desde la red corporativa.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a los beneficios de implementar estas soluciones en su empresa, así como también, los casos de éxito con nuestros clientes.

Más información

¿Qué es el ransomware?

2021-12-07T12:25:35+01:00diciembre 7, 2021|Internet, Seguridad|

De acuerdo con información publicada por Kaspersky Lab, el ransomware es un mecanismo digital de extorsión, siendo el escenario más común el cifrado de la información del equipo de la víctima. El malware moderno utiliza esquemas de cifrado que, hoy día, parecen ser impenetrables, por lo que las víctimas se enfrentan a la opción de pagar o perder sus archivos para siempre.

Ya que los cibercriminales se han dado cuenta de que las víctimas suelen estar dispuestas a pagar por la liberación de sus valiosos archivos, la frecuencia de ransomware y sus variaciones va en aumento.

Un escenario común: la víctima recibe un email de un “amigo” con un archivo adjunto ejecutable. Disfrazado como un documento inofensivo, abre el archivo, el cual ejecuta una descarga inmediata de malware, y los archivos de la víctima se cifran.

De acuerdo a una entrevista dirigida por el Centro Interdisciplinario de Investigación en Seguridad Cibernética de la Universidad de Kent más del 40% de las víctimas de CryptoLocker aceptaron pagar el rescate. Así mismo, un informe de Dell SecureWorks, muestra que el mismo malware sustrae hasta 30 millones de dólares cada 100 días.

Los métodos criminales se vuelven más sofisticados año tras año. El primer crypto-malware utilizó un algoritmo de clave simétrica, utilizando la misma clave para cifrar y descifrar. Generalmente, con algo de ayuda de los fabricantes anti-malware, la información corrompida podía descifrarse con éxito. Después, los cibercriminales comenzaron a implementar algoritmos de clave pública que utilizan dos claves por separado – la pública para cifrar archivos, y la privada para descifrar. En 2008, los expertos de Kaspersky Lab consiguieron crackear una clave RSA de 660-bits utilizada por el troyano GPCode, pero sus autores actualizaron rápidamente la clave a 1,024 bits, haciéndolo prácticamente imposible de descifrar.

Es imposible descifrar archivos cifrados por un crypto-malware moderno, por lo tanto, una medida de precaución para mantener los datos del usuario seguros es hacer una copia de seguridad; es un buen punto de partida pero podría no ser suficiente, ya que dejan desprotegidos a los archivos que han tenido cambios recientemente. Además, algunas variantes de ransomware incluso logran cifrar cada copia de seguridad que sean capaces de encontrar, incluyendo aquellas localizadas en redes compartidas.

Es por ello que Kaspersky Lab ha desarrollado alternativas para la protección de sus usuarios mediante la herramienta System Watcher, integrada en las soluciones Kaspersky. También se incluye Kaspersky Security Network (KSN) que cuenta con más de 60 millones de voluntarios alrededor del mundo. Este sistema de seguridad basado en la Nube procesa más de 600,000 solicitudes por segundo. De esta manera los usuarios proveen información en tiempo real sobre amenazas detectadas y eliminadas. Estos datos y otras investigaciones se analizan por un grupo de expertos en seguridad, cuyo objetivo es el descubrimiento y análisis de nuevas armas cibernéticas. Todo ello con la finalidad de ofrecer mayor seguridad ante las nuevas amenazas.

De hecho, el año pasado Kaspersky Lab participó en 93 pruebas independientes junto con otras otras compañías del sector, obteniendo los mejores resultados. Kaspersky Lab ha sido mencionado 66 veces dentro del top 3 y ha obtenido el primer lugar 51 veces.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.

Más información

¿Qué es ping?

2021-12-01T09:58:25+01:00diciembre 1, 2021|Internet, Seguridad|

Ping es un comando que se utiliza para diagnosticar el estado de la comunicación del host local con uno o varios equipos remotos de una red IP mediante el envío de paquetes ICMP (Internet Control Message Protocol) de solicitud y respuesta.

Se basa en el concepto del sonar de los submarinos que envían una señal sonora para detectar si hay algún obstáculo; cuando la señal del sonar vuelve, significa que encontró algún cuerpo que ha interferido su trayectoria. Se puede calcular la distancia del obstáculo mediante el tiempo que tarda en retornar la señal, así como también, la posición del objeto contra el que se impactó. El mecanismo del comando ping es similar, ya que permite conocer el estado, velocidad y calidad de una red.

La sintaxis utilizada para el comando ping es la siguiente:

ping ip -parámetro valor -parametro2 valor …

ip es una variable obligatoria, es la dirección IP o DNS del host.

Los parámetros pueden ser los siguientes:

-t: hace ping al host hasta que se detiene.

-a: resuelve la dirección como nombre de host.

-n: número de solicitudes de eco que se van a enviar, el valor predeterminado es 4.

-l: especifica el tamaño del paquete ICMP en bytes, con un máximo de 65527 bytes.

-f: especifica que los paquetes ICMP no deben fragmentarse.

-i: especifica el TTL (tiempo de vida) de los paquetes enviados con un valor estándar en equipos con Windows XP (host), típicamente de 128 y un máximo de 255.

Ejemplos:

ping dominio.com -l 64 -i 250

Hace ping a un nombre de dominio y se incluye el parámetro -l que indica el tamaño del paquete a 64 bytes y -i el tiempo d vida a 250 milisegundos.

ping 192.168.0.1 -i 147 -a

Hace ping a una dirección IP local, definiendo el tiempo de vida a 147 milisegundos y resolviendo como nombre de host.

La siguiente pantalla incluye un ejemplo de la ejecución de ping:

ping_exe

Verificación del funcionamiento de una red

Para verificar que el software asociado al protocolo TCP/IP están funcionando correctamente se hace un ping al Localhost, que es enviado y respondido internamente por el equipo, ping 127.0.0.1

Para verificar el adaptador de red se ejecuta ping a la IP del propio equipo, el comando es enviado a la red y recibido por el mismo equipo.

Para verificar la conexión a un equipo de la red en particular, se hace ping a la dirección IP del equipo en cuestión.

Para verificar la conexión con el dispositivo que suministra el internet, se ejecuta ping a la IP de la puerta de enlace (192.168.1.1 por ejemplo).

Para verificar la conexión a Internet se ejecuta ping a la IP de algún sitio web.

Para verificar que existe conexión a Internet y  que los servidores DNS configurados funcionan correctamente, se ejecuta ping a alguna URL conocida, por ejemplo ping google.com

Más información

Perder un nombre de dominio web

2021-11-10T18:29:47+01:00noviembre 10, 2021|Internet, Seguridad|

Un descuido llevó a la empresa de hospedaje en línea Airbnb a perder un nombre de dominio web.

Sin embargo, este no es el caso de un registrante que olvida renovar el nombre de dominio. En realidad, el asunto involucra a un ladrón que notó un descuido por parte de Airbnb.

Todo comenzó en 2017, cuando Airbnb compró la plataforma Tilt, una startup de pagos móviles que inicialmente se llamaba Crowdtilt. Con la adquisición, la app de hospedaje también se convirtió en propietaria de los dominios web Tilt.comCrowdtilt.com.

En 2021 Airbnb vendió el dominio Crowdtilt.com a un comprador desconocido por más de 17,000 dólares (Crowdtilt era una famosa startup tecnológica por lo tanto el dominio tenía un valor SEO significativo, es decir, su reputación era alta en búsquedas web).

Sin embargo, el comprador anónimo se dio cuenta que Airbnb nunca actualizó la información de registro del otro dominio, Tilt.com tras adquirir la empresa. Al comprar el dominio Crowtilt.com esta persona tuvo acceso a la dirección de correo electrónico ‘tech@crowdtilt.com‘ y otros datos que le permitieron tomar el control de Tilt.com sin necesidad de autorización.

En julio pasado, se inició la venta de Tilt.com a James Booth, un importante inversor de nombres de dominio. Antes de que se difundieran los informes sobre el robo del nombre de dominio de Airbnb, las dos partes realizaron una transacción en Escrow.Domains, un servicio de custodia de terceros. Los servicios de depósito en garantía actúan como intermediario entre el comprador y el vendedor para transacciones importantes, de esta manera el vendedor le envía el nombre de dominio antes de recibir el dinero del comprador. La transacción estaba tan avanzada que el bufete de abogados que administra Escrow.Domains ahora tiene el dominio Tilt.com.

Según el medio de noticias de dominios Domain Name Wire, la empresa ha estado trabajando para devolver el dominio a Airbnb desde julio. Sin embargo, hubo un desacuerdo entre Airbnb y el bufete de abogados sobre los honorarios legales relacionados con el asunto. Por lo que en septiembre, la plataforma presentó una disputa contra el despacho legal en la UDRP, la instancia legal que se ocupa de los casos de ciberocupación en la Corporación de Internet para la Asignación de Nombre y Números (ICANN).

Finalmente, la UDRP declaró no estar capacitada para lidiar con casos de robo, por lo que Airbnb perdió la demanda. Aún se desconoce si Airbnb eventualmente recuperará la propiedad de Tilt.com.

Todo esto podría haberse evitado si tan solo hubiera renovado Crowdtilt.com o se hubiera mantenido actualizada la información de Tilt.com.

Siempre es importante actualizar la información correspondiente a los nombres de dominio, además de prestar atención a las fechas límite de renovación y tener el control de la dirección de correo electrónico relacionada al nombre de dominio.

Fuente https://mashable.com/article/airbnb-tilt-com-domain-name-theft

Más información

Fortinet urge a actualizar

2021-09-09T12:34:49+02:00septiembre 9, 2021|Seguridad|

Fortinet se ha percatado que un actor malintencionado recientemente reveló información de acceso SSL-VPN en 87,000 dispositivos FortiGate. Estas credenciales se obtuvieron de sistemas que permanecían sin parchear contra  FG-IR-18-384  /  CVE-2018-13379 . Aunque posteriormente hayan sido parcheados, si las contraseñas no se restablecieron, siguen siendo vulnerables.

Este incidente está relacionado con una antigua vulnerabilidad resuelta en mayo de 2019. En ese momento, Fortinet emitió un  aviso de PSIRT  y publicó en sus blogs corporativos los detalles del problema, alentando encarecidamente a los clientes a actualizar los dispositivos afectados:

«Fortinet reitera que si su organización mantenía alguna de las versiones afectadas, después de actualizar dichos dispositivos, también se debe realizar el restablecimiento de contraseñas, esto de acuerdo con el boletín de atención al  cliente. De lo contrario, continuarán siendo vulnerables.

Fortinet recomienda tomar inmediatamente los siguientes pasos para asegurarse de que no se abuse de sus credenciales:

  1. Desactive todas las VPN (SSL-VPN o IPSEC) hasta que se hayan realizado los siguientes pasos para la corrección.
  2. Actualice inmediatamente los dispositivos afectados a la última versión disponible.
  3. Trate todas las credenciales como potencialmente comprometidas al realizar un restablecimiento de contraseña en toda la organización.
  4. Implemente la autenticación multifactor, que ayudará a mitigar el abuso de cualquier credencial comprometida, tanto ahora como en el futuro.
  5. Notifique a los usuarios para que expliquen el motivo del restablecimiento de la contraseña y supervise servicios como  HIBP  para su dominio. Si las contraseñas se han reutilizado para otras cuentas, existe la posibilidad de que se puedan utilizar en ataques de relleno de credenciales .

Actualización recomendada:

Actualice a FortiOS 5.4.13, 5.6.14, 6.0.11 o 6.2.8 y superior.

Más información

Presupuesto para TI

2021-08-23T12:47:53+02:00agosto 23, 2021|Internet, Seguridad, Servicios Cloud, Voz sobre IP|

De acuerdo con una publicación reciente del sitio Pymes y Autónomos, uno de los mayores inconvenientes que tienen los empleados para ser más productivos son las herramientas de trabajo que los limitan. No ocurre con todos, pero en ciertos casos ellos van por delante de sus herramientas. Esto es algo habitual con los equipos de cómputo, sobre todo conforme pasa el tiempo desde que se compraron.

Y no solo se trata de computadoras, sino también elementos de red como switches, puntos de acceso inalámbricos, VPN para trabajar en remoto, pantallas más grandes o software, entre otros. Lo cual se debería incluir como cualquier otra partida en el presupuesto para el correcto funcionamiento de la empresa.

Esto por no hablar de servidores ya sea en local o servicios en la Nube que cada día más estamos acostumbrados a pagar por uso, de manera que mensualmente se paga por la aplicación de facturación o el correo electrónico. Y se paga según la cantidad de usuarios que los utilizan o el espacio que consumimos.

La cuestión es que habilitar un puesto de trabajo supone un costo, algo que muchas empresas no tienen controlado. No se trata de tomar el equipo que lleva un año parado, el más viejo, una pantalla que apenas se ve y utilizarlos para un nuevo empleado. Si queremos que este trabajador rinda y sea productivo, necesitará herramientas eficientes.

Y según va pasando el tiempo los equipos se tienen que ir renovando. Y lo tenemos que hacer periódicamente si no queremos ver como todo nuestro parque informático se ha quedado obsoleto. Una computadora puede tener un periodo de amortización en la empresa de cinco años. Lo que dure más allá de este tiempo en buen estado, lo podemos dar por bueno.

Lógicamente no todos los empleados tienen la misma productividad ni van a necesitar la misma potencia de cómputo. En estos casos lo que se suele hacer es equipar con los equipos más rápidos y modernos a los empleados que nos generan mayor valor añadido, mientras que los equipos que retiramos los podemos pasar a otros que no necesitan tanta velocidad.

Y luego están los programas que tenemos instalados, que se compraron hace años y queremos que sigan siendo igual de eficaces.

Es un problema no solo de productividad, sino también de seguridad, ya que en la mayoría de los casos no tienen soporte y hoy en día son un riesgo para la seguridad de la empresa y los datos que manejan. Y no los cambian porque no puedan, sino porque en muchos casos no quieren invertir en renovarlo.

Por todo esto es necesario contemplar una partida en el presupuesto anual destinada a la informática de la empresa. Porque de otra manera no encontramos el momento de renovar los equipos y si no elegimos nosotros, luego fallarán en el peor momento, generalmente cuando tenemos más trabajo.

No dejan de ser una herramienta más de la empresa, pero no se por qué en muchas organizaciones se resisten a mimar este apartado. Cambian y renuevan antes los teléfonos móviles que los portátiles o equipos de sobremesa.

Y luego vienen las sorpresas, nos toca correr, recuperar datos si se ha dañado un equipo, tirar del comodín de la copia de seguridad, si es que tenemos y en definitiva, perder el control y los tiempos en los que queremos ejecutar determinadas tareas.

https://www.pymesyautonomos.com/tecnologia/que-tu-empresa-deberia-tener-partida-presupuesto-anual-para-informatica-gastarlo-siempre

Más información

Vulnerabilidades MS Exchange Server

2021-05-11T10:37:19+02:00mayo 11, 2021|Seguridad|

Microsoft lanzó parches fuera de banda para varias vulnerabilidades de Exchange Server. Cuatro de estas vulnerabilidades se están usando en ataques dirigidos, por lo que sería prudente instalar los parches lo antes posible.

Las cuatro vulnerabilidades más peligrosas permiten que los atacantes pongan en marcha un ataque de tres etapas. Primero, acceden a un servidor de Exchange, después crean un shell web para acceso remoto al servidor, y por último, utilizan ese acceso para robar los datos de la red de la víctima. Las vulnerabilidades son:

  • CVE-2021-26855: puede usarse para un ataque de falsificación de solicitud del lado del servidor, lo que genera un código de ejecución remoto;
  • CVE-2021-26857: puede utilizarse para ejecutar códigos arbitrarios de parte del sistema (aunque requiere permisos de administrador o haber explotado la vulnerabilidad anterior);
  • CVE-2021-26858 y CVE-2021-27065: el atacante puede utilizarlas para sobrescribir los archivos en el servidor.

Los cibercriminales utilizan las cuatro vulnerabilidades en conjunto; sin embargo, de acuerdo con Microsoft, en lugar de un ataque inicial, a veces utilizan credenciales robadas y se autentican a sí mismos en el servidor sin utilizar la vulnerabilidad CVE-2021-26855.

Además, el mismo parche arregla otras vulnerabilidades menores en Exchange que no están (hasta donde se sabe) relacionadas directamente con los ataques dirigidos activos.

Estas vulnerabilidades no afecta la versión de la nube de Exchange; solo son una amenaza para los servidores instalados dentro de la infraestructura. De manera inicial Microsoft lanzó actualizaciones para Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 y Microsoft Exchange Server 2019, y una actualización de “Defense in Depth” adicional para Microsoft Exchange Server 2010. Sin embargo, debido a la gravedad de la situación, también agregaron después soluciones para servidores de Exchange obsoletos.

De acuerdo con investigadores de Microsoft, fueron los atacantes del grupo Hafnium quienes aprovecharon la vulnerabilidades para robar información confidencial. Sus objetivos incluyen empresas industriales, investigadores de enfermedades infecciosas, bufetes de abogados, organizaciones sin fines de lucro y analistas políticos de los Estados Unidos. Se desconoce el número exacto de víctimas, pero de acuerdo con las fuentes de KrebsOnSecurity, al menos 30,000 organizaciones en los Estados Unidos, incluidas pequeñas empresas, administraciones locales, y gobiernos locales, fueron atacadas mediante estas vulnerabilidades. Sin embargo, no solo las organizaciones estadounidenses están en peligro: los cibercriminales de todo el mundo están usando estás vulnerabilidades.

¿Cómo mantenerse a salvo de los ataques?

  • En primer lugar, se debe aplicar los parches a la instalación de Microsoft Exchange Server. Si la empresa no puede instalar actualizaciones, Microsoft recomienda múltiples soluciones.
  • De acuerdo con Microsoft, negar el acceso no confiable al servidor de Exchange en el puerto 443, o, en general, limitar las conexiones desde fuera de la red corporativa puede detener la fase inicial del ataque. Pero esto no será útil si los atacantes ya están dentro de la infraestructura, o si logran que un usuario con permisos de administrador ejecute un archivo malicioso.
  • Una solución de tipo Endpoint Detection and Response (si se cuenta con expertos internos) o especialistas en el servicio de Detección administrada y respuesta pueden detectar este comportamiento malicioso.
  • Siempre recuerda que todas las computadoras conectadas al Internet, por medio de un servidor o estación de trabajo, necesitan de una solución de seguridad de endpoints confiable para evitar exploits y detectar de manera proactiva el comportamiento malicioso.

Fuente https://latam.kaspersky.com/blog/exchange-vulnerabilities/21250/

Más información
Aceptamos
Oficina

Av. Jean Claude Combaldieu s/n
Distrito Digital, Edificio 1 Oficina S102
Alicante 03008
España

email

info@adaptixnetworks.es

Teléfono

+34 911 868 030

Servicios
Información
Suscríbete a nuestro Newsletter

© Copyright 2024 | Adaptix Networks, S.L.

Ir a Arriba