Ciberataque

Evaluaciones posteriores a WannaCry revelan vulnerabilidades

2018-02-06T12:27:10+01:00febrero 6, 2018|Internet, Seguridad|

Durante el ataque de ransomware WannaCry registrado en mayo de 2017, algunos hospitales en Reino Unido fueron afectados, derivando en la cancelación de por lo menos 7,000 consultas médicas y con ello, la suspensión del tratamiento a pacientes.

WannaCry es un tipo de malware conocido como gusano ransomware, capaz de viajar de máquina a máquina infectando nuevas computadoras en redes corporativas. Después de infectar una nueva máquina, trabaja silenciosamente para infiltrarse dentro del sistema operativo, posteriormente inicia el proceso de cifrado de la información y el reinicio del equipo, con lo cual al usuario se le imposibilitará el acceso hasta que cuente con la clave de cifrado. A las víctimas se les exigió un rescate de USD $300 (£ 214) por dicha llave.

Posteriormente se indicó que una de las causas del ataque fue que los hospitales afectados no habían instalado los parches para el sistema operativo Windows, disponibles con anterioridad al ataque.

En una audiencia parlamentaria, funcionarios del Departamento de Salud (DoH) indican que ninguna de las 200 organizaciones sanitarias inspeccionadas cumple con los estándares nacionales de seguridad establecidos, así lo informa recientemente una publicación en The Guardian. El subdirector general del NHS (Servicio Nacional de Salud) Digital, Rob Shaw, informó que de las 200 evaluaciones, en ninguna se obtuvieron resultados que alcanzaran el nivel establecido.

La Oficina Nacional de Auditoría (NAO) indicó que no fue posible para el DoH establecer un costo por el impacto del ataque, y que probablemente nunca se sabrá la magnitud del daño.

Fuente https://www.theguardian.com/technology/2018/feb/05/every-nhs-trust-tested-for-cyber-security-has-failed-officials-admit

Nissan Canadá víctima de intrusión informática

2018-01-02T11:46:30+01:00enero 2, 2018|Internet, Seguridad|

Nissan Canadá ha confirmado que una intrusión informática en sus sistemas pudo haber causado la filtración de los datos personales de más de un millones de clientes que financiaron la compra de sus automóviles con servicios proveídos por la compañía.

“Nissan Canada Finance acaba de descubrir que fue víctima de una intrusión informática que pudo haber permitido que un agente externo tenga acceso desautorizado a la información personal de algunos de nuestros clientes que financiaron sus vehículos mediante Nissan Finance o INFINITI Financial Services” dijo Nissan Canadá en un comunicado oficial.

La información robada incluye los nombres de los clientes, sus direcciones de domicilio, los fabricantes y modelos de los vehículos que compraron, los Números de Identificación Vehicular (VIN) de sus automóviles nuevos, su capacidad crediticia, el monto del crédito adquirido y las cuotas establecidas para pagarlo. Nissan dice que no hay indicios de que entre los datos robados se encuentre información de contacto como números de teléfono o cuentas de correo electrónico.

Todavía no se ha confirmado la cantidad de usuarios afectados, tampoco si todas las víctimas se encuentran en Canadá o la amenaza afectó a sus clientes en otros países. De todos modos, Nissan se ha puesto en contacto con más de 1.13 millones de clientes que cree que podrían estar en peligro de ataques phishing y amenazas de robo de identidad.

Si esta información llega a caer en manos criminales, se la podría usar para hacer que engaños de estafadores parezcan reales, o los ladrones de identidad podrían usarlos para hacerse pasar por sus víctimas. Para ayudar a sus clientes a lidiar con los posibles problemas que pueden surgir a raíz de esta falla de seguridad, la compañía ha ofrecido 12 meses de servicios de vigilancia del crédito de sus cuentas mediante la empresa TransUnion a todos los clientes de sus servicios de financiamiento.

Mientras tanto, Nissan está investigando el caso con la ayuda de autoridades, reguladores de privacidad y expertos en seguridad. Se espera que con esto la compañía pueda detectar las fallas de seguridad que dieron lugar a este incidente y reevaluar la seguridad de sus sistemas para asegurarse de que no vuelva a ocurrir una situación similar.

“Ofrecemos nuestras más sinceras disculpas a aquellos clientes cuyos datos pudieron haber sido afectados por esta filtración y lamentamos mucho la frustración e incomodidades que esto puede estar causándoles”, dijo Alain Bally, el presidente de Nissan Canadá.

Fuente https://securelist.lat/nissan-canada-confirma-que-un-hacker-tuvo-acceso-a-la-informacion-financiera-de-mas-de-1-millon-de-clientes/85888/

 

Origen de la brecha de seguridad en Equifax

2017-10-04T10:57:43+02:00octubre 4, 2017|Internet, Seguridad|

De acuerdo con información del sitio TechCrunch, altos ejecutivos de Equifax están siendo investigados por la mayor brecha de datos en la historia de Estados Unidos que expuso los números de seguridad social, licencias de conducir y más información sensible de 143 millones de estadounidenses a principios de verano. De acuerdo con el testimonio del ex director ejecutivo Richard Smith, el ataque fue realizado mediante la explotación de una vulnerabilidad en Apache Strust.

Sin embargo, el parche para esa vulnerabilidad había estado disponible meses antes de que fuera expuesta la información. En una transmisión en vivo ante el Subcomité de Comercio Digital y Protección al Consumidor, Smith testificó que la vulnerabilidad de Struts había sido discutida cuando fue revelada por el US-CERT el 8 de marzo. Indicó que en sus inicios con Equifax hace 12 años, en realidad, no contaban con personal para ciberseguridad, que fue en los últimos tres años cuando la compañía realizó una inversión de 250 millones de dólares para ello, y actualmente cuenta con un equipo de 225 personas.

Sin embargo, Smith dio una interesante explicación de cómo la situación se salió de control para este equipo de 225 personas: «Se debió a un error humano, el responsable en la organización de comunicar la aplicación del parche, simplemente no lo hizo».

La idea de que una sola persona no hizo su trabajo y como resultado de ello se originó la mayor brecha de seguridad en EE.UU. es una afirmación sorprendente y muestra la falta primordial de buenas prácticas en seguridad. Según el testimonio escrito de Smith, Equifax envió un correo electrónico interno el 9 de marzo para que se efectuara la actualización de Apache Struts en las siguientes 48 horas. Sin embargo, el sistema no identificó ninguna vulnerabilidad, unos días más tarde, el departamento de TI realizó un análisis pero tampoco reconoció la vulnerabilidad. Aparentemente, la persona responsable debió comunicar que ya había un parche disponible para una vulnerabilidad descubierta.

Los hackers, que rápidamente reconocieron la vulnerabilidad, comenzaron a acceder a la información desde el 13 de marzo y continuaron haciéndolo durante meses.

Smith dimitió como CEO de Equifax la semana pasada, poco después de que el jefe de seguridad y el jefe de información también salieran de la compañía. Nueva York ha emitido una citación respecto a la violación masiva y la ciudad de San Francisco ha abierto una demanda en nombre de los 15 millones de californianos afectados.

En el último mes se dieron a conocer otras brechas de seguridad en grandes empresas como Deloitte y la US Securities and Exchange Commission (SEC).

También puede interesarle:

Deloitte víctima de ciberataque.

Costo de un ciberataque.

 

Deloitte víctima de ciberataque

2017-09-27T10:30:39+02:00septiembre 27, 2017|Seguridad|

En una publicación del periódico británico The Guardian se ha revelado que la empresa Deloitte, ha sido víctima de un ciberataque que comprometió correos electrónicos confidenciales e información de algunos de sus clientes.

Deloitte ofrece servicios de auditoría, consultoría tributaria y asesoría en ciberseguridad a bancos, compañías multinacionales y agencias gubernamentales. La empresa está registrada en Londres y tiene su sede mundial en Nueva York.

Se tiene entendido que Deloitte descubrió el ataque en marzo de este año, pero se cree que los atacantes pudieron tener acceso a sus sistemas desde Octubre o Noviembre de 2016.

El atacante comprometió el servidor de correo electrónico de la empresa a través de una cuenta de administrador con facultades de acceso a todo el sistema. Para acceder a la cuenta sólo habría sido necesario digitar la contraseña; es decir, Deloitte no había activado la autenticación de factor doble para su propio sistema.

Además de los correos electrónicos, se cree que los hackers tuvieron acceso a nombres de usuario, contraseñas, direcciones IP, diagramas sobre rubro comercial de los afectados e incluso información sanitaria. Algunos correos electrónicos incluían archivos adjuntos con información sensible.

Aún no se establece si el ataque fue perpetrado por un agente solitario, rivales de negocios, hackers patrocinados por algún estado o cualquier otro escenario.

Un portavoz de la empresa informó: «En respuesta a un incidente cibernético, Deloitte ha implementado su protocolo de seguridad integral y comenzó una revisión intensiva y exhaustiva incluyendo la movilización de un equipo de expertos en seguridad cibernética y confidencialidad dentro y fuera de Deloitte«.

The Guardian observa que entre los servicios de consultoría ofrecidos por Deloitte figuran recomendaciones sobre cómo las empresas pueden salvaguardar su información en la eventualidad de ataques cibernéticos avanzados.

El correo electrónico de Deloitte habría sido operado en la Nube de Microsoft, Azure, aunque nada hace suponer que los hackers hayan aprovechado eventuales vulnerabilidades en la infraestructura de Azure para perpetrar su ataque.

Deloitte es uno de los cuatro grandes actores globales en servicios de auditoría y contabilidad, junto a Ernst & Young, KPMG, y PricewaterhouseCoopers. El ataque constituye la tercera brecha a gran escala que ocurre este mes, y que afecta a una agencia financiera. Anteriormente, hackers intervinieron los sistemas de Equifax y de US Securities and Exchange Commission (SEC).

Las empresas hoy más que nunca deberían tener presente que debido a la constante evolución en las técnicas utilizadas por los atacantes, cada vez es más difícil mantener segura la información de la organización, sin importar el tamaño de ésta. Al ser el activo más importante, cuando la información se ve comprometida, el incidente se convierte en algo realmente difícil de solucionar. La clave para reducir el impacto es adoptar un enfoque integral en seguridad TI, en lugar de depender solo de la tecnología de detección.

Otro punto importante a considerar, como menciona Leslie Gaines-Ross, jefa de estrategias de reputación en Weber Shandwick:

“Puede tomar décadas a una empresa construir su reputación, pero cuando un ciberataque de este tipo tiene lugar, la reputación simplemente desaparecerá”.

 

También puede interesarle:

Costo de un ciberataque.

El verdadero valor de los datos.

 

Universidad canadiense víctima de phishing

2017-09-06T12:44:32+02:00septiembre 6, 2017|Internet, Seguridad|

De manera reciente se dio a conocer que la Universidad McEwan, en Alberta, Canadá, pagó 11.8 millones de dólares canadienses (USD 9 millones) a delicuentes que suplantaron la identidad de uno de sus proveedores tras ser víctimas de phishing.

Por medio de una serie de correos electrónicos, el personal administrativo fue convencido de que era necesario cambiar la información bancaria de uno de sus proveedores, la universidad se percató que había sido víctima de una estafa.

El equipo administrativo de la universidad había transferido los 11.8 millones a los estafadores, convencidos de que estaban pagando facturas auténticas.

El portavoz de la Universidad McEwan, David Beharry, dijo que se efectuaron tres pagos, que van desde los $22,000 hasta $9.9 millones, realizados entre el 10 y el 19 de Agosto. «La Universidad no cree que exista algún tipo de colusión, realmente creemos que esto es un caso de error humano como resultado de un ataque de phishing«.

Gran parte de los fondos se transfirieron a una cuenta bancaria canadiense, desde la que fueron desviados a dos cuentas de Hong Kong. La universidad coopera actualmente con las autoridades policiales de ambos países para intentar recuperar el dinero.

Después de que el fraude fue descubierto, la universidad llevó a cabo una auditoría para establecer controles y prevenir incidentes similares en el futuro. También se proporciona información al personal, profesores y estudiantes acerca de este tipo de estafas y otros temas relacionados con la seguridad cibernética.

Fue informado al respecto el ministro de educación, Marlin Schmidt, dijo que estar ‘muy decepcionado’ de que la universidad fuera víctima del crimen, agregando que ha instruido a todos los presidentes de las juntas universitarias a revisar sus controles financieros.

«Esto es inaceptable y he pedido al presidente de la junta que me informe detalladamente antes del 15 de septiembre sobre cómo ocurrió esto», dijo Schmidt en un comunicado. Y agregó, «aunque me han dicho que MacEwan ha mejorado los controles financieros internos para evitar que vuelva a suceder, espero que las instituciones de educación superior hagan lo mejor para proteger los recursos públicos contra fraude».

A continuación una de las transmisiones relacionadas:

-También podría inetersarle:

¿Qué es el phishing?

Costo de un ciberataque

2017-08-21T12:43:53+02:00agosto 21, 2017|Internet, Seguridad|

A.P. Moller-Maersk, la mayor compañía de transporte de contenedores en el mundo, informa que a raíz del ciberataque registrado a finales del mes de junio reflejará una pérdida de casi 300 millones de dólares en el tercer trimestre del año. El anuncio se realizó en relación con las ganancias del segundo trimestre.

Respecto al ciberataque la empresa declaró recientemente que «la caída de los sistemas resultaron en la interrupción significativa de la operación durante el período del ataque. Aunque los negocios se vieron significativamente afectados por este ciberataque, no se ha producido ninguna violación o pérdida de datos». Frode Morkedal, director general de Clarksons Platou Securities, expresó en una nota a los clientes que «el informe tendía un poco hacia el lado negativo pero encontramos consuelo en lo positivo del mercado». De acuerdo al informe publicado, el impacto financiero en el segundo trimestre fue limitado, pero en el tercer trimestre es mayor debido a la pérdida temporal de ingresos en julio.

Cabe destacar que debido al uso de la tecnología para sus operaciones, interacciones y comunicaciones diarias, las empresas requieren un mayor enfoque en seguridad TI para proteger las plataformas e infraestructuras utilizadas. Las empresas deben ser conscientes de que el costo de un ciberataque o robo de datos puede ser enorme si se tiene en cuenta el impacto en la reputación.

La clave para reducir el impacto es adoptar un enfoque integral en seguridad TI, en lugar de depender solo de la tecnología de detección. Para reducir riesgos y obtener un retorno real sobre cualquier inversión, ya sea para contratar personal o adquirir software, la formación y la inteligencia constituyen un aspecto crucial.

Le invitamos a ponerse en contacto con nosotros para proveerle más información acerca de los servicios y casos de éxito logrados con nuestros clientes al desarrollar las mejores estrategias de seguridad.

-Puede visitar el siguiente enlace para consultar el mapa de ciberataques a nivel mundial de Fortinet: https://threatmap.fortiguard.com/

 

Robo de 3.5 millones de pesos (ARS) mediante phishing

2017-08-08T13:39:13+02:00agosto 8, 2017|Internet, Seguridad|

Hace algunos meses, en la Provincia de Buenos Aires, Argentina, se registró el robo de 3.5 millones de pesos (ARS), de acuerdo con información del sitio web de La Nación.

Según la publicación, el lunes 21 de noviembre de 2016, Roberto Testa, el tesorero del municipio, acudió al Banco Provincia para solicitar el resumen de movimientos de las cuentas bancarias. Al revisarlo, detectó que algo no estaba bien y decidió consultar con Paolo Salinas, el contador del municipio.

Salinas escuchó a Testa y de inmediato ingresó a las cuentas bancarias desde su computadora. El contador es el único que conoce las claves, y dice haberlas memorizado por seguridad. Por lo general, busca «Banco Provincia BIP» en Google y da clic en el primer resultado, posteriormente ingresa las claves y accede a las cuentas. Sin embargo, recuerda que en esta ocasión se le indicó que había otro usuario utilizando al mismo tiempo la cuenta. Menciona que «en la pantalla veíamos más y más transferencias de proveedores por valores muy grandes, lo veíamos todo en directo».

Después de informar a la Secretaria de Hacienda, acudieron directamente a la sucursal 6406 del banco. Debido a que el gerente estaba de vacaciones, solo les indicaron que debían llamar al 0800.

Hernán Ralinqueo, Intendente de 25 de Mayo, la población en la que esto sucedió, pidió denunciar inmediatamente el hecho en la comisaría. Posteriormente regresaron una y otra vez al banco para insistir con el bloqueo de cuentas.

«Cada segundo que pasaba perdíamos más plata», rememora Paolo Salinas. Casi al mediodía de ese lunes, ya eran 3 millones y medio de pesos menos en las arcas municipales; el 1 por ciento del presupuesto anual de 25 de Mayo se había evaporado en una mañana.

La secuencia del robo al municipio 25 de Mayo se realizó mediante phishing: una forma de engaño informático con la que se logra que un usuario revele información personal. Los ciberdelincuentes crearon un sitio falso similar al de la Banca Internet Provincia, también conocido como BIP por sus iniciales. Era idéntico al verdadero, pero con un detalle en la dirección del sitio, suplantaron la a por la s para hacer más imperceptible el cambio, bancsprovincia.bancsinternet.com.ar.

Para lograr que alguien visitara ese sitio pensando que estaba entrando al Banco Provincia aplicaron una técnica llamada black hat SEO para escalar posiciones en los listados de Google. En este caso, contrataron el servicio publicitario de AdWords; eso fue determinante, ya que lograron hacer que ante una búsqueda en Google de la frase «Banco Provincia BIP» el sitio falso que crearon apareciera como primer resultado. Según las investigaciones, el aviso estuvo activo desde el 17 de noviembre.

Así es como aparecía la réplica en el buscador:

 

sitio web falso

 

Cuando alguien entraba en el sitio falso, se le pedía el nombre de usuario y contraseña para ingresar a las cuentas del banco, las cuales eran enviadas al cibercriminal, después el sitio le redirige al verdadero sitio BIP para no despertar sospechas.

Con esa contraseña, los estafadores pudieron comenzar a hacer las transferencias falsas, porque desde el municipio no se había implementado el doble factor de autenticación que el banco pone a disposición.

Lo mismo ocurrió en otras dos PyME de Rojas, otro municipio del noroeste bonaerense, y otras dos de La Plata, cuyos casos fueron anexados a la investigación luego de que perdieran entre 200 y 300 mil pesos.

Como parte de la investigación, se le pidió a Google que proporcionara la información del perfil detrás de la campaña de promoción. Los enlaces se patrocinaron a través de una campaña de Google AdWords que se pagó con tarjetas de crédito.

Cada vez se hacen más frecuentes este tipo de incidentes, debido en gran medida a que en muchas organizaciones aún no se logran aplicar las medidas de seguridad necesarias. Tanto en entornos corporativos como en los gubernamentales se deben considerar esquemas de seguridad integrales, que junto con la implementación de políticas de seguridad permitan disminuir el riesgo de sufrir algún ciberataque.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de nuestras soluciones, así como los casos de éxito con nuestros clientes.

 

Ransomware, crimen multimillonario

2017-08-07T17:08:44+02:00agosto 7, 2017|Internet, Seguridad|

Una publicación del sitio PCMag revela que el pago del rescate por ataques de ransomware de las variantes más comúnes, genera ‘decenas de millones’ de dólares en ingresos para los criminales.

El ransomware se ha convertido en un negocio ilícito multimillonario, según un estudio realizado por Google, la empresa de seguridad Bitcoin Chainalysis, la Universidad de California en San Diego y la Universidad de Nueva York.

El ecosistema del ransomware está actualmente dominado por unos cuantos, como Locky y Cerber. Locky, el primer ransomware con ganacias mayores al millón de dólares por mes, ha recaudado aproximadamente$ 7.8 millones. Cerber, que introdujo el ascenso del ransomware como servicio, acumula alrededor de 200,000 dólares por mes durante más de un año, 6.9 millones de dólares hasta la fecha.

CryptoLocker, CryptXXX, SamSam, CryptoWall, AlNamrood, TorrentLocker, Spora, CoinVault, y WannaCry también continúan acumulando ganancias.

El estudio también señala que sólo el 37% de los usuarios respaldan sus datos, lo que complica cada vez más el escenario.

El mes pasado, el ciberataque generado por Petya mantuvo luchando por recuperar sus sistemas y sus datos a agencias gubernamentales y empresas privadas en todo el mundo. Dicho ataque se produjo después de que en mayo cientos de miles de equipos fueron atacados por WannaCry.

A finales del año pasado, Malwarebytes analizó cerca de medio millón de incidentes de ransomware para identificar las 10 ciudades estadounidenses más atacadas por el malware. Las Vegas encabeza la lista con el mayor número de detecciones de ransomware en general.

«Los atacantes mejoran constantemente su táctica, la ejecución y el modelo de negocio para evadir la detección. Y ahora, con los millones de dólares que han sido entregados a los ciberdelincuentes, el ransomware sólo aumentará», indicó Adam Kujawa de Malwarebytes. Es por ello que la mayoría de expertos en ciberseguridad recomiendan a las víctimas no realizar el pago del rescate.

Evitar amenazas con VMware NSX

2017-07-18T18:48:35+02:00julio 18, 2017|Internet, Seguridad, Virtualización|

Una publicación reciente en LinkedIn de Octavio Duré, Systems Engeneering Senior Manager VMware South Latam, proporciona información sobre cómo evitar las amenazas de seguridad utilizando VMware NSX.

A continuación, la información incluida en dicha publicación:

Recientes ataques informáticos masivos y simultáneos comprometieron los datos en decenas de miles de computadores de importantes compañías en todo el mundo, aprovechando una vulnerabilidad del sistema operativo Windows. El comportamiento fue similar al de otros ransomware: con una vulnerabilidad en la red o en el sistema operativo, el ataque trata de obtener datos personales o corporativos sensibles. Una vez obtenidos (y eventualmente secuestrados mediante un encriptado, como en el caso de WannaCry), la amenaza trata de propagarse explotando la misma vulnerabilidad en computadores al azar en Internet y lateralmente en la red de área local (LAN) dentro de la empresa. Lo mismo hizo recientemente Petya, atacando además iOS.

Últimamente ha tomado mucha fuerza la estrategia en ambientes de seguridad de “Confianza Cero”. Estos esquemas, si bien no eliminan completamente la amenaza, limitarán el impacto aislando el ataque y conteniéndolo en un pequeño subconjunto de los sistemas. Aquí es donde la microsegmentación que permite implementar VMware NSX se vuelve una herramienta fundamental para limitar el movimiento lateral, manteniendo la infección en un “microperímetro”, el cual es esencialmente una virtual NIC.

Es importante recalcar que este tipo de ransomware no es simplemente otro malware cualquiera, sino que se trata de una herramienta utilizada por un modelo de negocio criminal contra el cual estaremos combatiendo de aquí en más. Como tal, requiere de una estrategia de defensa global corporativa, y no solo la utilización de una u otra herramienta de manera aislada.

Hoy existen componentes open-source que le permiten a cualquier novato crear variantes de un ransomware, también existen mecanismos de pago anónimo como Bitcoin, que hacen difícil el seguimiento de las transacciones hasta los criminales, finalmente, se trata de amenazas polimórficas por naturaleza, por lo que son difícilmente detectables por herramientas de protección basadas en firmas, tales como los antivirus tradicionales.

Ante tales premisas, debemos adoptar medidas coordinadas para combatir este tipo de amenazas, y VMware, como socio estratégico, está en condiciones de aportar la tecnología necesaria:

  • Asegúrese de contar con un sólido Plan de Respaldo y Recuperación ante Desastres. Aproveche herramientas de orquestación para recuperación, tales como VMware Site Recovery Manager (SRM) para definir planes de recuperación ante diferentes escenarios (migración planeada, recuperación ante desastre, evasión de desastre, etc.). Este plan puede involucrar a todas sus aplicaciones y datos o a un subconjunto crítico. La posibilidad de recrear redes en un sitio de contingencia que hoy nos brinda la virtualización de redes, con NSX, baja notablemente los tiempos de recuperación (RPO) si un ataque logra su objetivo.
  • Asimismo, este tipo de herramientas pueden ser utilizadas como parte de su Estrategia de Patching. En estos esquemas, usted puede implementar una agenda de patching muy agresiva, ya que es posible llevar las aplicaciones de producción –mientras se ejecutan- a una red aislada de testeo, y aplicar los patches a estos sistemas asegurándose de que no tengan efectos laterales no deseados, sin afectar los ambientes de producción.
  • Aproveche las ventajas de la microsegmentación con NSX para todas las cargas de trabajo dentro del centro de datos. Esta estrategia consiste en crear un entorno que llamamos de Confianza Cero, en el cual cada computador no solo se protege del mundo exterior, sino además de los computadores que tiene a su alrededor. Las tecnologías tradicionales son insuficientes para implementar esta microsegmentación de manera operativamente viable. Un firewall al lado de cada servidor no parece una solución barata ni fácil de mantener. Sin embargo, con la virtualización de redes, VMware permite esquemas de seguridad antes impensados. Al mover funcionalidad de red al software, incluyendo reglas de seguridad, cada ‘computador’ -en el caso de ambientes virtualizados cada máquina virtual– pasa a contar con su propio firewall (distribuido). Esta protección con reglas de acceso y tráfico acompaña a la máquina virtual durante toda su vida productiva, vaya al servidor físico que vaya, y las reglas desaparecen cuando la máquina es retirada de servicio. De esto modo, cada máquina virtual cuenta con su propia protección, lo cual impide el traslado lateral de amenazas como WannaCry dentro del Centro de Datos.
  • Implemente Monitoreo Avanzado de la Red, con herramientas como vRealize Network Insight, entienda exactamente cuál es su perfil de tráfico completo, incluyendo el tráfico este-oeste de VM a VM, y modele de esta forma sus políticas de seguridad.
  • Para los sistemas con los datos más críticos, considere también capas de Firewalls de Próxima Generación (Next Gen Virtual Firewalling) tales como Palo Alto Networks VM series sobre NSX.
  • Implemente herramientas que aseguren que binarios de fuentes no confiables no puedan ser ejecutados en un sistema.

Como mencionábamos antes, todo esto debe ser parte de una estrategia global; y si bien no existe una única herramienta que pueda ser considerada suficiente como para estar a salvo, estas tecnologías constituyen sin dudas componentes fundamentales a la hora de minimizar el riesgo y reducir la exposición.

Un esquema de Cero Confianza que incluya microsegmentación es la única estrategia, por otro lado, que puede ayudar a las organizaciones a mantenerse proactivas en un ambiente de amenazas crecientes.

Ciberataques a gran escala

2017-07-03T17:02:03+02:00julio 3, 2017|Internet, Seguridad|

En la nueva economía digital las organizaciones dependen de sus datos como un recurso crítico y una fuente esencial de ingresos. A lo largo del último año los delincuentes han incrementado el número y perfil de los ciberataques, como es el caso de Mirai, WannaCry y Petya, lanzados uno detrás del otro.

Ataques como Mirai, lograron secuestrar decenas de miles de dispositivos IoT usando las contraseñas por defecto instaladas por sus fabricantes. Recientemente, el primo menos conocido de Mirai, Hajime, aumentó la apuesta añadiendo funcionalidad multiplataforma, un kit de herramientas con tareas automatizadas, listas de contraseñas actualizables y el uso de umbrales para imitar el comportamiento humano.

WannaCry fue pionera en un nuevo tipo de ransomware, que Fortinet llama ransomworm, cuyo fin es utilizar un exploit de Microsoft creado por la NSA y publicado por un grupo conocido como Shadow Brokers. En lugar del método habitual de seleccionar un objetivo específico, la funcionalidad de gusano de Wannacry le permitió propagarse rápidamente por todo el mundo, atacando miles de dispositivos y organizaciones. En este caso, el daño fue reducido rápidamente debido al kill switch encontrado.

Hace una semana vimos el surgimiento de un nuevo ransomworm llamado ExPetr/PetWrap/Petya. Este nuevo malware utiliza el mismo enfoque basado en WannaCry, incluso explota la misma vulnerabilidad, pero esta vez con una carga útil mucho más potente que puede borrar datos de un sistema y modificar el registro de arranque principal de un dispositivo (MBR), volviendo el dispositivo inutilizable. Este ataque estuvo más centrado en la toma de equipos fuera de línea que en la monetización a través del rescate.

Se cree que los ataques de Wannacry y ExPetr eran simples ensayos de una nueva estrategia oportunista para explotar las vulnerabilidades recién descubiertas mediante ataques masivos globales y cargas útiles que cada vez ocasionan más daño. Esto podría ser sólo la punta del iceberg y potencialmente el comienzo de una nueva ola de ataques en forma de ransomworms.

A continuación, algunas consideraciones para evitar ser víctima de alguno de estos ataques:

1. Parches y reemplazos. WannaCry explotó las vulnerabilidades que Microsoft había solventado un par de meses atrás. Y pese a su impacto en todo el mundo, ExPetr utilizó la vulnerabilidad EXACT SAME un mes después, comprometiendo a miles de organizaciones. De hecho, los ataques cibernéticos más exitosos apuntan a vulnerabilidades que tienen un promedio de cinco años.

La respuesta, por supuesto, es establecer un hábito de instalación de las actualizaciones y parchess. Los dispositivos que son demasiado viejos para las actualizaciones deberán ser reemplazados.

2. Dispositivos en la red. Es necesario invertir el tiempo y la tecnología para identificar cada dispositivo en la red, determinar cuál es su función, qué tráfico pasa, el sistema operativo y las actualizaciones que se están ejecutando, quién y qué dispositivos tienen acceso a él.

3. Estructura de seguridad. Algunos de estos ataques se dirigen a dispositivos IoT que simplemente no pueden ser actualizados. Es por eso que es necesario implementar herramientas de seguridad eficaces que puedan identificar y detener las amenazas más recientes. Las herramientas de Fortinet, por ejemplo, lograron detectar y detener exitosamente todos estos ataques.

Debido a que ahora nuestras redes abarcan una amplia gama de dispositivos, usuarios y aplicaciones desplegadas en múltiples ecosistemas en red, las herramientas aisladas que monitorean el tráfico de un solo punto ya no son adecuadas…

4. ¡Segmente la red!

En Adaptix Networks destacamos la importancia de implementar soluciones de seguridad integrales para disminuir de manera importante el riesgo de sufrir algún ataque. Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto a la implementación de nuestras soluciones Fortinet, así como los casos de éxito con nuestros clientes.

Ir a Arriba