Tag seguridad informática

Se han detectado varias campañas en distintos países del mundo en las que los cibercriminales utilizan el coronavirus como excusa para comprometer el equipo de sus víctimas o robar datos personales.

us datos son muy importantes, aunque no lo creas.

Desde distribuir códigos maliciosos como Emotet o Trickbot, entre otros, hasta realizar campañas de engaño que buscan robar datos personales de los usuarios, son algunas de las acciones maliciosas que los cibercriminales están llevando adelante en países como Italia, España o Colombia. Como suele ocurrir, los actores maliciosos aprovechan temas actuales y de interés masivos, como es en este caso el Coronavirus (COVID-19), para realizar campañas de phishing que suplantan la identidad de organismos o entidades oficiales y de esa manera engañar y comprometer a más víctimas. A continuación, compartimos algunas campañas recientes que han sido alertadas por autoridades locales y organismos internacionales para evitar que los usuarios caigan en este tipo de engaños.

Campaña en Colombia suplanta identidad del Ministerio de Salud

Una de las alertas más recientes fue comunicada por el Ministerio de Salud de Colombia, quien a través de su cuenta de Twitter advirtió la existencia de una campaña que circula por correo electrónico y por WhatsApp, suplantando la identidad del Ministerio de Salud, en la que envían un adjunto (archivo PDF) para distribuir un código malicioso que se instala en el dispositivo de la víctima. El objetivo de esta campaña es robar información personal, asegura el organismo de salud colombiano.

⚠️CUIDADO⚠️ Por e-mail y WhatsApp circula información falsa, a nombre del @MinSaludCol, que advierte la llegada del coronavirus a su sector, junto con un archivo que se instala en su dispositivo móvil y roba información personal. Informate solo en canales oficiales de MinSalud pic.twitter.com/4ZFtumFmsr

— MinSaludCol (@MinSaludCol) March 5, 2020

Campaña en España se hace pasar por el Ministerio de Sanidad

Por su parte, la Guardia Civil en España también alertó a los usuarios a través de su cuenta de Twitter sobre una campaña que al parecer solo circula por WhatsApp, en la que se suplanta la identidad del Ministerio de Sanidad para compartir recomendaciones relacionadas sobre este virus que tiene paralizado al mundo entero. El mensaje incluye una URL en la que supuestamente se venden mascarillas o barbijos, cuando en realidad lo que busca la campaña es robar datos personales de las víctimas.

#NiCaso a este mensaje que circula por #Whatsapp. Suplantan al Ministerio de Sanidad @sanidadgob para dar supuestas “recomendaciones” contra el #coronavirus #COVID19 y un enlace para venderte mascarillas. pic.twitter.com/hzw4f2oWhc

— GDT Guardia Civil (@GDTGuardiaCivil) March 1, 2020

Advertencia de la Organización Mundial de la Salud por campañas maliciosas en su nombre

La semana pasada la Organización Mundial de la Salud (OMS) emitió un comunicado alertando también ante la existencia de campañas que circulan a través del correo en la que los cibercriminales utilizan técnicas de ingeniería social para hacerle creer al usuario que se trata de un correo legítimo de la OMS con el objetivo de robar dinero o información personal.

Según reportaron distintos medios, en Italia ha estado circulando a través del correo una campaña de spam de estas características en la que simulan ser de la OMS con la intención de instalar el malware TrickBot al convencer a las potenciales víctimas para que descarguen un archivo Word adjunto que tenía embebido un código malicioso. Según los investigadores que detectaron y analizaron esta campaña, una vez descargado TrickBot en el equipo de la víctima, la amenaza recolectará información del dispositivo, robará datos y credenciales de administrador e intentará moverse lateralmente a través de la red en busca de más información para luego eventualmente descargar otra amenaza.

En el caso de la campaña detectada en Italia, el asunto del correo pretende hacer creer a la víctima que se trata de recomendaciones para estar protegidos ante la propagación del Coronavirus en nombre de un doctor de la OMS.

Japón y una campaña que distribuye Emotet

Hacia fines de enero comenzaron a verse campañas maliciosas que utilizaban al Coronavirus como pretexto. En Japón se detectó una campaña de spam intentando distribuir Emotet en la que los operadores detrás de la misma pretendían convencer a las potenciales víctimas que se trataba de una notificación oficial con recomendaciones y medidas preventivas a raíz de la llegada del virus a la isla. A raíz de esto fue que el CERT de Japón publicó EmoChek, una herramienta para detectar la presencia de Emotet en el equipo de quienes crean pueden haber sido comprometidos.

Otros países en los que se han reportado casos similares ha sido Ucrania. En este país ha estado circulando un correo en nombre del centro de salud pública ucraniano que incluye un archivo Word que también utilizaba documentos de Office para ocultar código malicioso con funcionalidades de backdoor, robar datos del portapapeles, contraseñas y con capacidad para realizar capturas de pantalla.

Estas son solo algunas de las advertencias que han sido divulgadas en las últimas semanas a lo largo del mundo, pero no son las únicas. En Estados Unidos también han estado presentes campañas a través del correo, mensajes de texto e incluso redes sociales que se aprovechan del Coronavirus, advirtió la Comisión Federal del Comercio (FTC, por sus siglas en inglés).

Recomendamos a los usuarios a estar atentos. Si llegan a recibir un correo o mensaje que incluye un enlace o un archivo adjunto utilizando el tema del Coronavirus, recuerden que puede ser un engaño, por lo que se recomienda no descargar ni abrir el archivo y tampoco el enlace.

Fuente: www.welivesecurity.com

Además de la vulnerabilidad que afecta al proceso de validación de certificados de Windows, otras vulnerabilidades críticas en RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft.

Como mencionamos en el artículo sobre la importancia de instalar el último paquete de actualizaciones que lanzó Windows, ya que uno de los parches repara una vulnerabilidad (CVE-2020-0601) crítica en el proceso de validación de certificados que realiza Windows 10 y Windows Server 2016/2019, además de este fallo, otras 48 vulnerabilidades más fueron mitigadas con los últimos parches de seguridad que lanzó la compañía. Entre estas, dos vulnerabilidades también consideradas críticas que permitirían a un atacante ejecutar código de manera remota en servidores RDP y acceder a una red sin necesidad de tener que pasar por un proceso de autenticación.

Según advierte el Centro de Respuesta de Seguridad de Microsoft, la explotación de estos fallos (CVE-2020-0609 y CVE-2020-0610) posibilitarían a un actor malicioso instalar programas, ver, modificar o incluso eliminar información o hasta crear nuevas cuentas con permisos completos. De acuerdo a la valoración que hace Microsoft, estos fallos son aún más severos que la vulnerabilidad CVE-2020-0601.

Estas dos vulnerabilidades tienen un impacto similar a BlueKeep (CVE-2019-0708), una vulnerabilidad que como hemos visto, fue reportada en mayo del 2019 por Microsoft y hacia finales del año comenzaron a crecer los ataques que intentaban explotarla. Por si fuera poco, se estima que este año continuarán los intentos de ataque aprovechando este fallo con el riesgo de que intenten distribuir amenazas más peligrosas que las que hasta el momento han logrado distribuir.

Además de estas dos vulnerabilidades críticas, otras tres vulnerabilidades relacionadas al RDP fueron parcheadas en el último paquete de actualizaciones que lanzó Microsoft el último martes.

Cómo mencionó el investigador de ESET, Aryeh Goretsky en un completo artículo (que incluye un white paper) publicado recientemente en el que explica por qué desconectar RDP de Internet para evitar ser víctima de un ataque, durante los últimos años se han visto cada vez más incidentes de seguridad en los que los atacantes se han conectado remotamente a un servidor de Windows de Internet utilizando RDP e iniciando sesión como administrador de la computadora, lo que permitía a los cibercriminales realizar una gran cantidad de acciones maliciosas, como deshabilitar el software de seguridad, instalar programas de criptominería o incluso amenazas más peligrosas, como un ransomware, entre otras tantas.

Lamentablemente, tal como fue en el caso de WannaCry y como también ha pasado en gran medida después de que se comunicó la existencia de BlueKeep, pese a que se lanzó el parche para cada una de las vulnerabilidades que permitían llevar adelante estos ataques, muchos equipos permanecían sin parchear tiempo después, quedando expuestos a posibles ataques.

Dicho esto, aconsejamos a los usuarios instalar el último paquete de actualizaciones cuanto antes para estar protegidos y tomar consciencia sobre la importancia de instalar las actualizaciones de seguridad.

Fuente: www.welivesecurity.com

Repasamos cuáles fueron los mensajes y los asuntos de correo que más efectivos resultaron para los cibercriminales al momento de llevar adelante sus ataques de ingeniería social en 2019.

Al igual que en otros años, este 2019 uno de los ataques más efectivos han sido los de ingeniería social, entre ellos los ataques de phishing. Si bien ya hemos hablado anteriormente en varias oportunidades acerca de este tipo de ataque, a continuación, vamos a repasar algunos de los conceptos que explican el porqué de este fenómeno.

Un detalle, que no es nuevo, sino que se ha mantenido a lo largo de los últimos años, inclusive en 2019, es el hecho de que los cibercriminales permanentemente están buscando mejorar sus técnicas para llevar adelante ataques cada vez más ingeniosos y elaborados. Esto lo hemos visto, por ejemplo, en una gran cantidad de campañas de phishing analizadas durante el 2019 en las cuales se incorporaron certificados SSL en los servidores, logrando de esta manera que el mismo navegador le informe al usuario que está navegando en una página “segura”. También han sido una constante los mensajes que apuntan directamente a dispositivos móviles, en los cuales la URL completa es muy difícil de ver, al igual que el crecimiento de los ataques homográficos, donde la dirección del sitio al que se invita a acceder es prácticamente la misma que el sitio real.

Los mensajes más efectivos a la hora de buscar captar posibles víctimas, según el último reporte de KnowBe4, son los relacionados a los problemas se seguridad de los usuarios finales; principalmente los dirigidos a entornos corporativos. Entre ellos, los que utilizan algunas de las siguientes excusas:

• Verificación de contraseña requerida de forma inmediata
• Un intento de entrega fue realizado
• Desactivación de la [dirección correo] en proceso
• Nuevos “food trucks” llegan a la [nombre de la empresa]
• Nuevos beneficios para los empleados
• Política de vacaciones y licencias por enfermedad revisada
• Tiene un nuevo mensaje de voz
• Nuevos cambios en la organización
• Cambio de contraseña requerido de forma inmediata
• Revisión de personal [año]

El uso de mensajes de tipo corporativo se explica a partir de la intención de buscar comprometer sistemas de empresas para así lograr exfiltrar su información.

Otra modalidad que estuvo muy presente este año fue la que se conoce como Business Email Compromise (BEC), que no se trata de otra cosa que de correos dirigidos en los que los cibercriminales suplantan la identidad de la cuenta de correo de una empresa (ya sea mediante técnicas de spoofing o directamente habiendo conseguido acceso a la misma) con la finalidad maximizar la efectividad del mensaje enviado al hacerse pasar por un remitente conocido. Generalmente, el contenido de estos mensajes está relacionado a temas de injerencia directiva o decisoria en cuanto; por ejemplo, un mensaje que reciben todos los empleados desde una supuesta casilla de recursos humanos, o bien un departamento determinado (financias por nombrar alguno) que recibe un pedido urgente por parte de su superior.

Según el reporte al respecto de la empresa Barracuda, este tipo de ataques son veinte veces más efectivos que los phishing convencionales y han generado pérdidas superiores a los 26 mil millones de dólares en los últimos 4 años.

Volviendo al tema de los mensajes que incluyen en el asunto de los correos de phishing, algunos de los asuntos que más clics generaron durante 2019 en correos que apuntaban a cuentas no corporativas, son los siguientes:

• Nuevo mensaje de voz en Skype
• Reembolso de la transacción
• [Nombre de un contacto] compartió un documento contigo
• Microsoft Teams: por favor autentificar su cuenta
• Bonos para empleados seleccionados
• Cisco Webex: su cuenta de ha sido bloqueada
• Amazon: dirección de facturación no coincide
• USPS: Paquete de alta prioridad: ¡Verifique por dónde va!
• Verizon: actualización seguridad
• Adobe Cloud: compartieron un documento con usted

En la mayoría de los casos los ciberdelincuentes buscan enviar correos con este tipo de mensaje en el asunto para robar credenciales de acceso a servicios masivos, ya sea con la finalidad de obtener datos sensibles de las víctimas almacenados en los mismos o generar bases de datos para luego comercializarlas en el mercado negro.

En el caso de los mensajes que buscan captar credenciales de redes sociales, el reporte muestra que LinkedIn, la red social de perfiles corporativos y laborales, recibe casi la mitad de los intentos, con el 48% de los envíos con mensajes del tipo: “Agrégame”, “Su cuenta aparece en nuevas búsquedas”, “Su perfil fue visitado”, “Reseteo de contraseña” o “Pedido de desactivación”.

Redes sociales más apuntadas

En el caso de Facebook, los mensajes más frecuentes son del tipo: “Alguien te mencionó en una publicación”, “Tus amigos te etiquetaron en las siguientes fotos”, “Cuenta de correo principal modificada”.

En menor medida, en el caso de Twitter los mensajes que se registraron con mayor frecuencia son del tipo: “Alguien te envió un mensaje directo” o los servicios online de Motorola con “Alerta de acceso de Chrome en Motorola Moto X”.

Cómo estar protegido ante este tipo de ataques

Algunas de las prácticas recomendadas para estar protegidos ante este tipo de ataques, son:

• Verificar la dirección del remitente. Si bien los cibercriminales en algunas oportunidades utilizan técnicas como el spoofing de remitente, a través de las cuales pueden hacerse pasar por una dirección real, si se verifica el encabezado del mismo se puede llegar a detectar que el envío se realizó a través de otro servidor.
• En caso de que el remitente sea el real, pero se dude de la veracidad del mensaje, contactarlo por otro medio y validar si el mensaje realmente existió.
• De la misma manera que es necesario verificar el remitente, se debe analizar minuciosamente el enlace al cual se invita a hacer clic. En general no se recomienda acceder directamente a un enlace que viene incluido en un mensaje. Si se trata de un caso real y el usuario debe acceder a su cuenta, es recomendable que lo realice de la manera tradicional, desde su acceso directo, a través de una app o ingresando manualmente la URL del servicio al cual desea acceder en el navegador.
• Es sumamente importante activar en todas las cuentas que así lo permitan el Doble Factor de Autenticacion, ya que, de esta manera, en caso de que el usuario se haya visto afectado por una filtración de sus credenciales, este código aleatorio que llega al dispositivo móvil vía aplicación o SMS, es muy difícil de adivinar u obtener.
• Para los usuario de Google Chrome es posible activar la extensión de verificación de contraseñas, la cual permite recibir alertas en tiempo real si se quiere utilizar una contraseña que ha formado parte de alguna filtración.

Como siempre decimos, el primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse unos minutos para corroborar que no hay nada sospechoso. Para eso, recomendamos leer 8 señales que indican que eres un blanco fácil de las estafas por Internet, un artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios. Por último, para el próximo año plantéate la meta de utilizar mejores contraseñas. Para ello te recomendamos leer el siguiente artículo: Contraseñas, la llave maestra de tu información.

Fuente: www.welivesecurity.com

¿Qué harías si tuvieras que compartir un secreto con alguien por teléfono y no quisieras que nadie se entere?

Probablemente uses un mensaje cifrado y entonces estarías aplicando la criptografía.

La criptografía es el arte de escribir con clave secreta o de un modo enigmático, define la Real Academia Española (RAE).

Y este arte es tan antiguo como la invención de la escritura misma por parte de los seres humanos.

Uno ejemplo claro de ello es la piedra de Rosetta que se encuentra en el Museo Británico en Londres.

Esta piedra contiene escrito un decreto atribuido al faraón egipcio Ptolomeo V en el año 196 antes de Cristo.

Y en la piedra Rosetta aparece casi el mismo contenido en tres escrituras distintas: jeroglíficos egipcios, la escritura demótica (que era el idioma de los egipcios) y el griego antiguo.

La piedra de Rosetta se encuentra en el Museo Británico de Londres.

La piedra de Rosetta fue clave para poder descifrar los jeroglíficos egipcios.

Entonces, el descubrimiento de esta piedra en 1799 resultó un elemento clave para poder descifrar los jeroglíficos egipcios.

Pero ¿qué función tiene la criptografía en la actualidad? Y ¿cómo puede ser que la utilices todos los días sin que te des cuenta?

Seguridad

La criptografía se utiliza en la actualidad para dar garantías de seguridad a la información.

«Es la responsable de proteger nuestros datos en las comunicaciones para que solamente la persona receptora de ese mensaje pueda leerlo y ninguna otra pueda acceder a esa información si no es la destinataria legítima», explica la ingeniera y doctora en Informática, Carmen Torrano.

La criptografía ofrece claves capaces de cifrar o descifrar esa información utilizando diferentes técnicas.

La criptografía se utiliza para dar garantías de seguridad.

«Está la transposición, que es cuando los caracteres se barajan de alguna manera para que no se entienda el mensaje original. También se utiliza la sustitución, que es donde un carácter es reemplazado por otro», enumera.

«Esto con el tiempo se fue volviendo más complejo con sistemas mono alfabéticos, poli alfabéticos, y otras técnicas porque también se fueron complicando los ataques», le dice a BBC Mundo Torrano, que trabaja como investigadora senior en la empresa de ciberseguridad Eleven Paths, en Telefónica, España.

Dejando huellas

Sin embargo, la criptografía en la actualidad no sirve solamente para mantener en secreto la comunicación entre dos personas.

«La criptografía está en todas partes. Cuando realizamos una llamada por teléfono, cuando vamos al banco a sacar dinero… en muchos de los casos se están aplicando algoritmos sin que lo sepamos», añade Torrano.

Por un lado con el celular llamamos, mandamos mensajes a través de diferentes aplicaciones, tomamos fotos y videos que también enviamos.

«Esa sería la información consciente que transmitimos con nuestros teléfono», describe María Isabel González Vasco, profesora de Matemáticas Aplicadas del departamento MACIMTE de la Universidad Rey Juan Carlos, de España.

Y mucha de esa información sabemos que está cifrada, como por ejemplo si usamos las aplicaciones de mensajería instantánea Whatsapp o Telegram que ofrecen un servicio de encriptación de extremo a extremo.

Esto quiere decir que el mensaje está en clave y si alguien quisiera interceptarlo, atacando el teléfono, no podría leer el contenido porque está cifrado. Y para ello se utiliza la criptografía

Pero luego hay otro tipos de datos que es inevitable que no podamos compartir. Por ejemplo, la información de localización que es inseparable al uso del celular porque la señal del teléfono es captada por distintos repetidores.

«Y esa información se la estamos cediendo a la compañía de teléfono y muchas veces a otras entidades de manera más inconsciente«, alerta González Vasco que también es codirectora del proyecto Science for Peace and Security (Ciencia para la paz y la seguridad, SPS en inglés) de la OTAN sobre seguridad de las comunicaciones en la era cuántica.

«También están las aplicaciones que utilizamos para comprar o para almacenar nuestra música que van construyendo un rastro de información y que delegamos muchas veces de manera inconsciente porque no leemos las políticas de privacidad de las app», asegura.

¿Por qué es importante proteger nuestros datos?

us datos son muy importantes, aunque no lo creas.

Aunque tal vez te parezca que a nadie le puede importar qué compras, dónde te mueves o a qué hora tienes tus rutinas, tus datos pueden ser de extrema utilidad para muchos.

«Esa información se puede vender y se puede utilizar para fines comerciales. Si ciertas empresas tienen gran cantidad de información de los clientes de una zona y pueden controlar qué tipo de cosas se compran en otros comercios, pueden hacerse con el monopolio del comercio de esa localidad sin tener que haber competido de manera justa con precio y calidad», ejemplifica González Vasco.

«Los criptógrafos siempre decimos que es mucho más potente decir una mentira a cada cliente potencial construida para él, que decir una mentira universal para todos. Va a ser más efectivo decirle a cada uno lo que quiere oír», señala la profesora de la Universidad Rey Juan Carlos, de España.

«Por eso Facebook es un negocio redondo porque la información que recauda de los usuarios permite hacerse una idea muy precisa del tipo de consumo que hace esa persona y ni hablemos de tendencias políticas y religiosas y otros temas más sensibles», agrega.

Hay aplicaciones que pueden rastrear tus movimientos y almacenarlos sin que tú lo sepas.

La ingeniera Torrano coincide y opina que cualquier usuario puede ser blanco de monitoreo o robo de información.

«Cuando navegamos por internet, aunque tengamos medidas de seguridad, muchas veces a través de las cookies (datos que almacenan los sitios web en tu navegador) hay empresas que se dedican a recolectar información (…) para estudiar hábitos», asegura.

«Toda esa información la utilizan las empresas para conocer mejor al cliente y, si se utiliza bien, puede que tengas una experiencia de usuario más cómoda y personalizada, pero si se utiliza mal, esos datos se puede a llegar a vender a empresas para otros fines, como influencia en temas políticos, etc.», describe Torrano.

«Todos somos susceptibles a ser atacados y por eso es muy importante tomar las medidas adecuadas», añade.

¿Qué hacer para proteger nuestros datos?

Ambas expertas consultadas por BBC Mundo revelan algunos consejos y medidas que se puedan tomar adicionalmente para estar seguros utilizando la criptografía.

«Todos somos susceptibles a ser atacados y por eso es muy importante tomar las medidas adecuadas», advierte la doctora en Informática Carmen Torrano.

1. Mensaje cifrado

Observar si una aplicación de mensajería dice que cifra los mensajes de extremo a extremo.

«Son pistas de que nuestra información se está tratando con cierta seguridad», dice González Vasco.

«También existen aplicaciones que permiten cifrar las llamadas y los sms (mensajes de texto) para personas que tienen información muy importante o confidencial», agrega Torrano.

2. Políticas de privacidad

Hay que leer siempre la política de privacidad de las aplicaciones.

«Es importante ser consciente de que no es necesario dar todos nuestros datos a una plataforma de servicios de música online para que ellos nos den recomendaciones. Hay herramientas técnicas que permiten hacer recomendaciones sin que uno ceda demasiados datos», opina González Vasco.

«Si quiero una aplicación que mida mis pasos, por ejemplo, ¿hay alguna cuya política de privacidad me garantice que va a borrar los datos de mis trayectos? ¿Tengo control sobre esos datos? Leer ese tipo de cosas nos hace muchísimamente menos vulnerables», añade.

Tus hábitos de compras pueden estar registrados en diferentes aplicaciones.

3. Detectores

Existen herramientas con apoyo criptográfico que podemos descargar y que pueden detectar rápidamente si entra malware (software malicioso) a través de una aplicación.

«Se trata de algún tipo de software que puede ser instalado con una aplicación que parece inocente y que termina leyendo otra información que pueda estar almacenada en nuestro teléfono», describe González Vasco.

4. Agregadores

«Los agregadores (lectores o recopiladores de contenidos) son muy cómodos, porque en una sola aplicación puedes mirar todo, como las cuentas bancarias. Pero creo que este tipo de recursos hay que utilizarlos con mucha precaución», advierte la profesora González Vasco.

Por ejemplo, un supermercado en el que haces compras online te permite a través de su web no solo hacer la lista de la compra para ellos sino la de otras tiendas diferentes.

«Entonces al supermercado, que suele ser el dueño del agregador, le estás dando no solo los datos de lo que le compras a él, sino los de todo lo que compras», explica la especialista.

Si te conectas a una red de internet en un aeropuerto, evita realizar operaciones sensibles en las que tu información personal puede quedar expuesta.

5. Conexiones públicas

«Cuando te conectas a las redes de internet (wifi) públicas no debes ingresar a sitios que sean confidenciales, como por ejemplo el banco para hacer una transacción. Estas son redes abiertas que no están cifradas y que otras personas pueden estar accediendo a tu información», advierte Torrano.

Tampoco «cargar el portátil en cualquier sitio, o fuente USB que haya en una cafetería en un aeropuerto. Estas son acciones muy convenientes pero pueden tener algún tipo de consecuencias si uno lleva información sensible en la computadora», agrega González Vasco.

6. Red Privada Virtual

Instalar una aplicación de VPN (Red Privada Virtual) en el celular.

«Es como un túnel por el que van los datos que van cifrados y esto permite que la comunicación vaya ‘encriptada’ y que alguien no la pueda interceptar. Hay aplicaciones hasta gratuitas para descargar en el teléfono móvil», aconseja Torrano.

Conectarte a una red pública de internet puede tener riesgos.

7. Anonimato

«Otra medida para fomentar la privacidad del usuario es utilizar redes anónimas como Tor o I2P, o Freenet», dice Torrano.

Estas redes «pretenden conservar la privacidad del usuario para que esos rastros que vamos dejando cuando navegamos por internet no sean descubiertos poniendo muchos elementos intermedios como servidores y utilizando también la criptografía».

«Y esto es como todo: hay personas que utilizan el anonimato para proteger su privacidad pero otras, desgraciadamente, lo usan para hacer cosas ilegales, como tráfico de armas, drogas, personas, etc.», destaca.

8. Dominios seguros

«Cuando accedemos a determinados dominios (direcciones de internet) debemos asegurarnos que el navegador sea seguro», aclara la doctora en Informática, Carmen Torrano.

«Muchos aparecen con un candado en verde o en rojo y si muestra https (con la ‘s’ al final) significa que estamos utilizando una capa de cifrado y esto es lo recomendado porque estamos navegando por sitios que son de confianza», agrega.

Las aplicaciones que cuentan tus pasos también siguen tus hábitos y trayectorias. Asegúrate de que esa información quede resguardada.

9. Certificado digital

«Se puede instalar un certificado digital y utilizarlo para firmar documentos. Esto también es parte de la criptografía«, asegura Torrano.

El certificado digital permite la firma electrónica de documentos. Quien recibe un documento firmado puede tener la seguridad de que es el original, no fue manipulado y el autor de la firma electrónica no puede negar su autoría.

10. Respaldo o «Back up»

«Es recomendable como medida de protección hacer un back up (respaldo de información) de los datos del teléfono en el caso de ser víctima de la criptografía mal utilizada«, dice Torrano.

Un ejemplo de esto es ser atacado por un ransomware, que infecta el teléfono cifrando los datos de forma que el usuario no pueda acceder a ellos. Esta es la criptografía que se utiliza para atacar«, señala la especialista en ciberseguridad.

El back up se puede hacer conectando el teléfono a la computadora o a la nube.

La criptografía puede usarte de forma positiva pero también de manera dañina.

Educación del usuario

Es una realidad que para proteger mejor nuestros datos no basta con herramientas sofisticadas que utilizan criptografía.

«Es muy importante hacer que la gente sea consciente que revelar continuamente su localización, gustos de consumo, o ideas políticas es proporcionar poder a grupos que escapan al control. Y eso hace que seamos mucho más vulnerables como consumidores y en general como ciudadanos», reflexiona la profesora González Vasco.

«La criptografía lamentablemente no es como una buena medicina. Es más bien como unos buenos hábitos higiénicos sumados a una buena alimentación. Hay mucho que podemos hacer nosotros y que no es sustituible por herramientas tecnológicas mágicas que tengamos en el celular», concluye.

Fuente: ww.bbc.com

Compartimos un resumen anual con una selección de las noticias e investigaciones más importantes publicadas en WeLiveSecurity a lo largo del 2019.

Compartimos una recopilación con algunos de los hechos más relevantes que tuvieron lugar este 2019 en el mundo de la seguridad informática, que incluye el hallazgo de vulnerabilidades críticas, como es el caso de Bluekeep, nuevas investigaciones sobre la actividad de grupos de APT, como The Dukes, además del malware Machete, la masiva publicación de datos provenientes de filtraciones, llamada Collection #1, entre otras noticias e investigaciones relevantes que publicamos durante este año. A continuación, te invitamos a ver el siguiente video y más abajo un resumen de cada una de las noticias con los enlaces a los artículos completos.

Microsoft y la suspensión del soporte para Windows 7

Como contamos en el video, 2019 fue un año que comenzó con el anuncio por parte de Microsoft de que el 14 de enero del 2020 dejará de lanzar actualizaciones de seguridad y de dar soporte gratuito para el sistema operativo Windows 7.

Vulnerabilidad en WinRAR

En el segundo mes del año se conoció la noticia sobre el hallazgo de una vulnerabilidad crítica en todas las versiones de un popular software como WinRAR. Si bien la compañía detrás de este programa para comprimir archivos lanzó una actualización que solucionaba el fallo, al poco tiempo de conocerse el fallo comenzaron a detectarse campañas que intentaban aprovecharse de este error en equipos que no hubieran actualizado para distribuir desde un backdoor hasta un ransomware. Incluso en foros comenzaron a ofrecerse herramientas para crear archivos RAR maliciosos. Entre las campañas que se aprovecharon de este fallo, investigadores de ESET descubrieron una campaña dirigida a departamentos financieros en los Balcanes (que distribuía un backdoor y un RAT) que explotaba este fallo en WinRAR para comprometer los equipos de sus víctimas.

Vulnerabilidad Bluekeep

Siguiendo con el tema de las vulnerabilidades, una de las que más dio que hablar este año y que probablemente continúe ocupando espacio en los titulares de los medios en 2020 es Bluekeep; la vulnerabilidad (CVE-2019-0708) que afecta a varias versiones de Windows y que permite realizar ataques vía RDP.  En mayo Mirosoft lanzó un comunicado alertando a los usuarios acerca de la importancia de instalar el parche que reparaba este fallo, ya que, en caso de ser explotada, la vulnerabilidad podría tener consecuencias similares a Wannacry. Con el correr de los días, la gravedad del fallo despertó preocupación y curiosidad por parte de la comunidad de investigadores y comenzaron a surgir las primeras pruebas de concepto (POC) que demostraban que el fallo era explotable. Además de la publicación de nuevos comunicados por parte de Microsoft, se sumaron mensajes alertando acerca de BlueKeep por parte de organismos como la NSA, quién también lanzó un comunicado reforzando el mensaje que instaba a instalar el parche de seguridad. Finalmente, en el mes de noviembre, comenzaron a registrarse ataques de Bluekeep, que si bien solo lograron distribuir mineros de criptomonedas y no consiguieron llevar adelante ataques más peligrosos, es muy factible que en el corto plazo se aprovechen de esta vulnerabilidad para intentar distribuir amenazas más peligrosas.

Collection #1: la recopilación de brechas más grande

Este año se conocieron varios casos de filtraciones de datos privados de los usuarios, pero nada fue como Collection#1, que fue el nombre que recibió la recopilación compuestas por siete carpetas con direcciones de correo electrónico y contraseñas filtradas en antiguas brechas. Se estima que en total los datos estaban compuestos por más de 2.200 millones de direcciones y contraseñas. Al momento del hallazgo esta información se estaban comercializando en el mercado negro por $45.

Gandrab dejo de operar

Otra de las noticias relevantes de este año fue el anuncio de que los operadores detrás del ransomware Gandcrab dejarían de operar y la posterior publicación de las claves maestras de descifrado por parte del FBI. Vale la pena recordar que esta familia de ransomware hizo su aparición a principios de 2018 y que en poco tiempo se posicionó como una de las familias más detectadas en América Latina.

Ransomware dirigido: una tendencia que se confirmó

Continuando con el tema del ransomware, algo que se consolidó este año fue la tendencia de los ataques de ransomware dirigidos, algo que los especialistas de ESET predijeron en Tendencias 2019. Entre los varios ataques de ransomware dirigidos que se vieron este año, se destaca el que afectó a 23 agencias gubernamentales en Texas, los que impactaron tanto a Cadena SER, la consultora Everis y Prosegur en España, y el ataque dirigido a la petrolera estatal mexicana Pemex.

Más problemas para Facebook

La red social estuvo envuelta en varios temas relacionados a la seguridad en 2019. Uno de los hechos más importante fue el que estuvo relacionado con el bloqueo de su VPN, “Facebook research”, por violar las políticas de Apple al hacer uso de certificados emitidos por la compañía de la manzana para realizar acciones que van en contra de la política de la compañía. Facebook research había sido utilizada por la compañía de Zuckerberg para recolectar datos de los teléfonos que la utilizaran. Poco después del incidente con Apple, Facebook eliminó la app de Google Play.

Grupo de APT The Dukes continúa activo

Uno de los hallazgos más relevantes de este año fue el descubrimiento de que el grupo de APT “The Dukes”, acusado de haberse infiltrado en el Comité Nacional Demócrata de EUA, continúa activo pese a haberse mantenido durante largo tiempo lejos de los radares de detección. Investigadores de ESET confirmaron que, lejos de haber detenido sus actividades, el grupo de cibercriminales ha estado activo comprometiendo blancos gubernamentales.

Ciberespionaje en América Latina

Otra de las investigaciones más importantes de este año tuvo que ver con el descubrimiento de la reciente actividad de una nueva versión del malware Machete, ya que se develó que los operadores detrás de esta amenaza continúan en actividad realizando tareas de espionaje contra organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela. Según los hallazgos de los investigadores de ESET, los ataques de Machete permitieron robar grandes cantidades de información y datos confidenciales.

Varenyky: sextorsión y la posibilidad de grabar la pantalla de sus víctimas

Por último, otra investigación que dio que hablar fue el hallazgo de una nueva amenaza, apodada Varenyky, que apuntó principalmente a usuarios de Francia. Luego de que en 2018 comenzaran a circular por todo el mundo campañas de sextorsión que comenzaban por un correo que incluía una posible contraseñas de la potencial víctima en asunto, o que hicieran uso de técnicas maliciosas para enviar un correo haciendo creer a la víctima que había sido enviada desde su propia cuenta, el hallazgo de Varenyky fue el de una campaña de sextorsión que además de extorsionar a sus víctimas, distribuía un malware con capacidad para grabar la pantalla de sus víctimas (no su webcam).

Fuente: www.welivesecurity.com

Estas contraseñas son las más populares, pero lejos están de ser las más seguras

Año tras año, los análisis muestran que millones de personas toman decisiones cuestionables cuando se trata crear contraseñas para proteger sus cuentas. Y los datos más recientes confirman que los malos hábitos son difíciles de erradicar y que muchas personas están dispuestas a ponerse en la primera línea de fuego de los ataques que buscan el secuestro de cuentas.

A partir de un análisis sobre un total de 500 millones de contraseñas que se filtraron en varias brechas de datos a lo largo del 2019, NordPass descubrió que “12345”, “123456” y “123456789” eran las más frecuentes. Entre todas, estas contraseñas compuestas por cadenas numéricas se usaron para “asegurar” un total de 6.3 millones de cuentas. Sin embargo, el resto de la lista de las contraseñas más utilizadas no presenta un escenario mucho más optimista, ya que a estas tres opciones siguieron “prueba1” y “contraseña”.

De manera un tanto predecible, la tabla está repleta de muchas otras contraseñas de las cuales se sospecha son muy comunes: como son “asdf”, “qwerty”, “iloveyou” y varias otras alternativas más. También abundan otras contraseñas extremadamente fáciles de vulnerar, incluidas cadenas numéricas simples y nombres comunes. La misma imagen se repite cada año en las listas de las contraseñas más utilizadas, como fue el año pasado, el año anterior, etc.

La lista completa con las 200 contraseñas más populares está disponible en el sitio de NordPass, pero aquí compartimos las 25 principales.

¿Te resulta familiar?

Si reconoce haber utilizado o estar utilizando algunas de las contraseñas de la lista, entonces es recomendable que en su lista de resoluciones de año nuevo incluya el cambio de contraseñas. Para quienes no saben por dónde empezar, la idea a la hora de cambiar de contraseña debería ser pensar en una clave que muy difícilmente pueda ser igual a la que millones de personas eligen al momento de suscribirse a un servicio.

Una forma de lograr esto es optar por una frase como contraseña. Si el criterio de armado es correcto, suele derivar en una clave muy difícil de vulnerar y fácil de recordar. Esto último es especialmente útil si no se utiliza un software de administración de contraseñas, una herramienta que ha demostrado beneficiar tanto la solidez como la singularidad de la contraseña. Es importante que esa contraseña en formato frase sea única para cada una de sus cuentas en línea, ya que reutilizar contraseñas en varios servicios es algo riesgoso.

También es posible que quiera estar al tanto sobre filtraciones de contraseña. Existe una serie de servicios en los que se puede verificar si sus credenciales de inicio de sesión pueden haber sido filtradas en alguna brecha. Algunos de estos incluso ofrecen la opción de suscribirse a alertas si su información de inicio de sesión se ve comprometida por una violación.

De hecho, dado que en esta era en la cual vivimos los datos de inicio de sesión de millones de usuarios se han comprometidos, ¿por qué conformarse con una línea de defensa si se puede tener dos? En este sentido, el doble factor de autenticación es una forma muy valiosa de agregar una capa adicional de seguridad a las cuentas en línea, además de su contraseña.

Fuente: www.welivesecurity.com

Una selección de herramientas económicas para gestionar la privacidad de datos personales que se adaptan al crecimiento de la empresa.

Si su empresa, a diferencia de las grandes corporaciones, no dispone de grandes cifras de dinero para gastar, probablemente se pregunte qué herramientas tecnológicas puede utilizar para proteger sus datos y que a la vez sea escalable a medida que su negocio crezca. Por eso, a continuación compartimos cinco ideas que pueden ser de ayuda para aquellos que buscan herramientas de privacidad sólidas y económicas.

• Autenticación de múltiples factores (MFA)

No debe volverse loco para conseguir una protección decente: por poco dinero es posible obtener un dispositivo hardware de autenticación (generalmente USB/NFC) de un fabricante con buena reputación, lo cual puede resultarle de gran ayuda para asegurar las cosas. También existen una gran cantidad de opciones de software. Además, si su compañía el día de mañana crece y necesita algo más grande y complejo, puede seguir utilizando esta tecnología que es muy difícil de vulnerar.

• Gestión de contraseñas

Lo importante aquí es elegir algo que tenga una buena reputación de seguridad. Normalmente, las herramientas de gestión de contraseñas son económicas o gratuitas y, en caso de necesitarlo, las más conocidas ofrecen la posibilidad de integrarlas a grandes sistemas.

• Cifrado de correo

Hoy en día es posible descargar un software gratuito o a un precio económico, como GPG, que puede ser utilizado para firmar electrónicamente las comunicaciones por correo, haciendo que sea prácticamente imposible que un adversario pueda realizar lo que se conoce como email spoofing. También puede cifrar por completo las comunicaciones por correo, de modo que un atacante no pueda interceptar su significado. Si un receptor recibe un correo supuestamente suyo y no lleva una firma criptográfica, probablemente intuya que algo no está bien.

• Asegurar el router

No necesita invertir más que el costo de un router hogareño económico para encontrar algo que le ofrezca una solución robusta, buen soporte de cara al futuro por parte del fabricante, buena reputación de seguridad y una base de usuarios amplia. Si elige nombres empresariales y busca en los modelos de routers menos costosos, generalmente dirigidos a pequeñas empresas, encontrará dispositivos con funciones de seguridad que se adaptarán al crecimiento y que puede conseguir por precios que superan por no mucho dinero a los routers de la gama baja que quizás pensaba comprar.

• VPN

Cifrar su tráfico por defecto es una buena forma de mantenerse alejado de los ojos curiosos cuando sus datos están en tránsito. Con modernos software de redes virtuales privadas (VPN), que no son muy difíciles de configurar e incluso se pueden configurarse para conectarse automáticamente cuando se encienden. Nuevamente, busque un proveedor que tenga una opción de gama baja de un producto que esté dirigido a empresas. De ser posible, que no tenga con funcionalidades de relleno como integración con autenticación a través de Active Directory, pero que si luego necesita tenga la chance de integrar algo con lo que ya está familiarizado con solo subir el grado de su licencia.

Si usted tiene alguna de estas piezas implementadas y tiene tiempo para familiarizarse con ellas, ya corre con cierta ventaja ante una eventual escalabilidad de su negocio. Si lo utiliza para uso personal y luego obtiene un trabajo con mayores requisitos de seguridad, seguramente estarán felices de saber que usted está al día en el uso de estas tecnologías. Incluso si tienen sistemas diferentes es probable que haya muchas similitudes con lo que usted ya sabe. Mientras tanto, tendrá más tranquilidad sin salirse del presupuesto.

Fuente: www.welivesecurity.com

La compañía ha sido elegida por el Gobierno de EE. UU. para que controle a los hackers más peligrosos del mundo. Además de los expertos que hay en su equipo, la compañía dispone de otro superpoder: la omnipresencia de sus productos le permiten ver y oír casi todo lo que pasa en internet

Recientemente, el Pentágono concedió a Microsoft un contrato de cerca de 9.000 millones de euros para transformar y los sistemas de computación en la nube de las fuerzas armadas de EE. UU. y alojarlos. Pero esa montaña de dinero venía con un desafío implícito: ¿Podría Microsoft mantener la seguridad de los sistemas del Pentágono frente algunos de los hackers más persistentes, sofisticados y con mejores recursos del mundo? El vicepresidente del Centro de Estudios Estratégicos e Internacionales, James Lewis, afirma: «Reciben un ataque cada hora todos los días». 

El lucrativo contrato se ha convertido en la última victoria de Microsoft sobre Amazon, su rival en la nube. Pero también en su gran responsabilidad de cara a la seguridad nacional, un área que, hasta ahora, se ejecutaba casi en exclusiva en la capital, Washington D. C. (EE. UU.). Ahora docenas de ingenieros y analistas de inteligencia de Microsoft se dedican a vigilar y a detener la proliferación de los hackers financiados por gobiernos de todo el mundo.

Los miembros del equipo, llamado MSTIC (siglas en inglés de Centro de Inteligencia de Amenazas de Microsoft), controlan distintas amenazas. Hay un grupo responsable de los hackers rusos con su nombre en código Strontium, otro controla a los hackers norcoreanos con su nombre en clave Zinc, y otro sigue a los hackers iraníes con nombre en clave Holmio. MSTIC rastrea a más de 70 grupos de amenazas financiados por diferentes gobiernos.

Atacar y defender

John Lambert

La sede de Microsoft es tan enorme y laberíntica como cualquier instalación gubernamental, con cientos de edificios y miles de empleados. Fui ahí a conocer al equipo de Microsoft que rastrea a los hackers más peligrosos del mundo. John Lambert lleva trabajando en Microsoft desde 2000, cuando vio por primera vez una nueva realidad de ciberseguridad que se hizo patente tanto en la capital de Washington como en la sede de Microsoft del estado de Washington. 

En aquel entonces, Microsoft era una compañía especialmente poderosa, ya que monopolizaba el software para PC, y se había dado cuenta de la importancia de internet. A pesar de que Windows XP era increíblemente inseguro, estaba conquistando el mundo. El equipo fue testigo de una serie de enormes y vergonzosos errores de seguridad, incluidos los gusanos que se reproducían como Code Red y Nimda. Esos errores afectaron a muchísimos clientes públicos y privados de su enorme cartera, poniendo en peligro su negocio principal. Pero en 2002, Bill Gates envió su famoso memorando en el que insistía en la importancia de una «computación fiable».

Fue entonces cuando Redmond tuvo que empezar a lidiar con la verdadera importancia de la ciberseguridad. También fue cuando Lambert descubrió con asombro el lado ofensivo del cibermundo. El responsable detalla: «Los límites de ataque y defensa deben ser perfectos. Para defenderse bien, es necesario poder atacar. También hay que tener la mentalidad ofensiva; no se puede pensar solo en la defensa si no sabemos ser creativos a la hora de atacar».

Al ver el aumento del número de ciberataques financiados por gobiernos, Lambert utilizó esta mentalidad ofensiva para impulsar cambios fundamentales en la forma en la que Microsoft abordaba el problema. El objetivo era pasar del desconocido «mundo en la sombra», en el que los equipos de defensa observaban, frustrados, cómo los hackers más sofisticados penetraban en las redes con fuertes «vulnerabilidades desde el día cero», a un dominio en el que Microsoft podría verlo casi todo.

Lambert se preguntaba: «¿Cuáles son los superpoderes de Microsoft?». La respuesta estaba en su omnipresente su sistema operativo Windows, lo que daba a la empresa las herramientas para detectar lo que ocurre en enormes regiones de internet. Por supuesto, ese superpoder también plantea cuestiones de privacidad que aún no hemos resuelto. Pero, en cuanto la seguridad se trata de una gran ventaja.

Los productos de Microsoft ya disponían sistemas de Informe de errores de Windows para tratar de comprender los errores generales y el malfuncionamiento. Pero fueron Lambert y su equipo quienes convirtieron estos sistemas en poderosas herramientas de seguridad y con una complejidad mucho menor. Anteriormente, los equipos de seguridad tenían que recorrer el mundo para encontrar las máquinas afectadas, copiar sus discos duros y sumergirse lentamente en sus incidentes. Ahora esas máquinas simplemente se comunican con Microsoft. Prácticamente todos los accidentes y comportamientos inesperados se comunican a la empresa, que clasifica esa gran cantidad de datos y suele encontrar el malware antes que nadie.

El malware conocido como Bad Rabbit, que en 2017 fingió ser una actualización de Adobe Flash para borrar el disco duro de una víctima, es un ejemplo de cómo Microsoft transformó una debilidad en un punto fuerte. A los 14 minutos de la introducción del ransomware, los algoritmos de aprendizaje automático repasaron los datos y rápidamente empezaron a comprender el ataque. Windows Defender comenzó a bloquearlo automáticamente, mucho antes de que cualquier humano supiera lo que ocurría.

Bad Rabbit fue visto principalmente en Rusia y Ucrania en 2017. Esta es la nota de rescate que recibían las víctimas. Créditos: Kasperky Labs

El antiguo miembro de la Agencia de Seguridad Nacional Jake Williams afirma: «Es algo que no tiene nadie más: visibilidad y datos. Los datos que no tiene nadie más están relacionados con los fallos de las aplicaciones en el sistema operativo y la capa de software. Incluso para fallos de terceros, la telemetría puede solucionarlos. A medida que se empiezan a buscar los objetivos del ataque, Microsoft ya dispone de esa capacidad a través de su telemetría». Esa telemetría ha convertido a cada máquina y producto de Windows en una fuente de datos y registros de Microsoft, que funciona al instante y en todo el mundo. 

El experto, quien luego fundó la empresa de ciberseguridad Rendition Infosec, añade: «Microsoft ve cosas que nadie más ve. Encontramos algo de forma rutinaria, por ejemplo, como las marcas para las IP maliciosas en Office 365 que Microsoft señala, pero durante meses no lo vimos en ningún otro lugar».

Conectar los puntos

La inteligencia de las ciberamenazas requiere una disciplina de rastrear a los adversarios, seguir sus rastros y crear datos que se puedan usar para ayudar a los equipos y dificultar la vida del enemigo. Para lograrlo, el equipo de MSTIC, que ya lleva cinco años trabajando, incluye a antiguos espías y operadores de inteligencia del Gobierno, cuya experiencia en lugares como Fort Meade, el hogar de la Agencia de Seguridad Nacional de EE. UU. y el Comando Cibernético de Estados Unidos, se traduce inmediatamente en su importante papel en Microsoft.

MSTIC da nombre a docenas de amenazas, pero la geopolítica es complicada: China y Estados Unidos, dos de los jugadores más importantes del ciberespacio y las dos economías más grandes del mundo, nunca se mencionan con tanta frecuencia como ocurre con países como Irán, Rusia y Corea del Norte. 

El director de programas estratégicos y asociaciones de MSTIC, Jeremy Dallman, afirma: «Nuestro equipo utiliza los datos, conecta los puntos, cuenta la historia, rastrea al autor y sus comportamientos. Caza a los atacantes, sigue sus movimientos, sus planes y sus objetivos, y se adelanta a todo eso».

El director de investigación avanzada de protección contra las amenazas del equipo de Microsoft Defender, Tanmay Ganacharya, trabaja en crear nuevas capas de defensa aplicando ciencia de datos a la gran cantidad de señales entrantes. El responsable señala: «Como tenemos productos en todos los campos, disponemos de sensores que nos traen el tipo correcto de señales. El problema consistía en abordarlos todos».

Microsoft, al igual que otros gigantes tecnológicos como Google y Facebook, informa regularmente a las personas atacadas por hackers gubernamentales, lo que ofrece a las víctimas la oportunidad de defenderse. En el último año, MSTIC notificó a unos 10.000 clientes de Microsoft que estaban sufriendo ataques de hackers gubernamentales. 

Nuevos objetivos

En agosto MSTIC descubrió lo que se conoce como una campaña de descubrimiento de contraseñas. Un grupo hacker adivinó alrededor de 2.700 contraseñas de cuentas asociadas a la campaña de elecciones presidenciales de EE. UU., de los funcionarios del Gobierno, de los periodistas y de iraníes de alto perfil que vivían fuera de Irán. Cuatro cuentas fueron afectadas en este ataque. Los analistas de MSTIC identificaron los ataques rastreando una infraestructura que Microsoft sabía que estaba controlada exclusivamente por el grupo iraní de hackers llamado Phosphorus. 

Dallman explica: «Cuando conseguimos comprender su infraestructura, tenemos una dirección IP que sabemos que es suya y que usan con fines maliciosos, podemos empezar a buscar los registros DNS, los dominios creados, el tráfico de la plataforma. Cuando empiezan a usar esa infraestructura para este tipo de ataques, lo vemos porque ya estamos rastreándola como un indicador conocido del comportamiento de ese actor». 

Después de realizar un considerable trabajo de reconocimiento, Phosphorus intentó explotar el proceso de recuperación de la cuenta utilizando los números de teléfono reales de sus objetivos. MSTIC ha descubierto que Phosphorus y otros hackers patrocinados por gobiernos, incluido el Fancy Bear de Rusia, utilizan esa táctica sistemáticamente para intentar descubrir los códigos de autenticación de dos factores para objetivos de alto nivel.

Lo que en esta ocasión elevó la alarma de Microsoft por encima de lo normal fue que Phosphorus varió su procedimiento operativo estándar de perseguir a ONG y otras organizaciones de sanciones. El enfoque cambió, las tácticas también y el alcance aumentó. Dallman detalla: «Esto no es infrecuente, la diferencia reside en que su escala era significativamente mayor de lo que habíamos visto antes. Se dirigen a este tipo de personas con frecuencia, lo diferente fue la escala y la gran cantidad de trabajo de reconocimiento que habían realizado para esta campaña. Y finalmente, todo se redujo a las personas que fueron su objetivo, incluida la persona central de la campaña presidencial». La investigación de Microsoft finalmente señaló como responsables a hackers iraníes, tal y como informó Reuters.

El campus de Microsoft en Redmond es enorme. Con más de 8 millones de pies cuadrados (casi 750.000 metros cuadrados), cuenta con más de 50.000 empleados. Créditos: Microsoft

«Hemos visto los patrones»

En las dos décadas que Lambert lleva en Microsoft, las herramientas y las armas cibernéticas han proliferado en docenas de países, hay cientos de grupos capaces de ejecutar ciberdelitos y cada vez más empresas del sector venden vulnerabilidades a compradores dispuestos a pagar bastante. Lambert alerta: «Esta proliferación significa una gama mucho más amplia de víctimas. Más actores para rastrear».

Esto es lo que ocurre en los hackeos políticos. Una consecuencia de las elecciones estadounidenses de 2016 ha sido el aumento del gran número de actores que luchan para hackear partidos políticos, campañas y grupos de expertos, sin mencionar al propio Gobierno. Los hackeos relacionados con las elecciones han sido típicamente relacionados con los «cuatro grandes»: Rusia, China, Irán y Corea del Norte. Pero se está extendiendo a otros países, aunque los investigadores de Microsoft se negaron a especificar lo que han visto últimamente.

El director general de proyectos en MSTIC, Jason Norton, explica: «La novedad son los nuevos países que se unen a la batalla y que no estaban allí antes. Sobre los dos grandes [Rusia y China], ahora, sí que podemos decir que llevan dedicándose a esto desde mucho antes de las elecciones de 2016. Pero ahora vemos otros países haciendo lo mismo, pinchando y presionando para conocer las piezas correctas con el fin de tener un impacto o influencia en el futuro». 

Dallman coincide: «El campo se está llenando. Los hackers aprenden unos de otros. Y a medida que aprenden las tácticas más conocidas, las cambian y las utilizan». 

Las próximas elecciones estadounidenses también son diferentes, dado que ya nadie se sorprende de actividad maliciosa. Antes de 2016, la ciberactividad rusa fue recibida con una ingenuidad atónita colectiva, lo que contribuyó a la parálisis y a una respuesta insegura. Esta vez no será así. Dallman señala: «La diferencia estriba en que ahora sabemos lo que va a suceder«. 

Y añade: «En aquel entonces, se trataba más de algo desconocido, y no estábamos seguros de cómo se desarrollarían las tácticas. Ahora sí que lo sabemos porque hemos visto los patrones. Lo vimos en 2016, vimos lo que hicieron en Alemania, los vimos en las elecciones francesas, todos siguiendo el mismo modus operandi. En la mitad de la legislatura del Gobierno de EE.UU. de 2018 lo vimos también, aunque en menor grado, algunos de los mismos modus operandi, los mismos actores, los mismos tiempos, las mismas técnicas. Ahora sí que sabemos que este es el modus operandi que estamos buscando para 2020. Y ya hemos empezado a ver a otros países con otras tácticas».

La nueva norma es que las empresas de ciberinteligencia de la industria tienden a liderar este tipo de actividad de seguridad pública mientras el Gobierno las sigue. En 2016, CrowdStrike fue el primero que investigó y señaló la actividad rusa con el objetivo de interferir con las elecciones estadounidenses. Las fuerzas policiales y de inteligencia de EE. UU. confirmaron más tarde los hallazgos de esta compañía y finalmente, tras la investigación de Robert Mueller, acusaron a los hackers rusos y detallaron la campaña de Moscú (Rusia).

Con un tamaño total cercano a los 1.000 millones de euros, Microsoft es ahora un orden de magnitud más grande, lo que le permite aportar enormes recursos al desafío de la seguridad. Y el gigante tecnológico tiene otra gran ventaja: sus ojos, oídos y software están en todas partes. Como diría Lambert, ese es su superpoder.

Fuente: www.technologyreview.es

Entrevistamos a especialistas en seguridad informática para conocer su opinión sobre la formación en este campo en el que hay escasez de profesionales y que hace falta difundir más.

El crecimiento de los ciberataques a lo largo de los años provocó un aumento de la demanda de profesionales en el campo de la seguridad de la información. Según un informe reciente de Cybersecurity Ventures, el crecimiento de las vacantes en el sector de la ciberseguridad se espera que crezca en un 350% para el 2021. Sin embargo, la escasez de profesionales con las habilidades suficientes para cubrir esa demanda se estima que generará, para ese mismo año, tres millones y medio de vacantes a lo largo del mundo que no serán cubiertas.

Teniendo en cuenta este panorama y pensando sobre todo en los más jóvenes, como parte de la serie sobre educación en seguridad informática que estamos publicando cada lunes de noviembre en conmemoración del Antimalware Day 2019, decidimos consultar a diferentes especialistas que se desempeñan en la industria cómo es que se formaron en este campo, qué tan cierto es que muchos de los profesionales que actualmente se desempeñan en la industria han aprendido de manera autodidacta, si consideran que la oferta académica está alineada con esta creciente demanda y qué opinan sobre la difusión que tiene las carreras y especializaciones este campo de estudio.

¿Una formación que se adquiere de manera autodidacta?

Si bien cada vez más universidades alrededor del mundo ofrecen carreras de grado en seguridad informática, aún no es una titulación que pueda encontrarse en todas las instituciones. Muchos profesionales que se desempeñan en este campo adquirieron sus habilidades a través de certificaciones y de manera autodidacta. Sin embargo, si bien no están lo suficientemente difundidas como deberían si consideramos la demanda, la realidad es que la oferta se está incrementando, aseguran especialistas.

Según nos explica el reconocido investigador de ESET, Aryeh Goretsky, quien comenzó a trabajar en la industria a fines de los años 80, al principio no había cursos ni certificaciones sobre ciberseguridad. “Si bien nos enseñaron seguridad informática, el foco estaba centrado en modelos de control de acceso y en el concepto de asegurar sistemas informáticos para múltiples usuarios; pero no desde una perspectiva más amplia o como un sistema interconectado a nivel global. Por lo tanto, quienes estaban interesados en el concepto de ciberseguridad teniendo en cuenta el comportamiento de computadoras y redes interconectadas comunicadas entre sí, debían aprenderlo por cuenta propia a partir de libros y de la propia experimentación práctica”, explica.

Por su parte, el investigador de malware del laboratorio de ESET de Canadá, Marc Etienne Léveillé, quien estudió desarrollo de software e ingeniería informática, explica que “varias de las cosas que aprendí en la universidad no aplicaban en mi posición como investigador, lo que me llevó a tener que leer y aprender acerca de muchos aspectos de seguridad por cuenta propia”.

Sin dudas que en la actualidad el escenario contribuye enormemente al aprendizaje autodidacta. Esto lo comprobamos con la oferta educativa y de calidad que ofrecen plataformas que ofrecen cursos online masivos y abiertos (MOOC, por sus siglas en inglés) como Coursera, con la posibilidad que ofrecen redes sociales como Twitter para compartir información constantemente y en la que se conectan grandes profesionales con personas deseosas de aprender; además de la cantidad de recursos disponibles en YouTube, sitios web y demás repositorios. “Si bien el aprendizaje por cuenta propia es un camino posible y muchos profesionales en esta industria se formaron de esta manera, no se trata de la única opción”, explica el investigador de ESET Brasil, Daniel Cunha Barbosa. “También es cierto que la comunidad de tecnología y seguridad es cada vez mayor y a un gran porcentaje de la misma le gusta compartir sus conocimientos, lo que permite que los profesionales que recién comienzan consigan tener el apoyo de otros profesionales”, añade.

Sin embargo, pese a la necesidad muchas veces de aprender por cuenta propia muchos aspectos que forman parte de la seguridad y de la labor diaria de los investigadores, varios coinciden en el valor de la formación académica. “Si tuviera que decidir nuevamente qué camino seguir volvería a elegir la universidad, ya que me dio la oportunidad de conocer muchas personas y de participar en distintas actividades extra curriculares”, dice Marc Etienne.

Creció la oferta académica en el campo de la seguridad informática

Dado que los incidentes de seguridad han incrementado con el correr de los años, también el deseo de estandarizar los aspectos pedagógicos de quienes desean formarse en este sector, opina Goretsky. “En general creo que es positiva la amplia oferta educativa que existe actualmente en todos los niveles que hacen a la ciberseguridad, pero también me preocupa la calidad de la educación que se ofrece”, explica. “Necesitamos tanto de profesionales que cuenten con conocimientos teóricos como de perfiles operativos, y necesitamos que todos ellos cuenten con sólidos conocimientos acerca de la construcción de bloques de sistemas complejos. Si bien mucho de esto puede aprenderse, aún es necesario el aprendizaje por cuenta propia para llevar los conocimientos adquiridos a la construcción de estructuras complejas y al desarrollo de ideas, pero no sé si la oferta de posgrados y las certificaciones ofrecen un marco suficiente o limitado que permita obtener una base sólida de los conceptos en ciberseguridad”, añade.

En países como Canadá, la oferta de cursos universitarios en ciberseguridad ha incrementado, cuenta Léveillé. “Ahora hay titulaciones con especializaciones en seguridad informática, mientras que antes la única opción era hacer desarrollo de software o redes informáticas. Igualmente, aún existe una demanda creciente de profesionales que es necesario cubrir en nuestra industria. Quizás, con el esfuerzo de los programas educativos veremos en algunos años una situación más estable”, opina.

Para Cunha Barbosa, “es más positivo que existan programas de especialización y de posgrado que titulaciones en sí, ya que contar con una titulación que le brinda al futuro profesional una base más amplia le permitirá conocer aspectos tecnológicos que van más allá de la seguridad, y eso lo ayudará a convertirse en un profesional más preparado”.

¿Qué tan promocionadas son las carreras en ciberseguridad?

Muchas veces, los jóvenes se enfrentan a un difícil proceso cuando deben decidir qué carrera estudiar. Muchos finalizan la educación secundaria sin tener muy claro qué quieren hacer de sus vidas. Más allá de la multiplicidad de factores que entran en juego y que hacen que este proceso sea difícil, el hecho de no tener información sobre las carreras menos tradicionales hace que los jóvenes no logren vincular sus intereses y gustos personales con un área de formación.

Varios especialistas coinciden en que la visibilidad de las carreras en seguridad es mayor ahora que hace unos años. “Antes era algo que debías descubrir por tu propia cuenta, pero ahora veo muchos más estudiantes interesados en seguridad informática que en mi época de estudiante. Ahora se nota que hay más empresas y escuelas que quieren despertar el interés en los estudiantes”, opina Léveillé.

Por otra parte, “los jóvenes muchas veces se hacen una imagen equivocada acerca de qué es la ciberseguridad y no logran darse cuenta del alcance”, comenta Aryeh Goretsky. Los jóvenes puede que vean como atractiva la imagen del prototipo de un hacker atacando computadoras y adquiriendo fama y dinero, pero lo que hace falta también es explicar que hace la ciberseguridad. “Creo que hay una falta de conciencia a nivel general, ya que la defensa de redes y equipos ante un ataque suele ser una tarea más difícil e intensa que la de atacar esas redes y computadoras. Sin embargo, lo que los medios de comunicación y la industria del entretenimiento transmiten es una imagen sesgada e idealizada del atacante y no de quienes trabajan del lado de la defensa, lo cual distorsiona la visión de lo que es la ciberseguridad”, opina.

La seguridad por diseño: ¿un problema de la formación?

Consultados acerca de si consideran que los contenidos sobre seguridad que se ven durante el proceso de formación los futuros programadores y/o desarrolladores son suficientes para que cuando los profesionales den el salto al mercado laboral estén capacitados para brindar sistemas seguros, para Marc Etienne, “el desarrollo seguro está muy bien enseñado en la actualidad. El problema está en que los desarrolladores necesitan el incentivo para aplicar lo que aprendieron. Los problemas de seguridad en el código deben detectarse durante la revisión del código y deben ser resueltos antes de incluirse en el proyecto. Si los desarrolladores ven que sus códigos siempre son rechazados prestarán más atención y desarrollarán los reflejos apropiados”, opina.

El desarrollo de los profesionales en el campo de la seguridad informática debe ser constante debido a la continua evolución de las amenazas. Si bien en la actualidad existen muchas opciones para desarrollar habilidades suficientes para desempeñarse en este campo, como son las carreras, las especializaciones, las certificaciones e incluso los cursos y el material disponible para estudiar de manera independiente, está claro que no hay una única forma.

Fuente: www.welivesecurity.com