82 millones de ciberamenazas obligan a una seguridad proactiva

82 millones de ciberamenazas obligan a una seguridad proactiva

Durante el primer semestre de 2017 se detectaron más de 82 millones de ciberamenazas, además de unos 3,000 intentos de BEC (Correos Electrónicos Corporativos Comprometidos), de acuerdo con un reporte de Trend Micro.

Entre las principales amenazas, indica el estudio, destacan el ransomware, estafas BEC, ataques a IoT, y diversas amenazas de ciberpropaganda.

Entre abril y junio de 2017, los ataques de ransomware WannaCry y Petya interrumpieron la actividad de miles de empresas en múltiples industrias en todo el mundo, dejando pérdidas globales cercanas a los 4,000 millones de dólares.

Además, las estafas de tipo BEC elevaron el total de las pérdidas globales a 5,300 millones de dólares durante la primera mitad de 2017, de acuerdo con la Oficina Federal de Investigación (FBI) de Estados Unidos.

De igual manera, entre enero y junio se experimentó un aumento en los ataques al IoT–comprometiendo la seguridad de los robots industriales; así como la propagación de la ciberpropaganda a consecuencia del abuso en medios sociales.

‘Las empresas necesitan priorizar sus fondos para obtener una seguridad efectiva, ya que el costo de una brecha es con frecuencia mayor de lo que puede soportar el presupuesto de una compañía’, en opinión de Max Cheng, Chief Information Officer de Trend Micro.

Leer más

Nuevo ransomware exige fotos íntimas en vez de dinero

Nuevo ransomware exige fotos íntimas en vez de dinero

Una nueva modalidad de virus ransomware exige a su víctima que envíe fotos íntimas para restaurar el acceso a los archivos robados, y no el pago de bitcoins u otra criptomoneda como es lo usual.

Esta vulnerabilidad fue descubierta por el grupo MalwareHunterTeam, informó hoy la firma de ciberseguridad ESET.

Cuando un equipo es infectado, la pantalla muestra un mosaico de fotos de la locomotora azul que protagoniza la serie infantil ‘Thomas y sus amigos’, con un mensaje de texto en el que da los pasos a seguir para recuperar los datos.

Este virus, denominado nRansomware, ha sido identificado como del tipo ‘screen locker‘, ya que bloquea el acceso al dispositivo que se esté usando y no deja acceder al mismo hasta que el usuario decida hacer el ‘pago’.

Los analistas confirmaron, además, que la muestra analizada, detectada por la solución MSIL/LockScreen.WH, no es capaz de cifrar archivos, sino solo de bloquear la pantalla mientras reproduce una y otra vez una melodía.

A pesar de esto, ESET informó que ‘nRansomware’ no parece ser una amenaza muy sofisticada, sino más bien ‘una broma’ o quizá ‘una versión de prueba para un futuro ataque’.

Sin embargo, el mensaje de los ciberdelincuentes en la pantalla principal de este nuevo virus es claro: ‘Envía un e-mail a (dirección). No te responderemos inmediatamente. Cuando respondamos, tienes que mandar al menos 10 fotos de ti desnudo’.

‘Una vez que te hayamos verificado, te daremos tu código de desbloqueo y venderemos tus desnudos en la deep web‘, continúa el texto que acompaña las imágenes del popular dibujo animado.

En estos casos, lo más recomendable es no pagar ninguna recompensa, ‘porque lo que se está haciendo es incrementar el negocio de los cibercriminales’.

EFE

Leer más

Robo de información crece 53% durante 2016

Robo de información crece 53% durante 2016

Durante 2016, el robo de información se incrementó un 53.6%, en comparación con 2015, de acuerdo con un reporte de Wipro.

El informe ‘Estado de la Ciberseguridad 2017’ indica que las compañías se vieron afectadas de forma negativa en las redes sociales al darse a conocer la fuga de información.

El 56% de las fugas de información fueron contraseñas, lo cual indica que los próximos ataques utilizarán este tipo de datos.

La encuesta se centró en 11 países en Norteamérica, Europa, Asia Pacífico, Medio Oeste y el sureste asiático. En ella se evaluaron las prácticas en seguridad y se analizó los ataques a la seguridad detectados por los Centros de Ciber Defensa de Wipro en 2016.

De los paquetes más utilizados, el 33.3% corresponde a Angler, aunque RIG y Nuclear fueron los tipos más comunes por los cibercriminales.

El 56% de los ataques de malware en 2016 fueron del tipo Troyano. Asimismo, los virus y los gusanos fueron usados 19% y 20% respectivamente. Otro tipo de ataques de malware como PUA, adware y ransomware sumaron sólo un 4% pero ocasionaron daños mayores.

El informe también enfatiza la centralización de la gobernanza de datos cuya responsabilidad recae en el CIO, CISO o el CPO en un 71% de las organizaciones. También los accesos con privilegios se consideran como los mejores controles en la seguridad de datos.

Con el incremento del Internet de las Cosas, como las cámaras y automóviles conectados, y la automatización de dispositivos para la salud y la industria, serán una oportunidad para el cibercrimen.

Los dispositivos IoT cuentan con poca memoria y procesamiento, haciéndolos vulnerables a los parches de seguridad. Estos productos con una dirección IP son vulnerables ante todo tipo de hackeo. Las vulnerabilidades pueden desarrollar malware específico para tomar el control de los dispositivos IoT en masa que permite más ciberataques.

Leer más

Brasil, México y Colombia lideran ransomware en AL

Brasil, México y Colombia lideran ransomware en AL

El ransomware en América Latina ha experimentado un alza del 30% entre 2016 y 2017, con 57,512 detecciones en 2016 y 24,110 desde el inicio de 2017 a la fecha, reveló hoy Kaspersky Lab.

Brasil ocupa la primera posición en el número de ataques de este tipo, con 54.91% del total en la región, seguido por México, con 23.40% y Colombia, con 5%.

A nivel global, los países más afectados son Turquía (7.93%), Vietnam (7.52%) e India, con (7.06%).

El mayor número de ataques de secuestro de datos corresponde a la categoría de troyanos, siendo Trojan-Ransom el de crecimiento más acelerado.

El reporte indica que los ataques de ransomware son dirigidos principalmente al sector salud, además de pequeñas y medianas empresas (pymes). La mayoría de estos ataques se realizan a través de acceso remoto, aprovechando contraseñas débiles o servicios configurados de forma incorrecta.

Según especialistas de la firma, ‘este ciberdelito se ha convertido en una epidemia global que ha causado pérdidas millonarias y daños irreparables en distintas industrias y que, por ahora, no parece detenerse’.

Algunos de los ejemplos más recientes son Petya o PetrWrap, HDD Cryptor, y WannaCry, que infectó más de 200,000 equipos alrededor del mundo, 98% de los cuales utilizaban sistemas Windows 7.

En América Latina, la mayor propagación de WannaCry se dio en México y Brasil, seguido por Chile, Ecuador y Colombia.

Leer más

El cibercrimen, un negocio redondo

El cibercrimen, un negocio redondo

La industria del cibercrimen está construida con base en los datos de las empresas. Es bien sabido que existe un submercado que brinda vulnerabilidades: kits de ataques, botnets, APTs, servicios de phishing, ransomware y otras herramientas.

Los cibercriminales generan grandes cantidades de dinero manteniendo esta cadena de suministro.

El robo y la obstrucción de los datos de las compañías resulta la base para esta industria. Si la información no tuviera ninguna importancia para el cibercrimen, ninguno de estos elementos anteriormente mencionados tendría valor y esta industria colapsaría.

Los cibercriminales naturalmente eligen el modo de operación más eficiente. Esto diferencia fundamentalmente la seguridad de la información de otros problemas de TI. La seguridad de la información es el único aspecto de TI donde existe una motivación financiera por parte de actores, los cuales trabajan explícitamente para vulnerar la estructura de TI de las empresas. Sus tácticas cambiarán, pero la importancia de tus datos, no.

 

Un mundo de oportunidades crecientes para el cibercrimen

Cualquier abogado podría decir: ‘El robo es un crimen de oportunidad’. Lo esencial de la transformación digital de las empresas es que están produciendo una gran cantidad de información, nunca antes generados en la historia de la humanidad.

Es parte de la economía del conocimiento y cómo las organizaciones están creando y entregando valor. Toda esta información –almacenada en una serie de ubicaciones y repositorios cada vez más cambiantes– ofrecen múltiples oportunidades para el delito.

Por otro lado, las aplicaciones son fundamentales para la transformación digital. Estas se manifiestan en forma de aplicaciones móviles, portales para clientes, páginas web e incluso APIs, y resultan ahora las formas de interacción de las empresas con sus clientes y consumidores.

Además, para reducir costos empresariales, estas aplicaciones generan directamente gran parte de los datos. Este universo de aplicaciones sirve como puerta directa a los datos de la empresa y expande las posibilidades de crecimiento de la industria del cibercrimen.

En adición a la creciente exposición de las empresas, es un hecho que más personas ahora tienen un acceso legítimo a la información. Llamados ‘trabajadores del conocimiento’, actualmente comprenden más de 100 millones de personas en el mundo.

Las empresas se esfuerzan para que los usuarios accedan directamente a una variedad de aplicaciones y de información disponible. De hecho, es una de las vías que usan las empresas para generar información valiosa. Esto es una paradoja, ya que convierte a los consumidores, junto con todas las fallas intrínsecas de seguridad (por ejemplo, la reutilización de contraseñas débiles) en un factor de ataque.

 

Un enfoque de seguridad centrada en los activos

La seguridad de la información es diferente a otros temas de TI, ya que existe un motivador financiero. Mientras haya dinero de por medio, bien sea a través del robo o la extorsión, habrá criminales perfeccionando sus tácticas, sea cual sea su objetivo final: la información y/o las aplicaciones que la ofrecen.

En la medida que los negocios se vuelven más sofisticados en su entendimiento de las realidades en la gestión de amenazas de la industria del cibercrimen, se centran más en el ‘ataque du jour’ (la táctica más reciente) y hacen mayor énfasis en una mejor visibilidad y protección de sus activos básicos, independientemente de las tácticas que puedan usar los ciberdelincuentes en cualquier momento.

A continuación se exponen los 4 puntos esenciales para garantizar una protección avanzada de las aplicaciones y los datos:

 

Aplicaciones:

1. Proteger las aplicaciones donde sea que estén –en la nube o dispositivo móvil. Las aplicaciones que dejan rastro existirán tanto en la nube como en los dispositivos. Estas necesitan protegerse en ambos casos.

2. Aprovechar la inteligencia de acción contra las amenazas. A medida que la industria del cibercrimen innove y se automatice, se espera que cualquier aplicación pública pueda ser atacada cientos de veces al día. La protección bot / anti-automatización y la inteligencia de amenazas que identifica los intentos de ataques a credenciales contra las aplicaciones también son críticas. Esta inteligencia de amenazas necesita ser entregada de una manera que los puntos reforzados puedan usarse directamente para tomar acción en tiempo real a medida que mitigan las amenazas.

3. Automatizar el bloqueo con precisión. Trabajando sobre el precepto de que todas las aplicaciones serán atacadas cientos de veces o más al día, crear una alerta para una revisión         posterior no es efectivo. Es mucho que procesar, y las alertas se almacenarán. El secreto oscuro en la seguridad de las aplicaciones no son los falsos negativos (no detectar un ataque) sino los falsos positivos (determinar que un tráfico de datos válido es en realidad un ataque). Cualquier solución debería ser suficientemente precisa –minimizando las detecciones falsas tanto negativas como positivas–, así el negocio tendrá la confianza de bloquear el tráfico de la aplicación sin impedir las solicitudes válidas.

 

Datos

4. Conocer la locación de su información, quién tiene acceso a ella y cuándo. Esto supone un esfuerzo continuo, especialmente en relación con los empleados y los directores que rotan en las empresas. Sin este monitoreo, todos los actores involucrados no contarán con todo el panorama. El monitoreo les advierte. Sin embargo, esto no es suficiente debido al gran volumen de datos a los que legítimamente se accede. Para ello se recomienda:

  • Reevaluar frecuentemente si el acceso a datos en todos los niveles es aceptable
  • Generar alertas sobre aquella información que no está protegida
  • Capacitar a los equipos para contener las amenazas y responder inmediatamente a los riesgos de acceso a los datos

 

¿Su información está debidamente protegida? 10 preguntas que debe hacerse

Estas son algunas preguntas que las empresas con fácil acceso a su información deberían hacerse para saber si están correctamente protegidas.

  1. ¿Dónde está localizada la información privada?
  2. ¿Quiénes acceden a la Información?
  3. ¿Esas personas deberían tener acceso a esa información?
  4. ¿Qué usuarios tienen accesos a los datos, pero no los utilizan?
  5. ¿Quién les da acceso a los datos?
  6. ¿Cuál nivel de riesgo es aceptable?
  7. ¿Quién es el responsable si la información se pierde?
  8. ¿Quién es el responsable de monitorear los datos?
  9. ¿Podría determinar qué información se ha perdido en el tiempo?
  10. ¿Los procesos para responder a estas preguntas son escalables, oportunos y rentables?

 

Las organizaciones que pueden responder satisfactoriamente a estas preguntas están en buena forma para manejar el riesgo que plantea la industria del cibercrimen, independientemente de las tácticas o ataques que la industria está utilizando actualmente.

Por Víctor Anda, Country Manager de Imperva México

Leer más

Inteligencia artificial y Machine Learning aplicadas a ciberseguridad

Inteligencia artificial y Machine Learning aplicadas a ciberseguridad

Nuevas tecnologías como la Inteligencia artificial (IA) y el Aprendizaje Automático (Machine Learning) están siendo aprovechadas para mejorar la ciberseguridad de las personas.

Avast, la compañía checa de seguridad cibernética, ha implementado este tipo de tecnologías en las soluciones que ofrece al mercado.

Por ejemplo, al momento de detectar una nueva amenaza, el método tradicional toma el archivo sospechoso y lo compara con las amenazas conocidas de la base de datos. En cambio, la nueva solución de Avast analiza automáticamente cada archivo URL para verificar su reputación y geometría vectorial; los objetos sospechosos o desconocidos se procesan por separado.

De igual manera, en el método tradicional, si no hay empate entre las definiciones instaladas, el archivo sospechoso es enviado al laboratorio de virus. Se tiene una automatización limitada junto con cientos de analistas que crean la definición, y ésta se incluye en la siguiente actualización.

Gracias a la IA y Machine Learning, ahora los motores locales o basados en la nube usan clasificadores de aprendizaje automático para determinar si un archivo o URL es malicioso o no. Los modelos de aprendizaje automático se vuelven a capacitar y se optimizan permanentemente con datos nuevos. Las actualizaciones se transmiten a las máquinas de los clientes cuando están listas.

Esta solución de Avast toma información directamente de su base de más de 400 millones de usuarios, que actúa como una red de sensores sumamente escalable. Los recolectores de datos hechos a la medida recopilan la información necesaria y permiten hacer ajustes rápidamente, según las necesidades actuales del modelo, todo ello en tiempo real y en alta resolución.

 

Las amenazas a móviles van en aumento

En una reunión con Ondrej Vlcek, CTO de Avast, se mostró que las amenazas hacia dispositivos móviles son actualmente menores que las de PC, sin embargo están creciendo rápidamente.

Ondrej-Vlcek-Avast

Ondrej Vlcek, de Avast

Según cifras de Avast, las amenazas a PC crecieron de 47 a 585 millones entre 2010 y 2016; en móviles aumentaron de 0.35 a 17 millones.

La compañía de origen checo ha identificado los cinco principales riesgos en la seguridad cibernética:

  1. Dispositivos IoT esclavizados
  2. Amenazas a móviles
  3. Ransomware
  4. Violación de datos
  5. Pymes

 

Un problema en particular que presentan algunos dispositivos IoT es que durante muchos años han sido fabricados de forma tradicional y, de pronto, están conectados a internet (como refrigeradores, televisores, etc.); desafortunadamente, muchos fabricantes no cuentan aún con el expertise en temas de seguridad, pues por años no lo necesitaron, explica Vice.

 

Panorama de vulnerabilidad en México

En este país, 1 de cada 5 dispositivos inteligentes es vulnerable a ciberataques; también lo son el 13.8% de las cámaras web, así como 1 de cada 5 impresoras, según cifras de Avast.

Además, el 7% de las conexiones WiFi son abiertas y sin contraseña; el 50% de los usuarios de PC no sabe que su router tiene una interfaz y solo el 20% tiene actualizado el firmware.

 

Amenazas móviles

En México, las amenazas móviles crecieron un 60.4% durante 2016, y en lo que va de este año, 1.6 millones de usuarios han sido víctimas en sus dispositivos móviles cada mes, lo que supone un alza de 32.6% respecto a 2016.

Además, el 10% de usuarios móviles en el país encontraron algún tipo de malware en su dispositivo durante el primer trimestre de 2017.

Los niños mexicanos son particularmente vulnerables a las amenazas, pues según el estudio de Avast, el 77% de los padres de familia no aplica ningún tipo de control parental. 3 de cada 10 niños tuvieron acceso a contenidos violentos y 2 de cada 5 visualizaron contenidos para adultos.

 

Ransomware, la mayor amenaza

De acuerdo con Avast, el ransomware representa la amenaza número 1 en ciberseguridad, con un crecimiento interanual del 105%. Durante 2016 fueron detectadas 150 nuevas familias de ransomware y fueron evitados 128,108,948 ataques cibernéticos.

El monto promedio que exigieron los ciberdelincuentes fue de 500 dólares, y gracias a las acciones aplicadas, se logró un ahorro de más de 64,054,474,000 dólares en ransomware.

 

Violación de datos

Los mexicanos muestran una particular preocupación por el estado de sus datos personales en línea pues, según el estudio de Avast, el 69% cree que sus datos no están seguros. Además, la investigación encontró que el 40% ha sido víctima de alguna violación, o bien, ignora haberlo sido.

El 50% de los encuestados tomó medidas después de algún ataque y cambió su contraseña, sin embargo, el 41% no hizo el cambio en otros sitios web a pesar de ser la misma contraseña. Además, el 78% no utiliza caracteres especiales al momento de crear sus passwords y el 80% las almacena en su navegador web.

 

Seguridad y las pymes mexicanas

De acuerdo con datos de Avast, casi un tercio de las pequeñas y medianas empresas en México no tiene planeados proyectos de seguridad. 1 de cada 10 compañías no tiene los recursos suficientes para actualizar software y aplicaciones para prevenir amenazas de seguridad.

En cuanto a la seguridad en las contraseñas, el 83% no toma acciones para cambiarlas o reforzarlas.

Avast es una compañía fundada en 1988 en Praga, República Checa. En 2016 se fusionó con la firma de seguridad AVG. Actualmente cuenta con 1,600 empleados en todo el mundo y protege a más de 400 millones de dispositivos a nivel global.

Avast es la solución número 2 en seguridad para móviles y representa casi el 50% del mercado en México, en donde tiene 13 millones de usuarios.

Leer más

Aumenta el ransomware en Europa; baja en EU, China y Japón

Aumenta el ransomware en Europa; baja en EU, China y Japón

Durante el primer trimestre de 2017, el nivel de ataques de ransomware se posicionó en su punto más bajo en Japón (0.012% en marzo de 2017), China (0.014%), y Estados Unidos (0.02%), mientras que en Europa se ubicó en las tasas más altas contra el resto del mundo, según el Microsoft Security Intelligence Report.

Múltiples países europeos, que incluyen a la República Checa (0.17%), Italia (0.14%), Hungría (0.14%), España (0.14%), Rumania (0.13%), Croacia (0.13%), y Grecia (0.12%) tuvieron tasas de experiencias de ransomware más altas que el promedio mundial en marzo de 2017, de acuerdo con el volumen 22 de dicho reporte.

La investigación también reveló que, conforme las organizaciones migran más y más hacia la nube, la frecuencia y sofisticación de los ataques sobre las cuentas de consumidores y empresas en la nube, aumentan.

Entre el primer trimestre de 2016 y el primero de 2017 se registró un incremento del 300% en cuentas Microsoft basadas en la nube año tras año. El número de ingresos de cuenta intentados a partir de direcciones IP maliciosas se ha incrementado un 44% año tras año en el primer trimestre de 2017.

Los servicios de nube, como Microsoft Azure, son objetivos permanentes para los atacantes que buscan comprometer y utilizar como armas a las máquinas virtuales y otros servicios, y esos ataques toman lugar en todo el mundo.

Más de dos tercios de los ataques entrantes a servicios de Azure en el primer trimestre de 2017 provinieron de direcciones IP en China y Estados Unidos, en un 35.1% y 32.5%, respectivamente. Corea fue tercero, con un 3.1%, seguida por 116 otros países y regiones.

Debido a la utilización de la tremenda amplitud y profundidad de señales e inteligencia de varias soluciones de nube y en sitio, implementadas a nivel global, Microsoft investiga amenazas y vulnerabilidades, y publica este reporte de manera regular para educar a las organizaciones empresariales sobre el estado actual de las amenazas y mejores prácticas y soluciones recomendadas.

El informe completo puede consultarse en este enlace.

Leer más

Hospitales, el nuevo y jugoso objetivo de los cibercriminales

Hospitales, el nuevo y jugoso objetivo de los cibercriminales

Los cibercriminales han comenzado a amenazar la vida de miles de personas en el mundo al ser capaces de acceder a dispositivos médicos vulnerables, como marcapasos, ventiladores o sistemas de monitoreo, en su nuevo y lucrativo blanco de ataque: los hospitales.

Los centros médicos de todo el planeta, incluido el sistema de salud de Reino Unido, considerado el más fuerte del mundo, han visto crecer en el último año el número de ciberataques, que ahora han evolucionado al punto de tomar el control de equipos y aparatos.

‘Robar una base de datos es nada frente a la amenaza de matar a alguien. El gran riesgo es que nadie puede garantizar, ni ellos mismos, qué pasará cuando un criminal manipula de forma remota un dispositivo’, afirmó Dmitry Bestuzhev, director de Investigación para Latinoamérica de Kaspersky Lab.

‘Cualquiera con un mínimo de conocimiento informático puede comprometerlos o alterarlos. La única línea para que pase es tener la intención porque es bastante fácil hacerlo’, alertó.

En junio pasado, en medio del ciberataque global Wannacry, que aprovechó la vulnerabilidad en el sistema operativo Windows XP conocida como EternalBlue, esta nueva amenaza fue perceptible incluso en Latinoamérica, donde la mayoría del equipamiento médico opera bajo el software de Microsoft.

El Hospital de Barretos, ubicado en Sao Paulo y principal centro brasileño contra el cáncer, cayó víctima del virus. Fuentes de la institución confirmaron en ese momento que no solo se vio afectada la base de datos de los pacientes, sino también el funcionamiento de algunos aparatos.

Para Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica, este tipo de instituciones se han convertido en un ‘blanco atractivo por tener equipos obsoletos‘, ya que, al depender de sistemas operativos sin soporte como Windows XP, ‘actualizarlos implica un alto costo‘.

En opinión de Sebastián Brenner, director de Ingeniería para Latinoamérica de Symantec, ‘el problema de los hospitales es que no tienen una planeación estratégica de seguridad en la infraestructura de tecnología’.

‘El número de ataques a instituciones de salud está incrementándose de manera acelerada. La razón principal es el valor de la información que tienen, que es altamente buscada y pagada en los mercados clandestinos’, agregó.

‘Un expediente médico se puede llegar a obtener por 50 dólares en mercado underground, lo cual es 10 a 15 veces el valor de los datos de una tarjeta de crédito’, afirmó Brenner.

El experto señaló que la modalidad más común de ataque a los hospitales es el ransomware o secuestro de datos, en el que el cibercriminal instala un virus, encripta bases como la de historias clínicas y luego pide un rescate.

Este tipo de ataques en Latinoamérica es más común en Brasil, México, Argentina, Chile y Colombia, pero es en Estados Unidos donde se han reportado más casos, como explicó Javier Albarracín Almanza, de la consultora española everis.

Mencionó que a principios de 2016 el hospital californiano Hollywood Presbyterian reconoció haber pagado 40 bitcoins, alrededor de 17,000 dólares, al ser víctima de un ataque de ransomware.

Un hospital en Kentucky tuvo que apagar sus servidores web y poner un cartel de que se encontraban en medio de una crisis, mientras una institución en Washington suspendió el uso de registros electrónicos de pacientes y volvió a utilizar papel al tiempo que solucionaba un problema similar.

Una situación que se ha agravado con la incursión de tendencias como IoMT (Internet de las Cosas Médicas), la misma de conectar todos los sensores médicos a la red, y las nuevas generaciones de equipos de salud, que habilitan amenazas que no están siendo consideradas.

EFE

Leer más

Reporte de Ciberseguridad de medio año. Parte II

Reporte de Ciberseguridad de medio año. Parte II

Uso de multi-productos, dan lugar a un complicado enfoque de seguridad.

Hoy las organizaciones cuentan en su infraestructura con las herramientas tecnológicas que necesitan. El problema es cómo las utilizan. Los ejecutivos entrevistados declaran que su organización cuenta con muchas herramientas de diferentes fabricantes lo que les ofrece un enfoque complicado para su seguridad, cuando este debe ser transparente y holístico.

Un enfoque de seguridad fragmentado y multiproducto dificulta la capacidad de la organización para gestionar las amenazas. También aumenta exponencialmente el número de activadores de seguridad que los equipos de sus departamento deben revisar.

Cuando los equipos de seguridad pueden consolidarse, reducir el número de proveedores utilizados y adoptar un enfoque abierto, integrado y simplificado de la seguridad, las organizaciones reduzcan su exposición a las amenazas y las preparan para hacer frente a los desafíos de seguridad y la protección de datos del mundo del IoT que está surgiendo rápidamente.

Pilares de la seguridad

Se ha dicho de manera constante que los tres pilares fundamentales de la seguridad en las organizaciones son: las personas, los procesos y la tecnología. Adoptar tecnología y diseñar procesos sin tener personal capacitado y especializado en seguridad no son suficientes.

El reporte identifica que el reto para las organizaciones es contar con personas con las competencias y conocimiento necesarios para hacer frene a la seguridad. En el mundo en general y en particular en México, existe una déficit entre las personas especializadas y la demanda de ellas en las organizaciones.

Conclusiones y hallazgos del Reporte de Ciberseguridad de Cisco

  • La detección de ataque ha disminuido a 3.5 horas en promedio.
  • No más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en industrias como salud y transporte, el número es de apenas el 50%.
  • Las empresas están debilitando menos del 50% de los ataques legítimos que detectan.
  • Los procedimientos de ataque tradicionales como el spam, el spyware y el adware están resurgiendo.
  • El ransomware ha evolucionado y el ransomware como servicio ha crecido significativamente.

Los hallazgos mas relevantes por industria:

  • Sector publico. De las amenazas investigadas, el 32% son identificadas como legitimas, pero sólo el 47% de dichas amenazas son finalmente remediadas.
  • Venta al por menor. 32% de los entrevistados dijo que su organización ha perdido ingresos como resultado de un ataque de seguridad en el último año. El promedio de pérdida de clientes u oportunidades de negocio gira alrededor del 25%
  • Servicios. Consideran como críticos las amenazas de ciberseguridad.
Leer más

¿Otro ataque de ransomware? Bienvenido a la nueva normalidad

¿Otro ataque de ransomware? Bienvenido a la nueva normalidad

¿Qué ocurre cuando se combina la estructura y enfoque del crimen organizado con la organización y escala de un estado nación? Se obtienen dos ataques de ransomware a nivel global como ningún otro que el sector haya visto antes. Bienvenidos a la nueva normalidad.

El miércoles pasado se desencadenó, a nivel global, otro ataque del tipo ransomware llamado Petya que, según los informes, impactó en más de 12,000 computadoras, encriptando sus discos duros e inutilizándolos.

Petya utilizó un exploit descubierto por la NSA y fue lanzada por el grupo de hackers Shadow Brokers, quienes encriptaron los datos (en esta ocasión en los discos duros, en vez de hacerlo en los archivos individuales) y exigieron $300 USD en Bitcoins. Denominado ExternalBlue, este exploit es una exposición de Bloques de Mensajes del Servidor (SMB, por sus siglas en inglés) que afecta principalmente a las máquinas de Windows, y provee el tipo de exposición por el cual se esfuerzan los estados nación: una aplicación que está bien arraigada en Internet y que es ampliamente utilizada tanto por las empresas privadas como por los organismos gubernamentales.

A diferencia de WannaCry, que fue difundido y escaneando sistemas de internet vulnerables que ejecutaban SMB en la internet pública, Petya fue distribuido internamente a través de una dependencia de la cadena de suministros, mediante una aplicación de software contable llamada MeDoc. Aparentemente, estos actores maliciosos agregaron el exploit a la distribución de una actualización de MeDoc, que luego se abrió camino para llegar a los clientes, comprometiendo los sistemas internos de la compañía aprovechando el exploit EternalBlue.

Muchas compañías protegieron su visibilidad pública a EternalBlue, aunque aparentemente no pasó lo mismo con su susceptibilidad interna, y esto posibilitó que Petya se esparciera rápidamente a escala global. Petya fue particularmente destructivo por naturaleza, toda vez que encriptó el Registro de Arranque Maestro (Master Boot Record), impidiéndoles a los usuarios ingresar al sistema y tornando inutilizable a la PC en su totalidad.

WannaCry y Petya representan una nueva era de ataques extorsivos, donde los grupos del crimen organizado buscan exploits que les den la mayor cantidad de víctimas en el menor tiempo posible. En lugar de ransomware “dirigido”, que opera esperando que haya un elevado porcentaje de participación de pago de víctimas específicas, ésta es una técnica ransomware más del tipo “spam”. Procura infectar a la mayor cantidad de personas posibles, es decir, que aun con un porcentaje de participación más pequeño, reditúa más que los ataques dirigidos concentrados.

Además, Petya también agregó el elemento de dependencia de la cadena de suministro, compañías que aceptan actualizaciones de los proveedores directamente en las producciones. Si bien éste no es el primer y principal riesgo para las compañías de un ataque al proveedor de la cadena de suministros (Target, etc.), es algo de lo que tomarán nota otros cibercriminales.

Entonces, ¿qué hacer para protegerse? A continuación, algunas recomendaciones:

  • Realice un backup de sus datos críticos.
  • Emparche sus sistemas lo más rápido posible.
  • Segmente sus sistemas de producción y de usuarios para contener la dispersión de las infecciones y de los peligros.
  • Instruya a sus usuarios acerca de los peligros del phishing.
  • Acepte las nuevas actualizaciones de su cadena de suministro primero en un entorno de prueba y monitoree dicho entorno de prueba buscando infecciones.
  • Solicíteles a sus proveedores de seguridad, firmas específicas para los exploits de los Shadow Brokers, para poder determinar cuando alguien está tratando de usarlas en su entorno.
  • No pague ransomware (rescate). Rara vez recuperará sus archivos. Más importante aún, quedará etiquetado como alguien que va a pagar.
  • Contacte a su ISP para que lo ayude a rastrear y a bloquear los ataques contra sus puntos de acceso a internet.

Para más información sobre cómo proteger su negocio de un ataque ransomware, lea el blog de Dale “Ransomware: Una Verdadera Historia de Terror”.

Dale Drew, Chief Security Officer en Level 3

Leer más
Página 1 de 912345...»»