5 Tips para prevenir amenazas asociadas al WiFi

El uso constante que hacemos de las aplicaciones móviles y de los puntos de acceso inalámbrico públicos, es lo que los vuelve inseguros.

Al utilizar una red inalámbrica pública, nunca se sabe si se está poniendo en riesgo o no. Al conectar su dispositivo a una red comprometida puede ocurrir robo de información, comprometerse con ransomware o ser utilizado como una plataforma de retransmisión de un ataque informático.

TIP 1 – VERIFIQUE LA AUTENTICIDAD DE LA RED WIFI: Un atacante puede publicar un hotspot inalámbrico de nombre muy similar al verdadero, para robar sus datos personales. Siempre valide con los dependientes del restaurant, tienda u hotel, cuál son los datos correctos de su conexión WiFi.

TIP 2 – USE UNA VPN: No navegue a través de una red inalámbrica pública, sin utilizar una VPN que le brinde privacidad a las conexiones que realice. Así evita dar información sensible que pueda comprometer su red y aumenta la seguridad de su navegación con su protección corporativa.

TIP 3 – NO TENGA EL BLUETOOTH ENCENDIDO: La recomendación es sólo encender el bluetooth para aparearse a un dispositivo, luego desactivarlo al culminar el apareamiento. La seguridad de las conexiones bluetooth por defecto es débil, por lo que incluso se recomienda NUNCA habilitarlo mientras está conectado a un WiFi. La idea es evitar que un Hacker desee explotar su teléfono para tener acceso a su red corporativa o a su información sensible mientras navega.

TIP 4 – DESHABILITAR LA OPCIÓN DE COMPARTIR LA UBICACIÓN: La opción de geolocalización de los dispositivos móviles es muy útil para los servicios de taxi o de entregas a domicilio. Sin embargo, mantenerlo activo, mientras se conecta a un WiFi público, aún cuando pueda usar una VPN para asegurar su conexión inalámbrica, puede decirle a un atacante la información real donde usted se encuentra, generándole un riesgo a su propia seguridad personal y suministrando información que puede ser utilizada para atacar a su red corporativa.

TIP 5 – DESACTIVE LA OPCIÓN DE UNIRSE AUTOMÁTICAMENTE A REDES WIFI DISPONIBLES: Todos los puntos de acceso inalámbrico públicos son atractivos para los atacantes. Puede ser comprometidos para atacar de forma indirecta a los dispositivos móviles. Evitar la conexión automática WIFI a redes disponibles, reduce la exposición a estos ataques sin que usted se percate lo que está ocurriendo.

En el año 2020, la tendencia ha sido el tele-trabajo, lo cual tiene relación directa con las redes WiFi. Es por esto que los ciberatacantes han estado desarrollando ataques que están vinculados al uso de redes inalámbricas. Como ejemplo, ha aparecido el ransomware CryCriptor y troyanos para control remoto de dispositivos cómo DingWe.AD.

Hoy más que nunca hay que tomar todas las precauciones al conectarse a las redes públicas inalámbricas .

Estadísticas del Ransomware: 2do Trimestre del 2020.

Según el BLOG de #EMSISOFT, quienes han analizado muestras de ransomware recibidas a través de ID Ransomware y el propio website de Emsisoft, entre el 01 de Abril y el 30 de Junio de 2020, las cepas de ransomware más reportadas fueron las siguientes:

  1. STOP (Djvu): 71,70%
  2. Phobos: 8.90%
  3. Dharma (.cezar): 6.90%
  4. REvil / Sodinokibi: 3.20%
  5. Globeimposter 2.0: 2.00%
  6. Makop: 1.80%
  7. Paymen45: 1.60%
  8. LockBit: 1.40%
  9. GoGoogle: 1.30%
  10. Magniber: 1.10%
Cepas de Ransomware más reportadas en Q2 / 2020

STOP/Djvu, fue la familia ransomware más reportada durante el primer trimestre de 2020: 70,2% y ha continuado su legado en este segundo trimestre: 71,7%. Esta prolífica cepa, normalmente se propaga a través del uso de software que ha sido crackeado, generadores de claves (keygen) y activadores.

En segundo y tercer lugar se muestran Phobos y Dharma, que utilizan como vector de ataque el protocolo de Escritorio Remoto (RDP). Resulta evidente que muchas organizaciones no implementaron de forma segura el RDP en su prisa por desplegar el Teletrabajo dejando estas conexiones vulnerables a los compromisos.

Países desde donde se han recibido más cepas de Ransomware:

  1. India: 28,40%
  2. Estados Unidos: 16,10%
  3. Egipto: 11,50%
  4. Indonesia: 10,60%
  5. Pakistán: 8,40%
  6. Brasil: 8,40%
  7. Corea del Sur: 5,50%
  8. Turquía: 4,00%
  9. Filipinas: 3,60%
  10. Argelia: 3,60%
Países desde donde se han recibido más muestras de Ransomware. Q2 / 2020.

Puede ampliar información acerca del reporte en: https://blog.emsisoft.com/en/36769/ransomware-statistics-for-2020-q2-report/#

Fraudes para robo de Información: PHISHING, VISHING, SMISHING.

En días recientes, estuve escuchando en un evento de seguridad, un panel de expertos del sector bancario y energético, que hablaban acerca de como se habían incrementado los ataques hacia estos sectores durante esta pandemia de COVID-19.

Uno de los panelistas del sector bancario, hizo referencia a que ellos habían recibido un incremento importante en los ataques de Phishing, Vishing y Smishing, haciendo énfasis en que esto complicaba aún más la ya mermada actividad económica de los bancos.

3844074

Cómo estos ataques se basan en el engaño a la persona, en este caso al usuario del sistema bancario, la educación sería la manera más económico-efectiva de evitar caer en el fraude. Es por este motivo que consideramos importante aportar aspectos relevantes acerca de cada tipo de Fraude:

PHISHING: 

  • Se basa en recibir una comunicación escrita de una fuente que aparenta ser confiable.
  • La comunicación escrita se recibe por email en la mayoría de los casos; pero puede recibirse por redes sociales como Whatsapp o Facebook.
  • Es un engaño a la confianza de la persona que recibe el ataque.
  • El atacante se hace pasar por alguna entidad u organización conocida por nosotros.
  • En la comunicación escrita siempre se le va a solicitar conectar con un sitio web fraudulento para que aporte algún tipo de información (sus datos bancarios).
  • Este sitio web fraudulento va a tener todos los elementos visuales que lo harían parecer como legítimo.
  • La persona podría detectar el phishing al identificar que el nombre de dominio y los certificados no son los que utiliza oficialmente la institución bancaria.

VISHING

  • Se basa en recibir una llamada telefónica en la cual se hacen pasar por un funcionario del Centro de Atención de un Banco.
  • Requiere que antes haya ocurrido un phishing en la que han obtenido datos de la persona para que la llamada pueda ser creíble.
  • El objeto es vulnerar los sistemas de protección de una sola vez que colocan los bancos, para proteger las operaciones con un factor adicional a la clave del ebanking.
  • Los bancos han adoptado el uso de claves de único uso por SMS o han adoptado el uso de Tokens de Seguridad que cambian cada 30 segundos (OTP).
  • La llamada telefónica recurre al engaño basado en la alarma.  Advierten a la persona que han detectado un acceso fraudulento a su cuenta y que requieren de su clave de único uso o de su token OTP para confirmar su identidad.

SMISHING

  • Su éxito radica en el uso que hacen las entidades bancarias de la omnicanalidad, en la cual han adoptado múltiples formas de contacto con sus clientes.
  • Se basa en el uso de SMS o WHATSAPP para comunicarse con la persona para alertar una violación en el uso de su Tarjeta de Crédito.
  • La persona recibe un mensaje donde se le invita a llamar al Centro de Atención de su banco para validar la operación con la Tarjeta de Crédito. En el mensaje se coloca el número telefónico falso del supuesto Centro de Atención Telefónico.
  • El atacante al recibir la llamada, solicitará los datos bancarios de la persona para poder validar su identidad y su supuesto consumo con la Tarjeta.

¿Qué puede hacer para evitar ser víctima de estos fraudes?

  • NO preste atención a ninguna comunicación recibida por el Banco que no haya sido solicitada por usted.
  •  En el caso que no haya hecho ninguna transferencia bancaria o haya hecho uso de sus tarjetas, haga caso omiso a cualquier supuesta comunicación del banco.
  • NO entregue ningún Dato de Identificación Personal o Bancario a través de ningún medio: email, llamada telefónica, website, etc.  Estos datos ya los conoce el banco.
  • NO presione sobre ningún enlace acortado recibido por email o redes sociales en nombre de su banco o equivalente.
  • NO atienda a ningún enlace web recibido por correo, aunque haya sido recibido desde una fuente confiable.  Primero consulte al remitente del mensaje si le ha enviado algún acceso a un sitio web.

Las entidades bancarias y las organizaciones para las que trabaja, seguro han implementado muchas herramientas de ciberseguridad que comentaremos en otras publicaciones, pero cuentan con su sentido común para que no sustraigan información sensible y privilegiada que ocasionen pérdidas económicas para todos.

 

Imagen cortesía de Vector de Tecnología creado por freepik – www.freepik.es

 

 

 

 

 

 

 

 

 

 

ALERTA: Malware por Email relacionado a asuntos jurídicos.

Hace un par de días recibimos la alerta de un cliente que recibió el siguiente email:

De: RAMA JUDICIAL <notificacionesycitaciones.@cendoj.ramajudicial.gov.co>
Enviado el: Friday, November 22, 2019 2:32 PM
Para: Undisclosed-Recipients:
Asunto: Hemos reprogramado la audiencia de imputacion de cargos para el dia viernes 29 de noviembre en el proceso adelantado en su contra.
Importancia: Alta
TELEGRAMA RGO   3100901278
Hemos reprogramado la audiencia de imputacion de cargos en el proceso adelantado en su contra ya que no contabamos con su presencia o la  de su defensor , esta se llevara a cabo nuevamente en el complejo judicial de paloquemao el dia viernes 29 de noviembre del presente año le agradecemos puntual asitencia .
IMPORTANTE:  Si usted por algun motivo no esta enterado(a) de este proceso en su contra  lo hemos adjuntado.
Todo documento adjunto contiene una contraseña es : 2019

MALWARE EMAIL BLOG

  • Este email viene con un archivo adjunto en formato de texto enriquecido (*.rtf).
  • Dentro del archivo adjunto no hay ningún escrito, sólo un enlace a un URL traducido en el sitio:  https://acortaurl.com
  • El URL direcciona a http://download*.mediafire.com
  • El archivo descargado es un archivo cifrado *.zip protegido con contraseña.
  • Al descomprimir el archivo hay un ejecutable *.exe que contiene un virus.

ANÁLISIS:

Este email requiere de un alto grado de colaboración del usuario receptor del correo para lograr su objetivo, lo cual logra al enviar una notificación en español perfectamente redactada y hasta cierto punto creíble, porque incluye una notificación judicial con fecha de expiración (29 de Noviembre).

El ataque de malware está compuesto de elementos que por sí solos, no parecieran constituir un riesgo en sí mismos, pero que combinados de la forma en que se hizo, con la total complicidad del receptor del correo, pudieran lograr su cometido:

  • Un email que en su cuerpo no contiene ninguna URL o referencia directa que pueda ser declarado como sospechoso en un análisis rápido.
  • Un adjunto por email en formato texto, normalmente permitido en las organizaciones.
  • Un enlace a un sitio “seguro” https, con un enlace traducido del cual un usuario promedio no sospecharía.
  • Un redireccionamiento para un sitio de descarga (se espera el archivo con la notificación judicial) de un archivo protegido con contraseña.
  • Un archivo comprimido con contraseña que no va a ser analizado por el antivirus, por poseer clave.

PREVENCIÓN:

  • Si la dirección de correo remitente no es de su jurisdicción o usted no mantiene relaciones con dicho país, debe sospechar que el email está equivocado.
  • Si el email no específica directamente su dirección de correo, no es un email válido como notificación judicial. Haga caso omiso y elimine el email.
  • Si el email no incluye su nombre completo en el cuerpo del email, tampoco es válido como notificación judicial.  Puede descartar el correo.
  • En la notificación se indica la fecha en que debe asistir, pero no se incluye la hora.  Otro elemento de sospecha.
  • Enviar una contraseña en un correo electrónico general que le remite a un correo adjunto que usará dicha contraseña no tiene sentido lógico, más que evadir un antimalware para correo.  Los archivos protegidos y las claves de descifrado siempre deben viajar por diferentes medios.
  • El email carece de una firma con datos que permitan validar la procedencia legítima del correo y su notificación asociada.

PROTECCIÓN:

  • Configure su solución de seguridad para que no permita la ejecución de traductores de enlaces o URL recortados.
  • Configure su solución de seguridad para que prohíba o alerte del uso de sitios de descargas de archivos genéricos.
  • No permita la descarga directa de archivos que no puedan ser analizados por su antivirus.  Envíelos a cuarentena y solicite a su soporte técnico que evalúe el archivo.
  • Configure su Antivirus para que no permita la descarga o ejecución de archivos ejecutables.
  • Su computador debe ser utilizado con permisos de usuario limitado.  Los permisos de administrador son sólo para acciones puntuales, no deben ser de uso diario.

 

Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

WORDPRESS ESTADISTICAS DE RANSOMWARE

  1. STOP (djvu): 56.00%
  2. Dharma (.cezar family): 12.00%
  3. Phobos: 8.90%
  4. GlobeImposter 2.0: 6.50%
  5. REvil / Sodinokibi: 4.50%
  6. GandCrab v4.0 / v5.0: 3.60%
  7. Magniber: 3.30%
  8. Scarab: 2.00%
  9. Rapid: 1.80%
  10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/ 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

REVISION DE LOGS

ENFOQUE GENERAL.

  1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
  2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
  3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
  4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
  5. Mantener el enfoque en todos los eventos asociados a:
    1. 1 Cambios
    2. 1 Fallas
    3. 1 Errores
    4. 1 Accesos
    5. 1 Eventos Administrativos
    6. 1 Eventos Inusuales.
  6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
  7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
  8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

  • Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
  • Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
  • Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
  • Registros de Eventos en las Aplicaciones de los Usuarios.
  • No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

  • Cisco Meraki MX84
  • Fortinet FortiGate 100E
  • SonicWall NSA 2650
  • Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

  • Sólo como Firewall
  • Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
  • UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.
Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

Firewall UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

HTTP mas Features

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

HTTPS mas Features

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Falla de Red

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: “¿Cuánto me cuesta?” , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un “costo razonable”.

Imagen Bloqueo

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de “costo razonable” que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPN Filter

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

  • Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
  • Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
  • Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.