Jueves, Junio 22, 2017
Informes

SophosLabs, unidad de análisis de datos y amenazas de Sophos, publicó un informe de malware con previsiones para 2017. Normalmente los informes se centran en Windows, ya que el sistema operativo ha sido el más visto por virus y todo tipo de malware. Esta vez, además de mirar los desafíos específicos de Microsoft, el estudio se concentra también en las crecientes amenazas de malware dirigidas a las plataformas donde los riesgos a menudo no se entienden bien, específicamente los dispositivos Linux, MacOS y Android.

La empresa identificó cuatro tendencias que ganaron representatividad en 2016 y seguirán presentando desafíos en 2017:

  1. Malware a través de Linux que explora las vulnerabilidades de los dispositivos IoT

Con el crecimiento de Linux en los últimos años, los creadores de malware están eligiendo este sistema operativo para dirigir e infectar todos los tipos de dispositivos IoT, que incluyen webcams y aparatos domésticos que se conectan a Internet. Las contraseñas predeterminadas, las versiones obsoletas de Linux y la falta de cifrado, seguirán haciendo que estos dispositivos sean vulnerables a ataques.

  1. Aumento de malware en Android

El informe apunta a las 10 principales familias de malware que tienen como objetivo dispositivos Android, siendo el más amplio Andr / PornClk: más del 20% de los casos analizados por SophosLabs en 2016 eran de esta familia. El malware puede ser rentable a través de propagandas y registros – aprovechando el privilegio de la raíz y solicitando “administración del dispositivo Android”. El malware descarga los paquetes de aplicaciones de Android (APK), abre atajos en las pantallas iniciales y recopila información como el identificador de dispositivo, el número de teléfono y otros detalles confidenciales.

El informe también examina el ransomware identificado como Andr / Ransom-I, que simula una actualización disponible para el sistema operativo y aplicaciones como Adobe Flash y Adult Player. Cuando se descarga, se utiliza para secuestrar el teléfono de la víctima. Aunque este malware no es tan difundido como los demás, representando sólo el 1% de todas las muestras y ni siquiera está en el top 10 de amenazas, todavía merece atención por destinarse a dispositivos que ejecutan el Android 4.3, que todavía es usado por el 10% de los usuarios – alrededor de 140 millones en todo el mundo.

  1. Malware para MacOS que distribuye aplicaciones potencialmente no deseadas (PUA)

El malware para MacOS está diseñado para ejecutar un código de robo de contraseña, incluyendo ransomware como OSX / KeRanger-A y una variedad de adware malintencionado. A pesar de que presenta menos infecciones por malware y ransomware que Windows, el MacOS sufrió su parte de amenazas en 2016, y se espera que esta tendencia continúe.

  1. Malware de Microsoft Word Intruder

El informe también analiza los kits de malware basados ??en Windows que se dirigen a Word. Es importante resaltar que Microsoft Word Intruder ahora está expandiendo sus horizontes para Adobe Flash Player.

El informe completo está disponible en PDF y se puede acceder aquí

Los ataques de Business Email Compromise (BEC, por sus siglas en inglés), a menudo vinculados con Nigeria, tratan de secuestrar cuentas empresariales legítimas que los atacantes pueden controlar para interceptar o redirigir transacciones financieras. En octubre de 2016, los investigadores de Kaspersky Lab notaron un aumento significativo en el número de intentos de infección de malware dirigidos a clientes industriales. Identificaron más de 500 compañías atacadas en 50 países, principalmente empresas industriales de metalurgia, energía eléctrica, construcción, y grandes corporaciones de transporte y logística. Los ataques continúan.

La secuencia del ataque             

La secuencia del ataque comienza con un correo electrónico de phishing cuidadosamente elaborado que parece venir de proveedores, clientes, organizaciones comerciales y servicios de entrega. Los atacantes utilizan malware perteneciente a por lo menos ocho diferentes familias de espías troyanos y de puerta trasera (backdoor), todos disponibles a bajo precio en el mercado negro y diseñados principalmente para robar datos confidenciales e instalar herramientas de administración a distancia en sistemas infectados.

En las computadoras corporativas infectadas, los atacantes toman capturas de pantalla de la correspondencia o redirigen los mensajes a su propio buzón para poder buscar transacciones interesantes o lucrativas. El pago es interceptado entonces por medio de un ataque clásico de intermediario (man-in-the-middle), reemplazando los detalles de la cuenta en la factura de un vendedor legítimo por los de los propios atacantes. Puede ser difícil para una víctima detectar la sustitución antes de que sea demasiado tarde y el dinero haya desaparecido.

La amenaza desconocida           

Al analizar los servidores de mando y control utilizados en los ataques más recientes de 2017, los investigadores observaron que entre los datos robados estaban las capturas de pantalla de operaciones y planes de proyectos, así como dibujos técnicos y diagramas de redes. Además, estas imágenes no habían sido tomadas de las computadoras de los gerentes de proyectos o de los encargados de adquisiciones, objetivos habituales de los atacantes, sino de las que pertenecían a los operadores, ingenieros, diseñadores y arquitectos.

“Los atacantes no tienen necesidad de recopilar este tipo de datos para perpetrar sus estafas de phishing. Entonces, ¿qué hacen con esta información? ¿Es esa recopilación accidental, o intencional, quizás encargada por un tercero? Hasta ahora, no hemos visto en el mercado negro ninguna información robada por los ciberdelincuentes nigerianos. Sin embargo, está claro que, para las empresas atacadas, además de la pérdida financiera directa, un ataque de phishing nigeriano plantea otras amenazas, posiblemente más graves”, dice Maria Garnaeva, investigadora sénior de seguridad, Análisis de amenazas a la infraestructura crítica, en Kaspersky Lab.

El siguiente paso podría ser que los atacantes tengan acceso a las computadoras que forman parte de un sistema de control industrial, donde cualquier interceptación o ajuste de la configuración podría tener un impacto devastador.

Perfil del atacante

Cuando los investigadores extrajeron las direcciones de mando y control (C&C) de los archivos maliciosos, resultó que en algunos casos los mismos servidores se utilizaban para malware de diferentes familias. Esto sugiere que detrás de todos los ataques hay un solo grupo de ciberdelincuentes que hace uso de diferentes programas maliciosos, o varios grupos que cooperan y comparten recursos.

Los investigadores también encontraron que la mayoría de los dominios fueron dados a residentes de Nigeria.

Cómo mitigar la amenaza

Kaspersky Lab recomienda a las empresas implementar las siguientes prácticas básicas de seguridad:

  • Educar a los empleados en la seguridad esencial del correo electrónico: no hacer clic en enlaces y anexos sospechosos y comprobar cuidadosamente el origen de un correo electrónico, así como mantenerles informados de las herramientas y trucos más recientes utilizados por los ciberdelincuentes.
  • Siempre revisar las solicitudes de cambiar los detalles de cuentas bancarias, métodos de pago, etc. durante las transacciones.
  • Instalar una solución de seguridad en todas las estaciones de trabajo y servidores donde sea posible, e implementar todas las actualizaciones sin demora.
  • En caso de que un sistema quede afectado, cambiar las contraseñas de todas las cuentas utilizadas en ese sistema.
  • Si su organización tiene un sistema de control industrial, instale un sistema de seguridad especializado que revise y analice toda la actividad de la red y más.

Fortinet®, anunció los hallazgos de su más reciente Reporte sobre el Panorama Global de Amenazas. El informe se enfoca en tres aspectos principales que incluyen las vulnerabilidades de las aplicaciones, el software malicioso y los botnets en el escenario de tendencias del sector industrial y tecnología empresarial. La investigación revela que mientas los ataques de alto perfil dominan los encabezados en los medios, la realidad es que la mayoría de las amenazas que enfrentaron las empresas son oportunistas por naturaleza y son impulsadas por una infraestructura generalizada de crimen-como-servicio. A continuación se presentan tres puntos destacados de la investigación de Fortinet:

1) Las herramientas de ataque nunca olvidan y siempre están listas para entrar en acción en cualquier lugar y a cualquier hora

Las herramientas modernas y las infraestructuras de crimen-como-servicio les permiten a los cibercriminales operar a escala global y a la velocidad de la luz. Como resultado, el Internet parece no interesarse por distancias geográficas o fronteras ya que la mayoría de las amenazas tienden a aparecer más de forma global que regional. Los adversarios están siempre listos para atacar, buscando el elemento sorpresa donde sea posible y a escala internacional.

En América Latina: el reporte de Fortinet para el primer trimestre del año muestra cómo algunos ataques antiguos siguen afectando a empresas de América Latina y el Caribe, por ejemplo se detectó un 18,7% de prevalencia del botnet Conficker en la región, el porcentaje más alto con respecto a otras regiones del mundo. El retraso tecnológico o la falta de actualización en sistemas y parches de seguridad se traduce en una mayor vulnerabilidad no sólo ante nuevas amenazas sino también frente a ataques históricos que siguen tomando ventaja de estas brechas.

Por otra parte, entre más entendamos las tendencias de las vulnerabilidades o la forma en cómo funciona el ransomware, mejor podremos evitar el impacto causado por el próximo WannaCry. El ransomware malicioso y sus variantes alcanzaron una gran escala con cientos de organizaciones afectadas al mismo tiempo en todo el mundo.

Ransomware: casi el 10% de las empresas detectaron actividad asociada con ransomware. En un día cualquiera, un promedio de 1,2% de las organizaciones encuentraron botnets de ransomware circulando dentro de sus ambientes. Los días pico de actividad fueron durante el fin de semana, esperando que el deslizamiento del tráfico pasara al personal de operaciones de seguridad que cubren ese turno. Conforme aumentó el promedio en la cantidad de tráfico de diversos botnets de ransomware, el número de firmas impactadas por éstos también creció.

Tendencias en vulnerabilidades: el 80% de las empresas reportaron vulnerabilidades altas o de gravedad crítica contra sus sistemas. La distribución de estas amenazas fue bastante consistente a través de las regiones geográficas, probablemente porque una gran proporción de esta actividad está totalmente automatizada a través de herramientas que metódicamente escanean amplias franjas del Internet buscando una oportunidad de acceso.

2) La hiperconvergencia y el Internet de las Cosas están acelerando la propagación de malware

Conforme las redes y los usuarios continúen compartiendo información y recursos, los ataques se seguirán propagando rápidamente a través de áreas geográficas distribuidas y dentro de un amplio rango de industrias. El estudio de los diferentes tipos de malware puede ayudar a proveer una visión de las etapas de preparación e intrusión de estos ataques. La protección contra el malware móvil es particularmente desafiante debido a que los dispositivos no cuentan con un escudo para la red interna, por lo que con frecuencia buscan redes públicas que no pertenecen o están bajo el control de una empresa.

Malware móvil: la prevalencia del malware móvil se ha mantenido desde el cuarto trimestre del 2016 hasta el primer trimestre del 2017, donde cerca del 20% de las empresas lo han detectado. Este trimestre, se suman más familias de malware para dispositivos Android, las cuales conforman la lista de los 10 malware más importantes, ya sea por cantidad o prevalencia.

Malware para Android en América Latina: del total del malware móvil detectado en América Latina y el Caribe durante el primer trimestre del año, el 28% corresponde a malware para Android, mostrando un crecimiento mayor que en otras regiones frente al 20% del último trimestre del 2016.

3) La visibilidad de la infraestructura elástica y distribuida está disminuyendo

Las tendencias de las amenazas reflejan el ambiente en el cual ocurren, por lo tanto, entender la forma en que las tecnologías de la información, los servicios, los controles y los comportamientos cambian con el tiempo es muy importante. Contar con esta visibilidad puede ser una ventana para políticas de seguridad más amplias y modelos de gobernabilidad, así como un valioso monitoreo de la evolución de las vulnerabilidades, del malware y de los botnets conforme las redes se vuelven más complejas y distribuidas.

La visibilidad y el control de las infraestructuras actuales continúan disminuyendo conforme crece el número de vectores de ataques potenciales a través del panorama de la red expandida. La prisa por adoptar soluciones de nube pública y privada, el crecimiento del IoT, la diversidad y volumen de los dispositivos inteligentes conectados a la red y los vectores de amenazas fuera-de-la-banda como sombras de TI han estirado los límites de los profesionales de seguridad.

Tráfico codificado: la proporción media de HTTPS a tráfico HTTP alcanzó una gran marca con cerca del 55%. Si bien es útil para mantener la privacidad, esta tendencia presenta desafíos para monitorear y detectar amenazas. Muchas herramientas defensivas cuentan con una visibilidad muy pobre dentro de las comunicaciones codificadas.

Aplicaciones: el número medio de aplicaciones de nube usadas por las empresas fue de 62, el cual es aproximadamente un tercio de todas las aplicaciones detectadas, con aplicaciones IaaS alcanzando un nuevo punto máximo. Para muchas de estas empresas, el reto es que la visibilidad de la información puede decaer significativamente una vez que se muevan dentro de la nube. Además, la información almacenada en estas aplicaciones y servicios continúa creciendo en vez de disminuir.

Sectores industriales: los análisis conglomerados por industria vertical muestran que la superficie de ataque a través de la mayoría de las industrias fue el mismo con unas cuantas excepciones como el sector educativo y el de telecomunicaciones. Esto quiere decir que los cibercriminales pueden fácilmente explotar superficies de ataque similares, especialmente con herramientas automatizadas.

Metodología del reporte

El Reporte sobre el Panorama Global de Amenazas de Fortinet se realiza de manera trimestral y representa el conjunto de inteligencia que los Laboratorios FortiGuard extrajeron del amplio abanico de dispositivos y sensores de red dentro de ambientes de producción durante el primer trimestre del 2017. Los datos de la investigación cubren tanto el sector industrial global como el regional, así como las perspectivas organizacionales. También se enfoca en tres aspectos centrales y complementarios del panorama de amenazas: las vulnerabilidades de las aplicaciones, el software malicioso y los botnets. Además, Fortinet publica de manera gratuita y bajo suscripción, un Resumen de Inteligencia contra Amenazas que revisa los principales malware, virus y amenazas basadas en la web descubiertas semanalmente, junto con enlaces a las más valiosas investigaciones de esa misma semana.

 

 

ESET, comparte 7 puntos a tener en cuenta para implementar el trabajo remoto seguro y evitar ataques, pérdida o fuga de información en las empresas. La modalidad de trabajar de forma remota ganó muchos adeptos ya que los colaboradores se sienten más cómodos, evitan viajar en horas pico y administran mejor su tiempo, mientras que los empleadores reducen costos de infraestructura.

Como en cualquier otra actividad que involucre equipos conectados a Internet, hay ciertas medidas a tener en cuenta para garantizar la seguridad. Todo lo relacionado con los equipos de trabajo, la responsabilidad y los costos debe estar definido claramente antes de implementar un formato de teletrabajo. Por ejemplo, si se usan dispositivos personales o la compañía los proporciona, o si hay un soporte técnico adecuado para resolver problemas de acceso y seguridad, así como definir quiénes pueden acceder a qué información.

“Implementar nuevas tecnologías en una organización es importante para adaptarse a los tiempos que corren. Aprovechar al máximo sus beneficios implica contemplar algunas medidas de seguridad que garanticen su correcto funcionamiento. En el caso del trabajo remoto es importante entender que así estén por fuera de la oficina, el dispositivo desde el cual se trabaja es una puerta a toda la organización, por lo que deben garantizar un uso adecuado.” mencionó, Camilo Gutierrez, Jefe de Laboratorio de ESET Latinoamérica.

A continuación ESET Latinoamérica comparte los siete pilares para un trabajo remoto seguro:

  1. Gestión de roles

La información solo debe ser accesible para los perfiles de usuario que realmente necesitan visualizarla y modificarla. Para el resto, debería estar restringida. A tal fin, se deben establecer las responsabilidades de acuerdo a los objetivos planteados. Aspectos como el control de las tecnologías, la realización de copias de seguridad (backup) o los procesos de recuperación son algunas de las tareas que deben tener un ejecutor y momento definido.

  1. Control de dispositivos

Teniendo en cuenta la amplia variedad de dispositivos en el mercado, es importante restringir el acceso solamente a aquellos en los cuales se aplican las herramientas de seguridad adecuadas. Por ejemplo, no es lo mismo que un empleado acceda desde su computadora personal con un sistema operativo actualizado y con una solución de seguridad instalada, a que lo haga desde una tablet desactualizada, sin protección y que también utiliza su hijo para jugar y descargar aplicaciones.

  1. Protección contra códigos maliciosos

Para garantizar que los datos no sean afectados por códigos maliciosos, todos los dispositivos deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas. Si el dispositivo desde el cual accede no es propiedad de la empresa y, además, no se utilizan entornos virtualizados, los riesgos de sufrir una infección son más altos. Además, es necesario que todas las aplicaciones estén actualizadas, para evitar la explotación de vulnerabilidades que pueda dar lugar a brechas de seguridad.

  1. Monitoreo del tráfico de red

Dado que hay dispositivos que están ingresando a la red por fuera del perímetro físico de la oficina, es necesario hacer un seguimiento de qué tipo de tráfico generan. Por ejemplo, a dónde tratan de acceder, si hay intentos recurrentes y fallidos de ingreso a servidores o si generan algún tipo de tráfico inapropiado, como la descarga de archivos desconocidos.

  1. Conexiones seguras

Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet, de manera que el acceso remoto a los recursos corporativos sea seguro. Para teletrabajo, la implementación de conexiones VPN basadas en el cliente es lo más conveniente, ya que permiten tener conectado un usuario a una red remota, a través de una aplicación que se encarga de entablar la comunicación y levantar la VPN. Para acceder a la conexión segura, el usuario debe ejecutar la aplicación y autenticarse con un nombre de usuario y contraseña, e incluso agregar un segundo factor de autenticación. De esta manera se crea el canal cifrado entre el equipo y la red remota, para un intercambio seguro de datos.

  1. Redacción de una política de seguridad

Determinar las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías que tienen a su disposición. Definir el tipo de acciones que se pueden hacer y quién está habilitado a ejecutarlas. No es lo mismo tratar de modificar una base de datos por fuera de empresa, que hacer consultas e informes. Cada política es propia de la realidad de la organización y del alcance establecido para los empleados que hacen parte del teletrabajo.

  1. Concientización de los empleados

La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener al ingresar dispositivos ajenos a la compañía.

Para acceder a más información y consejos para desarrollar un trabajo remoto seguro, puede ingresar a la guías de teletrabajo para empresas y para colaboradores elaborada por ESET: https://www.welivesecurity.com/wp-content/uploads/2017/05/guia-teletrabajo-empresas.pdf

 

 

0 254

Por:Kevin Magee, Global Security Strategist Gigamon

Para lograr costos de producción más bajos, Adidas produce masivamente en Asia. Sin embargo, el proceso viene con un lapso de 18 meses entre el diseño y la entrega a la tienda, lo que para los clientes se está volviendo una espera poco agradable. Los clientes están buscando productos únicos, personalizables y quieren acceso inmediato a los últimos estilos. Este hecho deja de manifiesto que los modelos de manufactura tradicional no sólo no están entregando lo que el cliente demanda, por lo que la marca alemana está creando un concepto de “speed Factory” para fabricar zapatos deportivos en zonas geográficas mucho más cercanas a los puntos de venta.

De forma similar, Okuma, fabricante de herramientas japonés, ha desarrollado un proceso de molienda capaz de operar de manera autónoma 24 horas del día, 7 días a la semana. El proceso integrado incluye la habilidad para seleccionar y cambiar automáticamente herramientas de corte como se vaya necesitando y proveer materiales en crudo y otros insumos sin la necesidad de intervención humana. Los trabajadores están en sitio para supervisar la operación de la planta, a través de aplicaciones de monitoreo en tabletas, lo que les permite llevar a cabo tareas de alto valor adicional. Más allá de eso, la fábrica es totalmente automatizada.

Estos ejemplos proveen un vistazo en lo que será la cuarta revolución industrial que está tomando lugar justo ahora y que transformará tanto el paradigma de la economía global, como los mecanismos con los que se determina la creación de valor económico. Como las 3 revoluciones industriales previas, estará basada en la rápida adopción de nuevas tecnologías de transformación que retará todo lo que asumimos y cambiará todo lo que pensamos sobre manufactura. También significa que trabajadores, fabricantes y gobiernos, necesitan tomar nota y empezar a prepararse para lo inevitable o quedarse atrás.

Vive les Révolutions

La primera revolución industrial fue provocada por la invención de máquinas a base de vapor que mecanizaron la mano de obra manual anteriormente y permitió producir a una escala increíble. Después, la electricidad permitió a la cadena de montaje y, junto con ella, el auge de la producción en masa. El tercer avance industrial importante fue traído por la invención de las computadoras, que permitió la automatización de los robots y de las máquinas que podrían ser integrados en las líneas de montaje para realzar o, en algunos casos, para substituir a trabajadores humanos.

Hoy en día, la fabricación está evolucionando a partir del modelo y la mentalidad que guiaron las tres revoluciones industriales anteriores, que se centraron en la centralización y la producción en masa para lograr economías de escala, a una basada en la personalización en masa y flexibilidad con la producción real de bienes ubicados cerca de los centros donde se ubica la demanda.

En lugar de crear y gestionar inventarios, los fabricantes buscan construir cadenas de suministro completamente integradas que se adapten dinámicamente a los requisitos en tiempo real ya la demanda de los proveedores y los consumidores en sentido ascendente. Esto incluye la capacidad de anticiparse y tomar medidas correctivas en términos de ajustes de producción en tiempo real. Lo que hace que esta transformación revolucionaria, es que los fabricantes están buscando para lograr todo esto, una intervención mínima o idealmente ningún humano en todo el proceso de producción de extremo a extremo.

Este modelo de fabricación se basa en la automatización y el intercambio de datos entre las tecnologías de fabricación, e incluye la integración de sistemas cibernéticos, Internet de Cosas (IoT), cloud computing y Big Data.

Descentralización y automatización con fábricas inteligentes

El modelo de Industria 4.0 busca esencialmente transformar la fábrica en una computadora o lo que se llama “Smart Factory”, procesos de manufactura modular pueden ser desarrollados por medios de sistemas informáticos-físicos, fusionados con tecnología computacional a las máquinas mismas, no simplemente para controlar y monitorear remotamente. Estas fábricas modulares inteligentes podrán habilitar autónomamente la descentralización y automatización de las decisiones relativas a la producción, así como ser capaces de comunicarse y cooperar a través de IoT con operadores humanos y otras fábricas inteligentes para completar un cambio de suministro vertical u horizontal completo.

En efecto, esto es como lo que la industria de la tecnología de la información ha estado haciendo con los centros de datos durante años: Virtualización de servidores físicos, permitiendo que las tecnologías de automatización y orquestación permitan a las máquinas autogestionarse en una medida limitada. Y continuamos impulsando estos modelos a nuevos avances con redes definidas por software (SDN), nubes híbridas e inteligencia artificial (AI).

Pero, aunque la virtualización de los centros de datos puede ser algo popular ahora, el movimiento de la industria 4.0 sigue siendo nuevo y en gran parte desconocido para muchos. Está creciendo en importancia dentro de la comunidad manufacturera global. Comenzó hace sólo unos pocos años, en 2013, cuando el gobierno alemán acuñó el término mientras se esbozaba un plan para computarizar completamente la industria manufacturera del país.

La canciller alemana Angela Merkel presentó el concepto en el Foro Económico Mundial de Davos en 2015 y se refirió a él como “Industrie 4.0”. Ella habló con entusiasmo de este nuevo modelo como una forma de “tratar rápidamente la fusión del mundo en línea y el mundo de la producción industrial”. Y gran parte del mundo industrializado parece haber tomado nota.

Lejos de la retórica política, el gobierno alemán invierte actualmente más de 200 millones de euros para fomentar la investigación práctica y accionable en el mundo académico, las empresas y el gobierno. Y Alemania no es el único país donde se están realizando inversiones similares.

4 principios rectores de la industria 4.0

  1. Interoperabilidad: La capacidad de las máquinas, dispositivos, sensores y personas para conectarse y comunicarse entre sí a través de IoT o Internet de personas (IoP).
  2. Transparencia de la información: Capacidad de los sistemas de información para crear una copia virtual del mundo físico mediante el enriquecimiento de modelos de plantas digitales con datos de sensores. Esto requiere la agregación de datos de sensor sin procesar a información de contexto de valor más alto.
  3. Asistencia técnica: En primer lugar, la capacidad de los sistemas de asistencia para apoyar a los seres humanos mediante la agregación y visualización de información de manera comprensible para tomar decisiones informadas y resolver problemas urgentes con poca antelación. En segundo lugar, la capacidad de los sistemas físicos cibernéticos de apoyar físicamente a los seres humanos llevando a cabo una serie de tareas que son desagradables, demasiado agotadoras o inseguras para sus colaboradores humanos.
  4. Decisiones descentralizadas: La capacidad de los sistemas físicos cibernéticos de tomar decisiones por sí mismos y realizar sus tareas de la manera más autónoma posible. Sólo en el caso de excepciones, interferencias u objetivos conflictivos son tareas delegadas a un nivel superior.

Retos técnicos de la industria 4.0

Las revoluciones, sin embargo, pueden ser desafiantes y desordenadas, y ésta no será diferente. Más allá de los desafíos culturales y políticos inherentes a cualquier cambio relacionado con la productividad económica, existen varios desafíos tecnológicos que deben superarse para permitir la adopción del modelo Industria 4.0. Éstas incluyen:

  1. Problemas de seguridad de los datos se incrementan considerablemente al integrar nuevos sistemas y un mayor acceso a esos sistemas. Además, el conocimiento de producción propietario se convierte en un problema de seguridad de TI.
  2. Se necesita un alto grado de confiabilidad y estabilidad para una comunicación cibernética exitosa, pero puede ser difícil de lograr y mantener.
  3. Mantener la integridad del proceso de producción con menos supervisión humana podría convertirse en una barrera.
  4. Evitar los problemas técnicos que podrían causar costosos cortes de producción es siempre una preocupación.

En un mundo donde las organizaciones luchan por asegurar tanto la disponibilidad como la seguridad de la tecnología residente en sus centros de datos, la idea de construir aplicaciones cibernéticas que involucren no sólo software, sino también maquinaria industrial y la responsabilidad adicional de asegurar una fábrica donde cada máquina. El dispositivo y el control es ahora un punto final parece ser el desafío mayor y aún no mencionado de la industria. Todo esto tendrá que ejecutarse en una red, lo que significa que imaginar todo y permitir estos cambios revolucionarios será probablemente el trabajo del departamento de TI.

La gestión del rendimiento de las aplicaciones, en particular, en un mundo de Industria 4.0 será exponencialmente más compleja de lo que es hoy en día. Cuando una aplicación de software tradicional baja ahora o, peor aún, es “lenta”, es bastante difícil averiguar qué está causando el problema. La mayoría de las organizaciones han desplegado una serie de herramientas para ayudar a monitorear y diagnosticar estos problemas y evitar las llamadas de conferencia de última hora donde el equipo de aplicación culpa a la red y el equipo de red transita en un interminable registro para demostrar que es la base de datos que causa el problema. Para muchos de estos equipos de respuesta a incidentes todavía hay demasiadas herramientas y no hay suficiente visibilidad para hacer el trabajo.

Una plataforma de visibilidad para la Industria 4.0

Este problema de falta de visibilidad puede ser abordado hoy en día con una plataforma de visibilidad que proporcione una visión de extremo a extremo de las interacciones de los usuarios con no sólo una aplicación, sino toda la infraestructura que soporta esa aplicación. Esto permite al equipo de TI aprovechar las herramientas de diagnóstico de manera más eficaz para resolver estos molestos problemas de rendimiento de las aplicaciones.

Pero imagine un futuro, no tan lejos de ahora, donde se les pide a los departamentos de TI que diagnostiquen el problema cuando una línea de ensamblaje cibernética, completamente automatizada y autónoma cae o peor aún, está realizando un trabajo “lento”. Toda la línea de montaje y todos sus componentes físicos serán la nueva “aplicación” presentando un nuevo nivel de complejidad a una escala que hará que las aplicaciones de software tradicionales parezcan simples en comparación.

Si bien el problema de supervisar y administrar el rendimiento de las aplicaciones cibernéticas en la Industria 4.0 parece enorme, la solución es muy similar a la visibilidad tradicional de la red. Alcanzando los puntos de interés en toda la línea de montaje y en la red inteligente de la fábrica, sólo una plataforma de visibilidad puede mostrar lo que realmente importa a los operadores e inteligentemente ayudar a mejorar la capacidad de las herramientas de monitoreo y diagnóstico.

Junto con los problemas de rendimiento de la aplicación, la seguridad de la “fábrica inteligente” será un desafío mucho mayor también. No sólo habrá la complejidad adicional que resulta de la adición de maquinaria, sensores y otros innumerables dispositivos de punto final IoT a la red, sino que la naturaleza misma del modelo Industria 4.0 se basa en la interconexión e integración de redes corporativas de confianza, De todo el suministro vertical y horizontal. ¿Cómo, entonces, asegura la “red” cuando el concepto de perímetro es completamente eliminado y la red ahora potencialmente abarca todo el mundo?

Aquí es donde el enfoque tradicional de la visibilidad de la red para la seguridad comenzará a romperse. Se necesitará un nuevo enfoque basado en una plataforma de entrega de seguridad para monitorear y proporcionar continuamente alimentaciones de datos inteligentes a las herramientas de seguridad en tiempo real para mantener el ritmo con el volumen y la velocidad de los datos generados por las fábricas inteligentes de las empresas de Industria 4.0.

 

 

0 245
email menu on monitor screen

Easy Solutions, entrega recomendaciones para evitar caer en ataques de cibercriminales, quienes copian técnicas de email markerting para medir el resultado de sus campañas delictivas y así optimizarlas con el tiempo.

Muchos nuevos servicios de rastreo de email han surgido en los últimos años. Estos servicios ayudan a los equipos de marketing a determinar si sus campañas de email han sido exitosas tras analizar el número de emails abiertos y de clics hechos por los usuarios. A medida que estas herramientas maduran, comienzan a ofrecer más capacidades de análisis que les ayudan a los equipos de marketing a extraer datos relevantes sobre audiencia, segmentación de mercados, hábitos y demás. Pero ahora, los hackers están adoptando los mismos métodos de rastreo de email para verificar la eficacia de sus ataques.

“Aunque las campañas de email parecen fáciles de ejecutar, su diseño revela un comportamiento de grupo bien organizado. Es evidente que los cibercriminales están midiendo su retorno de inversión (ROI) como se hace en grandes compañías legalmente establecidas”, comentó Cristian David Torres, Experto en Seguridad de Correo Electrónico de Easy Solutions.

De acuerdo a Easy Solutions, el lanzamiento de un ciber ataque se puede dividir en dos etapas:

  • La primera comienza con los vectores de infección usados para propagar la amenaza en nombre de una compañía, banco o entidad gubernamental, y termina cuando los cibercriminales han obtenido información sobre la propagación de su campaña maliciosa. Algunos métodos comúnmente usados para esta primera etapa son phishing vía email, publicidad falsa, perfiles falsos en redes sociales, etc.
  • La segunda etapa es la ejecución, la cual comienza cuando la víctima ha sido expuesta al contenido malicioso. En esta etapa, la víctima es convencida de entregar información o abrir archivos maliciosos. Sin embargo, esto no significa que el blanco haya entregado información sensible o descargado contenido peligroso aún.

Los métodos para rastrear un ataque durante su distribución son muy simples. Usualmente, los cibercriminales crean o usan herramientas de uso libre para modificar las URLs adjuntas a cada email, agregando un parámetro adicional. Dependiendo del nivel de sofisticación del ataque, este puede ser el email original, una codificación de este o incluso un token diseñado para la URL.

 “Estas herramientas de rastreo no siempre son implementadas, pero cuando lo son, les permiten a los atacantes una mejor perspectiva de sus potenciales víctimas. Así los criminales pueden estudiar sus perfiles, hábitos, necesidades y patrones para encontrar la mejor manera de expandir la amenaza”, comenta Torres. Y destaca, “es aquí donde un método de rastreo resulta útil para determinar información como las direcciones de email que reciben el mensaje y han accedido al contenido malicioso, el navegador utilizado para abrir el ataque, el número de clics hechos por el usuario, la ubicación de la víctima, etc. Usando todos estos datos, un atacante puede fácilmente segmentar a sus víctimas y mejorar su estrategia con miras a una campaña exitosa”.

Figura 1. Información extraída de un ataque real, el cual rastrea a los usuarios durante la etapa de distribución.

La figura 1 muestra una gráfica con la información recibida del análisis de un ataque en Brasil, en el cual los atacantes obtuvieron información de los usuarios. Podemos ver que los datos extraídos les permiten a los cibercriminales determinar fácilmente el uso de los navegadores de los usuarios, de manera que puedan priorizarlos para explotar sus vulnerabilidades.

Finalmente, después de que se ha engañado al usuario final, los atacantes aplican métricas y estadísticas a sus campañas, ya que generalmente construyen herramientas de reporte directamente en sus creaciones con el fin de reunir información sobre los usuarios afectados, el estado de sus dispositivos, ubicación y reportes con la información robada.

Seis recomendaciones de Easy Solutions para no contribuir con estos ataques:

  1. Verifique siempre el origen de cualquier documento recibido en caso de encontrar algo sospechoso (correos mal escritos, mensajes genéricos o información que no concuerde con su perfil).
  2. La próxima vez que acceda a un enlace dentro de un email sospechoso, sea consciente de que puede estar dándoles a los criminales más información de la que usted cree.
  3. Instale soluciones de antivirus para revisar cualquier archivo descargado.
  4. Nunca acepte la ejecución de ningún programa que usted no haya iniciado.
  5. Nunca confíe en remitentes desconocidos.
  6. Asegure a sus usuarios finales al implementar técnicas de validación de dominios de email que los protejan contra suplantación de compañías. Esto también le permitirá mejorar la reputación de su dominio de email.

 

Group of young people using laptop.

Un nuevo estudio a nivel mundial realizado por la empresa de seguridad informática Forcepoint,  pone en alerta sobre los nuevos retos que vienen afrontando los responsables de TI en las organizaciones, con la incorporación de la generación llamada “millennials” (jóvenes nacidos entre los años 1977 y el 1994).

Si bien hoy están presentes en más de un 25% del total de la fuerza activa, este cambio generacional viene acompañado de muchos desafíos a la seguridad informática y según las investigaciones desarrolladas por FORCEPOINT Security Labs™ es considerado de alto riesgo y le debemos poner nuestra mayor atención, ya que los millennials tienen más probabilidades de dejar de lado la prudencia para lograr una conveniencia digital.

Muchos de estos jóvenes (millennials) reconocieron que utilizan dispositivos personales para trabajar y jugar, con más del 50% de ellos  descargan archivos de la compañía y aplicaciones de terceros a sus dispositivos personales para aumentar la productividad sin notificarlo al departamento de TI. Además, mientras que los millennials aseguran entender y usar contraseñas robustas, el 35% también revelo que utiliza con frecuencia la misma contraseña para varios sistemas y aplicaciones, y las comparten con otros, incluso después de haber experimentado personalmente una brecha y sumemos a todo estos datos recopilados en el estudio que más del 70% se conectan a redes inalámbricas WI-FI que no tienen seguridad.

RANSOMWARE

El reciente ciberataque realizado a telefónica de España que afecto a un gran número de organizaciones en diversos países ha sido considerado como el ataque más grande de la historia del Internet y dejo demostrado nuevamente, como organizaciones públicas y privadas están expuestas al robo o como en este caso, al secuestro de su información. “Utilizar sistemas operativos desactualizados, sin soporte y no instalar las nuevas versiones de seguridad en su debido momento, son decisiones que la nueva fuerza laboral deberá considerar de suma importancia y no postergar dejándolo para un segundo plano como sucedió en el reciente ataque de WannaCry, donde pudimos ver como estos errores recurrentes, hicieron posible que varias organizaciones resultaran afectadas” – Comento Josué Ariza, Director Regional para el Caribe y Sudamérica de Forcepoint.

El ingeniero Ariza  precisó  que los responsables a cargo de la seguridad cibernética enfrentan hoy una fuerza laboral millennials que cree que están suficientemente educados y que confían en su conocimiento sobre seguridad; pero los datos de la encuesta revelan que muchos no se comportan de forma segura cuando se trata de la tecnología y del lugar de trabajo.

“En el reciente ciberataque pudimos apreciar la capacidad de WannaCry de auto-propagarse mientras que las variantes anteriores se han basado en tácticas de ingeniería social para infectar a los usuarios (por ejemplo, campañas de correo electrónico con URL maliciosas o archivos adjuntos), una vez que WannaCry comenzó a propagarse tenía la capacidad de afectar a los usuarios sin necesidad de intervención humana, resultando a menudo en una oficina llena de máquinas mostrando, la ahora familiar ventana de demanda de rescate. Estos ciberataques continuaran aumentando en cantidad, calidad y efectividad, buscando vulnerar a grandes pequeñas y medianas organizaciones, como lo dimos a conocer a inicios de año pasado en nuestro Informe de Amenazas Globales 2016, emitido por FORCEPOINT Security Labs™ el cual describía con detalle algunas de las amenazas más recientes de ese momento y comentábamos sobre su evolución, entre ellas la fuga de información a través del aumento de las brechas de datos causadas por los empleados de manera maliciosa y/o accidental”.

El número de archivos de ransomware móviles detectados llegó a 218,625 durante el trimestre, frente a los 61,832 del trimestre anterior; con la familia Congur representando más del 86%.El ransomware Congur es principalmente un bloqueador, que configura o restablece el PIN del dispositivo (código de acceso), dándole a los atacantes derechos de administrador en el dispositivo. Algunos variantes del malware aprovechan estos derechos para instalar su módulo en la carpeta del sistema desde donde es casi imposible eliminarlo.

A pesar de la popularidad de Congur, Trojan-Ransom.AndroidOS.Fusob.h sigue siendo el ransomware móvil más utilizado, contabilizando casi el 45% de todos los usuarios atacados por esta amenaza durante la investigación. Una vez ejecutado, el troyano solicita privilegios de administrador, recopila información sobre el dispositivo como las coordenadas GPS y el historial de llamadas y carga los datos en un servidor malicioso. Con base en lo que recibe, el servidor puede devolver una orden para bloquear el dispositivo.

Estados Unidos se convirtió en el país más afectado por ransomware móvil durante el primer trimestre, siendo el Svpeng la amenaza más extendida. A su vez, Brasil y Venezuela figuran entre los 10 países más afectados por ataques de troyanos cifradores. Es importante destacar que Brasil alcanzó el segundo lugar (1,07%) aunque nunca antes figuró en el TOP 10 de países atacados por cifradores. Esto es consistente con nuestra observación del aumento en el número de troyanos extorsionistas que apuntan a las víctimas brasileñas. Un ejemplo prominente de tal malware fue Xpan, cuyo análisis publicamos el año pasado.

Geografía de los troyanos extorsionistas móviles durante el primer trimestre de 2017                                              (Porcentaje de usuarios atacados)

“El panorama de amenazas móviles por ransomware estaba lejos de permanecer en calma durante el primer trimestre. El ransomware dirigido a dispositivos móviles se disparó y nuevas familias, así como modificaciones, siguen proliferando. Las personas deben tener en cuenta que los atacantes pueden —y lo harán cada vez más— bloquear el acceso a sus datos no sólo en una PC, sino también en su dispositivo móvil”, señala Roman Unuchek, analista de malware sénior para Kaspersky Lab.

En total, se detectaron 55,679 nuevas modificaciones de ransomware en Windows durante el trimestre, lo que representa un aumento casi del doble con relación al cuarto trimestre de 2016 (29,450).

La mayoría de estas nuevas modificaciones pertenecían a la familia Cerber. Otras estadísticas de amenazas en línea del informe del primer trimestre 2017, incluyen:

Las soluciones de Kaspersky Lab detectaron y repelieron 479,528,279 ataques maliciosos de recursos en línea ubicados en 190 países de todo el mundo.

  • 79,209,775 URL únicas se reconocieron como maliciosas por los componentes antivirus en la web.
  • Se registraron intentos de infecciones por malware que pretenden robar dinero a través del acceso en línea a las cuentas bancarias en 288,000 computadoras de usuario.
  • Se bloquearon ataques de cifradores en 240,799 computadoras de usuarios únicos.
  • El antivirus de Kaspersky Lab detectó un total de 174,989,956 objetos maliciosos únicos y potencialmente no deseados.
  • Los productos de seguridad móvil de Kaspersky Lab también detectaron:
    • 1 ,333,605 paquetes de instalación maliciosos;
    • 32,038 troyanos de banca móvil (paquetes de instalación).

Para reducir el riesgo de infección, se recomienda a los usuarios:

  • Utilizar soluciones de seguridad sólidas como Kaspersky Total Security y asegurarse de mantener todo el software actualizado.
  • Ejecutar regularmente una exploración del sistema para detectar posibles infecciones.
  • Mantenerse alerta mientras está en línea. No ingresar información personal en un sitio web si no está seguro o tiene alguna sospecha.
  • Hacer copias de seguridad de la información valiosa.

 

Jorge Herrerías, CISSP, Lead Sales Engineer – LATAM

El viernes 12 de mayo, un ataque de tipo ransomware, afectó a muchas organizaciones alrededor del mundo, incluyendo grandes nombres como Telefónica en España, el National Health System de Reino Unido y la compañía de envíos FedEX en Estados Unidos. El malware responsable es un ransomware conocido como WannaCry. Organizaciones, gobiernos y empresas alrededor del mundo, pueden usar una plataforma de visibilidad para detectar WannaCry en sus infraestructuras de red y dar pasos firmes para mitigar el daño.

El malware WannaCry típicamente funciona ingresando a la red de su organización utilizando una descarga soportada por Internet. Una vez que ha penetrado, utiliza el protocolo Microsoft’s Server Message Block (SMB) para empezar a escanear los dispositivos en red y aquellos encargados del almacenaje, por lo que después, encripta los archivos que contengan. Con dicha encriptación, despliega en la pantalla del equipo de la víctima un mensaje en el que pide rescate. A cambio de un pago, los criminales prometen proveer una clave de desencripción útil para ser usada y recuperar los archivos en la computadora de la víctima.

El malware WannaCry ha exhibido 2 formas de comportamiento dentro de la red:

Primero, cuando la computadora de la víctima intenta accesar a sus archivos compartidos, utiliza el protocolo Microsoft SMB, el cual usa puertos TCP 139 y 445.

Segundo, algunas variantes de WannaCry incluyen un “switch de apagado” el cual al ejecutar el malware por primera vez en el host, intenta establecer una conexión con el dominio http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Mientras nuevas variantes han dejado de usar este dominio, vale la pena no dejar de lado este dominio mientras otros dominios bajo sospecha, han sido usados por el malware.

Una plataforma de entrega de visibilidad de red está diseñada para proveer un alcance profundo a lo largo y ancho de la infraestructura de red, la nube, centros de datos físicos / remotos y en diferentes geografías; tiene un arsenal de funciones para ayudar a detectar este tipo de comportamientos inusuales dentro de las redes. Específicamente, aplicaciones de seguridad conectadas a la plataforma, para recibir un tráfico de alta fidelidad de datos relevantes y metadatos desde cualquier parte de la infraestructura de red. Filtros avanzados pueden ser utilizados por un administrador de seguridad para detectar rápidamente actividad maliciosa en la infraestructura.

Plataforma de seguridad GigaSECURE

Información contextual mejora el análisis para detectar amenazas rápidamente

 Las funciones específicas de una plataforma de seguridad que pueden ayudar para detectar y mitigar el ataque WannaCry. Como la mayoría de las organizaciones que están enfocando sus esfuerzos en el elemento interno y detección de amenazas, NetFlow (IPFIX) se vuelve una fuente rica e importante de información contextual sobre el tráfico, ayudando al análisis aumentado para determinar dónde es que se ha comprometido la seguridad de red.

Una plataforma de seguridad toma una fotografía completa de la red y sus tasas de transmisión, incluyendo todos los paquetes en los registros NetFlow sin pérdidas. Un registro típico NetFlow revela la fuente del tráfico y su destino, así como aplicación o protocolo, time stamps y número de paquetes.

Al generar NetFlow para toda la red y examinar el output en un sistema Security Information and Event Management (SIEM) como Splunk Enterprise o un analizador NetFlow como Cisco StealthWatch o Plixer Scrutinizer, uno puede detectar hosts conectándose a los puertos TCP 139 y 445. El número usual de accesos SMB legítimos de un host de red, debería ser bastante reducido. Si el número crece mucho más de lo normal, uno puede sospechar que esos hosts han sido infectados por el ransomware WannaCry y que tendrán que ser retirados de la red o colocados en cuarentena. Además, si una de esas conexiones SMB han sido iniciadas desde internet hacia hosts internos, eso es doblemente sospechoso.

Escaneo SMB utilizando NetFlow Gigamon en Splunk Enterprise

Profundizar en los metadatos de URL y DNS para descubrir hosts ofensivos

El malware WannaCry tiene un kill Switch muy sólido. Si el malware hace una petición a este nombre de dominio (como si navegáramos un sitio web) y dicha petición regresa y muestra que el dominio está vivo, el kill Switch entra en acción y hace que el malware no se propague más.

Gigamon ha mejorado NetFlow en una máquina Metadata que se sumerge en la plataforma de visibilidad y provee información sobre DNS, URLs HTTP, códigos de respuesta HTTP y certificados SSL dentro de la red. El formato NetFlow (IPFIX) ha sido extendido para añadir extensiones privadas para capturar la información URL embebida en conexiones HTTP en conjunto con DNS e información de certificados.

Estos URL pueden ser extraídos desde la red y ser alimentados a un SIEM. Utilizando funciones como entropía provista por Splunk Enterprise, es posible ver si estos URL son generados por una máquina o sólo son anormales. Uno puede hacer simulaciones o ensayos en estos URL inusuales y descubrir el host ofensivo que se está conectando a ellos. Alternativamente, un administrador puede poner una alerta a cualquier host que intente accesar a este dominio.

Observar las URLs en Splunk Enterprise usando Gigamon HTTP metada

Antes de crear una solicitud web al dominio, el host infectado intentará iniciar una requisición DNS para resolver la dirección IP para el dominio http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. Esta acción se espera que falle, pero al capturar la solicitud DNS, proveerá pistas al host ofendido. A diferencia de usar DNS server-based logs, este método provee identificación precisa del host infectado. Eso es, mientras el tráfico alcance a cada servidor DNS en la red es alimentado a la plataforma de seguridad.

Encontrar patrones y descubrir pistas con ruido en la red

Desafortunadamente, el tráfico relevante que puede contener pistas para actividad de malware, se pierde en el ruido de la red. utilizar un Flow Mapping Engine, uno puede extraer los flujos relevantes que concuerden puertos TCP 445 y 139 y enviar tráfico esencial SMB a la herramienta de seguridad. Con el subset de tráfico al SMB, el administrador de seguridad puede escribir guiones para detectar conexiones normales y anormales.

Buscar patrones en el tráfico TCP utilizando la aplicación de filtrado de sesión

El filtro de sesión de aplicaciones (ASF) es otra función de la plataforma de seguridad que se puede utilizar para supervisar este ransomware. En pocas palabras, ASF actúa como una búsqueda de Google en el tráfico de red y extrae toda la secuencia TCP / UDP incluso si un solo paquete en ese flujo contiene una firma de interés. ASF proporciona un potente motor de filtrado que identifica aplicaciones basadas en patrones que pueden aparecer en cualquier parte de la carga útil del paquete. Estos patrones pueden ser tan simples como una cadena estática en un desplazamiento configurado por el usuario o tan complejo como una expresión regular avanzada (regex) en un desplazamiento variable.

Con ASF, uno puede simplemente buscar todo el tráfico de la red para múltiples patrones. Para el ransomware de WannaCry, un administrador puede programar el motor ASF para buscar transacciones que tengan el dominio “http[:]//www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”. Además, si los escritores de malware han de seguir cambiando los dominios utilizados para los patrones de conmutación de matrices, uno puede comenzar inmediatamente a supervisar los nuevos patrones programándolos en el motor ASF.

 

 

Easy Solutions, ahora parte de Cyxtera Technologies, entregó un análisis de lo ocurrido con el ransomware llamado WannaCry y algunas recomendaciones para protegerse.

El ransomware es un tipo de ataque que toma el control de un dispositivo y bloquea el acceso a los archivos, programas y operaciones.  Luego los criminales informan a los usuarios que deben pagar cierta cantidad si desean recuperar el acceso a sus archivos bajo la constante amenaza de perder todos sus datos si eligen no pagar.  “En el ataque WannaCry, los usuarios tenían tres días para realizar el pago antes de que aumentara el monto de la extorsión y siete días antes de que sus archivos se perdieran para siempre.”, comenta, Fernando Cuervo, experto en seguridad de Easy Solutions.

Descripción cronológica de cómo llegamos a este punto…

  • 14 de marzo – Microsoft lanzó un parche para corregir ciertas vulnerabilidades de su sistema operativo, el cual al parecer fue posiblemente revelado por la NSA. (https://www.nytimes.com/2017/05/14/world/europe/cyberattacks-hack-computers-monday.html)
  • 14 de abril – The Shadow Brokers, un grupo de hackers que surgió en agosto de 2016, distribuyó distintas herramientas de hackeo que, según se dice, pertenecían a la NSA. También emitieron un mensaje donde expresaban motivaciones de carácter político para filtrar la información.
  • 12 de mayo – Los computadores alrededor del mundo con sistemas operativos antiguos o que no hubieran sido actualizados con el parche de seguridad lanzado en marzo fueron afectados por el inmenso ataque. Entre los afectados estuvieron hospitales, universidades y agencias de gobierno.
  • Un investigador en ciberseguridad del Reino Unido descubrió un interruptor de apagado o ‘kill switch’ en el código del ataque e inadvertidamente obstaculizó la propagación del malware en Estados Unidos. Sin embargo, este interruptor no fue capaz de ayudar a los sistemas que ya habían sido infectados, y es muy posible que los hackers lancen más ataques sin este interruptor incluido. (https://arstechnica.com/information-technology/2017/05/wanna-decryptor-kill-switch-analysis/)
  • 15 de mayo – El número de víctimas continúa incrementándose a medida que los empleados retoman sus labores el lunes por la mañana. Además, el kill switch fue eliminado de la última variante, deshaciendo así el retraso de la infección que se había logrado hasta el momento.

Cómo los remedios para WannaCry son solo otro vector de fraude

El enorme alcance y potencial del ataque WannaCry ha causado comprensiblemente bastante pánico y tanto compañías como individuos tienen afán de proteger sus dispositivos.  Sin embargo, este frenesí ha abierto nuevos caminos al fraude.

Uno de estos caminos es a través de aplicaciones móviles disponibles en tiendas de terceros.  Si bien es cierto que existen distintas aplicaciones móviles que según dicen pueden proteger contra WannaCry, nuestros analistas descubrieron que algunas de ellas en realidad contenían adware.  Así que en lugar de proteger los dispositivos, los estaban dañando.

El adware encontrado es un módulo llamado Adware.mobidash, el cual es usado por los atacantes para comprometer juegos y aplicaciones y sacar dinero de estos. Este adware tiene la capacidad de cargar sitios web con anuncios, mostrar mensajes falsos en la barra de notificaciones o modificar el servidor DNS. Esta última facultad es muy peligrosa, ya que a través de ella los cibercriminales pueden hacer que el dispositivo del usuario realice actividades no deseadas sin autorización. Para ocultar este peligroso comportamiento, el adware no realiza ninguna actividad maliciosa de forma inmediata, sino después de un tiempo.

Cómo proteger su negocio y sus usuarios finales – 3 recomendaciones clave:

  1. Instale la actualización MS17-010 lanzada por Microsoft el 14 de marzo. Esto solucionará las vulnerabilidades que están siendo explotadas por WannaCry.
  2. Instruya a sus empleados sobre cómo identificar y reportar phishing.
  3. Despliegue una política DMARC para reducir emails de spearphishing dirigidos al personal (WannaCry se transmite a través de emails).

“En Easy Solutions hemos publicado muchos blogs sobre confianza digital, noticias falsas y toda clase de trucos maliciosos usados por los criminales para atraer la atención de los consumidores y hacer que hagan clic en enlaces. Esta es un área que continúa fascinándonos: cuán sofisticada se ha convertido la manipulación del factor humano. Solo será cuestión de tiempo para que veamos al malware WannaCry expandirse aún más para engañar a los usuarios y quizás hacerlos instalar un parche que supuestamente prevenga un nuevo y masivo ataque de ransomware. No obstante, este no será ningún parche, sino alguna versión o variante de un temible malware financiero”. Cierra el ejecutivo.