FacebookXLinkedInWhatsAppInstagram

Iniciativa No More Ransom

julio 27, 2016|

Iniciativa No More Ransom

No More Ransom es la iniciativa que ha surgido entre Kaspersky Lab, Intel Security, la Europol y la Policía Nacional Holandesa para luchar en contra del ransomware.

El ransomware es un tipo de malware que bloquea la computadora de la víctima y cifra su información. Para después exigir el pago por el acceso al dispositivo y sus datos.

A raíz de la iniciativa, surge el sitio web www.nomoreransom.org cuyo objetivo es proporcionar recursos a las víctimas del ransomware.

Los usuarios encontrarán información acerca de cómo protegerse contra este malware y algunas herramientas que pueden ayudar a recuperar sus datos.

El mensaje que se resalta en el portal web es no pagar el rescate que exigen los atacantes. El pago les incentiva a continuar con este delito.

Además, no existe garantía alguna de que realmente se obtendrá la clave para descifrar su información.

El proyecto No More Ransom ha sido concebido como una iniciativa no comercial que une a instituciones públicas y privadas bajo un mismo objetivo, combatir el ransomware.

Dicho proyecto se encuentra abierto para recibir la cooperación de más empresas y organismos policiales de otros países y regiones.

Al anunciar la iniciativa, Wil van Gemert, director adjunto de Operaciones de la Europol destacó:

“Desde hace algunos años, el ransomware se ha convertido en una preocupación en la Unión Europea. Es un problema que afecta de igual manera a ciudadanos y empresas. Iniciativas como esta, demuestran que la unión es el camino a seguir para una exitosa lucha contra los ciberdelincuentes”.

Correo electrónico malicioso

julio 24, 2016|

Correo electrónico malicioso

El correo electrónico se mantiene como una de las herramientas más utilizadas en el entorno empresarial. Por tanto, es uno de los medios más explotados por los atacantes para tratar de infectar a los equipos.

Algunas de las técnicas y recursos más habituales de los atacantes en el envío de correo electrónico malicioso:

Ficheros con macros

Al incluir macros en un documento de Office, los atacantes logran ejecutar código malicioso en el equipo de las víctimas.

Esta técnica se utilizó para comprometer equipos de la red de distribución eléctrica en la zona oeste de Ucrania. A través de un documento en Excel remitido por mail a uno de los trabajadores de la compañía.

Aunque las versiones recientes de Office impiden la ejecución de macros, los atacantes mediante ingeniería social logran que los usuarios las habiliten.

Ficheros ejecutables con íconos

Para hacer creer al usuario que el fichero adjunto es legítimo, el atacante crea un archivo ejecutable pero le agrega un ícono de algún otro software de uso común. Por ejemplo, Office o Adobe Acrobat.

Si el usuario tiene activa la opción “Ocultar las extensiones de archivo para tipos de archivos conocidos” no verá la extensión .exe y pensará que se trata de un archivo PDF legítimo.

Este truco es utilizado en el envío de correo electrónico, informa la generación de una nueva factura con un fichero adjunto comprimido. Cuyo contenido será un archivo ejecutable con el ícono de Adobe.

Al utilizar un servicio legítimo como Dropbox, los atacantes logran evadir las soluciones de seguridad que validan las URL de los correos con ciertas listas de reputación.

Uso de RLO

Una de las recomendaciones es observar la extensión del archivo antes de abrir cualquier adjunto recibido por correo. Debido a esto, los atacantes suelen hacer uso de la técnica “Right to Left Override”.

Se llama así en referencia al carácter Unicode RLO, diseñado para soportar lenguajes escritos de derecha a izquierda como el árabe.

Es aprovechado para invertir el orden de visualización de los últimos caracteres en el nombre de un archivo adjunto con su extensión. Por ejemplo, el archivo con el nombre factura_pdf.exe se convertirá en factura_|exe.pdf

Un usuario puede creer que se trata de un archivo legítimo revisando únicamente la extensión pdf. Pero además, si se asigna el ícono de Adobe Acrobat al ejecutable, el engaño será aún más creíble.

Uso de espacios para ocultar la extensión

Al utilizar espacios en blanco justo antes de la verdadera extensión en el nombre de un archivo, es probable que el usuario no perciba los tres puntos que indican que la longitud del nombre de archivo, es mayor a la que se visualiza en el explorador de archivos.

Usurpación del remitente

Los atacantes tratarán de obtener la mayor información posible acerca de sus víctimas. Por ejemplo, la lista de contactos de un empleado o las alianzas que tiene la organización.

En ocasiones parte de la información se encuentra accesible, desde el sitio web de la empresa, las redes sociales, foros, plataformas de colaboración, etc.

Con ello, un atacante intentará usurpar la identidad de un contacto habitual, alguna empresa en colaboración o un proveedor, para enviar un archivo malicioso y conseguir el acceso a uno de los equipos.

Para usurpar la identidad del remitente, pueden hacer uso de dominios muy similares al original. Por ejemplo, para facturacioncliente.com podrían intentar utilizar facturacionclientes.com o facturacion-cliente.com entre muchos otros.

Incluso, podrían simular el aspecto de una factura original para lograr hacer creer al receptor que se trata de un mensaje real.

En algunos casos, los atacantes lograrán suplantar la cuenta y dominio reales del remitente, si éste carece de las medidas de seguridad pertinentes.

Se puede considerar este método como el más efectivo, ya que incrementa las posibilidades de que la víctima abra un correo de alguien que conoce.

Enlaces maliciosos

Es una de las técnicas más utilizadas para conseguir la ejecución de código en un equipo o la obtención de información de la víctima.

Si el objetivo es obtener los datos bancarios de los usuarios, el correo electrónico intentará usurpar la identidad de determinado banco.

El enlace que se incluya en el mensaje podría ser un enlace real del banco pero que en realidad, cuando el usuario haga clic en él, será dirigido a una página maliciosa con aspecto similar o igual a la del banco en cuestión.

La página solicitará las credenciales o datos de usuario bajo alguna justificación para enviarlos a los atacantes.

Cuando el objetivo es infectar el equipo del usuario, es común que se utilice un enlace que apunte a un fichero alojado en algún servidor. Al dar clic, iniciará su descarga.

En algunos casos se hace uso de servicios legítimos como OneDrive o Dropbox para evadir las herramientas de seguridad que verifican los enlaces.

Una de las tecnologías más sofisticadas para infectar a un usuario, sin necesidad de descargar o ejecutar algo, son los Web Exploit Kit. Los cuales permiten identificar vulnerabilidades en el navegador o en sus plugins para ejecutar el código malicioso.

Un usuario recibe un mail en el que mediante ingeniería social, se le anima a dar clic en una URL. Se le dirige a un servidor TDS (Traffic Direction System) para valorar si la víctima es de interés.

Si es así, se le dirigirá a un Server Exploit Kit que analizará la versión del navegador y sus plugins. Si alguno de ellos es vulnerable, el Server lanzará el exploit para ejecutar el código y descargar el malware. Cabe destacar que el proceso se realiza de forma transparente al usuario.

Algunos exploits kits tienen la capacidad de ejecutar el código directamente en memoria, sin tener que escribir directamente al disco. De esta manera evitan las herramientas de seguridad que solo intervienen cuando existe la escritura en disco.

Qué hacer al respecto

Después de analizar las técnicas más utilizadas por los atacantes, es necesario tener en cuenta las siguientes recomendaciones para evitar ser víctima de estos ataques:

Los correos con un patrón fuera de lo común deben despertar la sospecha del usuario. Por ejemplo, al recibir un email de una compañía de confianza que realice una solicitud poco habitual y que adjunta algún archivo o enlace. Se recomienda que antes de abrir cualquier adjunto se contacte con el remitente mediante una vía alterna para corroborar si el mensaje es legítimo.

Comprobación de los archivos, antes de abrir cualquier archivo desde el correo, verifique la extensión y el nombre completo del mismo. Recuerde que los atacantes incluyen íconos de las aplicaciones más utilizadas y ocultan las verdaderas extensiones de los archivos. Los archivos ejecutables no solo tienen la extensión .exe, también pueden ser .com, .cmd, .cpl, .paf, .js, .jse, .msi, .msp, .mst, .vbe, .vbs, .pscl entre muchos otros.

El usuario no debe habilitar el uso de las macros, independientemente de lo que indique el documento recibido. En realidad es poco habitual su uso y en caso de ser legítimo el documento, el bloqueo de las mismas no debe imposibilitar ver el contenido.

No confíe únicamente en el nombre del remitente, se debe comprobar que el dominio del correo es de confianza. Incluso, se pueden obtener los datos de creación y actualización del dominio mediante los servicios en línea como whois. También se puede utilizar www.virustotal.com para analizar las URL mediante ciertos servicios de seguridad.

Otra alternativa es realizar una búsqueda del dominio en cuestión, acompañado por los términos phising o malware, con el objetivo de obtener referencias que puedan identificar el dominio como fraudulento.

Después de verificar el tipo de extensión de un archivo, los usuarios no deben ejecutarlo si ésta es extraña o desconocida. También se recomienda el uso de aplicaciones de lista blanca. El objetivo de estas listas es la protección contra programas maliciosos permitiendo únicamente la ejecución de los explícitamente autorizados.

Actualizar el sistema operativo y las aplicaciones, para reducir significativamente la exposición a ataques mediante los Web Exploit Kit, que tienen la capacidad de comprometer un equipo con solo visitar un enlace y sin necesidad de descargar o ejecutar un fichero, al aprovecharse de ciertas vulnerabilidades.

Seguridad de las comunicaciones vía email

El proceso de enviar un correo electrónico comprende numerosos pasos en los que se involucran diversas tecnologías y servicios. De manera general, se recomienda no utilizar SMTP sin ninguna extensión de seguridad, utilizar IMAP o POP sobre SSL/TLS para la descarga del correo y si el contenido es sensible se recomienda el cifrado de datos.

Además recuerde que:

  • Se debe utilizar contraseñas robustas para el acceso al correo electrónico, así como renovarlas periódicamente. Si es posible, utilice doble autenticación.
  • El usuario no debe dar clic en ningún enlace que solicite datos personales ni bancarios. Los bancos nunca solicitan credenciales o datos personales del cliente a través del correo electrónico.
  • Evitar dar clic directamente en cualquier enlace desde el propio correo. Si el enlace es desconocido, se recomienda buscar información en motores de búsqueda antes de acceder.
  • Cuando se accede al correo electrónico mediante la versión web, se recomienda no almacenar las credenciales en el navegador, ya que pueden ser recuperadas por ciertos tipos de malware. Antes de cerrar el navegador, asegúrese de cerrar la sesión de la cuenta de correo.
  • Al enviar un mensaje a varias personas, no desea que los destinatarios puedan ver el resto de las direcciones, utilice la función con copia oculta (CCO).
  • En caso de recibir un correo sospechoso, se debe informar inmediatamente al responsable de seguridad de la organización.

xDedic, mercado de servidores hackeados

junio 16, 2016|

xDedic, mercado de servidores hackeados

Una investigación conjunta entre Kaspersky Lab y European ISP revela la existencia del foro global xDedic.

Donde los hackers pueden comprar y vender acceso a servidores comprometidos por tan solo seis dólares. El mercado xDedic cuenta con 70,624 Servidores de Protocolo de Escritorio Remoto (RDP) hackeados para la venta.

Los Servidores afectados albergan o proporcionan acceso a sitios web y servicios de consumo. Cuentan con software para correo directo, contabilidad financiera, procesamiento de punto de venta (PoS) entre otros.

Además de ser utilizados para atacar la infraestructura de los propietarios de los servidores, también pueden tomarse como plataformas de lanzamiento para otros ataques.

xDedic funciona de manera simple pero exhaustiva. Los atacantes irrumpen en los servidores, a menudo a través de ataques de fuerza bruta, y traen las credenciales a xDedic.

Los Servidores comprometidos se revisan para su configuración RDP: memoria, software, historial de navegación y más. 

Después se añaden a un inventario en línea que incluye el acceso a Servidores de redes gubernamentales, corporaciones, universidades, servidores etiquetados para acceso a sitios web o de alojamiento de sitios web y servicios como juegos, apuestas, citas, compras en línea, banca en línea, redes de telefonía móvil, proveedores de Internet y navegadores.

Una vez concluida la campaña, los atacantes pueden poner nuevamente a la venta el acceso al servidor y comenzar nuevamente el proceso.

México entre los principales países atacados con malware

mayo 30, 2016|

México entre los principales países atacados con malware

México es un blanco potencial para ser atacado por malware debido a la cantidad de dispositivos que no cuentan con una protección adecuada y al tamaño de su población.

Las cifras de los ataques cibernéticos registrados por Fortiguard Labs destacan la importancia y el crecimiento de este problema.

Cada minuto:

  • Se interceptan 21,000 correos spam.
  • Las redes resisten 470,000 ataques.
  • Se neutralizan 95,000 programas maliciosos.
  • Se bloquean 160,000 sitios maliciosos.

Entre el primer trimestre de 2015 y el primero de este año, los ataques a dispositivos móviles se incrementaron 661% tan sólo en México.

“Estos ataques son muy difíciles de detectar, ya que utilizan programas maliciosos que no dejan rastro y desaparecen cuando han robado o destruido la información”.

La actualización en el mundo digital es sumamente vertiginosa, todo cambia cada día e incluso minuto a minuto.

Lo mismo ocurre con los ataques del cibercrimen. Ante ese panorama, Derek Manky, comparte cinco predicciones donde los cibrecriminales enfocaran sus esfuerzos:

  • Aumento de ataques maquina a máquina. Cada vez hay más dispositivos  conectados y por eso los cibercriminales, al atacar a un solo dispositivo, pueden conectarse a muchos otros. Las terminales o las cajas de pago en puntos de venta se encuentran entre los principales objetivos de ataque.
  • Ataques de “gusanos sin cabeza”. El día de hoy existen 15 millones de amenazas a dispositivos móviles, pero se espera que los gusanos sin cabeza –programas maliciosos– ataquen cada vez más a dispositivos  –como smartwatches o dispositivos médicos–, elevando esa cifra a 50 o 60 millones.
  • Jailbreak de Nube. Al incrementarse la adopción de la Nube y la virtualización, es necesario proteger de forma adecuada el hypervisor (plataforma que permite aplicar diversas técnicas de control de virtualización para utilizar, al mismo tiempo, diferentes sistemas operativos), ya que cuando los ciberdelincuentes irrumpen en él, pueden tomar todos los sistemas operativos de la red.
  • Ghostware. Cada vez se ven más  programas maliciosos fantasma que infectan una red de computadores, roban información o la destruyen, y después limpian sus huellas, al eliminarse y desaparecer sin dejar rastro.
  • Programas maliciosos de “dos caras”. Virus que se instalan en los dispositivos como aplicaciones amigables, estudian el entorno para saber en qué momento atacar.

Proteger nuestras redes ante los ciberataques

mayo 29, 2016|

Proteger nuestras redes ante los ciberataques

El experto en ciberseguridad, John Lyon, alerta de la importancia de defender los sistemas o después, será demasiado tarde.

El diario El País ha publicado una entrevista realizada a John Lyons, fundador de la Alianza Internacional de Ciberseguridad. Lyons calcula que una empresa debería destinar el 15% de su gasto en tecnología, para proteger redes y sistemas ante ciberataques.

No se está cumpliendo, por lo que declara:

“El panorama es para asustarse, en menos de cuatro años, el Internet de las cosas habrá estallado y se tendrán alrededor de 200,000 millones de dispositivos conectados a la Red. Es como si cada grano de arena tuviera su propia dirección IP. Y todo, absolutamente todo, podrá ser víctima de un ataque”.

El principal problema en ciberseguridad al que se enfrentan los gobiernos es que no tienen expertos para defender sus redes.

En el pasado, los países contaban con grandes fuerzas militares para defender sus territorios. Ahora, no hay límites porque la guerra se ha trasladado al ciberespacio.

La ciberseguridad se debe convertir en una prioridad nacional para los gobiernos.

Un país tiene muchas cosas que defender y es muy difícil tener todos los frentes cubiertos. En cambio, los adversarios, los que amenazan, son mejores atacando que nosotros defendiéndonos.

También, son más rápidos desarrollando nuevas tecnologías y técnicas. Estamos dirigiéndonos a una sociedad cada vez más interconectada pero también más vulnerable. Y el incremento del número de dispositivos conectados atraerá amenazas cada vez peores.

En este momento no se está prestando suficiente atención a la ciberseguridad.

Los gobiernos deben dar el primer paso. Es normal que la ciberseguridad no resulte algo muy atractivo para los políticos y en consecuencia, no destinen fondos para protegernos. Y aunque la educación, la sanidad o la lucha contra la violencia sean temas muy importantes, se volverán innecesarios e inmateriales si no invertimos ahora en ciberdefensa.

En los próximos años estaremos perdiendo tanto dinero con los ataques a nuestros sistemas que se perderá la habilidad para defendernos.

Por ejemplo, cada vez estamos más involucrados con nuestra salud y llevamos más dispositivos para controlar nuestro estado. Los médicos desean conocer de forma directa e inmediata cómo van sus pacientes.

En un tiempo, quizás en cinco años, podremos registrar todo sobre nuestra condición médica y transmitirla. Si eres diabético podrás saber si necesitas tomar menos o más azúcar en cada momento.

Esta interacción puede conllevar muchos beneficios por una parte, pero también tiene sus propias amenazas. ¿Qué va a pasar cuando todos esos dispositivos estén conectados a Internet?

Protegerse del ransomware

mayo 20, 2016|

Protegerse del ransomware

Diversas publicaciones han informado de una serie de empresas afectadas por ransomware.

Con un poco de información, se puede reducir significativamente el riesgo y el impacto sobre las organizaciones.

¿Qué es el ransomware?

Es un tipo de malware que infecta dispositivos, redes y centros de datos. Impidiéndoles ser utilizados, hasta que el usuario u organización paga un rescate.

El ransomware ha existido al menos desde 1989. Cuando el troyano “PC Cyborg” cifraba los archivos del disco duro y exigía el pago de USD $189 para desbloquearlos.

El impacto de este tipo de malware es difícil de calcular. Sin embargo, un informe sobre la campaña del ransomware Cryptowall v3, publicado en octubre de 2015 por Cyber Threat Alliance, estima que su costo fue de aproximadamente 325 millones de dólares.

Existen todo tipo de exigencias para obtener el pago y poder desbloquear o liberar el sistema, archivos o datos.

El 31 de marzo de 2016, el U.S. Cyber Emergency Response Team y el Canadian Cyber Incident Response Centre advirtieron sobre el tema, después de varios ataques de alto perfil en hospitales.

Según esta alerta, los usuarios atacados reciben un mensaje como los siguientes:

  • “La computadora ha sido infectado con un virus. Haga clic aquí para resolver el problema”.
  • “La computadora se ha utilizado para visitar sitios web con contenido ilegal. Para desbloquear el equipo, deberá pagar una multa de $100”.
  • “Todos los archivos de su equipo han sido cifrados y deberá pagar este rescate dentro de las siguientes 72 horas para recuperar el acceso a sus datos”.

10 puntos para la protección contra los efectos de ransomware

  1. Desarrollar un plan de respaldo y recuperación. Realizar regularmente copias de seguridad y mantenerlas en un dispositivo sin conexión.
  2. Utilizar herramientas profesionales de correo electrónico y seguridad web que analicen los archivos adjuntos en busca de malware. Deben incluir la funcionalidad de sandbox, para que los archivos nuevos o no reconocidos sean ejecutados en un ambiente seguro.
  3. Mantener sistemas operativos, dispositivos y software actualizado.
  4. Asegurar que el antivirus y herramientas antimalware se están ejecutando con las últimas actualizaciones.
  5. Hacer uso de listas blancas de aplicaciones. Impedirá la descarga y ejecución de aplicaciones no autorizadas.
  6. Segmentar la red, de esta forma una infección no se propagará fácilmente.
  7. Establecer y cumplir la asignación de privilegios para que el menor número de usuarios puedan afectar las aplicaciones críticas de negocio, datos o servicios.
  8. Establecer y hacer cumplir una política de seguridad BYOD para inspeccionar dispositivos.
  9. Implementar herramientas de análisis forense. Permitirán identificar de dónde provino, el tiempo que ha permanecido, si ha sido retirado de todos los dispositivos y asegurarse de que no volverá.
  10. No depender de los empleados para mantener la seguridad. Aunque es importante su capacitación, los seres humanos son el eslabón más vulnerable de la cadena de seguridad.

Recomendaciones adicionales

  • Si al recibir un ataque, se cuenta con la copia de seguridad, se podrá continuar con la operación de la organización de forma normal.
  • Considerar a la seguridad como parte integral del negocio.
  • Asegúrese que está colaborando con expertos que entienden la seguridad como más que un dispositivo.
  • Contar con tecnologías altamente integradas y de colaboración, combinadas con una política eficaz y un enfoque de ciclo de vida de preparar, proteger, detectar, responder y aprender.
  • Las soluciones de seguridad necesitan compartir la información con el fin de detectar y responder eficazmente a las amenazas. Siendo capaces de adaptarse dinámicamente a medida que las nuevas amenazas se descubren.

Ransomware en Backblaze

mayo 19, 2016|

Ransomware en Backblaze

Hace unos días, la empresa norteamericana Backblaze publicó su reciente experiencia de ransomware.

La publicación detalla que una de sus empleadas del departamento de contabilidad, abrió un archivo adjunto en un correo electrónico, desencadenó una infección por ransomware en su sistema.

Un momento después, notó algo extraño, la imagen de fondo en el escritorio había desaparecido, sustituyéndola una imagen genérica de un campo de flores.

Al no comprenderlo, “Elli” llamó al departamento de TI.

Después de revisar el equipo, el encargado preguntó acerca de las acciones más recientes en el equipo. Ella le indica el correo electrónico abierto en la esquina de la pantalla. El encargado preguntó acerca del archivo adjunto, cuando ella le confirma que lo abrió, le informa que el equipo ha sido atacado por un ransomware.

Desconecta el equipo de la red inalámbrica, también desconecta el cable de red, apaga el equipo y desconecta el disco duro.

Posteriormente la unidad infectada fue puesta en una sandbox. Como medida de seguridad para evitar que otros equipos en la red fueran infectados.

Cuando el ransomware procesa los archivos del equipo, incluye algunos archivos “de ayuda”. En los que se dan las indicaciones para que el usuario pueda recuperar sus archivos mediante el pago del rescate.

No fue necesario pagar el rescate, debido a que los archivos se recuperaron de una copia de seguridad.

Sin embargo, es importante mencionar que las diferentes versiones de ransomware pueden complicar el proceso de recuperación de datos.

Algunos ataques retrasan su inicio, esperando un periodo de tiempo hasta una fecha específica antes de iniciar el proceso de cifrado. En ese caso, la copia de seguridad tendría que ser capaz de retroceder hasta una fecha previa a la infección para hacer la recuperación de archivos.

Algunos ataques intentarán cifrar otras unidades a las que se tenga acceso. Por ejemplo la unidad de copia de seguridad local. Por esta razón, es importante una copia de seguridad interna y una externa.

Ingeniería Social

Se puede definir como la “manipulación psicológica para la realización de acciones o divulgación de información confidencial”.

En este caso se identificaron varios trucos:

  • El correo electrónico tenía en el destinatario el nombre completo de la empleada.
  • Era normal en su oficina, recibir mensajes de correo electrónico con archivos adjuntos desde el sistema de correo de voz.
  • Era normal en su oficina, recibir mensajes desde QuickBooks (software de contabilidad).

Es difícil saber si ella fue solo una de las millones de personas atacadas por ransomware o, como es más probable, “Elli” fue víctima de un ataque dirigido.

Los ataques dirigidos, también conocidos como spear phishing, requieren que el atacante obtenga información detallada sobre el blanco para que el correo electrónico parezca lo más auténtico posible.

Encontrar la información necesaria para crear un correo electrónico creíble es tan fácil como ingresar al sitio web de la empresa y hacer un poco de investigación en sitios sociales como Facebook, LinkedIn, Google +, entre otros.

Sería fácil culpar a “Elli” por permitir que el sistema se infectara, pero hubo varios errores:

  • Ella estaba usando un navegador para acceder a su correo electrónico en la Nube, pero el sistema de correo no bloqueó el mensaje que contenía el malware.
  • Ni el navegador, ni el sistema de correo le advirtieron que el archivo ZIP adjunto contenía un archivo ejecutable.
  • Por último, tampoco el antivirus detectó algo al descargar y descomprimir el archivo de malware.

El número de ataques ransomware se incrementa de manera constante.

También, el uso de la ingeniería social por parte de los atacantes es cada vez más frecuente. Con lo cual la posibilidad de convertirse en víctima de un ataque será mayor.

Además de las medidas de seguridad preventivas, es necesario tomar acciones para identificar y responder cuanto antes a un ataque para evitar sus terribles consecuencias.

Ciberataques y la reputación de las empresas

mayo 18, 2016|

Ciberataques y la reputación de las empresas

Los ejecutivos de alto nivel se preocupan del mayor peligro de los ataques cibernéticos: el daño a la reputación de la empresa y con ello la pérdida de confianza de los clientes.

Esto de acuerdo con un estudio realizado en enero y febrero de 2016 por The Economist Intelligence Unit (EIU), patrocinado por VMware.

Los 282 encuestados pertenecen a grandes empresas (con ingresos entre 500 y 10,000 millones de dólares) ubicadas en 16 países.

Los incidentes de seguridad aumentaron un 38% el año pasado de acuerdo con la empresa de consultoría PwC.

Estos ataques son cada vez más sofisticados y exitosos. También el número y la variedad de amenazas se incrementan.

Debido a que la marca de la empresa es el activo más valioso, cuando se ve comprometida es algo difícil de solucionar.

Leslie Gaines-Ross, jefa de estrategias de reputación en Weber Shandwick menciona que:

“Puede tomar décadas construir su reputación, pero de pronto tiene lugar un ataque y la reputación desaparece”.

Debido a que “el cliente considera que se trata de una empresa sin control, hay un efecto de halo negativo más allá del incidente. Incluso, llegando a cuestionar la calidad de sus productos”.

El ataque en sí es solo el principio. Las empresas que en los últimos cinco años fueron víctimas de los diez principales ataques cibernéticos, se han visto involucradas en litigios con los accionistas o clientes.

Más allá de los daños reconocidos, estos eventos altamente publicitados se mantienen en las noticias y en la conciencia pública.

La alta dirección no solo se preocupa por las consecuencias del ataque, sino también acerca de la probabilidad de que ocurra.

Más de un cuarto de los ejecutivos y el 38% del equipo de TI, creen que habrá un ataque severo y exitoso en su empresa dentro de los próximos tres años.

Más del 60% de los ejecutivos cree que la incidencia de ataques a datos relacionados con el cliente aumentará durante el próximo año.

Hay un mercado activo para la información de las tarjetas de crédito y débito, números de seguridad social, información de salud, entre otros datos. Lo cual, incentiva su robo.

Las empresas deben contar con un plan para cuando un ataque suceda. Ya que en medio de la crisis no se encontrarán las respuestas necesarias.

Estas son algunas de las principales recomendaciones:

  • Tener una defensa basada en arquitectura flexible. Permitiendo notificar que el incidente ha tenido lugar para identificar, mitigar y contener el ataque. Si se puede detectar y tratar a tiempo, se puede reducir la gravedad.
  • Contar con un plan de gestión de crisis que involucre a las partes interesadas. De tal manera que trabajen juntos para proteger la marca.
  • Revelar los detalles del incidente a sus clientes. De acuerdo a Gaines-Ross “Tendrá más de una crisis al no ser transparente. No estar abierto en las primeras 24 horas, será peor debido a que incrementa la desconfianza”. Después de dar a conocer el último bit de información, se trabajará en la reconstrucción de la marca.
  • No se limite a hablar sobre el problema, también se debe hablar de la solución. Es necesario dejar en claro lo que pasó, pero también tomar el control del diálogo explicando lo que está haciendo para solucionar el problema. “Sus clientes tienen que saber que esto no volverá a ocurrir”, dice Gaines-Ross.
  • Llevar a cabo un análisis forense del incidente y su respuesta. Un equipo diverso de las partes interesadas: TI, el departamento legal, prensa y demás, debe llevar a cabo un análisis posterior sobre los orígenes de la infracción y su gestión por parte de la empresa, de modo que lo que pasó no vuelva a ocurrir.

Las empresas necesitan construir arquitecturas de seguridad que sean flexibles y modulares para proporcionar niveles altos de protección contra cualquier ataque.

Por ello, le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar específicamente a su empresa.

CTB-Locker en servidores web

mayo 18, 2016|

CTB-Locker en Servidores web

TeslaCrypt, CryptoWall, TorrentLocker, Locky y CTB-Locker son solo algunos de los programas maliciosos a los que se han enfrentado los usuarios en los dos últimos años.

En fechas recientes se ha detectado una nueva variante de CTB-Locker. Antes, este ransomware se diferenciaba por el uso que hacía de la red Tor Project para protegerse y de únicamente recibir bitcoins, la conocida cripto-moneda descentralizada y anónima.

Ahora, la nueva variante ataca a Servidores web y exige un rescate de medio bitcoin (aprox. 150 USD). Si el pago no se envía en el plazo exigido, el rescate se duplica a 300 USD. Una vez hecho el pago, se genera una llave de decodificación para los archivos.

Una falla de seguridad en el Servidor web permite la infección de los archivos. En este caso, se sustituye la página php/html principal, y se usa como vehículo del mensaje.

Es importante mencionar que no se elimina el código original. Se almacena con un nombre diferente y de manera codificada.

La llave de decodificación se guarda en un Servidor remoto, pero se le permite a la víctima decodificar dos archivos de forma gratuita, como muestra de su autenticidad.

Otra función que existe en el sitio web atacado le permite a la víctima comunicarse con el atacante mediante chat. Se requiere una firma/código personal sólo disponible para las víctimas.

Aún no se sabe cómo CTB-Locker se instala en los Servidores web. Pero hay un elemento común entre los servidores atacados: utilizan la plataforma de WordPress como herramienta de gestión de contenidos.

WordPress contiene muchas vulnerabilidades en sus versiones no actualizadas. También los plugins de terceros para WordPress hacen que el Servidor sea más vulnerable a los ataques.

Por el momento, la única forma de eliminar esta amenaza es mantener copias de seguridad de los archivos en otra parte.

Incluso, algunos sitios web suelen tener múltiples versiones de sus contenidos, propagados en varios Servidores web. En muchos otros casos, son supervisados y probados por profesionales en pruebas de seguridad anti-penetración.

Colaboración para combatir amenazas, IBM

mayo 18, 2016|

Colaboración para combatir amenazas, IBM

IBM recientemente dio a conocer el estudio Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite. En el que participaron más de 700 altos directivos de 28 países y pertenecientes a 18 sectores de la industria.

De acuerdo con dicho estudio, en las empresas hay confusión respecto a quiénes son los verdaderos adversarios en la ciberdelincuencia.

El 70% de los directivos cree que la principal amenaza procede de posibles empleados corruptos. Sin embargo, el 80% de los ciberataques procede de organizaciones del crimen organizado de acuerdo con un informe de Naciones Unidas.

Más del 50% de los CEO entrevistados coinciden en que para combatir la ciberdelincuencia es necesario colaborar.

A pesar de ello, únicamente un tercio ha expresado su voluntad para compartir externamente información relativa a los incidentes sobre ciberseguridad de su organización.

Mientras tanto los ciberatacantes siguen perfeccionando su capacidad para compartir información en tiempo real a través de la Dark Web.

Para el 94% de los entrevistados, es realmente alta la posibilidad de que en su empresa ocurra algún incidente de ciberseguridad en los próximos dos años. Pero sólo el 17% se siente preparado y capaz de responder a estas amenazas.

El mundo de la ciberdelincuencia está evolucionando rápidamente pero gran parte de los altos directivos no han actualizado sus conocimientos sobre las amenazas existentes”, afirma Caleb Barlow, vicepresidente de IBM Security. “Se debería involucrar de forma más proactiva a los directores de marketing, recursos humanos y finanzas, algunos de los departamentos con la información más importante de una empresa, en la toma de decisiones de los directores de seguridad”.

Las cuestiones de seguridad cibernética ya no se limitan al departamento de TI. Actualmente se ven atacadas cada una de las áreas de la organización y plantean una amenaza importante para la continuidad del negocio y su reputación.

Los problemas se extienden mucho más allá del entorno técnico y abarcan todo el negocio. Por lo que las soluciones de seguridad deben incluir cambios en los procesos de control, gestión y comportamiento del empleado.

IBM Security recomienda algunas acciones a realizar internamente en las organizaciones:

  • Comprender el riesgo, para ello es necesario realizar evaluaciones de riesgos de seguridad. Además, llevar a cabo la correspondiente capacitación y formación de los empleados para poder incorporar la seguridad en el plan de riesgos de la empresa.
  • Colaborar, es necesario establecer un programa de seguridad y revisarlo de manera regular con la colaboración de la alta dirección.
  • Manejo de riesgo, implementar la continua vigilancia, compartir y utilizar la información sobre amenazas. Comprender dónde residen los activos digitales de la organización y en consecuencia, desarrollar planes de mitigación y de respuesta a incidentes de ciberseguridad.

Si desea consultar el estudio completo realizado por IBM, puede consultar el siguiente enlace http://www-03.ibm.com/security/ciso/

Aceptamos

visa
mastercard
paypal
transferencia
Oficina

37 Poniente 2701, Segundo Piso
Col. Benito Juárez C.P. 72410
Puebla, Pue. México

email

info@adaptixnetworks.com

Teléfono

+52 222 555 2355

adaptix-w
Servicios
Información

© Copyright 2026 | Adaptix Networks, S.A. de C.V.

Go to Top