El cibercrimen, un negocio redondo

El cibercrimen, un negocio redondo

La industria del cibercrimen está construida con base en los datos de las empresas. Es bien sabido que existe un submercado que brinda vulnerabilidades: kits de ataques, botnets, APTs, servicios de phishing, ransomware y otras herramientas.

Los cibercriminales generan grandes cantidades de dinero manteniendo esta cadena de suministro.

El robo y la obstrucción de los datos de las compañías resulta la base para esta industria. Si la información no tuviera ninguna importancia para el cibercrimen, ninguno de estos elementos anteriormente mencionados tendría valor y esta industria colapsaría.

Los cibercriminales naturalmente eligen el modo de operación más eficiente. Esto diferencia fundamentalmente la seguridad de la información de otros problemas de TI. La seguridad de la información es el único aspecto de TI donde existe una motivación financiera por parte de actores, los cuales trabajan explícitamente para vulnerar la estructura de TI de las empresas. Sus tácticas cambiarán, pero la importancia de tus datos, no.

 

Un mundo de oportunidades crecientes para el cibercrimen

Cualquier abogado podría decir: ‘El robo es un crimen de oportunidad’. Lo esencial de la transformación digital de las empresas es que están produciendo una gran cantidad de información, nunca antes generados en la historia de la humanidad.

Es parte de la economía del conocimiento y cómo las organizaciones están creando y entregando valor. Toda esta información –almacenada en una serie de ubicaciones y repositorios cada vez más cambiantes– ofrecen múltiples oportunidades para el delito.

Por otro lado, las aplicaciones son fundamentales para la transformación digital. Estas se manifiestan en forma de aplicaciones móviles, portales para clientes, páginas web e incluso APIs, y resultan ahora las formas de interacción de las empresas con sus clientes y consumidores.

Además, para reducir costos empresariales, estas aplicaciones generan directamente gran parte de los datos. Este universo de aplicaciones sirve como puerta directa a los datos de la empresa y expande las posibilidades de crecimiento de la industria del cibercrimen.

En adición a la creciente exposición de las empresas, es un hecho que más personas ahora tienen un acceso legítimo a la información. Llamados ‘trabajadores del conocimiento’, actualmente comprenden más de 100 millones de personas en el mundo.

Las empresas se esfuerzan para que los usuarios accedan directamente a una variedad de aplicaciones y de información disponible. De hecho, es una de las vías que usan las empresas para generar información valiosa. Esto es una paradoja, ya que convierte a los consumidores, junto con todas las fallas intrínsecas de seguridad (por ejemplo, la reutilización de contraseñas débiles) en un factor de ataque.

 

Un enfoque de seguridad centrada en los activos

La seguridad de la información es diferente a otros temas de TI, ya que existe un motivador financiero. Mientras haya dinero de por medio, bien sea a través del robo o la extorsión, habrá criminales perfeccionando sus tácticas, sea cual sea su objetivo final: la información y/o las aplicaciones que la ofrecen.

En la medida que los negocios se vuelven más sofisticados en su entendimiento de las realidades en la gestión de amenazas de la industria del cibercrimen, se centran más en el ‘ataque du jour’ (la táctica más reciente) y hacen mayor énfasis en una mejor visibilidad y protección de sus activos básicos, independientemente de las tácticas que puedan usar los ciberdelincuentes en cualquier momento.

A continuación se exponen los 4 puntos esenciales para garantizar una protección avanzada de las aplicaciones y los datos:

 

Aplicaciones:

1. Proteger las aplicaciones donde sea que estén –en la nube o dispositivo móvil. Las aplicaciones que dejan rastro existirán tanto en la nube como en los dispositivos. Estas necesitan protegerse en ambos casos.

2. Aprovechar la inteligencia de acción contra las amenazas. A medida que la industria del cibercrimen innove y se automatice, se espera que cualquier aplicación pública pueda ser atacada cientos de veces al día. La protección bot / anti-automatización y la inteligencia de amenazas que identifica los intentos de ataques a credenciales contra las aplicaciones también son críticas. Esta inteligencia de amenazas necesita ser entregada de una manera que los puntos reforzados puedan usarse directamente para tomar acción en tiempo real a medida que mitigan las amenazas.

3. Automatizar el bloqueo con precisión. Trabajando sobre el precepto de que todas las aplicaciones serán atacadas cientos de veces o más al día, crear una alerta para una revisión         posterior no es efectivo. Es mucho que procesar, y las alertas se almacenarán. El secreto oscuro en la seguridad de las aplicaciones no son los falsos negativos (no detectar un ataque) sino los falsos positivos (determinar que un tráfico de datos válido es en realidad un ataque). Cualquier solución debería ser suficientemente precisa –minimizando las detecciones falsas tanto negativas como positivas–, así el negocio tendrá la confianza de bloquear el tráfico de la aplicación sin impedir las solicitudes válidas.

 

Datos

4. Conocer la locación de su información, quién tiene acceso a ella y cuándo. Esto supone un esfuerzo continuo, especialmente en relación con los empleados y los directores que rotan en las empresas. Sin este monitoreo, todos los actores involucrados no contarán con todo el panorama. El monitoreo les advierte. Sin embargo, esto no es suficiente debido al gran volumen de datos a los que legítimamente se accede. Para ello se recomienda:

  • Reevaluar frecuentemente si el acceso a datos en todos los niveles es aceptable
  • Generar alertas sobre aquella información que no está protegida
  • Capacitar a los equipos para contener las amenazas y responder inmediatamente a los riesgos de acceso a los datos

 

¿Su información está debidamente protegida? 10 preguntas que debe hacerse

Estas son algunas preguntas que las empresas con fácil acceso a su información deberían hacerse para saber si están correctamente protegidas.

  1. ¿Dónde está localizada la información privada?
  2. ¿Quiénes acceden a la Información?
  3. ¿Esas personas deberían tener acceso a esa información?
  4. ¿Qué usuarios tienen accesos a los datos, pero no los utilizan?
  5. ¿Quién les da acceso a los datos?
  6. ¿Cuál nivel de riesgo es aceptable?
  7. ¿Quién es el responsable si la información se pierde?
  8. ¿Quién es el responsable de monitorear los datos?
  9. ¿Podría determinar qué información se ha perdido en el tiempo?
  10. ¿Los procesos para responder a estas preguntas son escalables, oportunos y rentables?

 

Las organizaciones que pueden responder satisfactoriamente a estas preguntas están en buena forma para manejar el riesgo que plantea la industria del cibercrimen, independientemente de las tácticas o ataques que la industria está utilizando actualmente.

Por Víctor Anda, Country Manager de Imperva México

Leer más

5 previsiones en seguridad informática para 2017

5 previsiones en seguridad informática para 2017

El crecimiento actual y potencial del Internet de las Cosas hará necesario considerar cinco variables en seguridad informática para 2017.

‘Lo más preocupante de todo es que 2017 será un año igual de problemático o más en lo que se refiere ataques informáticos, pero no sólo dirigidos a grandes empresas y corporaciones, sino a nivel individual, ya que el ransomware y otro tipo de malware serán cada vez más inteligentes, y el volumen total de amenazas seguirá avanzando a grandes pasos’, señala Hervé Lambert, de Retail Global Consumer Operation Manager de Panda Security.

El crecimiento actual y potencial del Internet de las Cosas está generando espacios para que sea el gran objetivo de los hackers en 2017, ante lo cual habrá que considerar cinco variables primordiales para 2017:

1.- Los ‘botnets de las cosas’

No se trata de un virus en sí mismo, sino una serie de dispositivos con conexión a Internet infectados con un malware diseñado para que los ciberatacantes obtengan el control y los utilicen indiscriminadamente. El Internet de las Cosas resulta ser el entramado de millones de dispositivos que se conectan a Internet en forma autónoma para que las cosas inteligentes funcionen. Algunos de estos botnets son capaces de auto propagarse y encontrar e infectar otros dispositivos automáticamente. En tanto que otros requieren que un usuario infecte, sin saber, sus propios dispositivos, computadora o teléfono móvil al instalar alguna aplicación que contenga un malware escondido.

2.- El ramsonware de las cosas

La multiplicidad de dispositivos conectados a la red supondrá un nuevo tablero de juego para los cibercriminales, que podrán exportar y mejorar algunas de las técnicas que ya se han utilizado con dispositivos móviles y con las computadoras personales.

Tal vez podremos constatar intentos de secuestro de máquinas expendedoras conectadas a la red,  aparatos de medición y control de tráfico o seguimiento de flotas logísticas de empresas.

3.- Amenazas persistentes avanzadas

Las (APT, por sus siglas en inglés), avanzarán notablemente en 2017. Los piratas informáticos saben que las APT son uno de los mayores riesgos a los que se expone cualquier empresa u organismo público cuyos datos impliquen dinero.

Las APT son un conjunto de procesos diseñados para que se ejecuten de forma continua y muy precisa, sin que nadie pueda percibirlo. Su acción continua en el tiempo, en ocasiones durante muchos meses, recaba información sobre una empresa u organismo, con el fin de acceder, conocer y robar información de valor monetario.

4.- Mayor volumen de malware

Si los mayores ataques ‘han existido durante todos estos años, seguirán evolucionando y perfeccionándose para engañar a más personas’, señala Lambert. El phishing y el spam continuarán siendo uno de los vectores de ataque más efectivos a lo largo de 2017. Los cibercriminales seguirán explotando una de las vulnerabilidades más frecuentes: el descuido de las personas.

5.- Apps móviles maliciosas

Si bien las tiendas online App Store y Google Play Store disponen de recursos para detectar aplicaciones que esconden algún código malicioso, los piratas en ocasiones consiguen que un malware escondido pase los filtros de seguridad de las plataformas de Google y Apple. Este tipo de apps suplantarán a los tradicionales troyanos, al menos en los dispositivos móviles.

Con información de El Economista.es

Leer más

Internet de Todo expone vulnerabilidades en la seguridad empresarial

Internet de Todo expone vulnerabilidades en la seguridad empresarial

CANCÚN.- Las empresas actuales dependen enormemente de las comunicaciones a través de internet. Esto da como resultado un uso cada vez mayor de dispositivos móviles y de la nube, tanto a nivel de los empleados como de toda la organización.

Cualquier objeto que permita acceder a internet se convierte en un vehículo que puede vulnerar la seguridad de la red, y el Internet de las Cosas multiplica exponencialmente las amenazas.

Esto, sumado al acelerado crecimiento del uso de la nube, genera una superficie de amenazas mas compleja y grande, en un entorno en el que los ciberdelincuentes están al acecho de una vía para tener acceso y generar ataques de toda índole.

Algunos estudios han identificado que las APT (Amenazas Persistentes Avanzadas) son cada día más agresivas. Éstas tienen la capacidad de obtener los datos que buscan en menos de una hora y además esconderse en la red de la organización durante meses sin ser identificadas, lo cual puede multiplicar los ataques no solo a la propia organización afectada sino a otras con las que se tenga alguna relación comercial.

Esta situación vuelve especialmente vulnerables a pequeñas empresas que no cuentan con el presupuesto para invertir en las tecnologías de protección de seguridad avanzadas.

Se estima que actualmente una organización para su red en promedio debería contar con 45 herramientas de seguridad. Cuantos más equipos, mayor es la fragmentación y más difícil de administrar.

Hoy en día existen herramientas diseñadas para identificar amenazas, bloquearlas, activar antivirus, firewalls, etc. En caso de que la amenaza no logre ser detenida, también hay soluciones para minimizar los daños y permitir una recuperación casi inmediata.

Las organizaciones deben contar toda la información sobre las características de cualquier elemento conectado a la red: qué es, dónde está, desde dónde accede, un histórico de datos, dar seguimiento, etc. Esto se traduce en  una estrategia de tres niveles:

  • Visibilidad de toda la información sobre cualquier dispositivo conectado,
  • Conocer la firma de cada dispositivo,
  • Utilizar la propia red como una plataforma de contención y seguimiento a la respuesta.

En cuanto a la visibilidad, la red ofrece un mapa de todo lo que se conecta: archivos, equipo, usuarios, etc. Todo esto requiere de un ‘contexto’, pues el dato que se colecta de la red no tiene valor por sí mismo.

Al agregar información como: qué es, en dónde está, etc., se genera una información inteligente para identificar si puede tratarse de una amenaza real. De esta manera, la red de la organización se convierte en un ‘sensor’ de protección.

El Internet de Todo (IoE) obliga a las organizaciones a contar con una infraestructura capaz de defenderse y de sobrevivir al crecimiento exponencial de ataques que generarán todos los objetos conectados a la red, los cuales no necesariamente cuentan con una buena practica de seguridad o protección.

Sin embargo, la estrategia de seguridad va mucho más allá de adquirir un producto. Se requiere establecer una práctica integral de seguridad, generar políticas de acceso, así como contar con herramientas que identifiquen y bloqueen oportunamente las amenazas.

Leer más

La seguridad empresarial, una tarea cada vez más compleja para los CIO

La seguridad empresarial, una tarea cada vez más compleja para los CIO

La presión sin precedentes a nivel directivo por mantener la empresa segura – que incrementó su importancia casi un tercio en los últimos 12 meses – ha situado al tema de seguridad en una posición primordial y protagónica sobre otras iniciativas de negocio. Estos y otros hallazgos provienen de un estudio de Fortinet entre más de 1,600 responsables y tomadores de decisiones de TI en empresas de Brasil, Colombia y México, en su mayoría provenientes de organizaciones con más de 500 empleados en todo el mundo.

Esta investigación fue presentada durante el Fortinet Security Conference, un evento que se realiza por tercer año en la Ciudad de México, con el objetivo de establecer cercanía con clientes, socios de negocios y empresas interesadas en su estrategia de seguridad. En este espacio se pudo demostrar que la tecnología debe ser un habilitador y la seguridad debe estar embebida en todas las arquitecturas que la organizaciones requieren para habilitar a clientes internos y externos de las organizaciones.

fortinet-Security-Conference

Fortinet Security Conference México 2014

El Fortinet Security Conference ofreció a los asistentes una demostración de las tendencias en materia de seguridad y los retos que las empresas enfrentan ante el inminente crecimiento de tendencias como Internet de las Cosas (IoT), la adopción de Cloud y la Movilidad.

La encuesta reveló que el 90% de los CIOs y los CTOs considera que la tarea de mantener su empresa protegida es cada vez más difícil.

Los resultados más relevantes para México concluyen:

  • De los tomadores de decisiones de TI que registran la más alta presión por parte de la junta directiva, las respuestas se mantuvieron en el mismo nivel que las de los entrevistados a nivel mundial: el 63% admite el abandono o el retraso de por lo menos una nueva iniciativa de negocios debido a los temores de seguridad cibernética.
  • Los desafíos más grandes que enfrentan los tomadores de decisiones de TI para mantener la seguridad de sus organizaciones son: la creciente frecuencia y complejidad de las amenazas (90%) y las nuevas exigencias de la tecnología emergente como el Internet de las cosas (IoT) y datos biométricos (92%); porcentajes ligeramente superiores a las respuestas globales: 88% para ambas variables a nivel mundial.
  • La mayoría de tomadores de decisiones de TI debieron actuar por el aumento de las preocupaciones sobre la privacidad de datos (94%) y las iniciativas de seguridad de Big Data (95%). En la mayoría de los casos esto implica nuevas inversiones en el área de TI. Las respuestas de México con respecto a asegurar iniciativas de Big Data fueron más altas que el promedio de respuesta global (84%).

 

 La Seguridad es prioridad para los directivos

La concientización sobre la seguridad de TI por parte del consejo directivo de las empresas – y su consecuente presión y participación en el tema – fue citada por los profesionales de TI en México como un factor importante que dificulta el trabajo de seguridad de TI, con un 80% de los encuestados que manifestaron que la conciencia de la dirección hoy es ‘alta’ o ‘muy alta’, frente a apenas el 50% registrado un año atrás.

Además, el estudio revela que a nivel mundial, un 53% de los tomadores de decisiones de TI encuestados han retrasado o cancelado una nueva aplicación, servicio u otra iniciativa debido a los temores de seguridad cibernética. Este número es similar al de los encuestados en México (54%). Esta cifra es aún más alta (63%) entre los que reportan un alto nivel de presión de los directivos y el escrutinio en torno a la seguridad de TI, tanto a nivel mundial como en México.

Encabezando el ranking, junto con la nube, las aplicaciones y estrategias relacionadas con la movilidad son los principales puntos de fricción.

 

Las preocupaciones de seguridad crecen a la par de las tecnológicas emergentes

El crecimiento en el volumen, así como en la complejidad de amenazas cibernéticas como las APT y DDoS, entre otras, y las exigencias de las tendencias tecnológicas emergentes, como el IoT y la biometría, son los aspectos que hacen más difícil el trabajo de los tomadores de decisiones de TI, tanto en México como a nivel mundial.

También hay una gran expectativa en todos los sectores de la industria sobre la inminente llegada de la biometría. De hecho, los participantes de México tuvieron una respuesta notablemente más alta, con el 62% en comparación con el promedio mundial (46%), alegando que la tecnología ya ha aterrizado o lo hará en los próximos 12 meses. Tres cuartas partes dicen que ya tienen las herramientas para manejar la biometría de forma segura. Del porcentaje restante que aún no se siente preparado hoy, el 23% cree que en el futuro también tendrá que trabajar muy fuerte para que el uso de la biometría sea seguro.

 

La privacidad de datos y la seguridad de Big Data impulsan mayores inversiones

Los temas de alto perfil que rodean la privacidad de los datos están provocando la acción de los tomadores de decisiones de TI, con un 94% de los mexicanos que planea cambiar su visión de la estrategia de seguridad de TI como respuesta. De éstos, el 63% está dispuesto a invertir más dinero y recursos para hacer frente al desafío, con un 37% que prefiere repensar la estrategia existente.

Mientras tanto, Big Data y el análisis de datos fueron citados por el 89% de los encuestados locales como factores generadores de cambio en las estrategias de seguridad de TI, con el 50% de estas inversiones de planificadas.

En México, los sectores con mayor predisposición a invertir en seguridad de TI fueron los servicios financieros (67%), manufactura y construcción (65%), y las telecomunicaciones/tecnología (61%). La investigación también demuestra que las organizaciones de mayor tamaño tienen mayor tendencia a invertir.

Cuando se les preguntó si en los últimos 12 meses habían recibido suficientes recursos financieros y humanos para manejar la seguridad de TI, 4 de 5 tomadores de decisiones de TI mexicanos dijeron que sí. Un 91% siente que también tendrá recursos suficientes en los próximos 12 meses. Al hacer esta pregunta por sectores industriales, la mayoría respondió de manera similar.

En consecuencia, los ejecutivos de TI en América Latina están confiados y se sienten bien equipados para enfrentar los retos de seguridad que se avecinan. La meta es mantener seguras sus organizaciones y generar nuevas oportunidades de negocios a medida que evolucionan.

Entrevista con Manuel Acosta, Director General de Fortinet México

Leer más

Qué es una Amenaza Persistente Avanzada (APT)

Qué es una Amenaza Persistente Avanzada (APT)

Una Amenaza Persistente Avanzada (APT por sus siglas en inglés) es una forma elegante de decir que una persona u organización ha sido el blanco específico de una entidad maliciosa – generalmente un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales.

Anatomía de una operación APT

  • Reconoce el blanco. Lo primero en un ataque APT es buscar datos públicos disponibles sobre empleados específicos. Para este fin, las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
  • Intrusión inicial. Con la información recaudada de las redes sociales sobre una persona en específico, los atacantes pueden enviar a ese usuario un correo electrónico de Spear Phishing – por ejemplo un mensaje particular que intenta convencer al blanco de abrir un vínculo URL para ganar acceso y divulgar información. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero, puede dar consejos sobre controles regulatorios.
  • Ingresa por la puerta trasera. El próximo paso en una APT típica es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
  • Gana mayor acceso. Al configurar el acceso remoto el atacante empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
  • Realiza exfiltración de datos. El atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso. (“Exfiltración” es el término usado para describir el sacar los datos de un lugar, en vez de tratar de infiltrarlo).
  • Echa raíces. Por último, el atacante instalará más RAT y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.

Existen cinco tipos de comportamiento que pueden ayudar a detectar cuando un dispositivo puede estar infectado con una APT:

  1. El malware generalmente tratará de conectarse a anfitriones inexistentes mediante la Internet. Si experimenta una serie de conexiones fallidas a la Internet este puede ser un síntoma de una infección de malware.
  2. Un anfitrión que instala una aplicación P2P se puede considerar peligroso para una empresa. Por favor revise las políticas de su compañía relacionadas con aplicaciones autorizadas.
  3.  Múltiples visitas a sitios de países con mucha piratería es una señal de alto riesgo. Verifique esos sitios con una lista de su compañía para identificar direcciones legítimas.
  4. Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión exterior pero no ha empezado esa conexión esto puede ser una infección APT.
  5. Si su dispositivo visita sitios de apuestas, adultos o de malware conocidos al conectarse a la Internet puede ser un síntoma de una infección APT.

Al generar consciencia de la seguridad dentro de la compañía entre empleados nuevos y veteranos se puede evitar la intrusión inicial de APTs. La capacitación sobre ataques de spear phishing, por ejemplo, puede ser útil. Una organización debe tener una política de seguridad definida y personalizada hecha a la medida de las necesidades de la compañía. Esto puede ayudar mucho a bloquear el acceso dentro de la organización. La compañía debe tener seguridad en capas profundas y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP.

Fuente: Check Point

Leer más