Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPN Filter

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

  • Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
  • Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
  • Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.

 

 

 

 

 

 

Predicciones en Seguridad IT según WatchGuard Technologies.

(Fuente WatchGuard Technologies – Versión Libre al Español por AltermediosMSS)

Predicciones 2018

1. Los hackers encontrarán una vulnerabilidad suficientemente severa en los blockchain como para acabar completamente con algunas de las criptomonedas. 

Ya el objetivo de los hackers no serán las criptomonedas para cobrar rescate en ataques de ransomware.  Como ha crecido tanto la adopción de las criptomonedas más conocidas y están incorporándose otras nuevas, no sería raro de esperar que el próximo objetivo de los cibercriminales sean las criptomonedas en sí mismas.

2. La creciente adopción de seguros corporativos que disminuyan el impacto económico de un ransomware y en la reputación de las empresas, motivará a los cibercriminales a enfocar sus ataques en las aseguradoras y sus empresas aseguradas.

Debido a que la efectividad de un ataque de spam es inferior a 1% y que apenas un tercio (1/3) de las empresas contaminadas por ransomware están pagando por los rescates solicitados, los autores de estas extorsiones han comenzado a revisar su negocio.  Pensar en subir el valor del rescate solicitado para aumentar (o compensar) sus ganancias reduce la cantidad de empresas que podrían pagar por el rescate. Su alternativa es hacerse más efectivos y apuntar a empresas vinculadas a pólizas de seguros contra este tipo de extorsiones, porque sería más probable que opten por pagar el rescate solicitado.

 3. Se espera que los gobiernos aumenten las regulaciones sobre el Internet de las Cosas (IoT = Internet of Things), debido al crecimiento de Botnets IoT.

El número de fabricantes que están desarrollando dispositivos IoT están en constante aumento.  Estos han reducido la seguridad de los desarrollos IoT para poder tener los nuevos equipos en el mercado lo más pronto posible.  Esta falta de seguridad y el incremento de plataformas multimedia de uso masivo como “Reddit” o “Netflix” hace pensar en que pudiera generarse un ataque masivo utilizando un BOTNET de equipos IoT.  Esto obligará a que los gobiernos den un paso al frente y comiencen a crear leyes que obliguen a los fabricantes de equipos IoT a prestar atención a la seguridad de sus equipos.

4. WatchGuard Labs ha estado observando un incremento en los ataques sobre sistemas basados en Linux durante el 2017 y espera que dichos ataques se dupliquen durante el 2018.

Durante el primer trimestre de 2017 el 36% del malware detectado estaba orientado a dispositivos basados en Linux, mientras que en el segundo trimestre hubo un incremento en la explotación de vulnerabilidades de red asociadas a estos equipos.  Para finales de año 2017, también se detectó un incremento de los ataques basados en sesiones TELNET y SSH sobre servidores LINUX.  Estas tendencias y el hecho que la mayoría de los dispositivos IoT baratos están haciendo uso de kernel linux instalados por defecto, lo cual los hace extremadamente inseguros, obliga a predecir el alarmante incremento de los ataques directos a estas plataformas.

5. La pérdida de datos y fuga de contraseñas obligarán a las PYME a adoptar definitivamente la Autenticación de factor múltiple.

En los últimos años se ha tenido noticias de ataques orientados al robo de credenciales (usuarios y contraseñas) en sitios web muy conocidos.  Esta información robada luego es utilizada para tener acceso directo a servidores y redes, principalmente en aquellas empresas en la que los usuarios utilizan un mismo usuario y contraseña para el acceso a todos sus recursos.  La adopción de Autenticación de Factor Múltiple, surge entonces como una alternativa, pues ya no bastaría con una contraseña para acceder a un recurso o sistema, se requeriría al menos de dos elementos de validación en simultáneo.  Estos sistemas de Autenticación múltiple han tardado en adoptarse en las pequeñas y medianas empresas (pymes) por lo costoso y complejo que resulta su implementación. Sin embargo, se espera que durante el 2018 con el incremento del uso de smartphones y de plataformas de pagos por uso (as a service) se abaraten estos sistemas lo suficiente como para que las pyme comiencen rápidamente su adopción.

6. ¿Que causará mayor impacto en las elecciones durante el 2018? Hackeo de las máquinas de votación o campañas de desinformación y propaganda.

Durante el DEFCON de 2017 un grupo de hackers pudo mostrar cómo hackear máquinas de votación, algo que ha sido intentado por años con mayor o menor grado de éxito.  La posibilidad de tener acceso a las máquinas de votación, provoca que el elector cuestione la credibilidad de un proceso electoral en su totalidad. Sin embargo, los hackers que pudieron llevar con éxito el ataque, tuvieron acceso total y físico a los equipos, cuestión que es imposible que ocurra en una elecciones en la vida real.  Ahora bien, el impacto que genera la duda acerca de la integridad de las máquinas de votación afecta mucho más al proceso electoral que el ataque en si mismo a cada máquina de votación, lo cual sería mucho más díficil y costoso de hacer. Así que pareciera que las campañas de desinformación y propaganda con noticias falsas (fake news) parecieran que van a ser la forma en que se afectarán los procesos electorales del 2018.

7. La tecnología SDR para comunicaciones inalámbricas está siendo adoptada por cada vez más dispositivos comunes como  automóviles, dispositivos de salud, alarmas de edificios, etc.  Esto lleva a pensar que la próxima frontera es el ataque a esta tecnología. 

El Hackeo de Sistemas WiFi se ha vuelto cada vez más común, al punto que ya existen videos tutoriales acerca de cómo hacerlo.  Esto ha llevado a perfeccionar los sistemas de radio definidos por software (SDR), los cuáles permiten modificar el comportamiento de un transmisor de radio con el uso de un programa y un procesador de uso general.  Esta tecnología que inicialmente encontraba su nicho de aplicación en lo militar ahora se ha estado llevando a sistemas cotidianos a los fines de poder modificar a conveniencia y de manera económica su comunicación inalámbrica.

 

WatchGuard Threat Labs: Estadísticas del tercer trimestre 2017

(Información obtenida de la Infografía Resumen del Estudio Q3, 2017 de WatchGuard Threat Labs)

Para poder establecer una estrategia de defensa es preciso conocer los tipos de amenazas y ataques que han estado ocurriendo en los últimos tiempos.

Lo valioso de la información obtenida del estudio de WatchGuard Technologies es que resume el comportamiento de un universo aproximado de 30.000 equipos distribuidos en el mundo entero.

WG Q3 2017Esta información debe complementar nuestra propia estrategia de visualización y análisis de los Logs con las tendencias obtenidas del Informe.

A continuación la información más importante que se puede resumir:

-) 24% DEL MALWARE DETECTADO ES ZERO DAY.

Ya no es suficiente protección el uso del Gateway Antivirus.  Es preciso el complemento con tecnologías de detección en la nube y de evaluación de comportamiento del tipo Sandbox, para poder estar protegido de este tipo de malware.

Aunque el Gateway Antivirus no es suficiente, evidentemente es una protección necesaria contra un 76% del malware conocido. 

-) 68% DEL MALWARE DETECTADO UTILIZA TECNOLOGÍA DE SCRIPTING EN SESIONES WEB.

La evidencia muestra que es imprescindible el uso del IPS para evitar la ejecución de  “programas” (scripts) en sesiones de navegación web.  Por lo que es altamente recomendable la activación de la prevención de intrusiones en sesiones http y https.

La evidencia también mostró que el malware no estaba afectando solamente a los navegadores de los usuarios, también estaba afectando a los servidores web.  Por lo que no debe olvidar de aplicar el IPS sobre su Servidor WEB y cualquier aplicativo que haga uso de los servicios web para su funcionamiento.

-) 71,62% DEL MALWARE DETECTADO OCURRIÓ EN LA REGIÓN EUROPA-AFRICA-MEDIO ORIENTE (EMEA por sus siglas en Inglés).

Esta estadística muestra que los usuarios de estas regiones deben poner especial cuidado en el uso de una estrategia de seguridad MULTICAPA que debe incluir como mínimo el uso de Antivirus, IPS y APT Blocker.

Si usted no pertenece a esta región no debe sentirse aliviado por el mal ajeno.  Muy por el contrario, debería enfocar sus esfuerzos por analizar sus datos con DIMENSION y evaluar su interacción de tráfico con esta región EMEA, para que pueda prevenir contaminarse de manera indirecta.  Aproveche la función de GEOLOCALIZACIÓN para bloquear la actividad con los países de la región con los que no requiera interacción alguna y aplique seguridad multicapa con aquellos con los que si requiera interacción.

Estos son las cifras más relevantes de un estudio muchísimo mas extenso y algunas de nuestros comentarios y recomendaciones basadas en estas cifras.

Si quiere obtener mayor información acerca del estudio o nuestra interpretación del mismo, puede escribirnos a  info@altermediosmss.net

 

 

 

 

 

4 Servicios Wi-Fi que requieren las PyMes.

(Tomado y Adaptado de #WatchGuard #Secplicity)

WatchGuard como empresa orientada exclusivamente al canal, recibe requerimientos de sus asociados dedicados a la prestación de servicios asistidos (MSP – Managed Security Partners).

4 Soluciones WiFi

Estos requerimientos cuando están asociados a las Pymes son muy diferentes a los servicios requeridos por las grandes empresas y pueden ser agrupados en 4 categorías que pueden ser explotadas por los MSP como servicios facturables:

  1. Managed Wi-Fi:  El MSP maneja todos los aspectos de configuración y resolución de problemas asociados a los Wi-Fi.
  2. Managed Wi-Fi Security: El MSP ofrece los servicios de seguridad inalámbrica a través del uso de Sistemas de Prevención de Intrusiones Inalámbricas (WIPS), lo cual le permitiría a los clientes cumplir con los estándares HIPAA y PCI 3.2.
  3. Portales captivos que interactuan  con los usuarios: Se crean portales de autenticación que contienen anuncios que pueden ser adaptados a las estrategias de mercadeo de los clientes.
  4. Datos de Seguimiento en Tiempo Real: El MSP genera métricas asociadas a los dispositivos que se conectan al Wi-Fi y su comportamiento al visitar el establecimiento del cliente.

Algunos fabricantes ofrecen estas capacidades a través de la integración de sus APs a productos de terceros.

En el caso de WatchGuard se pueden ofrecer todos estos servicios con un sólo producto: la subscripción Wi-Fi Cloud.  Esta es una suite que provee un ambiente inalámbrico seguro, simple de administrar, inteligente y que incluye herramientas para aumentar la interacción con los usuarios y generar métricas de interés para el negocio.

 

5 Señales que indican que su PYME necesita contratar una empresa MSS.

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Empresas de todos los tamaños están enfrentando retos en Seguridad de Información regularmente.  En particular, las PYME enfrentan una cantidad de riesgos de seguridad motivados a la escasez de recursos.  La única manera en que una PYME puede mantener los datos de sus clientes seguros sin dedicar a un personal dedicado exclusivamente a la seguridad, es contratando a un Proveedor de Servicios Gestionados (MSSP por sus siglas en inglés Managed Security Service Provider) – después de todo, ellos son los expertos. Sin embargo, Cómo una pequeña empresa puede identificar que debería iniciar una conversación para conseguir apoyo externo a su seguridad de información?

PYMES necesitan MSSPs

El Director de WatchGuard encargado del producto asociado a gestión, Himanshu Verma, escribió recientemente un artículo que muestra los 5 indicadores clave que una pequeña empresa  debe reconocer para contratar a un MSSP. El también explica que los datos sugieren que las PYMES se mueven en la dirección correcta cuando delegan su seguridad en una MSSP.

“Las buena noticia es que las PYMES están comenzando a darse cuenta del valor de un soporte externo para su seguridad. De acuerdo a una encuesta reciente llevada a cabo por Vanson Bourne, mas del 60% de los revendedores  de soluciones para PYMES no creen que la mayoría de sus clientes conocen la diferencia entre UTM y NGFW.  De los 1400 revendedores encuestados, cerca del 80% no cree que sus clientes se preocupen acerca del tipo de producto que usan o su clasificación – y solamente quieren saber que su negocio se encuentra protegido con los últimos y mejores servicios de seguridad.  Estos datos sugieren que las PYMES han comenzado a seguir las mejores estrategias y recomendaciones de seguridad que le indican los revendedores de equipos de seguridad y los MSSPs”.

Los 5 aspectos clave que indican que una PYME debe contratar con un MSSP son:

  1. Si la pyme no cuenta con un presupuesto dedicado exclusivamente para la seguridad de información.
  2. Si la empresa se relaciona en un ecosistema de negocios con empresas más grandes.
  3. Si ha tenido mejor suerte encontrando un unicornio en la empresa que un especialista en seguridad de información (CISSP)
  4. Si no posee visibilidad de los datos y recursos de IT que usa.
  5. Si cree que el cumplimiento de las normativas es un inconveniente.

 Virtual Strategy Magazine.

A través de Máquinas expendedoras de Soda fue hackeada una Universidad .

(Tomado y Adaptado de #WatchGuard #Secplicity)

De acuerdo a Network World, las máquinas expendedoras, las bombillas inteligentes  y otros 5000 dispositivos WiFi (Internet of Things -IoT) fueron secuestrados recientemente en una Universidad cuyo nombre no fue divulgado.  Suena apestoso, ¿No? Esto tuvo por resultado, un ataque a la red interna que generaba requerimientos de DNS cada 15 minutos a dominios relacionados con comida marina.

hacking-iot

Esta historia proviene de un documento de incumplimiento de escenarios de Verizon en 2017, en el que se describe cómo la universidad notó una explosión en el interés de su red por los sitios relacionados con mariscos, además de un número anormal de sub-dominios asociados con esta comida marina. Los servidores responsables de la resolución de nombres DNS, estaban luchando para mantenerse actualizados con el explosivo aumento del tráfico, causando que las búsquedas legítimas fueran interrumpidas y evitando el acceso a la mayoría de los sitios de internet.

El equipo de Verizon RISK, investigó este caso (que se presume se produjo en una universidad que era su cliente) y descubrió que las máquinas expendedoras, las bombillas de luz y otros miles de dispositivos IoT estaban haciendo los requerimientos de resolución DNS a sitios de comida marina cada 15 minutos. 4 de las direcciones IP resueltas por los DNS y cerca de 100 dominios requeridos por los servidores, se mostraban como comprometidas en una red BOTNET.  Este malware se distribuía de un dispositivo IoT a otro que tenía contraseñas débiles o por defecto.  Después que el BOTNET tomaba control del dispositivo IoT cambiaba los passwords, para dejar bloqueada a la Universidad.

La universidad se pudo recuperar del ataque BOTNET, mediante la instalación de un sniffer que fue utilizado para capturar las nuevas contraseñas en texto plano, que el malware utilizaba en los dispositivos IoT que ya se encontraban comprometidos.  El reporte de Verizon, recomienda a las organizaciones  crear zonas de red separadas para los diferentes Sistemas de Dispositivos IoT y aislar estas redes tanto como sea posible de otras redes críticas.  Adicionalmente, recomienda que debería limitarse el monto de información que puede almacenarse en un sólo lugar.

Fuente: http://www.networkworld.com/article/3168763/security/university-attacked-by-its-own-vending-machines-smart-light-bulbs-and-5-000-iot-devices.html

 

 

USB de un Profesor, estuvo apunto de infectar la red de una escuela de enfermería.

(Tomado y Adaptado de #WatchGuard #Secplicity)

La escuela de enfermería Gurnick con sede en California, evitó caer víctima de una de las infecciones más difundidas mundialmente: el Ransomware.

Cuando un profesor introdujo su disco USB para transferir material de lectura del computador de su casa al equipo de su trabajo, fue recibido con un aviso del ransomware donde solicitaba un rescate de 740,00 US$ en Bitcoins para desencriptar y devolverle sus archivos.

ransomware-enfermeria

De acuerdo a CSO Online, El ransomware no estaba únicamente en su USB, también se encontraba en su Google Drive, donde almacenaba el respaldo de sus archivos de lectura. Afortunadamente, el departamento de IT reconoció las señales tempranas y evitó que el ransomware se esparciera por toda la academia de enfermería al desconectar el equipo de la red. Por otra parte, el instructor reportó que eligió no pagar el rescate y perdió el acceso a sus archivos de lecturas y probablemente a varias presentaciones y datos personales.

Caer víctima del ransomware puede ser una cuestión muy costosa y engorrosa. Aquí le daremos algunos tips de prevención que debe mantener siempre presentes:

  • Reduzca la posibles formas de ataque, manteniendo actualizados sus programas y sistema operativo, con los últimos parches de seguridad.
  • Sea cauteloso con los intentos de phishing y sea increíblemente escéptico con los enlaces web que estén dentro de emails no solicitados.
  • Si usted ha sido alcanzado por un ransomware, no pague el rescate. Esto seguirá contribuyendo al crecimiento contínuo de la cyber-extorsión, al validarla como un flujo de ingresos viable para los hackers.
  • Ejecute y verifique offline, de forma periódica, sus copias de seguridad, con el fin de minimizar el efecto de un ransomware  atacante  y para asegurarse de que puede recuperar rápidamente sus archivos después de una infección.
  • Después de descargar un archivo, descarte cualquier posible riesgo mediante el escaneo del archivo con una solución antivirus antes de ejecutarlo.
  • Siempre que sea posible, deshabilite la ejecución de macros de Office de los documentos recibidos de fuentes desconocidas o no confiables.

 

 

 

Nueva Encuesta de CyberSeguridad revela aspectos clave desde la perspectiva de los Distribuidores.

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

WatchGuard Technologies acaba de publicar los resultados de una nueva encuesta que revela lo que piensan los distribuidores acerca de lo que serían las principales amenazas que afectarían a sus clientes, así como la capacidad que tendrían sus clientes para gestionar las alertas de seguridad y cual sería su comprensión del mercado global de firewalls. La información obtenida en la encuesta ofrece una perspectiva única de los retos de: la industria, las tendencias y soluciones que los Distribuidores estarían viendo hoy en día.

encuesta-seguridad

¿CUÁLES SON LAS AMENAZAS QUE LOS DISTRIBUIDORES CREEN QUE LE PREOCUPAN MÁS A SUS CLIENTES?

83% creen que sería el ransomware la mayor preocupación este año.

16% dicen que la mayoría de sus clientes pagarían un rescate.

65% piensan que algunos de sus clientes tendrán que pagar rescate.

EN EL SUPUESTO QUE LAS AMENAZAS INFORMÁTICAS SIGAN CRECIENDO, ¿LOS DISTRIBUIDORES PIENSAN QUE SUS CLIENTES TENDRÍAN LOS RECURSOS ADECUADOS PARA GESTIONAR LAS ALERTAS DE SEGURIDAD? 

45% de los encuestados indica que menos de la mitad de sus clientes dispondrían de los recursos adecuados para atender las alertas de seguridad entrantes. 5% tendría los recursos recursos adecuados y 7% cree que ninguno de sus clientes tendría como responder en lo absoluto.

TOMANDO EN CONSIDERACIÓN LO QUE LOS CLIENTES UTILIZARÍAN PARA RESOLVER SUS PROBLEMAS DE SEGURIDAD. ¿LOS DISTRIBUIDORES CREEN QUE SUS CLIENTES CONOZCAN LA DIFERENCIA ENTRE UTM Y NGFW?

63% piensan que sus clientes no conocen la diferencia entre UTM (Gerencia Unificada de Amenazas) y NGFW (Firewall de siguiente generación).

80% creen que a sus clientes no les preocupa la diferencia entre los diferentes tipos de dispositivos de protección. Sólo les interesa saber que su negocio está protegido con la última tecnología en prevención de amenazas.

Este estudio revela la importancia que tiene el distribuidor de soluciones de seguridad y el proveedor de servicios para las empresas PYME, en cuanto a seguridad informática se refiere.

“Las organizaciones dependen, en gran medida, de la experiencia y habilidades que tengan sus empresas proveedoras de servicio para mantener a sus empleados y clientes asegurados contra las nuevas amenazas informáticas”, dijo el CTO de WatchGuard Corey Nachreiner. “Para los clientes, parece que la incidencia o resultado de un evento de seguridad es más importante que la clasificación o la solución utilizada para detenerlo”.

 

Predicciones de Seguridad para el 2017 – Las Amenazas son Reales.

(Tomado y Adaptado de #WatchGuard #Secplicity)

Mientras que el año 2016 fue un año excepcional para los cyber-ataques, este 2017 promete ser aún más salvaje. Veremos la escalada de las amenazas actuales y nuevos vectores de ataque.

Se verán los primeros Ransomworm (gusanos) propagándose por las redes como la pólvora? Será tu dispositivo IoT el próximo objetivo a ser convertido en un zombie de una red Botnet? Se verá la primera víctima civil de la Cyber Guerra Fría?, la cual se hizo evidente en las pasadas elecciones presidenciales de los Estados Unidos.

Entérese de lo que el Jefe de Tecnología de WatchGuard, Corey Nachreiner, piensa serán las 7 principales amenazas que se enfrentarán en el 2017.

watchguard-predicciones-2017

  1. EN 2017 VEREMOS EL PRIMER GUSANO QUE CAUSA QUE EL RANSOMWARE SE PROPAGUE MUCHO MÁS RÁPIDO (RANSOMWORM).

Los cyber-criminales llevarán al ransomware a otro nivel, al incluirle características de auto-propagación que se han encontrado tradicionalmente en gusanos de red como CodeRed y Conficker. Imagínese una nueva raza de ransomware capaz de duplicarse a sí mismo y de propagarse a la red entera. Aunque usted no lo quiera, es sólo cuestión de tiempo para que el ransomworm comience a causar estragos.

2. LOS ATACANTES EXPLOTARAN LA INFRAESTRUCTURA COMO SERVICIOS (IaaS) CON DIVERSOS TIPOS DE ATAQUES.

La adopción de la nube por empresas de todos los tamaños está creciendo a tasas increíbles. Estas plataformas se han arraigado cada vez más en las empresas y se han convertido en un objetivo de los Hackers.

La Nubes de Infraestructura como Servicio, se espera sean atacadas para convertirlas en blancos de ataques directos o peor aún para convertirlas en plataformas para lanzar ataques  de malware y a las redes desde la nube. Se espera que al menos aparezca un primer ataque originado desde plataformas públicas de servicios en el 2017.

3. LOS DISPOSITIVOS IOT SERÁN EL OBJETIVO DE LAS REDES ZOMBIES.

En el 2016 se filtró el código fuente de la red zombie Mirai, que permitía a los criminales construir enormes redes de zombies para generar ataques de negación de servicio distribuídos (DDoS) basados en tráfico. Ahora los atacantes están convirtiendo a estos zombies en armas militares, por lo que se espera que los ataques zombies se expandan más allá de los ataques de negación de servicio.

La gran cantidad de dispositivos IoT que estarán conectados a Internet llenos de vulnerabilidades, se presentan como un nuevo y atractivo blanco de ataque que los hackers sabrán aprovechar en su beneficio. En 2017, se espera la monetización de estas redes zombies, como lo fueron sus predecesoras redes botnet para envío de spam.

4. LOS PRIMEROS CIVILES SERÁN LOS PRÓXIMOS DAÑOS COLATERALES DE LA CYBER-GUERRA FRÍA.

Con la cyber guerra fría en marcha entre las naciones, es de esperar que comiencen a aparecer las primeras víctimas civiles en este 2017. En los último años, los Estados han promovido ataques con malware a centrifugadoras nucleares, han robado propiedad intelectual de empresas privadas e incluso han violado sistemas confidenciales de otros gobiernos.

Desde hace algún tiempo, Los Estados Unidos, Rusia, Israel y China han estado montando operaciones de cyber-seguridad para encontrar vulnerabilidades que puedan ser utilizadas en contra de los otros gobiernos. Estas prácticas gubernamentales de construir arsenales de vulnerabilidades, en lugar de ayudar a corregirlas, serán explotadas y de esta forma caerán muchas empresas y ciudadanos incautos víctimas de estas vulnerabilidades de día cero no reveladas.

5. LAS PYMES CONTINUARÁN SITIADAS POR LOS DELICUENTES CIBERNÉTICOS Y RECURRIRÁN A PEQUEÑAS EMPRESAS DE SERVICIOS GESTIONADOS PARA VELAR POR SU SEGURIDAD.

Como las PYMES seguirán siendo el blanco de los delincuentes cibernéticos, comenzarán a hacer de alta prioridad la seguridad de sus redes.  Con equipos muy pequeños de profesionales de IT , sin profesionales dedicados a la seguridad, sin recursos para configurar, monitorear y ajustar sus propios controles de seguridad, las PYMES reconocerán en sus vecinas empresas de servicios gestionados, a la posible solución para su seguridad IT. Como resultado de esto, las empresas de servicios gestionados continuarán añadiendo servicios de seguridad a sus ofertas básicas de productos IT.  Se espera que en el 2017, al menos una cuarta parte de la empresas pequeñas de servicios se vuelvan más especializadas en servicios de seguridad y este porcentaje debería continuar incrementándose cada año.

6. EL AUMENTO DEL USO DE BIOMETRÍA OCULTA EL HECHO DE LA CONTINUA INSEGURIDAD QUE TIENEN LAS CREDENCIALES.  LAS CONTRASEÑAS NO HAN DESAPARECIDO REALMENTE.

De cara a las innumerables violaciones de credenciales de los últimos años, las soluciones biométricas, como los scanners de huellas digitales, continuarán creciendo como una alternativa al uso de contraseñas.

Las frecuentes violaciones han cuestionado si el uso de contraseñas debe ser parte de una solución de autenticación para todo el mundo.

La adopción generalizada de biometría como una alternativa conveniente a tener que recordar las contraseñas, será el método principal de autenticación en el 2017; sin embargo, esto no podrá borrar el hecho que aún están en uso contraseñas débiles en sitios tan ocultos como los núcleos de los sistemas operativos.

7. LOS ATACANTES COMENZARÁN A APROVECHAR LAS CAPACIDADES DE APRENDIZAJE QUE TIENEN LAS MÁQUINAS PARA MEJORAR LOS ATAQUES Y EL MALWARE.

Las empresas de seguridad se despertarán bruscamente al darse cuenta que no tienen el monopolio de las técnicas de aprendizaje de las máquinas.

Estas técnicas de aprendizaje han hecho mucho más por la industria de la seguridad que lo que ha podido ayudar cualquier humano. Ahora la industria de la seguridad se ha vuelto más predictiva y menos reactiva en la lucha contra el malware.

Mediante gigantescos análisis de conjuntos de datos y creando catálogos de archivos buenos y malos, estos sistemas de aprendizaje pueden reconocer patrones que ayudan a los profesionales de seguridad en la defensa contra nuevas amenazas.

Se espera que en el 2017, los hackers comiencen a utilizar estas técnicas de aprendizaje para crear nuevo malware mejorado, que pueda ir en contra de las técnicas de aprendizaje de las máquinas que han sido tan exitosas en los últimos tiempos.

Como conclusión, los cyber-ataque continuarán creciendo durante el 2017 y la única forma que usted tiene de estar protegido es educarse en temas y soluciones de seguridad.

Seguridad bancaria desde el punto de vista de los hackers

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Hace unos días, The Next Web publicó un artículo titulado: Cómo pensar como un hacker, que describe varias estrategias de seguridad empleadas por ABN AMRO, un banco con sede en los Países Bajos. En el artículo se explican cuatro estrategias propuestas por el departamento de seguridad de ABN AMRO, algunas con las cuales estoy de acuerdo y algunas otras con las que no.

seguridad-bancaria

La primera estrategia proporcionada en el artículo establece que es una buena inversión: el entrenamiento del usuario en seguridad, que en última instancia ofrece una delgada capa de protección. Aunque estoy de acuerdo en que la formación de los usuarios no es perfecta, no creo que deba ser menospreciada con tanta fuerza. El artículo menciona especificamente al phishing, destacando en el informe que el 23 por ciento de los receptores abren correos electrónicos de phishing. Un estudio realizado por la Universidad Carnegie Mellon (pdf) hace unos años atrás, encontró que el entrenamiento de concientización de los usuarios ayuda a limitar los ataques de phishing exitosos. El objetivo de la formación de los usuarios no es martillar el mensaje “no haga clic en eso”. Una parte igualmente importante de la formación es simplemente difundir la conciencia. Los controles técnicos puestos en marcha por TI no son perfectos y los usuarios necesitan entender que ellos mismos son también una pieza igualmente importante del rompecabezas de prevención de ataques. Remover el mantra:”la seguridad es el problema del departamento de TI, no el mío”, que está presente en muchas organizaciones, es crítico,  y la capacitación del usuario es el mejor enfoque para hacerlo.

Estoy de acuerdo con la segunda estrategia “No es necesario construir Fort Knox”, en principio, pero no relacionada a los ejemplos proporcionados. El autor reconoce correctamente, que es imposible construir una aplicación funcional sin tener vulnerabilidades de seguridad potenciales. Sin embargo, ABN AMRO resalta como  ha eliminado la autenticación de múltiple factor para mejorar la usabilidad de su web, algo que creo es un movimiento equivocado. La mayoría de las personas no tienen un buen historial cuando se trata de generar una contraseña única y fuerte para cada servicio individual al que se autentican. Debido a esto, las contraseñas fáciles de adivinar  y  la reutilización de claves, son todavía increíblemente comunes. La autenticación de múltiple factor tiene como principal beneficio eliminar la dependencia de contraseñas fuertes y hacer que sea mucho más difícil para un atacante comprometer una cuenta incluso cuando tienen un nombre de usuario y una contraseña válidos. La autenticación de múltiple factor no tiene porque ser engorrosa. La mayoría de los proveedores de seguridad de autenticación, como Duo Security, tienen aplicaciones móviles que pueden enviar una simple solicitud de autorización al dispositivo móvil cuando alguien intenta iniciar sesión en una cuenta. Usando otros bancos como ejemplo, la mayoría de los principales bancos estadounidenses están avanzando hacia la autenticación de doble factor en forma de un código de desafío enviado a través de texto o correo electrónico cuando un usuario se autentica desde un equipo no reconocido. Si sabemos que los seres humanos son el mayor riesgo de seguridad para cualquier aplicación, eliminar una de las protecciones más fáciles para mitigar este riesgo parece un innecesario paso hacia atrás.

La tercera estrategia mencionada en el artículo es una con la que estoy totalmente de acuerdo. ABN AMRO recomienda contratar consultores de seguridad externos para probar su empresa y sus aplicaciones. Contratar a alguien para encontrar los agujeros en su aplicación antes que los chicos malos, le pueden ahorrar pérdidas financieras y problemas de relaciones públicas resultantes de un ataque criminal exitoso. Una auditoría de seguridad trimestral o anual es también una gran alternativa para las organizaciones que no pueden pagar su propio equipo de seguridad interno. Como mínimo, las organizaciones deben ser receptivas a los investigadores externos que informan responsablemente sobre vulnerabilidades en sus aplicaciones.

La última sección del artículo describe la importancia de mantenerse a la vanguardia de los hackers a través de la Investigación y Desarrollo, observando específicamente, que el futuro se está moviendo hacia las herramientas seguridad cibernética basadas en inteligencia artificial. Muchas organizaciones simplemente no tienen el presupuesto o incluso el deseo de participar directamente en la investigación y el desarrollo relacionadas a la seguridad cibernética, lo cual es comprensible. Yo recomendaría al menos, tomarse el tiempo para estar al día con las últimas tendencias de seguridad y cómo ellas podrían afectar a su organización. Estar al tanto de las amenazas y de las protecciones disponibles para su empresa es un importante primer paso hacia el mantenimiento de su seguridad.

(Créditos Marc Laliberte)