Andrés Naranjo

Andrés Naranjo

Analista en Ciberinteligencia y CSE de ElevenPaths. Experto certificado en seguridad de los datos y habitual divulgador de educación en ciberseguridad.
Ciberseguridad
DIARIO: un arma más en el arsenal de TheHive
Ya sabemos que el eslabón mas débil de la cadena de la ciberseguridad es el propio usuario. Los estudios al respecto demuestran que el principal motivo por el que un ciberataque a una empresa resulta exitoso es por el vector de entrada del correo electrónico. Todo el desastre empieza a menudo a través de un email con un archivo adjunto. Es por esto que desde Telefónica Tech se ha desarrollado una tecnología que aborda el problema del análisis de documentos ofimáticos de una forma totalmente innovadora: DIARIO. Ahora, la famosa plataforma de respuesta a incidentes de ciberseguridad (SIRP) TheHive, ha incluido la posibilidad de integrar DIARIO en sus sistemas. DIARIO es una tecnología 100% desarrollada por el Área de Innovación y Laboratorio de ElevenPaths, parte de la nueva Telefónica Tech, cuyo motor de inteligencia artificial es capaz de escanear los documentos para detectar en ellos indicios de código malicioso utilizado por los cibercriminales, devolviendo de una manera rápida y cómoda para el usuario un veredicto acerca de su peligrosidad. DIARIO no es otro antivirus Esta capacidad de DIARIO, utilizando inteligencia artificial, de detectar elementos comunes usados para introducir código malicioso en documentos ofimáticos es extremadamente útil en aquellas zonas donde el antivirus no puede ayudar, haciendo una labor de detección realmente eficaz. DIARIO no trata de sustituir a los antivirus tradicionales, los complementa haciendo un tipo de análisis totalmente diferente en todo aquello que no ha sido capaz de detectarse mediante las metodologías tradicionales de los antivirus, normalmente basadas en firmas. DIARIO es muy eficaz en aquello que “escapa” a la detección de los antivirus. La privacidad como eje de diseño de DIARIO DIARIO está totalmente enfocado a su uso empresarial y, es por esto, dada la posible confidencialidad de los documentos, que se ha diseñado para su confidencialidad. A menudo, en caso de archivo sospechosos, los empleados utilizan como validación adicional de ausencia de virus plataformas online de escaneo de archivos que registran y almacenan tanto la información como los metadatos de esos documentos que reciben. Esto puede significar un grave problema de privacidad por el contenido sensible o confidencial almacenado en esos documentos. DIARIO sin embargo, solo extrae aquellas partes de los documentos que pudieran ser sospechosas para ser analizadas, y nunca el contenido del documento en sí. De modo que la información sensible o confidencial contenida en el documento no viaja ni es almacenada de ningún modo fuera del entorno corporativo, manteniendo la privacidad de esa información. TheHive La inteligencia artificial entrenada de DIARIO también está disponible para su uso o integración mediante otras herramientas o tecnologías gracias a su interfaz para desarrolladores (API). Es por esto por lo que resulta muy útil como parte de TheHive. TheHive es una plataforma de respuesta a incidentes de ciberseguridad (SIRP) que se encarga de recibir alertas desde todas nuestras tecnologías de ciberseguridad (SIEM, IDS/IPS, firewalls, etc…). TheHive es una plataforma altamente automatizable y lista para ser integrada con otras tecnologías para mejorar su eficacia y funcionalidad. De este modo, desde TheHive, usando la inteligencia artificial de DIARIO, podemos escanear directamente los archivos sospechosos que lleguen adjuntos en alguna alerta, haciendo de esta forma un análisis rápido y directo del contenido de los archivos ofimáticos que permitan una alerta temprana automática en caso de archivos maliciosos. DIARIO es una solución multiplataforma y funciona en Windows, Linux y MacOS, y puede ejecutarse directamente en la nube, desde el cliente de correo webmail de Office365 como en la aplicación de escritorio Outlook. Se puede probar la capacidad de análisis de documentos de DIARIO de forma rápida y fácil desde su portal web: diario.elevenpaths.com. Si estás interesado en disfrutar de las ventajas de DIARIO en alguna de sus formas de consumo, puede ponerse en contacto con Telefónica Cybersecurity & Cloud Tech desde el formulario al respecto en el portal de DIARIO: diario.elevenpaths.com o en el email lab-tcct@telefonica.com.
24 de mayo de 2021
Ciberseguridad
El reto de la identidad online (I): la identidad es el nuevo perímetro
A menudo nos encontramos ante situaciones en las que nos enfrentamos una misión y, a medida que ésta avanza, nos damos cuenta de que las primeras elecciones que tomamos a la hora de llevarla a cabo no fueron buenas. Justo en ese momento, tenemos dos opciones: volver a empezar desde cero o bien paliar esa mala toma de decisiones con trabajo y esfuerzo adicional. Internet se creó de forma no segura Ésta es una frase que seguramente habremos oído decir alguna vez a los profesionales de la ciberseguridad. Este apasionante cambio que ha significado la transformación digital, uno de los más drásticos en la historia de la humanidad, se ha ido construyendo siempre en base a cosas que no se habían hecho antes. Por el camino, hemos tomado elecciones que, en ocasiones, han demostrado ser poco acertadas. Pero, como decíamos antes, nos encontramos en el caso de que no podemos “resetear” internet y partir de cero. Una de esas malas elecciones que arrastramos desde los albores de internet es la gestión de la identidad, o dicho de otro modo, cómo sabe un sistema quién es el usuario que lo está usando. Por ejemplo, quién es la persona que accede a su correo electrónico y cómo se diferencia éste de otro individuo. Tradicionalmente esto se ha basado en el uso de contraseñas, que sólo debería (es necesario repetir, debería) saber el usuario en cuestión. Pero, bien sea por la propia seguridad de los sistemas (donde la contraseña puede ser interceptada o robada tanto en la red como en el dispositivo donde se usa) o bien porque el usuario no hace un uso responsable de ellas, este sistema ha demostrado ser extremadamente frágil. El usuario, el eslabón más débil de la cadena Este punto es extremadamente fácil de comprobar: sólo hay que darse un paseo por los canales “underground” de Telegram o de la Deep Web (o Dark Net) para ver la cantidad de cuentas de servicios premium que existen a la venta: Netflix, Spotify, PrimeVideo, Twitch Gaming y casi de cualquier tipo. Es lógico inferir que estas cuentas low cost y sin caducidad han sido robadas a otros usuarios cuya gestión de credenciales y por ende, de su identidad es claramente mejorable, bien en el servicio online o bien en su uso personal. Tanto es así que en prestigiosos estudios al respecto, como el de Forrester en su The Identity And Access Management Playbook for 2020, nos advierten de que el 81% de las brechas de seguridad tienen origen en una contraseña débil, robada o usada por defecto. Esto ocurre por multitud de razones, tanto por responsabilidad del usuario como por defectos de diseño o de implementación de seguridad. En buena parte, esto se debe al desconocimiento o la falta de celo del usuario, que piensa que a nadie puede interesar vulnerar su seguridad como usuario particular. Algo que adquiere mucho mayor impacto cuando la identidad del usuario supone la puerta de entrada a una entidad mayor como una empresa y organización. Tal es así que, a día de hoy, ha demostrado ser el eslabón más débil de la cadena: un usuario vulnerable a ciberataques hace a una empresa vulnerable. Esto puede estar provocado, sin ir más lejos, por el uso de una contraseña excesivamente fácil de adivinar, demasiado común o bien reutilizada en más de un sitio o servicio online. Recomiendo leer también este otro artículo sobre el buen uso de las contraseñas. Para estos usos no apropiados de las contraseñas, los cibercriminales han diseñado técnicas de las que hablaremos en la segunda parte de esta serie de artículos. De modo que, para no delegar esa confianza en el usuario final, las empresas de ciberseguridad como ElevenPaths se esfuerzan en evitar este tipo de riesgos en los usuarios, diseñando productos y servicios que añadan una capa de seguridad adicional a la tradicional y obsoleta dupla usuario/contraseña. Además de incluir mejoras innovadoras a los servicios de identidad que también trataremos en el volumen 3 de esta serie de artículos. El camino hacia una gestión de identidad robusta: SmartPattern ¿Dónde está el reto, por tanto? En ser capaz de desarrollar tecnología que garantice esa capa de seguridad adicional sin perjudicar la experiencia de usuario y sin obligar al usuario que aprenda o se adapte a un nuevo sistema de identificación. Llamamos identidad robusta o autenticación de nivel 3 a: Algo que tú tienes: por ejemplo, un dispositivo o tarjeta física. Algo que tú sabes: por ejemplo, un pin o contraseña. Algo que tú eres: por ejemplo, tu huella digital. De modo que, como colofón y, en cierto modo, spoiler de a dónde nos lleva este viaje de la transformación digital en cuanto a la gestión de la identidad, pondremos un ejemplo de gestión de identidad robusta a la par que cómoda y usable por el usuario común de tecnología: SmartPattern. SmartPattern es un nuevo concepto en el proceso de autenticación robusta, así como en el de autorización y firma de documentos mediante un gesto simple de patrón de móvil, que puede usarse en cualquier smartphone, tablet o touchpad de portátil como servicio de identidad. Dicho de otro modo, el usuario no necesita recordar o guardar cientos de contraseñas, sino simplemente recordar un único patrón para todos los servicios online, mediante el cual el servicio usa un motor de machine learning que es capaz de detectar características únicas en el trazado, que incluso mostrado intencionadamente a otro usuario, éste fallará en el 96% de las ocasiones, como pudimos comprobar en un estudio de campo en la universidad de Piraeus, Grecia. Entrenamiento de la Inteligencia Artificial de SmartPattern Gracias a su versatilidad, SmartPattern puede integrarse con multitud de servicios de autenticación y autorización. Por ejemplo, loguearse y/o autorizar una transacción bancaria, como ya hemos demostrado en el portal demo de Nevele Bank: ¡un banco sin contraseñas! La web de SmartPattern ofrece más información al respecto, pero sirva este elemento innovador y avanzado para demostrar que el camino hacia una identidad segura tendrá muchas más vías al margen de la conocida dupla que hasta ahora habíamos considerado segura. Esto es todo por el momento. En el siguiente volumen hablaremos sobre el cibercrimen y el mercado de credenciales robadas que sigue creciendo, tanto en la Deep Web como en canales clandestinos de Telegram.
12 de noviembre de 2020
Ciberseguridad
Teletrabajo y pandemia: un análisis práctico respecto a la vulnerabilidad BlueKeep en España y Latinoamérica
No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la que responde mejor al cambio. Charles Darwin Uno de los mayores y más rápidos cambios acontecidos en la historia reciente de la humanidad es esta “nueva normalidad” que ha traído la pandemia de la Covid-19 desde el pasado mes de marzo. En este cambio, la mayoría de las empresas tuvo que gestar un modo de mantener su actividad al precio que fuese, al menos en la medida de lo posible. Esto, que no es fácil, sabemos además que es crítico siempre que hablamos de empresas tecnológicas: vemos muchas empresas cuyo éxito y fuerza anterior de nada les ha servido para afrontar el actual escenario de mercado o financiero. Han pasado del mayor de los éxitos (su fuerza anterior) al más estrepitoso de los fracasos. No adaptarse al cambio puede significar ser sentenciado a muerte o a una larga agonía. Recordemos el caso de Nokia, por ejemplo: a primeros de siglo, cómodamente asentada en el trono hegemónico de la telefonía móvil tanto por producción como por reputación; hoy, sólo una pequeña sombra de lo que fue, tras la llegada de los smartphones. Pero volviendo a marzo de 2020, como decíamos, las empresas de la mayoría de países que han sufrido un confinamiento han debido disponer de medios para mantener su actividad. Y, a menudo, estos procesos tan urgentes nunca tienen en cuenta las medidas de protección necesarias. En buena parte, esta adaptación ha significado habilitar la posibilidad del teletrabajo, que, según parece por los movimientos de los distintos gobiernos a regular esta modalidad laboral, ha llegado para quedarse. Pero, como demostraremos, esta capacidad para gestionar en remoto y/o habilitar el teletrabajo ha significado un mayor número de activos expuestos a vulnerabilidades sobradamente conocidas. La vulnerabilidad BlueKeep El estudio que se presenta se basa en la vulnerabilidad CVE-2019-0708, una vulnerabilidad bautizada como BlueKeep, de ejecución remota de código en Remote Desktop Services (anteriormente conocido como Terminal Services) cuando un atacante no autenticado se conecta al sistema de destino mediante RDP y envía peticiones especialmente diseñadas. Esta ejecución remota de código puede significar el control y compromiso total del sistema. El motivo de estudiar precisamente esta vulnerabilidad es porque el protocolo RDP habilita un acceso remoto fácilmente, tan sólo con abrir el puerto 3389 a la máquina deseada. Pero cada puerto abierto, como sabemos, es un vector de entrada, sobre todo en el caso de que no se hayan tomado las medidas básicas de protección de los sistemas. Además, no es una vulnerabilidad especialmente reciente (data de mayo de 2019) y también debemos tener en cuenta que afecta a sistemas operativos obsoletos de Microsoft XP, Vista, Windows Server 2008 que no estén debidamente actualizados. En el estudio ha colaborado César Farro, que ya en mayo del año pasado publicó el primer estudio de exposición respecto a BlueKeep. Para este menester se han usado herramientas públicas como masscan y rdpscan, ambas escritas por Robert Graham. Estudio de la vulnerabilidad BlueKeep – Mayo 2019 La metodología para este trabajo ha sido simple: Se ha escaneado el rango de IP’s respecto de cada país usando fuentes públicas donde están publicadas los rangos IPv4 asignados a cada uno, como Lacnic y RIPE. Se han usado las herramientas antes descritas para analizar si el activo expuesto bajo el puerto 3389 abierto es vulnerable. Cabe destacar que el análisis no es determinante y hay un número de activos no diagnosticables, que se detallan como "unknown”. Establecemos una comparativa entre enero 2020 y agosto 2020 para comparar el número de activos con el puerto abierto y extraer conclusiones respecto al nivel de exposición. Veamos, por ejemplo, datos para España antes y después de la pandemia: Tomando como datos los porcentajes, vemos una clara evolución: Para el caso de España, podemos sacar las siguientes conclusiones: Si bien el número de activos con el puerto 3389 casi se ha duplicado, el porcentaje de activos objetivamente vulnerables a esta vulnerabilidad claramente ha bajado de un 11% a un 4% de los activos expuestos. 3745 dispositivos se podría considerar todavía un número muy elevado de máquinas fácilmente accesibles y vulnerables por tanto, a un fallo de seguridad publicado hace más de un año. El aumento de los casos etiquetados como desconocidos se debe, principalmente a una corrección de los métodos de consulta desde IP’s desconocidas, y debe atribuirse a una mejor configuración. Esto puede hacerse, por ejemplo, limitando los accesos RDP a unas IP’s determinadas, lo cual redunda en un acceso más seguro. Puedes consultar todos los datos respecto a los 12 países en estudio en resumen en la siguiente tabla: En resumen La nueva normalidad impuesta por la pandemia ha forzado a numerosas empresas y organismos a habilitar recursos de acceso remoto para mantener su actividad. Pero, como todo cambio, esto ha de hacerse manteniendo nuestra estrategia de seguridad para garantizar también la continuidad de negocio. El uso de RDP u otros métodos de acceso remoto deben ser planificados y ejecutados siempre desde la seguridad por diseño para que nuestra adaptación a este cambio se lleve a cabo sin poner en riesgo nuestra entidad. Como consejo, conviene tener correctamente inventariada nuestra lista de activos con sus correspondientes versiones de sistemas operativos y software y/o servicios que corren, vigilando siempre que se mantienen al día respecto a actualizaciones de seguridad.
28 de octubre de 2020
Ciberseguridad
Análisis de APPs relacionadas con COVID19 usando Tacyt (II)
Seguimos con la investigación comenzada en la entrada anterior en la que analizamos este tipo de aplicaciones con nuestra herramienta Tacyt. Relacionado con la aplicación analizada, podemos observar que un rápido vistazo a los permisos en Tacyt ya nos deja bien claro que no nos hallamos ante una APP convencional: permisos de llamadas, cuentas, SMS, eliminación de procesos, NFC, grabar audio y un largo etcétera. Todo esto es mucho más propio de una APP maliciosa que de una APP legítima, sea cual sea su funcionalidad. Las probabilidades de que sea un troyano que se ejecute en segundo plano para poder acceder a información sensible generada a través del dispositivo móvil son, por tanto, elevadas. Destacan como críticos los siguientes permisos que la APP necesita para poder ejecutarse en el terminal: android.permission.CALL_PHONE: permite que una aplicación inicie una llamada telefónica sin pasar por la interfaz de usuario del marcador para que el usuario confirme la llamada. android.permission.INTERNET: permite que las aplicaciones abran conexiones de red. android.permission.NFC: permite que las aplicaciones realicen operaciones de E/S a través de NFC. android.permission.READ_CONTACTS: permite que una aplicación lea los datos de los contactos del usuario. android.permission.READ_PHONE_STATE: permite el acceso de solo lectura al estado del teléfono, incluida la información actual de la red celular, el estado de las llamadas en curso y una lista de todas las cuentas telefónicas registradas en el dispositivo. android.permission.READ_SMS: permite que una aplicación lea mensajes SMS. android.permission.RECEIVE_SMS: permite que una aplicación reciba mensajes SMS. android.permission.RECORD_AUDIO: permite que una aplicación grabe audio. android.permission.SEND_SMS: permite que una aplicación envíe mensajes SMS. Tras instalar la APP en un dispositivo Android, se observa que únicamente realiza conexiones a la dirección IPv4 149.154.167.99 bajo el protocolo HTTPS. Podemos ver también que la dirección IP anterior corresponde con uno de los servidores de Telegram encargados de la gestión de bots para comunicarse por este medio. Tras descompilar y analizar el código de la APP maliciosa, vemos que usa técnicas de ofuscación para intentar evadir la detección por los motores antimalware existentes o por los mecanismos de protección presentes en los dispositivos móviles actuales. La APP utiliza SQLite para almacenar de manera local la información sensible que obtiene del dispositivo de la víctima donde se instala y, presumiblemente, por cada víctima, mandar un aviso a un bot de Telegram. Además, es muy probable que toda la información que vaya recabando la APP maliciosa de cada una de sus víctimas, como por ejemplo mensajes de audio, búsquedas realizadas con el navegador en busca de parámetros o cookies de sesión, información obtenida a través de la webcam, etc., sea almacenada de manera local en una base SQLite para un posterior volcado en un servidor centralizado controlado por el cibercriminal. Con estos claros indicios, se puede ya comprobar que muchos motores antimalware identifican a la APP como maliciosa, concretamente detectando el famoso troyano Cerberus, que permite control total del sistema. Los atacantes han disfrazado el troyano una vez más con una temática llamativa y relevante para el momento, intentando maximizar las descargas. Conclusión Como en tantas otras ocasiones y aprovechando la repercusión y la incertidumbre generada por la pandemia de la COVID-19, muchas aplicaciones maliciosas están usando técnicas de ingeniería social para, a través de troyanos tradicionales, controlar dispositivos. Sólo nos queda recomendar encarecidamente descargar solamente aplicaciones desde fuentes oficiales para evitar problemas de seguridad y privacidad.
20 de agosto de 2020
Ciberseguridad
Análisis de APPs relacionadas con COVID19 usando Tacyt (I)
Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo la de Android, ya limita la publicación y búsqueda de términos como “covid” o “coronavirus”: Google le ha declarado la guerra a aquellos que intentan aprovecharse del miedo para ganar descargas. A día de hoy, sólo permanecen en Google Play aquellas que pertenecen a estamentos oficiales de los distintos gobiernos. Para este rápido análisis vamos a usar la herramienta Tacyt de ElevenPaths, el ecosistema de ciberinteligencia móvil, donde su estructura de Big Data supervisa, almacena, analiza, correlaciona miles de aplicaciones nuevas cada día, y cuya información tenemos accesible para cotejar o comparar en base a consultas fáciles y sencillas. Una de las ventajas que nos ofrece Tacyt es que podemos tener accesibles todas las aplicaciones independientemente de la ubicación. Ya que Google Play puede ofrecer sólo resultados en función de nuestro país de origen según la disponibilidad que haya propuesto el desarrollador. Desde España, vamos al repositorio Oficial de Google Play y buscamos aquellas APPs relacionadas con la COVID19. Apps oficiales en España accesibles en el market de Google (10 en total) Nada que ver sin embargo con el número de aplicaciones encontradas en cualquier market no oficial: Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus” Como ocurre con otros markets, Aptoide, por ejemplo no descarga directamente la APP que hemos solicitado sino el “descargador” a través del que se solicitará la descarga real. Esto puede intuirse fácilmente comprobando que el tamaño del archivo es el mismo: Descargas de apps desde APTOIDE De hecho, lo comprobamos fácilmente en Tacyt al subir estas aplicaciones, las detecta como una sola, con idéntico hash: Y es que Tacyt no sólo incluye sus propios motores de descubrimiento y descarga de aplicaciones, sino que además, usando la función de carga (ya sea vía web o API) el usuario puede subir las aplicaciones para ser analizadas, que podemos ver etiquetadas como “userUpload” y además etiquetarlas con nuestras propias etiquetas identificativas (como en la imagen, el autor de la subida o el mercado de donde se descargó). Esta función de subida nos puede ser muy útil para detectar en markets no oficiales versiones alteradas de nuestras aplicaciones legítimas, por ejemplo, de una entidad bancaria. Tacyt incluye en la interfaz un botón para comparar aplicaciones. En cualquier caso, no dejamos pasar la oportunidad de desaconsejar totalmente la instalación de aplicaciones desde fuentes no oficiales. Búsqueda con Tacyt en Google Play de apps relacionadas con la COVID19 desde el inicio de la Pandemia Vamos a centrar la investigación en Google Play. Se hace uso de los filtros para formar la siguiente búsqueda en Tacyt. Como puede verse estas consultas compuestas (dorks) habituales en búsqueda en Google, por ejemplo, son de fácil lectura: ((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (origin:"GooglePlay") AND (createDate:"2020-03-14 00:00:00 - today") Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma Respuesta de Tacyt con la búsqueda anterior: Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España Buscamos ahora con Tacyt APPs no oficiales relacionadas con la COVID19 desde la fecha oficial del inicio de la pandemia. Para esta tarea, podemos usar el parámetro ORIGIN indicando la exclusión, por ejemplo -origin:GooglePlay o sea, todas aquellas cuya procedencia no es la oficial. ((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (-origin:GooglePlay) AND (createDate:"2020-03-14 00:00:00 - today") Apps no oficiales publicadas desde el inicio de la pandemia Por ejemplo nos fijamos en los permisos de la APP con nombre de paquete “coronavirus.tracker.news” y haremos un rápido análisis. Los siguientes permisos son sospechosos: (sólo comentamos permisos diferentes a los “normales” de las APPs oficiales que atenten contra la privacidad o seguridad) android.permission.CHANGE_WIFI_STATE: permite que la APP cambie el estado de conectividad Wi-Fi. android.permission.INTERNET: permite que la APP abra conexiones de red. android.permission.WRITE_EXTERNAL_STORAGE: permite a la APP escribir en el almacenamiento externo del dispositivo. android.permission.READ_EXTERNAL_STORAGE: permite a la APP leer en el almacenamiento externo del dispositivo. android.permission.WAKE_LOCK: permite usar PowerManager WakeLocks para evitar que el procesador entre en suspensión o la pantalla se oscurezca. Para cualquier investigación, podemos cargar en Tacyt las APPs en lote y luego buscarlas mediante una etiqueta customizada y localizando, por ejemplo, como decíamos, permisos sospechosos: De igual forma, podríamos haber usado para buscar indicios la fecha de caducidad del certificado (a veces sospechosamente amplia), apikeys, cadenas de texto o emails asociados a malware, y un largo etc... En la siguiente parte veremos más información sobre los hallazgos.
6 de agosto de 2020
Ciberseguridad
Intelligent Workplace
Teletrabajo seguro, aplicando ciberseguridad desde casa
En ocasiones acontecen cambios en la sociedad que nos traen nuevas formas de abordar tareas cotidianas, cambios culturales, sociales o de otra índole que hacen que una nueva práctica se instaure como modo de vida para solucionar o paliar una nueva realidad. De este modo, con la llegada del coronavirus a España, los términos “teletrabajo” o “trabajo desde casa” están en boca de todos para intentar mantener la actividad laboral minimizando al máximo el contacto interpersonal para evitar una mayor difusión del virus. No obstante, esta capacidad de poder trabajar en remoto no es nueva, el teletrabajo es muy positivo tanto para la sociedad como para el propio individuo, como demuestran la práctica totalidad de los estudios al respecto. Sin ir más lejos, teletrabajar implica menos desplazamientos y menos emisiones. China, ha reducido en unas pocas semanas su contaminación ambiental más de un 25%. De igual forma, también se evitan los accidentes de camino al puesto laboral. Otra de las grandes ventajas de la disponibilidad para trabajar desde casa es la conciliación familiar. Si podemos adaptar las horas laborales a otras obligaciones familiares, se logra aumento de la calidad de vida para el trabajador y reducir el estrés. Recursos necesarios para habilitar el teletrabajo y sus riesgos Es obvio que nada acontece porque sí, y para un cambio de esta magnitud, sobre todo a nivel tecnológico, hay que estar preparado. Principalmente, se debe garantizar un acceso seguro a todos los recursos de la empresa, y tener un modo de realizar reuniones por vía telemática con las conexiones y herramientas adecuadas, así como un método de sincronía de todo esto que permita gestionar la agenda de reuniones. También el acceso al correo corporativo, carpetas de red o en la nube para compartir datos, y como no, los propios dispositivos a utilizar en remoto. Pero, como todo cambio, también existen inconvenientes. Cuando trabajamos desde casa, usando nuestros propios medios tecnológicos, tanto la red y dispositivos, la empresa deja de tener el control sobre las medidas de ciberseguridad aplicadas si la empresa no tiene prevista esta contingencia. Trabajando desde casa de forma segura Para empezar, el uso de nuestra propia conexión puede generar un riesgo de seguridad tecnológico para la empresa si no está securizada convenientemente, tanto a nivel de contraseñas como de segmentación de la red. Se debe aislar el dispositivo laboral del resto de dispositivos de la casa, potencialmente más inseguros, sobre todo si son gestionados por menores. De igual modo, el equipo proporcionado por la empresa debe proveer de las herramientas de conexión apropiadas para transferir esa conexión a la empresa y desde allí, securizar las conexiónes usando la habitual seguridad perimetral, por ejemplo. Vamos a incidir sobre aquellas soluciones imprescindibles para garantizar la seguridad cuando trabajemos desde casa: Conexión segura a la red corporativa: estos servicios de red privada virtual (VPN) convenientemente cifrados nos garantizan, por un lado, un cifrado punto a punto de la conexión, de forma que si alguien “escuchara” al colarse en medio de la comunicación, sería ilegible. Estos ataques, llamados man-in-the-middle, suelen ser más comunes de lo que la gente puede pensar (por ejemplo al usar wifis públicas), y pueden tener acceso a todo aquello que transcurra por tráfico HTTP, que no es cifrado. De paso, al conectarnos a la red corporativa y “salir” a internet por sus medidas de seguridad, estaremos más protegidos y, si es necesario, se nos permitirá el acceso a la intranet o carpetas de red que sean necesarias. Gestión de la identidad robusta: cualquier acceso remoto debe imperiosamente evitar delegar el acceso a la dupla usuario/contraseña. Hay que evitarlo a todo coste ya que un posible robo o filtrado de las mismas, se convertirá con toda seguridad en un acceso no autorizado a los recursos de la empresa. Aquí los sistemas de segundo factor de autenticación, o la autenticación adaptativa, juegan un papel fundamental y es por eso que las empresas de ciberseguridad tienen servicios de identidad que, en resumidas cuentas, garantizan que el usuario es quien dice ser. Herramientas de protección del dispositivo: o herramientas EDR, la evolución de los antiguos “antivirus” que hacen una gestión integral y centralizada de la política de seguridad de la empresa localmente en los dispositivos de los empleados. Concienciación sobre el uso responsable de la tecnología: no hay ciencia que avance a rápido más fugaz que la tecnología, y por tanto, su uso debe considerarse de formación contínua, ya que cada día más aspectos de las empresas tienen que ver con el uso de las tecnologías. De modo que se convierte en muy recomendable que todas las empresas formen a sus empleados en el correcto uso de los medios tecnológicos. A día de hoy, más del 90% de los ciberataques exitosos tienen que ver con un fallo humano. En resumen, ya sea por la amenaza del coronavirus o no, puede que tu empresa se esté planteando permitir al menos en parte el teletrabajo. Esto requiere un estudio la viabilidad y riesgos al respecto, desde ElevenPaths tenemos productos y servicios para garantizar esta transformación digital del mundo laboral.
13 de marzo de 2020
Ciberseguridad
Decálogo de recomendaciones sobre la ciberamenaza iraní
Hace ya unos años que la popular “guerra fría”, tan prolífica en el cine de los 80, se ha trasladado a los datos. Entre las potencias mundiales rivales, la ciberguerra y el ciberespionaje se han convertido en los campos principales de batalla, donde desde los ataques de denegación de servicio (DoS y DDoS) a las fake news, pasando por todo el repertorio de ciberataques convencionales, han convertido las tecnologías de información en los nuevos AK-47. Situación actual, el desencadenante Cabe destacar los últimos acontecimientos y, sobre todo, la muerte de Qasem Soleimani, el poderoso y temido jefe de la Fuerza Quds de Irán en un ataque llevado a cabo por de Estados Unidos. El Pentágono confirmó que ejecutó el ataque "por orden del presidente" Donald Trump. Soleimani se encargó de la represión violenta contra el levantamiento popular reciente en Irak, manifestación de un renacer de la rebeldía en medio de la ocupación y del terror. Al respecto, Philippe Alcoy comentó acertadamente: "Soleimani era un general nefasto que comenzó a ser odiado por los trabajadores y jóvenes iraquíes movilizados, así como a todo el régimen corrupto establecido desde 2003 por Irán y Estados Unidos. Sin embargo, no es de la mano del imperialismo que los explotados podrían deshacerse de este régimen aberrante. En este sentido, el asesinato de Soleimani sigue siendo una agresión imperialista y de ninguna manera es una buena noticia para los trabajadores y los jóvenes. Son los trabajadores y las clases explotadas y los oprimidos los que se deshacen de sus verdugos". Dados estos últimos acontecimientos, Irán ha prometido represalias y se prevé que muchas de éstas vengan como ciberterrorismo contra entidades y empresas estadounidenses, contra intereses de éstas y contra empresas y entidades que trabajen con éstas. Por tanto, podemos vernos afectados todos, de una u otra forma. Por poner sólo algunos ejemplos, podrían verse afectados todos los dispositivos Windows y todas las empresas que usen una base de datos o un sistema de mensajería con sede en EEUU, o aquellas que usen la solución de Google Auth para autenticarse. Buenas prácticas en ciberseguridad para usuarios Es por ello que me gustaría dejar unas pequeñas medidas que acometer como “buenas prácticas”, teniendo en cuenta que hemos aumentado al menos un nivel de DEFCON respecto a nuestra ciberdefensa, sea cual sea nuestra labor al respecto: empresas, administraciones públicas, etc. Aumentar el nivel de concienciación con alguna campaña específica: a día de hoy los fallos humanos siguen originando el 95% de los ciberataques exitosos. Desactivar puertos, servicios y protocolos sin uso: realizar una buena revisión de nuestra red y CMDB para determinar que no haya ninguna “puerta abierta olvidada”, ya que no tiene ningún sentido que esté activa. Parchear toda la superficie de exposición de la red, sobre todo Firewalls y WAF’s. Es de vital importancia revisar todos los activos expuestos a internet. Establecer políticas que levanten alertas con nuevos dispositivos que se conecten a la red para evitar dispositivos maliciosos o espías. Aumentar el nivel de alerta respecto a comportamiento de red (NTA) vigilando aquellos dispositivos que parezcan desprotegidos o que muestren un comportamiento anómalo. Implementar medidas de correo seguro, detección de phishings, etc.: aunque sea a través de logs y coste en horas/hombre. Este tipo de amenazas sigue manteniendo un preocupante 70% de los vectores de entrada. Controlar el uso de PowerShell: si un usuario o cuenta no necesita del mismo, desactivarlo a través del editor de políticas de grupo. Se recomienda limitar y loguear su uso. Para más información, recomiendo este post de Microsoft. Por último 3 recomendaciones acerca del proceso de backup: Tener copias de seguridad de todos los archivos importantes: puede parecer una obviedad, pero no sólo hay que copiar los datos de la entidad, sino también la configuración de todo aquello que hace funcionar nuestro sistema. Disponer un proceso que almacene estas copias de seguridad de forma segura, no alcanzable por ransomware o similares, y también de un proceso que verifique correctamente la integridad y viabilidad de esas copias. Establecer un proceso ágil que restaure estas copias de seguridad en el menor tiempo posible y, por tanto, con el menor impacto sobre la actividad. Por supuesto existen muchas más recomendaciones, pero tomar en consideración estas pocas puede que nos haga dormir un poco mejor, dado el nivel de alerta actual. Permanezcan en sintonía, seguiremos informando.
29 de enero de 2020
Ciberseguridad
Un resumen de Melilla SecureTIC 2020
“Una meta sin un plan, es sólo un deseo”. O dicho de otra forma, al hablar de cambios sustanciales, no sirve sólo quedarse en buenas intenciones, debemos dar pasos en la dirección adecuada. Continuamente, desde todos los frentes asociados a la ciberseguridad, estamos oyendo que es de crucial importancia la concienciación respecto al uso responsable de la tecnología. Esta concienciación, en una sociedad que se digitaliza a un ritmo que es muy difícil de absorber, se nos antoja tarea tan difícil y con tantísimos actores en juego que debe acometerse desde todas las entidades: desde empresas a administraciones públicas, estamentos educativos a ONG’s, desde el individuo a nivel personal a familiar, desde lo legal a lo ético, etc. No hay balas de plata ni solución magistral, si no que todos, como sociedad, debemos asumir nuestra responsabilidad en esta tarea de transformación digital global en la que nos hemos embarcado y ya es imposible bajarse. Ciberseguridad en la ciudad autónoma En esa dirección, que supone un pequeño paso para una ciudad como Melilla pero un gran paso para sus ciudadanos, se ha embarcado la ciudad autónoma. Y lo ha hecho confiando en los servicios profesionales de ElevenPaths, la unidad de ciberseguridad del grupo Telefónica, dentro del proyecto Melilla SecureTIC. Este proyecto, cofinanciado con fondos FEDER, consiste en un programa integral formativo de tres años en materia de ciberseguridad que permite que la Ciudad de Melilla se forme en distintos aspectos en ciberseguridad. Proporciona a jóvenes y personas interesadas nuevos conocimientos en uno de los sectores más interesantes y con mayor perspectiva de empleabilidad. Este primer año de proyecto ha culminado con el evento Melilla SecureTIC 2020 de Ciberdefensa y Educación en Ciberseguridad, poniendo foco en cómo las administraciones públicas tienen un papel fundamental en el bienestar digital de sus ciudadanos y, por tanto, en su calidad de vida. Melilla SecureTIC 2020 ha constado de 2 jornadas, una de ellas dedicadas a los fuerzas y cuerpos de seguridad del estado (FFCCSE) y otra para juventud y familia. Dando lugar a 2 contextos en los que la ciberseguridad tiene mucho que decir y que definir de momento. Melilla SecureTIC 2020 Primera jornada: nuevos retos de la ciberseguridad En la primera jornada, los ponentes elegidos fueron Ramsés Gallego, Miguel Ángel de Castro y Andrés Naranjo. Andrés Naranjo (Analista en CiberInteligencia & CSE de ElevenPaths) expuso el nuevo reto que acometen las FFCCSE ante el exponencial incremento de las cifras de cibercrimen, que se prevé a mucho peor en los próximos años. Habida cuenta que hoy día este tipo de delitos ya mueve más dinero que el narcotráfico y el tráfico de armas. En su ponencia “La Transformación Digital de la Policía” reflexionaba no solamente sobre la necesidad de acometerla si no cuándo hacerlo, para lo que “ya llegamos tarde”. Formación y herramientas adecuadas para que nuestras FFCCSE puedan hacer frente al crecimiento del cibercrimen son las soluciones propuestas por Andrés Naranjo. Ramsés Gallego (Security, Risk & Governance International Director at Micro Focus) puso sobre la mesa las nuevas implicaciones acerca de la seguridad y los certificados que implican la capacidad de computación de las nuevas máquinas de tecnología cuántica. Actualmente, la seguridad de internet se basa, principalmente, en estos certificados. Cuya ruptura, por coste computacional, es inasumible. Pero dadas las nuevas capacidades de cálculo de estas nuevas máquinas, actualmente 3 en todo el mundo, podrían declarar un nuevo escenario no seguro, lo cual trae un nuevo paradigma hacia un nuevo modelo de internet. Miguel Ángel de Castro (Senior Cyber Threat Intelligence Analyst at ElevenPaths), un experimentado hacker con más de 15 años de carrera en la ciberseguridad, dio continuidad a la charla de Andrés Naranjo, contextualizando con un modelo automatizado de herramientas de ciberseguridad aplicables a la inteligencia por parte de las FFCCSE. De modo que las máquinas hagan el grueso del esfuerzo, como ha ocurrido en toda revolución industrial pero ahora también en la revolución digital. M.A. De Castro explicó el modelo de automatización que protege en Telefónica la seguridad de sus clientes a través de 11 SOC’s que funcionan como uno sólo, compartiendo inteligencia y generando respuesta ante incidentes de forma automática y en el menor espacio de tiempo, utilizando avanzadas herramientas y la aplicación de inteligencia artificial propia. Por último, los 3 ponentes de la jornada compartieron con los asistentes impresiones acerca de todos estos cambios que está sufriendo nuestra sociedad al digitalizarse, respecto a ciberseguridad, privacidad y contexto geopolítico. Sin duda,una mesa redonda que se alargó en el programa, pero se hizo corta a los asistentes que participaron de forma muy intensa, dando colofón a una jornada muy instructiva y repleta de contenidos interesantes y novedosos. Segunda jornada: educación digital, cyberbullying y otros riesgos Durante la segunda jornada, los ponentes elegidos fueron Víctor Ruiz, David Serneguet y Andrés Naranjo, que repetía participación, se habló sobre educación digital, el ciberbullying y otros riesgos en el entorno educativo y familiar. Víctor Ruiz (Digital Project Manager en Fundación Telefónica) compartió con el público el programa de Fundación Telefónica llamado #CiberseguridadAlCole, que forma parte de su proyecto para llevar a las aulas concienciación en el entorno educativo, explicando peligros como el ciberacoso o el sexting, riesgos asociados al uso de tecnología que afectan especialmente a nuestros jóvenes. A continuación, Andrés Naranjo, veterano de la escena gamer española, expuso en su charla una síntesis de sus contenidos en “La amenaza gamer”, donde suele divulgar algunos peligros acerca del uso de videojuegos y un interesante resumen de consejos para padres, en los que informa que la actividad de gamer puede resultar beneficiosa para el entrenamiento cerebral y para combatir el estrés. De esta forma, el entretenimiento digital puede ser parte de una vida sana y equilibrada. Andrés Naranjo en Melilla SecureTIC 2020 El último ponente de la jornada fue David Serneguet (Formador Digital en Telefónica), que impartió una excelente charla acerca del uso familiar de la tecnología, los límites que hay que imponerse e introdujo el PDF: Plan Digital Familiar, un sencillo cuestionario que nos ayudará a analizar el uso que hacemos de la tecnología y su impacto en el ámbito familiar. Antes del cierre se dio paso a un hackaton organizado por ElevenPaths, presentado al inicio del día anterior. Este concurso consistía en la realización de un proyecto tecnológico que dé respuesta a un reto que se presenta al inicio de la competición. Bajo este contexto, se eligió como reto un desarrollo tecnológico que pudiera ser útil con contexto social o ciudadano aplicable en Melilla. Las propuestas no decepcionaron en absoluto, y los dos ganadores, Patricia y Mohammed, se llevaron a casa una cámara deportiva de última generación. Patricia elaboró una app móvil, con tecnología del MIT estadounidense, que era capaz de reconocer por inteligencia artificial una imagen de un edificio o documento con la cámara del móvil y enviarnos la información relevante sobre el mismo, con mucha utilidad turística. Mohammed por su parte mostró una solución de ubicación que permitiese establecer una ruta para personas con movilidad reducida, demostrando que la tecnología tiene mucho que aportar en este campo. Sin duda este hackatonse convirtió en uno de los platos fuertes de estas jornadas. Por finalizar el evento, Gloria Rojas, Vicepresidenta de Melilla, dio cierre con un magistral resumen acerca de las jornadas, dejando claro que desde su papel en la administración pública quiere persistir en hacer llegar la educación digital a sus ciudadanos, para conseguir una sociedad más conectada y más segura, y por tanto, más feliz. Desde ElevenPaths no podemos más que mostrar nuestro agradecimiento, tanto a la ciudad de Melilla, como a toda la Dirección General de la Sociedad de la Información, por su predisposición y acogida para realizar este proyecto.
24 de enero de 2020
Ciberseguridad
Cuando el phishing encontró el breach replay
Caso real suplantando a la CIA Decía Einstein, al que me gusta creer que puedo emular, que, si entiendes bien algo, podrías explicárselo a tu abuela. Es por ello que me guste explicar las cosas desde cero, intentando que llegue a todos los públicos y, por eso, voy a intentar aclarar un par de conceptos explicando una tendencia en los emails de los cibercriminales que recibimos TODOS, REPITO TODOS. ¿Acaso no has recibido una “alerta de seguridad de tu entidad bancaria” sin tener cuenta en ese banco? Pues eso, TODOS. Debo llamar la atención que existe un cambio de tendencia en el cibercrimen que está mutando de ataques a tecnología, hacia ataques a personas, ¿por qué? Porque siempre hay una víctima fácil, desinformada, o suficientemente estresada como para no prestar la atención necesaria. Las empresas cada vez invierten más en tecnología de seguridad y sin embargo, el eslabón más débil sigue siendo el factor humano. Como decimos en ciberseguridad comúnmente, "la vulnerabilidad más grave se encuentra entre el teclado y la silla". En primer lugar, demos explicación a por qué, tarde o temprano, todo el mundo recibe estos correos. El cibercrimen que representa una amenaza real, no es “single-action” generalmente. Las peores amenazas hoy en día surgen de sistemas automatizados y cada vez más elaborados y complejos. Y estos sistemas se nutren de bases de datos donde nuestro email va a terminar más temprano que tarde. De esta forma, con millones de correos diarios, todos estamos en el punto de mira. ¿Qué es el phishing? Una vez explicado esto, contaremos qué es un email de phising. El phising es un email falso bajo el que se oculta una actividad maliciosa haciéndose pasar por otra persona o entidad, por ejemplo un banco, como comentaba antes. De hecho, no hace mucho, un gran banco me comentaba la cantidad de emails al día que tiene que responder su personal con consultas como: “Oiga que yo no tengo cuenta con ustedes y me ha llegado…”. NOTA IMPORTANTE: No dejemos pasar el detalle del coste en horas de personal que supone esto para la empresa. ¿Qué es el spear-phishing? Bien, pues ¿qué es un spear-phising? Es un email dirigido específicamente a la persona que lo recibe. Usa información, normalmente obtenida por ingeniería social o fuentes abiertas, para aumentar la sensación de que ese email procede de la fuente que se está intentando suplantar. Además, si se habla de “alerta” o términos que impliquen urgencia y/o importancia, el receptor derivará su atención hacia el tema en sí y bajará la guardia respecto a la credibilidad del mismo. ¿Qué es el breach replay? Vayamos ahora con el breach replay: como muchos sabréis, multitud de sitios de todo tamaño han sido vulnerados y expuestos en internet, con muchos de los datos de los usuarios, incluyendo nombres y contraseñas. Estas “breach” se pueden encontrar fácilmente por internet. Por tanto, tenemos ahí credenciales (login y contraseñas) a disposición de cualquiera. Aquí es donde entra en juego ese consejo que solemos dar los hackers siempre: NO REUSAR LAS CONTRASEÑAS. El motivo es simple: vulnerado un sitio, quedan expuestos a la vez todos aquellos que usan la misma contraseña, si el ciberatacante sabe que tenemos cuenta ahí o simplemente lo prueba, nos encontramos ante lo que denominamos “breach replay”. Pues así de fácil, tenemos ya todos los ingredientes, ¿no? Tan simple como generar un email plantilla en el que insertaremos hábilmente datos, por supuesto de forma automatizada, haciendo creer a la gente que ese email es verídico. Esta campaña, no tan nueva, está cobrando fuerza en las últimas semanas. Donde se nos avisa que en caso de no ceder a una extorsión un “Hacker anónimo” va a filtrar vídeos que ha grabado con nuestra propia webcam haciendo actos impuros mientras visitábamos webs de adolescentes. El mensaje tiene un plus de credibilidad ya presenta datos reales de la víctima y, si ha reutilizado la contraseña, cómo saber si la ha obtenido hackeando esa web para adultos se convierte en un dilema… En mi caso concreto, también recibí un correo con supuestas “capturas” de ese vídeo, que obviamente no eran archivos reales (OJO: TAMPOCO ABRIRLOS) proveniente de la misma CIA diciendo que tenían una investigación relacionada conmigo. Interesante, cuanto menos…. Es posible que con su email y contraseña reciba pronto un mensaje de este tipo pidiendo un pago en bitcoin, incluso muy bien redactado en español. Olvídese de ello ya que no supone amenaza alguna, por muchos datos que le dé, es sólo un email entre cientos de miles que busca monetizar por pura inundación. Por esclarecer un poco el nivel de la sofisticación de los ataques, me ha llamado la atención que en el texto del mensaje se daban ataques “homomórficos” (o typosquatting) que usaban caracteres en otras codificaciones para evadir los filtros anti-spam de las empresas. Queden por tanto un par de conclusiones: Utilizar contraseñas distintas para cada servicio o aplicación. Como hemos visto, reutilizar contraseñas pone las cosas mucho más fáciles. Si tienes problemas para recordarlas, usa un gestor de contraseñas. No ceder a este tipo de chantajes. En cualquier caso, e incluso aunque fuera un ataque real (lo cual es muy poco probable), nadie le garantiza que las imágenes no vayan a ser difundidas o le soliciten nuevas cantidades de dinero. Prestar mucha atención al contenido sospechoso en los emails. Las amenazas por correo siguen estando las primeras en el top10 del cibercrimen, de forma que en torno al 70% de las brechas de seguridad tanto en empresas como particulares, se deben a esta forma de entrada, originada por un fallo humano engañado por un correo malicioso. Ejemplo de email real: Esquema básico de ataque breach replay y password spray
14 de noviembre de 2019
Ciberseguridad
Ransomware: el azote de las Pymes
Nuevas caras para viejas técnicas. Así podrían describirse las nuevas oleadas de ataques dirigidos de ransomware que acaban de desembarcar en España, tras los recientes casos que han salido a la luz. Lo primero que procede es definir qué es un ransomware: se trata de un programa malicioso (malware, comúnmente conocido como “virus”) que se infiltra en un sistema, cifrando todos los archivos y dejándolo inutilizado, de modo que sólo presenta una pantalla donde se pide a cambio de restaurarlo al estado anterior una cantidad de dinero, normalmente en Bitcoins para hacerlo más anónimo. De aquí viene su nombre, ya que “ransom” significa rescate en inglés, suponiendo el pago de un secuestro digital. Este tipo de ataques pueden ser muy destructivos para una empresa si no se dispone de las medidas de backup necesarias, que dispongan en un espacio de tiempo razonable de un método para restablecer la copia de seguridad. Quiero llamar la atención sobre lo importante de minimizar ese plazo, ya que durante el proceso de restauración, probablemente nos encontremos cerca de la actividad cero, con el consiguiente impacto sobre el negocio o entidad afectada. Digno de mención es el proyecto internacional No More Ransom, en el que participa la Europol para combatir los ataques ramsonware. Aunque en muchas ocasiones lo más que podrán hacer será identificar el tipo de ataque, contener la infección y aislar los equipos comprometidos, dada la dificultad de revertir el cifrado de archivos. ¿Cómo afectan estos ataques a las Pymes? Este tipo de ataques, que buscan un rédito económico, tienen un altísimo impacto en Pymes, ya que las pequeñas y medianas empresas aún no tienen suficiente concienciación en materia de ciberseguridad, y siempre cuentan con un limitado presupuesto tecnológico, que normalmente se deriva a otras áreas orientadas a producir beneficios: marketing, SEO, etc… Los ataques ransomware hasta ahora buscaban la pura inundación: infectar el mayor número de equipos para que al menos un reducido número de víctimas, pagase el rescate. Buen ejemplo de esto fue el conocido WannaCry (WanaCrypt0r 2.0, Mayo 2017) cuya viralidad tanto dentro de entidades como entre entidades, le hizo infectar más de 140.000 ordenadores por todo el mundo, incluyendo la práctica totalidad de las empresas del IBEX35 sufriendo algún impacto. Los nuevos ransomware, por otro lado, no buscan la pura inundación. Son más ataques hechos “a medida” que se alimentan de fuentes abiertas (OSINT) e ingeniería social para centrar el ataque en una víctima y comprometer todo su sistema, paralizando absolutamente la actividad y forzando a tomar una decisión inmediata. Durante este año hemos visto desde centrales eléctricas que desabastecían toda una región de electricidad por este ataque, a ciudades enteras como Baltimore en EEUU cuyas entidades públicas se vieron paralizadas por completo. Y nuestro país no se iba a quedar fuera del objetivo de los cibercriminales: Hace unas semanas vimos como el ayuntamiento de Jerez de la Frontera también era víctima del ransomware “Ryuk”, quedando totalmente bloqueado. O también el ayuntamiento de Minas de Riotinto, que fue atacado este mismo octubre, dejando la práctica totalidad de sus sistemas sin servicio. Podríamos decir que este tipo de ataques son el “spear ransomware” similar a los “spear phishing”, dirigidos y mucho más avanzados y elaborados. Estos ataques, en una Pyme, pueden producir desde un ligero impacto hasta su total exterminio. Se calcula que en torno al 60% de las Pymes tras un ataque ransomware efectivo, desaparece antes de un año. Así de drásticas son las cifras Pagar o no pagar, he ahí la cuestión Si te has visto afectado por un ataque ransomware, no te estás haciendo la pregunta correcta. Nadie debería considerar pagar y vamos a argumentar el por qué: Básicamente, si nos vemos afectados, la diferencia está entre si el ransomware nos ha caído “de rebote” o alguien nos ha puesto en el punto de mira. La diferencia es muy clara, respecto al nivel de profesionalidad y dedicación de los cibercriminales. Si hemos sido víctimas de una infección cualquiera, por inundación, es muy poco probable que quien la diseñó haya provisto a la misma de un mecanismo para revertirla, ¿Qué sentido tendría? Una vez cobrado, adiós a lo acordado…. Hay un segundo escenario, en el que quien nos haya puesto el ojo encima haya utilizado también la ingeniería necesaria para revertir el proceso, y pagando, volvamos a tener acceso a nuestros archivos. Pero esto, lejos de ser una buena noticia, lo hace aún peor: Alguien ha tenido acceso a nuestros sistemas, puede que haya extraído toda la información necesaria y ahora, con nuestro dinero, además se haya garantizado la persistencia en el sistema, con lo cual, sigue teniendo “las llaves de nuestra casa”. ¿Necesitas una razón para no pagar? Aquí tienes tres Pagar el rescate no significa en ningún caso garantía de recuperar nuestros archivos o sistemas. Sólo en un pequeño porcentaje de veces esto ocurre. En el caso poco probable de que haya un método de descifrado, esto evidentemente significa una alta cualificación de parte de los atacantes, y puede que el siguiente ataque ya esté en marcha. Considérese usted suscrito como un nuevo “cliente Premium” de la cibermafia, ahora que ya sabe que usted es un cliente que paga. Por último, hay una consideración ética: pagar significa subvencionar el cibercrimen, alimentarlo con fondos para que provean nuevos ataques. Obviamente hay que evitar colaborar con estas mafias. Conclusiones Quedando claro que nunca hay que ceder a este tipo de chantajes, lo importante es disponer de un método rápido y eficaz de restauración de las copias de seguridad de todos los archivos importantes, junto con una buena política de backup, por supuesto. Desde ElevenPaths tenemos nuestro propio sistema Antiransomware, basado en Latch que añade un sistema adicional de permisos de escritura en archivos. No dejes de revisarlo, si quieres una capa extra de protección en tus sistemas de archivos o backup.
7 de noviembre de 2019