Tag Ciberseguridad

¿Cables HDMI pueden exponer credenciales?

by morfil Noticias

Un grupo de investigadores puso en evidencia cómo es posible recrear la imagen de un monitor a través de la intercepción de la radiación electromagnética de los cables de vídeo, una potencial forma de espionaje y robo de información.

¿Puede un cable HDMI exponer credenciales de una persona? La respuesta, por más extraña que suene, es sí… Aunque la explicación de cómo sucede este fenómeno es un poco más técnica y compleja, en el siguiente posteo analizaremos de qué manera los cables HDMI pueden exponer credenciales personales, del calibre de claves o datos financieros.

¿Cómo un cable HDMI expone credenciales?

Un grupo de profesionales de la seguridad oriundo de Uruguay, demostró en el estudio que es posible espiar la pantalla de un usuario que utilice este tipo de cable y obtener información de lo que está observando en tiempo real. Por ejemplo, credenciales personales.

Sin entrar demasiado en la profundidad técnica, lo que este equipo verificó es que, gracias a la Inteligencia Artificial, es posible conocer lo que se está viendo en la pantalla debido a la intercepción de la radiación electromagnética de los cables de vídeo.

Los autores lograron reconstruir texto a partir de señales HDMI interceptadas, con una precisión cercana al 70%. El potencial es enorme: ya sea para monitorear entradas de contraseñas, datos financieros u otra información.

¿Qué es el TEMPEST? El término TEMPEST (del acrónimo Transient ElectroMagnetic Pulse Emanation STandard) refiere a la problemática de las escuchas clandestinas en pantallas de video digital para las cuales se utiliza el análisis de las ondas electromagnéticas que emanan involuntariamente de los cables y conectores, particularmente HDMI.

Imagen 1: Ejemplo de la imagen que se ve en la pantalla y la información capturada a través del cable HDMI.

¿De qué manera lo puede aprovechar el cibercrimen?

Vale mencionar que el robo de señales electromagnéticas inalámbricas para fines de vigilancia como tal no es en sí una idea nueva. De hecho, sus orígenes datan del espionaje que se realizaba en la Segunda Guerra Mundial. Eso sí: hasta el día de hoy no se pensaba que los cables HDMI fueran susceptibles a ella.

Ante este escenario, son muchos los caminos que se abren para los ciberdelincuentes, que logran ver la pantalla de sus víctimas de forma inalámbrica a través de la radiación HDMI: desde ubicar un dispositivo de captura de señales dentro del edificio objetivo o bien quedarse cerca con una antena de radio para captar la radiación HDMI filtrada en el momento en que se produce.

El equipo de investigación uruguayo afirma que estos ataques ya están sucediendo en contra de agencias gubernamentales e industrias críticas sensibles, según publica el medio Techspot. Aunque es muy probable que estas organizaciones ya se encuentren protegidas contra este tipo de fugas electromagnéticas, aseguran.

¿Cómo protegerse en este escenario?

Existen diversas medidas de protección para evitar el espionaje de monitores a través de HDMI.

Por un lado, explican los investigadores, una técnica que puede funcionar es el “apantallamiento” de cables, es decir, valerse del revestimiento o apantallamiento de los cables para que esto pueda influir en una menor SNR (Signal-to-Noise Ratio) en la recepción.

Además, la utilización de dos cables juntos o más, ya que agrupar o “atar” dichos cables puede crear interferencia destructiva entre ellos, traduciéndose en una superposición de ambas señales involuntarias.

Si bien es baja la probabilidad de que se lleve a cabo un ataque de espionaje mediante esta técnica por la complejidad que tiene, investigaciones de este estilo nos muestran que cuando hablamos de tecnología los riesgos de seguridad pueden estar en los lugares menos pensados.

Y también nos recuerda la importancia de considerar la seguridad desde las etapas del diseño, ya que, así como este equipo de investigadores descubrió cómo extraer información que viaja a través de un cable HDMI, siempre puede haber alguien con malas intenciones buscando la manera de poner a prueba la seguridad de una determinada tecnología.

 

Fuente: www.welivesecurity.com

 

 

Ciberseguridad: un tema que preocupa a las empresas de América Latina

by morfil Noticias

Según el último ESET Security Report, el 28% de las empresas en LATAM considera que los riesgos asociados a la ciberseguridad son de máxima preocupación, y un 42% expresan preocupación alta. Conoce qué medidas tomar y cuáles son los principales desafíos.

Con el objetivo de comprender la importancia que tiene la ciberseguridad para las empresas de América Latina, en la nueva edición del ESET Security Report evaluamos el nivel de preocupación asociado con diversos riesgos: accesos indebidos a los sistemas, falta de disponibilidad de servicios críticos, extorsión, robo o fuga de información, y uso malicioso de recursos e infraestructura.

Del informe surge que la ciberseguridad es un tema que preocupa a las empresas de la región y, según la percepción de los encuestados, el 28% considera que estos riesgos son de máxima preocupación, mientras que el 42% los clasifica como de preocupación alta.

Resultados del ESET Security Report: Nivel de preocupación que representa para las empresas la ciberseguridad

Para profundizar, vale la pena destacar que la principal preocupación del C-Level, con un 77%, es la falta de disponibilidad de servicios críticos, lo cual claramente se alinea con la continuidad operativa del negocio. Por su parte, para los equipos técnicos (como administradores de Red, analistas y soporte), son el acceso indebido a sistemas (79%) y el robo o fuga de información (79%).

¿Qué medidas de seguridad implementan las empresas?

Ante este panorama, las empresas indicaron que el Firewall es la tecnología más ampliamente adoptada, con un 88% de las organizaciones implementándola, seguida muy de cerca por las soluciones de backup (85%) y de VPN (80%). Respecto de las soluciones antimalware, tienen una tasa de adopción por encima de la media, con un 64%.

Sí llama la atención que ciertas tecnologías avanzadas, como las soluciones de EDR que permiten hacer frente a la constante evolución de las amenazas informáticas y las nuevas técnicas y tácticas usadas para los ataques, tienen un bajo nivel de adopción en las empresas de la región. De hecho, apenas 2 de cada 5 organizaciones encuestadas la implementa.

Por otra parte, si bien el uso de contraseñas débiles es la causa de muchas de las intrusiones a los sistemas mediante ataques de fuerza bruta, solamente el 50% de las empresas asegura contar con un segundo factor de autenticación a pesar de que es una alternativa efectiva para contrarrestar este problema.

Y si bien, ante este escenario, incorporar alternativas que permitan hacer inteligencia de amenazas para conocer a los adversarios y ser más eficientes con la distribución de recursos en seguridad representa un gran paso en la madurez de las organizaciones, apenas 1 de cada 5 empresas de la región cuentan con esta tecnología.

También es interesante analizar que, aunque la fuga de información se constituye como la mayor preocupación de las empresas, apenas el 30% de las organizaciones cuentan con una solución de DLP, la cual ofrece, por ejemplo, la visibilidad de los datos confidenciales de la organización y comprobar si alguien está enviándolos a usuarios no autorizados.

Por último, dentro de las prácticas y políticas de gestión de ciberseguridad más adoptadas, la política de seguridad tiene un 83% de adopción. En contraposición, los planes de capacitación son una práctica de gestión que tiene poca adopción, ya que apenas la mitad de las empresas incluye la capacitación como parte de su plan de acción, y solo el 25% de las empresas realiza más de dos capacitaciones anuales.

¿Es posible trabajar de manera remota y segura?

Lo dicho: la ciberseguridad es una gran preocupación para las empresas de América Latina y es inevitable asociar esto al trabajo remoto, allí donde la superficie de ataque se amplía sensiblemente. La pandemia ocasionada por el COVID-19 aceleró la implementación del trabajo remoto por parte de las empresas de la región.

Hoy, el 62% de las organizaciones encuestadas funciona actualmente bajo un modelo de trabajo híbrido y solo el 3% mantiene un modelo totalmente remoto. Y en este contexto, el 77% considera que empresa sí está preparada para trabajar de forma remota y a la vez segura.

Ahora bien, en un escenario en el que los colaboradores y colaboradoras son parte fundamental de la seguridad de la información de las empresas, los cursos de capacitación (47%) y las charlas internas (33%) son los mecanismos más utilizados por las organizaciones para concientizarlos sobre ciberseguridad.

Y si bien el 51% de los colaboradores encuestados manifestó que recibe capacitaciones esporádicas por parte de su empresa, 1 de cada 5 aseguró que no cuenta con este tipo de formación. Y lo que es más alarmante aún: 1 de cada 4 colaboradores encuestados manifestó no sentirse capacitado en temas de ciberseguridad y apenas el 16% se siente capacitado para identificar posibles ataques.

 

Fuente: www.welivesecurity.com

Un escudo de confianza

by morfil Noticias

Cómo gestionar los riesgos de ciberseguridad a través de un enfoque basado en la evidencia.

Ya ha pasado un mes desde que el Departamento de Comercio de EE. UU. emitió su determinación final con respecto a la venta y uso de productos de Kaspersky por parte de personas en los EE. UU. Por si no lo sabes, la decisión de este organismo en términos generales fue prohibir los productos de Kaspersky en el mercado, salvo algunas excepciones relacionadas con productos y servicios informativos y educativos. El resultado es el siguiente: los usuarios de EE. UU. ya no pueden acceder al software de ciberseguridad que escogen por su calidad y experiencia.

A lo largo de sus 27 años de historia, nuestra empresa siempre ha sido reconocida por ofrecer la mejor protección del mercado contra todo tipo de ciberamenazas, sin importar de dónde provengan. Estos son algunos ejemplos. A principios de este año, nuestros productos recibieron una vez más el premio Producto del año de un renombrado laboratorio de pruebas independiente. Año tras año, nuestras soluciones han demostrado una protección del 100 % contra la amenaza más importante: el ransomware. Además, el equipo de investigación de amenazas de Kaspersky, respetado tanto por la comunidad global de seguridad informática como por nuestros usuarios, es quien descubre, analiza y, lo más importante, revela al mundo las campañas de espionaje más grandes y sofisticadas patrocinadas por estados.

Entonces, ¿cuál podría ser la razón para prohibir las mejores soluciones de ciberseguridad en su clase y en las que confían millones de personas? ¿Se ha definido el problema de forma clara y objetiva? ¿Has visto alguna evidencia de esos riesgos a los que el gobierno de EE. UU. se ha estado refiriendo durante años? Nosotros tampoco.

Al tener que lidiar con los resultados del creciente proteccionismo (y sus duros efectos), como las denuncias de conducta indebida sin evidencia y las acusaciones basadas puramente en riesgos teóricos, hemos estado desarrollando continuamente una metodología universal para evaluar productos de ciberseguridad y, al mismo tiempo, conservar nuestro principio clave: ser transparentes y abiertos sobre cómo hacemos nuestro trabajo en la máxima medida posible.

Nos hemos convertido en la primera y seguimos siendo la única empresa importante de ciberseguridad en proporcionar a terceros acceso a nuestro código fuente, y también permitimos que nuestros partners de confianza y partes interesadas verifiquen nuestras reglas de detección de amenazas y actualizaciones de software, en un gesto de buena voluntad que no tiene antecedentes. Desde hace varios años, contamos con nuestra Iniciativa de Transparencia Global, única en su alcance y valor práctico, que una vez más refleja nuestra actitud de cooperación y determinación para abordar cualquier inquietud potencial con respecto a cómo funcionan nuestras soluciones. Sin embargo, aún enfrentábamos recelos con respecto a la fiabilidad de nuestros productos, generalmente de factores externos como conjeturas geopolíticas, por lo que hicimos un esfuerzo adicional al sugerir un marco aún más completo, que evalúe la integridad de nuestras soluciones de seguridad a lo largo de su ciclo de vida.

Lo que describiré a continuación es un marco que hemos estado compartiendo de manera proactiva con las partes que expresan preocupación sobre la credibilidad de las soluciones de Kaspersky, incluidas las pertenecientes al gobierno de los Estados Unidos. Creemos que el marco es lo suficientemente integral como para tomar en cuenta las inquietudes expresadas con más frecuencia y tiene la capacidad de formar una cadena fiable de confianza.

Los pilares clave de la metodología de evaluación de la ciberseguridad que hemos estado presentando (que, por cierto, creemos que tiene el potencial de formar la base de una metodología para toda la industria) incluyen (i) la localización del procesamiento de datos, (ii) la revisión de los datos recibidos y (iii) la revisión tanto de la información como de las actualizaciones suministradas a las máquinas de los usuarios (como parte de las actualizaciones del software y de la base de datos de amenazas). Como sucede en el marco de nuestra Iniciativa de Transparencia Global, el objetivo principal de esta estrategia es la participación de un revisor externo para verificar los procesos y las soluciones de la empresa. Sin embargo, lo nuevo en esta metodología es tanto el alcance como la profundidad de tales revisiones. Veamos los detalles…

Localización del procesamiento de datos

El tema del procesamiento y el almacenamiento de datos ha sido uno de los más confidenciales, no solo para Kaspersky sino para toda la industria de la ciberseguridad. Con frecuencia recibimos preguntas lógicas sobre qué datos pueden procesar nuestros productos, cómo se almacenan estos datos y, fundamentalmente, por qué los necesitamos. La finalidad principal del procesamiento de datos para Kaspersky es brindar a nuestros usuarios y clientes las mejores soluciones de ciberseguridad. Al recopilar datos sobre archivos maliciosos y sospechosos que detectamos en las máquinas de los usuarios, podemos entrenar nuestros algoritmos y enseñarles cómo detectar nuevas amenazas y contener su propagación.

El marco que hemos estado presentando también implica una mayor localización de la infraestructura de procesamiento de datos y la implementación de controles técnicos y administrativos que restringen el acceso a dicha infraestructura de procesamiento para los empleados fuera de un país o región determinados. Ya hemos implementado un enfoque de este tipo en Arabia Saudita con nuestro servicio de Detección y respuesta gestionados (MDR), y los mismos mecanismos se han sugerido en nuestras conversaciones con las autoridades de los EE. UU. para responder a sus inquietudes. Estas medidas garantizan que los datos locales se almacenen y procesen en un entorno físico donde el control final sobre los datos recae en personas bajo la jurisdicción local o de un país aliado cercano, según lo consideren apropiado estas personas. Al igual que con los pasos mencionados anteriormente, se puede invitar a un validador externo independiente para que revise la efectividad de las medidas implementadas.

El procesamiento de datos locales requiere el análisis de amenazas locales y el desarrollo de firmas de detección de malware locales, y nuestra metodología contempla precisamente eso. La localización del procesamiento de datos requiere la expansión de los recursos humanos para respaldar la infraestructura local. Tenemos todo listo para desarrollar aún más nuestros equipos regionales de I+D y TI en países determinados. Estos equipos serán los únicos responsables de respaldar el procesamiento de datos nacionales, gestionar el software del centro de datos local y analizar el malware para identificar nuevas ATP específicas de la región determinada. Esta medida también garantiza que haya más expertos internacionales involucrados en el desarrollo de futuras líneas de productos de Kaspersky, para que nuestras iniciativas de I+D sean aún más descentralizadas.

Revisión del proceso de recuperación de datos

Protegemos los datos que recopilamos contra posibles riesgos mediante políticas, prácticas y controles internos rigurosos. Nunca atribuimos los datos recopilados a una persona u organización específica, los anonimizamos siempre que sea posible. Además, limitamos el acceso a dichos datos dentro de la empresa y procesamos el 99 % de ellos automáticamente.

A fin de mitigar aún más cualquier riesgo potencial para los datos de nuestros clientes, hemos sugerido contratar a un revisor autorizado independiente para que controle periódicamente nuestro proceso de recuperación de datos. Este revisor en tiempo real evaluará periódicamente los datos recibidos con herramientas de análisis de datos y plataformas de procesamiento de datos para asegurarse de que no se transfiera información de identificación personal u otros datos protegidos a Kaspersky, y para confirmar que los datos recuperados se utilicen únicamente para detectar y protegerse contra amenazas y se manejen apropiadamente.

Revisión de actualizaciones y datos suministradas a las máquinas de los usuarios

Como siguiente paso en el lado del producto, se proporcionará el marco de mitigación para las revisiones periódicas de terceros de nuestras actualizaciones de la base de datos de amenazas y el desarrollo de código de software relacionado con el producto a fin de mitigar los riesgos de cadena de suministro para nuestros clientes. Es importante destacar que el tercero será una organización independiente que informará directamente a un regulador local. Esto se sumará al proceso de desarrollo de software riguroso y seguro existente de Kaspersky, que se enfoca en mitigar los riesgos, incluido un escenario en el que hay un intruso en el sistema, para garantizar que nadie pueda añadir código no autorizado a nuestros productos o bases de datos de antivirus.

Sin embargo, para mejorar aún más las garantías de seguridad, la participación de un revisor externo en tiempo real tiene como objetivo evaluar la seguridad del código desarrollado por los ingenieros de Kaspersky, sugerir mejoras e identificar riesgos potenciales para luego determinar las soluciones apropiadas.

A continuación, se muestra uno de los escenarios de cómo se puede organizar dicha verificación de las actualizaciones de la base de datos de amenazas:

Uno de los escenarios de revisión en tiempo real de bases de datos de amenazas.

Es importante enfatizar que la revisión de terceros puede incluir bloqueo o no, realizarse de forma regular o una vez que se acumule una masa crítica de actualizaciones/componentes para su revisión, así como aplicarse a todos los componentes o solo a los que se elijan. La opción de revisión más avanzada que se propone incluye bloqueo en tiempo real, lo que permite a los revisores controlar completamente el código suministrado a las máquinas de los usuarios. Una revisión con bloqueo evita que cualquier código se introduzca a un producto o actualizaciones (y, por lo tanto, a los clientes de Kaspersky) durante el proceso de revisión.

Este proceso de revisión integral podría mejorarse aún más con la firma del revisor en todas las actualizaciones suministradas a las máquinas de los usuarios después de que se haya confirmado y creado el código subyacente. Esto garantiza que el código no se modifique después de ser revisado en tiempo real.

La revisión propuesta no solo permite la verificación en tiempo real de la seguridad del código recientemente desarrollado, sino que además proporciona acceso a todo el código fuente, incluido su historial. Esto permite al revisor evaluar completamente el código recientemente desarrollado, comprender sus cambios a lo largo del tiempo y ver cómo interactúa con otros componentes del producto.

Una revisión de código tan absoluta también iría acompañada de acceso a una copia del entorno de desarrollo de software de la empresa, que refleja el que se usa en Kaspersky, incluidas las instrucciones de compilación y scripts, la documentación de diseño detallada y las descripciones técnicas de procesos e infraestructura. Por lo tanto, el revisor en tiempo real podría desarrollar o compilar código de forma independiente y comparar binarios y/u objetos de compilación intermedios con las versiones enviadas. El revisor también podría verificar la infraestructura de compilación y el software para detectar cambios.

Además, se podría proporcionar a un tercero independiente de confianza acceso a las prácticas de desarrollo de software de la empresa. Este análisis independiente tendría como objetivo proporcionar más garantías de que las medidas y los procesos aplicados por Kaspersky se ajustan a las prácticas líderes de la industria. El acceso cubriría toda la documentación de seguridad relevante, incluida, entre otras, la definición de requisitos de seguridad, el modelado de amenazas, la revisión de código, la verificación de código estático y dinámico, las pruebas de penetración, etc.

La conclusión es que, a nuestro juicio, la estrategia antes mencionada puede abordar la mayoría de los riesgos de la cadena de suministro de TIC relacionados con el desarrollo y la distribución de productos de una manera eficaz y verificable. Como mencioné anteriormente, estas son de hecho las medidas de mitigación que hemos presentado en una propuesta para analizar con el Departamento de Comercio de los Estados Unidos, lo que confirma una vez más nuestra apertura al diálogo y la determinación de proporcionar el máximo nivel de garantías de seguridad. Sin embargo, nuestra propuesta fue simplemente ignorada. Esto me lleva a creer que el motivo se basa en las ideas preconcebidas del Departamento de Comercio. Parece que en lugar de evaluar nuestra propuesta según su eficacia para abordar riesgos, se ha examinado para encontrar una excusa de rechazo.

Si bien tenemos que admitir que una vez más debemos lidiar con un acto de proteccionismo digital, sé con certeza que el mundo necesita una estrategia global de gestión de riesgos de ciberseguridad. Es crucial poder abordar el panorama de amenazas en evolución de manera efectiva y garantizar un enfoque unificado para gestionar los riesgos de seguridad cibernética en los diversos dominios de seguridad de TI. Este enfoque también podría ayudar a evitar decisiones a corto plazo que privan a millones de usuarios de su libertad de elección con respecto a una protección de ciberseguridad creíble y la creación de restricciones artificiales en el intercambio de datos entre los profesionales de la ciberseguridad. Permitamos que estos expertos se centren en su importante trabajo sin la carga adicional de la geopolítica, cuya influencia solo beneficia a los cibercriminales.

En un mundo interconectado donde las ciberamenazas trascienden las fronteras, una estrategia global es vital para reforzar las defensas de la ciberseguridad, mejorar la confianza y promover un ecosistema digital más seguro. Nuestro marco abre la puerta a un debate dentro de la industria sobre cómo debería ser una evaluación de la ciberseguridad de la cadena de suministro universal, con el objetivo final de construir un escudo de confianza sólido y, en consecuencia, un mundo más seguro.

 

Fuente: latam.kaspersky.com

La complejidad de los procesos de actualización de la ciberseguridad

by morfil Noticias

Si un proceso de actualización de software falla, puede tener consecuencias catastróficas, como se ha visto hoy con las pantallas azules de la muerte generalizadas atribuidas a una mala actualización de CrowdStrike.

La ciberseguridad es a menudo cuestión de velocidad; un actor de amenaza crea una técnica o código de ataque malicioso, las empresas de ciberseguridad reaccionan ante la nueva amenaza y, si es necesario, ajustan y adoptan métodos para detectar la amenaza. Esa adopción puede requerir la actualización de los sistemas de detección en la nube y/o la actualización de los dispositivos de punto final para proporcionar la protección necesaria contra la amenaza. Y la velocidad es esencial, ya que el sector de la ciberseguridad está ahí para proteger, detectar y responder a las amenazas a medida que se producen.

Los procesos que las empresas de ciberseguridad ponen en marcha para evitar conflictos entre una actualización y el sistema operativo u otros productos suelen ser importantes, con entornos de prueba automatizados que simulan escenarios reales de distintos sistemas operativos, distintas variantes de controladores de sistema y similares.

Esto, en algunos casos, puede ser supervisado por humanos, una firma final de que todos los procesos y procedimientos se han seguido y no hay conflictos. También puede haber terceras partes, como un proveedor de sistemas operativos, en esta mezcla que prueban independientemente del proveedor de ciberseguridad, tratando de evitar cualquier interrupción importante, como estamos viendo hoy.

En un mundo perfecto, un equipo de ciberseguridad tomaría la actualización y la probaría en su propio entorno, asegurándose de que no hay incompatibilidad. Una vez que esté seguro de que la actualización no causa problemas, comenzaría un despliegue programado de la actualización, tal vez de un departamento a la vez. De este modo, se reduce el riesgo de que se produzca un problema importante en las operaciones de la empresa.

Este no es ni puede ser el proceso para las actualizaciones de productos de ciberseguridad, ya que deben desplegarse a la misma velocidad a la que se distribuye una amenaza, normalmente de forma casi instantánea. Si el proceso de actualización falla puede ser catastrófico, como está ocurriendo hoy con una actualización de software de CrowdStrike, con pantallas azules de la muerte e infraestructuras enteras caídas.

Esto no significa incompetencia del proveedor, es probable que sea un escenario de mala suerte, una tormenta perfecta de actualizaciones o configuraciones que crean el incidente. Eso, por supuesto, a menos que la actualización haya sido manipulada por un actor malintencionado, lo que no parece ser el caso en esta ocasión.

¿Qué debemos extraer de este incidente?

En primer lugar, es probable que todos los proveedores de ciberseguridad revisen sus procesos de actualización para asegurarse de que no hay lagunas y ver cómo pueden reforzarlos. Para mí, la verdadera enseñanza es que cuando una empresa alcanza una posición significativa en el mercado, su dominio puede provocar un acontecimiento semi-monocultural: un problema afectará a muchos.

Cualquier profesional de la ciberseguridad utilizará términos como “defensa en profundidad” o “capas de defensa”, que se refieren al uso de múltiples tecnologías y, en la mayoría de los casos, múltiples proveedores para frustrar posibles ataques.

No debemos perder de vista quién tiene la culpa cuando se produce un incidente como este, si los ciberdelincuentes y los atacantes de los estados nación no crearan ciberamenazas, entonces no necesitaríamos protección en tiempo real.

Fuente: www.welivesecurity.com

 

Estafas habituales relacionadas a préstamos personales y cómo evitarlas

by morfil Noticias

Las estafas de préstamos personales se aprovechan de la vulnerabilidad financiera y pueden llegar a atraparte en un círculo vicioso de deudas. ESET, compañía líder en detección proactiva de amenazas, explica cómo evitar este tipo de estafa.

Ecuador ­– Desde la pandemia, los tiempos han sido difíciles económicamente, afectando personas de todo el mundo. Las perturbaciones climáticas, las subidas de los precios de los alimentos y la energía y la persistente inflación en otros lugares han reducido el gasto de los hogares y ejercido presión sobre las familias. Los ciberdelincuentes están a la espera para ver cómo pueden sacar provecho de la desgracia ajena y últimamente se identificaron fraudes vinculados a la temática de préstamos.

“El fraude en los préstamos puede adoptar varias formas, pero en el fondo utiliza el señuelo de los préstamos sin condiciones para engañar a internautas vulnerables. Quienes corren mayor riesgo son los jóvenes, las personas mayores, los hogares con bajos ingresos y las personas con baja solvencia ya que los estafadores saben que estos grupos son los más afectados por la crisis del costo de la vida y desarrollaron diversas estrategias para engañarlos y hacerles entregar su dinero. Además, puede ser especialmente común en determinadas épocas del año, por ejemplo, la Autoridad de Conducta Financiera (FCA), alertó en diciembre sobre el aumento de los fraudes relacionados con comisiones de préstamos, ya que el 29% de las madres y padres británicos han pedido dinero prestado, o tienen intención de hacerlo, en vísperas de Navidad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las principales amenazas de fraude en los préstamos, según ESET, son:

1. Fraude de comisiones de préstamo (comisiones por adelantado): Probablemente el tipo más común de fraude de préstamos, suele implicar a un estafador que se hace pasar por un prestamista legítimo. Afirmarán que ofrecen un préstamo sin condiciones, pero le pedirán que pague una pequeña cantidad por adelantado para acceder al dinero. A continuación, los estafadores desaparecen con el dinero. Pueden decir que la comisión es un “seguro”, una “comisión administrativa” o incluso un “depósito”, o que se debe a que la víctima tiene una mala calificación crediticia. Normalmente, el estafador dirá que es reembolsable. Sin embargo, a menudo pedirá que se pague en criptomoneda, a través de un servicio de transferencia de dinero o incluso como un cheque regalo. De este modo, será prácticamente imposible recuperar los fondos perdidos.

2. Fraude de préstamos estudiantiles: Estas estafas también incluyen condiciones de préstamo tentadoras o incluso la condonación de la deuda, asistencia falsa para el reembolso del préstamo, promesas fraudulentas de reducir los pagos mensuales, consolidar varios préstamos estudiantiles en un “paquete” más manejable o negociar con los prestamistas en nombre de los prestatarios, a cambio de comisiones por adelantado por estos “servicios”. A menudo se engaña a personas desprevenidas para que faciliten su información personal y financiera, que los estafadores utilizan después con fines fraudulentos o de usurpación de identidad.

3. Fraude “phishing” de préstamos: Algunas estafas pueden consistir en que el estafador le pida que rellene un formulario en línea antes de poder “tramitar” el préstamo, pero al hacerlo entregará sus datos personales y financieros directamente a los ciberdelincuentes para que los utilicen en un fraude de identidad más grave. Este tipo de estafa puede combinarse con la de los anticipos, con la consiguiente pérdida de dinero y de datos personales y bancarios confidenciales.

4. Aplicaciones de préstamos maliciosas: En los últimos años, ESET ha observado un aumento preocupante de aplicaciones maliciosas para Android disfrazadas de aplicaciones de préstamos legítimas. A principios de 2022, notificó a Google por 20 de estas aplicaciones fraudulentas que habían superado los nueve millones de descargas colectivas en la tienda oficial Play Store. Las detecciones de aplicaciones “SpyLoan” aumentaron un 90% entre el segundo semestre de 2022 y el primero de 2023. Y en 2023, ESET encontró otras 18 apps maliciosas con 12 millones de descargas.

Aplicaciones fraudulentas de préstamos

Las aplicaciones SpyLoan atraen a las víctimas con la promesa de préstamos fáciles a través de mensajes SMS y en redes sociales como X (antes Twitter), Facebook y YouTube. A menudo imitan la marca de empresas reconocidas de préstamos y servicios financieros en un intento de dar legitimidad a la estafa. Al descargar una de estas aplicaciones, se solicita confirmar un número de teléfono y facilitar abundante información personal. Esto podría incluir la dirección, información sobre cuentas bancarias y fotos de carnés de identidad, así como una fotografía selfie, todo lo cual puede utilizarse para el fraude de identidad. Incluso si no se solicita un préstamo (que en cualquier caso será rechazado), los desarrolladores de la aplicación pueden empezar a acosar y chantajear al usuario para que le entregue dinero, amenazándolo incluso con hacerle daño físico.

5. Estafas de préstamos de día de pago: Estos estafadores se dirigen a personas que necesitan dinero rápido, a menudo personas con problemas de crédito o dificultades financieras. Al igual que en las otras variantes, prometen una aprobación rápida y fácil del préstamo con una documentación mínima y sin comprobar el crédito, aprovechándose de la urgencia de la situación financiera del prestatario. Para solicitar el préstamo, el estafador suele pedir que se facilite información personal y financiera confidencial, como su número de la seguridad social, datos de cuentas bancarias y contraseñas, utilizándola para el robo de identidad y el fraude financiero.

6. Fraude en el reembolso de préstamos: Algunas estafas requieren más trabajo de reconocimiento previo por parte de los delincuentes. En esta versión, se dirigen a víctimas que ya han solicitado un préstamo. Suplantando a la compañía de préstamos, le enviarán una carta, mensaje o un correo electrónico alegando que ha incumplido un plazo de devolución y exigiéndole el pago más una penalización.

7. Suplantación de identidad: Un método ligeramente distinto consiste en robar datos personales y financieros mediante, por ejemplo, un ataque de phishing. Luego utilizarlos para pedir un préstamo en nombre de la víctima: el estafador pedirá el máximo del préstamo y desaparecerá, dejando al usuario con las manos vacías y el pago pendiente.

Para protegerse del fraude en los préstamos, ESET recomienda prestar atención a las siguientes señales de alarma:

  • Aprobación garantizada de un préstamo
  • Solicitud de una comisión por adelantado
  • Contacto no solicitado de la empresa de préstamos
  • Tácticas de presión y sensación de urgencia, que son un truco sumamente popular entre los estafadores de diversos tipos
  • La dirección de correo electrónico del remitente o dominio del sitio web no coincide con el nombre de la empresa

Tener en cuenta también las siguientes medidas de precaución:

  • Investigar la empresa que dice ofrecer el préstamo.
  • Nunca pagar una comisión por adelantado a menos que la empresa envíe una notificación oficial en la que se expongan las condiciones del préstamo y los motivos del recargo (que deberá aceptar por escrito).
  • Utilizar siempre antimalware en computadoras, laptops, tabletas electrónicas y autenticación multifactor (MFA) para reducir las posibilidades de robo de datos.
  • No responder directamente a correos electrónicos no solicitados.
  • No compartir demasiado en Internet: los estafadores pueden estar rastreando las redes sociales en busca de oportunidades para aprovecharse de la situación financiera de los usuarios.
  • Descargar únicamente aplicaciones de las tiendas oficiales de Google/Apple.
  • Asegurarse de que el dispositivo móvil está protegido con software de seguridad de un proveedor de confianza.
  • No descargar aplicaciones que pidan demasiados permisos.
  • Leer las opiniones de los usuarios antes de descargar cualquier aplicación.
  • Denunciar las sospechas de estafa a las autoridades.

“Mientras haya personas que necesiten financiación, el fraude en los préstamos será una amenaza. Si te mantienes escéptico en Internet y conoces las tácticas de los estafadores, podrás tomar las medidas de protección necesarias para mantenerte alejado de sus garras.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

 

¿Qué tan seguras son tus contraseñas?

by morfil Noticias

ECUADOR­, Una de las primeras líneas de defensa contra las invasiones de la privacidad y el robo de identidad es una contraseña fuerte y segura. Con la creciente digitalización de nuestras vidas, la seguridad es una preocupación creciente.

A la hora de crear una contraseña fuerte, es fundamental tener en cuenta varios aspectos que aumentan su resistencia a los ciberataques. Estos son algunos puntos clave que comparte ESET:

  • Longitud: La longitud de una contraseña es un factor clave en su seguridad. Las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta, en la que los piratas informáticos intentan todas las combinaciones posibles para obtener acceso a una cuenta. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero cuanto más largas, mejor. Una contraseña con 20 caracteres o más es aún más segura.
  • Complejidad: Además de la longitud, la complejidad de las contraseñas juega un papel crucial en su seguridad. Una contraseña segura debe incluir una variedad de caracteres, como letras mayúsculas y minúsculas, números y símbolos especiales como @, #, $, %, y más. La inclusión de estos elementos aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de descifrar.
  • Aleatoriedad: Evitar patrones predecibles o secuencias obvias. Las contraseñas que consisten en palabras comunes, nombres de personas, fechas de nacimiento o cadenas como «123456» o «qwerty» son extremadamente vulnerables a los ataques. Opta por contraseñas generadas aleatoriamente o crea tus propias combinaciones que no tengan nada que ver con la información personal.
  • Diversidad: Es tentador usar la misma contraseña para varias cuentas, después de todo, es más fácil de recordar. Sin embargo, esta práctica es muy arriesgada. Si una contraseña se ve comprometida en una cuenta, todas las demás cuentas que comparten esa contraseña son vulnerables. Por lo tanto, debes utilizar contraseñas diferentes para cada cuenta en línea que tengas.

Tener en cuenta estos principios fortalecerá significativamente la seguridad de tus cuentas en línea, reducirá los riesgos de vulneraciones, y protegerá tu información personal. Un administrador de contraseñas puede ayudar a manejar de forma segura varias contraseñas sin necesidad de memorizarlas. Estas herramientas le permiten almacenar de forma segura varias contraseñas. Además, muchos administradores de contraseñas ofrecen funciones para generarlas automáticamente, lo que elimina la necesidad de crearlas manualmente.

¿Cómo agregarles seguridad a tus cuentas?

Además de crear contraseñas seguras, hay una serie de pasos adicionales que puede tomar para fortalecer la seguridad y proteger su información personal, como la autenticación de dos factores (2FA). La autenticación de dos factores es una capa adicional de seguridad que requiere no solo la contraseña, sino también un segundo método de verificación, como un código enviado a su teléfono móvil o generado por una aplicación de autenticación. Al habilitar 2FA es más difícil el acceso no autorizado, incluso si la contraseña se ve comprometida.

“Mantener actualizadas las contraseñas también hace a la seguridad. Es importante no solo crear contraseñas seguras, sino también actualizarlas regularmente. Esto es especialmente importante si sospechas que tus cuentas pueden haber sido comprometidas. Al cambiarlas periódicamente, reduces el tiempo de exposición en caso de una brecha de seguridad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. “En un mundo donde la seguridad en línea es una prioridad absoluta, tomar estas medidas adicionales de protección es esencial para garantizar la seguridad de tus cuentas e información personal. Al seguir estas pautas y mejores prácticas, puede navegar por Internet con más confianza, sabiendo que tus cuentas en línea están protegidas de las amenazas cibernéticas.”, concluye el investigador.

Fuente: Departamento de Comunicación ESET Ecuador.

8 de marzo – ¿Qué pasa con las mujeres en ciberseguridad?

by morfil Noticias

En el Día Internacional de la Mujer, te invitamos a reflexionar sobre la representación femenina en el ámbito de la ciberseguridad, repasando qué avances hubo y qué retos enfrentamos en el camino hacia la equidad de género.

A medida que avanza la tecnología, la protección contra las amenazas cibernéticas se convierte en una preocupación central. Sin embargo, la participación de las mujeres en este sector sigue siendo notablemente baja.

En este Día Internacional de la Mujer, te propongo una reflexión a ti que trabajas en ciberseguridad: ¿Cuántas mujeres ves a tu alrededor?

La ciberseguridad ha estado dominada por los varones, lo que refleja una tendencia persistente en muchas áreas de la tecnología.  

Los estereotipos de género desempeñan un papel importante en la perpetuación de esta disparidad: la imagen del profesional de la ciberseguridad como masculino puede ser una barrera para el ingreso y el avance de las mujeres en la industria, y desalentarlas a considerar carreras en este campo.

En 2023, el número de profesionales de ciberseguridad a nivel mundial ascendió a 5.452.732 (en América Latina este número fue de 1.285.505), pero solo el 25% son mujeres.

Desafíos profesionales

La presencia femenina en la ciberseguridad se enfrenta a una serie de obstáculos importantes. Las teorías profundamente arraigadas retratan al profesional de la ciberseguridad como predominantemente masculino y esta percepción puede disuadir a las mujeres de considerar carreras en ciberseguridad, perpetuar la desigualdad de género y alimentar la escasez de representación femenina en la industria.

Son varios los obstáculos que dificultan el acceso de las mujeres a la ciberseguridad. Según una investigación de (ISC)² realizada en 2022, la mayoría de las mujeres que trabajan en este campo afirman haber sufrido discriminación de género. Un 87% de las mujeres declaró haber sufrido discriminación por sesgos inconscientes, mientras que el 19% afirmó haber sido víctima de discriminación explícita. Además, señalaron retrasos injustificados en el progreso profesional (53%) y reacciones exageradas a los errores (29%).

La discriminación también se refleja en la disparidad salarial. Los datos de (ISC)² muestran que el 32% de los varones que trabajan en ciberseguridad tienen un ingreso anual promedio entre $50,000 y $100,000 dólares, mientras que solo el 18% de las mujeres tienen el mismo ingreso. Además, el 25% de los varones tienen ingresos anuales de entre 100.000 y 500.000 dólares, mientras que en las mujeres solo el 20% logra esta retribución.

Sin embargo, la baja tasa de participación de las mujeres en los campos de la ciberseguridad y STEM (Science, Technology, Engineering, and Mathematics) se atribuye a una escasa presencia femenina en la educación superior en estas áreas, que trae aparejada una limitada reserva de talentos. Esta falta de representación en los entornos académicos contribuye a limitar el número de mujeres que consideran o ingresan a carreras relacionadas con la ciberseguridad.

La actualidad de las mujeres en ciberseguridad

A pesar de los desafíos, hay signos de cambio alentadores: datos recientes revelan que el 25% de los profesionales en este campo son mujeres, un aumento significativo en comparación con la tasa del 11% registrada hace una década. Este crecimiento evidencia un movimiento progresivo hacia la equidad de género en la industria y refleja los esfuerzos continuos para alentar y empoderar a las mujeres en ciberseguridad.

Este cambio está impulsado por organizaciones e iniciativas de todo el mundo que trabajan para promover la equidad de género en la industria al brindar oportunidades de educación, capacitación y tutoría para mujeres interesadas en unirse o avanzar en sus carreras en ciberseguridad.

Estos esfuerzos están contribuyendo a crear un entorno más inclusivo y diverso en el que las mujeres puedan prosperar y hacer contribuciones valiosas.

En puestos de liderazgo, además, se observa un aumento de la presencia de mujeres, lo que demuestra un importante avance hacia la igualdad de oportunidades en el sector. Las mujeres ahora ocupan puestos clave, lideran equipos y contribuyen a la formulación de políticas y estrategias.

Este progreso refleja el reconocimiento del valor y las habilidades de las mujeres y ayuda a cubrir la escasez de mano de obra en la industria, a la vez que aporta diversidad de perspectivas y experiencias que enriquecen la toma de decisiones e impulsan la innovación.

La creciente participación de las mujeres en ciberseguridad no solo promueve la equidad de género, sino que también fortalece a la industria en su conjunto. A medida que más mujeres ingresan a este campo, la industria se beneficia de una amplia gama de perspectivas, habilidades y talentos.

La diversidad es clave para abordar los desafíos cibernéticos cada vez más complejos y sofisticados, garantiza la seguridad y la protección de datos y sistemas vitales en un mundo digital en constante evolución.

En conclusión, si bien la brecha de género en ciberseguridad sigue siendo significativa, se está avanzando para cerrarla. Cada vez hay más conciencia sobre la importancia de la diversidad de género y cada vez son más las mujeres que se aventuran en la ciberseguridad.

A medida que la tecnología avanza y las amenazas cibernéticas se multiplican, la demanda de profesionales calificados/as aumenta y la industria de la ciberseguridad se presenta como una oportunidad emocionante e intelectualmente estimulante, con cada vez más presencia femenina.

Sin embargo, aún queda trabajo por hacer para eliminar los estereotipos de género y la discriminación, y asegurar que las mujeres sean valoradas y respetadas. A medida que más mujeres ingresan a este campo, la industria se beneficia de una gama más amplia de perspectivas y habilidades, fortaleciendo su capacidad para enfrentar los desafíos cibernéticos del futuro.

Fuente: www.welivesecurity.com

Educación superior y ciberseguridad

by morfil Noticias

Nuestros colegas realizaron un estudio en el que, entre otras cosas, evaluaron cómo la educación en el campo de la seguridad de la información se relaciona con una carrera en ese campo.

El mercado laboral ha experimentado durante mucho tiempo una escasez de expertos en ciberseguridad. A menudo, las empresas que necesitan especialistas en seguridad de la información no pueden encontrar ninguno, al menos, aquellos que tengan la educación formal especializada y la experiencia necesaria. Para comprender lo importante que es para una empresa contar con especialistas con educación formal en esta área y qué tan bien dicha educación satisface las necesidades modernas, nuestros colegas realizaron un estudio en el que entrevistaron a más de mil empleados de 29 países en diferentes regiones del mundo. Entre los encuestados se encontraban especialistas de varios niveles: desde principiantes con dos años de experiencia, hasta directores de Tecnología de la Información (CIO) y gerentes de Centros de Operaciones de Seguridad (SOC) con 10 años de experiencia. Y, a juzgar por las respuestas de los encuestados, parece que la educación clásica no se mantiene al día con las tendencias de la seguridad de la información.

En primer lugar, los resultados de la encuesta indicaron que no todos los especialistas tienen una educación superior: más de la mitad (53 %) de los trabajadores de la seguridad de la información no tienen educación de posgrado. Y, en lo que respecta a los que sí la tienen, uno de cada dos trabajadores duda de que su educación formal realmente les ayude a realizar sus tareas laborales.

La ciberseguridad es una industria que cambia rápidamente. El panorama de amenazas está cambiando tan rápido que incluso un retraso de un par de meses puede ser crítico, mientras que la obtención de un título académico puede llevar de cuatro a cinco años. Durante este tiempo, los atacantes pueden modernizar sus tácticas y métodos de tal manera que un “especialista” graduado en seguridad de la información tendría que leer rápidamente todos los artículos más recientes sobre amenazas y métodos de defensa en caso de un ataque real.

Los especialistas en seguridad de la información con experiencia en la vida real sostienen que las instituciones educativas, en cualquier caso, no proporcionan suficientes conocimientos prácticos y no tienen acceso a tecnologías y equipos modernos. Por lo tanto, para trabajar en el campo de la seguridad de la información y luchar contra las ciberamenazas reales, de todos modos se requiere cierta educación adicional.

Todo esto, por supuesto, no significa que los profesionales de la ciberseguridad con educación superior sean menos competentes que sus colegas sin ella. En última instancia, la pasión y la capacidad de mejorar continuamente son de suma importancia en el desarrollo profesional. Muchos encuestados señalaron que recibieron más conocimientos teóricos que prácticos en las instituciones educativas tradicionales, pero sintieron que la educación formal seguía siendo útil ya que, sin una base teórica sólida, la incorporación de nuevos conocimientos progresaría más lentamente. Por otro lado, los especialistas que no tienen ninguna educación de posgrado, o que llegaron a la seguridad de la información desde otra industria de la tecnología de la información, también pueden convertirse en especialistas efectivos en la protección contra las ciberamenazas. Realmente todo depende de la persona.

Cómo mejorar la situación del mercado

Para que el mercado atraiga a un número suficiente de expertos en seguridad de la información, la situación debe ser equilibrada para ambas partes. Primero, tiene sentido que las universidades consideren asociarse con Kaspersky Academy Alliance empresas de ciberseguridad. Esto les permitiría proporcionar a los estudiantes conocimientos más aplicables en la práctica. Y, en segundo lugar, es una buena idea que las empresas desarrollen periódicamente la experiencia de sus empleados con la ayuda de cursos educativos especializados.

Fuente: latam.kaspersky.com

 

La presión creciente sobre los CISO está afectando la ciberseguridad corporativa

by morfil Noticias

El aumento de la responsabilidad y la carga de trabajo de Chief Information Security Officers hacen temblar las estrategias de ciberdefensa de una organización.

La presión creciente sobre los CISO está afectando la ciberseguridad corporativa.

La ciberseguridad se está convirtiendo, por fin, en un asunto de importancia para los directivos de las organizaciones y tiene cada vez un papel más importante en la toma de decisiones estratégicas. Y así debe ser, ya que el riesgo cibernético es un riesgo básico con el potencial de hacer o deshacer una organización. Tan es así que es el principal fundamento que subyace a las nuevas normas reguladoras en Estados Unidos, por ejemplo.

Este reconocimiento de la importancia de la ciberseguridad, por otro lado, trajo más presión sobre los CISO (Chief Information Security Officer), sin que necesariamente tengan el reconocimiento y la recompensa adecuados. El resultado: aumento del estrés, el agotamiento y la insatisfacción. El 75% de los CISO están dispuestos a cambiar de trabajo, —ocho puntos porcentuales más que hace un año—, y solo un 64% está satisfecho con su función —una caída del 10% con respecto al año anterior—.

Esta situación representa un riesgo adicional para la ciberseguridad dentro de las organizaciones, y abordar estas cuestiones debería ser una prioridad urgente.

Un papel cada vez más estresante

Los CISO siempre han tenido un trabajo estresante, y entre las causas más recientes de este estrés se encuentran:

  • El aumento de los niveles de ciberamenazas, que deja a muchas organizaciones en modo de alerta permanente.
  • La escasez de competencias en el sector, que deja a los equipos clave sin personal suficiente.
  • Excesiva carga de trabajo debido a las crecientes exigencias de las gerencias y altos mandos.
  • Falta de recursos y financiación adecuados
  • Carga de trabajo que obliga a los CISO a trabajar muchas horas y cancelar vacaciones
  • La transformación digital, que sigue ampliando la superficie de ciberataques corporativos
  • Requisitos de cumplimiento que siguen creciendo con cada año que pasa

No es de extrañar que una cuarta parte (24%) de los líderes mundiales de TI y seguridad hayan admitido automedicarse para aliviar el estrés. Los crecientes niveles de este padecimiento, aumentan las probabilidades de agotamiento y/o jubilación anticipada, y podrían conducir a una mala toma de decisiones (como se señala en este estudio, por ejemplo), así como afectar a las habilidades cognitivas y a la capacidad de pensar racionalmente.

De hecho, se ha sugerido que incluso la anticipación de un día estresante puede afectar a la cognición; alrededor de dos tercios (65%) de los CISO admiten que el estrés laboral ha comprometido su capacidad de rendimiento en el trabajo.

Mayor escrutinio legal, normativo e interno sobre los CISO

A la base de estrés por las características del puesto, se le ha sumado en los últimos meses un mayor escrutinio normativo, legal y por parte de los consejos de administración. Es relevante, en este sentido, detallar estos tres acontecimientos recientes que lo grafican:

  • Mayo de 2023: El ex CSO de Uber, Joe Sullivan, fue condenado a tres años de libertad condicional tras ser declarado culpable de dos delitos graves relacionados con su papel en un intento de encubrimiento de una mega brecha de 2016. Sus partidarios afirman que fue el chivo expiatorio del entonces CEO Travis Kalanick y del abogado interno de Uber Craig Clark, con Sullivan explicando que Kalanick había firmado su controvertido pago de 100.000 dólares a los hackers.
  • Octubre de 2023: Por primera vez, la SEC acusó al CISO de SolarWinds, Timothy Brown, de minimizar o no revelar el riesgo cibernético mientras exageraba las prácticas de seguridad de la firma. La denuncia hace referencia a varios comentarios internos realizados por Brown y alega que no resolvió o elevó estas graves preocupaciones dentro de la empresa.
  • Diciembre de 2023: Entran en vigor las nuevas normas de información de la SEC, que obligan a las empresas que cotizan en bolsa a informar de los incidentes cibernéticos “importantes” en un plazo de cuatro días hábiles a partir de la determinación de la importancia. Las empresas también tendrán que describir anualmente sus procesos de evaluación, identificación y gestión de riesgos y el impacto de cualquier incidente. Y tendrán que detallar la supervisión del riesgo cibernético por parte del consejo de administración y su experiencia en la evaluación y gestión de dicho riesgo.

No es solo en Estados Unidos donde está aumentando la supervisión reglamentaria: la nueva directiva NIS2, cuya transposición a la legislación de los Estados miembros de la UE está prevista para octubre de 2024, impone al consejo la responsabilidad directa de aprobar las medidas de gestión del ciberriesgo y supervisar su aplicación.

Los miembros de la alta dirección también pueden ser considerados personalmente responsables si se demuestra su negligencia en caso de incidentes graves.

Según el analista de Enterprise Strategy Group (EST) Jon Oltsik, la creciente presión que estas medidas están ejerciendo sobre los CISO está dificultando su labor principal de responder a las amenazas y gestionar los riesgos cibernéticos. Un estudio reciente de ESG revela que tareas como trabajar con la junta directiva, supervisar el cumplimiento de la normativa y gestionar un presupuesto están haciendo que el papel del CISO deje de ser técnico para orientarse al negocio. Al mismo tiempo, la creciente dependencia de TI para impulsar la transformación digital y el éxito empresarial se ha vuelto abrumadora. La encuesta afirma que el 65 % de los CISO han considerado dejar su puesto debido al estrés.

Conclusiones para los CISO y las juntas directivas

La conclusión es que si los CISO están luchando para hacer frente a la carga de trabajo, y con miedo a represalias regulatorias e incluso responsabilidad penal por sus acciones, es probable que tomen peores decisiones cotidianas. Muchos podrían incluso abandonar el sector. Esto tendría un impacto enormemente negativo en un sector que ya sufre escasez de personal cualificado.

Pero no tiene por qué ser así. Hay cosas que tanto los consejos de administración como sus CISO pueden hacer para aliviar la situación:

  • Los consejos deberían evaluar la salud mental, la carga de trabajo, los recursos y las estructuras de información de los CISO para optimizar su eficacia y evitar bajas por motivos de salud. Largos periodos sin un CISO a tiempo completo, afecta a la estrategia de seguridad.
  • Los consejos de administración deberían remunerar a sus CISO en consonancia con el elevado riesgo que su función conlleva en la actualidad.
  • Es esencial un compromiso regular entre el consejo y el CISO, con líneas de información directas al CEO si es posible. Esto ayudará a mejorar la comunicación entre ambos y a elevar la posición del CISO de acuerdo con sus responsabilidades.
  • Los consejos deberían proporcionar a sus CISO un seguro de directores y funcionarios (D&O ) para ayudar a aislarlos de riesgos graves.
  • Los CISO deben permanecer en el sector que aman y asumir mayores responsabilidades en lugar de huir de ellas. Pero también deben recordar que su papel es asesorar y proporcionar contexto al consejo. Deje que otros tomen las decisiones importantes.
  • Los CISO deben priorizar siempre la transparencia y la apertura, especialmente con los reguladores.
  • Los CISO deben ser conscientes de lo que hacen circular internamente y asegurarse de que las decisiones polémicas o las peticiones de la alta dirección se registran siempre por escrito.

Para optimizar la estrategia de ciberseguridad, los consejos deberían empezar por reevaluar cuál quieren que sea el papel del CISO. El siguiente paso es asegurarse de que el profesional de la ciberseguridad que ocupe ese puesto tenga suficiente apoyo y suficiente recompensa para querer quedarse allí.

Fuente: www.welivesecurity.com

La ofuscación de código: un arte que reina en la ciberseguridad

by morfil Noticias

Conoce esta táctica que dificulta la comprensión de código fuente a personas no autorizadas, o malintencionadas, y fortalece la protección de sistemas sensibles.

Las técnicas de ofuscación de código han existido durante décadas, y han evolucionado a medida que la programación y la seguridad informática avanzaron. Su origen se remonta a los primeros días de la programación.

Entre los años 80 y 90, el desarrollo de software comercial y la necesidad de proteger la propiedad intelectual y los algoritmos subyacentes, popularizó estas técnicas de ofuscación en lenguajes como C y lenguaje ensamblador con el fin de dificultar la ingeniería inversa y la comprensión del código fuente por parte de terceros. 

Con el auge de Internet y la distribución de software, estas técnicas se convirtieron en una herramienta común para proteger aplicaciones, especialmente en el ámbito de la seguridad informática y el desarrollo de software propietario.

Aunque la ofuscación de código no proporciona una protección absoluta contra la ingeniería inversa, sí dificulta el análisis y la comprensión del código por parte de personas no autorizadas y desempeña un papel crucial al proporcionar una capa adicional de protección contra intentos maliciosos de explotar vulnerabilidades en el software.

Además, puede desalentar a los piratas informáticos y a competidores deshonestos en sus intentos de copiar o modificar el software protegido.

Como contrapartida, los ciberatacantes utilizan también estas técnicas para robustecer el desarrollo de sus códigos, lo que desafía a los analistas de malware a la hora de examinar código y comprender su funcionamiento.

¿Qué es la Ofuscación de Código?

La ofuscación de código consiste en transformar el código fuente de un programa en una forma más compleja y difícil de comprender, sin alterar su funcionalidad. El objetivo es dificultar la ingeniería inversa y desalentar a los actores malintencionados que buscan descifrar y comprometer el sistema. Hace que sea mucho más difícil para un atacante comprender su lógica y estructura interna.

En el ámbito de la seguridad de aplicaciones, las Metodologías de Desarrollo Seguro de Software deben contemplar distintas técnicas de análisis de seguridad y el análisis estático del código fuente, y una vez fixeados los errores detectados agregar capas de seguridad, entre otras técnicas utilizadas en esta línea sen encuentra la ofuscación al código.

Ejemplos de Técnicas de Ofuscación de Código

1. Ofuscación de Nombres de Variables y Funciones

Una de las técnicas más comunes de ofuscación de código implica cambiar los nombres de variables y funciones a formas crípticas o poco descriptivas, de manera que sigan siendo funcioanles pero resulten difíciles de entender para quien lea el código. Por ejemplo, un nombre de variable «contraseña» podría ofuscarse como «a1b2c3d4» para complicar la comprensión del código.

Veamos un ejemplo sencillo a continuación:

Supongamos que tenemos el siguiente código en C sin ofuscar:

 

Ahora, apliquemos ofuscación cambiando nombres de variables y funciones:

En este ejemplo, los nombres de las variables y la función suma fueron cambiados a nombres genéricos.

La idea es cambiar los nombres de variables, funciones y otros identificadores a nombres más difíciles de entender, como usar nombres aleatorios o sin significado haciendo que sea más difícil para alguien que lee el código entender su propósito sin un análisis más profundo.

Siempre debemos recordemos que la ofuscación no cambia la lógica del programa, solo dificulta la comprensión del mismo.

2. Reordenamiento de Código

Implica cambiar la estructura, sin modificar su funcionalidad. Se trata de cambiar el orden de instrucciones o bloques de código sin alterar la lógica del programa para dificultar la lectura secuencial.

Veamos un ejemplo básico de cómo se podría ofuscar un programa simple en C mediante el reordenamiento de código:

Ahora, aplicando una técnica de reordenamiento, se podría alterar el orden de las líneas y cambiar el flujo del programa mientras se mantiene la misma funcionalidad:

En este ejemplo, se ha cambiado el orden de la declaración de variables y la impresión del resultado, lo que dificulta la lectura y comprensión del flujo del programa.

3. Inserción de código inútil

La inserción de código inútil es una técnica de ofuscación que añade líneas de código sin funcionalidad real, redundantes o sin sentido lógico, y por supuesto complica la comprensión del programa sin alterar su lógica.

Supongamos que tenemos un programa simple en C que calcula el cuadrado de un número ingresado por el usuario:

Para ofuscar este código utilizando la técnica de inserción de código inútil, agregando líneas adicionales que no afecten la lógica del programa:

En este ejemplo, hemos agregado variables y operaciones que no tienen ningún impacto en la lógica del programa.

Estas líneas extras no alteran el cálculo del cuadrado del número ingresado, pero sin dudas hacen que el código sea más difícil de entender para alguien que lo esté revisando.

Una técnica similar es la de inserción de código falso, en la que podemos insertar fragmentos de código falso o sin sentido en el programa para dificultar aún más la comprensión de su lógica. Con esto se logra confundir a los posibles atacantes y llevarlos a realizar suposiciones incorrectas sobre el funcionamiento real del software.

Supongamos que tenemos un programa que simplemente calcula la suma de dos números ingresados por el usuario:

Ahora, podemos aplicar la técnica de inserción de código falso añadiendo líneas adicionales que no alteren el funcionamiento del programa:

En este ejemplo, hemos agregado un bloque de código que define una variable fakeVar, calcula un resultado falso fakeResult basado en esa variable y muestra estos valores por pantalla. Estas líneas no afectan la funcionalidad del programa original, pero pueden confundir a alguien que esté intentando entender el propósito de esas variables ficticias.

4. Transformación de Estructuras de Control

Esta técnica de ofuscación de código consiste en cambiar la forma en que se organizan y presentan las instrucciones del código, modificando la estructura de las sentencias de control para hacer que el flujo del programa sea menos predecible y dificultar la comprensión de los flujos de ejecución y la lógica subyacente del software.

Veamos un ejemplo simple en C donde se aplica esta técnica:

Para ofuscar este código utilizando la técnica de transformación de estructuras de control, podríamos reescribir las condiciones utilizando operadores ternarios y cambiar el flujo lógico para hacerlo menos evidente:

En este ejemplo, la función funcionPrincipal se reescribe para utilizar un operador ternario en lugar de la estructura if-else. Esto hace que el código sea más compacto y menos legible a primera vista. Sin embargo, debemos tener en cuenta que la ofuscación puede dificultar la comprensión del código para otros desarrolladores, por lo que se debe usar con precaución, especialmente en entornos donde la legibilidad y el mantenimiento del código son importantes.

5. Cifrado y codificación

Veamos un ejemplo básico de cómo podríamos aplicar ofuscación a un programa en C usando técnicas de cifrado y codificación. Usaremos una combinación de cifrado XOR y codificación en base64:

Esta es solo una demostración básica y la seguridad que proporciona este tipo de ofuscación es limitada. En entornos reales, puede ser más compleja y el código puede ser revertido con esfuerzo suficiente.

Además, para aplicaciones de seguridad, es preferible utilizar métodos estándar y robustos en lugar de crear soluciones de seguridad caseras.

6. Sustitución de constantes por expresiones equivalentes

La técnica de sustitución de constantes por expresiones equivalentes es una forma de complicar el código reemplazando valores directos por expresiones más complejas que resulten en el mismo valor. Veamos un ejemplo sencillo en C:

Supongamos que tenemos un programa con una constante:

Para ofuscar el código usando la técnica de sustitución de constantes por expresiones equivalentes, podríamos reemplazar la constante 5 por una expresión equivalente, como (15 – 10), manteniendo la misma lógica del programa, pero dificultando la lectura directa del valor:

Esta modificación hace que el programa calcule el mismo resultado (50 en este caso), pero alguien que lea el código tendrá que deducir la relación entre 15 y 10 para entender que representa el mismo valor que la constante 5 en el contexto del cálculo.

7. Eliminación de información redundante

La técnica de eliminación de información redundante puede ser empleada para hacer el código más críptico.

Veamos un ejemplo simple en C, suponiendo que tienes una función simple que suma dos números:

Ahora, utilizando la técnica de eliminación de información redundante, podemos ofuscar el código así:

En este ejemplo, hemos reemplazado palabras clave como int, return, printf, main, etc., con letras únicas o abreviaciones utilizando #define.

Además, modificamos la estructura del código para hacerlo menos legible, y en este punto es importante tener en cuenta que la ofuscación excesiva puede hacer que el mantenimiento del código sea extremadamente difícil, por lo que se debe usar con precaución y siempre documentar de manera clara el propósito y funcionamiento del código.

8. Manipulación de estructuras de datos

La manipulación de estructuras de datos es una técnica común para ofuscar el código. Veamos un ejemplo simple en C que utiliza esta técnica para ofuscar una cadena de texto:

En este ejemplo, la función ofuscar toma una cadena y realiza una manipulación simple de los datos invirtiendo los caracteres. El mensaje original se pasa a esta función para ser ofuscado. Al ejecutar el programa, se verá cómo el mensaje se invierte logrando la ofuscación deseada.,

Las técnicas que describimos aquí son solo algunas de las existentes ya que hay muchas otras técnicas más avanzadas para ofuscar código, como el uso de punteros complicados, renombrado de variables de forma aleatoria, entre otros métodos, que pueden dificultar aún más la comprensión del código.

Más allá de que tu puedes desarrollar tus propios ofuscadores, existe software especializado para lograr tareas de ofuscación personalizables tales como, Proguard, Dotfuscator , FLOSSfuscator , o C++ Obfuscator, por supuesto cual será la mas apropiada dependerá del tipo de software y lenguaje que estes desarrollando.

La ofuscación de Código del lado de los atacantes

Las técnicas de ofuscación sirven como una capa protectora ante el reversing de código fuente, y debemos utilizarlas a la hora de codear nuestro software, pero también los ciberatacantes hacen uso de ellas para no ser detectados y poder infiltrarse en las profundidades de los sistemas víctimas.

Una parte de los cibertacantes se dedican al desarrollo de malware, y por supuesto cuando los analistas quieren examinar una muestra de algún tipo de malware se encuentran con complejas capas de ofuscación. Eso vuelve su trabajo desafiante ya que deben ser expertos en técnicas de reversing; hay códigos maliciosos que están quirúrgicamente diseñados y cuentan en algunos casos con la capacidad de descargar nuevos códigos de distintos repositorios y usar técnicas para pasar desapercibidos por los sistemas de seguridad y los usuarios finales.

En el siguiente ejemplo, que está basado en la campaña Operación Pulpo Rojo: malware dirigido a organismos de alto perfil de Ecuador , se observa que en caso de que el archivo malicioso descargado esté corriendo con privilegios elevados, procede a desofuscar un comando que va a ser ejecutado por medio de la función system de las APIs de Windows. Este comando invoca al interprete PowerShell para ejecutar un código malicioso que está codificado en base64.

Tanto los comandos como muchas cadenas de caracteres que son utilizadas por el archivo malicioso se encuentran ofuscados a través de distintos algoritmos implementados por los cibercriminales. La gran mayoría de estos algoritmos se basan en hacer uso del operador lógico XOR con diferentes claves para cada comando y/o cadenas de caracteres.

En la siguiente captura de pantalla, se puede ver cómo es la rutina utilizada para des ofuscar un comando que luego va a ser ejecutado por medio de la llamada a la función system.

Ejemplo de un comando ofuscado donde se le aplica un algoritmo para desofuscarlo y luego ejecutarlo con la función system

Ejemplo de una cadena de caracteres ofuscada que utiliza el operador lógico XOR con múltiples claves para des ofuscar su contenido.

Como pudimos observar el código se encuentra ofuscado, luego se des ofusca y se ejecuta., Y en esta línea es que el analista, debe optar por analizarlo de forma dinámica o estática para poder deducir este funcionamiento.

Conclusiones

Sin dudas la ofuscación de código se ha convertido en una táctica vital para fortalecer la seguridad del software y proteger la propiedad intelectual, y la integridad, confidencialidad, y disponibilidad de los datos en el mundo digital.

Aunque no es una medida infalible, su implementación puede disuadir a los atacantes y dificultar sus esfuerzos para comprometer sistemas informáticos sensibles. La comprensión y aplicación adecuadas de las técnicas de ofuscación de código son esenciales para mantener la integridad y la seguridad de los sistemas.

Fuente: www.welivesecurity.com