¿Qué es un ataque man-on-the-side y en qué se diferencia de un ataque man-in-the-middle?
Hay ataques de los que todo el mundo ha oído hablar, como los ataques de denegación de servicio distribuido (DDoS); otros que solo suelen conocer los profesionales, como los ataques man-in-the-middle (MitM), y luego están los más raros y exóticos, como los ataques man-on-the-side (MotS). En esta publicación, hablaremos sobre este último en profundidad y debatiremos cómo se diferencian de los ataques man-in-the-middle.
¡¿Un ataque cómo?!
Entonces, ¿cómo funciona un ataque man-on-the-side? Básicamente, un cliente envía una solicitud a un servidor a través de un canal de transferencia de datos comprometido. Los ciberdelincuentes no tienen controlado este canal, pero sí pueden “escucharlo”. En la mayoría de los casos, un ataque de este tipo requiere el acceso al hardware del proveedor de Internet, algo muy raro, por ello son ataques muy poco comunes. Pero, una vez ejecutado, pueden monitorizar las solicitudes del cliente y generar sus propias respuestas maliciosas.
Los ataques man-in-the-middle funcionan de forma similar: los atacantes también aprovechan el proceso de transferencia de datos entre el cliente y el servidor. La principal diferencia entre estos dos tipos de ataques es que en el man-on-the-side la solicitud del cliente llega al destinatario (el servidor). Por tanto, el objetivo de los atacantes es responder lo más rápido posible a la solicitud del cliente.
En cuanto al man-in-the-middle, los atacantes tienen un mayor nivel de control sobre el canal de transferencia de datos. Interceptan la solicitud y pueden modificar o eliminar los datos enviados por otros usuarios en la misma la red. Por tanto, no tienen por qué ser más rápidos que la respuesta del servidor.
Sin embargo, el man-in-the-middle es un ataque mucho más invasivo que el man-on-the-side, lo que significa que es más fácil de detectar. Ya describimos con más detalle cómo funciona un ataque man-in-the-middle poniendo como ejemplo el clásico cuento de Caperucita Roja en esta publicación.
OK, pero ¿cómo funciona un ataque man-on-the-side?
Un ataque man-on-the-side exitoso permite enviar respuestas falsas a varios tipos de solicitudes al ordenador de la víctima de esta forma:
Reemplazando un archivo que el usuario desea descargar. Por ejemplo, en el 2022 el grupo de APT LuoYu entregó el malware WinDealer a los dispositivos de sus víctimas, la mayoría diplomáticos, científicos o empresarios de China. Se envió una solicitud al servidor para actualizar el software legítimo, pero los atacantes lograron enviar su propia versión del parche que, como era de esperar, incluía el malware.
Ejecutando un script malicioso en el dispositivo. De acuerdo con Electronic Frontier Foundation, así es cómo el gobierno chino intentó censurar a GitHub, la conocida comunidad de código abierto, en el 2015. Los atacantes usaron un man-on-the-side para entregar JavaScript malicioso a los navegadores de los usuarios. Como resultado, estos navegadores cargaban una y otra vez las páginas de GitHub. Este ataque DDoS duró más de cinco días y obstaculizó significativamente el servicio.
Redireccionando a la víctima al sitio web.
Como dato curioso, se sospecha que las agencias de inteligencia de varios países también usen este tipo de ataque.
Cómo protegerte
Como ya hemos dicho, los ataques man-on-the-side son bastante inusuales, dado que necesitan el acceso al hardware del proveedor para poder llevarse a cabo. Por tanto, los viajes de negocios, las conferencias de trabajo o cualquier otra ocasión en la que tus empleados puedan conectarse a redes wifi sin protección son situaciones de alto riesgo. Para mantenerte a salvo, te recomendamos trabajar siempre a través de una VPN y usar una solución de seguridad sólida en todos los dispositivos corporativos de los empleados.
Seis sencillos pasos hacia la seguridad digital personal en 2023.
Con todos los eventos dramáticos del 2022, se te perdona si no notaste que durante el año se establecieron récords no deseados de filtraciones de información, graves incidentes de seguridad informática y otros problemas del mundo digital. En Kaspersky deseamos que el 2023 sea más tranquilo y mejor, por ello, queremos sumar nuestro granito de arena. ¡Y tú también puedes! Solo debes adoptar los siguientes propósitos para aumentar tu seguridad personal online de manera drástica y hacer de la web un lugar más seguro.
1. Dile adiós a las contraseñas
El año pasado trajo una importante mejora en la seguridad de la red: los gigantes de Apple, Google y Microsoft introdujeron inicios de sesión sin contraseña de forma simultánea. En lugar de una contraseña, tu dispositivo almacena una clave cifrada única para cada sitio. No necesitas escribir y es muy difícil de robar. Para más información sobre esta interesante tecnología, puedes leer nuestro artículo, ahora solo compartiremos este GIF publicado recientemente que ilustra el proceso de inicio de sesión:
A la fecha, no hay muchos sitios que admitan la autenticación sin contraseña, pero deberías intentar migrar a todos aquellos que te lo ofrezcan. Después de todo, esto reducirá el riesgo de que tu cuenta acabe secuestrada de forma drástica. Además, es más práctico, dado que así no tienes que pensar en una contraseña, memorizarla (o, Dios no lo quiera, ¡escribirla en algún sitio!) y luego introducirla.
Chrome, Edge y Safari ya son compatibles con esta tecnología tanto en plataformas de escritorio como en móvil.
Desgraciadamente esa poco lo que los usuarios podemos hacer para evitar dichas filtraciones. Pero sí podemos asegurarnos de que exista menos información sobre nosotros y dificultar así su vinculación: o sea, comparar los nombres y números de teléfono de dos bases de datos robadas no permitiría que un atacante consiga más información sobre nosotros. Para ello, recomendamos facilitar la menor información posible a los servicios no críticos (en especial tiendas online y servicios digitales comerciales) al no especificar tu apellido o cuentas de redes sociales y, en general, omitir campos opcionales. También puedes usar como información de contacto direcciones de correo electrónico y números de teléfono desechables. Muchos servicios proporcionan números telefónicos temporales para recibir mensajes de texto de confirmación, así como direcciones de correo electrónico únicas; solo busca en Google “número de teléfono/dirección de correo electrónico desechable/temporal”. Existen servicios de pago de este tipo que hasta ofrecen números de tarjetas de crédito desechables, lo que hace aún más segura la experiencia de compra en línea.
3. Aléjate de las redes sociales tóxicas
El año pasado hubo demasiados eventos negativos, lo que generó que las oleadas de odio en redes sociales superaran los límites. Algunas redes sociales se cayeron por razones técnicas, como pasó con Twitter. Si las redes sociales consiguieron ponerte nervioso en 2022, este año mejor despídete de ellas para siempre. Por cierto, recopilamos una lista de consejos sobre cómo alejarte de ellas sin perder tus valiosos datos.
Dicho esto, hay quien prefiere no migrar en lugar de rendirse, por ejemplo, a Telegram o Mastodon.
4. Deja el doomscrolling
Las redes sociales y noticias pueden consumir nuestros nervios y horas. Para evitar la interminable revisión de noticias y publicaciones, marca un límite de tiempo en tu teléfono para las redes sociales y apps de noticias. Comienza con una hora al día y trata de cumplirla. Varios proveedores ofrecen esta opción: en Apple es Tiempo de uso, en Google es Bienestar digital y en Huawei es Equilibrio Digital. Y, si tus hijos pasan demasiado tiempo en las redes sociales, Kaspersky Safe Kids puede ser de ayuda.
Aquellos que intenten engañarse y recuperar el tiempo perdido en sus dispositivos deberían habilitar herramientas adicionales de autocontrol en la configuración de la propia red social. Por ejemplo, YouTube tiene también una función así, llamada Recordatorio de descanso.
5. Separa tu trabajo de tu vida privada
Separar el trabajo y la vida privada es bueno por muchas razones. Ayuda tanto a la salud física como mental, ya que así el trabajo no interfiere con el tiempo que dedicas a tu familia y amigos, y los asuntos domésticos no te distraerán durante tu jornada laboral. Además, mejorará la ciberseguridad en tu trabajo, ya que no mezclarás información personal y laboral, aplicaciones, etc. Que esta separación también fuera física sería lo ideal, lo que supondría contar con distintos teléfonos y computadoras para el trabajo y la vida privada. Solo queda recordarte que no utilices sitios personales, correo electrónico y redes sociales en tu dispositivo corporativo, y viceversa.
6. Cuida tu higiene digital
Usa un software de seguridad en todas tus computadoras y teléfonos y crea contraseñas únicas en aquellos sitios que aún las necesiten. Actualiza todas las aplicaciones y el sistema operativo de forma regular. Estos consejos no son nada nuevo, no obstante, millones de personas siguen sin implementarlos, unos por ignorancia, otros por flojera. Puedes evitar todas estas molestas actividades confiándolas a una única solución integral de Kaspersky. Entre sus muchas características, se encuentran la actualización automática de aplicaciones obsoletas, la corrección de configuraciones inseguras de Windows, un gestor de contraseñas para todas las plataformas y, claro, la mejor protección antispam, antiphishing y antimalware del sector; todo en un solo paquete con una interfaz fácil de usar. Visita nuestro sitio web para más información.
¿Qué activos corporativos deberían ser los primeros en protegerse ante los ataques cibernéticos?
Pase lo que pase, si extraños ingresan de alguna manera a tu red, no será agradable,. Sin embargo, puedes minimizar el daño potencial de una violación de este tipo anticipando qué activos podrían interesarle más a un atacante y luego reforzando su seguridad. Esto es en lo que hay que poner atención:
1. Datos personales
Este es uno de los tipos de información más buscados por los cibercriminales. Primero, los datos personales (ya sean de clientes o empleados) brindan una gran ventaja para la extorsión. El publicar dicha información puede llevar no solo a la pérdida de reputación y demandas judiciales de las víctimas, sino también a problemas con organismos reguladores (quienes, en regiones con leyes estrictas sobre el procesamiento y almacenamiento de PII, pueden imponer fuertes multas). Segundo, el mercado de la dark web para datos personales es considerable, lo que permite a los hackers tratar de monetizarlos allí.
Para minimizar las posibilidades de que estos datos caigan en manos equivocadas, recomendamos almacenarlos de forma cifrada, otorgar acceso a ellos solo a los empleados que en verdad lo ocupan e, idealmente, mantener la cantidad de información recopilada lo más baja posible.
2. Apps de finanzas
Se utiliza toda clase de malware para aprovecharse de los dispositivos en los que están instalados los sistemas de pago electrónico y demás aplicaciones financieras. Estos ofrecen acceso directo a los fondos de la empresa, por lo que una sola sustitución del beneficiario de la transacción podría tener terribles consecuencias. Recientemente, este tipo de software, particularmente en pequeñas empresas, se está utilizando cada vez más en dispositivos móviles.
Para evitar pérdidas monetarias, el uso de aplicaciones financieras debe prohibirse en dispositivos que no cuenten con soluciones de seguridad confiables.
3. Credenciales de la empresa
Un solo dispositivo corporativo no resulta muy interesante para un atacante promedio. Es por eso que cuando comprometen uno, suelen buscar varias credenciales para recursos de red, servicios corporativos o herramientas de acceso remoto, ya que esto les permite extender el ataque y recuperar el acceso si el intento inicial es detectado y bloqueado. También pueden interesarse en las cuentas de redes sociales, el correo electrónico de la empresa objetivo, o en el panel de control del sitio web corporativo, lo cual puede ser usado para atacar a los compañeros de la víctima inicial, o a los clientes y socios.
Primero, cualquier dispositivo en el que los empleados utilicen servicios o recursos corporativos debe tener protección antimalware. En segundo lugar, vale la pena recordar de forma periódica a los empleados cómo almacenar correctamente las contraseñas (y, si es posible, proporcionarles la aplicación necesaria).
4. Copia de seguridad de datos
Si un atacante obtiene acceso a la red de una empresa, puede pasar algo de tiempo antes de que encuentre algo de lo que alimentarse, pero cuanto más busque, mayor será la probabilidad de que lo detecten y detengan. Así que no hagas fácil su trabajo dejando una carpeta llamada “Copia de seguridad” en un lugar visible. Después de todo, las copias de seguridad suelen contener información que la empresa teme perder y, por ende, es de mayor interés para los cibercriminales.
Las copias de seguridad deben guardarse en medios no conectados a la red principal de la empresa o en servicios especializados en la nube. Al hacerlo, también se le otorga protección adicional de datos en caso de ataques de ransomware.
5. Entorno de compilación de software
Claro, este consejo no aplica para todos: no todas las empresas desarrollan software. Por otro lado, hay varias pequeñas y nuevas empresas que crean aplicaciones. Si la tuya es una de ellas, te recomendamos prestar atención especial a la protección del entorno de compilación. En la actualidad, no es necesario ser una gran empresa para vivir un ataque dirigido. Basta con hacer una aplicación utilizada por grandes empresas, o simplemente aplicaciones populares. Los ciberdelincuentes pueden intentar infiltrarse en tu entorno de desarrollo y convertirlo en un eslabón para un ataque mediante la cadena de suministro. Y los métodos que implementan en dichos ataques pueden ser muy ingeniosos.
Elabora tu estrategia de protección del entorno de desarrollo con anticipación e integra herramientas de seguridad especiales que no afecten el rendimiento en el proceso de desarrollo.
Estafadores en Argentina siguen haciéndose pasar por centros oficiales de vacunación y llaman por teléfono para solicitar un código de seis dígitos que les permite robar la cuenta de WhatsApp.
Al igual que reportamos el año pasado, los estafadores continúan utilizando el mismo modus operandi para robar cuentas de WhatsApp de las personas. Luego, se hacen pasar por los titulares de las cuentas y escriben a sus contactos para intentar engañarlos haciéndoles creer que tienen una urgencia y solicitan un préstamo o que haga una transferencia. Muchas veces, las personas contactadas, creyendo que están hablando con el titular de la cuenta, caen en la trampa y realizan la transferencia.
Cuando alertamos a los usuarios en 2021 sobre esta forma de actuar los delincuentes, supimos casos en los que se estaban haciendo pasar por el Gobierno de la Ciudad de Buenos Aires. En los últimos meses hemos visto varias denuncias donde las personas alertan que son contactados por un teléfono con la imagen del Ministerio de Salud de la Provincia de Buenos Aires.
Usuarios alertan en octubre de 2022 a través de Twitter sobre este modus operando haciéndose pasar por una persona del Ministerio de Salud.
Como hemos explicado antes, en un momento de la conversación los estafadores solicitan a la víctima que les envíe un código de seis dígitos que recibirá a través de SMS. Supuestamente este código es para acceder al turno de la vacunación. Sin embargo, se trata del código que envía WhatsApp al número de teléfono asociado a la app para corroborar que es verdadero propietario de la línea quien está intentando abrir una cuenta de WhatsApp en un teléfono.
Algunos usuarios han reportado que los ciberdelincuentes han ido un paso más e incluso han estado aprovechando la opción de enviar el código por buzón de voz, robando la cuenta de personas que en ningún momento enviar el código de verificación, tal como explica la siguiente persona en Twitter.
A mí me quisieron clonar el WhatsApp de esa forma, pero sin pedirme el código, directamente se mandó sólo por sms a un número con característica de Córdoba, yo no envié nada ni le pasé el código a nadie. Hice la denuncia y logré frenarlo.
— silvina bolzoni⭐⭐⭐🇦🇷 (@silvinabolzoni) July 25, 2022
Sin embargo, según afirman algunos medios, WhatsApp está preparando ciertos cambios para proporcionar el código de verificación y reducir el robo de cuentas a través de todas estas modalidades.
Una vez que los atacantes ingresan a la cuenta de WhatsApp tienen acceso a la lista de contactos de las víctimas. Entonces lo que hacen es comunicarse con ellos y solicitar una transferencia de dinero. Lamentablemente, muchas personas caen en la trampa, por lo que es importante estar atentos y alertar a las demás personas.
Creo que es importante difundir esto. Ayer recibí un mensaje por WhatsApp de un familiar pidiéndome una transferencia. De entrada, el pedido me pareció extraño. Pregunté en un grupo y había personas que recibieron el mismo mensaje y habían transferido su dinero. Los estafaron. pic.twitter.com/y2KXSwEsGk
Para evitar que roben tu cuenta de WhatsApp por esta vía, las personas pueden comunicarse con la compañía de telefonía móvil y cambiar la clave de seguridad para acceder a la casilla del buzón de voz, que generalmente viene por defecto, o solicitar que den de baja el buzón de voz para tu línea.
Quienes necesitan recuperar su cuenta, pueden comunicarse con soporte de WhatsApp a través de la dirección de correo support@support.whatsapp.com
¿Qué pueden hacer las instituciones educativas, que con demasiada frecuencia son presa fácil de los ciberdelincuentes, para mejorar su seguridad y mantenerse a salvo de las amenazas informáticas?
Las escuelas o colegios están en el centro del cambio social, ya sea educando y capacitando a los estudiantes o sirviendo como espejo de las realidades sociales y económicas actuales. Sin embargo, para cumplir con su función, las escuelas necesitan recursos y personal preparados para responder a estos desafíos.
Si bien la era digital ya venía transformando lentamente a muchas escuelas hasta convertirse en parte de sus rutinas, la pandemia aceleró este proceso. De una semana a otra, sin aviso previo, docentes y alumnos pasaron de las aulas físicas a las aulas virtuales a través de plataformas de video online. Las computadoras reemplazaron a los libros, la pantalla compartida reemplazó a las pizarras y las aplicaciones de mensajería reemplazaron el patio de recreo. En algunos países con menos recursos y/o con medidas más restrictivas contra la COVID-19, las escuelas cerraron, dejando a los alumnos sin un apoyo importante.
Para las escuelas que optaron por el camino online surgieron nuevos desafíos relacionados con la privacidad, las filtraciones de datos y los ataques informáticos. Pero la educación en línea es una tendencia que llegó para quedarse, incluso después que las clases regresaron a los edificios escolares.
Cada escuela está expuesta a riesgos
Las escuelas, al igual que el resto de las instituciones educativas, cuentan con datos confidenciales, incluidos nombres, direcciones y detalles de pago de alumnos y de quienes trabajan. Por lo tanto, si tiene responsabilidad en la administración de una escuela es probable que la ciberseguridad sea una de sus principales preocupaciones en la actualidad.
Tenga en cuenta que las amenazas vienen en diferentes formatos y pueden provenir de cualquier lugar:
Cibercriminales: Los ciberdelincuentes y los ataques automatizados serán el escenario más común y la principal amenaza. Los criminales pueden enviar correos electrónicos de phishing que parecen ser correos legítimos, pero son trampas para intentar que algún miembro del personal de la escuela haga clic en un enlace y, sin saberlo, le dé acceso a los sistemas de la escuela y a distintos tipos de datos personales. Con esta información, los actores maliciosos pueden robar cuentas bancarias, cometer fraude o incluso vender los datos. Otro riesgo son los ataques de ransomware, ya que a través de estos ataques los cibercriminales suelen robar datos de los sistemas de la escuela que pueden incluir información personal sensible de alumnos.
Estudiantes: Los propios estudiantes pueden ser quienes intenten vulnerar los sistemas de la escuela. A veces solo por diversión; otras veces para cambiar sus calificaciones o acceder a la información de otras personas.
Personal de la escuela: al igual que un estudiante, un miembro del personal de una institución educativa también puede estar detrás de un ataque cibernético. Aunque este escenario es menos frecuente, puede ocurrir por un deseo de causar daño, pánico o venganza.
Cómo deben protegerse las escuelas
Y aunque suene como un tema complejo, la ciberseguridad se puede desglosar en cinco pasos muy concisos que se deben seguir al implementar una nueva estrategia.
Haga un inventario de sus equipos: ¿Con cuántas computadoras cuenta la escuela? ¿Están todas funcionando correctamente? ¿Cuentan con una solución de seguridad instalada? ¿El sistema operativo está actualizado a la última versión disponible? Enumere todos los equipos uno por uno, incluidos los detalles sobre dónde está instalada cada pieza de software, quién puede acceder a ella y si necesita una inspección adicional.
Cuente con un especialista de TI dedicado: para comprender si todos los dispositivos que enumeró funcionan correctamente o si necesitan actualizarse, según el tamaño de su escuela necesitará o bien de una persona encargada de TI o de un equipo de TI. Solo personal especializado puede evaluar correctamente y mantener el equipamiento tecnológico. El personal de TI también será responsable de configurar las credenciales de usuario con contraseñas seguras, implementar la autenticación en dos pasos, y realizar seguimiento de quién tiene acceso a qué dispositivo. También serán responsables de implementar una política de usuario fácil de comprender para todo el personal de la escuela y los estudiantes.
Cree talleres de ciberseguridad para capacitar al personal de la escuela: Comience desde cero: suponga que ninguno de sus empleados tiene conocimientos sobre ciberseguridad e intente desarrollarlos a través de talleres dedicados. Invite a expertos en el campo para que hagan presentaciones, solicite el apoyo de autoridades locales y explore los recursos disponibles que hay en línea. Asegúrese de que, con el tiempo, el personal comprenda la importancia de no compartir sus equipos, de mantener la privacidad de las contraseñas, de no publicar imágenes que permitan identificar información confidencial, y que aprendan a reconocer las características básicas de los correos de phishing.
Cree un entorno que aliente al personal a denunciar posibles amenazas: todos cometemos errores y el miedo a denunciarlos puede aumentar el riesgo y la exposición de la escuela. Por eso es importante transmitir a cada uno de los miembros de la institución que nadie es infalible y que cualquiera puede ser víctima de una estafa, ya que es importante que informen cualquier incidente para que la institución pueda tomar medidas a tiempo para proteger tanto a la persona afectada como a la escuela. Los ciberdelincuentes utilizan trucos sencillos de ingeniería social para engañar a las personas, por lo que todos son posibles víctimas.
Haga que temas como la ciberseguridad estén presente en el plan de estudios de la escuela: más que solo proteger la escuela de una posible amenaza, los docentes deben tener conocimientos sobre seguridad informática para garantizar que están capacitados para transmitir ese conocimiento a sus alumnos desde una edad temprana. Incluso si tiene una clase sobre tecnologías de la información donde estos temas se enseñan en profundidad, teniendo en cuenta que los estudiantes usan computadoras portátiles y dispositivos móviles en la mayoría de las clases, es importante que esta formación esté presente para los alumnos a lo largo de su camino escolar.
La educación en privacidad y seguridad comienza en casa
No es solo en dentro de la escuela que los estudiantes y el personal deben cumplir con las reglas de seguridad en línea. Al igual que seguir las normas de seguridad vial son importantes al cruzar una calle o usar el cinturón de seguridad, la ciberseguridad debe ser una prioridad, principalmente considerando cuán presentes están los riesgos cibernéticos en nuestras vidas.
En cuanto al personal de la escuela, tenga presente que los ciberdelincuentes pueden usar su ubicación de trabajo y las imágenes que comparten en las redes sociales para llegar a personas específicas dentro de la institución. Y en un tema como la seguridad cibernética en el que los más chicos tienden a percibirse a sí mismos como más experimentados que los adultos, es esencial que tanto los maestros como los padres puedan mantenerse al día con la experiencia en línea de los más jóvenes, aunque sea “solo” para comprender las posibles amenazas y vulnerabilidades.
Cibercriminales han estado apuntando con malware para espiar a empresas y organismos gubernamentales de Ecuador.
El equipo de investigación de ESET Latinoamérica compartió detalles de una campaña de malware dirigida a organizaciones de alto perfil que se llevó adelante entre finales de junio y primeros días de julio de 2022. Denominada Operación Pulpo Rojo, esta campaña maliciosa registró actividad en varios países de América Latina, pero de acuerdo a los sistemas de ESET se concentró principalmente en Ecuador, apuntando a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias.
El malware final que intentaban distribuir la campaña era el conocido troyano de acceso remoto (RAT) Remcos. Si bien Remcos es un software legítimo que fue desarrollado para monitorear y administrar remotamente dispositivos, desde hace unos años que viene siendo utilizado también por cibercriminales en distintas campañas maliciosas que buscan espiar y robar información de los equipos de sus víctima.
Países a los que afectó la campaña
Los operadores detrás de Operación Pulpo Rojo utilizaron distintos servicios gratuitos para alojar sus códigos maliciosos, como Google Drive o la plataforma Discord, pero se destacó por el uso de diferentes técnicas para evitar ser detectados, ya sea por una solución de seguridad, como también por una víctima que vea un comportamiento anómalo en su equipo.
Correos de phishing que utiliza la campaña
La forma de infectar a las víctimas fue a través de correos de phishing. En la Imagen 1 podemos observar un ejemplo de un correo en el que aparentaban ser de la Fiscalía General del Estado de Ecuador, pero también detectamos que se han utilizado otros temas, como correos que hacen referencia a supuestos procesos judiciales, demandas o incluso transferencias bancarias.
Imagen 1. Ejemplo de correo de phishing utilizado enviado a las víctimas
Estos correos incluyen un enlace que conducen a la descarga de un archivo comprimido que está protegido con contraseña. En el ejemplo que vemos a continuación, el archivo estaba alojado en Google Drive y contiene un ejecutable (.exe) que aparenta ser un archivo de Microsoft Word. Sin embargo, si la víctima abre este supuesto archivo Word desencadena el proceso de infección, el cual consiste en dos etapas, que termina descargando en el equipo de la víctima el RAT Remcos.
Imagen 2. Ejemplo del nombre de archivo comprimido alojado en Google Drive que contiene el ejecutable.
Imagen 3. Archivo ejecutable que utiliza el ícono de Microsoft Word para hacer creer a la víctima que se trata de un archivo de texto.
El nombre del archivo adjunto descargado puede variar. Algunos ejemplos de los nombres utilizados en esta campaña fueron ser:
DEMANDA ADMINISTRATIVA JUICIO PENAL.rar
TRANSFERENCIA BANCARIA ADJUNTO COMPROBANTE.rar
PROCESO PENAL JUICIO DEMANDA INTERPUESTA (1).rar
JUICIO NO 2586522 JUZGADO 2 LLAMADO JUDICIAL.exe
FISCALIA PROCESO PENAL JUICIO DEMANDA INTERPUESTA (2).rar
VOUCHER DE TRANSFERFENCIA REALIZADA A SU EMPRESA CUENTA CORRIENTE (1).rar
Proceso Penal Comunicacion De Jucio Demanda Interpuesta.rar
PROCESO JUDICIAL EMPRESARIAL ADMINISTRATIVO LLAMADO 1 FISCALIA GENERAL.rar
Etapas de la campaña
En una primera etapa el archivo malicioso busca ejecutar comandos de PowerShell con privilegios elevados para ejecutar un segundo código malicioso que va a realizar las siguientes acciones:
Descargar un archivo malicioso alojado en Discord que va a modificar la configuración de Windows Defender para evadir su detección.
Descarga un archivo comprimido, que también está alojado en Discord, y que contiene un ejecutable malicioso desarrollado en .NET que se encarga de lograr persistencia y de ejecutar Remcos.
Capacidades de Remcos
Este troyano permite realizar en el equipo comprometido diferentes acciones a través de comandos que son ejecutados remotamente por los atacantes; por ejemplo:
Realizar capturas de pantalla
Registrar las pulsaciones del teclado por el usuario (Keylogging)
Grabar audio
Manipular archivos
Ejecutar remotamente comandos en una máquina
Ejecutar remotamente scripts en una máquina
Como mencionamos anteriormente, si bien se trata de una herramienta legítima, en foros clandestinos se pueden encontrar versiones crackeadas de este software que son comercializadas para su uso malicioso. En este caso, los atacantes utilizaron la versión 3.4.1 Pro de Remcos.
Cómo estar protegido
Para evitar ser víctima de una campaña de malware como esta, lo primero es aprender a reconocer posibles correos de phishing, ya que como vimos en este caso, así comienzan muchos ciberataques. Para ello es importante prestar atención a la dirección de correo del remitente y evitar descargar o ejecutar archivos adjuntos o enlaces si existe la más mínima duda o sospecha de que tal vez no sea un correo legítimo.
Es muy importante también prestar atención a las extensiones de los archivos y no dejarse llevar por la imagen del ícono. Por último, es importante instalar una solución de seguridad confiable que detecte a tiempo cualquier intento de actividad maliciosa en el equipo y mantener todos los equipos y aplicaciones actualizadas.
El debate sobre si China puede confiar en los códigos fuente abiertos, en particular los que se originan en Occidente, ha ido creciendo en el país en medio de crecientes tensiones geopolíticas y tecnológicas, avivadas por la invasión rusa de Ucrania a fines de febrero.
Una opinión que está cobrando fuerza en China, la segunda economía más grande del mundo y un importante consumidor de tecnologías de código abierto, es que debe volverse más independiente de la comunidad global de código abierto y reforzar su ecosistema autóctono para evitar quedar expuesto en caso de que aumenten las tensiones globales. más lejos. Esas preocupaciones aumentaron después de que las empresas populares de software de código abierto, como Red Hat, anunciaran que reducirían sus operaciones y descontinuarían los servicios en Rusia después de que invadiera Ucrania, lo que asestó un duro golpe al sector tecnológico del país. Zhou Hongyi, fundador de la empresa china de ciberseguridad Qihoo 360, ha dicho que no se debe dar por sentado que los códigos fuente abiertos permanecerán libres de sanciones en el futuro.
Zhou, también un importante consultor político chino, dijo en una publicación de Weibo que las actuales «tecnologías de código abierto están dirigidas y controladas principalmente por países occidentales» y que la seguridad de China «será un castillo construido sobre arena» si continúa sin tener control. sobre los códigos subyacentes.
Esta opinión ha sido respaldada por varios observadores de la industria y los medios estatales , a medida que se acelera una campaña más amplia para sacudirse la influencia extranjera sobre la economía de China. También aliviaría la presión sobre muchas empresas de tecnología nacionales, que han tenido que desestimar las acusaciones de que corren el riesgo de ser sancionadas por depender demasiado de las tecnologías de bases de datos y códigos fuente occidentales . La retirada de los desarrolladores de software de código abierto de Rusia tras la invasión de Ucrania ha dejado a ese país sin opciones viables y esa es otra señal de alarma para China, dijo Aseem Prakash, que trabaja para la consultora Centre for Innovating the Future, con sede en Toronto. Como tal, se ha dado mayor urgencia a un replanteamiento de la estrategia tecnológica de China.
“Es probable que China busque reducir su dependencia del software de código abierto de la misma manera que está tratando de depender menos de la tecnología de origen occidental”, dijo Paul Haswell, socio con sede en Hong Kong del bufete de abogados Seyfarth Shaw. Esto refleja preocupaciones sobre posibles sanciones, pero también el deseo de China de volverse más autosuficiente en tecnologías centrales, agregó Haswell.
Las tecnologías de código abierto, que por definición son públicas y accesibles para cualquier persona conectada a Internet para ejecutarlas, copiarlas, modificarlas o compartirlas, han contribuido enormemente a la floreciente industria tecnológica de China en las últimas décadas. Debido a su naturaleza flexible y fácil de usar, tanto las empresas tecnológicas como el gobierno han adoptado códigos fuente abiertos para estimular el desarrollo de software. Casi el 90 por ciento de las empresas chinas utilizan software de código abierto, según un informe del año pasado del grupo de expertos afiliado al gobierno China Academy for Information and Communications Technology.
Sin embargo, las duras sanciones impuestas por EE. UU. al gigante de las telecomunicaciones Huawei Technologies Co en 2019 por supuestas amenazas a la seguridad nacional de EE. UU., que han obstaculizado su negocio mundial de teléfonos inteligentes, tocaron un punto sensible en China.Desde entonces, a Beijing le preocupa cada vez más que la fuerte dependencia del país de las tecnologías de código abierto, que son principalmente desarrolladas y alojadas por países occidentales, pueda eventualmente resultar contraproducente y convertirse en una debilidad importante en medio de las crecientes tensiones geopolíticas.
El Ministerio de Industria y Tecnología de la Información (MIIT), el principal regulador del sector de Internet de China, ha adoptado un enfoque de arriba hacia abajo para acelerar el proceso de desvinculación y el desarrollo de alternativas nacionales. En junio de 2020, los gigantes tecnológicos chinos, incluido el propietario de Post , Alibaba Group Holding, Tencent Holdings y Baidu, establecieron la primera fundación de software de código abierto del país, la Open Atom Foundation. Se rige por MIIT y gestiona algunos proyectos de código abierto de alto perfil, como el sistema operativo móvil Open Harmony de Huawei.
En el mismo año, MIIT también seleccionó a Gitee, una plataforma de alojamiento de código fuente respaldada por un grupo de 10 organizaciones, incluidas Huawei, institutos de investigación afiliados al gobierno y universidades, para construir un ecosistema de código abierto centrado en China y defenderse de la influencia de GitHub con sede en San Francisco y propiedad de Microsoft. El esfuerzo presidido por el gobierno para construir una industria autóctona de código abierto se ha expandido rápidamente. En 2021, la industria recaudó más de 5.000 millones de yuanes de inversión (750 millones de dólares), según un informe de investigación publicado por Gitee en enero. Mientras tanto, el sitio de alojamiento de código ha atraído un total de 8 millones de usuarios y más de 20 millones de proyectos, dijo Gitee, lo que la convierte en la segunda comunidad de código abierto más grande del mundo detrás de GitHub.
ero a pesar de este fuerte crecimiento, algunos desarrolladores desconfían del fuerte control estatal sobre la comunidad de código abierto de China. Por ejemplo, muchos repositorios se extraen directamente de GitHub y se transfieren a Gitee para facilitar el proceso de desarrollo y, como tal, el gobierno siempre está atento a material confidencial enterrado en el código.
El mes pasado, Gitee dijo que cerraría temporalmente y revisaría todos los repositorios de códigos públicos en el sitio después de que Beijing endureciera los controles de contenido de Internet, lo que provocó la ira en algunos sectores de la comunidad de desarrolladores de China. “La plataforma no tiene más remedio que actuar bajo la presión del gobierno”, dijo un desarrollador de software con sede en Shenzhen en Huawei, que es un usuario activo tanto de Gitee como de Github. “Pero este proceso es extremadamente desorganizado y lento, lo que es destructivo para el ecosistema de código abierto nacional”, dijo el desarrollador, que pidió permanecer en el anonimato ya que el asunto es delicado.
Mientras tanto, el gobierno chino también exigió una adquisición masiva de software nacional para ayudar a expandir el mercado para las empresas locales y reemplazar los productos extranjeros, informó Bloomberg el mes pasado. Sin embargo, algunos internautas chinos han publicado en las redes sociales que han tenido que volver a descargar Windows de Microsoft, ya que muchos programas populares funcionan mal en los sistemas operativos domésticos. Construir un sistema operativo es relativamente fácil, dijo un ingeniero de back-end con sede en Beijing del gigante del comercio electrónico JD.com. La parte difícil es construir un ecosistema abierto y acogedor que pueda atraer a más usuarios y desarrolladores de software, lo que eventualmente forma un ciclo positivo, dijo el ingeniero, quien también pidió permanecer en el anonimato debido a la delicadeza del tema.
“Es inteligente que el gobierno adopte la energía innovadora del código abierto para impulsar su propio avance tecnológico”, dijo Kevin Xu, director senior de expansión global y asociaciones en GitHub, en su blog Interconnected. «Pero ningún gobierno puede o debe intentar ‘nacionalizar’ el código abierto… es peligroso pensar que se puede».
Repasamos qué es el Machine Learning, cómo funciona el proceso, tipos de aprendizaje automático y cómo se utiliza en ciberseguridad.
Si bien hemos hablado en varias oportunidades sobre Machine Learning e incluso de nuestro producto Augur, en esta ocasión haremos un pequeño repaso teórico para aquellos que no están tan familiarizados con esta tecnología.
¿Qué es Machine Learning?
El aprendizaje automático, en inglés Machine Learning (ML), es una rama de la ciencia que permite a las computadoras a través de un conjunto de técnicas realizar tareas sin ser programadas explícitamente. A través del ML los ordenadores pueden generalizar su comportamiento a partir de datos procesados con el objetivo de realizar predicciones sobre datos futuros.
A modo de contexto, el término Machine Learning existe desde hace varias décadas, cuando Arthur Samuel lo utilizó por primera vez en los laboratorios de IBM en el año 1959 y lo definió como:
“Campo de estudio que le da a las computadoras la capacidad de aprender sin ser programadas explícitamente”
Sin embargo, fue recién en la década de 1980 cuando este concepto tomó más fuerza con la aparición de las redes neuronales artificiales (ANN – Artificial Neural Network) y luego después de otra década se empezó a utilizar por diversos especialistas con el objetivo de resolver algunas problemáticas de la vida diaria.
Similar a lo que ocurrió a principios del 2010 con las tecnologías Cloud cuando muchos consideraban que no iban a tomar fuerza, lo mismo pasó con el ML. Hoy en día esta ciencia es utilizada por diversas empresas: Facebook, Netflix, YouTube, Google o Amazon, por nombrar algunas.
Los sistemas que utilizan Machine Learning más populares son el reconocimiento de voz y el reconocimiento facial, perfilamiento de clientes en marketing, estudios de mercado, y a esto último se le está sumando automatización para IoT, automóviles autónomos, y hasta incluso los famosos robots de ayuda.
Ahora bien, la pregunta central es: ¿qué tipo de necesidades podría satisfacer el Machine Learning en la industria de la ciberseguridad? Para responder esto antes debemos dar un pequeño marco teórico para comprender dónde podríamos aplicar Machine Learning en la ciberseguridad.
¿Cómo se clasifica el ML en general?
A grandes rasgos, lo podemos clasificar como:
Si bien, tal como se observa en la figura anterior, existen varios algoritmos de Machine Learning, en este artículo abordaremos dos para entender cómo podrían ser utilizados en el área de la ciberseguridad:
Aprendizaje supervisado: está enfocado en determinar las probabilidades de nuevos eventos en función de eventos observados anteriormente. Dentro de este algoritmo encontramos otras dos categorías:
Clasificación: los algoritmos de clasificación predicen a qué categoría pertenece una entrada en función de las probabilidades aprendidas de las entradas observadas previamente. Por ejemplo: determinar si un archivo es malware o no.
Regresión: los modelos de regresión (lineal, logística) predicen un valor de salida para una entrada determinada en función de los valores de salida asociados a las entradas anteriores. Por ejemplo: predecir cuántas muestras de malware se detectarán al próximo mes.
Aprendizaje no supervisado: intentan encontrar patrones no etiquetados. Por ejemplo: determinar cuántas familias de malware existen en el conjunto de datos y qué archivos pertenecen a cada familia. Dentro de este tipo de ML se encuentra el “Clustering”, que consiste en agrupar un conjunto de objetos (cluster) por sus similitudes. Ejemplo: detección de anomalías, o familias de malware.
Etapas del Machine Learning
Aunque no seas experto en este tipo de tecnologías, es importante entender a rasgos generales cómo funciona el proceso general del ML, el cual se divide en las siguientes etapas:
Obtención de datos: Cualquiera sea el algoritmo de ML a utilizar, se debe poseer un gran número de datos para entrenar a nuestro modelo. Mayoritariamente los datos provienen de diversas fuentes.
Preprocesamiento: muchas veces los datos recolectados son categóricos, por lo que es necesario realizar un preprocesamiento y transformar esos datos en numéricos, ya que los algoritmos de ML trabajan solo con datos numéricos.
Extracción de características: se identifican los elementos que deben extraerse y someterse a análisis.
Selección de características: se identifican los atributos necesarios para entrenar el modelo de ML.
Entrenamiento: se entrena el modelo en base al algoritmo seleccionado de ML. En esta etapa se utiliza una parte de los datos para entrenar el modelo y otra parte para realizar la evaluación del mismo.
Testing: es considerado por muchos expertos la etapa más importante, ya que, teniendo el modelo entrenado, se debe validar el modelo. Para esto, los datos que se separaron en la etapa anterior, datos de validación, son utilizados para ejecutar el modelo de ML y evaluar si el modelo ofrece los resultados esperados.
Análisis de resultados: en esta etapa se buscan los errores a corregir y ajustar el modelo.
Ya explicado los tipos de ML que existen y sus etapas, procederemos a detallar las áreas en donde se podría utilizar esta tecnología dentro de la ciberseguridad.
Áreas de la ciberseguridad en las que se está aplicando el Machine Learning
En general, los productos de aprendizaje automático se crean para predecir ataques antes de que ocurran, pero dada la naturaleza sofisticada de estos ataques, las medidas preventivas a menudo fallan. En tales casos, el aprendizaje automático ayuda a remediar de otras maneras cómo reconocer el ataque en sus etapas iniciales y evitar que se propague por toda la organización. En la siguiente figura se identifica las necesidades que podría cubrir el ML dentro del campo de la ciberseguridad:
El lado B del Machine Learning
Por ahora solo se hablo de cómo el Machine Learning podría llegar a ser un aliado para el campo de la ciberseguridad, pero no nos debemos olvidar que el ML en la actualidad es utilizado para diversas áreas. Por ejemplo: reconocimiento facial, en el campo de la genética, compresión de textos, vehículos autónomos y robots, análisis de imágenes, detección de fraudes, predecir tráfico, selección de clientes, posicionamiento en buscadores, reconocimiento de voz, entre otros aplicativos. Sin embargo, todos estos tipos de aplicativos funcionan a partir del procesamiento de enormes cantidades de datos.
La pregunta entonces es: ¿Puede ser un modelo de Machine Learning vulnerado por cibercriminales? La respuesta es: Sí.
Así como se estudia dentro de la ciberseguridad modelos de prevención para distintas tecnologías, actualmente se está empezando a poner foco en la aplicación del ML a estos modelos. Por eso dentro del campo de la ciberseguridad está tomando más relevancia el concepto de Adversarial Machine Learning.
¿Qué es Adversarial Machine Learning?
El término “adversario” se utiliza en el campo de la ciberseguridad para describir al procedimiento mediante el cual se intenta penetrar o corromper una red.
En este caso, los adversarios pueden usar una variedad de métodos de ataque para interrumpir un modelo de aprendizaje automático, ya sea durante la fase de entrenamiento (llamado ataque de “poisoning” o envenenamiento) o después de que el clasificador haya sido entrenado (un ataque de “evasión”).
Conclusiones
En los últimos años el termino de Machine Learning ha tomado más importancia para los sistemas, claro está que es un tipo de tecnología en crecimiento y que tiene muchísimos beneficios para diversos sectores. En cuanto al área de la ciberseguridad, se puede utilizar ML en Threat Intelligence; por ejemplo, en la detección de amenazas, ya que esta área produce un gran volumen de datos en su inicio.
Además, se está buscando incluirlo dentro de las áreas de Threat Hunting y para la clasificación certera de familias de malware.
Sin dudas esta tecnología es un gran aliado para múltiples sectores, pero existe la posibilidad de que estos modelos de inteligencia de datos sean modificados y que esto afecte gravemente el negocio que los está utilizando. En un próximo artículo profundizaremos en lo que respecta la temática de Adversarial Machine Learning.
Ahora que las organizaciones están realizando ajustes para mejorar el modelo de trabajo híbrido que combina trabajar desde casa y desde la oficina, es más importante que nunca abordar los riesgos que puede representar una amenaza interna.
El viejo adagio “una cadena es tan fuerte como su eslabón más débil” se utiliza frecuentemente en discusiones sobre ciberseguridad, y no podría ser más adecuado. En el ámbito cibernético cada eslabón está representado por un empleado individual, lo que significa que existen muchos potenciales puntos débiles que los atacantes pueden investigar. Y de hecho lo hacen permanentemente. Lamentablemente, el cambio de manera masiva hacia el trabajo remoto durante la pandemia convirtió un problema de larga data en un desafío aún mayor para los equipos de ciberseguridad.
Ahora que las organizaciones están más preparadas para implementar un modelo híbrido que combina trabajar unos días desde casa y otros días en la oficina para la mayoría de los empleados, los desafíos del trabajo remoto es algo que ya no se puede ignorar. Simplemente porque lo que está en juego es demasiado importante.
El potencial impacto de una amenaza interna
Aunque las amenazas internas son un problema creciente, el mayor problema está relacionado con empleados negligentes o descuidados. Los seres humanos son los que hacen clic en los enlaces, crean contraseñas, configuran sistemas de TI y programan software. Lo que significa que son propensos por naturaleza a cometer errores y que pueden ser manipulados mediante ingeniería social. Por lo tanto, es natural que representen un riesgo cibernético central para las organizaciones y una gran oportunidad para los actores de amenazas. En un hipotético mundo libre de errores humanos, es difícil imaginar que exista una industria de ciberseguridad que valga los 156.000 millones de dólares estimados en la actualidad.
¿Cómo contribuye el error humano al riesgo de seguridad? Vale la pena destacar algunas estadísticas.
El factor humano estuvo presente en aproximadamente el 85% de las brechas que ocurrieron en 2020, según Verizon
Casi el 19% de las brechas involucraron “varios errores”
En aproximadamente el 35% de las brechas estuvo involucrada la ingeniería social
Los ataques de phishing aumentaron un 11% entre 2020 y 21
Casi 2.000 millones de dólares se perdieron el año pasado en ataques del tipo Business Email Compromise (BEC), en cual los usuarios son engañados para que envíen fondos corporativos a estafadores
Los dispositivos perdidos representan una amenaza importante pero que no está cuantificada. Más de 1.000 dispositivos fueron perdidos o robados de los departamentos gubernamentales del Reino Unido solo en 2020.
El impacto financiero de todas estas amenazas es muy debatido. Sin embargo, un reporte reciente afirma que una brecha interna significó para las organizaciones a nivel global un costo promedio cercano a los 11.5 millones en 2019 y esta cifra aumentó 31% con respecto a 2017.
Cómo los actores de amenazas se dirigen a los trabajadores remotos
Con la pandemia llegaron nuevas oportunidades para dirigirse a los empleados. Casi de la noche a la mañana, las organizaciones pasaron de sistemas de TI centralizados protegidos con políticas, procesos y tecnología probados a tener a la mayoría de su fuerza laboral distribuida. Los empleados no solo usaban redes y dispositivos domésticos potencialmente inseguros, sino que también pueden haber estado más distraídos por la vida en el hogar, especialmente aquellos que tenían compromisos de cuidado infantil. Incluso aquellos que no sufren tener que estar más aislados, el escenario hizo que sea más difícil poder verificar con colegas o el personal de TI cualquier correo sospechoso.
El estrés también puede haber tenido un papel importante aquí, aumentando el riesgo interno. Según un informe de ESET producido el año pasado con los especialistas en psicología empresarial The Myers-Briggs Company, el 47% de los encuestados estaban algo o muy preocupados por su capacidad para manejar el estrés durante la crisis. Los empleados estresados pueden ser más propensos a entrar en pánico y hacer clic en un enlace malicioso, o a no informar al equipo de TI acerca de un posible incidente, advirtió el informe. Las largas horas de trabajo pueden tener un efecto similar. Datos oficiales de la Oficina de Estadísticas Nacionales del Reino Unido revelaron que en 2020 los teletrabajadores estuvieron en promedio cinco horas más sentados frente al escritorio que sus colegas trabajando en la oficina.
Pero el informe de ESET tuvo hallazgos más preocupantes, que incluyen:
Los CISO reportaron que el delito cibernético aumentó un 63% desde que comenzaron los confinamientos
Aunque el 80% de los encuestados aseguró que contaba con una estrategia de trabajo remoto, solo una cuarta parte dijo que era efectiva.
Alrededor del 80% dijo que el aumento del riesgo cibernético causado por factores humanos es un desafío.
El 80% de las empresas dijo que el aumento del riesgo de la ciberseguridad por factores humanos planteaba algún tipo de desafío.
Junto con el phishing, otras amenazas alrededor del trabajo híbrido incluyen:
Secuestro del RDP, el cual es cada vez más utilizado por los actores de ransomware. Esto es posible por el uso de credenciales débiles o que fueron previamente comprometidas
Sistemas sin parches (por ejemplo, VPN, computadoras portátiles)
Wi-Fi y/o dispositivos inteligentes de uso doméstico sin contraseñas seguras
Uso compartido de los dispositivos, donde los convivientes de los empleados o sus hijos utilizan estos dispositivos para visitar sitios riesgosos y descargan involuntariamente software potencialmente malicioso
Cómo proteger el trabajo híbrido
Con un regreso parcial a la oficina, es de esperarse que algunos de estos desafíos retrocedan. Menos estrés y aislamiento puede que tengan un impacto positivo en los esfuerzos por reducir los riesgos. Pero también existe la posibilidad de que los trabajadores lleven consigo algunos malos hábitos aprendidos durante la etapa de confinamiento, o incluso algún malware escondido entre sus dispositivos. El transporte de computadoras portátiles entre el hogar y el trabajo también puede aumentar el riesgo de dispositivos perdidos o robados.
Sin embargo, hay cosas que los equipos de seguridad pueden hacer para minimizar los riesgos asociados a este modelo de trabajo híbrido. Por ejemplo:
Exigir el uso de la autenticación multifactor (MFA) para todas las cuentas y dispositivos
Directivas para requerir que se activen las actualizaciones automáticas para todos los dispositivos
Contraseñas seguras para todos los dispositivos domésticos, incluidos los routers
Pruebas psicométricas para ayudar a identificar dónde existen debilidades humanas. Esta información podría usarse para desarrollar mejores protocolos de seguridad y hacer que la capacitación sea más personalizada y efectiva.
Investigación/auditoría estricta de los proveedores y sus capacidades para mitigar las amenazas internas
Herramientas de prevención de pérdida de datos
Segmentación de la red
Restricción de los permisos de acceso bajo el principio de menor privilegio
Adoptar un enfoque Zero Trust para limitar el daño que pueden causar los incidentes internos
Modificar la cultura de trabajo para que los que están en casa no se sobrecarguen.
La gestión del riesgo interno consiste en tratar de proteger su eslabón más débil para evitar que sea el causante del compromiso. Con políticas y procesos de mejores prácticas respaldados por la tecnología adecuada, existe la esperanza de un lugar de trabajo híbrido más seguro.
Cómo el ransomware se ha convertido en una de las principales amenazas cibernéticas en la actualidad y cómo su organización puede evitar convertirse en la próxima víctima.
La comunidad de investigadores en seguridad ha estado advirtiendo desde hace mucho tiempo que el ransomware tiene el potencial de convertirse en la amenaza informática número uno para las empresas. Sin embargo, dado que las demandas de los rescates eran bajas y que la distribución del malware era bastante menos efectiva hace algunos unos años, muchas organizaciones no prestaron atención a esas predicciones y ahora están pagando grandes rescates.
En este sentido, con los innumerables reportes sobre ataques de ransomware en los medios y cientos de millones de ataques de fuerza bruta diarios —una puerta de entrada común para el ransomware—, permanecer indefenso ya no es una opción. En la reciente actualización que hicimos en nuestro popular whitepaper, Ransomware: A criminal art of malicious code, pressure and manipulation, explicamos qué fue lo que llevó a este preocupante aumento y a esta mayor severidad de los ataques de ransomware, y también qué deben hacer los defensores para mantener a sus organizaciones fuera del alcance de estos ataques.
Ransomware: A look at the criminal art of malicious code, pressure, and manipulation
Empecemos por los números. Entre enero de 2020 y junio de 2021, la protección contra ataques de fuerza bruta de ESET evitó más de 71 mil millones de ataques contra sistemas con el puerto al Protocolo de escritorio remoto (RDP) accesible de manera pública, lo que demuestra la popularidad de ese protocolo entre los ciberdelincuentes como superficie de ataque. Si bien el crecimiento más notable se produjo en la primera mitad de 2020, cuando se decretaron en el mundo las primeras cuarentenas debido a la pandemia, los picos diarios más altos se registraron en la primera mitad de 2021.
Imagen 1. El número de ataques de fuerza bruta ha ido en aumento desde principios de 2020, alcanzando las cifras diarias más altas en el primer semestre de 2021.
La comparación del primer semestre de 2020 con el primer semestre de 2021 muestra un enorme crecimiento del 612% de estos ataques que buscan adivinar las contraseñas y que apuntan al RDP. El número promedio diario de clientes únicos que reportan este tipo de ataques también ha aumentado significativamente, pasando de 80.000 en el primer semestre de 2020 a más de 160.000 (más del 100%) en el primer semestre de 2021.
Imagen 2. Según la telemetría de ESET, la tendencia de detección de ataques de fuerza bruta dirigidos al RDP muestra un crecimiento continuo con varios picos importantes en 2021.
Pero el RDP no es la única forma de distribución que utilizan las bandas de ransomware actualmente. Las campañas de malspam que distribuyen documentos poco fiables, macros maliciosas, hipervínculos dañinos y binarios de botnets no se fueron a ninguna parte y debemos sumarlas a los miles de millones de ataques de fuerza bruta con los que se bombardea a potenciales víctimas.
Además del RDP, el aumento de la actividad del ransomware también ha sido impulsado por el uso de la doble extorsión (o doxing), una técnica que comenzó a implementarse en 2019 por el ahora desaparecido ransomware Maze. Además de cifrar los datos de las víctimas, este infame grupo de ransomware también comenzó a robar la información más valiosa y sensible de las víctimas (en una etapa previa al cifrado) y amenazar a sus víctimas con publicarla a menos que se pagara el rescate.
Otras familias de ransomware, incluidas Sodinokibi (también conocido como REvil), Avaddon, DoppelPaymer y Ryuk, pronto siguieron su ejemplo y comenzaron a implementar esta efectiva modalidad extorsiva. Los nuevos métodos no solo apuntaron a los datos de las víctimas, sino también a sus sitios web, empleados, socios comerciales y clientes, lo que aumentó aún más la presión y, por lo tanto, la disposición a pagar.
Debido a la mayor efectividad que lograron a través de estas técnicas extorsivas y a la amplia gama de canales de distribución del malware, se estima que cientos de millones de dólares han terminado en las cuentas de estos ciberdelincuentes técnicamente capacitados. Impactantes montos demandados por los criminales, como fueron los $70 millones de dólares exigidos por REvil en el ataque de Kaseya o los $40 millones pagados por la compañía de seguros CNA, demuestran cómo ha escalado esta amenaza en 2021.
Las grandes sumas que viajan hacia las arcas de las bandas de ransomware también les permiten desarrollar su modelo de negocio de ransomware como servicio (RaaS, por sus siglas en inglés) e incorporar una gran cantidad de nuevos afiliados. Aliviados de tener que realizar el “trabajo sucio” de encontrar y extorsionar a las víctimas, algunos de los grupos más avanzados incluso comenzaron a adquirir vulnerabilidades zero-day y comprar credenciales robadas en mercados clandestinos, ampliando aún más el grupo de potenciales víctimas.
Pero estos actores de amenazas no se detienen ahí. El creciente número de incidentes de ransomware conectados directa o indirectamente con ataques de cadena de suministro representa otra tendencia preocupante que podría indicar la dirección en la que van estas bandas.
Ante este escenario, aprender de los diferentes incidentes que se reportan diariamente y de los análisis de malware se ha convertido en una necesidad para cualquier profesional de TI y seguridad. Desde principios de 2020 se ha demostrado una y otra vez que la implementación de políticas, la adecuada configuración del acceso remoto, y el uso de contraseñas seguras en combinación con la autenticación multifactor, pueden ser los elementos decisivos en la lucha contra el ransomware. Muchos de los incidentes mencionados en el whitepaper Ransomware: A criminal art of malicious code, pressure and manipulation también ponen en evidencia la importancia de instalar las actualizaciones de seguridad a tiempo, ya que las vulnerabilidades divulgadas y reparadas (pero sin parchear) se encuentran entre los vectores de interés de estas bandas.
Pero incluso una buena higiene cibernética y una correcta configuración no detendrán a todos los atacantes. Para contrarrestar a los actores de ransomware que utilizan vulnerabilidades zero-day, botnets, malspam y otras técnicas más avanzadas, se necesitan tecnologías de seguridad adicionales. Entre ellas una solución de seguridad para endpoint de múltiples capas, capaz de detectar y bloquear amenazas que lleguen a través del correo electrónico, ocultas detrás de un enlace o a través de RDP y otros protocolos de red; así como herramientas de respuesta y detección de endpoints para monitorear, identificar y aislar anomalías y signos de actividad maliciosa en el entorno de la organización.
Las nuevas tecnologías, si bien aportan beneficios a la sociedad, también constituyen un campo de oportunidades en constante expansión para los ciberdelincuentes. Con suerte, al explicar qué tan grave se ha vuelto una amenaza como el ransomware y qué se puede hacer para defenderse de ella, este whitepaper ayude a asegurar esos beneficios y a minimizar las pérdidas causadas por los malos actores.
