Estadísticas de Ransomware en 2do y 3er Trimestre de 2019.

Fuente: EMSISOFT BLOG

Los ataques de ransomware continuaron volviéndose más enfocados y sofisticados en el segundo y tercer trimestre de 2019. Los creadores de estas amenazas apuntan  a objetivos más grandes y más rentables, como empresas, escuelas y organizaciones gubernamentales.

Las cepas de ransomware como Ryuk desempeñaron un papel predominante, paralizando a docenas de entidades públicas en todo Estados Unidos, mientras que el ransomware como servicio como Sodinokibi y GandCrab permitió a los distribuidores de ransomware generar millones, quizás incluso miles de millones de dólares en pagos de rescate.

La estadísticas presentadas se basan en datos de más de 230,000 muestras envíadas a Emsisoft e ID Ransomware entre el 1 de abril y el 30 de septiembre de 2019. 

1. STOP (djvu): 56.00%
2. Dharma (.cezar family): 12.00%
3. Phobos: 8.90%
4. GlobeImposter 2.0: 6.50%
5. REvil / Sodinokibi: 4.50%
6. GandCrab v4.0 / v5.0: 3.60%
7. Magniber: 3.30%
8. Scarab: 2.00%
9. Rapid: 1.80%
10. Troldesh / Shade: 1.40%

 

STOP – DJVU:  Es la cepa de ransomware más comúnmente reportada durante el período del 1 de abril al 30 de septiembre, que representó el 56 por ciento de todas las muestras recibidas. Hubo más de 76,000 envíos de STOP / DJVU a ID Ransomware, lo que probablemente representa solo una fracción del número total de víctimas. Visto por primera vez a finales de 2018, STOP / DJVU ha crecido para incluir docenas de variantes. STOP se dirige a usuarios domésticos y a menudo se distribuye a través de sitios Torrents. Por lo general, está oculto en Licencias crackeadas o en KeyGen,  que descargan los usuarios para activar software de pago de forma gratuita. Una vez ejecutado, STOP encripta archivos con encriptación Salsa20 e instruye a las víctimas a pagar un rescate de $ 490 en Bitcoin a cambio del software y la clave de descifrado privada. Después de 72 horas, la demanda de rescate se duplica a $ 980. Las herramientas de descifrado gratuitas están disponibles para un número limitado de variantes, pero las versiones más recientes no se pueden descifrar.

DHARMA – .cezar: El segundo ransomware más enviado a ID Ransomware durante Q2 y Q3 2019 fue una variante de Dharma que agrega la extensión .cezar a los archivos cifrados.  Dharma ha existido de una forma u otra desde 2016, pero ha visto un aumento en la actividad en los últimos meses. Esto puede deberse a que los creadores del malware hacen un uso más efectivo de múltiples vectores de ataque, como archivos adjuntos de correo electrónico malicioso, instaladores infectados y credenciales de inicio de sesión RDP débiles o filtradas. A diferencia de muchos otros tipos de ransomware, Dharma (familia .cezar) no especifica una cantidad de rescate; en cambio, instruye a las víctimas a contactar a los distribuidores del ransomware por correo electrónico para negociar el rescate. El monto del rescate tiende a ser mayor para las empresas más grandes. Dharma se dirige principalmente a las empresas. Ha afectado a varias organizaciones importantes, incluido el Hospital Altus Baytown, Texas. El ataque cifró registros y archivos del hospital que contenían información importante de los pacientes, como nombres, números de seguro social, información de tarjetas de crédito y más. El hospital se negó a pagar el rescate y, en cambio, contrató a un consultor de ciberseguridad para restaurar los sistemas del hospital a partir de las copias de seguridad.

PHOBOS: Llamado así por el dios griego del miedo, Phobos fue responsable del 8.9 por ciento de las muestras enviadas a ID Ransomware entre el 1 de abril y el 30 de septiembre. Phobos se parece mucho a la familia de ransomware Dharma y fue descubierto por primera vez a principios de 2019. Phobos se propaga principalmente explotando puertos RDP abiertos o mal asegurados. Las listas de credenciales de RDP robadas se venden con frecuencia en el mercado clandestino y pueden ser extremadamente valiosas para los cibercriminales. Al igual que con Dharma, Phobos no establece una cantidad de rescate y, en su lugar, indica a las víctimas que envíen un correo electrónico a los atacantes para discutir el precio del descifrado. Hubo casos en que no se entregó ninguna herramienta de descifrado después del pago. Phobos se dirige principalmente a empresas y entidades públicas. En julio de 2019, el Distrito Escolar del Área de Wyoming perdió el acceso a los datos después de ser golpeado con Phobos, que ingresó al sistema a través de un ataque de fuerza bruta a través de un puerto directamente publicado. 

Para ampliar la información, puede consultar el siguiente enlace:

https://blog.emsisoft.com/en/34335/ransomware-statistics-for-2019-q2-to-q3-report/ 

Cómo hacer la revisión de Logs al ocurrir un Incidente de Seguridad.

Fuente:  SANS Institute.  Autores: Anton Chuvakin & Lenny Zeltser.

ENFOQUE GENERAL.

1. Identificar cuáles son las fuentes de log disponibles y las herramientas automatizadas que se pueden utilizar para realizar la revisión.
2. Realizar una copia de los logs a otra ubicación en la que puedan revisarse sin alterar los registros originales.
3. Eliminar el ruido relacionado con líneas repetitivas, después de confirmar que el evento registrado era benigno.
4. Considerar la zona horaria al analizar la fecha y hora de los eventos registrados.
5. Mantener el enfoque en todos los eventos asociados a:
   1. 1 Cambios
   2. 1 Fallas
   3. 1 Errores
   4. 1 Accesos
   5. 1 Eventos Administrativos
   6. 1 Eventos Inusuales.
6. Revisar los logs un período de tiempo anterior y posterior al incidente de seguridad.
7. Correlacionar los distintos eventos registrados en los logs para tener una imagen completa de lo que ocurrió.
8. Desarrollar Teorías acerca de lo que ocurrió y luego verifique si los logs confirman o descartan la teoría.

DONDE BUSCAR.

• Repositorios de logs de los Sistemas Operativos existentes en los Servidores y Estaciones de Trabajo.
• Repositorios de los Servidores de Aplicación como WEB y/o Base de Datos.
• Logs de las herramientas de Seguridad como Antivirus, Firewall, IPS.
• Registros de Eventos en las Aplicaciones de los Usuarios.
• No Olvide revisar cualquier otro evento de seguridad aunque provenga de fuentes que no registran Logs.

 

 

 

 

 

Comparativa de Desempeño UTM – Miercom labs – Agosto 2018.

Extractos del Informe.  Contenido completo en:  https://www.watchguard.com/wgrd-resource-center/miercom-high-performance-verification-report-m270

Un UTM es un producto que consolida funciones de enrutamiento, firewall, Prevención de Intrusiones (IPS), Antivirus, VPN, entre otras medidas de protección requeridas por las pequeñas y medianas empresas PYMES.

Aunque combinan el poder de un Next Generation Firewall y un Secure Web Gateway, tradicionalmente, su desventaja ha sido el bajo performance ante procesamiento intensivo de tráfico.

A solicitud de WatchGuard Technologies, Miercom Labs condujo un estudio independiente en el que comparó equipos que compiten en precio con el Firebox M270. Es decir, equipos con un precio cercano al M270, pero que se estuvieran por debajo del precio de su siguiente producto: el Firebox M370.  Estos equipos fueron:

• Cisco Meraki MX84
• Fortinet FortiGate 100E
• SonicWall NSA 2650
• Sophos XG 210

La comparación de los productos se realizó en los siguiente escenarios:

• Sólo como Firewall
• Firewall con capas adicionales de seguridad en tráfico HTTP y HTTPS.
• UTM con IPS, Antivirus y Control de Aplicaciones activo en tráfico HTTP y HTTPS.

Gráfico 1:  Sólo Firewall procesando tráfico UDP 1518  y procesando IMIX UDP

 

Gráfico 2:  Sólo Tráfico HTTP  /  HTTP combinado con IPS / HTTP con AV / HTTP con IPS & AV / HTTP FULL UTM

Gráfico 3:  HTTPS combinado con IPS / HTTPS con AV / HTTPS con IPS & AV / HTTPS FULL UTM

Este reporte documenta el efecto de las capas de seguridad en el desempeño que tienen cada uno de los UTM evaluados procesando el tráfico. Conocer este impacto, puede ayudar a los Departamentos de IT a decidir cuál producto de seguridad se ajusta mejor a las necesidades de la Organización.

Las pymes siguen siendo un blanco atractivo para los cyber-criminales.

Elaborado por José Luis Gomes – Tecnología Altermedios MSS INC.

En los últimos meses hemos recibido llamadas de empresas que, a pesar de tener soluciones de seguridad de distintos fabricantes muy reconocidos, han presentado problemas como: Bloqueo de Direcciones IP Públicas, Problemas de conectividad por saturación del ancho de banda de Internet, Archivos contaminados con Virus, Aplicaciones de Escritorio con errores de ejecución, entre otras fallas comunes.

Todas estas empresas tenían la tecnología mínima necesaria:  Switches, Servidores, Firewalls-UTM, Antivirus, etc;  sin embargo, todas estas empresas carecían de personal de IT Fijo y en algunos casos tenían a un técnico que llamaban ocasionalmente para resolver fallas puntuales.

Al presentarnos para hacer el diagnóstico, siempre conseguimos las mismas situaciones:

-) Redes planas sin ningún tipo de segmentación. Inalámbricos, Servidores y Estaciones de trabajo, todos trabajando en el mismo segmento de red.

-) Switches Administrables con la configuración por defecto.

-) Redes inalámbricas a las que nunca le habían cambiado la clave del SSID.

-) Todos los usuarios de los computadores (Estaciones de Trabajo) ejecutando sus sesiones con privilegios elevados.

-) Firewalls y Antivirus sin ningún tipo de personalización, con sus configuraciones por defecto.

-) Software de Acceso remoto gratuitos y diferentes, ejecutados incluso en los computadores sin conocimiento de los usuarios.

-) Software tipo Freeware o Adware para ejecutar labores en donde se requieren privilegios, como Backups.

-) Unidades de Red compartidas entre todos los usuarios con los mismos privilegios.

-) Unidades USB libres, sin ningún tipo de bloqueo o control, a las que los usuarios conectan sus teléfonos celulares.

-) Impresoras de Red Alámbricas o Inalámbricas conectadas sin ningún tipo de control de uso a Internet.

Todas estas situaciones son prácticas ejecutadas por personal que se ha preocupado por atender las necesidades de funcionamiento, pero sin tener consideración alguna por la seguridad de lo que están poniendo a funcionar.

En algunos casos, podríamos argumentar que las empresas no contaban con asistencia calificada; sin embargo, lo que nos hemos conseguido mayoritariamente, son casos en los que las empresas contrataban servicios de asistencia con precios mínimos y limitados a atender requerimientos puntuales, que a la larga se convertían en innumerables llamadas y pagos en exceso, que pudieron ser evitados con una correcta asesoría inicial.

Mientras las pymes sigan considerando a la tecnología como un gasto que deben minimizar y existan asesores tecnológicos dispuestos a seguirles la corriente, los cyber-criminales contarán con blancos fáciles a los que puedan comprometer para realizar sus fechorías.

 

 

 

 

 

¿Puedo protegerme utilizando un servicio de DNS?

En los últimos tiempos, hemos observado que las pequeñas empresas se muestran interesadas, cada vez más, en su seguridad informática. Sin embargo, al mostrar productos basados en Hardware o Software, el costo de inversión asociado a estas soluciones tiende a ser el factor principal en la toma de decisión.

La pregunta: «¿Cuánto me cuesta?» , que sigue de inmediato a la presentación de los beneficios de una solución, nos revela que nos seguimos enfrentando a la percepción de la tecnología como un gasto y no como una inversión.

Al hablar con las pequeñas empresas, en muy rara ocasión se encuentra presente algún interlocutor del área de tecnología.  Esto hace que la conversación se desarrolle con los dueños del negocio, quienes manifiestan la preocupación en su seguridad, esperando que podamos ayudarlos a un «costo razonable».

Como proveedores de servicios nos planteamos la posibilidad de operar una solución totalmente basada en la nube, que no requiera de inversión en ningún hardware o software extra, ni de complejos artilugios en las redes de nuestros clientes.

Al analizar los controles basados en DNS, encontramos la alternativa de «costo razonable» que estábamos buscando.

Si partimos del hecho que para que podamos: navegar a un sitio web, enviar un correo electrónico, chatear o ver un video, es imprescindible la resolución de un nombre de dominio (DNS) para conocer la dirección IP del servidor al que debe establecerse la conexión, entonces al controlar que direcciones IP resuelven nuestros Servidores DNS podemos controlar como fluye el tráfico hacia internet.

Este tipo de controles DNS han estado en operación desde hace tiempo, incluso en países que aplican censura a ciertos sitios o dominios opuestos al gobierno de turno.  El uso del DNS es tan poderoso, que puede utilizarse – incluso – para evadir los controles de censura aplicados por estos países.

Combinar el poder del protocolo DNS con un adecuado sistema de clasificación de dominios en internet, con el que podamos agrupar sitios que distribuyen virus,  que poseen contenido pornográfico ó que permiten la descarga de herramientas de hacking,  nos permite tener una solución de seguridad básica para las pequeñas empresas y que combinada con herramientas de seguridad multicapa, nos permite mejorar la estrategia de seguridad de las medianas y grandes empresas.

Malware VPNFilter infecta más de 500.000 enrutadores inalámbricos caseros.

(Tomado de WatchGuard Secplicity y del Blog de Cisco Talos)

Hace una semana los investigadores de Talos publicaron un análisis acerca de un APT denominado VPNFilter, en el cual estimaban que al menos hay 500.000 enrutadores SOHO infectados en 54 países.  Unas horas más tarde, el FBI anunció que habían incautado un dominio clave para el botnet que establecía el canal de comando y control del malware.

VPNFilter es un malware altamente sofisticado, que funciona de forma modular desplegándose en fases para hacerse persistente en los enrutadores que compromete, comunicándose con los servidores de comando y control para descargar módulos de malware especializados.

La primera fase del APT difiere de otros malware dirigidos a IoT en que puede hacerse persistente, lo cual quiere decir que el dispositivo afectado permanece infectado aún después de un reinicio. Después de lograr afianzarse al enrutador, el APT intenta localizar y descargar un segundo malware que es no persistente y que es similar a otros botnet en que implementa un canal de comando y control para recibir y ejecutar comandos en el enrutador.

Como la segunda fase del malware intenta localizar a los servidores de comando y control, el FBI ha estado solicitando a los dueños de enrutadores que sospechen que pudieran haber sido afectados, para que los reinicien y de esta forma lograr identificar cuáles equipos han sido afectados a través del dominio que incautaron.

Hasta ahora no se conoce exactamente cuáles vulnerabilidades en los enrutadores fueron explotadas para lograr la instalación permanente del malware en los equipos afectados, sin embargo los investigadores han encontrado que todos los enrutadores comprometidos tenían vulnerabilidades bien conocidas que pudieron ser explotadas con técnicas que sólo requerían permisos administrativos y que no requerían técnicas de día cero sofisticadas para lograr la instalación.

Hasta ahora los modelos y marcas de los dispositivos que han sido afectados por el APT son:

LINKSYS:  E1200  –  E2500  –  WRVS4400N

MIKROTIK: 1016  –  1036  –  1072

NETGEAR:  DGN2200  –  R6400  –  R7000  –  R8000  –  WNR1000  –  WNR2000

QNAP:  TS251  –  TS439 Pro  –  Otros modelos QNAP NAS ejecutando QTS software

TP-LINK:  R600VPN

Los investigadores no han logrado determinar todos los modelos y marcas afectados porque todas sus observaciones se han basado en el acceso remoto a los equipos y aún no se conocen cuantos equipos se encuentran afectados.

Es importante destacar que este malware tiene un potencial destructivo capaz de implementar un ataque de alcance mundial a infraestructuras y proveedores de servicios críticas.  El control que han logrado de los dispositivos afectados es tal que los desarrolladores del APT tienen capacidad de dañar permanentemente a los enrutadores para lograr cubrir sus huellas.  Si decidieran generar un colapso mundial de los servicios de internet domésticos podrían destruir remotamente a todos los dispositivos con una instrucción remota.

¿Que hacer?

• Si tiene alguna de las marcas de Enrutadores o NAS afectados, se recomienda restablecer el equipo a su configuración de fábrica y volverlo a configurar procurando evitar las claves por defecto y accesos administrativos remotos desde internet.
• Descargue las últimas actualizaciones de firmware que pongan a disposición los fabricantes de los equipos, para tratar de corregir las vulnerabilidades que están siendo explotadas por VPN Filter en estos momentos.
• Evite colocar enrutadores domésticos directo al Internet si está en la posibilidad de colocarlos detrás de un equipo de seguridad que tenga servicios de defensa IPS o Antivirus.

 

 

 

 

 

 

USO DEL WIFI COMO HERRAMIENTA DE NEGOCIOS.

Seguramente la tecnología de conectividad inalámbrica o Wi-Fi no sea ajena para usted, ya que su uso se ha extendido como consecuencia de su incorporación en los teléfonos o tabletas celulares.

Quizá desconozca tecnológicamente como funciona un Wi-Fi, pero si debe estar acostumbrado a ubicar su Conexión Inalámbrica por Nombre (SSID) y a colocar una clave para conectarse.  Es muy probable que usted se conecte a un enrutador o punto de acceso inalámbrico en su casa u oficina, aunque esto no sea de mayor importancia para usted.

El uso de Wi-Fi es tan cotidiano, que seguramente ha pensado en incorporarlo en su negocio (si aún no lo ha hecho), solamente porque le parece natural permitir que los teléfonos se puedan conectar de forma inalámbrica.

Más allá de las consideraciones de seguridad asociadas a permitir conexiones inalámbricas en nuestras organizaciones, en el artículo de hoy queremos resaltar las bondades que tiene la tecnología inalámbrica para nuestros negocios.

Por definición, la tecnología Wi-Fi está compuesta de una estación de comunicación base y varios terminales inalámbricos.  En cualquiera de estos elementos, se transmiten y se reciben datos como una señal electromagnética, con un nivel de intensidad o de potencia de transmisión.  Este nivel de potencia o nivel de señal, lo podemos utilizar para conocer que tan cerca o que tan lejos se encuentra un terminal inalámbrico de la base de comunicaciones.

Intuitivamente sabemos que nuestro teléfono registra un nivel de señal alto o excelente, en la medida que nos acercamos a la base de comunicaciones. También sabemos que en la medida que nos alejamos de la estación base, se va debilitando el nivel de señal hasta que nuestro teléfono se desconecta e intenta ubicar a otra estación base cercana.

Si quisiéramos, podríamos establecer una regla que asocie la distancia que nos separa de nuestra estación de comunicaciones base en función del nivel de señal Wi-Fi que registra nuestro teléfono.  Por ejemplo, podríamos tener 5 Niveles de señal:  Excelente, Buena, Regular, Mala, Débil asociados a la distancia que nos separa de la antena:  1, 2, 3, 4 o 5 metros, respectivamente.

Ahora bien, ¿no suena lógico que podamos hacer la misma medición de distancia desde la propia base de comunicaciones?  ¿No tendríamos los mismos resultados?.  Pues la respuesta es afirmativa, se puede hacer la misma medición, obteniendo la misma distancia de separación del terminal móvil o teléfono.

Cómo nuestra base de comunicaciones inalámbricas Wi-Fi está diseñada para permitir la conexión de varias computadoras o teléfonos, entonces podríamos utilizarla para medir la distancia de separación hacia cada unos de los teléfonos.

Esto nos lleva a concluir que podemos utilizar un sistema Wi-Fi para saber cuántos teléfonos (o computadores) se encuentran cerca o cuántos teléfonos se encuentran lejos de nuestro sistema de comunicación inalámbrica.

Si mantenemos un registro constante de las mediciones que se hacen con nuestras antenas y luego las analizamos, vamos a poder saber cuando un teléfono se acerca o se aleja de nuestro sistema, cuanto tiempo permanece un teléfono cerca de nuestra antena, cuantas veces se ha acercado el teléfono a nuestro Wi-Fi, etc.

Partiendo del hecho que cada teléfono o computador no se desplaza por cuenta propia, sino que una persona vinculada a dicho equipo es la que lo acerca o lo aleja (consciente o inconscientemente) de nuestro Wi-Fi, al lograr establecer una vinculación de cada teléfono a su dueño, vamos a poder establecer mediciones asociadas a los dueños de los teléfonos.

De esta forma, es posible distribuir varios puntos de comunicación Wi-Fi en un Centro Comercial, para medir por donde se desplaza cada persona (que tan lejos o que tan cerca está de cada antena), cuanto tiempo se mantiene cada persona cerca de cada antena o cuantas veces dicha persona visita el centro comercial.

Así que, la próxima vez que piense que debe instalar una zona Wi-Fi en su organización, sólo porque hoy día es común su uso, piense que esto podría ser una herramienta poderosa para hacer negocios, si selecciona un Wi-Fi que haga análisis de los datos de conectividad inalámbrica.

 

 

 

 

 

 

 

 

 

Predicciones en Seguridad IT según WatchGuard Technologies.

(Fuente WatchGuard Technologies – Versión Libre al Español por AltermediosMSS)

1. Los hackers encontrarán una vulnerabilidad suficientemente severa en los blockchain como para acabar completamente con algunas de las criptomonedas. 

Ya el objetivo de los hackers no serán las criptomonedas para cobrar rescate en ataques de ransomware.  Como ha crecido tanto la adopción de las criptomonedas más conocidas y están incorporándose otras nuevas, no sería raro de esperar que el próximo objetivo de los cibercriminales sean las criptomonedas en sí mismas.

2. La creciente adopción de seguros corporativos que disminuyan el impacto económico de un ransomware y en la reputación de las empresas, motivará a los cibercriminales a enfocar sus ataques en las aseguradoras y sus empresas aseguradas.

Debido a que la efectividad de un ataque de spam es inferior a 1% y que apenas un tercio (1/3) de las empresas contaminadas por ransomware están pagando por los rescates solicitados, los autores de estas extorsiones han comenzado a revisar su negocio.  Pensar en subir el valor del rescate solicitado para aumentar (o compensar) sus ganancias reduce la cantidad de empresas que podrían pagar por el rescate. Su alternativa es hacerse más efectivos y apuntar a empresas vinculadas a pólizas de seguros contra este tipo de extorsiones, porque sería más probable que opten por pagar el rescate solicitado.

 3. Se espera que los gobiernos aumenten las regulaciones sobre el Internet de las Cosas (IoT = Internet of Things), debido al crecimiento de Botnets IoT.

El número de fabricantes que están desarrollando dispositivos IoT están en constante aumento.  Estos han reducido la seguridad de los desarrollos IoT para poder tener los nuevos equipos en el mercado lo más pronto posible.  Esta falta de seguridad y el incremento de plataformas multimedia de uso masivo como «Reddit» o «Netflix» hace pensar en que pudiera generarse un ataque masivo utilizando un BOTNET de equipos IoT.  Esto obligará a que los gobiernos den un paso al frente y comiencen a crear leyes que obliguen a los fabricantes de equipos IoT a prestar atención a la seguridad de sus equipos.

4. WatchGuard Labs ha estado observando un incremento en los ataques sobre sistemas basados en Linux durante el 2017 y espera que dichos ataques se dupliquen durante el 2018.

Durante el primer trimestre de 2017 el 36% del malware detectado estaba orientado a dispositivos basados en Linux, mientras que en el segundo trimestre hubo un incremento en la explotación de vulnerabilidades de red asociadas a estos equipos.  Para finales de año 2017, también se detectó un incremento de los ataques basados en sesiones TELNET y SSH sobre servidores LINUX.  Estas tendencias y el hecho que la mayoría de los dispositivos IoT baratos están haciendo uso de kernel linux instalados por defecto, lo cual los hace extremadamente inseguros, obliga a predecir el alarmante incremento de los ataques directos a estas plataformas.

5. La pérdida de datos y fuga de contraseñas obligarán a las PYME a adoptar definitivamente la Autenticación de factor múltiple.

En los últimos años se ha tenido noticias de ataques orientados al robo de credenciales (usuarios y contraseñas) en sitios web muy conocidos.  Esta información robada luego es utilizada para tener acceso directo a servidores y redes, principalmente en aquellas empresas en la que los usuarios utilizan un mismo usuario y contraseña para el acceso a todos sus recursos.  La adopción de Autenticación de Factor Múltiple, surge entonces como una alternativa, pues ya no bastaría con una contraseña para acceder a un recurso o sistema, se requeriría al menos de dos elementos de validación en simultáneo.  Estos sistemas de Autenticación múltiple han tardado en adoptarse en las pequeñas y medianas empresas (pymes) por lo costoso y complejo que resulta su implementación. Sin embargo, se espera que durante el 2018 con el incremento del uso de smartphones y de plataformas de pagos por uso (as a service) se abaraten estos sistemas lo suficiente como para que las pyme comiencen rápidamente su adopción.

6. ¿Que causará mayor impacto en las elecciones durante el 2018? Hackeo de las máquinas de votación o campañas de desinformación y propaganda.

Durante el DEFCON de 2017 un grupo de hackers pudo mostrar cómo hackear máquinas de votación, algo que ha sido intentado por años con mayor o menor grado de éxito.  La posibilidad de tener acceso a las máquinas de votación, provoca que el elector cuestione la credibilidad de un proceso electoral en su totalidad. Sin embargo, los hackers que pudieron llevar con éxito el ataque, tuvieron acceso total y físico a los equipos, cuestión que es imposible que ocurra en una elecciones en la vida real.  Ahora bien, el impacto que genera la duda acerca de la integridad de las máquinas de votación afecta mucho más al proceso electoral que el ataque en si mismo a cada máquina de votación, lo cual sería mucho más díficil y costoso de hacer. Así que pareciera que las campañas de desinformación y propaganda con noticias falsas (fake news) parecieran que van a ser la forma en que se afectarán los procesos electorales del 2018.

7. La tecnología SDR para comunicaciones inalámbricas está siendo adoptada por cada vez más dispositivos comunes como  automóviles, dispositivos de salud, alarmas de edificios, etc.  Esto lleva a pensar que la próxima frontera es el ataque a esta tecnología. 

El Hackeo de Sistemas WiFi se ha vuelto cada vez más común, al punto que ya existen videos tutoriales acerca de cómo hacerlo.  Esto ha llevado a perfeccionar los sistemas de radio definidos por software (SDR), los cuáles permiten modificar el comportamiento de un transmisor de radio con el uso de un programa y un procesador de uso general.  Esta tecnología que inicialmente encontraba su nicho de aplicación en lo militar ahora se ha estado llevando a sistemas cotidianos a los fines de poder modificar a conveniencia y de manera económica su comunicación inalámbrica.

 

WatchGuard Threat Labs: Estadísticas del tercer trimestre 2017

(Información obtenida de la Infografía Resumen del Estudio Q3, 2017 de WatchGuard Threat Labs)

Para poder establecer una estrategia de defensa es preciso conocer los tipos de amenazas y ataques que han estado ocurriendo en los últimos tiempos.

Lo valioso de la información obtenida del estudio de WatchGuard Technologies es que resume el comportamiento de un universo aproximado de 30.000 equipos distribuidos en el mundo entero.

Esta información debe complementar nuestra propia estrategia de visualización y análisis de los Logs con las tendencias obtenidas del Informe.

A continuación la información más importante que se puede resumir:

-) 24% DEL MALWARE DETECTADO ES ZERO DAY.

Ya no es suficiente protección el uso del Gateway Antivirus.  Es preciso el complemento con tecnologías de detección en la nube y de evaluación de comportamiento del tipo Sandbox, para poder estar protegido de este tipo de malware.

Aunque el Gateway Antivirus no es suficiente, evidentemente es una protección necesaria contra un 76% del malware conocido. 

-) 68% DEL MALWARE DETECTADO UTILIZA TECNOLOGÍA DE SCRIPTING EN SESIONES WEB.

La evidencia muestra que es imprescindible el uso del IPS para evitar la ejecución de  «programas» (scripts) en sesiones de navegación web.  Por lo que es altamente recomendable la activación de la prevención de intrusiones en sesiones http y https.

La evidencia también mostró que el malware no estaba afectando solamente a los navegadores de los usuarios, también estaba afectando a los servidores web.  Por lo que no debe olvidar de aplicar el IPS sobre su Servidor WEB y cualquier aplicativo que haga uso de los servicios web para su funcionamiento.

-) 71,62% DEL MALWARE DETECTADO OCURRIÓ EN LA REGIÓN EUROPA-AFRICA-MEDIO ORIENTE (EMEA por sus siglas en Inglés).

Esta estadística muestra que los usuarios de estas regiones deben poner especial cuidado en el uso de una estrategia de seguridad MULTICAPA que debe incluir como mínimo el uso de Antivirus, IPS y APT Blocker.

Si usted no pertenece a esta región no debe sentirse aliviado por el mal ajeno.  Muy por el contrario, debería enfocar sus esfuerzos por analizar sus datos con DIMENSION y evaluar su interacción de tráfico con esta región EMEA, para que pueda prevenir contaminarse de manera indirecta.  Aproveche la función de GEOLOCALIZACIÓN para bloquear la actividad con los países de la región con los que no requiera interacción alguna y aplique seguridad multicapa con aquellos con los que si requiera interacción.

Estos son las cifras más relevantes de un estudio muchísimo mas extenso y algunas de nuestros comentarios y recomendaciones basadas en estas cifras.

Si quiere obtener mayor información acerca del estudio o nuestra interpretación del mismo, puede escribirnos a  info@altermediosmss.net

 

 

 

 

 

10 Malos Hábitos que deben romper los Profesionales de Seguridad IT

(Tomado y Adaptado de TechRepublic)

La demanda de profesionales de Seguridad IT continúa en ascenso y se proyecta una escasez de talentos de 1.8 Millones de empleos para el año 2022.  Los encargados de asumir estas posiciones jugarán un rol muy importante en sus organizaciones. Una serie de errores comunes pueden hacer su trabajo más difícil y poner en riesgo la seguridad de sus empresas. El costo promedio de las brechas de seguridad, a nivel mundial, está estimado en 3.62 millones de dólares.

A continuación se indican los 10 malos hábitos que deben romper los profesionales en Seguridad IT para ser más eficaces en sus organizaciones:

1.EXCESO DE CONFIANZA.

Es el error más común en Seguridad IT.  Una falsa sensación de confianza se produce al pensar que se han implementado todos los controles correctamente, lo que lleva a pensar que las organizaciones son invulnerables.

Otro de los errores comunes es pensar que es suficiente con implementar un sólo mecanismo de protección.  Sin embargo, como queda establecido en los juegos de estrategia, una Individuo puede ser vencido por otro Individuo independientemente de que tan ágil  o poderoso sea.  Por eso es importante que siempre se aborde una estrategia de seguridad multicapa.

2.OMISIÓN DE LOS CONTROLES CORPORATIVOS.

Los profesionales de seguridad IT tienden a deshabilitar los controles implementados cuando consideran que les impide hacer su trabajo.

Al implementar una estrategia de seguridad multicapa se presentan incompatibilidades entre tecnologías que compiten entre si, lo que los obliga a desabilitar o apagar configuraciones que suelen ser repetidas.

Desabilitar o remover protecciones como el Anti-Virus, la Autenticación de Doble Factor o abrir los Protocolos de Red, exponen los sistemas de manera deliberada a los atacantes.

3.ACTITUD NEGLIGENTE ACERCA DE LOS FALSOS POSITIVOS.

Algunos profesionales de seguridad IT son negligentes respecto a los falsos positivos, asociados a la detección y bloqueo de archivos benignos que han sido catalogados como malware, con la consecuente pérdida de información o interrupción de las operaciones.

Muchas veces estos falsos positivos son provocados por la configuración de los sistemas de seguridad IT a un nivel paranoico que impide el normal desenvolvimiento de las operaciones de la organización.

4.NO REVISAR TODO SU AMBIENTE DE TRABAJO.

Los profesionales de seguridad IT pasan gran parte de su tiempo «apagando fuegos» y tapando huecos de seguridad. Muy por el contrario, pasan muy poco tiempo revisando por qué sus sistemas se van debilitando.

Muchas veces los problemas de seguridad se presentan por cambios de configuración provisionales que no son reversados o por elevación de los permisos de los usuarios que son solicitados temporalmente para realizar alguna actividad y que luego no son revocados.

5.DESCONOCER LA IMPORTANCIA DE LOS USUARIOS EN LA SEGURIDAD IT.

Aunque muchos profesionales de IT reconocen que sus usuarios son el eslabón más débil en la cadena; muy pocos reconocen que deben actuar sobre sus usuarios para mejorar la seguridad.

El entrenamiento de los usuarios es una aspecto clave en la estrategia de seguridad por lo que es deseable que la educación sea un aspecto prioritario. Pequeños cambios en la conducta de los usuarios, pueden traer efectos notables en la postura de seguridad de la organización.

6.DEJAR QUE DECAIGAN SUS HABILIDADES.

Es un error asumir que se poseen todas las habilidades que puede requerir su trabajo.  Debe mantenerse en constante entrenamiento para no ser dejado atrás por las nuevas tecnologías.

7.NO ACTUALIZAR LOS PARCHES DE SEGURIDAD INMEDIATAMENTE.

Las organizaciones invierten gran cantidad de su presupuesto en la contratación de soluciones de seguridad que terminan siendo vulneradas por no aplicar las actualizaciones de seguridad de manera oportuna.

8.EL SÍNDROME DE FATIGA POR ALERTAS.

Este síndrome es provocado por el envío de una gran cantidad de alarmas al responsable de Seguridad IT, quien termina por descartarlas al no poder procesarlas o por que le incomoda tener que reaccionar ante el gran volumen de información recibida.  Esto trae como resultado que se descarten alarmas muy importantes que evitarían a tiempo cualquier amenaza de seguridad.

9.CONFIAR DEMASIADO EN SUS PROVEEDORES.

Muchas veces lo profesionales de IT confían demasiado en sus proveedores, porque se supone que deben estar a la vanguardia de las tendencias en seguridad. Pero debe tenerse en mente que cualquier producto, sea de hardware o software, es solamente un engranaje de un completo sistema de seguridad, no es la solución en sí misma.

La recomendación es que cada profesional de seguridad IT debe asegurarse de poder obtener el máximo provecho de sus productos de hardware o software, antes de continuar adquiriendo nuevas tecnologías, evitando así la alta dependencia de sus proveedores.

10.IGNORAR EL LADO EMPRESARIAL.

El profesional de seguridad IT debe poder hablar en términos del negocio con los tomadores de decisión.  No debe expresarse en términos técnicos que no puedan ser comprendidos por sus interlocutores, hacer esto es como ir a una balacera con un cuchillo, no le serviría de nada (o de muy poco).

El encargado de seguridad IT debe tratar de entender el negocio en todo su contexto y no enfocarse solamente en los aspectos de seguridad, sino lo hace así, el negocio dejaría de ser exitoso, haciendo inútil la implementación de cualquier tipo de estrategia.

Fuente: http://www.techrepublic.com/article/10-bad-habits-cybersecurity-professionals-must-break/

 (Créditos: Alison DeNisco)