Ciberataque

Ciberataque a la Consejería Jurídica del Ejecutivo Federal en México

2024-12-27T16:07:18-06:00noviembre 25, 2024|Seguridad|

El grupo cibercriminal RansomHub afirma haber atacado el sitio web de la CJEF. Dicho grupo, afirma haber robado 313 gigabytes de información y fijó un plazo de diez días para que el gobierno de México pague el rescate y evitar la publicación de los supuestos archivos robados, que incluirían contratos, finanzas y archivos confidenciales.

Desde el pasado el pasado 15 de noviembre, el grupo también ha publicado más de 50 archivos como muestra del ataque, los archivos parecen provenir de una base de datos de empleados federales que contiene información personal de cada empleado, incluido el nombre completo, puesto de trabajo y foto a color del empleado, el edificio gubernamental en que trabaja, dirección de correo electrónico, número de teléfono y un número de identificación.

También hay documentos gubernamentales firmados de 2023, uno dirigido al director de Tecnologías de la Información y Comunicaciones del gobierno mexicano, Mario Gavina Morales, y un aparente contrato de transporte por un valor de unos 100,000 dólares.

El ciberataque cobra una gran relevancia debido a que la CJEF es la dependencia encargada del área legal de la Presidencia de la República Mexicana, por lo que la información almacenada en los servidores es sumamente delicada.

¿Quién es RansomHub?

Es un actor relativamente nuevo en el panorama de ransomware, al registrar su primera víctima el 26 de febrero de 2024.

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el FBI publicaron un aviso conjunto sobre la banda RansomHub el 30 de agosto ya que ha sido identificado como uno de los grupos de ransomware más activos en lo que va del año.

El aviso de CISA proporciona una lista completa de los IOC (indicators of compromise) conocidos, incluidas direcciones IP, herramientas, URL conocidas, direcciones de correo electrónico y más, se dice que los ciberdelincuentes han atacado al menos a 210 víctimas desde febrero.

Cabe señalar que RansomHub es un grupo que se distingue por liberar rápidamente la información que tiene en su poder, dejando a las víctimas sin margen de negociación. El caso que lo demuestra es el reciente ciberataque al Grupo Aeroportuario Centro Norte (OMA), que minutos después de vencer el plazo para pagar el rescate, se liberaron 2.2 Terabytes de información, incluyendo auditorías, contratos y datos de seguridad de aeropuertos.

Fuente https://cybernews.com/news/mexico-government-official-website-ransomware-attack-ransomhub/

Ataque de ransomware a hospitales en Londres

2024-12-26T23:03:51-06:00junio 11, 2024|Seguridad|

Varios hospitales de Londres se enfrentan a interrupciones después de que una organización asociada fue víctima de un ataque de ransomware.

En concreto, el incidente provocó que hubiera una desconexión entre los hospitales y los servidores de la compañía Synnovis, impidiendo el acceso a datos esenciales. Ha afectado gravemente a dos hospitales del Servicio Nacional de Salud (SNS) responsables de varios de los centros más concurridos de la capital inglesa, entre los que se incluyen el St Thomas, King’s College, Guy’s Hospital, Royal Brompton y el Evelina London Children’s Hospital.

Al día siguiente, los hospitales comenzaron a cancelar operaciones de trasplante y las transfusiones de sangre. Esa misma jornada, Synnovis reconoció el ataque. “Aún es temprano y estamos tratando de entender qué ha sucedido”, trascendió en un comunicado. “Nos tomamos muy en serio la ciberseguridad y hemos invertido mucho para garantizar que nuestros sistemas de TI sean lo más seguros posible. Esto es un duro recordatorio de que este tipo de cosas le puede ocurrir a cualquiera en cualquier momento y que, lamentablemente, las personas detrás del ataque no tienen escrúpulos sobre a quién podría afectar sus acciones”.

Los ataques de ransomware son ahora tan frecuentes en todo el mundo que casi parecen rutinarios, pero los incidentes que afectan a la industria sanitaria aún tienen la capacidad de generar un pavor social adicional. Dada la naturaleza urgente del trabajo médico, los hospitales son el blanco perfecto para la extorsión.

Un hilo conductor cada vez más común en muchos de estos ataques es apuntar a proveedores de servicios externos en lugar de a los hospitales mismos. Se trata de una evolución lógica: a medida que los hospitales están mejor defendidos, los siguientes puntos débiles son las organizaciones que los apoyan.

Una vez que Synnovis haya restablecido los servicios en los hospitales, la próxima preocupación de la empresa será el alcance de los datos que puedan haberse perdido. Al igual que con tantos incidentes de ransomware anteriores, muchos detalles aún están en el aire y es posible que no se confirmen hasta dentro de semanas o meses, o tal vez nunca.

Fuente https://cso.computerworld.es/cibercrimen/un-ataque-de-ransomware-a-un-proveedor-enfrenta-a-los-hospitales-de-londres-a-dias-de-interrupciones

Ransomware, primer trimestre 2024

2024-12-26T22:47:41-06:00abril 19, 2024|Seguridad|

A finales de 2023, México se ubicaba como el segundo país de Latinoamérica, sólo detrás de Perú, con más detecciones únicas en cuanto refiere a ransomware con un total del 16.3% de distribución en Latinoamérica conforme a la telemetría de ESET.

A continuación, las familias de ransomware más activas en México durante el primer trimestre de este 2024:

Ransomware BlackMatter

A pesar de que detuvo sus actividades en noviembre del 2021, recientemente se observan muestras aún activas de este malware cuyas infecciones se debieron principalmente por las siguientes cuestiones:

  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados, debido a que ya no contaban con soporte (EoL), tampoco tenían instalado un producto antimalware y si contaban con alguno, este estaba totalmente desactualizado.
  • El servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con contraseñas débiles susceptibles a ataques de fuerza bruta.
  • Ausencia de soluciones para el monitoreo de servidores críticos.
  • Implementación inadecuada de herramientas y/o políticas que pudieron detener la propagación de este malware.

Ransomware Phobos

De igual manera que con BlackMatter, ha sobrevivido por su modelo de negocio (RaaS – Ransomware-as-a-Service).

Los vectores identificados para su propagación fueron los siguientes:

  • Como sucedió con BlackMatter, el servicio de RDP estaba expuesto a Internet sin ningún firewall configurado y con ausencia de credenciales.
  • Los sistemas operativos Windows afectados eran aquellos que no contaban con parches aplicados debido a que no contaban con soporte (EoL).
  • Ausencia de controles y políticas en el acceso a los servidores o clientes.
  • Ausencia de soluciones de antimalware actualizados.

Entre los sectores mayormente atacados por ransomware se encontraron:

  • Escuelas.
  • Transporte.
  • Petrolero.
  • Consultoras.

Consejos para evitar ser víctima de ransomware

  • Realizar copias de seguridad de todos los sistemas críticos para prevenir la pérdida de información.
  • Mantener los sistemas operativos actualizados,
  • En caso de que el sistema operativo finalice de manera próxima el soporte por parte del fabricante, elegir aquel que permita que las actualizaciones logren cubrir un periodo mayor de 2 años.
  • Tener instalada una herramienta antimalware y que se encuentre actualizada.
  • Deshabilitar o asegurar las conexiones RDP (usando una VPN, 2FA, restringiendo el acceso a los usuarios y las IP que realmente lo necesitan, utilizar un puerto diferente al predeterminado) además de contar con un firewall.
  • Contar con una política de accesos y contraseñas para las contraseñas que expiren (se recomiendan períodos de 60 o 90 días y forzar el cambio periódico de contraseña), tomando en cuenta que la longitud mínima sea al menos de 15 caracteres, con combinaciones de letras, números y signos. Además que el tiempo de bloqueo por alcanzar el umbral de accesos denegados, sea al menos de 15 minutos.
  • Contar con soluciones que permitan el monitoreo de peticiones entrantes y salientes desde cualquier servidor y cliente.

Fuente https://www.welivesecurity.com/es/ransomware/ransomware-mexico-panorama-primer-trimestre-2024/

México recibe casi la mitad del total de ciberataques en Latam

2024-12-26T22:41:31-06:00marzo 28, 2024|Seguridad|

México recibió 94,000 millones de los 200,000 millones de intentos de ataque que la compañía de ciberseguridad Fortinet detectó en Latinoamérica durante 2023. Es decir, los intentos de ataques contra compañías y organizaciones en México representan 47% del total de ataques en la región.

Sin embargo, la cantidad de intentos de ataques dirigidos contra México es mucho menor a la experimentada durante el 2022, cuando se registraron 187,000 millones de intentos de ciberataques, es decir que, para el 2023, hubo una reducción de 47% de los intentos de ciberataques.

De acuerdo con Fortinet, si bien hubo una reducción significativa en el número de intentos de ciberataques detectados por sus herramientas, la naturaleza de los ataques identificados durante 2023 es diferente.

Buena parte de los ciberataques en 2022 eran masivos, pero durante 2023 se observó un mayor volumen de explotaciones de vulnerabilidades únicas; así como nuevas variantes de software malicioso (malware) y de técnicas de secuestro de información (ransomware) mucho más dirigidos.

No obstante, durante el cuarto trimestre del 2023, Fortinet detectó un incremento exponencial de las actividades maliciosas registradas en México, el cual representó un aumento de 950% con respecto al mismo periodo del año anterior. Según la compañía, este crecimiento en el número de intentos de ciberataques se relaciona principalmente a un ‘incremento en las tácticas de reconocimiento que buscan activamente sistemas expuestos que usan el protocolo SIP para llamadas de voz sobre Internet’, asentó la empresa en su Informe de Fortilab Guards 2023.

Ransomware y malware

Elsecuestro de información y el software malicioso se mantienen como las principales amenazas contra la región de América Latina, donde además de México, Brasil y Colombia se encuentran entre los países que más intentos de ciberataques recibieron en 2023.

Aunque las detecciones de ransomware en la región disminuyeron en volumen, Fortinet ha observado que una cantidad cada vez mayor de estos ataques son más específicos y están más dirigidos, con el objetivo de aumentar el retorno de inversión en cada ataque.

También, detectó un incremento en la presencia de amenazas vinculadas con aplicaciones de Microsoft Office, para muchas de las cuales ya existen formas de remediación; sin embargo, estos ataques persisten debido a que las organizaciones no cuentan con procesos de actualización de software.

Prometeo, un código malicioso capaz de controlar de forma remota a las máquinas a las que infecta y que además puede robar credenciales de contraseñas, ejecutar comandos arbitrarios, así como realizar minería de criptomonedas, y la explotación de la vulnerabilidad Double Pulsar se encuentran entre las piezas de software malicioso que más daño han causado a las organizaciones mexicanas.

Fuente https://www.eleconomista.com.mx/tecnologia/Mexico-recibio-la-mitad-de-los-ciberataques-en-America-Latina-en-2023-Fortinet-20240327-0063.html

Ransomware: paralización del negocio

2024-12-26T22:20:50-06:00febrero 20, 2024|Seguridad|

En 2023 una de cada cinco empresas víctimas de algún ataque (20%) recibieron ransomware, cifra ligeramente superior al 19% del año anterior. El porcentaje que pagó por el rescate cayó de un 66% a un 63%. Así se desprende del Informe de Ciberpreparación 2023 de Hiscox.

¿Fue rentable el pago del rescate?

En muchos casos, no. El porcentaje de víctimas que afirman haber recuperado con éxito todos sus datos tras pagar fue tan solo de un 46%, una cifra inferior con respecto al 59% del año anterior. Alrededor de un tercio (32%) dijeron haber recuperado parte de sus datos, pero en una cuarta parte de los casos, los datos fueron filtrados o la clave de recuperación no funcionó. Además, una de cada cinco empresas (20%) volvió a sufrir otro ataque.

Cuando se trata de ciberseguridad, tener mayor madurez permite recuperarnos del ransomware sin pagar o al menos mitigar el ataque desde el inicio.

La principal vía de entrada de los atacantes fue mediante correos electrónicos de phishing (63% de las víctimas). Por tercer año consecutivo, el phishing ha sido la fuente principal de los ataques de ransomware, y el segundo método más común de entrada sigue siendo el robo de credenciales.

Caso real de un ataque ransomware

Comenzó como un día de trabajo normal en Autobedrijf de Pee, un taller de reparación de vehículos alemán. La persona encargada de la recepción no se encontraba en la empresa, por lo que el propietario, Arjan de Pee, se estaba encargando de revisar los correos electrónicos. Vio un e-mail de KPN, la empresa de telefonía móvil, con una factura adjunta y lo abrió con la intención de imprimirla. De pronto, todo se volvió negro. “Todos los sistemas fallaron”, cuenta. “Todo lo que se veía era una pantalla negra con texto blanco, como en la época inicial de DOS.”

Arjan intentó reducir el daño y desconectó el cable de red de inmediato. No surtió efecto, todos los archivos habían sido encriptados de forma permanente. “En cada carpeta había un archivo de texto que decía que todos los documentos estaban bloqueados y que sólo se desbloquearían con un pago en Bitcoin”, explica. Arjan llamó a su compañía de TI. Actuaron de inmediato y pudieron reinstalar los programas, por lo que en tan sólo una hora el negocio estaba funcionando otra vez.

El costo

El daño económico se limitó a tener que pagar por la ayuda de la compañía informática y a la instalación de algunas medidas de ciberseguridad adicionales. Pero el daño emocional fue considerable. “Nuestra empresa existe desde hace 34 años y he perdido todas las fotos del día de la apertura. Nunca las recuperaré”, declara.

Aprendizajes clave

Todo esto ha hecho llegar un mensaje que Arjan considera importante para otros empresarios:
“Es inteligente tomar medidas extraordinarias para proteger tus pertenencias”, incluidas las digitales.

Ahora, Arjan protege los datos de sus clientes con controles de acceso y se asegura de que la información crítica tenga copia de seguridad y esté guardada por  separado. Los cibercriminales todavía pueden atacar, pero al menos existe otra barrera que protege la información personal de los clientes. “Además, ahora les pido a los clientes que sólo proporcionen la información personal necesaria.”

Planifica qué ocurre si fallan todos tus equipos de cómputo. ¿Cómo puedes conseguir que tu negocio vuelva a estar operativo lo más rápido posible? ¿Qué hace falta para ello? ¿Y cómo pueden iniciarse los procesos operativos offline?

Aprende a prevenir un ciberataque y compártelo con todos tus empleados, ofréceles formación en temas cibernéticos. Empieza por cosas pequeñas, como utilizar contraseñas largas y complejas.

Fuente https://www.hiscox.es/informe-de-ciberpreparacion-de-hiscox-2023

Qué es el pharming

2023-12-19T12:03:04-06:00diciembre 19, 2023|Seguridad|

Combinación de las palabras phishing y farming. Es una estafa similar al phishing, en la que se manipula el tráfico de un sitio web y se roba información confidencial.

Cómo funciona el pharming

Aprovecha la manera en que funciona la navegación por Internet, específicamente del momento en el que los servidores DNS convierten la secuencia de letras que componen una dirección de Internet en una dirección IP para que se establezca la conexión.

El pharming ataca este proceso con una de las siguientes formas:

  1. Un atacante puede enviar un código malicioso en un correo electrónico que instale un virus o troyano en la computadora de un usuario. Este código malicioso cambia el archivo de hosts de la computadora para dirigir el tráfico hacia un sitio web falso. En esta forma, el pharming basado en malware, independientemente de que escriba la dirección de Internet correcta, el archivo hosts corrupto le llevará en su lugar al sitio fraudulento.
  2. El atacante puede utilizar una técnica llamada envenenamiento de DNS (Domain Name System): los pharmers pueden modificar la tabla DNS de un servidor, provocando que varios usuarios visiten inadvertidamente sitios web falsos en lugar de legítimos.

Aunque los servidores DNS son más difíciles de atacar porque se encuentran en la red de una organización y detrás de sus defensas, el envenenamiento de DNS puede afectar a un número significativo de víctimas y de esta manera, ofrecer mayores ganancias a los ciberdelincuentes.

El envenenamiento también puede propagarse a otros servidores DNS. Cualquier proveedor de servicios de Internet (ISP) que reciba información de un servidor envenenado puede hacer que la entrada DNS corrupta se almacene en la caché de los servidores del ISP, propagándose a más enrutadores y dispositivos.

Lo que hace que los ataques de pharming sean una forma tan peligrosa de fraude en línea es que requieren una acción mínima por parte de la víctima.

En los casos de envenenamiento del servidor DNS, el usuario afectado puede tener una computadora completamente libre de malware y aun así convertirse en víctima. Tomar precauciones, como ingresar manualmente la dirección de un sitio web o usar siempre marcadores de confianza, no es suficiente porque la dirección errónea se da una vez que el equipo envía una solicitud de conexión.

Cómo protegerse contra el pharming

Elegir un proveedor de servicios de Internet (ISP) de confianza

Un buen proveedor de servicios de Internet filtrará de manera predeterminada los redireccionamientos sospechosos para evitar el acceso a un sitio web de pharming.

Utilizar un servidor DNS confiable

Para la mayoría de nosotros, nuestro servidor DNS será nuestro proveedor de Internet (ISP). Sin embargo, es posible cambiar el DNS de forma manual, pór lo que se deben utilizar servicios de renombre y especializados, y no algún aleatorio que encuentre en Internet.

Utilizar direcciones que empiecen por HTTPS

La “s” significa “seguro” e indica que el sitio tiene un certificado de seguridad válido. Una vez en el sitio, comprueba si aparece el ícono del candado en la barra de direcciones, otro indicador de que el sitio es seguro.

No abrir vínculos o archivos adjuntos de fuentes desconocidas

Aunque no es posible protegerse del envenenamiento de DNS, sí se puede evitar el software malicioso que permite el pharming. Se debe evitar  vínculos o abrir archivos adjuntos en cualquier correo electrónico o mensaje del que no estés seguro.

Habilitar la autenticación de dos factores

Muchas plataformas ofrecen autenticación de dos factores, es una buena idea activarla. Esto hace que las cuentas sean más difíciles de vulnerar: aunque los estafadores hayan obtengan datos de acceso mediante pharming, no podrán acceder a la cuenta.

Utilizar una herramienta antimalware y actualizarla

Siempre será de ayuda protegerse ante el pharming y el phishing mediante una combinación de protección antivirus y el seguimiento de las mejores prácticas de ciberseguridad.

Fuente https://latam.kaspersky.com/resource-center/definitions/pharming

Ataques ciberfísicos

2025-02-06T13:00:31-06:00diciembre 19, 2023|Internet, Seguridad|

Se trata de ataques mediante código malicioso cuyo objetivo es la Tecnología Operacional. Estos ataques a la TO (hardware y software que monitorea o controla equipos, activos y procesos) se han vuelto más comunes y han evolucionado desde la interrupción inmediata de procesos, hasta comprometer la integridad de los entornos industriales con la intención de crear daños físicos.

Si bien estos escenarios generan preocupación, Gartner predice que para 2025 los atacantes podrán comprometer entornos de tecnología operativa que puedan dañar o matar humanos. Se considera que algunos de los principales objetivos de estos ataques serán las redes eléctricas, sistemas de comunicaciones y empresas que ofrecen servicios fundamentales.

El director de la investigación, Wam Voster, indica: “En entornos operativos, los líderes de seguridad y gestión de riesgos deberán preocuparse por el peligro para los humanos y el medio ambiente, antes que del robo de información”.

Según Gartner, los incidentes de seguridad en TO y otros sistemas ciberfísicos (CPS) tienen tres motivaciones principales: daño real, vandalismo comercial (producción reducida) y vandalismo reputacional (hacer que se pierda la confianza en un fabricante).

Se recomienda que las organizaciones adopten un marco de 10 controles de seguridad en sus instalaciones para evitar que incidentes en el mundo digital tengan un efecto adverso en el mundo físico:

1. Definir roles y responsabilidades

Designe un gerente de seguridad de TO para cada instalación, que sea responsable de asignar y documentar tanto funciones como responsabilidades relacionadas con la seguridad para todos los trabajadores, gerentes y terceros.

2. Garantizar una formación y concienciación adecuadas

Todo el personal de TO debe tener las habilidades requeridas para sus roles. Los empleados de cada instalación deben estar capacitados para reconocer los riesgos de seguridad, los vectores de ataque más comunes y qué hacer en caso de un incidente de seguridad.

3. Implementar y probar la respuesta a incidentes

Asegurarse de que cada instalación implemente y mantenga un proceso de gestión de incidentes de seguridad específico de TO que incluya cuatro fases:

  • Preparación.
  • Detección y análisis.
  • Contención, erradicación y recuperación.
  • Actividad posterior al incidente.

4. Copia de seguridad, restauración y recuperación ante desastres

Verificar que se implementen los procedimientos adecuados de copia de seguridad, restauración y recuperación ante desastres. Para hacer frente a incidentes graves, debe ser posible restaurar la copia de seguridad en un nuevo sistema o máquina virtual.

5. Administrar medios portátiles

Contar con una política para garantizar que se escaneen todos los medios de almacenamiento de datos portátiles, como memorias USB y computadoras portátiles, sin importar si pertenece a un empleado interno o a terceros. Solo los medios que se encuentren libres de código o software malicioso se podrán conectar.

6. Tener un inventario de activos actualizado

El gerente de seguridad debe mantener un inventario continuamente actualizado de todos los equipos y software de TO.

7. Establecer una segmentación de red adecuada

Las redes TO deben estar separadas física o lógicamente de cualquier otra red, tanto interna como externamente. Todo el tráfico de red debe pasar por una solución segura como una zona desmilitarizada (DMZ). Las sesiones interactivas para TO deben usar autenticación multifactor.

8. Recopilar registros e implementación de detección en tiempo real

Deben existir políticas o procedimientos apropiados para el registro y la revisión automatizados de eventos de seguridad reales y potenciales. Estos deben incluir tiempos de retención claros para que se conserven los registros de seguridad y protección contra la manipulación o modificación no deseada.

9. Implementar un proceso de configuración seguro

Se deben desarrollar, estandarizar e implementar configuraciones seguras para todos los sistemas aplicables, como terminales, servidores, dispositivos de red y dispositivos de campo. El software de seguridad de punto final, como el antimalware, debe instalarse y habilitarse en todos los componentes del entorno TO que lo admitan.

10. Proceso de parcheo formal

Implemente un proceso para que una vez calificados los parches por los fabricantes, se puedan aplicar en los sistemas con una periodicidad ya especificada.

Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y otras herramientas corporativas.

Consecuencias de los ciberataques

2023-11-22T09:53:50-06:00noviembre 22, 2023|Seguridad|

En el Informe anual global de ciberseguridad elaborado por Fastly se revela que las empresas perdieron casi el 10% de sus ingresos en el último año como resultado directo de los ciberataques sufridos. Sin embargo, los estragos financieros no son los únicos padecidos. Las organizaciones también subrayan las interrupciones de la red (34%), la pérdida de datos (29%), la desconexión de aplicaciones web (24%) y el compromiso de cuentas de clientes (22%) entre los daños más comunes causados por las brechas de seguridad.

Para Sean Leach, vicepresidente de Tecnología de Fastly, aunque “los resultados inmediatos de un ciberataque pueden ser extremadamente dañinos, lo que realmente afecta a las empresas es el tiempo que tardan en recuperarse de ellos. En promedio, a las empresas les lleva 7.5 meses recuperarse de la pérdida de confianza del cliente como resultado de un ciberataque. Una vez que la confianza se rompe, es muy difícil recuperarla. Esto significa que un solo ciberataque, especialmente uno que resulta en una violación de datos de clientes, tendrá impactos a largo plazo en la empresa que lo sufre. En un contexto de incertidumbre económica, las consecuencias financieras a largo plazo de sufrir una brecha de seguridad no pueden ignorarse”.

Ser conscientes de las implicaciones financieras de no tener la infraestructura de seguridad correcta, está llevando a las empresas a reevaluar sus inversiones, con un 76% planeando aumentar sus presupuestos de ciberseguridad en el próximo año. A pesar de este incremento, la incertidumbre continúa reinando en los equipos de seguridad, con un 35% de los profesionales sintiendo que gastaron demasiado en herramientas de ciberseguridad en los últimos 12 meses, en comparación con un 18% que siente que no gastaron lo suficiente.

La escasez de talento especializado en materia de seguridad también está causando problemas. En consecuencia, en el último año el 47% de las empresas ha aumentado sus presupuestos específicos para talento. La falta de experiencia en la gestión de amenazas (46%), la carencia de las competencias necesarias (36%) y la incapacidad para trabajar a gran escala (36%) son los principales problemas a los que se enfrentan los profesionales de la seguridad y que han complicado considerablemente el proceso de contratación.

Fuente https://cso.computerworld.es/tendencias/las-companias-dejan-de-ingresar-casi-un-10-a-causa-de-los-ciberataques

La mayoría de las empresas esperan un ciberataque inminente

2023-10-19T11:40:02-06:00octubre 19, 2023|Seguridad|

El 61% de los encuestados para un análisis IDC elaborado para Commvault cree que es “probable” o “muy probable” que se produzca una pérdida de datos en sus empresas durante los próximos 12 meses debido a que los ataques cada vez son más sofisticados.

En la realización del informe, IDC encuestó a más de 500 líderes de operaciones de TI y seguridad en todo el mundo para obtener una visión actual de cómo las organizaciones perciben las amenazas de seguridad modernas y abordan la resiliencia cibernética.

La investigación revela que en muchos casos, los altos ejecutivos y los responsables de la línea de negocio están mínimamente comprometidos en las iniciativas de preparación cibernética de su empresa: sólo un tercio (33%) de los directores generales o consejeros delegados y menos de una cuarta parte (21%) de otros altos cargos están muy involucrados. La mayoría de los altos directivos (52%) simplemente no participa. A este respecto, IDC destaca la importancia de que los líderes empresariales desempeñen un papel clave para garantizar que las empresas den prioridad a la preparación cibernética.

También se informa que los ataques de exfiltración de datos (cuando un malware o un actor malicioso lleva a cabo una transferencia de datos no autorizada) ocurren casi un 50% más a menudo que los ataques de cifrado, donde los piratas informáticos intentan decodificar datos cifrados. Los encuestados clasificaron el phishing como la amenaza más preocupante a abordar, dado que la mayoría de los ataques de ransomware comienzan con un ataque exitoso a las credenciales de los usuarios.

“Los ciberatacantes nunca descansan y descubren constantemente formas de explotar las vulnerabilidades. Una estrategia de ciberresiliencia verdaderamente eficaz debe ir más allá de la mera copia de seguridad y recuperación. Es crucial que las organizaciones adopten un nuevo enfoque que abarque la prevención, la mitigación y la recuperación”, afirmó Phil Goodwin, vicepresidente de investigación del Grupo de Sistemas, Plataformas y Tecnologías de Infraestructura de IDC.

Fuente https://www.commvault.com/news/commvault-and-idc-explore-cyber-resilience

Ciberataques más frecuentes y sus tácticas

2023-04-04T09:03:23-06:00abril 4, 2023|Seguridad|

Es fundamental que todas las empresas conozcan cuáles son los tipos de ciberataques más habituales y las tácticas en las que se basan. Conocerlos les permite planificar estrategias acordes a cada situación, pero lo más importante es que así pueden optimizar el estado de su seguridad.

Los tres de los tipos de ciberataques más habituales y sus tácticas:

1. Ransomware

Software malicioso que impide a los usuarios acceder a sus archivos, sistemas o redes. Ocupa el primer lugar entre las ciberamenazas más prolíficas en el segundo semestre de 2021. Esto se debe sobre todo a los millones de dólares de rescate que los ciberdelincuentes pueden exigir a las víctimas.

Los mayores rescates que se han pagado hasta hoy:

  • CWT Global (4.5 millones de USD).
  • Colonial Pipeline (4.4 millones de USD).
  • Brenntag (4.4 millones de USD).
  • Travelex (2.3 millones de USD).
  • Universidad de California en San Francisco (1.14 millones de USD).

El FBI recomienda a las víctimas no pagar rescates a los ciberdelincuentes porque no existe ninguna garantía. Tampoco evita que los ciberdelincuentes sigan atacando con ransomware.

2. Phishing

Los mensajes de phishing probablemente sean la técnica más empleada para propagar el ransomware. Se envían todos los días y han afectado a Facebook, Google y otras marcas de renombre mundial.

A simple vista, el típico mensaje de phishing puede parecer inofensivo. Suelen llevar un asunto atractivo para que el destinatario lo abra y haga clic en el archivo adjunto que contiene. De esta forma, el software malicioso infecta el dispositivo de la víctima.

Basta un solo mensaje de correo electrónico de phishing para hacer que toda una organización se tambalee. Si un empleado abre un mensaje de phishing en su dispositivo de empresa y descarga el archivo adjunto malicioso, el ransomware se cargará en el dispositivo. A partir de ahí, se puede infectar cualquier dispositivo y sistema vinculado al de la víctima, y puede bloquear el acceso a todos los usuarios de todos los sistemas de la empresa.

Estas son algunas de las más significativas y conocidas:

FACC (fabricante austriaco de piezas aeroespaciales), uno de sus trabajadores recibió un mensaje de correo electrónico que aparentemente le enviaba el CEO. El remitente le pedía al empleado que transfiriera cerca de 48 millones de USD a la cuenta bancaria que le indicaba en el marco de un nuevo proyecto. El destinatario cumplió la petición, aunque lamentablemente la cuenta pertenecía a un ciberdelincuente.

Crelan Bank, un ciberdelincuente suplantó la cuenta de correo electrónico del CEO del banco belga Crelan Bank. Envió un mensaje a un empleado y le pidió que transfiriera fondos a una cuenta que el atacante controlaba. Resultado: más de 86 millones de USD de pérdidas para Crelan.

Sony Pictures, varios ejecutivos recibieron mensajes de phishing de alguien que supuestamente trabajaba para Apple en los que se les pedía que verificaran su identidad. Cuando los ejecutivos accedieron a la petición, los atacantes pudieron capturar sus credenciales de inicio de sesión y ocasionaron daños por valor de más de 100 millones de USD.

Para detectar el phishing en los mensajes, preste atención a cualquier cosa fuera de lo común. Por ejemplo, es habitual que en ellos se empleen URL acortadas. Además, observará que no se muestra la dirección real de una URL al pasar el ratón por encima.

En muchas organizaciones se emplean filtros web para impedir que a los empleados les lleguen estos correos. En cualquier caso, los mejores ciberdelincuentes saben qué hacer para que sus mensajes de phishing se salten los filtros de spam. Por otra parte, si se enseña a los empleados a identificarlos, es posible detener a los ataques de phishing antes de que logren su objetivo.

3. Malware

Software malicioso que se emplea para causar daños en un sistema o robar datos, sirve a los ciberdelincuentes para obtener un beneficio económico, o bien forma parte de un ataque respaldado por algún Estado. Estos son algunos ejemplos de malware:

  • Adware.
  • Ransomware.
  • Spyware.
  • Gusanos.
  • Toyanos.

Hay numerosos ejemplos de ataques de malware que han golpeado a empresas de todo el mundo:

  • CovidLock.
  • LockerGoga.
  • WannaCry.
  • Petya.
  • CryptoLocker.

Los archivos adjuntos y los enlaces de los mensajes de correo electrónico son dos de los vectores de ataque más comunes. Un ciberdelincuente puede enviar un mensaje a un empleado de una empresa y hacer que parezca que proviene de una fuente legítima. Si el empleado descarga el archivo o da clic en el enlace, el malware se carga en su sistema y puede extenderse a todos los sistemas que estén conectados.

Cómo hacer frente a los ciberataques más frecuentes

No existe una fórmula única para protegerse contra los ciberataques. Sin embargo, hay varias medidas que se pueden adoptar:

  • Prestar atención a los archivos adjuntos y a los enlaces web sospechosos en los mensajes de correo electrónico. No descargue ningún archivo y evite dar clic en algún enlace si el mensaje procede de un remitente desconocido.
  • Hacer copias de seguridad a menudo. Adoptar un método que le permita recuperar datos de forma rápida y sencilla en cualquier momento.
  • Actualizar el software con frecuencia. Instalar los parches y actualizaciones de software en cuanto estén disponibles.
  • Usar autenticación de dos factores. Exija que se utilicen varios métodos de autenticación para poder acceder a los dispositivos, redes y sistemas.
  • Impartir formación en ciberseguridad sobre las nuevas ciberamenazas y cómo protegerse de ellas.

Fuente https://www.acronis.com/es-mx/blog/posts/common-cyberattacks-and-the-tactics-behind-them/

Go to Top