Tag Ciberseguridad

Métricas Clave y KPI en Ciberseguridad para Empresas

by morfil Noticias

En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad crucial para las empresas. Para evaluar y fortalecer la postura de seguridad, es esencial utilizar métricas clave y KPI (Indicadores Clave de Desempeño).

En este artículo, exploraremos algunas de las métricas más relevantes que las empresas deben seguir para gestionar de manera efectiva su seguridad digital.

1. Tasa de Detección de Amenazas:

  • Definición: Porcentaje de amenazas detectadas con éxito en comparación con el total de amenazas.
  • Importancia: Mide la eficacia de los controles de seguridad y la capacidad de detectar amenazas antes de que causen daño.

2. Tiempo Medio de Detección (MTTD):

  • Definición: El tiempo promedio que tarda una organización en detectar una amenaza desde su inicio.
  • Importancia: Cuanto menor sea el MTTD, más rápido se puede responder a las amenazas, reduciendo el impacto potencial.

3. Tiempo Medio de Respuesta (MTTR):

  • Definición: El tiempo promedio necesario para contener y eliminar una amenaza una vez detectada.
  • Importancia: Un MTTR bajo indica una respuesta rápida y eficiente a las amenazas, minimizando el tiempo de exposición.

4. Porcentaje de Cumplimiento de Políticas de Seguridad:

  • Definición: Proporción de cumplimiento de las políticas de seguridad establecidas.
  • Importancia: Evalúa la conformidad con las políticas internas y regulaciones externas, reduciendo el riesgo de infracciones.

5. Niveles de Acceso No Autorizado:

  • Definición: Frecuencia de intentos o casos de acceso no autorizado.
  • Importancia: Mide la efectividad de los controles de acceso y la resistencia a intrusiones no autorizadas.

6. Niveles de Phishing Exitosos:

  • Definición: Porcentaje de intentos de phishing que los empleados han ejecutado exitosamente.
  • Importancia: Evalúa la conciencia y la preparación de los empleados frente a ataques de phishing.

7. Número de Incidentes de Seguridad:

  • Definición: Cantidad total de incidentes de seguridad reportados.
  • Importancia: Proporciona una visión general de la frecuencia y la diversidad de las amenazas enfrentadas.

8. Eficiencia del Sistema de Gestión de Incidentes (SIEM):

  • Definición: Capacidad del SIEM para detectar, responder y recuperarse de incidentes.
  • Importancia: Mide la capacidad del sistema para gestionar y responder eficazmente a eventos de seguridad.

9. Niveles de Actualización y Parcheo:

  • Definición: Porcentaje de sistemas actualizados y parcheados en comparación con el total.
  • Importancia: Un alto nivel indica una menor superficie de ataque, reduciendo las vulnerabilidades.

10. Evaluación de la Conciencia de Seguridad:

  • Definición: Resultados de evaluaciones de conciencia de seguridad entre los empleados.
  • Importancia: Mide la preparación de los empleados y su comprensión de las mejores prácticas de seguridad.

La ciberseguridad no es solo un desafío técnico, sino también una cuestión de gestión y conciencia organizativa. Al seguir y analizar meticulosamente estas métricas clave y KPI, las empresas pueden mejorar su capacidad para prevenir, detectar y responder a amenazas cibernéticas. Una estrategia de ciberseguridad efectiva se basa en la comprensión y el seguimiento constante de estos indicadores para proteger de manera proactiva los activos digitales y la reputación de la organización.

Fuente: www.somoslibres.org

Chile aprueba Política Nacional de Ciberseguridad

by morfil Noticias

La Política Nacional de Ciberseguridad 2023-2028 entró en vigencia como medida para robustecer la ciberseguridad en el país y abordar los desafíos actuales en seguridad de la información.

El lunes 4 de diciembre se publicó en el Diario Oficial de la República de Chile la aprobación y entrada en vigencia de la Política Nacional de Ciberseguridad 2023-2028. Como señala el documento, la ley busca realizar mejoras para hacer frente a los crecientes desafíos que supone la ciberseguridad y protección de datos en el mundo actual.

En los últimos años, se han producido varios ataques de ransomware que afectaron a sectores privados como públicos en Chile. Sin ir más lejos, en la segunda mitad de 2023 un ataque de ransomware al grupo GTD afectó a más de 3000 clientes en Chile y Perú, pero si repasamos lo que ocurrió en 2022 encontramos casos similares, con ataques que afectaron al Poder Judicial o al Sernac, por poner algunos ejemplos.

Según explica el documento, Chile tiene un nivel medio de madurez en ciberseguridad y los desafíos más importantes a los que se enfrenta son: la insuficiente resiliencia de las organizaciones y de su infraestructura; poca conciencia de las personas y a nivel organizacional acerca de la importancia de la ciberseguridad; la falta de profesionales especializados en ciberseguridad; la falta de sofisticación de la demanda de ciberseguridad en el país, y el aumento de ciberdelitos.

Objetivos de la Política Nacional de Ciberseguridad

En respuesta a los desafíos que enfrenta el país en materia de ciberseguridad, la nueva Política propone cinco objetivos fundamentales y que están relacionados entre sí.

Por un lado, lograr una infraestructura resiliente bajo una perspectiva de gestión de riesgos que permita a las organizaciones estar preparadas para hacer frente y recuperarse de incidentes de seguridad y sus consecuencias. En segundo lugar, proteger los derechos de las personas promoviendo la protección de los derechos en Internet. El tercer objetivo es desarrollar una cultura de la ciberseguridad a través de la educación y promoción de buenas prácticas en el manejo de tecnologías. El cuarto objetivo tiene que ver con la coordinación tanto a nivel nacional como internacional para que se creen instancias de cooperación entre el sector público y privado para comunicar y difundir actividades en la materia. Y por último, incentivar a la industria y la investigación científica aplicada a temas de ciberseguridad. Esto quiere decir que el país “promoverá el desarrollo de una industria de la ciberseguridad, que proteja a las personas y las organizaciones y que sirva a sus objetivos estratégicos”.

Asimismo, para avanzar en el objetivo de lograr una infraestructura resiliente, se hace hincapié en la necesidad de impulsar la tramitación del proyecto de ley marco sobre ciberseguridad e infraestructura crítica de la información, el cual creará la Agencia Nacional de Ciberseguridad para que opere como el órgano rector de la ciberseguridad en Chile.

Fuente: www.welivesecurity.com

Tendencias de Seguridad Informática que dominarán en América Latina en 2024

by morfil Noticias

Desde el Laboratorio de ESET Latinoamérica analizamos las tendencias en ciberseguridad que consideramos que tendrán impacto en el escenario de la región en 2024, un año que será desafiante para la seguridad informática.

En el vertiginoso paisaje digital de América Latina, el próximo será un año desafiante para la seguridad informática. Mientras la tecnología avanza, también lo hacen las amenazas cibernéticas, lo que exigirá respuestas estratégicas para proteger la integridad de datos y sistemas.

Desde el Laboratorio de ESET Latinoamérica hemos analizado el panorama completo de la ciberseguridad en la región y, en este artículo, te presentamos las tendencias que consideramos que tendrán impacto en el escenario de la región durante 2024.

Impacto de las IA en la ciberseguridad

Con el avance de ChatGPT y otras aplicaciones que incorporan tecnologías de inteligencia artificial generativa, se abre una ventana de oportunidad para fortalecer la ciberseguridad.

Un aspecto positivo es que la implementación de modelos de lenguaje avanzados podría potenciar significativamente la capacidad de la ciberseguridad: la inteligencia artificial permitiría mejorar la detección de amenazas, mediante sistemas que aprendan patrones de comportamiento y logren identificar anomalías de forma más precisa.

Sin embargo, la misma tecnología podría ser aprovechada por actores malintencionados para orquestar ataques basados en la ingeniería social aún más sofisticados. Con los algoritmos de inteligencia artificial generativa se ha demostrado lo sencillo que puede ser generar correos electrónicos, mensajes o llamadas automatizadas que imiten de manera convincente a usuarios legítimos, por lo que se podría esperar para 2024 un incremento en este tipo de ataques

Cibercrimen en aplicaciones de mensajería: de la oscuridad a la superficie

Se espera que la monitorización de actividades sospechosas se intensifique en aplicaciones de mensajería como Telegram y plataformas similares, ya que el cibercrimen ha ampliado su alcance desde la dark web hasta aplicaciones de mensajería de uso generalizado. Esta expansión subraya la necesidad de ajustar las estrategias de seguridad para abordar el dinámico panorama del cibercrimen.

El principal reto radicará en encontrar un enfoque que logre armonizar la seguridad digital con la preservación de la libertad individual. La búsqueda de este equilibrio se convierte en un elemento central para las estrategias de ciberseguridad, donde se busca garantizar la protección contra amenazas cibernéticas emergentes sin comprometer la privacidad y libertad de los usuarios.

Commodity malware y su uso en campañas de espionaje en la región

En los últimos meses, se ha observado un aumento significativo de campañas maliciosas que emplean commodity malware en la región, principalmente el uso de amenazas tipo RAT, con el objetivo de obtener información valiosa y generar beneficios económicos.

En este contexto, las estrategias de seguridad se ven desafiadas a ir más allá de simplemente contar con tecnologías para identificar amenazas conocidas. Se requiere una capacidad extendida para ampliar la visibilidad sobre comportamientos sospechosos que puedan indicar posibles intrusiones en un sistema. La adaptabilidad y la capacidad de aprendizaje de los equipos de seguridad emergen como elementos cruciales para mantenerse a la par de la continua evolución de los cibercriminales.

Crecimiento de los ataques a la cadena de suministro en América Latina

Con el aumento de casos en los últimos años, los ataques a la cadena de suministro representan una amenaza en crecimiento también para Latinoamérica. Esta evolución en la estrategia de los atacantes podría permitirles dirigirse de manera más específica a eslabones críticos de la cadena, interrumpiendo operaciones vitales en países de la región si no se implementan medidas de protección adecuadas.

La necesidad de implementar medidas preventivas se vuelve imperativa a lo largo de toda la cadena de suministro en la región, desde las grandes corporaciones hasta los proveedores más pequeños. La adopción de prácticas y tecnologías de seguridad sólidas en cada etapa se vuelve esencial para fortalecer la resiliencia frente a posibles ataques.

Las empresas deberán verificar la seguridad de los proveedores de servicios tecnológicos, especialmente en aquellas asociadas con infraestructuras críticas en Latinoamérica. Concentrarse en consolidar la confianza en toda la cadena de suministro, reconocer la interdependencia entre cada eslabón y proteger la integridad del sistema en su conjunto.

Este enfoque se convierte en un elemento clave para salvaguardar la continuidad y seguridad de las operaciones en la región frente a las complejidades y riesgos asociados con los ataques a la cadena de suministro.

Troyanos bancarios de América Latina

Los cambios vistos durante este año en la forma de propagarse y el diseño de los troyanos bancarios nos hacen pensar que este tipo de amenazas seguirán vigentes y evolucionarán. Se espera una mayor sofisticación en técnicas de evasión, como el uso de técnicas de camuflaje y la exploración de vulnerabilidades específicas de la región.

En este panorama, la ciberseguridad enfrenta la tarea crucial de no solo reaccionar, sino también prevenir. La educación continua de los usuarios se vuelve esencial para fortalecer la primera línea de defensa contra los troyanos bancarios.

Fomentar la conciencia sobre prácticas seguras en línea y la identificación de posibles riesgos son elementos fundamentales para empoderar a los usuarios y reducir la efectividad de los ataques.

Estas proyecciones destacan la necesidad de una ciberseguridad dinámica y adaptable. La colaboración entre diversos actores, la implementación de tecnologías de seguridad y la concienciación continua serán esenciales para hacer frente a los desafíos emergentes en el panorama de la seguridad informática en 2024.

Fuente: www.welivesecurity.com

Fortalecer el eslabón más débil: Concienciación sobre seguridad para empleados

by morfil Noticias

ESET, compañía de seguridad informática, advierte sobre aquellas señales de alerta para cuidar los datos personales y cuentas bancarias.

Ecuador – Se destaca que a medida que el trabajo remoto es cada vez más común, las líneas entre ser un usuario hogareño y uno corporativo se hacen difusas y los riesgos de compromiso nunca han sido tan agudos. Según Verizon, tres cuartas partes (74%) de todas las violaciones de acceso globales del año pasado incluyen el «elemento humano», que en muchos casos significa error, negligencia o usuarios que caen víctimas del phishing y la ingeniería social.

“El conocimiento es un arma poderosa que puede convertir a los colaboradores de una organización en la primera línea de defensa contra las amenazas. Para construir un entorno corporativo más ciberseguro, los equipos responsables de TI deberían incorporar a sus programas de concienciación sobre seguridad para asegurarse de que se está haciendo frente a las ciberamenazas de hoy y de mañana, no a los riesgos del pasado.”, comparte Camilo Gutiérrez Amaya, Jefe del laboratorio de Investigación de ESET Latinoamérica.

Los programas de formación y concienciación en materia de seguridad son una forma fundamental de mitigar estos riesgos. Desde ESET aseguran que no hay un camino rápido y fácil hacia el éxito, de hecho, lo que hay que buscar no es tanto la formación o la concienciación, ya que ambas pueden olvidarse con el tiempo, sino que se trata de cambiar los comportamientos de los usuarios a largo plazo.

“La recomendación es ejecutar programas de forma continua, para tener siempre presente lo aprendido y asegurarse de que nadie se quede al margen, lo que significa incluir a trabajadores y trabajadoras temporales, contratistas y el equipo de ejecutivo; cualquiera puede ser un objetivo, y basta un solo error para abrir la puerta de una organización a una amenaza. Es importante organizar sesiones de aprendizaje breves para que los mensajes calen mejor y, siempre que sea posible, incluir ejercicios de simulación o gamificación que sirvan de práctica ante una amenaza concreta.”, agregan desde ESET.

Las lecciones pueden personalizarse para funciones y sectores específicos, a fin de hacerlas más pertinentes para el individuo. Y las técnicas de gamificación pueden ser un complemento útil para hacer que la formación sea más sólida y atractiva.

Desde ESET aconsejan incluir en los programas los siguientes temas:

1) BEC y phishing: El fraude por correo electrónico comercial (BEC), que aprovecha los mensajes de phishing dirigidos, sigue siendo una de las categorías de ciberdelincuencia con mayores ganancias. En los casos notificados al FBI el año pasado, las víctimas perdieron más de 2.700 millones de dólares. Se trata de un delito basado fundamentalmente en la ingeniería social, normalmente engañando a la víctima para que apruebe una transferencia de fondos corporativos a una cuenta bajo el control del estafador. Existen varios métodos utilizados, como hacerse pasar por un directivo general o un proveedor, que pueden integrarse perfectamente en ejercicios de concienciación sobre el phishing. 

El phishing sigue siendo uno de los principales vectores de acceso inicial a las redes corporativas. Gracias a la distracción de los trabajadores remotos, los criminales tienen aún más posibilidades de lograr sus objetivos y sus tácticas están cambiando. Los ejercicios de concienciación sobre el phishing deben actualizarse en consecuencia y las simulaciones en vivo pueden ayudar realmente a cambiar los comportamientos de los usuarios.

Para 2024, desde ESET recomiendan considerar incluir contenidos que concienticen sobre phishing a través de aplicaciones de texto o mensajería (smishing), llamadas de voz (vishing) y nuevas técnicas como la omisión de la autenticación multifactor (MFA). Las tácticas específicas de ingeniería social cambian con mucha frecuencia, por lo que es una buena idea asociarse con un proveedor de cursos de formación que mantenga actualizado el contenido.

2) Seguridad en el trabajo remoto e híbrido: Los expertos llevan tiempo advirtiendo de que los empleados son más propensos a ignorar las directrices/políticas de seguridad, o simplemente a olvidarlas, cuando trabajan desde casa. Un estudio reveló que el 80% de los trabajadores admiten que trabajar desde casa los viernes en verano les hace estar más relajados y distraídos, por ejemplo. Esto puede exponer a un mayor riesgo de peligro, especialmente cuando las redes y dispositivos domésticos pueden estar peor protegidos que los equivalentes corporativos. Ahí es donde deben intervenir los programas de formación con consejos sobre actualizaciones de seguridad para portátiles, gestión de contraseñas y uso exclusivo de dispositivos aprobados por la empresa. Esto debería ir acompañado de formación sobre phishing.

Además, el trabajo híbrido se ha convertido en la norma para muchas empresas. Según un estudio, el 53% de ellas cuenta ya con una política al respecto, y esta cifra seguramente irá en aumento. Sin embargo, desplazarse a la oficina o trabajar desde un lugar público tiene sus riesgos. Uno de ellos son las amenazas de los puntos de acceso Wi-Fi públicos, que pueden exponer a los trabajadores móviles a ataques de intermediario (AitM), en los que los piratas informáticos acceden a una red y espían los datos que viajan entre los dispositivos conectados y el router. Otro de los riesgos son las amenazas de los «gemelos malvados», en los que los delincuentes crean un punto de acceso Wi-Fi duplicado que se hace pasar por uno legítimo en una ubicación específica. También existen riesgos menos “tecnológicos”. Las sesiones de formación pueden ser una buena oportunidad para recordar a los empleados los peligros de la navegación clandestina.

3) Protección de datos: Las multas del GDPR aumentaron un 168% anual hasta superar los 2.900 millones de euros (3.100 millones de dólares) en 2022, ya que los reguladores tomaron medidas enérgicas contra el incumplimiento. Esto supone un argumento de peso para que las organizaciones se aseguren de que su personal sigue correctamente las políticas de protección de datos.

Según ESET, la formación periódica es una de las mejores formas de tener presentes las buenas prácticas en el tratamiento de datos. Esto implica el uso de un cifrado seguro, una buena gestión de las contraseñas, el mantenimiento de la seguridad de los dispositivos y la notificación inmediata de cualquier incidente al contacto pertinente.

El personal también puede beneficiarse de una actualización en el uso de la copia oculta (CCO), un error común que conduce a fugas involuntarias de datos de correo electrónico, y otra formación técnica. Además, se debería considerar si lo que se publica en las redes sociales debe mantenerse confidencial.


“Los cursos de formación y concienciación son una parte fundamental de cualquier estrategia de seguridad. Pero no pueden funcionar de forma aislada. Las organizaciones también deben contar con políticas de seguridad herméticas aplicadas con controles y herramientas sólidas, como la gestión de dispositivos móviles. «Personas, procesos y tecnología» es el mantra que ayudará a construir una cultura corporativa más cibersegura.”, concluye Gutierrez Amaya, de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

5 grupos de ransomware muy activos en América Latina en el 2023

by morfil Noticias

ESET, advierte que actividad de grupos de ransomware en América Latina incrementó en 2023 con un aumento de ataques dirigidos a los ámbitos corporativos y gubernamentales en la región.

Ecuador – Se analiza grupos de ransomware muy activos en América Latina en el 202, explica cuáles son los principales actores y cómo deben prepararse las empresas y entidades.

Según ESET Security Report, el 96% de las organizaciones señalaron su preocupación por el ransomware como una amenaza latente, el 21% reconoce haber sufrido un ataque con este tipo de malware en los últimos dos años. De este último grupo, el 77% pudo recuperar su información gracias a las políticas de respaldos con las que cuentan, por el contrario, el 4% afirmó haber pagado para su rescate. El 84% de las organizaciones encuestadas negó estar dispuesta a negociar el pago por el rescate de sus datos.

“Uno de los principales desafíos a enfrentar en el futuro cercano será el aumento de las campañas de spearphishing (dirigidas apuntando a un objetivo específico). Deberá tenerse en cuenta el aumento de los riesgos asociados al mayor del uso de las tecnologías en el periodo pospandemia, y la necesidad de mejorar el nivel de concientización de colaboradores de las empresas en todos los niveles.”, comenta
David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.

La implementación de ciberseguridad en América Latina depende del tipo de organización, y conforme a las encuestas realizadas del ESET Security Report hay problemáticas en las que existe una convergencia sin importar el tipo de sector: El robo o fuga de información en las compañías es la que representa la mayor preocupación, con un 66%, y está asociada a un acceso indebido a sistemas, es decir, el aumento de ataques que buscan explotar alguna vulnerabilidad a través de campañas de phishing dirigido (spearphishing) o la instalación de códigos maliciosos como el ransomware o troyanos de acceso remoto.

Los grupos más activos de ransomware en lo que va del año para la región de América Latina según ESET, son:

SiegedSec: Este grupo es reconocido es por su lema de asediar la seguridad de la víctima, de ahí su nombre, en inglés siege, que puede traducirse al español como asediar o sitiar. Su modus operandi es extorsionar a la víctima a tal grado de solo dejarle la salida de pagar por el rescate de su información o, en el peor de los casos, venderla en foros de la Dark web o Telegram.

Desde el inicio de sus actividades en febrero de 2022, vinculadas con el grupo de ransomware GhostSec, ha demostrado que no tiene preferencia en sus blancos, pues ha logrado afectar a sectores en todo el mundo tales como atención sanitaria, tecnologías de la información, seguros, contabilidad, derechos y finanzas. En lo que respecta a su actividad en América Latina, SiegedSec logró obtener documentos de intranet, bases de datos, información de usuarios y detalles de las organizaciones vulneradas en varios sectores en Colombia, con entidades de gobierno y salud entre los más afectados.

SiegedSec es caracterizado porque en todos sus banners para liberación de la información integran un gato como si se tratara de su mascota oficial.

Nokoyawa: De origen ruso, e iniciada su actividad en febrero del año pasado, se caracteriza porque es el único grupo en utilizar un cifrado de amplia sofisticación (criptografía de curva elíptica, o ECC, por sus siglas en inglés), añadiendo su propia extensión de archivo homónima (NOKOYAWA). Este grupo logró conseguir una enorme cantidad de información, un laboratorio de en el sector de salud de Brasil en lo que va del tercer cuatrimestre del 2023.

Captura de pantalla en donde se puede observar el mensaje del rescate de la información. Fuente: Watchguard

ALPHV: También conocido como Blackcat; la forma en que opera este grupo desde su aparición en noviembre del2021, es a través del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) debido a que sus ataques no se hacen aleatoriamente o por campañas de tipo spam, sino que, sus objetivos son determinados mediante los asociados con los que cuenta, es decir, que reúnen esfuerzos para realizar ataques a objetivos ya perfilados. Esto hace que su modus operandi sea específico para cada caso de uso, así como las técnicas empleadas durante sus ataques.

A la mitad del 2023, ALPHV publicó información confidencial de la exfiltración de datos de una de las empresas más grandes de México a través de su canal de Telegram, de igual manera el sector público no se vio exento de este ataque.

Logo del grupo ALPHV (Blackcat). Fuente: Itwarelatam.

Stormous y su alianza con GhostSec: El grupo Stormous tuvo su aparición a mitad del 2021. El grupo, de origen árabe, en un principio publicitaba a través de sus canales en Telegram y en sus foros de la Dark web, ataques hacia Estados Unidos. Debido al conflicto Rusia-Ucrania, sus objetivos se modificaron y a mediados de julio de este año declararon oficialmente asociarse con el grupo de hacktivistas GhostSec para atacar no solo a Estados Unidos, sino también a países de América Latina y entre ellos al gobierno de Cuba.

Captura de pantalla de la Dark web de cuando Stormous cambió su objetivo. Fuente: Portal.cci-entel.cl.

Vice Society: Fue uno de los grupos con mayor actividad a finales del 2022 y principios del 2023. La mayoría de las incidencias fueron hacia industrias de la educación y atención médica pero también se tiene evidencia de que otro sector al que está apuntando este grupo de ransomware es al manufacturero en países como Brasil, Argentina, Suiza e Israel. Cabe mencionar que han identificado que tienen su propio generador de ransomware personalizado optando por métodos de cifrado más sólidos, lo que significa que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).

Sitio oficial en la Dark web de Vice Society. Fuente: Tripwire.

Desde ESET Latinoamérica comparten algunas recomendaciones que pueden ayudar en la protección de la información:

  • Contar con una política para realizar copias de seguridad periódicas: Esto permitirá que los datos, en caso de verse afectados por algún ransomware, puedan ser restaurados. Conforme al ESET Security Report en América Latina, el 88% de las organizaciones encuestadas han implementado este tipo de recomendación.

  • Establecer una política para la actualización y parches en cada uno de los activos (operativos y de red): Al tener todos los sistemas, aplicaciones y dispositivos actualizados, la brecha para que los ciberdelincuentes puedan explotar vulnerabilidades de software o protocolos obsoletos se reduce considerablemente. En el ESET Security Report en América Latina, el 45% de las organizaciones aseguraron realizar actualizaciones de seguridad más de dos veces al año, lo que indica que aún falta mucho esfuerzo por realizar.

  • Educación y concientización: La capacitación constante a colaboradores y colaboradoras en todos los niveles sobre las mejores prácticas de seguridad y  las tendencias de vectores de ataque en la región, son fundamentales para que un ciberdelincuente no lleve a cabo su cometido. Un área de oportunidad para las organizaciones, y donde muchos de los ataques de ransomware son exitosos, es que no cuentan con un programa de capacitación y concientización (solo 28% de los encuestados en el ESET Security Report de América Latina afirma contar con este programa).

  • Contar con una política sobre el principio del mínimo privilegio: Al establecer únicamente los privilegios suficientes para que el colaborador pueda realizar sus actividades, se limita la capacidad de que el ransomware se propague hacia otros sistemas o aplicaciones.

  • Seguridad en la red: Los firewalls, la segmentación de red junto con las reglas de acceso y uso de VPN limitaría la posibilidad de que pueda extenderse cualquier malware.

  • Plan de respuestas a incidentes y de continuidad del negocio: Es importante saber cómo responder ante cualquier incidente o contingencia que se pueda dar en la organización, haciendo que el impacto al negocio sea lo mínimo posible y siga funcionando. El 42% de los encuestados indicó que cuenta con un plan de respuesta a incidentes, mientras que un 38% no tienen un plan de continuidad del negocio.

  • Contar con soluciones de seguridad avanzadas: La implementación de soluciones de seguridad que detecten y bloqueen comportamientos anómalos o sospechosos, como un EDR (Endpoint Detection and Response, por sus siglas en inglés) y soluciones antimalware, permitirían la continuidad del negocio obteniendo una ventaja comercial ganando la confianza de los y las clientes al saber que su información está protegida debidamente.

Fuente: Departamento de Comunicación ESET Ecuador

¿Recibiste un correo electrónico con un código QR? ¡Cuidado!

by morfil Noticias

Ejemplos de cómo se utilizan los códigos QR en los correos electrónicos de phishing.

Cada vez hay más casos de usuarios que reciben correos electrónicos aparentemente de grandes empresas de Internet (por ejemplo, Microsoft o su servicio en la nube, Office 365) que contienen códigos QR. El cuerpo de estos correos electrónicos tiene una llamada a la acción: en pocas palabras, escanear el código QR para mantener el acceso a tu cuenta. En esta publicación, analizaremos si vale la pena reaccionar a esos correos.

Escanea el código QR o enfréntate a lo inevitable

Un correo electrónico típico de este tipo contiene una notificación que indica que la contraseña de tu cuenta está a punto de caducar y que perderás el acceso a tu buzón de correo y, por lo tanto, tendrás que cambiar la contraseña. Para cambiarla, debes escanear el código QR en el correo electrónico y seguir las instrucciones.

La contraseña se debe restablecer al escanear el código QR.

 

Otro correo electrónico podría advertir al destinatario que “La sesión del autenticador ha caducado hoy”. Para evitar esto, se recomienda al usuario que “escanee rápidamente el código QR a continuación con su teléfono inteligente para volver a autenticar la seguridad de su contraseña”. De lo contrario, podría perder el acceso al buzón de correo.

“La sesión del autenticador ha caducado”; escanee el código QR para obtener una solución rápida.

Otro ejemplo sería el mensaje que le informa amablemente al lector de lo siguiente: “Este correo electrónico es de una fuente fiable”. Ya hemos hablado de por qué los correos electrónicos con el sello “verificado” deben tratarse con precaución. La idea central del mensaje es que, supuestamente, “3 correos electrónicos importantes” no se pueden entregar al usuario debido a la falta de algún tipo de validación. Por supuesto, escanear el código QR a continuación solucionará el problema.

Los correos electrónicos importantes solo se pueden enviar al escanear el código QR para su “validación”.

Claramente, los autores de estos correos electrónicos quieren intimidar con palabras pretenciosas a los usuarios sin experiencia.

También es probable que esperen que el destinatario haya escuchado algo sobre las aplicaciones de autenticación, que de hecho usan códigos QR, para que el solo hecho de mencionarlo logre asociaciones en la mente.

¿Qué sucede si escaneas el código QR en el correo electrónico?

El enlace en el código QR te lleva a una réplica bastante convincente de una página de inicio de sesión de Microsoft.

Escanear el código QR te lleva a un sitio de phishing que roba las credenciales introducidas.

Por supuesto, todas las credenciales introducidas en esas páginas de phishing terminan en manos de los ciberdelincuentes. Esto pone en peligro las cuentas de los usuarios que caen en esos trucos.

Un detalle interesante es que algunos enlaces de phishing en códigos QR conducen a recursos IPFS. IPFS (InterPlanetary File System) es un protocolo de comunicación para compartir archivos que tiene mucho en común con los torrents. Te permite publicar cualquier archivo en Internet sin registro de dominio, alojamiento ni otras complicaciones.

En otras palabras, la página de phishing se encuentra directamente en el ordenador del autor de phishing y se puede acceder a ella a través de un enlace mediante una puerta de enlace IPFS especial. Los autores de phishing utilizan el protocolo IPFS porque es mucho más fácil publicar y mucho más difícil eliminar una página de phishing que bloquear un sitio web malicioso “normal”. De esa forma, los enlaces se mantienen activos durante más tiempo.

Cómo protegerte contra los códigos QR de phishing

Ningún sistema de autenticación decente sugiere escanear un código QR como su única opción. Por lo tanto, si recibes un correo electrónico que te pide confirmar algo o iniciar sesión en tu cuenta nuevamente, restablecer tu contraseña o realizar alguna acción similar, y este correo electrónico solo contiene un código QR, es probable que se trate de phishing. Puedes ignorar y eliminar de forma segura ese correo electrónico.

Para esos momentos en los que necesites escanear un código QR de una fuente desconocida, recomendamos nuestra solución de seguridad con su función de escáner de código QR seguro. La herramienta verifica el contenido de los códigos QR y te advierte si hay algo falso en el interior.

Fuente: latam.kaspersky.com

 

Consejos de ciberseguridad para la vuelta a clases

by morfil Noticias

ESET, compañía de seguridad informática, acerca recomendaciones para un regreso a clases seguro

Quito, Ecuador – Con el regreso a clases presenciales, los niños y adolescentes volverán a utilizar sus dispositivos electrónicos para realizar tareas escolares, conectarse con sus amigos y acceder a contenido en línea. En este contexto, es importante que los padres y docentes tomen medidas para proteger a los estudiantes de los posibles riesgos cibernéticos.

Por esta razón, ESET, compañía líder en detección proactiva de amenazas, brinda una serie de consejos de ciberseguridad para tener en cuenta en la vuelta a clases.

  1. Establecer reglas de uso responsable: Fomentar la educación de los menores y generar buenos hábitos tecnológicos mediante un control adecuado del tiempo de conexión, ayudará a enfrentar mucho mejor las situaciones de riesgo. Existen muchas herramientas disponibles para evitar la exposición excesiva de los niños y adolescentes.
  2. Darle importancia a las contraseñas: Las contraseñas fuertes son la primera línea de defensa contra los ataques cibernéticos. Por ello, los padres deberán ayudar a sus hijos a crear contraseñas sólidas y seguras, evitando así poner en riesgo su información.
  3. Actualizar las aplicaciones: Es necesario revisar constantemente si los sistemas operativos, software y aplicaciones de todos los dispositivos a los que los menores tienen acceso se encuentran actualizados. Esto porque las actualizaciones brindan acceso a las funciones más nuevas y mejoran la seguridad y estabilidad del sistema y las apps, dando una mayor protección frente al desarrollo de las tareas o proyectos escolares.
  4. Conversar sobre los riesgos del internet: Puede parecer evidente, pero es de vital importancia tener una conversación con niños y adolescentes sobre las amenazas que se pueden encontrar en internet, en redes sociales y aplicaciones. Esta conversación debe ser abierta y honesta sobre los riesgos que implica su uso.
  5. Contar con una solución de seguridad: Para reducir la posibilidad de que cualquier dispositivo electrónico se infecte, se recomienda instalar una solución de seguridad confiable que permita escanear constantemente los dispositivos de tus hijos.

“Desde ESET creemos que los padres, los docentes y los propios alumnos tienen que comprender la importancia de acceder de forma segura a Internet, considerando que esto requiere de un uso consciente, responsable y seguro, sobre todo si se trata de la vuelta a clases, que implica un mayor tiempo de conexión. Aunque muchas recomendaciones y soluciones parezcan obvias, son los que muchas veces suelen pasarse por alto”, indicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: ESET – Ecuador

App para grabar la pantalla en Google Play se convierte en maliciosa a través de una actualización

by morfil Noticias

El equipo de investigación de ESET identificó AhRat, un nuevo troyano de acceso remoto (RAT) para Android que permite exfiltrar archivos y grabar audio.

Ecuador – El equipo de investigación de ESET, descubrió una aplicación troyanizada para Android que había estado disponible en la tienda Google Play y contaba con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Puntos clave de esta publicación:

  • Como socio de Google App Defense Alliance, detectamos una aplicación troyanizada disponible en la tienda Google Play. Se trata de un malware basado en AhMyth al que hemos denominado AhRat.
  • Inicialmente, la aplicación iRecorder no tenía funciones maliciosas. Lo que es bastante poco común es que la aplicación recibiera una actualización con código malicioso varios meses después de su lanzamiento.
  • El comportamiento malicioso específico de la aplicación involucra la extracción de grabaciones del micrófono y el robo de archivos con extensiones específicas, lo que indica su potencial participación en una campaña de espionaje.
  • La aplicación maliciosa con más de 50 000 descargas se eliminó de Google Play después de nuestro reporte y desde entonces no hemos detectado actividad de AhRat en ningún otro lugar.

Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat.

Además de este caso puntual, no hemos detectado actividad de AhRat en ningún otro lugar. Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth disponible en Google Play, ya que en 2019 también publicamos una investigación sobre una aplicación troyanizada basada en el código de AhMyth. En ese entonces, se trataba de un spyware que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de streaming de radio.

Descripción general de la app

Además de proporcionar una funcionalidad de grabación de pantalla legítima, la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. El comportamiento malicioso específico de la aplicación (exfiltración de grabaciones de micrófonos y robo de archivos con extensiones específicas) tiende a sugerir que es parte de una campaña de espionaje. Sin embargo, no pudimos atribuir la aplicación a ningún grupo malicioso en particular.

Como socio de Google App Defense Alliance, ESET identificó la versión más reciente de la aplicación como maliciosa y rápidamente compartió sus hallazgos con Google. Luego de nuestro reporte la aplicación fue eliminada de Google Play.

Distribución

La aplicación iRecorder se llegó a la tienda Google Play el 19 de septiembre de 2021 ofreciendo la función de grabación de pantalla, pero no contenía características maliciosas. Sin embargo, alrededor de agosto de 2022 detectamos que el desarrollador de la aplicación incluyó una funcionalidad maliciosa en la versión 1.3.8. Como se observa en la Figura 1, para marzo de 2023, la aplicación había acumulado más de 50 000 instalaciones.

Figura 1. La app troyanizada iRecorder

Sin embargo, los usuarios de Android que habían instalado una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, sin saberlo, podrían haber expuesto sus dispositivos a AhRat si posteriormente actualizaron la aplicación de forma manual o automática, incluso sin otorgar cualquier otra aprobación de permiso de la aplicación.

Después de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play eliminó la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales. El desarrollador de iRecorder también proporciona otras aplicaciones en Google Play, pero no contienen código malicioso.

Atribución

Anteriormente, el malware de código abierto AhMyth fue empleado por Transparent Tribe, también conocido como APT36, un grupo de ciberespionaje conocido por su uso extensivo de técnicas de ingeniería social y por apuntar a organizaciones gubernamentales y militares en el sur de Asia. Sin embargo, no podemos atribuir las muestras de malware actuales a ningún grupo específico, y no hay indicios de que hayan sido desarrolladas por un grupo conocido de amenazas persistentes avanzadas (APT).

Análisis

Durante nuestro análisis, identificamos dos versiones de código malicioso basadas en AhMyth RAT. La primera versión maliciosa de iRecorder contenía partes del código malicioso de AhMyth RAT que habían sido copiadas sin modificaciones. La segunda versión maliciosa, a la que llamamos AhRat, también estaba disponible en Google Play pero el código de AhMyth había sido personalizado, inclusive el código y la comunicación entre el backdoor el servidor C&C. Al momento de escribir esta publicación no hemos observado AhRat en ninguna otra aplicación de Google Play ni en ningún otro lugar, siendo iRecorder la única aplicación que contiene este código personalizado.

AhMyth RAT es una herramienta potente que ofrece varias funciones maliciosas, incluida la extracción de registros de llamadas, contactos y mensajes de texto, la obtención de una lista de archivos en el dispositivo, el seguimiento de la ubicación del dispositivo, el envío de mensajes SMS, la grabación de audio y la toma de fotografías. Sin embargo, en las dos versiones analizadas en esta publicación solo observamos un conjunto limitado de características maliciosas derivadas de la versión original de AhMyth RAT. Estas funcionalidades maliciosas parecían encajar dentro del modelo de permisos ya definido que utilizaba la aplicaciones, el cual otorga acceso a archivos en el dispositivo y permite la grabación de audio. Algo a destacar es que la aplicación maliciosa proporcionó la función de grabación de video, por lo que se esperaba que pidiera permiso para grabar audio y almacenarlo en el dispositivo, como se muestra en la Figura 2. Tras la instalación de la aplicación maliciosa, se comportó como de costumbre, sin solicitar ningún permiso extra que pudiera revelar sus intenciones maliciosas.

Después de la instalación, AhRat comienza a comunicarse con el servidor de C&C enviando información básica del dispositivo y recibiendo claves de cifrado y un archivo de configuración cifrado, como se ve en la Figura 3. Estas claves se utilizan para cifrar y descifrar el archivo de configuración y algunos de los datos extraídos, como la lista de archivos en el dispositivo.

Figura 3. Comunicación inicial de AhRat con el servidor de C&C

Después de la comunicación inicial, AhRat hace contacto con el servidor de C&C cada 15 minutos y solicita un nuevo archivo de configuración. Este archivo contiene una serie de comandos e información de configuración que se ejecutarán y configurarán en el dispositivo de destino, incluida la ubicación del sistema de archivos para obtener los datos del usuario, los tipos de archivos con extensiones particulares a extraer, un límite de tamaño de archivo, la duración de las grabaciones del micrófono (según lo establecido por el servidor de C&C; durante el análisis se estableció en 60 segundos) y el intervalo de tiempo de espera entre grabaciones (15 minutos), que es también cuando se recibe el nuevo archivo de configuración del servidor de C&C.

Curiosamente, el archivo de configuración descifrado contiene más comandos de los que AhRat es capaz de ejecutar, ya que no se han implementado ciertas funcionalidades maliciosa. Esto puede indicar que AhRat es una versión liviana similar a la versión inicial que contenía solo código malicioso sin modificar de AhMyth RAT. A pesar de esto, AhRat todavía es capaz de extraer archivos del dispositivo y grabar audio usando el micrófono del dispositivo.

De acuerdo a los comandos recibidos en la configuración del servidor C&C, AhRat debería ser capaz de ejecutar 18 comandos. Sin embargo, este RAT solo puede ejecutar los seis comandos marcados en negrita y con un asterisco de la siguiente lista:

  • RECORD_MIC*
  • CAPTURE_SCREEN
  • LOCATION
  • CALL_LOG
  • KEYLOG
  • NOTIFICATION
  • SMS
  • OTT
  • WIFI
  • APP_LIST
  • PERMISSION
  • CONTACT
  • FILE_LIST*
  • UPLOAD_FILE_AFTER_DATE*
  • LIMIT_UPLOAD_FILE_SIZE*
  • UPLOAD_FILE_TYPE*
  • UPLOAD_FILE_FOLDER*
  • SCHEDULE_INTERVAL

La implementación de la mayoría de estos comandos no está incluida en el código de la aplicación, pero la mayoría de sus nombres se explican por sí mismos, como se muestra también en la Figura 4.

Figura 4. Archivo de configuración descifrado con una lista de commandos

Durante nuestro análisis, AhRat recibió comandos para exfiltrar archivos con extensiones relacionadas a páginas web, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. Las extensiones de archivo son las siguientes: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, and txt.

Estos archivos estaban limitados a un tamaño de 20 MB y estaban ubicados en el directorio de descargas /storage/emulated/0/Download.

Luego, los archivos localizados se cargaron en el servidor de C&C, como se ve en la Figura 5.

Figura 5. Exfiltración de archivos al servidor C&C

 

Conclusión

La investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad. Si bien es posible que el desarrollador detrás de esta aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que haya sido un actor malicioso el que introdujo este cambio en la aplicación; hasta ahora, no tenemos evidencia para confirmar ninguna de estas hipótesis.

Afortunadamente, las medidas preventivas contra este tipo de acciones maliciosas ya se han implementado en Android 11 y versiones superiores mediante la hibernación de aplicaciones. Esta característica coloca las aplicaciones que han estado inactivas durante varios meses en un estado de hibernación, reestableciendo sus permisos de ejecución y evitando que las aplicaciones maliciosas funcionen según lo previsto. La aplicación maliciosa se eliminó de Google Play después de que la reportamos, pero confirma lo importante que es contar con una protección a través de múltiples capas en nuestros dispositivos para protegerlos contra posibles filtraciones, como las que ofrece ESET Mobile Security.

El malware AhRat es una versión personalizada del malware de código abierto AhMyth RAT, lo que significa que los autores de la aplicación maliciosa invirtieron un esfuerzo significativo para comprender el código tanto de la aplicación como del backend, y finalmente lo adaptaron para satisfacer sus propias necesidades.

El comportamiento malicioso de AhRat, que incluye grabar audio usando el micrófono del dispositivo y robar archivos con extensiones específicas, podría indicar que era parte de una campaña de espionaje. Sin embargo, todavía tenemos que encontrar evidencia concreta que nos permita atribuir esta actividad a una campaña o grupo APT en particular.

Indicadores de Compromiso

Archivos

SHA-1 Package name ESET detection name Description
C73AFFAF6A9372C12D995843CC98E2ABC219F162 com.tsoft.app.iscreenrecorder Android/Spy.AhRat.A AhRat backdoor.
E97C7AC722D30CCE5B6CC64885B1FFB43DE5F2DA com.tsoft.app.iscreenrecorder Android/Spy.AhRat.A AhRat backdoor.
C0EBCC9A10459497F5E74AC5097C8BD364D93430 com.tsoft.app.iscreenrecorder Android/Spy.Android.CKN AhMyth‑based backdoor.
0E7F5E043043A57AC07F2E6BA9C5AEE1399AAD30 com.tsoft.app.iscreenrecorder Android/Spy.Android.CKN AhMyth‑based backdoor.

Red

IP Provider First seen Details
34.87.78[.]222 Namecheap 2022-12-10 order.80876dd5[.]shop C&C server.
13.228.247[.]118 Namecheap 2021-10-05 80876dd5[.]shop:22222 C&C server.

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 12 del framework de MITRE ATT&CK.

Tactic ID Name Description
Persistence T1398 Boot or Logon Initialization Scripts AhRat receives the BOOT_COMPLETED broadcast intent to activate at device startup.
T1624.001 Event Triggered Execution: Broadcast Receivers AhRat functionality is triggered if one of these events occurs: CONNECTIVITY_CHANGE, or WIFI_STATE_CHANGED.
Discovery T1420 File and Directory Discovery AhRat can list available files on external storage.
T1426 System Information Discovery AhRat can extract information about the device, including device ID, country, device manufacturer and mode, and common system information.
Collection T1533 Data from Local System AhRat can exfiltrate files with particular extensions from a device.
T1429 Audio Capture AhRat can record surrounding audio.
Command and Control T1437.001 Application Layer Protocol: Web Protocols AhRat uses HTTPS to communicate with its C&C server.
Exfiltration T1646 Exfiltration Over C2 Channel AhRat exfiltrates stolen data over its C&C channel.

Fuente: www.welivesecurity.com

Metodologías para la gestión de riesgos de ciberseguridad y su potencial interoperabilidad

by morfil Noticias

La selección de metodologías para la gestión de riesgos en ciberseguridad puede representar una tarea complicada entre todas las opciones disponibles, por ello ENISA ofrece un documento para facilitar y orientar en esta tarea.

La gestión de riesgos es fundamental en el proceso de gestión de seguridad de la información de una organización, ya que permite identificar, evaluar y reducir los peligros identificados hasta un nivel aceptable y enmarcarlos en un modelo de mejora continua. La gestión de los riesgos determina la propensión o aversión a los eventos inesperados e indeseados en las organizaciones.

En un segundo nivel de granularidad se encuentra la evaluación de riegos, que es una fase del proceso de gestión de riesgos y que generalmente son utilizadas como base para la elaboración de estrategias de protección a partir de metodologías que permiten categorizar dichos riesgos y los criterios de aceptación de estos.

Objetivos de la evaluación de riesgos

La evaluación de riesgos tiene como objetivo la determinación del valor cualitativo o cuantitativo de los riesgos relacionados con la información; por ello, la metodología de evaluación de riesgos utilizada debe permitir la identificación de vulnerabilidades, amenazas y el impacto de las mismas sobre la confidencialidad, integridad y disponibilidad de nuestros activos. Por lo general, incluye actividades como:

  • Identificación de activos de información críticos.
  • Identificación de vulnerabilidades.
  • Identificación de amenazas.
  • Identificación de impacto y probabilidad de ocurrencia.
  • Cálculo de riesgos identificados.
  • Definición de opciones de tratamiento de riesgos.

Existen múltiples metodologías y herramientas para llevar a cabo la evaluación de riesgos; algunas de estas metodologías son de aplicación general (para cualquier tipo de organizaciones), para regiones específicas, para sectores o industrias específicos, basadas en activos o incluso con elementos más estructurados para implementar el proceso de gestión de riesgos.

Ante este abanico de posibilidades, las organizaciones pueden utilizar la metodología que mejor se adapte a sus necesidades, características o condiciones.

¿Qué metodología se puede utilizar para la gestión de riesgos de seguridad?

La Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés), publicó en enero de 2022 el documento “Compendio de marcos de gestión de riesgos con interoperabilidad potencial”, sobre marcos de gestión de riesgos. Este trabajo incluye estándares conocidos y ampliamente utilizados que describen las principales características de cada uno de los marcos y metodologías.

La selección de los marcos y metodologías de gestión de riesgos se realizó sobre la base de una encuesta realizada en diferentes sectores y que consideró criterios como: mejores prácticas en la industria; marcos de trabajo propuestos por organismos de normalización nacionales e internacionales, como pueden ser normas y directrices; y también marcos de trabajo propuestos por la academia.

Para este documento fueron excluidos los marcos y metodologías de gestión de riesgos obsoletos. Es decir, aquellos que no habían sido actualizados en más de diez años, los que no incluían los procesos fundamentales de la gestión de riesgos, y los que no brindan la orientación específica para su implementación. Por lo tanto, más que una lista exhaustiva se consideraron marcos y metodologías de gestión de riesgos avanzados que se adaptan a la teoría definida para la gestión de riesgos.

En la segunda etapa, se identificaron fuentes de búsqueda (incluidos repositorios de recursos relevantes); sitios, revistas comerciales y de negocios; y literatura académica. Luego de varias iteraciones de búsqueda y revisión, se generó un listado de alrededor de 30 marcos y metodologías de gestión de riesgos.

La descripción de los estándares seleccionados incluye características como: nombre completo, enlace al sitio Web, proveedor y origen, ámbito geográfico de uso, si apoyan necesidades de gestión de riesgos genéricas o sectoriales, si están disponibles gratuitamente o no, si están respaldados por una herramienta automatizada u otro material, idiomas admitidos, entre otros elementos que pueden resultar clave a la hora de tomar decisiones.

Interoperabilidad de marcos y metodologías de gestión de riesgos

En la etapa final de este trabajo se identificaron un conjunto de características para su potencial interoperabilidad. Si bien, este análisis no está incluido en el informe, existen varias características que permiten (o limitan) el potencial de interoperabilidad entre marcos de trabajo o frameworks.

Estas características comprenden aspectos como: cumplimiento o apoyo a estándares de gestión de riesgos (ISO, NIST, etc.); proceso de gestión de riesgos (identificación, evaluación, tratamiento y monitoreo de riesgos); enfoque para la identificación de riesgos (basado en activos o basado en escenarios); enfoque para la evaluación de riesgos (cuantitativo o cualitativo); método de cálculo del riesgo; uso de catálogos o bibliotecas específicos; idiomas soportados; costos de licencias; entre otros.

El resultado de este trabajo nos permite tener un panorama amplio de las posibilidades que tienen las organizaciones para implementar un proceso de gestión de riesgos de acuerdo a las mejores prácticas de la industria, con metodologías actualizadas y robustas. Además, ofrece un compendio de marcos de trabajo que son muy útiles para poder cumplir los objetivos: mitigar los ciberataques a gran escala y mantener una sólida postura de ciberseguridad en las organizaciones.

Fuente: www.welivesecurity.com

 

8 pasos para la evaluación de riesgos de ciberseguridad de una empresa (parte II)

by morfil Noticias

Imagen 3

En esta segunda parte revisamos los últimos cuatro pasos del método OCTAVE Allegro para hacer una evaluación de riesgos de ciberseguridad.

En la primera parte de esta serie de dos artículos que llamamos “8 pasos para la evaluación de riesgos de ciberseguridad”, revisamos los primeros cuatro pasos para hacer la evaluación de riesgos de una empresa según el método OCTAVE Allegro. Una guía útil para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta segunda parte, continuamos con los últimos cuatro pasos que propone esta metodología.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

 

Imagen 1.

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:

Imagen 2

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Imagen 3

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

El método OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

Fuente: www.welivesecurity.com