Tag seguridad de la información

El equipo de investigación de ESET analizó una campaña de espionaje que utiliza el malware AsyncRAT que apunta a organismos gubernamentales y empresas de diversas industrias de Colombia.

El equipo del Laboratorio de Investigación de ESET Latinoamérica analizó una campaña de espionaje que se registró en diciembre de 2022 apuntando a blancos de alto perfil de Colombia. Los actores maliciosos detrás de esta campaña, a la cual hemos denominado Operación Absoluta, lanzaron sus ataques a entidades gubernamentales y compañías privadas de industrias como la construcción, entre muchas otras.

El objetivo era descargar en los sistemas de las víctimas AsyncRAT, un Troyano de Acceso Remoto (RAT, por sus siglas en inglés) que tal como lo indica su nombre permite a los atacantes realizar remotamente diversas acciones maliciosas en el equipo comprometido. Por ejemplo, acceder a archivos y carpetas, realizar capturas de pantalla, registrar pulsaciones de teclado para robar credenciales o incluso descargar en el equipo malware adicional.

El proceso de infección comenzaba con un correo electrónico que incluía un documento de Microsoft Office. El mismo contiene un enlace que libera un código malicioso que finalmente descarga AsyncRAT en el equipo de la víctima. Estos correos utilizan como señuelo para engañar a las víctimas temas como demandas o procesos judiciales. Además, como parte de la ingeniería social, hemos visto casos en los que utilizan datos personales de personas reales para hacer más creíble el correo.

Esta campaña está compuesta por tres etapas con diferentes características cada una y se descubrió por un correo de phishing que distribuía una amenaza que afecta a sistemas operativos de Windows. La misma es detectada por las soluciones de seguridad de ESET como BAT/Agent.PRS y su actividad llamó nuestra atención.

Una cualidad que caracteriza a Operación Absoluta y por la cual hemos decidido llamar así a esta campaña es la técnica de ofuscamiento que emplea, ya que utiliza diversas operaciones matemáticas, como el cálculo de valor absoluto. Es posible que esta característica haya sido utilizada para evadir alguna solución de seguridad o hacer más difícil la tarea de análisis.

En el siguiente diagrama se puede ver cómo es el proceso de infección de esta campaña, partiendo desde la recepción de un correo electrónico que contiene adjunto un documento Word, el cual contiene un enlace que descarga un archivo desde Google Drive, hasta llegar a los últimos códigos maliciosos encargados de infectar y ejecutar en la máquina de la víctima el payload final: AsyncRAT.

Imagen 1 – Diagrama de infección

Vale la pena mencionar que Operación Absoluta es un nuevo ejemplo de cómo los cibercriminales están llevando adelante campañas de espionaje apuntando a blancos de alto perfil en América Latina utilizando malware disponible para su compra o descarga gratuita en repositorios públicos, foros y grupos de cibercrimen.

En 2021 analizamos una campaña denominada Bandidos en la cual los actores maliciosos utilizaron el RAT Bandook, disponible en mercados de la dark web, para llevar adelante ataques apuntando a redes corporativas de empresas de distintas industrias en Venezuela. Ese mismo año publicamos detalles sobre Operación Spalax, una campaña dirigida a instituciones gubernamentales y compañías de Colombia, principalmente de industrias como la energética y la metalúrgica, utilizando los troyanos de acceso remoto Remcos, njRAT y AsyncRAT. En 2022 analizamos otras dos campañas de espionaje en las que se utilizaron códigos maliciosos conocidos y disponibles públicamente. Una de ellas fue Operación Discordia, la cual apunto a empresas de distintas industrias, organizaciones sin fines de lucro y organismos gubernamentales de Colombia utilizando njRAT, y otra fue Operación Pulpo Rojo, una campaña que se concentró en Ecuador y apunto a empresas y organismos gubernamentales utilizando el popular malware Remcos.

Si bien Operación Absoluta presenta similitudes con todas estas campañas en cuanto a la modalidad general de envío de malspam y el uso de commodity malware, como es AsyncRAT, no podemos atribuir este ataque al mismo grupo de amenazas que desplegó alguna de las anteriores campañas.

Como podemos ver, más allá de la sofisticación que puedan tener algunas campañas que llevan adelante grupos de APT a nivel global, la creciente cantidad de campañas con fines de espionaje dirigidas a blancos específicos en América Latina muestra que este modus operandi parece resultar efectivo a los grupos que las operan y que las empresas y organismos de gobierno de la región deben estar atentas.

Actividades Maliciosas 

Esta campaña posee diferentes etapas que incluyen correos de spearphishing, el uso de droppers y de un troyano. Por un lado, su primer objetivo es engañar a las víctimas para que hagan clic en un enlace que está dentro de un documento de Microsoft Word incluido como adjunto en los correos electrónicos enviados. A través de ese enlace, las víctimas descargan y ejecutan un archivo Batch malicioso encargado de ejecutar una serie de comandos en la consola del sistema (cmd). Estos comandos descifran otros módulos que realizan distintas actividades maliciosas con el objetivo final de infectar a la víctima con un troyano que posee diferentes capacidades para robar información sensible. Estas capacidades incluyen el registro de las pulsaciones de teclado, realizar capturas de pantalla, entre muchas otras que más adelante en esta misma publicación detallaremos. Luego, esa información es recolectada y enviada hacia un servidor controlado por los atacantes.

Etapa 1: Acceso inicial

Esta etapa tiene la finalidad de descargar y ejecutar un archivo Batch. Esto lo hace a través de un enlace incluido en los documentos enviados como adjunto en los correos. Este enlace conduce a la descarga de un archivo comprimido alojado en Google Drive que está protegido con contraseña. La misma es 1234 y está información está incluida en el mismo correo.

Si bien a partir de algunos correos analizados identificamos el servicio de Google Drive para alojar el primer componente malicioso, por las características de este tipo de campaña y dado que se identificaron diferentes nombres de archivos, es factible que se hayan utilizado otros servicios de alojamientos de archivos en la nube.

En las siguientes imágenes se pueden ver ejemplos de los correos electrónicos enviados que obtuvimos durante el análisis de esta campaña:

Imagen 2 – Ejemplo de phishing utilizado en la campaña.

Imagen 3 – Ejemplo de un archivo de Microsoft Office utilizado en esta campaña en la que se utiliza información legítima de una firma de abogados en Colombia.

Como se observa en la Imagen 2 y 3, los cibercriminales utilizan como excusa correos relacionados con demandas o procesos judiciales para provocar preocupación y que las potenciales víctimas los abran. La información en el correo utiliza datos de profesionales reales a los que se suplanta su identidad. De hecho, algunas firmas de abogados en Colombia han alertado sobre estos correos.

En la Imagen 3 podemos observar que el asunto del correo era “Departamento-Asuntos-Jurídicos Envío Notificación por Demanda”.

Además, podemos apreciar la URL para descargar un supuesto documento alojado en Google Drive que en realidad conducen a la descarga de un archivo comprimido con la extensión .rar. Al buscar en la telemetría de ESET obtuvimos distintos nombres para estos archivos comprimidos, los cuales están protegidos con contraseña. La misma es un valor numérico de cuatro dígitos (1234). Esto nos indica que los cibercriminales podrían estar utilizando otros servicios de alojamiento de archivos.

A continuación se listan ejemplos de los nombres que poseen los códigos maliciosos que se encuentran dentro de los archivos comprimidos:

• CamScanner-165962620.rar
• TRANSACTION_A_CUENTA_BANCARIA.rar

Como se puede apreciar en la Imagen 4, es evidente que hay algo sospechoso, ya que el archivo comprimido contiene un archivo con la extensión .bat. Esto significa que el archivo no es un documento de texto, sino que es un archivo de procesamiento por lotes (Batch), el cual es utilizado para la ejecución de instrucciones MS-DOS. A continuación podemos observar el código que contiene el archivo .bat.

Imagen 5 – Ejemplo del código malicioso ofuscado dentro de un archivo .bat.

Al desofuscar el código se puede visualizar la verdadera funcionalidad del mismo, en la siguiente captura de pantalla se puede ver el código malicioso des ofuscado dentro del archivo .bat:

Imagen 6 – Ejemplo de un código malicioso en Visual Basic desofuscado que contiene el archivo batch.

Una vez que la víctima ejecuta el componente malicioso se invoca al intérprete de PowerShell para ejecutar un código malicioso que está cifrado con el algoritmo criptográfico AES-256, el cual utilizará los siguientes datos para descifrarlo:

• Key:8CC76B80164589497DF038B47A72848E6A50D11B11F038C4DCFB9988CDD5DBD6
• IV:E71E24FA7578D7F796434250BAF15FB1

Una vez que se descifran los códigos maliciosos, los mismos van a ser ejecutados en memoria.

A continuación detallamos el comportamiento de estos códigos maliciosos.

Etapa 2: Ejecución en memoria

En esta etapa se procede a ejecutar dos ejecutables maliciosos desarrollados en .NET. Cada uno tiene un objetivo distinto. Uno de ellos (RTDONT) es utilizado para evadir mecanismos de seguridad, mientras que el otro (JLAIVE) es utilizado para ejecutar el payload final en memoria y generar persistencia.

RTDONT

Este ejecutable desarrollado con el framework Microsoft .NET. tiene como finalidad, evadir las medidas de seguridad del sistema operativo. En principio, se encuentra totalmente ofuscado, particularmente en la secciones en donde se invocan a las diversas API de Windows. A continuación se visualiza la función principal utilizada para desofuscar las llamadas a las API de Windows:

Imagen 7 – Método para desofuscar las llamadas de las API de Windows empleado por RTDONT

Una vez que cada una de estas llamadas es desofuscada se puede visualizar la verdadera funcionalidad de este componente. Cabe destacar que para poder evadir estas medidas de seguridad utilizará tres técnicas conocidas dentro del ámbito de la Seguridad Ofensiva, como son:

• Process Unhooking: consiste en cargar una copia de la biblioteca dinámica de dll para luego poder modificar su contenido y así evadir las medidas de seguridad empleadas por el sistema operativo.

NOTA: Para tener una información más detallada sobre este proceso recomendamos leer la sección Técnica de Process Unhooking

• Modificación de AmsiScanBuffer: A través del método AmsiScanBuffer que se encuentra en la DLL amsi.dll, el atacante modifica el resultado de Antimalware Scan Interface (AMSI) para que siempre devuelva el valor AMSI_RESULT_CLEAN.

Ilustración 8 – Técnica de evasión AmsiScanBuffer empleado por RTDONT.dll

• Modificación de EtwEventWrite: A través del método EtwEventWrite (ETW – Event Tracing for Windows) que se encuentra en la DLL ntdll.dll se suspende para que no realice ninguna acción de rastreo o registro de eventos de aplicaciones.

Ilustración 9 – Técnica de evasión empleada por EtwEventWrite en RTDONT.dll

De esta forma, los cibercriminales logran evadir las medidas de seguridad de Microsoft Windows para evitar la ejecución de código malicioso desarrollado en PowerShell. Incluso podrían llegar a evadir alguna solución de seguridad EDR que utilice los eventos que son escritos por medio de la función EtwEventWrite.

JLAIVE

Este ejecutable desarrollado con el framework Microsoft .NET actua comodropper, pero no solo va a permitir ejecutar el payload final, sino que tambien añade funcionalidad de persistencia para asegurarse la ejecución del mismo.

Al igual que RTDONT, el código se encuentra totalmente ofuscado con operaciones matemáticas de la biblioteca de Math de C# como Abs, MinValue y MaxValue.

Imagen 10 – Método de ofuscación empleado por JLAIVE.exe

En su mayoría, las diversas API de Windows que son invocadas por JLAIVE se encuentran ofuscadas por el método anteriormente descripto.

AL desofuscar el código malicioso pudimos observar la siguiente lógica:

• En principio se verifica si el código malicioso está siendo ejecutado. En tal caso se invocará el método Mutex();. Este tipo de objeto se utiliza para controlar el acceso a un recurso compartido y en este caso se asegura que el malware corra una sola vez en la maquina infectada. En caso de que esto no sea así, finaliza el proceso.
• Al ingresar a la carpeta recursos podemos observar que dentro del ejecutable se encuentra un nuevo archivo denominado “JLAIVE_P”. Esto nos indica que se podría tratar del payload final.

Ilustración 11 – Recurso de JLAIVE_P dentro de JLAIVE.EXE

• Al ejecutarse por primera vez se invocará al método smethod_1. El objetivo es crear persistencia dentro de la máquina de la víctima generando un archivo desarrollado en Visual Basic.

Imagen 12 – Persistencia a través de HlarxQbqxv.bat

• Para poder generar persistencia llamará al método smethod_6. El objetivo en este caso será evaluar a través del valor de (SID) qué tipo de usuario es la víctima.

Imagen 13 – Evaluación de JLAIVE del tipo de usuario en el sistema operativo para generar persistencia.

• En caso de que el método se encuentre con el valor de 544, que corresponde al perfil de  “Administrador”, la pieza de código malicioso generará persistencia a través de una instancia del intérprete de comandos cmd.
• Caso contrario se creará un registro de Windows (HKCU) en  “SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN“, con el nombre de RuntimeBroker_HlarxQbqxv con los comandos generados en el archivo anterior:

Ilustración 14 – Clave de registro HKCU para generar persistencia

• Luego de generar persistencia el código malicioso original se eliminará y se copiará bajo el nombre de HlarxQbqxv.bat en modo oculto dentro de la carpeta de C:\Users\[USER]\AppData\Roaming. Tal como se observa en la siguiente imagen:

Imagen 15 – JLAIVE copia el archivo HlarxQbqxv.bat en C:\Users\[USER]\AppData\Roaming para generar persistencia.

• Luego de asegurarse la persistencia, el siguiente paso es la ejecución del payload final en memoria a través de diversos métodos. Para ello primero se obtendrá el recurso “JLAIVE_P” y se realizará una operación de XOR con el string “JLAIVE_PXEBpSxpMzZOqKtVUHdhAJevJVpJbtUU”. Luego con el resultado se descomprimirá el payload y se copiará en memoria.

Imagen 16 – Ejecución de JLAIVE.dll en memoria.

A continuación compartimos una descripción del payload final: AsyncRAT.

Etapa 3: AsyncRAT

AsyncRAT es una herramienta de acceso remoto (RAT, por sus siglas en inglés) desarrollada con el framework Microsoft .NET. Si bien es una herramienta de código abierto y legítima disponible en Git-Hub, lamentablemente como sucede con muchas otras herramientas, es aprovechada para fines delictivos, como tener acceso y control total de los equipos de las víctimas.

Cuando AsyncRAT es utilizado con fines maliciosos suele distribuirse a través de malspam. Una vez instalado en el sistema, AsyncRAT se ejecuta en segundo plano y se conecta a un servidor remoto para recibir instrucciones y permitir el acceso remoto a la máquina infectada.

Algunas de las características y capacidades de AsyncRAT incluyen:

• Control remoto completo del sistema infectado.
• Capacidad para ejecutar comandos y acceder a archivos y carpetas en el sistema.
• Capacidad para capturar y transmitir imágenes de la pantalla.
• Capacidad para registrar las pulsaciones del teclado.
• Capacidad para descargar y ejecutar archivos adicionales.

Por otro lado, la muestra de AsyncRAT detectada en esta campaña, guarda su configuración en una sección de sus recursos, llamada “SETTINGS”, que está cifrada con el algoritmo de cifrado AES-256 y utiliza la siguiente clave “craNOQFKkuDJdqNUaezYtAIn1MfHb9Mo”.

Imagen 17 – Configuración de AsyncRAT cifrada en AES-256

Nota: Los atacantes con la primera dll (JLAIVE.dll) buscan generar persistencia e inyectar en memoria el payload final.

Al comparar una versión de AsyncRAT disponibles para su descarga gratuita con la versión utilizada en esta campaña podemos apreciar la similitud de ambos códigos, lo que nos permite afirmar que los atacantes utilizaron este mismo código para desplegar la amenaza, tal como se observa en la imagen siguiente:

Imagen 18 – A la izquierda el código malicioso utilizado en la campaña. A la derecha el código encontrado en un repositorio de códigos en internet.

Conclusión

Operación Absoluta es una nueva campaña de espionaje apuntando al sector privado y organismos gubernamentales de Colombia que busca desplegar el troyano AsyncRAT para robar información de las víctimas. Esta malware puede ser peligroso, ya que permite a los atacantes tomar control de un sistema infectado y utilizarlo para exfiltrar información o incluso instalar en los equipos comprometidos algún otro tipo de código malicioso. Desde el Laboratorio de Investigación de ESET Latinoamérica hemos reportado varias campañas en los dos últimos años que utilizan este tipo de commodity malware para realizar operaciones de espionaje, como fueron las campañas Bandidos y Operación Spalax en 2021 apuntando a blancos de alto perfil de Venezuela y Colombia respectivamente, y luego en 2022 Operación Discordia y Operación Pulpo Rojo, la primera contra empresas y organismos gubernamentales de Colombia y la segunda contra el sector privado y organismos públicos de Ecuador.

Mas allá de que Operación Absoluta es una campaña de espionaje orientada a Colombia, son cada vez los grupos cibercriminales que utilizan este tipo de modus operandi para infectar a los usuarios. El hecho de que se utilice código malicioso de código abierto para infectar a los usuarios no hace menos relevante a esta campaña, sino todo lo contrario, ya que esto nos asegura que cada vez son más las probabilidades de que las empresas tanto públicas como privadas dentro de América Latina sean afectadas y vulneradas.

Indicadores de compromiso

Registros

A continuación, se listan posibles registros que pueden ser manipulados por los códigos maliciosos utilizados en esta campaña:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • Value Name: RuntimeBroker_HlarxQbqxv
  • Value Data: wscript.exe “C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs”

Persistencia                                                                                             

A continuación, se listan las rutas donde pueden persistir algunos archivos utilizados en esta campaña:

• C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.bat
• C:\Users\[USER]\AppData\Roaming\HlarxQbqxv.vbs

Hashes, sitios web y C&C

Hashes de muestras analizadas:

• CamScanner-165962620.rar: 1AC5F6001107C90610171E66894BB93EE575656D
• Transaccion bancaria.bat: 64EFA2CE952F1616F185DAA26FF84C6D99CF50C1 — BAT/Agent.PRS
• Jlaive.exe: 3069F1D30DFE6A3F5EB06CBEE8FB7CD14CC32504 — MSIL/Kryptik.AHCQ
• RTDONT.exe: CD65222614DCBC8D22072C5B68C4E6B1939DF8E2 — MSIL/Kryptik.AHCR
• Cliente1.exe: 1E6B3B48D7FC0594CE163254C0DE4C0F8449BB4A — MSIL/Agent.CFQ

URLs obtenidas en las muestras analizadas:

• https[:]//docs[.]google[.]com/uc?export=download&id=1eFOJXaElHnr4F1620Mbihj9u-RrJ43JV

Dominios e IP detectados en las muestras analizadas:

• bmxfghsh[.]duckdns[.]org:8026
• 177[.]255[.]91[.]167

Técnica de Process Unhooking

Tal como se desarrolló al inicio, el cibercriminal desarrollo una librería en .NET con el objetivo de evadir la seguridad del sistema operativo; una de las técnicas empleadas se denomina Process Unhooking (del inglés desconexión de procesos), para ello se realizaron las siguientes acciones maliciosas:

1. Mediante el uso de la funciones de las API de Windows GetModuleInformation y GetCurrentProcess obtiene informacion del módulo de  ntdll.dll.
2. Luego lee el contenido de la librería de ntdll.dll por medio de las APIs de Windows  CreateFileA, CreateFileMapping, y MapViewOfFil.
3. A través de la utilización de VirtualProtect se cambian los permisos de memoria, de modo que pueda modificar el contenido de la misma.
4. Con la utilización de la función memcpy copia el contenido de la librería descripta en el paso 2 sobre la librería cargada en el paso 1.
5. Finalmente, con VirtualProtect vuelve a cambiar los permisos de memoria de la sección de código a su valor original.

A continuación, se puede visualizar cada una de las llamadas dentro del código malicioso desarrollado por el cibercriminal:

Ilustración 19 – Process Unhooking empleado por RTDONT.dll

Técnicas MITRE ATT&CK

A continuación, se listan las técnicas utilizadas en esta campaña utilizando el framework MITTRE ATT&CK:

Fuente: www.welivesecurity.com

Repasamos los cambios en las cláusulas establecidos en la última versión de la ISO 27001, el estándar para la gestión de la seguridad de una organización.

En un artículo anterior abordamos los cambios en la nueva versión de ISO/IEC 27001 (ISO/IEC 27001:2022) con relación a los controles de seguridad considerados en el Anexo A, ya que representaron los cambios más significativos para la edición 2022. En esta oportunidad revisaremos los cambios en las cláusulas del estándar.

Recordemos que las cláusulas definen los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Además, incluye los requisitos para la evaluación y el tratamiento de los riesgos de seguridad de la información, identificados para cada organización.

Imagen 1. Cláusulas normativas de ISO/IEC 27001.

La sexta cláusula (Planeación) muestra los requisitos del estándar relacionados con la evaluación de riesgos de seguridad de la información; también considera los requisitos para el tratamiento de estos luego de que han sido identificados, analizados y evaluados en función de los criterios de aceptación. Por último, incluye los objetivos de seguridad de la información que se pretenden lograr a través del sistema de gestión.

Los cambios son minúsculos para esta cláusula. En el caso del requisito 6.1 (Acciones para dirigir riegos y oportunidades) no se presentan cambios. La cláusula 6.2 (Objetivos de seguridad de la información y planificación para alcanzarlos) solo agrega que los objetivos deben ser monitoreados y estar disponibles como información documentada (lo que no se expresaba explícitamente en la edición anterior). Además, se agrega el requisito 6.3 (Planificación de cambios), que establece la ejecución planificada de cambios cuando la organización identifique la necesidad de modificaciones en el SGSI.

En este sentido, las metodologías de evaluación de riesgos utilizadas en procesos de operación del SGSI previos a la publicación de esta nueva edición del estándar, mantienen su vigencia.

La séptima cláusula (Soporte) define los elementos que respaldan la ejecución de las actividades planeadas. Entre estos factores se enlistan los recursos, competencias, concientización y comunicación, así como los requisitos de documentación para el sistema de gestión. El único cambio en esta sección es la eliminación del punto para incluir los procesos mediante los cuales se efectuará la comunicación relevante del SGSI en el requisito 7.4 (Comunicación).

La octava cláusula (Operación) solo presenta cambios de redacción y presentación en el requisito 8.1 (Planeación y control operacional) para modificar la referencia a los requisitos de la cláusula 6 y hacer énfasis en la necesidad de establecer criterios para los procesos e implementar el control de los procesos de acuerdo con los criterios descrito en dicha cláusula. Además, se considera que la información documentada deberá estar disponible en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.

La novena cláusula (Evaluación del desempeño) considera las actividades para monitorear, medir, analizar y evaluar el sistema de gestión. También, considera los requisitos relacionados con las auditorías internas y la revisión por parte la dirección sobre el estado del sistema. El requisito 9.1 (Monitorear, medir, analizar y evaluar) únicamente presenta cambios de redacción, mientras que el requisito 9.2 (auditoría interna) presenta un cambio en su estructura para enfatizar las etapas en la ejecución del proceso de auditoría, del mismo modo que el requisito 9.3 (Revisión de gestión) que se presenta de un modo más estructurado.

Finalmente, la décima cláusula (Mejora) abarca los elementos necesarios para las acciones orientadas a corregir desviaciones con relación a lo que establece el estándar o para actividades de mejora relacionada con los controles de seguridad implementados. Los cambios en esta sección son solo de orden de presentación, apareciendo en primer lugar el requisito 10.1 (Mejora continua) y posteriormente el 10.2 (No conformidades y acción correctiva), sin alterar el contenido de estos.

Fuente: www.welivesecurity.com

La digitalización de los colegios está revolucionando los procesos de aprendizaje y gestión de los centros, pero toda la innovación que ha traído consigo no ha llegado sola: junto con las nuevas tecnologías, los riesgos asociados a ellas se han hecho un hueco entre las preocupaciones del personal técnico y una que no siempre se tienen en la debida consideración es la protección de las redes wifi de los colegios, toda una «materia pendiente» en muchos centros.

Cuando se habla de la seguridad digital en los centros educativos, la mirada suele estar puesta por lo general en lo que viene de fuera, pero de lejos. Es decir, en los peligros que provienen de Internet: ataques, estafas, malware… Sin embargo, tan importante como asegurar los sistemas de lo que está lejos, es hacerlo de lo que está cerca, y es que las redes wifi son otra puerta de entrada que hay que vigilar con atención.

El motivo más obvio, es la protección de datos sensibles. La red wifi de un colegio puede contener todo tipo de información confidencial: desde datos personales de los estudiantes o el profesorado a información financiera o de otra clase, como credenciales, por lo que es imprescindible que dicha red esté debidamente protegida, más allá de contar con una mera clave de acceso que cualquier atacante se puede saltar con poco esfuerzo.

Cualquier intruso con acceso a una red wifi puede usarla para intervenir los datos que circulan a través de ella, así como para distribuir malware y llevar a cabo diferente tipo de acciones maliciosas que se pueden evitar de aplicar las buenas prácticas recomendadas al desplegar redes informáticas seguras en colegios, escuelas, academias y otros centros educativos. Descubre cómo hacerlo con este eBook gratuito, publicado por expertos.

Por supuesto, asegurar la red wifi de un colegio no solo sirve para prevenir problemas directos relacionados con la seguridad: una red desprotegida puede ser abusada por terceros, afectando al rendimiento. Limitar el número de conexiones simultáneas no solo mejorará la seguridad de la infraestructura, sino la eficacia de la misma. Pero es que todo aquel que se conecte desde fuera de las instalaciones puede ocasionar un problema de seguridad sin siquiera pretenderlo.

Pero no te quedes solo con los peligros que el cibercrimen representa para la seguridad de tu centro educativo. El adecuado mantenimiento de la red wifi de un colegio se rige por otras consideraciones, como por ejemplo es el control del acceso de los estudiantes a Internet o el bloqueo de sitios inapropiados o peligrosos, lo cual también ayuda a garantizar la seguridad del entorno a todos los niveles.

Si te interesa saber cómo puedes proteger la red wifi de tu colegio con las mejores prácticas, aplicando controles de acceso, filtrado de webs y aplicaciones, con segmentación de red por alumnos y profesores y facilitando el mejor rendimiento, no te pierdas esta guía de ayuda para personal de centros educativos y profesionales, un eBook gratuito que puedes descargar en este enlace.

Fuente: www.muylinux.com

Repasamos también qué tipo de vulnerabilidades fueron las más reportadas en 2022, así como los sistemas operativos y aplicaciones que acumulan mayor número de vulnerabilidades reportadas.

Terminó el 2022 y siempre es importante hacer un balance y analizar los datos que deja el final de un año para comprender mejor lo que ha sucedido en materia de ciberseguridad y tener una idea más precisa de dónde estamos parados. En este sentido, será de gran ayuda analizar el panorama de las vulnerabilidades y comprender cuáles son los tipos de vulnerabilidades más reportadas y su impacto, qué tipo de aplicaciones concentran la mayor cantidad de vulnerabilidades reportadas y cuáles son los productos en los qué se reportaron más vulnerabilidades. Esta información nos aporta valor para comprender nuestro nivel de exposición a las amenazas informáticas, tanto a nivel usuario como de empresa, y tener un mejor panorama de cómo actúan los actores maliciosos.

En 2022 se registró un récord histórico de vulnerabilidades reportadas

El siguiente gráfico muestra que en 2022 se alcanzó un pico histórico con 25226 vulnerabilidades reportadas en distintos productos y fabricantes. Esta cifra representa un crecimiento de 26,5% en el número de vulnerabilidades reportadas en comparación con 2021 y equivale a unas 70 vulnerabilidades por día, situación que demuestra que si el promedio diario se mantiene se puede proveer un aumento de detecciones para este 2023 respecto a 2022.

Imagen 1. Vulnerabilidades reportadas por año desde 1999 hasta 2022. Fuente: CVE Details.

Otro dato relevante sobre la cantidad de vulnerabilidades reportas es que solo el 3,4% de vulnerabilidades son de carácter crítico. Esto representa una caída con respecto a 2021 donde el porcentaje de vulnerabilidades criticas reportadas fue del 5,81%. Por lo tanto, si bien durante 2022 se descubrieron más vulnerabilidades que otros años, la severidad de las mismas fue menor.

Aplicaciones con mayor número de vulnerabilidades reportadas en 2022

En la siguiente tabla se puede apreciar cuáles fueron las 10 aplicaciones sobre los cuales se reportó un mayor número de vulnerabilidades el último año. Es importante estar atento a las nuevas vulnerabilidades que se detectan sobre un determinado software o aplicación web para actualizar e instalar a tiempo los parches de seguridad para no ser victimas de ataques que busquen explotar estos fallos.

Fuente: CVE Details

Como se puede apreciar, dentro del Top 10 de aplicaciones con mas fallos reportados aparecen varios navegadores web. El primero en la lista es de hecho el navegador Google Chrome, el cual es utilizado por millones de usurios. El segundo lugar lo ocupa su colega, el navegador Firefox, que tambien es de uso masivo. En tercer puesto aparece el gestor de bases de datos Mysql, que también es muy utilizado tanto en infraestructuras de tecnologia como por usuarios finales.

Si pensamos en terminos de rédito, para los ciberatacantes las aplicaciones más utilizadas siempre seran las más propensas a ser explotadas, ya que generalmente los actores maliciosos buscan llegar a la mayor cantidad de personas/víctimas posibles. En 2022 solamente Google lanzó varias actualizaciones de Chrome en las que reparó nueve vulnerabilidades zero-day que afecaban al navegador y la propia compañía aseguró estar al tanto de reportes que indican que estaban siendo explotadas por actores maliciosos al momento de su hallazgo.

Sistemas Operativos con mayor número de vulnerabilidades

Si bien Debian Linux se presenta como el sistema operativo con mayor número de fallos de seguridad reportados en el histórico hasta 2022, es importante aclarar que no necesariamente hablamos vulnerabilidades críticas.

Fuente: CVE Details

Teniendo esto claro, en el caso de Debian Linux el histórico de vulnerabilidades reportadas desde 1999 hasta 2022 es de 7489. En 2022 se reportaron 720 vulnerabilidades, siendo 2018 el año en que se registró el mayor número con 1407. Con respecto a la severidad, de los 720 fallos reportados en 2022 solo 14 eran críticos y 109 permitían la ejecución de código.

Para el sistema Android se llegó a un récord histórico en 2022 con 899 vulnerabilidades reportadas, superando a 2020, que hasta ahora era el año en el que más vulnerabilidades se habían reportado con 859. De las vulnerabilidades reportadas en 2022, 43 de ellas fueron consideradas de alta criticidad y 102 permitían ejecutar código. En el acumulado desde 2009 a 2022 se reportaron un total de 4902 vulnerabilidades en Android.

En el caso de Fedora es el tercer sistema operativo con más vulnerabilidades reportadas desde 2007 a 2022 con un total de 4108. En 2022 se reportaron un total de 906 vulnerabilidades de las cuales 84 son de ejecución de código.

Fabricantes con más vulnerabiliudades reportadas en sus productos

Fuente: CVE Details

Con respecto a las compañías tecnológicas que desarrollan los software y aplicaciones dirigidas a usuarios y empresas, si bien vemos en el primer puesto a Microsoft como el fabricante que acumula mayor número de vulnerabilidades reportadas desde sus inicios, para sacar mejores conclusiones es importante considerar otras variables, como la evolución histórica, la cantidad de productos en los que se han reportado fallos y la criticidad de los mismos. Solo así es posible tener un panorama más completo sobre los riesgos a los que se exponen las personas y organizaciones según los productos que utilizan. Microsoft, por ejemplo, registra el mayor número de vulnerabilidades, pero sobre una base de 719 productos, mientras que Fedora, por ejemplo, es sobre la base de 22 productos, lo que da un promedio de 190 vulnerabilidades por producto.

Tipo de vulnerabilidades más reportadas en 2022

Las vulnerabilidades de ejecución remota de código fueron las más reportadas en 2022. Fuente: CVE Details

Con respecto al tipo de amenazas detectadas vemos que el escenario es variado, pero se destacan las vulnerabilidades que permiten la ejecución de código con el 22% de las vulnerarbilidades reportadas. Es importante mencionar que este tipo de vulnerabilidad es de alta criticidad y riesgo. 

Vulnerabilidades más utilizada por cibercriminales durante 2022 en la región

Siempre es importante recordar que no todas las vulnerabilidades son críticas y que no existe para todas las vulnerabilidades exploits disponibles que permitan su explotación por un atacante. Pero es interesante y a la vez preocupante que entre las cinco vulnerabilidades más utilizadas por cibercriminales durante 2022 en América Latina hay dos que fueron descubiertas hace 10 años y afectan a servicios de uso masivo. Una de ellas es la CVE-2012-0143 cuyo exploit asociado aprovecha de una vulnerabilidad de Microsoft Windows que permite la ejecución remota de código arbitrario, y la segunda es la CVE-2012-0159 cuyo exploit abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable.

La vigencia de estas vulnerabilidades sin dudas habla de que aún existe una falta concientización por parte de los usuarios y debería despertar las alarmas para que aboguen por implementar buenas practicas de seguridad que contemplen la instalación de actualizaciones y parches de seguridad a fin de evitar posibles incidentes.

Es un hecho que las aplicaciones de uso masivo siempre estarán en la mira de los atacantes para buscar vulnerabilidades y en este sentido no es casual que las aplicaciones de uso masivo siempre tengan más vulnerabilidades asociadas que el resto para las que los cibercriminales se esfuerzan en desarrollar exploits y desplegar sus ataques.

Fuente: www.welivesecurity.com

ESET Threat Report T3 2022 es un informe donde analizamos el panorama de las amenazas informáticas durante el último cuatrimestre de 2022 según los datos de la telemetría de ESET y los expertos en investigación y detección de amenazas.

En 2022, un ataque no provocado e injustificado contra Ucrania conmocionó al mundo, con efectos devastadores para el país y su población. Al día de hoy la guerra continúa impactando todo, desde los precios de la energía y la inflación hasta el ciberespacio, el cual ha sido monitoreado durante todo el año por el equipo de investigación y análisis de ESET.

Entre los efectos que hemos observado en el ciberespacio, la escena del ransomware experimentó algunos de los cambios más importantes. Desde que comenzó la invasión de Rusia a Ucrania hemos visto una división entre los operadores de ransomware. Mientras algunos apoyan esta agresión, otros se oponen. Los atacantes también han estado utilizando tácticas cada vez más destructivas, como el uso de malware del tipo wiper que imitan la forma de operar de códigos maliciosos como el ransomware y cifran los datos de la víctima sin intención de proporcionar la clave de descifrado.

En América Latina se registró una disminución de las amenazas informáticas en su conjunto durante el tercer cuatrimestre de 2022. Las amenazas más detectadas corresponden a archivos HTML maliciosos incluidos en correos de phishing y a un exploit que busca sacar provecho de una vulnerabilidad de 2017 en Microsoft Office clasificada como CVE-2017-11882.

Detecciones de amenazas informáticas en LATAM durante el tercer cuatrimestre de 2022.

En cuanto a las detecciones de ransomware en la región de LATAM, las mismas disminuyeron considerablemente durante los últimos cuatro meses de 2022. El ransomware STOP lideró las detecciones con el 35%. Este ransomware suele distribuirse a través de cracks de programas, libros y otros tipos de descargas en sitios falsos o vía Torrent.

Detecciones de ransomware en América Latina durante los últimos cuatro meses de 2022.

Como leerá en el Informe ESET Threat Report T3 2022, la guerra también afectó los ataques de fuerza bruta contra los servicios RDP expuestos, que cayeron en picada en 2022. Otros factores que podrían haber contribuido a esta caída, además de la guerra, son: un disminución del trabajo remoto, una mejor configuración de estos servicios y la aplicación de contramedidas por parte de los departamentos de TI de las empresas, y una nueva función de bloqueo contra ataques de fuerza bruta incluida en Windows 11. La mayoría de los ataques al protocolo RDP detectados en 2022 se originaron en direcciones IP rusas.

Incluso con la disminución de los ataques al RDP, los ataques buscando descifrar contraseñas seguían siendo el vector más elegido en el tercer cuatrimestre de 2022. Y a pesar de que los parches para corregir la vulnerabilidad Log4J estaban disponibles desde diciembre de 2021, la explotación de esta vulnerabilidad aún ocupaba el segundo lugar en el ranking de los vectores de intrusión externa. Varias amenazas dirigidas al ecosistema cripto se vieron afectadas por la caída en picada del valor de las criptomonedas y por el aumento de los precios de la energía. Si bien las detecciones de malware para robar criptomonedas (cryptostealers) y para minar criptomonedas (cryptominers) disminuyeron, las estafas dirigidas a usuarios de criptoactivos resurgieron: durante el último cuatrimestre de 2022 aumentaron un 62% los sitios web de phishing bloqueados por ESET que utilizaban el tema de las criptomonedas, y el FBI emitió recientemente una advertencia sobre un aumento de los esquemas de inversión en criptomonedas.

En diciembre y con la llegada de los días festivos se registró un aumento de las campañas de phishing que se hacían pasar por tiendas en línea, ya que las personas que compran regalos en línea representan un objetivo muy lucrativo para los ciberdelincuentes. Y cuando los desarrolladores de videojuegos para dispositivos móviles publicaron nuevos lanzamientos antes de la temporada navideña, los atacantes aprovecharon el interés que esto generó para cargar versiones maliciosas modificadas de estos videojuegos en tiendas de apps de terceros. A su vez, hemos observado un aumento significativo en las detecciones de adware para Android durante los último cuatro meses de 2022.

La plataforma Android también experimentó un aumento del spyware a lo largo del año debido al fácil acceso a los kits de spyware, los cuales son ofrecidos en varios foros en línea y que son utilizados por atacantes aficionados. Y aunque las detecciones generales para el malware que roba información (infostealers) tendieron a la baja tanto en el último cuatrimestre como en todo 2022, el malware bancario fue una excepción y las detecciones que se duplicaron con respecto a 2021.

En América Latina las amenazas dirigidas a Android registraron un crecimiento importante en los últimos cuatro meses de 2022. En especial las detecciones de aplicaciones maliciosas que se hacen pasar por apps legítimas y que tienen como objetivo descargar otras aplicaciones maliciosas en el equipo infectado.

Por otra parte, Brasil y México están entre los países en los que se detectó la mayor cantidad de Amenazas para Android a nivel global. De acuerdo a la telemetría de ESET, durante el tercer cuatrimestre de 2022 los países en los que se registró la mayor cantidad de detecciones fueron Brasil (8.5%), Ucrania (7.6%), México (7.3%), Rusia (6.6%), Turquía (5%), y Estados Unidos (4%).

Aumento de las detecciones de amenazas dirigidas para Android en LATAM durante el último cuatrimestre de 2022.

Hallazgos clave del equipo de investigación de ESET

Los últimos meses de 2022 estuvieron repletos de hallazgos interesantes por parte del equipo de investigación de ESET. Nuestros expertos descubrieron una campaña de spearphishing del grupo de APT MirrorFace dirigida a entidades políticas japonesas de alto perfil y un nuevo ransomware llamado RansomBoggs, que todo parece indicar que tiene como responsable al grupo Sandworm, que fue utilizado contra múltiples organizaciones en Ucrania. El equipo de investigación de ESET también descubrió una campaña realizada por el infame grupo Lazarus en la cual se dirige a sus víctimas con correos electrónicos de phishing que contienen documentos con ofertas de trabajo falsas. Uno de los señuelos fue enviado a un empleado de una empresa aeroespacial. En cuanto a los ataques a la cadena de suministro, encontramos un nuevo wiper y su herramienta de ejecución, los cuales atribuimos al grupo de APT Agrius, que ha sido utilizado contra usuarios de un paquete de software israelí que se utiliza en la industria del diamante.

Como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en conferencias como AVAR, Ekoparty y otras. En estos eventos los especialistas profundizaron en los aspectos técnicos de la mayoría de los descubrimientos antes mencionados. Para los próximos meses, nos complace invitarlo a las charlas de ESET en Botconf, RSA Conference y otras.

Invitamos a leer el ESET Threat Report T3 2022.

Fuentes: www.welivesecurity.com

Ninguna empresa opera correctamente sin una cooperación fluida entre la dirección general y los especialistas responsables de las distintas áreas que la conforman. Claro que dicha cooperación requiere comunicación, lo que puede llegar a ser difícil, ya que los gerentes y especialistas trabajan en burbujas de información distintas y, generalmente, hablan diferentes idiomas. La dirección piensa en ganancias, costes y el desarrollo; los especialistas, y el servicio de seguridad de la información no son la excepción, piensan en sus tareas técnicas específicas.

Un estudio reciente realizado por nuestros compañeros demostró que, aunque el entendimiento mutuo entre directivos y especialistas en seguridad de la información va en aumento en general, todavía existen problemas. De hecho, el 98 % de los representantes empresariales encuestados afirmaron haber experimentado algún tipo de malentendido con el servicio de seguridad de la información al menos una vez que, como consecuencia directa, habría provocado al menos un incidente de seguridad en el 62 % de los casos, mientras que el 61 % informó de impactos negativos en la empresa, incluidas las pérdidas, la partida de empleados clave o un deterioro de la comunicación entre departamentos. A su vez, los propios profesionales de la seguridad no siempre son conscientes de los problemas: al 42 % de los líderes empresariales les gustaría que los especialistas en seguridad fueran más claros al comunicarse, ¡pero el 76 % de estos especialistas aseguran que todos los entienden a la perfección!

Usualmente hay problemas con el lenguaje que se usa: los directivos no siempre entienden todos los tecnicismos que usan los servicios de seguridad de la información. Pero la terminología no es el único problema en su comunicación; de hecho, está lejos de ser problema principal. Tratemos de comprender el resto de los problemas con la ayuda de Patrick Miller, socio gerente de Archer International, y su discurso en la Kaspersky Industrial Cybersecurity Conference de 2019.

Una concepción muy diferente del riesgo.

La mayoría de los especialistas en seguridad de la información tienen un umbral de tolerancia al riesgo muy bajo. Pero en los negocios, ocurre lo contrario: sin riesgo, no hay beneficio, por lo que usualmente los directivos están dispuestos a asumir riesgos mayores. Para el jefe, el principal objetivo es encontrar el equilibrio ideal entre ganancias y potenciales pérdidas. El objetivo real del departamento de seguridad, por raro que parezca, no es eliminar todas las amenazas, sino ayudar a que la empresa gane tanto como sea posible.

Desde el punto de vista empresarial, los riesgos pueden aceptarse, evitarse, reducirse o transferirse (por ejemplo, a las aseguradoras). Los directivos tratarán de tomar los máximos riesgos posibles para aumentar las ganancias. Para ellos, la seguridad de la información es solo una pequeña parte de la imagen, de hecho, es casi seguro que ni siquiera quieran piensen en ella.

Por ende, los especialistas en seguridad de la información no deben pensar en cómo cerrar todas las brechas, sino en identificar y neutralizar las amenazas que realmente puedan causar daños graves a la empresa. En consecuencia, también deberían pensar en cómo explicar a los directivos por qué vale la pena gastar dinero en resolver algo.

El FUD no funciona

Tratar de persuadir a la dirección mediante tácticas de miedo, incertidumbre y duda (FUD por sus siglas en inglés) no funcionará, ya que la empresa no paga al servicio de seguridad de la información para ser asustados. Los especialistas están para resolver problemas y, mejor aún, para que nadie note si surge alguno.

Otro problema con el uso del concepto FUD es que los directivos ya viven estresados, solo por el hecho de que cualquier error que cometan podría ser el último; por ejemplo, hay muchas personas alrededor que aprovecharán la oportunidad para ocupar su lugar, por lo que no pueden confiar en cualquiera. Por ende, no necesitan sentir miedo adicional.

Y, por último, a ningún jefe le gusta demostrar que desconoce algo. Por tanto, cualquier intento de bombardear a la dirección con términos que suenen inteligentes está claramente condenado a fracasar.

Piensa como empresa

El objetivo principal de cualquier empresa comercial es ganar dinero, por lo que los directivos ven todo desde esa perspectiva, es lo que saben hacer. Por ende, si un especialista en seguridad de la información se les acerca y les dice: “apareció una amenaza y necesitamos invertir X cantidad de dinero para neutralizarla”, lo que escucha es “si nos arriesgamos y no hacemos nada, ahorraremos X cantidad”. Suena loco, pero justo así es cómo piensan las empresas.

Para el directivo, es esencial que todas sus acciones (o inacciones) den como resultado números financieros positivos, incluso aunque dicha cifra positiva sea la diferencia entre dos negativos. Por tanto, deben presentarle la situación de una forma que pueda comprender: “Existe una amenaza con una probabilidad del Z % de causar un daño Y al negocio. Necesitamos gastar X para neutralizarlo”. Esta es una ecuación que, en la mentalidad empresarial, tiene sentido.

Claro que no siempre es posible predecir de forma realista el coste potencial del daño, por lo que puedes usar valores conocidos como el tiempo de inactividad (durante el cual se limpiarían las consecuencias del incidente), la cantidad o el tipo de datos que podrían perderse o comprometerse, las pérdidas de reputación, etc. Después, la empresa podrá trasladar esta información a números comprensibles, con la ayuda de especialistas. Pero es mejor si el equipo de seguridad de la información puede hacerlo por sí mismo, ya que se ahorra mucho tiempo.

Naturalmente, la posibilidad de que la ecuación no funcione a favor de la seguridad de la información siempre existe. Esto no siempre es un problema de falta de comunicación; puede que la dirección escuche y entienda todo a la perfección, pero que correr el riesgo sea más rentable. Eso o que la seguridad de la información no haya podido argumentar de forma convincente su posición dado que todavía no sabe pensar como empresa.

La clave aquí es tener una buena comprensión de la posición del servicio de seguridad de la información dentro de la empresa y las ganancias que genera. Esto permitirá evaluar y clasificar mejor las posibles amenazas, evitar la pérdida de tiempo y los nervios propios y ajenos en iniciativas que claramente no llegarán a ningún lado y, en general, trabajar de forma más eficiente.

Los plazos y el factor tiempo

El factor tiempo es crucial para la seguridad: algunas amenazas deben protegerse cuanto antes. Pero el tiempo también importa para las empresas, donde el tiempo es dinero. Hoy puedes gastar X cantidad de dinero antes mencionada, pero si lo haces en un mes, entonces, en manos hábiles, X se convertirá en X*n y X*(n-1) permanecerá en el banco.

Aunque la directiva comprenda el problema y entienda que debe resolverse, no se apresurarán a gastar dinero a menos que se les dé una fecha límite clara y bien fundamentada. También deben saber que, cuando el plazo venza, automáticamente deben asumir la responsabilidad por el riesgo en específico, ya que entonces la seguridad de la información solo puede limpiar las consecuencias.

Este plazo debe ser lo más realista posible. Si la seguridad de la información siempre exige que se tome una decisión “para ayer”, la directiva dejará de escuchar y los tratará como el niño del cuento del lobo. Y si siempre dice “bueno, tienes un año para pensarlo”, los despedirán directamente o después del siguiente incidente. Es importante poder evaluar, establecer un plazo real y resaltar los potenciales riesgos.

Hay que señalar que muy pocas empresas reservan dinero en sus cuentas, esperando que el director de seguridad de la información venga y les diga cuanto antes dónde gastarlo. Los fondos para resolver problemas deberán tomarse o pedirse prestados de alguna parte, y esto puede llevar un tiempo. Por cierto, para entender este tiempo, también es importante saber cómo funciona y se financia una empresa.

Piensa en marketing

Para comunicarte correctamente, los especialistas en seguridad de la información deben tener algunas habilidades de marketing; así podrán vender a los jefes sus soluciones.

• Ofrece una solución, no un problema. Obviamente, no puedes vender un problema.
• Apóyate en datos reales y fácilmente comprobables, cuando sea posible. A los directivos les encantan: disminuyen la incertidumbre.
• En lugar de términos técnicos, usa un atractivo lenguaje de ventas y diapositivas con gráficos coloridos.
• Ofrece varias opciones, incluso aquellas que claramente no son viables.
• Pon toda la oferta en una única página: nadie leerá más que eso.
• Usa sinónimos para la expresión “seguridad de la información”: reducción de riesgos, garantía de la resistencia/continuidad de los procesos de trabajo, mantenimiento de la eficiencia operativa, reducción del tiempo de inactividad, prevención de daños, etc.
• Utiliza los menos posible el lenguaje emocional y mantén un estilo de comunicación profesional y empresarial.

¿Qué hacer?

El saberse adaptar es la clave para una comunicación comercial exitosa. Para ello, debes salir de tu burbuja especializada y aprender a hablar con los directivos usando el idioma y los contextos de su preferencia. Aunque quieran, no pueden profundizar en todos los detalles técnicos de cada departamento de la empresa. En cuanto al servicio de seguridad de la información, es importante reconocer que eres solo una parte de la empresa, por lo que debes saber cómo funciona y ayudar a obtener los máximos ingresos con el menor coste.

Fuente: www.kaspersky.com

Repasamos los cambios en la última versión de la ISO 27001, el estándar que define los requisitos para establecer, implementar, mantener y darle continuidad a la gestión de la seguridad de una organización.

La tecnología avanza y de forma inherente va dando lugar a nuevos riesgos determinados por las amenazas y las vulnerabilidades. Continuamente se desarrollan nuevas amenazas informáticas con características cada vez más ofensivas, al tiempo que cada vez se identifican más vulnerabilidades. A su vez, esto determina las tendencias, condiciones y necesidades en el ámbito de la seguridad de la información.

Teniendo esto en cuenta, factores externos como los nuevos modelos de negocio, la pandemia o los conflictos geopolíticos, también han tenido incidencia directa, por lo que es necesario renovar los controles de seguridad. En este contexto, los estándares de seguridad se revisan y actualizan periódicamente. Recientemente se presentó la nueva versión de ISO 27001 (ISO/IEC 27001:2022), una de las principales referencias en materia de ciberseguridad a nivel internacional.

¿Qué cambios presenta la versión 2022 de la ISO 27001?

Hacia finales de 2022 se publicó la ISO/IEC 27001:2022. Esta nueva versión de la ISO presenta cambios importantes en la cantidad y la forma de clasificar los controles de seguridad, además de modificaciones poco significativas en las cláusulas que definen los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Los detalles de la implementación de cada uno de los controles considerados en ISO/IEC 27001 se pueden encontrar en la versión más reciente de ISO/IEC 27002, documento conocido en versiones anteriores como “código de prácticas”, que continúa siendo una guía de implementación. Este último documento también fue actualizado durante 2022, cambiando de título a “Information security, cybersecurity and privacy protection — Information security controls”, junto con su estructura para utilizar una taxonomía simple. Además, algunos controles se fusionaron, algunos se eliminaron y otros nuevos se han agregado.

Vale la pena recordar que mientras que la ISO 27001 establece los objetivos que debe cumplir una organización para obtener la certificación, la ISO 27002 establece los controles que son necesarios para cumplir con los objetivos.

A partir de los cambios en ISO/IEC 27002:2022, a continuación, repasamos los cambios en el Anexo A de ISO/IEC 27001:2022.

Se destaca que estas nuevas versiones de los documentos consideran dos nuevos aspectos: temas y atributos. Los temas hacen referencia a la forma de categorizar los controles de seguridad, que podría equipararse a los dominios utilizados en las ediciones pasadas. De esta manera, es posible encontrar cuatro temas o formas de clasificación: controles para personas, físicos, tecnológicos y organizacionales. Por otro lado, los atributos hacen referencia a otra forma de clasificación basados en otras perspectivas o enfoques, de tal manera que los atributos puedan ser utilizados para filtrar, ordenar o presentar los diferentes controles para distintos tipos de audiencias.

Existen cinco tipos de atributos: basado en el tipo de control (preventivo, detectivo o correctivo), propiedades de seguridad de la información (confidencialidad, integridad y disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder y recuperar), capacidades operativas (capacidades de seguridad desde la perspectiva de los profesionales o practicantes, como la gobernanza o seguridad física) y dominios de seguridad (gobernanza y ecosistema, protección, defensa y resiliencia).

Además, el nuevo estándar reduce a 93 el número de controles de seguridad. De este modo, es posible identificar 8 controles para personas, 14 controles físicos, 34 controles tecnológicos y 37 controles organizacionales. Destaca también que los objetivos de control, identificados como los enunciados que describen lo que se desea alcanzar como resultado de la implementación de controles, ya no son considerados en la nueva edición.

Imagen 1. Controles de seguridad en las versiones de ISO/IEC 27001.

La reducción en la cantidad de controles se debe a la reorganización y fusión de algunos de los mismos. En la ISO 27001:2022 se presentan 11 nuevos controles de seguridad que atienden las necesidades de protección para las tendencias y nuevos enfoques de ciberseguridad: inteligencia de amenazas, seguridad de la información para el uso de servicios en la nube, preparación de las TIC para la continuidad del negocio, monitoreo de la seguridad física, gestión de la configuración, eliminación de información, enmascaramiento de datos, prevención de fuga de datos, actividades de monitoreo, filtrado Web y codificación segura.

Consideraciones en la selección e implementación de controles

Recordemos que los controles son definidos como medidas que tienen como propósito mantener y/o modificar los riesgos asociados a la información y otros activos. Sin embargo, es probable que los controles no siempre ejerzan el efecto de modificación deseado, por lo que deben ser revisados y actualizados constantemente para cumplir con las expectativas de protección basadas en los criterios de riesgo (aversión o propensión).

Además, las organizaciones no están sujetas ni obligadas a la implementación de todos los controles definidos en el estándar, pero la omisión de alguno de ellos debe ser documentada y justificada en la Declaración de Aplicabilidad (SoA); generalmente, la selección de los controles está determinada principalmente por los resultados de la evaluación de riesgos.

Finalmente, es importante recordar que las organizaciones pueden seleccionar e implementar controles o contramedidas para proteger sus activos basadas en otras fuentes de información y otros marcos de trabajo de ciberseguridad o seguridad de la información, y que las buenas prácticas recomendadas en el estándar deben ser adoptadas, adaptadas y aplicadas con base en las características, necesidades y condiciones de cada organización.

Fuente: www.welivesecurity.com

Analizamos la seguridad de los gestores de contraseñas ante los ciberdelincuentes y cómo proteger tus contraseñas de la mejor manera posible.

El año pasado presenciamos una avalancha de noticias sobre filtraciones de datos personales en diversos servicios online y hasta en gestores de contraseñas populares. Por ende, si usas una bóveda digital, quizá empieces a imaginar la peor de las pesadillas cuando lees sobre una filtración de datos de este tipo, pensando que los atacantes puedan acceder a todas tus cuentas cuyos datos se almacenen en tu gestor de contraseñas.

Pero ¿estos miedos son justificados? Usando como ejemplo Kaspersky Password Manager, te contamos cómo funcionan las múltiples capas de defensa de los gestores de contraseñas y cómo puedes fortalecerlas.

Principios generales

Primero, hay que recordar por qué los gestores de contraseñas son una buena idea. La cantidad de servicios que usamos en Internet no para de crecer y eso significa tener que introducir constantemente tus datos. Es difícil recordar todas, pero anotarlas por ahí es arriesgado, por ello la solución es guardar todos tus datos de inicio de sesión en un lugar seguro y luego bloquear esa bóveda con una clave única; así, solo deberás recordar la contraseña principal.

Cuando activas por primera vez Kaspersky Password Manager, tienes que crear una contraseña principal que usarás para abrir tu bóveda digital. Después, puedes introducir los datos de cada servicio de Internet que utilizas dentro de esta bóveda: URL, nombre de usuario y contraseña. Puedes hacerlo manualmente o configurar una extensión para navegador del gestor de contraseñas y usar un comando especial para transferir todas las contraseñas guardadas en el navegador a la bóveda. Además de contraseñas, puedes agregar otros personales como tu identificación escaneada, datos de seguros, tarjetas bancarias y fotos importantes, por ejemplo.

Cuando visites un sitio web, solo debes abrir la bóveda y copiar manualmente los datos que necesitas o dejar que el gestor de contraseñas complete los datos de inicio de sesión guardados de cada sitio web de forma automática. Después, lo único que debes hacer es bloquear la bóveda.

Bóveda digital y autobloqueo

Veamos los mecanismos de protección. El archivo de la bóveda se cifra mediante un algoritmo de clave simétrica basado en el Advanced Encryption Standard (AES-256), que se utiliza en todo el mundo para proteger datos confidenciales. Para acceder a la bóveda, utilizas una clave basada en tu contraseña principal. Si esta contraseña es segura, los atacantes necesitarán mucho tiempo para descifrar el archivo sin la clave.

Además, nuestro gestor de contraseñas bloquea automáticamente la bóveda después de que el usuario esté inactivo durante cierto tiempo. Por ende, si un atacante roba tu dispositivo y logra eludir la protección del sistema operativo y llega al archivo de la bóveda, no podrá leerlo sin la contraseña principal.

El autobloqueo es cosa tuya. Quizá los ajustes predeterminados de la aplicación no bloqueen la bóveda hasta después de un período de inactividad bastante largo. Pero si sueles usar tu laptop o smartphone en lugares que quizá no son seguros del todo, puedes configurar el autobloqueo que se activará después de un minuto.

No obstante, hay otro posible bache: si un atacante instaló un troyano o usó otro método para instalar un protocolo de acceso a distancia en tu computadora, es posible que intente extraer contraseñas de la bóveda mientras estés conectado a ella. En 2015, unos ciberdelincuentes crearon una herramienta de este tipo para el gestor de contraseñas KeePass que descifraba y almacenaba como un documento separado un archivo completo con contraseñas que se ejecutaba en una computadora con una instancia abierta de KeePass.

Sin embargo, Kaspersky Password Manager generalmente se usa junto con las soluciones antivirus de Kaspersky, y eso hace que sea mucho menos probable que un gestor de contraseñas se ejecute en una computadora infectada.

Conocimiento cero

El archivo cifrado con contraseñas puede guardarse no solo en tu dispositivo, sino también en la infraestructura en la nube de Kaspersky; esto te permite utilizar la bóveda desde distintos dispositivos, incluso computadoras particulares y celulares. Una opción especial en la configuración permite la sincronización de los datos de todos sus dispositivos con el Kaspersky Password Manager instalado. También puedes usar la versión web del gestor de contraseñas desde cualquier dispositivo a través del sitio web de My Kaspersky.

Pero ¿es posible una filtración de datos mientras se usa el almacenamiento en la nube? Primero, es importante entender que estamos operando según el principio de conocimiento cero; esto significa que tu bóveda de contraseñas está cifrada tanto para Kaspersky como para todos los demás. Los desarrolladores de Kaspersky no podrán leer el archivo; solo puede abrirlo quien conoce la contraseña principal.

Muchos de los servicios actuales, aunque no todos,  que almacenan contraseñas y otros secretos funcionan bajo un principio similar. Por ende, si te encuentras con la noticia sobre una filtración de datos en un servicio de almacenamiento en la nube, no entres en pánico de inmediato: esto no significa que los atacantes hayan podido descifrar los datos robados necesariamente. Este tipo de violación es como robar una caja fuerte armada de un banco sin contar con la combinación de la cerradura.

En este caso, la combinación es tu contraseña principal. Otro principio de seguridad importante es que Kaspersky Password Manager no guarda tu contraseña principal en tus dispositivos o la nube. Por tanto, si un ciberdelincuente accede a tu computadora o al servicio de almacenamiento en la nube, no podrá robar la contraseña principal del producto en sí, ya que tú eres el único que la conoce.

Una contraseña principal fuerte

No obstante, la filtración de un archivo cifrado con contraseñas también puede crear problemas. Una vez que los atacantes robaron la bóveda, pueden intentar hackearla.

Hay dos métodos de ataque principales. El primero es la fuerza bruta que, como regla general, consume mucho tiempo. Si tu contraseña está formada de una docena de caracteres aleatorios e incluye letras minúsculas y mayúsculas, números y caracteres especiales, la fuerza bruta de todas las combinaciones requiere más de un sextillón de operaciones; leíste bien… ¡un número entero con 21 cifras!

Pero si decidiste hacer tu vida más fácil y pusiste una contraseña débil, como una sola palabra o una combinación simple de números como “123456”, el escáner automático la detectará en menos de un segundo porque en este caso la fuerza bruta no se basa en símbolos individuales sino en un diccionario de combinaciones populares. A pesar de esto, en la actualidad hay muchos usuarios que eligen contraseñas de diccionario (combinaciones de símbolos que han estado durante mucho tiempo en los diccionarios de los escáneres de los ciberdelincuentes).

Por ejemplo, en diciembre del 2022, el gestor de contraseñas LastPass advirtió a sus usuarios sobre este potencial problema cuando la cuenta de uno de sus desarrolladores fue hackeada y los atacantes obtuvieron acceso al alojamiento en la nube que la empresa utiliza. Entre otros datos, los atacantes obtuvieron copias de seguridad de las contraseñas de la bóveda de los usuarios. La compañía garantizó a sus usuarios que si seguían todas las recomendaciones para crear una contraseña principal segura y única no habría de qué preocuparse, ya que “llevaría millones de años” forzarla. Aconsejaron por tanto a las personas que usaban contraseñas más débiles que las cambiaran cuanto antes.

Por fortuna, muchos gestores de contraseñas, entre los que se incluye Kaspersky Password Manager, ahora comprueban de forma automática la seguridad de tu contraseña principal. Si es débil o de fuerza media, el gestor te enviará un aviso que no hay que ignorar.

Una contraseña principal única

El segundo método de ataque se basa en el hecho de que usualmente los usuarios a menudo utilizan las mismas contraseñas para diferentes servicios de Internet. Por ende, si se viola uno de los servicios, los atacantes podrían usar automáticamente la fuerza bruta con las combinaciones de nombre de usuario y contraseña en otros servicios en un ataque, generalmente exitoso, conocido como “relleno de credenciales”.

Por ejemplo, a principios de este año los usuarios de Norton Password Manager recibieron una advertencia sobre este tipo de ataque. La empresa NortonLifeLock (antes conocida como Symantec) anunció que no existían filtraciones en su infraestructura. Pero al comenzar diciembre del 2022, se documentaron intentos masivos de acceso a las cuentas de Norton Password Manager usando contraseñas que los ciberdelincuentes robaron debido a una violación en otro servicio. Las investigaciones de NortonLifeLock descubrieron que los delincuentes habían podido usar este ataque para acceder a las cuentas de algunos de sus clientes.

La conclusión de esta historia es que no debes usar la misma contraseña para diferentes cuentas. En cuanto a las formas técnicas de protegerte de este tipo de ataques, Kaspersky Password Manager puede realizar dos comprobaciones importantes de tu base de datos de contraseñas…

Primero, verifica la singularidad: la aplicación te avisa si alguna de tus contraseñas guardadas se utiliza en varias cuentas.

Segundo, nuestro gestor de contraseñas comprueba si tus contraseñas están en una base de datos de filtraciones. Realiza esta comprobación de forma segura utilizando el algoritmo hash cifrado SHA-256. Esto quiere decir que la aplicación no envía las contraseñas para que las verifiquen; sino que calcula una suma de comprobación para cada contraseña y compara estos hashes con las sumas de comprobación en la base de datos de contraseñas comprometidas. Si las sumas de comprobación coinciden, la aplicación te advierte de que la contraseña está comprometida y debes cambiarla.

Recuerda que estas comprobaciones se realizan solo con las contraseñas que guardadas en la bóveda. De ti depende asegurarte de que la contraseña principal sea única, ya que solo tú la conoces.

Una contraseña principal que puedas recordar

Hay otras formas de filtrar las contraseñas principales y aquí es donde entra en juego el temido factor humano. Por ejemplo, algunos usuarios anotan su contraseña principal en un lugar donde podrían robarla, como en un archivo sin cifrar en su escritorio o en un papelito que pegan en la pared de su oficina.

Trata de recordarla en vez de escribirla. Es cierto que las reglas de seguridad dicen que una contraseña debe ser larga y complicada; a veces incluso se nos pide que generemos una combinación aleatoria de 12 a 16 caracteres y recordar una contraseña como esa es difícil. Por eso, muchos usuarios intentan usar contraseñas más simples que acaban convirtiéndose en objetivos de los ciberdelincuentes.

Entonces, ¿cómo puedes hacer que tu contraseña principal sea fuerte y fácil de recordar? Una buena estrategia es generar una contraseña basada en tres o cuatro palabras secretas. Por ejemplo, puedes coger el nombre de la ciudad donde pasaste las mejores vacaciones de tu vida, añadir el nombre del mejor bar en el que estuviste durante esas vacaciones y luego agregar el nombre y la cantidad de cócteles que bebiste. Una contraseña como esa será larga y única, además de fácil de recordar, claro está, si no bebiste demasiados cócteles y aún recuerdas todos esos datos por separado.

Fuente: latam.kaspersky.com

Qué signos pueden indicar que un dispositivo está infectado o siendo atacado por un hacker.

Como regla general, los cibercriminales intentan realizar ataques sigilosos. Después de todo, cuanto más tiempo estén sin ser detectados por las víctimas, es más probable que logren sus objetivos. Sin embargo, no siempre logran ocultar su actividad. Frecuentemente, en función de varias señales, puedes saber que algo anda mal con tu computadora o smartphone. Y si los usuarios corporativos detectan estas señales de forma oportuna y notifican a su personal de seguridad de la información (o al menos a los especialistas en TI), esto complica enormemente los intentos de los atacantes de lograr su objetivo. Por tanto, decidimos enumerar los síntomas más obvios que pueden indicar que se está ejecutando malware en un dispositivo o que los hackers están interfiriendo con él.

El dispositivo está muy lento

Casi cualquier sistema de usuario comienza a iniciarse y/o funciona más lentamente con el tiempo. Esto puede deberse a varias razones: el disco está lleno, algún software requiere más recursos después de una actualización o el sistema de enfriamiento simplemente está obstruido con polvo. Pero también puede ser signo de que un código malicioso se está ejecutando en el dispositivo. Recomendamos notificar al menos al departamento de TI sobre estos problemas, especialmente si la caída del rendimiento es drástica.

La computadora accede contantemente al disco duro

Si en la máquina parpadea constantemente la luz de acceso al disco duro, hace mucho ruido o simplemente copia archivos con una lentitud absurda, aunque no hayas iniciado ningún proceso que consuma recursos, esto puede significar que el disco está fallando o que algún programa está leyendo o escribiendo datos de forma constante. De cualquier manera, este comportamiento no es normal: es mejor ir a lo seguro y consultar con TI.

Problemas de Cuenta

Si de repente algunos servicios o sistemas ya no te dejan acceder tras ingresar su contraseña (correctamente), es una razón para tener cuidado. Puedes intentar restablecerla, pero si alguien más la ha cambiado, no hay garantía de que no lo vuelva a hacer. Es mejor avisar al responsable de seguridad. También hay que hacerlo si te desconecta repentinamente de los servicios o si recibes múltiples notificaciones sobre intentos de cambiar la contraseña. Todo esto es indicio de un posible ataque.

Ventanas emergentes

Un dispositivo que ocasionalmente notifica al usuario sobre una actualización o que la batería está a punto de agotarse es normal. Pero los mensajes de error regulares son una señal de que algo no funciona correctamente y el departamento de TI debe ser consciente de ello. Del mismo modo, no es normal que de repente comiencen a aparecer ventanas no solicitadas con anuncios o solicitudes para confirmar la contraseña.

Comportamiento sospechoso del navegador

En ocasiones, el comportamiento incorrecto del navegador puede servir como evidencia de un ataque; no solo las ventanas que aparecen repentinamente que ya mencionamos. Si el malware de tipo adware irrumpe en tu computadora, puede comenzar a sustituir banners en distintas páginas por el mismo tipo de publicidad, pero de legalidad dudosa. Por supuesto, esto también significar un problema por parte de las redes de intercambio de banners. Pero si el mismo anuncio aparece en todos los sitios es un síntoma alarmante. Además, hay que prestar atención a las redirecciones. Si ingresas una dirección y el navegador suele redirigirte a otra, es tiempo de informar a los especialistas.

Archivos o carpetas inaccesibles o faltantes

Si recientemente abriste archivos o directorios de forma normal pero ahora no puede abrirlos, o han desaparecido por completo, es una razón clara para contactar al departamento de TI. Tal vez borraste algún archivo importante por error, pero tal vez fue encriptado por ransomware o eliminado por un limpiador.

Han aparecido archivos o aplicaciones desconocidos

Si no instalaste un software nuevo ni descargaste o actualizaste algo, pero todavía tienes nuevos programas, archivos, botones en el programa, complementos, herramientas o cualquier otra cosa desconocida en tu computadora, entonces es mejor consultar con TI qué son y de dónde vienen. Vale la pena prestar atención especial a las notas de rescate. Ha habido casos en los que las víctimas ignoraron tales notas porque todos los archivos parecían estar disponibles y sin cambios. Pero luego resultó que el ransomware no pudo cifrar los archivos, pero los exfiltró con éxito a los servidores de los atacantes.

Notificaciones de conexión remota

Los atacantes suelen utilizar software legítimo de acceso remoto. Como regla general, dicho software muestra un mensaje en la pantalla de que alguien se ha conectado a la máquina de manera remota. Si una notificación de este tipo aparece sin tu consentimiento, o si de repente se te pide otorgar acceso a una persona desconocida, lo más probable es que un hacker esté atacando tu computadora. Los administradores de sistemas reales, suelen advertir a los usuarios a través de un canal de comunicación confiable sobre la necesidad de una conexión remota.

Algo impide que tu computadora se apague o reinicie

Muchos virus necesitan permanecer en la memoria RAM. Los troyanos espía también necesitan tiempo para cargar la información recopilada en los servidores de los atacantes. Como resultado, el malware tiene que mantener la computadora funcionando la mayor cantidad de tiempo posible. Si notas que tu dispositivo no se apaga correctamente, avisa al oficial de seguridad o al especialista en TI cuanto antes.

Cartas o mensajes que no enviaste

Si tus contactos se quejan porque recibieron correos o mensajes instantáneos tuyos, pero no fuiste quien los envió, significa que alguien obtuvo acceso a tus cuentas o está manipulando uno de tus dispositivos. En cualquier caso, debes notificar a alguien responsable de la seguridad corporativa.

Cómo mantenerse Seguro

Claro, no todos los ataques son detectables a simple vista. Por tanto, recomendamos usar soluciones de seguridad que detecten y detengan actividades maliciosas antes de que sean evidentes para el usuario.

Fuente: latam.kaspersky.com