Diego Samuel Espitia

Continuando con la gestión de las vulnerabilidades, uno de los puntos críticos que las organizaciones —sin importar su tamaño— es cómo priorizar la corrección de los reportes y cómo asociarlos directamente con el nivel de riesgo reportado. Para ello, es importante entender que la calificación del riesgo que proveen los reportes de pentesting o análisis de vulnerabilidades, que vimos en el anterior artículo, se basa en un análisis puramente técnico de Ciberseguridad usando la escala de calificación de CVSS (Common Vulnerability Scoring System). Esta herramienta califica las vulnerabilidades como como bajo, medio, alto o crítico, según el impacto que puedan generar sobre los pilares de la ciberseguridad y la complejidad de su explotación. Por lo tanto, los reportes suelen estar acompañados de los CVE (Common Vulnerabilities and Explosure), que agrupan las vulnerabilidades conocidas. No obstante, esta calificación es general y no considera parámetros como la probabilidad de explotación, la existencia de algún exploit o datos del negocio sobre la importancia del activo. Pero existen otras dos herramientas que casi nunca se tienen en cuenta dentro de los análisis de priorización y que pueden ayudar mucho a tomar decisiones basados en el riesgo: La primera seria la EPSS (Exploit Prediction Scoring System), la cual tiene como objetivo dar una calificación sobre la probabilidad de que una vulnerabilidad sea explotada. La segunda es KEV (Known Exploited Vulnerabilities), la cual es una lista que evidencia los exploit conocidos y quienes los desarrollaron y que vulnerabilidades aprovecha. ¿Cómo interactúan estas herramientas? Los reportes siempre soportan los hallazgos en los CVE. A partir de esta base, se debe ordenar la información utilizando la calificación de CVSS, lo que nos permite identificar la criticidad técnica de cada vulnerabilidad y poder determinar los vectores de ataque que deben analizarse. Una vez se tiene esa primera categorización, se deben considerar dos elementos clave. El primero, si la vulnerabilidad está siendo explotada en este momento, independientemente su calificación de CVSS. Y la segunda, la probabilidad de explotación futura, según los análisis de inteligencia de amenazas. Estas capacidades las ofrecen KEV y EPSS, respectivamente. Así, que con el identificador de la vulnerabilidad se hace una búsqueda en la KEV, para identificar la de mayor prioridad, sin importar el nivel de riesgo que indique el CVSS. Luego, con las vulnerabilidades restantes, se ordenan según el CVSS y se busca su puntuación de EPSS, para estimar la probabilidad de explotación futuro y planificar la gestión preventiva de corrección de la vulnerabilidad. Ejemplo práctico Supongamos que tenemos contratado un servicio de mensajería empresarial como The TeleMessage, al cual nuestro sistema de gestión de vulnerabilidades automático le ha detectado y reportado la vulnerabilidad CVE-2025-48927, con CVSS v3.1 de 5.3, o sea un nivel de criticidad medio. El CVSS nos entrega los datos técnicos de los vectores de ataque, para lo que veremos la calculadora básica de la versión 4.0, que es la más actualizada. Indicando que el ataque se hace por red y que no requiere de privilegios ni de interacción de usuarios, pero que su impacto es únicamente sobre la confidencialidad y es bajo. Con estos datos, la remediación podría considerarse de baja prioridad. Sin embargo, esta decisión debería depender de los datos de inteligencia, que sería los reportes de KEV en primera instancia y si no se encuentra de EPSS. Al buscar en KEV, nos encontramos con que esta vulnerabilidad está siendo explotada activamente en conjunto con otras dos vulnerabilidades, las cuales no han sido mitigadas por el fabricante. Por lo tanto, se deben tomar otras medidas de control. Si no hubiera estado en KEV, nos remitiriamos al valor de EPSS que nos entrega la herramienta, donde podemos ver el historial de calificación y vemos como ha aumentado la probabilidad que sea aprovechada esta vulnerabilidad Esta gestión no es simple, pero existen herramientas en linea que lo facilitan, por ejemplo, CVEDetails, que usando el análisis del reporte que analizamos, podemos encontrar aquí toda esa información. Por otra parte, siempre se debe tener en cuenta que este es el análisis técnico, pero la priorización finalmente se debe dar asociada a la criticidad del activo o servicio analizado, la exposición a redes externas o a terceras partes de la empresa y por último al esfuerzo que implique remediar o mitigar el impacto. Ciberseguridad Linux y la paradoja de las vulnerabilidades: más reportes, ¿más seguridad? 12 de febrero de 2025 Foto: Chris Yang / Unsplash.

Los datos del crecimiento de publicación y exposición de las vulnerabilidades evidencian un escenario escalofriante de amenazas. Con un promedio de 110 nuevos CVE creados por día en 2025, se reportaron 6494 vulnerabilidades en 2015, mientras en medio año de 2025 llevamos un reporte de 22717 CVE, para el momento que escribí este artículo. Esto hace que la gestión del riesgo asociada a estas vulnerabilidades se convierta en una prioridad cada vez más compleja de manejar, debido a la velocidad con la que se deben realizar las pruebas de detección y aplicar las mitigaciones necesarias sobre cada amenaza, así como por los niveles de riesgo de cada uno de estos reportes. Por lo tanto, como en todo en Ciberseguridad, se requiere de un proceso y una evolución que involucre tecnología, procedimientos y personas como base para la mejora continua. Y una de las acciones que se repiten sistemáticamente en muchas empresas, sin aportar un valor significativo, es la de realizar un par de pruebas de Ethical Hacking o Pentest al año, sobre una muestra de los equipos o servidores de la organización. Con un promedio de 110 nuevos CVE creados al día en 2025, el panorama de amenazas exige una gestión de riesgos más rápida e inteligente. Esta acción se fundamenta en las normas de certificación que comenzaron a implementarse desde 2012, donde se pedía hacer uno o dos análisis de vulnerabilidades por año y demostrar la gestión en la mitigación de las detecciones. Para esa época este procedimiento era válido, por la cantidad de amenazas reportadas y por el manejo que se podía dar con la tecnología existente en ese momento, pero esto resulta totalmente insuficiente en nuestros días. Un especialista en seguridad ofensiva que realice la actividad requiere muchos años de preparación y se toma un mínimo de tres días en analizar un activo. Por lo tanto, este recurso debería ser manejado de forma inteligente sobre los activos que, después de un análisis más automatizado, sean detectados con amenazas altas o críticas. También sobre activos críticos en la organización, o en empresas con un sistema de Ciberseguridad más robusto, llevar estas pruebas un paso más allá que permita validar todo el sistema de protección. Empecemos por partes Si es una empresa que está iniciando la implementación de procesos de Ciberseguridad, o una empresa que toma las pruebas de Pentest solo para el cumplimiento normativo, se dará cuenta de que en la mayoría de los casos los reportes entregados evidencian un alto índice de vulnerabilidades de nivel medio y bajo. Las cuales no son atendidas con eficiencia por los equipos de desarrollo o de IT, encargados de la corrección o mitigación de estas amenazas. Incluso, en algunos casos, se dejan desatendidas por años. Pero lo más grave de este proceso es que no se revisa sino una parte de la infraestructura, debido a los costos de una prueba seria de Pentest, permitiendo el crecimiento y la exposición de amenazas en toda la red sin que se tenga control sobre ellas. Por este motivo, la recomendación que hemos dado desde hace más de 10 años es la realización de pruebas persistentes automáticas de seguridad. Un servicio ofensivo automatizado debería ser la primera opción que una organización contemple en su proceso de gestión de vulnerabilidades. Realizar uno o dos Pentests al año ya no es suficiente para contener la escala y velocidad de las ciberamenazas actuales. Esta automatización se puede realizar sobre toda la red, sobre los servicios web expuestos, e incluso para validar la superficie de ataque; entregando al área de Ciberseguridad un mapa más completo de los riesgos y de los niveles de exposición, con un tiempo de validación muchísimo menor al de cada seis meses de un Pentest, casi en tiempo real, y una consola con un seguimiento real de gestión y acciones tomadas para la mitigación. Ahora, ¿qué hago con lo crítico y alto? Con ese mapa, y después de al menos un año de seguimiento, no solo se habrán podido mejorar las medidas de mitigación y alinear el monitoreo a la detección de intentos de explotación de esas amenazas (y no solo a las detecciones generales que se configuran comúnmente en los SOC). También esta gestión permite a las directivas tomar decisiones basadas en los riesgos. Una de estas decisiones puede ser la de realizar una prueba de penetración, o Ethical Hacking o Pentesting, mucho más profunda que la que se realiza por el monitoreo automático. El objetivo es que personas expertas no solo detecten las vulnerabilidades, sino que intenten explotarlas, demuestren el nivel real de amenaza e incluso identifiquen brechas que solo el conocimiento de un experto puede descubrir. Un servicio ofensivo automatizado debería ser el primer paso que contemple cualquier organización en su proceso de gestión de vulnerabilidades. Adicionalmente, esa prueba permite validar las detecciones del monitoreo y las medidas de mitigación que se han tomado, fortaleciendo los procedimientos del equipo defensivo o demostrando la necesidad de implementar nueva tecnología, cambios en los procesos o capacitaciones al personal. Con esto no termina... En Ciberseguridad siempre se puede dar un paso más o hacer un esfuerzo adicional. Sin duda, una empresa que ya tenga los procedimientos anteriores bien afianzados y validados puede considerarse con un nivel de madurez en Ciberseguridad alto. Pero faltaría la prueba más importante: aquella que analiza todo el sistema de defensa. Un ejercicio de red team simula ataques reales para medir la capacidad real de una organización para detectar, responder y defenderse. Conocido como un ejercicio de red team, este ejercicio lleva a los equipos de Ciberseguridad y a la organización entera a vivir un incidente, sin tener que sufrir sus consecuencias reales. Su objetivo es confirmar el nivel de defensa de una organización ante un ataque simulado, que replica las acciones de grupos cibercriminales conocidos o aplica las técnicas y tácticas que suelen utilizar. Esta prueba mide la respuesta de los equipos de defensa y monitoreo, y permite completar esa gestión de vulnerabilidades asociada al riesgo con un enfoque práctico —y no solo teórico— sobre los niveles de detección de vulnerabilidades, la efectividad del monitoreo y la preparación en respuesta a incidentes. Los expertos deben ir más allá de la detección: explotar vulnerabilidades para revelar amenazas reales que solo su conocimiento puede descubrir. Ciberseguridad Observabilidad en Ciberseguridad: ver más, reaccionar mejor 1 de abril de 2025

Como veíamos en el artículo anterior, existen varios tipos de insider, unos que ejecutan sus acciones con premeditación, y otros que abren la puerta inconscientemente a los atacantes externos. En cualquiera de los casos, el problema para su detección está en diferenciar qué comportamientos provienen del atacante y cuáles del usuario legítimo, ya que no es posible, a simple vista, identificar quién es quién. Un caso emblemático lo encontramos en un reporte de Yahoo de mayo de 2022; cuando un científico de datos robó propiedad intelectual de la organización, contenida en más de 500.000 páginas de investigación. Información que usó para sobresalir en su nuevo trabajo, una competencia directa de Yahoo. El 'insider', sea negligente o malicioso, representa uno de los mayores retos en ciberseguridad En la investigación se logró determinar la intención y accionar del científico de datos, a través de técnicas forenses que esas páginas se habían transferido con el usuario del científico a uno de los dispositivos personales que él había registrado dentro de la política de BYOD. Sin lugar a duda, una empresa como Yahoo, es una organización que tiene muy en cuenta la Ciberseguridad. Sin embargo, determinar la intención de un comportamiento es muy complicado de detectar y de controlar. Mucho más si las herramientas y las políticas de las organizaciones no están orientadas a enfoques proactivos de ciberseguridad. Una pregunta común de nuestros clientes es: '¿Qué podemos hacer para detectar a un insider antes de que ejecute una acción maliciosa?' La respuesta no es sencilla, y no es única, depende mucho de las organizaciones y de las políticas de seguridad que se tengan, pero vamos a mencionar algunos controles que nos permitirán poder colocar un cerco que permita prevenir y detectar a tiempo este tipo de amenazas. Las herramientas convencionales como firewall, IPS o antimalware no son suficientes contra insiders, especialmente aquellos que conocen perfectamente los sistemas internos. Unas de las primeras cosas que se deben tener en cuenta, es que los mecanismos tradicionales de detección de actividad maliciosa, como firewall, IPS, WAF, antimalware, entre otros, no están diseñados para detectar la presencia de un atacante interno. Esto se debe principalmente a que los sistemas de detección tradicionales “confían” en que el usuario es quien dice ser, pero no analizan si ese comportamiento es “normal”. Conocer los tipos de 'insiders' Con esto en mente, es importante entender el riesgo que trae cada uno de los tres tipos de insider. Las acciones que genera un insider comprometido o suplantado demuestran comportamientos poco tradicionales o diferentes al real, porque es alguien que está suplantando al usuario legítimo y está intentando conocer la organización. El insider negligente deja las puertas abiertas y permite el ingreso de atacantes, pero estos atacantes no están suplantando sus perfiles, sino que están usando sus puertas para acceder y conocer los servicios o redes. El insider malicioso es, sin duda alguna, el más complejo de detectar y contener, pues conoce la organización, se va a cuidar de acciones que lo incriminen y tiene el tiempo a su favor. El insider malicioso es sin duda alguna, el más complejo de detectar y contener. Con este panorama, existen algunas medidas que aplican para, de ser posible, detectar al atacante interno de forma temprana analizando cosas como las siguientes: Accesos a sistemas y activos. Cuando un empleado de ingeniería intenta o ingresa al servidor de financiero, es una actividad muy sospechosa, pero difícil de detectar si solo ingresa y no ejecuta ninguna acción maliciosa. No obstante, sistemas como EDR o MDR, que tengan analítica de comportamiento, pueden alertar de estas anomalías. Cambios en el comportamiento del usuario. Por ejemplo, picos de actividad del usuario, no solo por horarios anómalos, sino también por cantidad de accesos y procesos ejecutados en un periodo de tiempo. Para esta detección es fundamental los equipos de Threat Hunting, que realizan búsquedas de actividades en procesos y servicios dentro de los dispositivos permiten detectar esas actividades puntuales. Movimiento de datos. Muchas veces nos centramos en las características de tráfico en la red, sobre todo en el envío o descarga de datos a Internet, pero el insider puede mover datos a medios extraíbles o incluso a la misma nube corporativa. Para este caso, las políticas y restricciones son vitales para controlar ese vector, pero la analítica de patrones y de actividad en los usuarios es la que nos detecta esos cambios, por lo que un XDR y un MDR bien configurados y con detección de patrones es fundamental. Dispositivos externos. Suele ser usado únicamente por los insiders comprometidos, pero en algunas ocasiones los negligentes también le dan la posibilidad al atacante de conectar dispositivos en la red de la empresa o en sus equipos de cómputo, dando acceso a los datos de la empresa. En este caso los elementos técnicos son la única protección, un UBA permite detectar esos comportamientos sospechosos en la red y en equipos. Intentos fallidos de login. Una de las actividades que más delata a un atacante se presenta cuando intenta elevar privilegios, se debe a que aumenta el número de login fallidos por un usuario en alguna máquina, en el caso de los insider este puede ser su único gran error para detectarlos antes de la actividad maliciosa. Para detectar eficientemente esta acción, los eventos de autenticación son la única salvación, con monitoreos en un SIEM que alerte esos picos o un UEBA que detecte esas anomalías de comportamiento. Detectar a un insider antes de que ejecute una acción maliciosa requiere un enfoque contextual, basado en comportamiento, y soportado por herramientas avanzadas de detección. No basta con monitorear accesos o tráfico: se necesita comprender las acciones, intenciones y patrones que rompen con lo habitual. Invertir en observabilidad, análisis conductual y herramientas como UEBA, EDR o XDR bien configuradas, es hoy una necesidad para prevenir uno de los ataques más difíciles de detectar: el que ocurre desde dentro. Entender los diferentes tipos de insiders y su riesgo es esencial para desarrollar estrategias proactivas de defensa. Telefónica Tech Ciberseguridad AI & Data Tendencias en Ciberseguridad para 2025 13 de enero de 2025

Hace poco atendimos un caso más de ransomware, de los cientos que ocurren a diario y de los varios que atendemos cada mes. Sin embargo, este tenía algo particular: al recopilar la evidencia, descubrimos que el atacante llevaba apenas dos días dentro de la red, y todas las acciones se habían ejecutado desde una cuenta administrativa a través de la VPN. Parecía conocer la infraestructura y los servicios a la perfección. Y debía conocerlos, porque el usuario comprometido pertenecía a uno de los líderes del área de TI, que además fue la misma persona que nos contactó para activar el protocolo de respuesta ante incidentes. Este escenario se ha vuelto cada vez más recurrente en los últimos meses, revelando una tendencia en las amenazas a las que se exponen las organizaciones: los insiders o atacantes internos se están consolidando como una de las armas preferidas por los grupos cibercriminales para alcanzar sus objetivos financieros. La relación entre insiders y ransomware es cada vez más evidente. Las estadísticas indican que, en 2024, el 47 % de los incidentes de ransomware se originaron a partir de credenciales legítimas que ya estaban en manos de los atacantes. Estas credenciales se obtienen con campañas de reclutamiento dirigidas a empleados para facilitar el acceso a las redes corporativas desde dentro. ■ Un ejemplo de esta táctica fue documentado por Pulse en 2022, cuando entrevistó a 100 directores de TI. El estudio reveló que el 57 % de los empleados había sido contactado por grupos criminales para permitir el acceso a las redes corporativas, y varios de estos accesos culminaron en ataques de ransomware. ¿Por qué es tan peligroso? A diferencia de los ataques tradicionales de ransomware —que son ruidosos y generan alertas automáticas— los ataques de tipo insider pueden ser completamente silenciosos. Pueden mantenerse latentes durante meses, incluso años, sin ser detectados por herramientas de monitoreo, y sin necesidad de ejecutar software malicioso de forma directa. Es importante comprender que existen tres tipos de insiders, cada uno con sus características particulares. Además, no siempre corresponden a empleados o contratistas desleales, pero en todos los casos su actividad no genera alertas inmediatas: Insiders comprometidos: son usuarios cuyas credenciales han sido robadas a través de prácticas riesgosas, como el uso de redes inseguras o sitios maliciosos. Estas cuentas se utilizan para robar información sensible o hacer reconocimiento de red. Al tratarse de credenciales legítimas, estas acciones suelen pasar desapercibidas. Insiders negligentes: son usuarios que, por desconocimiento o falta de atención, realizan acciones que comprometen la seguridad de la organización. Por ejemplo, hacer clic en un enlace malicioso que descarga un malware sin archivo (fileless), el cual se ejecuta únicamente en la memoria RAM del equipo, evadiendo la mayoría de los controles tradicionales. Insiders maliciosos: son los más peligrosos y técnicamente sofisticados. Son individuos que, de forma deliberada, descargan malware o colaboran con los atacantes, permitiendo su acceso a la red. Los insiders constituyen una de los mayores amenazas en términos de fugas de información y ataques de ransomware. ¿Qué herramientas utilizan? Una de las razones por las que estos atacantes pueden permanecer tanto tiempo sin ser detectados — incluso retirarse sin dejar rastro— es que utilizan el mismo software que encuentran dentro de las organizaciones. Esta técnica, conocida como "Living off the Land", se basa en el uso de herramientas legítimas del sistema operativo o de administración de TI para llevar a cabo acciones maliciosas sin levantar sospechas. Por esta razón, no basta con contar con herramientas tradicionales de defensa y monitoreo. Se requiere una estrategia más robusta que incluya: Análisis de comportamiento de usuarios (UBA/UEBA). Controles basados en identidad. Revisión continua de registros de autenticación. Monitoreo de técnicas de exfiltración de información. Integración con inteligencia de amenazas. Entre otras herramientas enfocadas a anomalías en comportamientos. Conclusión En resumen, la amenaza que representan los insiders —sean maliciosos, negligentes o comprometidos— es excepcionalmente peligrosa debido a la confianza inherente asociada a las personas con acceso legítimo. Su conocimiento de los sistemas internos y la dificultad para diferenciar su comportamiento del uso normal complican enormemente su detección. Este tipo de ataque permite acciones sigilosas, con potencial de generar daños severos tanto directos como indirectos. Por ello, representa una de las mayores amenazas en el contexto actual de fugas de información y ataques de ransomware. Las organizaciones deben tomar conciencia de esta realidad y abordar los ataques internos como una amenaza prioritaria. Las soluciones de monitoreo de red son una herramienta clave para detectar comportamientos anómalos que podrían indicar la presencia de un insider o de un dispositivo comprometido. Así mismo, la aplicación de principios de mínimo privilegio, políticas robustas de gestión de contraseñas, y una formación continua en Ciberseguridad para todos los empleados, son pasos esenciales para mitigar el riesgo.

La complejidad digital de los servicios que hoy se implementan en las organizaciones y su relación con el negocio es un reto que los métodos tradicionales están demostrando dificultades para gestionar. En consecuencia, las organizaciones han enfrentado obstáculos para garantizar la visibilidad de los datos en todos los procesos, gestionar proactivamente la seguridad y, al mismo tiempo, ofrecer una experiencia satisfactoria tanto a sus clientes como a sus colaboradores. La esperanza de gestionar esta enorme cantidad de información se ha volcado hacia la IA, la cual, si bien ha llegado para quedarse, aún carece de madurez en algunos aspectos críticos de la analítica y estrategias de automatización para que su implementación cubra todas las necesidades de observabilidad que se requiere. Hace un par de años hablamos sobre qué es la observabilidad y cómo esa capacidad de comprender cada fragmento de un proceso digital, a través de la telemetría, nos da la posibilidad de observar comportamientos normales y detectar las anomalías en los diferentes componentes. Trasladando este concepto al campo de la Ciberseguridad, proporciona un contexto mejorado para lograr una respuesta a incidentes más eficaz. La observabilidad en Ciberseguridad permite a las organizaciones detectar y reaccionar eficazmente ante anomalías en procesos digitales. Observabilidad de la seguridad Se trata de un enfoque relativamente novedoso, que aprovecha la capacidad actual de manejar de forma ágil grandes volúmenes de datos para detectar procesos anómalos en cada componente de un proceso digital. Esto incluye no solo los componentes tradicionales de red o de servicios, sino también componentes actuales como contenedores, gestores de nube, segmentos de código, DevSecOps, comportamiento de usuarios, entre otros. Este enfoque va más allá de la supervisión tradicional y ayuda a los equipos de seguridad de la información a plasmar, mediante analítica relacional, el impacto de las detecciones de eventos de seguridad en la calidad de los servicios ofrecidos, y por ende, en el cumplimiento de los objetivos de negocio. Algunas de las características principales de este enfoque son: A través de las trazas y métricas de cada fragmento de un proceso digital es posible comprender no sólo lo que ha ocurrido, como lo informa la supervisión tradicional, sino el por qué ha ocurrido y cómo han interactuado los sistemas, facilitando la detección de amenazas conocidas y desconocidas. Recopilación más exhaustiva de eventos, transformados en telemetría en tiempo casi real de componentes de infraestructura IT, tanto en redes tradicionales como en la nube, así como datos de microservicios y aplicaciones. Capacidad de dar contexto a los incidentes y a los recursos asociados a la amenaza, mediante la relación de procesos digitales dentro de las tecnologías desplegadas y monitorizadas. La clave radica en entender la interacción de las topologías de servicios y sus dependencias. Desarrollar planes contextuales de seguridad de forma automática, los cuales reflejen el funcionamiento real de las aplicaciones y sus API, detallando la superficie de ataque, la eficiencia de mecanismos de defensa, el uso de elementos vulnerables en los desarrollos y otros aspectos importantes. En consecuencia, el despliegue de tecnologías orientadas a la observabilidad añade un elemento diferencial a la seguridad de la información, permitiendo comprender qué y por qué están ocurriendo incidentes, y posibilitando la detección de incidentes a través de la observación. La esperanza de gestionar esta enorme cantidad de información se ha volcado hacia la IA, la cual aún carece de madurez en algunos aspectos críticos. Detección de incidentes por observabilidad Como hemos visto, las capacidades de observabilidad que nos ofrecen las actuales tecnologías, junto con la posibilidad de analizar grandes volúmenes de datos casi en tiempo real gracias a la IA, permiten identificar la causa raíz de un incidente cibernético. Esto implica no solo alertar sobre una amenaza, sino analizar el estado interno del proceso e identificar el punto especifico de la actividad inusual. Esta capacidad mejora significativamente la detección de amenazas mediante el análisis de patrones y ligeras variaciones respecto a un comportamiento normal, utilizando datos completos de cada uno de los componentes del proceso afectado o amenazado. Este enfoque no se limita a las alertas por superar un umbral predefinido o la detección de una firma conocida, sino que adopta una naturaleza proactiva basada en el contexto proporcionado por eventos, métricas y la traza de cada proceso, facilitando la identificación de anomalías y potenciales amenazas. Para ello, la tecnología debe integrar con una serie de componentes que ayudan al despliegue de esta aproximación, los cuales mencionaremos a continuación: Análisis y correlación en tiempo real que identifique patrones y desviaciones del comportamiento normal, vinculando datos aparentemente no relacionados. Mediante un aprendizaje automático, estas capacidades permitan identificar y alertar anomalías en el conjunto de datos históricos. Recolección amplia de datos telemétricos de todas las partes de la infraestructura de IT, debido a que solo una recopilación exhaustiva de datos garantiza la visión holística del entorno digital. Enfocarse en por qué ha ocurrido una amenaza utilizando herramientas que aporten el contexto, como las trazas de recorrido de una solicitud sobre aplicaciones afectadas o relaciones entre aplicaciones en los diferentes procesos digitales. Capacidad de desarrollar un plan de seguridad contextual que ofrezca un conocimiento detallado del funcionamiento real de los sistemas y permita la identificación de posibles vulnerabilidades. Por ejemplo, detectar bibliotecas específicas utilizadas en un microservicio que puedan estar asociadas a amenazas conocidas, según reportes de inteligencia. La observabilidad proporciona un contexto mejorado para lograr una respuesta a incidentes más eficaz. Conclusión La detección de incidentes por observabilidad transforma el enfoque reactivo ante amenazas conocidas. Esto permite comprender proactivamente el comportamiento del sistema y detectar las amenazas conocidas y también, y más importante, las desconocidas. Al proporcionar información detallada y contexto en tiempo real, esta capacidad permite a los equipos de seguridad detectar, analizar y responder con mayor eficacia, con el objetivo último de reducir el tiempo medio de contención. Ciberseguridad Atacando el riesgo de los falsos amigos 4 de febrero de 2025

La ciberseguridad ha evolucionado significativamente en los últimos 20 años. Desde que se mencionó por primera vez una solución para vigilar las acciones dentro de las redes y los sistemas, esta solución fue denominada SIEM (Security Information and Event Management) en un informe de Gartner, como una herramienta de TI para mejorar la gestión de vulnerabilidades. Unos años después, el SIEM se convirtió en el corazón del SOC (Security Operations Center), desde donde personal especializado realiza todas las acciones necesarias para mitigar amenazas o comportamientos anómalos antes de que se conviertan en incidentes. Para ello, toman todos los eventos reportados, los correlacionan y detectan posibles amenazas o anomalías. Sin embargo, a pesar de los avances tecnológicos y los dispositivos especializados que reportan estos comportamientos, los incidentes de ciberseguridad siguen aumentando día tras día. Esto ha generado un interés creciente en que el monitoreo no se base exclusivamente en eventos o acciones que ya ocurrieron en la red, sino que incorpore otros parámetros o perspectivas para hacer las detecciones más eficientes y, sobre todo, preventivas. Uno de los ejemplos que más ha avanzado y que ha dado lugar a nuevas disciplinas en torno a la ciberseguridad y la protección preventiva es el EDR (Endpoint Detection and Response). Este concepto surgió en 2010 y se materializó como desarrollo a partir de 2013, convirtiéndose hoy en una herramienta vital para las organizaciones que buscan adoptar un modelo de seguridad más proactivo que reactivo. El concepto de EDR (Endpoint Detection and Response) es hoy una herramienta vital para las empresas. La razón de su importancia radica en su capacidad para realizar búsquedas directamente en los dispositivos y ejecutar acciones predeterminadas sobre estas detecciones. Sin embargo, para que esta capacidad alcance su máximo potencial, se requiere un conjunto de acciones y conocimientos específicos, de los cuales hablaremos a continuación. Conocimiento de la operación Como proveedores de servicios de gestión de seguridad, uno de los principales desafíos a los que nos enfrentamos diariamente es la falta de conocimiento por parte de nuestros clientes sobre los detalles funcionales de su infraestructura tecnológica. Un ejemplo claro es la dificultad para identificar cuáles son los dispositivos o servicios críticos para su operación. El monitoreo y la detección de amenazas se basan en prioridades, ya que es imposible analizar los miles de eventos por segundo que pueden generarse en cada uno de los sistemas. Sin embargo, estas prioridades solo pueden establecerse mediante un análisis de riesgos adecuado y un plan de seguridad que defina un gobierno claro de acciones y prioridades. Estas definiciones pueden lograrse mediante una consultoría específica para la detección de las "joyas de la corona" o la identificación de prioridades y rutas críticas de información. Con estos datos, es posible implementar o mejorar los mecanismos de monitoreo, además de utilizarlos como insumo para determinar las acciones de respuesta automática de los EDR, las respuestas de los analistas del SOC o, en caso de una detección más grave, la activación de los equipos de DFIR (Digital Forensics Incident Response). Uno de los SOC globales de Telefónica Tech Coordinación en las acciones Dado que el EDR monitorea y responde directamente en cada dispositivo, es fundamental que los equipos de TI y seguridad estén altamente coordinados en sus acciones. Esto evita bloqueos mutuos o falsos positivos. La mayoría de los EDR actuales generan una línea de comportamiento habitual, lo que permite enfocar las respuestas automáticas en acciones que se desvíen de esta línea, alertando, controlando o bloqueando inmediatamente cualquier anomalía. Por lo tanto, si el departamento de TI necesita desplegar un nuevo software o realizar un acceso remoto a un servidor, debe coordinarse previamente para evitar que el EDR genere alertas o bloqueos innecesarios. Estas acciones se van perfeccionando con el tiempo y dependen directamente del punto anterior, donde se han establecido lineamientos claros sobre cómo ejecutar los procedimientos de ciberseguridad y cómo cada activo tiene una prioridad y políticas específicas que cumplir. Análisis de sospechosos Iniciamos este artículo haciendo un recuento de cómo surgieron las tecnologías de monitoreo y cómo estas no han sido suficientes para controlar el crecimiento de los incidentes. Frente a esta realidad, nació el Threat Hunting como pilar de la seguridad proactiva, una práctica que comenzó como una teoría en 2011 y que, desde 2017, se ha convertido en una de las más recomendadas y utilizadas, no solo en monitoreo, sino también en la respuesta a incidentes. Su aplicación está fundamentada en gran medida en las capacidades que brinda el EDR dentro de la organización, pero depende en gran medida del conocimiento y las habilidades de los analistas que formulan hipótesis y realizan búsquedas. Esta disciplina surge para cubrir la necesidad de detectar comportamientos anómalos más allá de los identificados por el SIEM o las alertas configuradas, las cuales requieren un análisis constante para su mejora, pero que nunca avanzan a la misma velocidad que las amenazas. SIEM se ha convertido en el corazón del SOC (Centro de Operaciones de Seguridad), donde el personal especializado mitiga amenazas antes de que se conviertan en incidentes. Por ejemplo, una alerta puede identificar una conexión con un alto flujo de datos a un servicio externo que está fuera del comportamiento habitual de la red. Sin embargo, esta conexión podría ser el último paso del atacante para exfiltrar información. En cambio, con el Threat Hunting, todos los pasos previos que el atacante tuvo que ejecutar podrían detectarse mediante búsquedas periódicas o acciones sospechosas planteadas a partir del conocimiento de comportamientos delictivos. Usando el conocimiento de otros Como se mencionaba en el párrafo anterior, el conocimiento de los comportamientos delictivos es una base de datos invaluable. Las organizaciones deben valorar y aplicar este conocimiento en sus búsquedas, tanto en el SIEM como en los EDR, para aumentar no solo la capacidad de detección, sino también mejorar los tiempos de respuesta. Esta base de conocimiento se conoce como CTI (Cyber Threat Intelligence). La mayoría de los fabricantes de EDR y empresas de seguridad han implementado esta capacidad, pero no todas las organizaciones la utilizan o valoran como una fuente de información estratégica y operativa en ciberseguridad. Conocer los pasos de los diferentes actores de amenazas es vital para plantear una defensa efectiva. Esto implica coordinar el plan de seguridad mencionado al inicio, con las búsquedas de Threat Hunting y las respuestas automáticas. Todo esto es proporcionado por el CTI, completando el conjunto de capacidades que respaldan el monitoreo proactivo. La coordinación de acciones y el conocimiento de la operación son esenciales para establecer prioridades y mejorar los mecanismos de monitoreo." Conclusiones En un entorno donde las amenazas cibernéticas son cada vez más sofisticadas y frecuentes, el monitoreo tradicional basado en la reacción a eventos ya ocurridos ha demostrado ser insuficiente. Las organizaciones deben adoptar un enfoque proactivo que les permita anticiparse a los ataques, en lugar de simplemente responder a ellos. Herramientas como el EDR (Endpoint Detection and Response), prácticas como el Threat Hunting y fuentes de información como el CTI (Cyber Threat Intelligence) se han convertido en pilares fundamentales para construir una estrategia de ciberseguridad efectiva. Sin embargo, su implementación no es suficiente por sí sola. Para alcanzar su máximo potencial, es necesario: Conocer a fondo la infraestructura tecnológica. Coordinar equipos y procesos. Invertir en capacitación y talento. Integrar inteligencia de amenazas. En resumen, la ciberseguridad moderna requiere un equilibrio entre tecnología, conocimiento y estrategia. Las organizaciones que logren alinear estas capacidades con sus objetivos de negocio no solo estarán mejor preparadas para enfrentar las amenazas actuales, sino que también estarán un paso adelante en la protección de sus activos más valiosos. La ciberseguridad ya no es un tema exclusivo del área de TI; es una prioridad estratégica que debe integrarse en todos los niveles de la organización. ¿Está tu empresa preparada para dar el salto hacia una ciberseguridad proactiva?

Cuando una empresa o persona adquiere un software o aplicación, no solo obtiene las funcionalidades del servicio o desarrollo requerido, sino que también integra un nuevo socio o proveedor a su ecosistema. Esto suma un nuevo elemento a su cadena de suministro o red de aliados. Desde el punto de vista de la Ciberseguridad, no es necesario mantener una relación comercial continua con el proveedor de software o hardware que se incorpora a la red. Sin embargo, al integrar estos elementos, pasan a formar parte de la cadena de suministro, convirtiéndose en un factor crítico a considerar en las estrategias de seguridad. Los ataques por terceras partes o 'supply chain attacks' son el tercer ataque más costoso y está en el TOP 5 de los que más comunes. En la mayoría de los estudios estadísticos de Ciberseguridad encontraran que los ataques por terceras partes o “Supply Chain Attacks”, por ejemplo, en 2022 IBM indicaba que son el tercer ataque más costoso y es el cuarto tipo de ataque más frecuente. Esto se debe, principalmente, a dos razones clave: Confianza en nuestros “amigos” Con frecuencia, no se analizan los riesgos asociados a un software o hardware antes de integrarlo en la red. En muchas ocasiones, se asume que si otros lo usan o si una relación comercial ha sido estable durante años, todo continuará igual. Sucede, por ejemplo, cuando convergen soluciones de fabricantes de dispositivos industriales y de proveedores de software de protección de tráfico. En este caso, los sistemas de protección de tráfico de un fabricante embebidos en dispositivos industriales de otro fabricante generan una interdependencia con software desarrollado por terceros. En consecuencia, cualquier vulnerabilidad reportada en una parte del software pone en riesgo a los sistemas industriales que utilizan dichos dispositivos. En estos casos, si se produce una vulnerabilidad crítica de software en una de las partes esto obligar a los fabricantes de dispositivos industriales a generar un reporte especial y adicional a su su reporte regular para notificar la criticidad de este riesgo en todos los sistemas de control reforzados que utilizaban dicho software. Con frecuencia no se analizan los riesgos asociados a un software o hardware antes de integrarlo en la red empresarial. En la práctica, existen cientos o miles de casos similares en todo tipo de industria, algunos de ellos los hemos puesto en nuestro blog y eso algo que le puede estar pasando en su empresa, por esto cada software o cada hardware debe ser analizado antes de ser adquirido, que conozcamos si su desarrollo y diseño fue pensado teniendo en cuenta la Ciberseguridad, que además pensemos cada cámara IP o sensor IP que adquirimos como puede ser monitoreado, validando su impacto. Desconocer lo que adquirimos Muchas empresas o personas adquieren tecnología o software porque requieren cubrir una necesidad inmediata, sin analizar a fondo sus características. Un ejemplo de la vida diaria es descargar aplicaciones a los móviles simplemente porque está de moda o porque requiero cubrir una necesidad, pero nunca se revisan los permisos o quien es el desarrollador, en algunos casos ni siquiera se valida la legitimidad del desarrollo. En entornos empresariales, esto se refleja en la incorporación de software o hardware en servicios de data center, donde instalan sus aplicaciones en los servidores del proveedor, conocido también como infraestructura como servicio, pero pocas veces se valida si los equipos tienen servicios de gestión del fabricante, los cuales permanecen habilitados y públicos. Solo como un ejemplo de referencia, podemos tomar el servicio de gestión que viene preconfigurado en servidores IBM, que se llama WebSphere. Del cual se han reportado más de 400 vulnerabilidades y una de las últimas permite que se ejecuten comando remotamente en el servidor, como lo indica en su reporte IBM. Al hacer una búsqueda de este servicio en Internet usando Shodan, se encuentran más de 7300 servidores expuestos en todo el mundo y con más de 5 vulnerabilidades públicas expuestas, como vemos en la imagen a continuación. Debido a esto existen muchas empresas que son vulnerables, no solo por la tercera parte sino por el proveedor del proveedor, lo cual no es nuevo y ya lo hemos hablado anteriormente en nuestro blog. Menos confianza y más estrategia Controlar este riesgo es muy complejo y se requiere de varias estrategias que trabajen en conjunto con una política clara de gestión de Ciberseguridad por parte de la organización. Con esto en mente, cada organización debería desarrollar esas estrategias e incorporarlas en sus controles de seguridad de la información, a pesar de ello, usando nuestra experiencia podemos plantear algunas estrategias para asegurar esta amenaza. Definir un proceso para incorporar un software o hardware o proveedor Realizar un análisis de Ciberseguridad de ese proveedor, buscando los reportes de amenazas, analizando los tiempos de respuesta en corregir una vulnerabilidad reportada, pidiendo el detalle de la superficie de ataque y cualquier otro dato que la organización considere que implica un riesgo para la gestión de su información. Cada software o cada hardware debe ser analizado antes de ser adquirido para averiguar si cumple la premisa 'Ciberseguridad desde el diseño'. Nada entra sin confirmación y aseguramiento En ocasiones la premura es cubrir la necesidad, pero cada elemento debería ser validado con una prueba de seguridad y con la ejecución de un proceso de aseguramiento, que valide que nuestra segunda causa no esté presente. Reforzar la autenticación Sin duda el riesgo más crítico es que puedan suplantar a cualquier usuario en la red, al colocar cualquier hardware o software este va a conocer los mecanismos de autenticación que se usan y en muchas ocasiones puede ser usado para suplantar a los usuarios, pero si la autenticación y la autorización es constantemente reforzada y tiene múltiples factores de confirmación esto reduce mucho la posibilidad de que se exploté esta amenaza. Monitoreo que determine su comportamiento Es casi imposible monitorear cada bit o cada activo a profundidad, pero es indispensable determinar cuál es el comportamiento típico de cada uno de los elementos de la red, por lo tanto, una vez algún elemento nuevo se incorpora debe tener un monitoreo constante y a profundidad para tener claro ese comportamiento y en un periodo corto reducir el monitoreo y poder generar alertas validas de cuando algo es anormal. Minimiza el acceso a los datos Tanto software, como hardware y como personal de terceras partes debe tener controles muy claros de autorización y de trazabilidad, poder determinar con detalle que proveedor tiene la capacidad de acceder a un servicio o servidor es fundamental en una respuesta de incidentes para determinar puntos de acceso. Además, tener este control permite colocar alertas efectivas sobre un mal uso de estos permisos o intentos de movimientos laterales con estos usuarios, aumentando el nivel de prevención y detección de amenazas. La Ciberseguridad en la cadena de suministro es un desafío, pero con una estrategia sólida y medidas preventivas adecuadas las empresas pueden reducir significativamente su exposición a riesgos.

En nuestra experiencia atendiendo incidentes cibernéticos, el proceso siempre culmina con una reunión para analizar las lecciones aprendidas. Sin lugar a dudas, 2024 ha sido un año con un incremento notable en la cantidad y complejidad de estos incidentes. Por ello, este artículo busca recopilar las principales lecciones aprendidas que las organizaciones deberían tener en cuenta para enfrentar los desafíos de 2025. Ransomware como protagonista El tipo de ataque predominante en 2024 ha sido el ransomware, particularmente en modalidades de doble y triple extorsión. Las principales lecciones aprendidas en este contexto giran en torno a cuatro aspectos clave: el vector de inicio, los métodos de persistencia, los movimientos laterales y el comando y control. 1. Cómo inició el ataque El análisis revela que el phishing sigue siendo el principal vector de ataque. Esta técnica permite a los atacantes engañar a empleados o terceros con acceso a la red para ejecutar acciones maliciosas, como instalar malware o establecer conexiones remotas. Sin embargo, durante 2024 se ha observado un aumento en el uso de herramientas empresariales comunes como las VPN y los servicios de acceso remoto. Los atacantes explotan credenciales expuestas, la falta de cambios periódicos de contraseñas, la ausencia de autenticación multifactorial o vulnerabilidades conocidas en estas plataformas. Una vez dentro, los atacantes son difíciles de detectar, ya que utilizan credenciales legítimas con comportamientos aparentemente normales. 2. Cómo se mantienen en la red Los atacantes emplean técnicas de persistencia para asegurarse un acceso continuo a los sistemas comprometidos, incluso después de reinicios o medidas defensivas. Entre los métodos más comunes destacan la programación de tareas automáticas, la habilitación de servicios maliciosos y la creación de usuarios administrativos. Una lección clave de 2024 es la importancia de gestionar las identidades dentro de la red. Detectar rápidamente la creación de usuarios sospechosos o actividades inusuales asociadas con cuentas privilegiadas puede marcar la diferencia para prevenir el movimiento continuo de los atacantes. 3. Cómo se mueven sin ser detectados El movimiento lateral y la elevación de privilegios son dos técnicas esenciales para los atacantes. En el primer caso, comprometen cuentas de usuarios válidos para acceder a múltiples sistemas, simulando comportamientos normales. En el segundo, aprovechan configuraciones incorrectas o permisos excesivos en equipos para adquirir privilegios administrativos. Es fundamental revisar configuraciones para evitar que cuentas de usuarios tradicionales tengan permisos innecesarios, así como monitorear el uso de herramientas como escritorios remotos y servicios de TI. 4. Control externo: comando y control El comando y control se refiere al mecanismo mediante el cual los atacantes gestionan las máquinas comprometidas desde fuera de la red. Por ejemplo, pueden enviar una orden para cifrar datos en todos los dispositivos infectados mediante señales a servidores externos, camufladas en tráfico web o incluso en mensajes de aplicaciones como WhatsApp o Telegram. La detección de tráfico hacia direcciones IP externas sospechosas, especialmente con comunicaciones de bajo volumen pero frecuentes, debe ser una prioridad en las estrategias de monitoreo. Lecciones para 2025 Basándonos en los aprendizajes de 2024, estas son las acciones clave que las organizaciones deben implementar: Minimizar los privilegios: Ningún dispositivo debe ser utilizado con cuentas de altos privilegios de forma rutinaria. Esto dificulta las actividades maliciosas de los atacantes y reduce el impacto de un compromiso. Monitorear la creación de usuarios: Incluso cuando se siga un procedimiento aprobado, toda creación de usuarios debe ser considerada una actividad crítica a monitorear. Conocer los servicios internos de la red: Entender el comportamiento normal de los servicios permite detectar anomalías, como conexiones fuera de horario o usos atípicos de escritorios remotos. Detectar tráfico anómalo hacia IP externas: Establecer alertas para identificar patrones sospechosos en las comunicaciones de red. Gestión y monitoreo de usuarios privilegiados: Identificar las actividades regulares de cuentas con altos privilegios y monitorear cambios inusuales es esencial para prevenir y responder eficazmente a incidentes. Finalmente, es importante destacar que ningún sistema de monitoreo es infalible. Por ello, las organizaciones deben estar preparadas para responder ante incidentes, definiendo roles y responsabilidades claras dentro del equipo de respuesta. Como dijo Sun Tzu en El arte de la guerra, Conócete a ti mismo y conoce a tu enemigo, y ganarás mil batallas.

Hemos visto cómo el crimen organizado ha cambiado su modo de operar, encontrando en los ataques extorsivos una fuente de ingresos rápida e interesante. Latinoamérica, igual que otras regiones del mundo, se ha convertido en un mercado atractivo para quienes desean explotar las brechas de seguridad de las empresas. Esto ha generado cambios en la forma de plantear la Ciberseguridad a nivel global, centrados en la detección temprana como la única opción para mitigar impactos. La industria de la Ciberseguridad ha desarrollado herramientas que permiten una respuesta automatizada y rápida a los incidentes. Aunque este ecosistema ha mejorado significativamente la detección y respuesta a incidentes, todavía depende en gran medida de cómo se configuren las soluciones. Para tener claridad en esto, es necesario conocer el comportamiento de las amenazas y de los actores maliciosos que usan estos mecanismos para generar ataques. La detección temprana como la única opción para mitigar impactos. Por ello, la investigación se convierte en una tarea primordial para los equipos de analistas de ciberseguridad y en una parte integral de las operaciones. El mejor ejemplo se da durante un incidente, donde la recuperación depende totalmente de la investigación que inician los analistas de respuesta de incidentes. En la práctica, los investigadores de Ciberseguridad pueden tener muchos enfoques. Algunos se dedican a detectar posibles brechas en protocolos o servicios sin que estos estén asociados a incidentes activos. Otros plantean cómo aprovechar servicios o características para generar ataques. Nos enfocaremos en qué debe hacer un investigador durante un incidente. Qué investigar durante un incidente de seguridad Durante un incidente los investigadores deben determinar quién, qué, cuándo, dónde y por qué se está realizando el ataque. Para ello, deben ser especialmente observadores, saber qué preguntar y cómo validar la información encontrada o buscada, para entender qué significa cada dato y cómo convertirlo en información valiosa para la investigación. Latinoamérica, como otras regiones, se ha convertido en un mercado atractivo para quienes desean explotar las brechas de seguridad de algunas organizaciones. Para resolver estas preguntas, los equipos de respuesta de incidentes siguen metodologías y comparten información bajo esquemas de trabajo en equipo que ayudan a plantear las hipótesis a seguir en la investigación. Por ejemplo, cuando un investigador plantea que una evidencia es un error, otro puede encontrar información valiosa en la misma evidencia. Para no repetir esfuerzos, todo esto se registra en la bitácora de la investigación. Ahora, imagine a su organización ante una alerta de incidente. Los equipos de seguridad deben iniciar la investigación antes de activar al equipo de DFIR (Digital Forensics Incident Response), quienes deben entrar solo cuando el análisis inicial confirme cinco datos específicos del ataque: 1. ¿Es un ataque real? El primer paso de los investigadores será confirmar que la alerta sea real. Para esto, se debe recolectar información de las herramientas que generaron la alerta y compararla con los dispositivos que la generaron para verificar su autenticidad. El otro dato importante que debe surgir del análisis inicial es entregado por la herramienta que genera la alerta, donde se asocia a una táctica o técnica la situación que generó la alerta y su respectiva valoración de riesgo asociada a los activos más críticos de la organización. 2. ¿El ataque generó afectación? En ocasiones, las alertas se configuran para detectar pasos previos de los atacantes, generando una detección proactiva de la amenaza y dando tiempo a los equipos de respuesta de incidentes para controlar el impacto. Por ello, es muy importante que la investigación inicial determine la afectación a servicios o dispositivos. La investigación se convierte en una tarea primordial para los equipos de analistas de Ciberseguridad. Durante un incidente, el equipo de DFIR no reacciona ni atiende igual si la amenaza detectada es antes de la ejecución de un ransomware o si ya todos los equipos han sido cifrados. Esta respuesta debe ser rápida y clara, para así determinar la activación de una investigación en profundidad o, en algunos casos, cerrar el incidente. 3. ¿Qué activos están comprometidos? En paralelo con la respuesta anterior, es importante que el equipo de investigación determine la cantidad de activos comprometidos y valide su nivel de importancia en relación con la matriz de riesgo y la definición de activos críticos de la organización. Este análisis permite enfocar la respuesta en contener las acciones dentro de los activos afectados, proteger otros activos importantes e iniciar procesos de búsqueda de amenazas (threat hunting) para detectar otros activos afectados usando los indicadores de compromiso detectados. Determinar quién, qué, cuándo, dónde y por qué se está realizando el ataque. 4. ¿Qué actividades ejecutó el actor? No siempre en la revisión inicial es posible contestar totalmente esta pregunta, pero tener claridad sobre por qué se calificó como un incidente real proporciona características de lo que los atacantes ejecutaron. Estos datos son valiosos para determinar si se activa una sala de crisis y con qué nivel de criticidad se califica el incidente, lo cual debe estar directamente asociado al procedimiento de respuesta. Aunque parezca un trabajo laborioso y largo, este proceso debe ser ejecutado rápidamente por los investigadores, determinando con las herramientas de monitoreo cuáles fueron las acciones reales que activaron la alerta. Esto permite tener una valoración inicial de las actividades que realizó el atacante, para que los equipos de inteligencia y búsqueda de amenazas inicien sus labores. 5. ¿Cómo se debe responder a este ataque? Únicamente después de tener claro qué hizo el atacante es posible plantear acciones iniciales de contención. Este paso solo debería ser ejecutado por investigadores experimentados que hayan tenido tiempo de tener una visión completa de las acciones realizadas por el atacante. Actuar sin esta base de investigación genera más daños que soluciones. Los equipos de seguridad deben iniciar la investigación antes de activar al equipo de DFIR. En una primera respuesta, los investigadores, con la información anteriormente descrita, pueden plantear algunas acciones iniciales, como controlar posibles movimientos del atacante en la red a través de cambios en los segmentos de red generando un aislamiento de los equipos comprometidos, aunque esto depende del tipo de incidente. Otra medida posible es activar procesos de respuesta automática en los EDR (Endpoint Detection and Response), usando los IoC (Indicadores de Compromiso) e IoA (Indicadores de Ataque) detectados, lo que mitigaría que dispositivos no comprometidos fueran afectados por las acciones ya conocidas. En conclusión El proceso de investigación en Ciberseguridad es vital en todos los campos, pero es invaluable el aporte de tener un equipo de investigación de primera respuesta o procedimientos claros sobre cómo actuar ante una alerta que pueda generar un incidente mayor. Todas las empresas, sin importar su tamaño o tipo de negocio, están expuestas a sufrir un incidente mayor. La única forma de sobrevivir es tener un equipo de investigación inicial que esté preparado para contestar esas cinco preguntas en el menor tiempo posible, para que las directivas o quienes correspondan en el plan de respuesta puedan tomar las decisiones adecuadas para responder y contener la amenaza.

Desde el 2010 los incidentes cibernéticos en entornos industriales han aumentado significativamente. Pero, sin duda alguna, ha sido a lo largo de los últimos diez años cuando estos incidentes han empezado a afectar de forma más evidente a la población en general y se han convertido en noticia. Existen varios ejemplos: 2015: apagado de la red eléctrica de Ucrania después de que un trabajador abriera un correo electrónico de engaño (phishing). 2017: al parecer enviando un correo electrónico los delincuentes fueron capaces anular todo el sistema de protección de una planta petroquímica en el medio oriente. 2021: el oleoducto más grande de EE UU tuvo que detener el flujo de suministro durante 8 días después de que la contraseña de un trabajador se viera comprometida y se usara para secuestrar el sistema de control. Estos son solo algunos casos de los incidentes que han sucedido en los últimos años, que como se puede observar en muchas ocasiones se ha originado por acciones realizadas por empleados. Diferencias en las aproximaciones a la Ciberseguridad Esto se debe a varias circunstancias, pero la principal se debe a una diferencia en la mentalidad y formación relacionada con la seguridad. En los entornos industriales términos como “Anti-DDoS”, “doble factor de autenticación” y otras expresiones similares que sí son habituales en los entornos de seguridad informática e IT son poco conocidas. Existe una diferencia en la mentalidad y formación relacionada con la ciberseguridad entre los entornos corporativos y los entornos infustriales Estas diferencias son las que generan muchos de los inconvenientes para implementar o reforzar las medidas de seguridad en la convergencia entre los entornos de informática (IT) y sistemas industriales (OT). Esto debe servir de lección para los equipos de seguridad, al demostrar que no es posible que la aproximación de seguridad entre IT y OT sea la misma, haciendo que sea necesario entender claramente la raíz de esas diferencias. La visión de las prioridades en IT y OT Siempre hemos hablado de que la Ciberseguridad se basa en tres pilares, que son la integridad, la confiabilidad y la disponibilidad. Los tres son los mismos en cualquier sistema que trate información, pero la prioridad que damos a cada uno si puede ser distinta. Para entornos corporativos (IT) es fundamental que la toma de decisiones se sustente con datos, por lo que la confiabilidad de estos es la prioridad que se tiene como objetivo. Muy diferente es en los entornos operacionales (OT) donde, al interactuar con entornos físicos, los datos se requieren en tiempo real para así tener el control de la operación, lo que orienta la Ciberseguridad a darle prioridad a la disponibilidad. Este cambio de enfoque hace que procesos como las actualizaciones automáticas, la microsegmentación o cualquier acción que genere un retraso en las señales o una parada de la operación, no es tan simple de implementar porque la prioridad de la operación y los problemas que estas detecciones generan son más importantes y prioritarias que la implementación de un parche o algún requerimiento de seguridad. Cyber Security Vulnerabilidades, amenazas y ciberataques a sistemas industriales 24 de mayo de 2022 Calculando el riesgo cibernético En Ciberseguridad uno de los primeros pasos es el cálculo de riesgo cibernético, por esto todas las normas y buenas prácticas muestran cómo realizar los cálculos de riesgo y la importancia de poner controles o medidas de mitigación para reducir el riesgo. Siempre se dice que la probabilidad del ataque por el impacto que genere en la operación, pero en entornos operacionales se dice que estos dos no son los únicos factores a tener en cuenta para la Ciberseguridad industrial, sino que al tener esa ya mencionada interacción con el mundo físico es fundamental colocar el parámetro de la consecuencia dentro de la ecuación. Ese parámetro adicional en la ecuación cambia drásticamente la valoración del riesgo e incluye detalles valiosos para los operarios, cuyo principal enfoque de la seguridad es hacia la vida o impactos en su entorno, que nunca se tienen en cuenta en IT. Importancia de los dispositivos Adicional al análisis del riesgo, en los entornos operacionales se tienen claramente identificados los dispositivos esenciales para la operación, que suelen ser denominados las “joyas de la corona” y las cuales salen tras los análisis de los procesos. Muchas de esas “joyas” suelen ser equipos muy antiguos, que desde el punto de vista de IT están obsoletos, pero que dentro de la operación son tiempos normales e incluso dentro de la garantía del equipo, lo que evidencia que la seguridad y los cambios tienen velocidades diferentes entre los entornos. Conceptos de Ciberseguridad Los términos de Ciberseguridad son nuevos para el mundo de operaciones, que hasta hace menos de 5 años (y todavía hoy) confían en que, al no estar conectados en Internet, las amenazas cibernéticas no les afectan. Eso sin duda, ya no aplica, pero eso surge la necesidad de entender y manejar conceptos relacionados con la Ciberseguridad que son nuevos en este ámbito. Incluso los conceptos más comunes de la Ciberseguridad todavía no han calado con suficiente fuerza en las empresas industriales Como decíamos al inicio, conceptos como “Anti-DDoS” no solo son desconocidos, sino que en algunos casos son inaplicables. Pero además de esto normatividad, como la IEC62443, modelos como el de Purdue o normas como la de NIST, no han calado con suficiente fuerza en las empresas industriales, por lo que siguen siendo conceptos que no se conocen o que no se aplican en su totalidad. Este es un reto para la industria 4.0, que poco a poco se va trabajando, pero que hace que se abra una ventana para los ataques cibernéticos que afectan a muchas áreas de la sociedad, pues la interacción con los elementos físicos en sistemas como el del tratamiento de agua, puede afectar a millones de personas. Ciberseguridad Conectividad e IoT IA & Data Inteligencia Artificial aplicada a la Ciberseguridad industrial (OT) 25 de marzo de 2024

Empresas y personas hoy en día usan las redes sociales para generar nuevas entradas o para vender sus servicios y productos, y no solo ya para comunicarse con otras personas o publicar sobre cosas que les gustan o acontecimientos. Sin embargo, son pocas las personas que conocen cómo asegurar el acceso a la red social que usan para protegerse del riesgo de sufrir un ataque y perder el control de la cuenta, encontrándose en un gran problema para recuperar de nuevo el acceso a su perfil. En este post vamos a ver algunos consejos para estar preparados en caso de que seamos víctimas de un ataque cibernético en nuestras cuentas de redes sociales. Como es difícil abordar todas las redes sociales, vamos a centrarnos en algunas de las más comunes y utilizadas en el mundo, y en recomendaciones lo más genéricas posible. Entender qué opciones de seguridad ofrecen las redes sociales Todas las redes sociales trabajan todos los días para garantizar la identificación y autenticación de sus usuarios ofreciendo múltiples formas de autenticarse y mecanismos de seguridad para garantizar la identidad del usuario. Sin embargo, la mayoría de los usuarios solo implementa una contraseña y desconoce que ofrece la red para asegurar su recuperación en caso de perdida. En el caso de Facebook, se tiene una página donde entregan los consejos que ellos entregan para la configuración de la seguridad, pero se divide en tres pasos fundamentales: Esos pasos permiten configurar los mínimos de control de acceso que se debe tener por parte de cualquier usuario. Pero adicional a esto es necesario saber qué van a solicitar en caso de perder el control de la cuenta. En el caso específico de Facebook, el sistema pide que valide la información con una serie de fotos, donde se incluye una del documento de identificación o pasaporte. Esto se hace para la validación de la identidad, donde además se comparan los nombres en la red social con los registrados en el documento y puede ser solicitado por la red social, simplemente para validar un control de identidad. Teniendo en cuenta lo anterior, es vital tener nombres e imágenes que le sirvan a la red para la recuperación, en el caso de que sea un robo de la cuenta, no importa los cambios que se hayan realizado por parte de los delincuentes. Esto le permite a Facebook confirmar la identidad del usuario en los históricos. Este mismo procedimiento es válido para casi todas las otras redes sociales, como Instagram, Youtube, LinkedIn y Twitter. Sin embargo, no funciona para TikTok, donde no es posible ni siquiera configurar el doble factor de autenticación. TikTok se ha convertido en una de las plataformas más usadas por empresas, emprendedores y personas, pero poco han realizado un análisis de la seguridad que entrega esta plataforma, donde el único parámetro configurable es que la cuenta sea o no privada. En caso de olvidar la contraseña o de un cambio en la misma, se solicita el número de teléfono y se envía un pin de 6 dígitos. Pero no existe ningún procedimiento en caso de perder el control de la cuenta: solo se indica un procedimiento para recuperar la cuenta en caso de que sea eliminada, que funcionará hasta 30 días desde que se eliminó. Conocer quién divulga tus datos Otro gran problema de las redes es que terminamos inundados de publicidad en nuestros correos electrónicos o con varios correos para gestionar la publicidad de las redes. Para abordar esto, los sistemas de correo electrónico de uso gratuito nos pueden ayudar con un truco relativamente simple. El truco consiste en añadir el nombre de la red social al nombre usuario de nuestro correo, sin que esto implique que debamos tener un correo electrónico para cada cuenta. Así pues si la cuenta con la que se registró en Instagram es tunombredeusuario@gmail.com, puedes cambiarla por tunombredeusuario+instagram@gmail.com. También funciona con las cuentas de outlook.com o hotmail.com. Con este cambio vas a conseguir que la publicidad o datos enviados desde estas plataformas lleguen a tu buzón de correo con esta identificación añadida a la dirección de correo, y de este modo tendrás evidencias de quién (o qué red social) divulgó tus datos. Además, muchos de los ataques de robos de sesión se realizan con sistemas automatizados, los cuales tomas las bases de datos de información de fugas e inician con procesos para romper contraseñas, pero este “nuevo” correo no será válido para abrir la red social. Conclusión Recuerda que siempre es mejor prevenir que lamentar, y que los delincuentes están constantemente buscando debilidades para apropiarse de las cuentas de redes sociales. Más ahora que se han convertido en canales de compra y venta y que las utilizan muchas personas. Entender los controles y las protecciones que nos proporcionan, y saber qué hacer en caso de un incidente, es vital para garantizar la seguridad de tu información personal y la de tu entorno.

En la actualidad las redes inalámbricas están presentes en todo tipo de industrias. Sin duda es uno de los cambios más notables que ha traído la Industria Inteligente debido a que han incrementado la productividad y reducen los costes. Sin embargo, en varios escenarios se ha demostrado que este tipo de redes no generan unas condiciones de seguridad que puedan considerarse óptimas. Para modificar esto se crearon dos protocolos de trasmisión inalámbrica que se esfuerzan en mejorar los niveles de ciberseguridad: la conectividad Ultra-WideBand (UWB) y la variación de UWB Real Time Location System (RTLS). Sin embargo, investigadores especializados en seguridad OT de Nozomi Networks (empresa invertida por Telefónica Tech) realizaron una serie de pruebas de seguridad sobre estos protocolos y encontraron algunas vulnerabilidades 0-day donde se puede ganar acceso a información sensible que está intercambiándose en la trasmisión. Resultados de las pruebas de seguridad Para centrar un poco la investigación se tomaron unos modelos específicos de equipos y su uso en el sector industrial y hospitalarios, donde se optó por hacer las pruebas en Sewio Indoor y Avalue Renity, dos paquetes de UWB RTLS que entregan localización y funcionalidades de protección. Se utilizan en operaciones de mantenimiento y otros. Ya con estos elementos se procedió a realizar la investigación sobre las comunicaciones y los análisis de los datos que se ejecutan en una infraestructura tradicional de operación con estos elementos, la cual es compuesta por los localizadores, las anclas de información, la UWB y el servidor de procesamiento RTLS. Usando esta arquitectura de red, los investigadores iniciaron los procesos de ingeniería inversa y de análisis en diversos escenarios y respuestas, los cuales están completamente documentados en el reporte final del equipo de investigación. En este informe se puede ver las tácticas, técnicas y procedimientos que se realizaron para simular cómo un actor puede obtener acceso a la información, ejecutando un ataque de tipo hombre en el medio (MitM, Man in the Middle) y un acceso a la red de comunicaciones. CYBER SECURITY Qué son los “Martes de parches” de seguridad para tecnología operativa (OT) 19 de julio de 2022 Posibles consecuencias y opciones para mitigar este ataque Si un atacante aplica estos métodos en la vida real puede fácilmente conocer la posición de personas o activos en las fábricas, los cuales son usados para rescate de personas en trabajos remotos o en casos de emergencias dentro de una planta de operación. En el entorno hospitalario, es muy usado en casos de emergencias y de poder atender síntomas médicos serios. Por lo tanto, en un ataque pasivo los delincuentes podrían acceder a información de comportamientos y hábitos de personal o conocer la ubicación de activos valiosos. En un ataque pasivo es posible acceder a información de comportamientos y hábitos de personal o conocer la ubicación de activos valiosos. Ahora, una de las funcionalidades más comunes de aplicación de RTLS es la creación de geocercas, que son usadas desde el punto de vista de protección al personal y a los activos, usando las entradas o salidas de áreas específicas, lo que puede generar una alerta por proximidad a un equipo peligroso u otras alertas. En las pruebas de ataques a estas configuraciones, fue posible modificar las áreas monitoreadas o las acciones tomadas en la geocerca, generando paradas de fabricación o permitiendo acceso a zonas peligrosas o la posibilidad de eliminar monitoreos antirrobo. Conclusión Todos estos análisis y resultados se mostraron en la pasada edición de BlackHat USA 2022, donde esta investigación fue muy bien calificada y recibida. En las demostraciones se evidenció que todo tipo de industrias pueden ser víctima de este tipo de ataque y que las consecuencias pueden ser no solo de orden operativo, sino de afectación de vidas. Es importante que la industria valide la posibilidad de remediar o mitigar el posible impacto de este potencial ataque a través de segmentaciones de red y uso de firewall industriales, así como la implementación de detección de intrusos en ambientes de operación que permita evidenciar los comportamientos anómalos o movimientos no esperados en la red y, por último, la posibilidad de implementar trasmisión cifrada de los datos.

Sin ninguna duda los requerimientos de ciberseguridad son cada día más altos y específicos en las empresas, las cuales han visto como la transformación digital aumenta considerablemente la superficie de ataque a la que los delincuentes informáticos pueden acceder. Esto genera que las áreas de seguridad y los controles que se tenían implementados se hayan visto rápidamente sobrepasados y se requieran modelos más automáticos y preventivos. Esta evolución debe ser progresiva dentro de las organizaciones. Pero en los últimos años el modelo más aceptado es el conocido como Zero Trust, donde la premisa es la desconfianza total de cualquier elemento que trate o gestione datos en la empresa. Incluso uno de los grandes de la industria, como lo es Microsoft, tomó este modelo de seguridad como base en sus desarrollos de seguridad de Windows. Zero Trust es un modelo que ha confirmado se puede adaptar muy bien a los retos de los cambios tecnológicos que hemos vivido en los últimos años, y que la pandemia sin duda aceleró, debido al aumento casi exponencial de los incidentes cibernéticos. Sin embargo, está muy lejos de ser una solución perfecta que no sufra incidentes. Es en este punto donde un incidente ocurre cuando el modelo de Zero Trust mejor puede complementar y ser el soporte de los equipos de Respuesta de Incidentes y equipos de Forense Digital (conocidos en el entorno de la ciberseguridad como DFIR) los cuales necesitan la mayor cantidad de datos e insumos del incidente para realizar su labor, paso garantizado en una organización que tenga un modelo de seguridad de Zero Trust. Veamos por qué... Recordemos que el modelo de seguridad está orientado a que los controles se ubiquen lo más cerca a los datos, cambiando el concepto de perímetro estático y llevando la seguridad a usuarios, dispositivos, activos y recursos. Dentro de sus componentes se estipulan cinco dominios, los cuales permiten desplegar los controles de seguridad de forma integral. En el caso de un incidente son estos mismos dominios los componentes que se vuelven esenciales en los procedimientos de respuesta y de análisis forense. Para esto veamos qué implica cada dominio y que aporta en DFIR. Dispositivos. Todo dispositivo que pueda conectarse los activos o datos de la organización debe evaluarse continuamente en riesgos y amenazas. Además, se puede usar la identidad del dispositivo o sesiones activas para detectar anomalías en acceso de forma preventiva. Este contexto permite obtener evidencia de acciones realizadas por los diversos dispositivos en la red y los usuarios que los usen o la identidad asociada a los mismos. Para el acaso de un forense es vital tener esa visibilidad de acciones y riesgos de los dispositivos para la generación de una línea de tiempo y las identidades de quienes accedieron a los datos. Datos: En una estrategia de Zero Trust completa los datos son protegidos en tránsito y en reposo a través de técnicas de cifrado, filtrado por datos DLP y detectores con capacidades de inspección profunda de datos. En el proceso forense esta capacidad da visibilidad a la forma en la que se intentó realizar la extracción o movilización de los datos, dentro de la red o hacia afuera de la misma. Redes: En la práctica de Zero Trust la red debe estar segmentada en partes no solo pequeñas, sino adaptables, además de ser persistentemente monitoreada y tener estadísticas de análisis de la actividad, pues se opera con la premisa que todo es sospechoso en la red. Esto da al proceso forense la capacidad de analizar los eventos de tráfico detalladamente, y genera un mapa de relaciones a través de la red y de los segmentos permitiendo la detección "simple" de movimientos laterales o conexiones a C&C. Flujos de carga: La automatización de prevención, detección y respuesta en cada elemento de la red debería permitir a los equipos de seguridad una detección temprana y efectiva de las anomalías, así como tomar medidas para neutralizar o aislar un ataque. Esto centraría la investigación forense a las causas puntuales de la amenaza, reduciendo el espectro de análisis y aumentando la productividad en la respuesta del incidente y la detección de la causa raíz. Personas: El componente central del Zero Trust es la identificación del usuario como base de nuevo perímetro de seguridad. Por lo tanto, la autenticación y autorización del acceso a cada dato o información es controlado. En el proceso forense entrega el contexto necesario para determinar en primera instancia los posibles sospechosos en el incidente y analizar puntualmente las acciones de estos usuarios sobre los datos. Un ejemplo… Supongamos un caso de una fuga de información, la cual fue expuesta en Dark Web y que expone información sensible de una empresa. En una investigación tradicional se tendría que buscar en todos los dispositivos de la empresa para tener una idea de donde estaba esa información. Después, validar si existen los registros en la máquina de los usuarios que pudieron estar conectados remota o directamente a dicho dispositivo. Basándose en la existencia de esos registros, tomar los dispositivos de los usuarios para extraer los artefactos forenses que se van a analizar. Si es posible obtener toda esa información y acceso a los dispositivos el equipo forense tendría cientos de Megas de información que procesar, y los usuarios implicados en el proceso se enterarían de que están siendo investigados. Adicionalmente, no es posible garantizar que se tengan los datos suficientes para confirmar quien exfiltró la información. En cambio, en un entorno de seguridad basado en Zero Trust se tiene un inventario detallado de dispositivos y de personal que puede acceder a cada uno de estos. Con el dominio de flujo de datos se tiene una idea clara de quiénes pudieron acceder a esta información, y con los registros de identificación una confirmación detallada de la lista de personas posiblemente involucradas. La toma de artefactos forenses es remota y completamente silenciosa para los usuarios, pues todos los dispositivos deben tener sistemas de XDR que permiten este acceso desde sistemas centralizados y entregan detalles específicos de cada dispositivo, pudiendo así hallar la traza de cómo fue exfiltrada la información. En conclusión… Nada nos podrá garantizar una seguridad infranqueable. Pero la evolución de arquitecturas de seguridad, en combinación con buenas estrategias-acción en incidentes, nos permiten tener equipos e infraestructuras resilientes que puedan recuperar datos robados o aislar un área de la organización afectada sin poner en riesgo toda la operación. Cuando las empresas combinan el Zero Trust con una estrategia posterior a un incidente que aprovecha el análisis forense digital, las organizaciones pueden confiar en que están preparadas para enfrentar cualquier desafío que presente una persona interna o una amenaza externa.

En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o "parches" de seguridad. Una de las publicaciones que ha establecido una periodicidad y continuidad de este proceso es lo que Microsoft ha denominado como “Martes de parches” (Patch Tuesday). Pero no es la única. Señalar un día concreto para la publicación de actualizaciones de seguridad es muy útil para los equipos de defensa, que tienen así en una lista la posibilidad de revisar qué correcciones deben aplicar basándose en la criticidad del riesgo y en la aplicabilidad en sus sistemas. Por lo que esta práctica se considera una buena referencia para el mercado. Más amenazas cibernéticas para los sistemas industriales En este último año, donde el sector de operaciones industriales se ha visto involucradas en una creciente ola de amenazas cibernéticas, es fundamental para los equipos de ciberseguridad industrial iniciar con la apropiación de este tipo de prácticas que permite una gestión más proactiva de las amenazas encontradas en los equipos y sistemas que se usan en la industria. El sector industrial empieza a seguir los pasos que han mostrado eficiencia del mundo TI en cuanto a la forma de publicar las amenazas detectadas en sus diferentes productos o sistemas Existen varias entidades gubernamentales en el mundo que tienen portales donde es posible encontrar todos los días las alertas de las debilidades encontradas. El más reconocido en el mundo industrial es la publicación de CISA, pero en español sin duda la de INCIBE ha ganado mucha fuerza. En otras fuentes que unen un poco las de IT con las de OT está la de VDE de Alemania o la de ZDI en Estados Unidos. Esta tendencia ha hecho que dos grandes empresas del sector industrial hayan empezado a seguir los pasos que han mostrado eficiencia del mundo TI en cuanto a la forma de publicar las amenazas detectadas en sus diferentes productos o sistemas. Esta publicación no es algo nuevo en estas empresas, pero si han adoptado la buena práctica de realizar esta publicación de forma conjunta un único días del mes y siguiendo a Microsoft, tomaron el martes como el día ideal para esta publicación. CYBER SECURITY ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022 El origen de los “Martes de parches” La primera empresa del sector industrial que opto esta práctica fue Siemens, que genero un equipo denominado ProductCERT, que integra todas las publicaciones de seguridad de la empresa desde 2011 y donde el segundo martes de cada mes se publica de forma conjunta las vulnerabilidades detectadas o actualizadas en cada mes. Esta práctica inicia en los primeros meses de 2021, consolidándose como la publicación esperada por los equipos de seguridad industrial y que en promedio cada mes publica 30 vulnerabilidades entre nuevas y actualizaciones. En el mes de julio de 2022 se publicaron 34 alertas de las cuales 20 son nuevas y 5 de estas nuevas calificadas como de riesgo crítico. Foto: This is Engineering RAEng La otra empresa del sector que se unió a esta práctica es Schneider Electric, que desde principios de 2020 tiene creado su portal de publicaciones de seguridad, pero que hace pocos meses inicio a publicar de forma unificada las vulnerabilidades los martes. En el mes de julio de 2022 publicaron 8 alertas críticas en diversos dispositivos. Estas publicaciones no son las únicas que se hacen. Si entre el periodo establecido surge alguna alerta crítica esta se publica en el portal y se anuncia de varias formas en Internet, lo que además permite garantizar que los equipos de defensa cibernética de las empresas tengan un clara la importancia de la aplicación inmediata de estos parches. Conclusión Como conclusión, las buenas prácticas que han funcionado en el mundo IT ahora están siendo adoptadas por el mundo de OT, aunque el acercamiento a la gestión y corrección de vulnerabilidades es completamente diferente, el poder tener esta fuente de alertas tempranas permite tener el plan de recuperación de incidentes mucho más preventivo que solo reactivo. El sector industrial está migrando rápidamente a sistemas y servicios cada día más similares a los que tradicionalmente se trabajaban en IT, con varias diferencias y particularidades del sector, pero donde se pueden implementar y aprovechar las ventajas de las buenas prácticas que han evolucionado en ciberseguridad de IT.

Llevamos algunos años monitoreando la seguridad en los entornos industriales y como estas infraestructuras se han ido convirtiendo en un objetivo de los grupos delictivos cibernéticos. Desde nuestra área de innovación un sistema de captura de amenazas en entornos industriales que nos permite hacer un análisis detallado de las técnicas y tácticas de ataque usadas en este ámbito. Detección de amenazas en sistemas industriales Con esta herramienta honeypotting llamada Aristeo, hemos visto crecimientos exponenciales de ataque, llegando a cifras de cerca de 7 millones de detecciones en 24 horas y de 35 millones en 7 días. Con estas muestras los datos nos permiten evidenciar que los componentes IT de las infraestructuras OT son el principal vector de ataque. En nuestra herramienta se denominan Bahía de Ingeniería y HMI, sistemas que son usualmente soportados en sistemas operativos y protocolos comunes en redes IT. La herramienta de ciberseguridad Aristeo, de Telefónica Tech Estos ataques detectados en su mayoría se pueden mapear con las técnicas que componen las tácticas de acceso inicial enmarcadas en la matriz ATT&CK para ICS, la cual fue actualizada el 21 de abril. Adicionalmente, estas detecciones suelen convertirse en ataques de ransomware, como indicó Nozomi Networks en su reporte de seguridad del segundo semestre de 2021. Cronología de los principales ciberataques y ransomware dirigidos en 2021 contra cadenas de suministro. Fuente: Nozomi Networks La mayor preocupación de este incremento se centra en las repercusiones físicas que estos ataques pueden generar, las cuales se han visto incrementadas en los últimos dos años. Casos como el secuestro de JBS Food, que generó desabastecimiento de carnes en varios países en el mundo, sumaron en 10 casos de impacto en 2020, superaron los 20 en 2021, y se proyecta que llegarán a los 50 en 2022, según el informe de incidentes de OT de waterfall y icsstrive. Mejoras para la detección de amenazas en sistemas industriales Esta tendencia ha generado que se investigue con mayor profundidad y detalle las posibles vulnerabilidades en equipos de los sistemas industriales, las cuales solo para el segundo semestre de 2021 ya sumaban 651 reportes en 47 fabricantes y 144 productos. Las empresas del sector industrial han mejorado sus propios sistemas de pruebas y detección de amenazas. El mejor ejemplo de ello se tiene con Siemens, quien creó un CERT y reporta una vez al mes todas las vulnerabilidades o actualización de las vulnerabilidades de sus productos (un proceso similar al que hace Microsoft) Para el mes de mayo de 2022 reportaron 27 alertas, de las cuales 12 eran reportes de nuevas detecciones. Esta iniciativa la han seguido otras compañías del sector como Schneider Electric, que al igual de Siemens optó por la estrategia de un reporte mensual de las detecciones de amenazas evidenciadas por sus equipos de investigación o por investigadores externos. En este caso, para el mes de mayo reportaron 6 alertas. La ciberseguridad, una necesidad apremiante para la industria Estos cambios en los ambientes industriales sin duda hacen que la ciberseguridad se convierta en una necesidad apremiante. Como ya hemos dicho en anteriores ocasiones requieren un cambio de aproximación de los equipos de operaciones y una integración de estas redes al gobierno de la seguridad que se tenga en las entidades o empresas. Uno de los puntos comunes en los análisis especializados de ciberseguridad en OT es la falta de visibilidad de los sucesos dentro de las redes de operaciones, lo cual genera que los incidentes no puedan ser detectados en sus fases iniciales. La razón es que no puedes proteger lo que no puedes ver, y en algunos estudios de la industria se ha confirmado que menos del 62% de las empresas tienen una visibilidad completa de los eventos de red. En cuanto al personal, es fundamental que en los ambientes de operaciones se inicien con los procesos de capacitación en ciberseguridad de forma permanente, así como se capacita constantemente en procesos de seguridad en el trabajo, riesgos operacionales y salud ocupacional. Es fundamental que los operarios entiendan la importancia y procedimientos que deben cumplir para la salvaguarda de la información.

El phishing es un ataque en el que los delincuentes informáticos inventan estrategias para llevar a los usuarios a caer en sus trampas, con un número variado de modificaciones que les permite realizar este engaño. Además, se convirtió en la técnica más usada para lograr un acceso inicial en un ataque cibernético. En la matriz ATT&CK de MITRE, se crean tres sub-técnicas del phishing para determinar el mecanismo utilizado por los delincuentes cibernéticos, que tienen como objetivo conseguir ese paso fundamental en el ataque que es el acceso inicial. La característica más importante para que esta técnica de ataque funcione es la interacción y ejecución por parte de la víctima. Este acceso puede presentarse en un enlace, un adjunto o en entregar información que le solicitan, en todos esos casos se requiere que el usuario caiga en la trampa elaborada por los delincuentes. Por lo cual, para mitigar esta amenaza el principal mecanismo que se puede tener es la educación en esta materia. En la mayoría de las ocasiones, las campañas de concientización no van acompañadas de herramientas que faciliten la identificación de las amenazas. Esto hace que los usuarios no apliquen las medidas de protección. Por esa razón, les comparto 3 prácticos pasos para mitigar los dos primeras sub-técnicas de Phishing que se colocan en la matriz. Verifica el remitente Suena extraño, pero esa es una de las herramientas más comunes para que el engaño sea efectivo. Al suplantar al remitente, el atacante usa el vínculo de confianza que tenga la víctima con este, para así pasar inadvertido. Es un engaño sencillo para los delincuentes, pues el nombre del remitente solo es una referencia visual que no tiene ninguna validación. En algunas ocasiones son muy obvias las estafas, en otras no son para nada sencillas de detectar. En las que no son tan simples, emplean técnicas de typosquatting, con el fin de que no nos percatemos del engaño. Por último, están las que son más avanzadas, en las que el delincuente utiliza el logo y terminología propia de una entidad o persona que está suplantando. En este caso se debe mirar con mayor detalle el mensaje, con el fin de no ser víctima de la estafa o no ser pescado. Como se puede apreciar en estos tres ejemplos, validar el correo del remitente y no confiar en el nombre que aparece en la lista de recibidos le permite al usuario reducir la posibilidad de caer en ese tipo de amenazas. Enlaces en el mensaje Es usual que en correos electrónicos recibamos enlaces que nos llevan a publicidad, documentos compartidos, sitios web, entre otros. Estos enlaces no muestran a dónde nos vamos a conectar, bien sea porque se enmascaran dentro de imágenes o del contenido del texto, o porque usan enlaces recortados. Estas características les permiten a los delincuentes crear engaños, llevando a los usuarios a hacer clic sobre enlaces con contenidos maliciosos o dirigirlos a sitios web dedicados al robo de credenciales. La forma de prevenir ser engañados en uno de estos ataques es realizar una validación del enlace que se va a seguir, lo cual se consigue de varias formas y con algunas herramientas en línea que veremos a continuación. Como se puede ver en la imagen, al poner el cursor sobre el enlace aparece en la parte inferior izquierda, o en otros casos incluso sobre el mismo mensaje, el enlace completo. Esa información le da al usuario la ruta real a donde lo dirige ese enlace, en el caso de la imagen no tiene nada que ver con el remitente del correo. Si el usuario tiene todavía alguna duda o quiere una verificación más exhaustiva, puede usar las herramientas DesenmascaraME y VirusTotal. Estas ejecutan un análisis en línea de las características de la dirección que le coloquemos y nos da una valoración de riesgo del sitio. Simplemente, es copiar el enlace y pegarlo en estas páginas de esta forma: El primer servicio se orienta a proteger sitios web que suplantan, por lo tanto, es muy útil para detectar los sitios falsos como el caso de esta muestra. La segunda herramienta hace un análisis teniendo en cuenta reportes de inteligencia de amenazas de diferentes casas de antivirus. Si tomamos la misma página utilizada en el anterior ejercicio, no evidencia ninguna actividad maliciosa. Dentro de la comunidad se tiene un reporte, que para salir de la duda es mejor validarlo. Con el ejemplo que tenemos es un voto negativo de uno de los integrantes de la comunidad. Archivos Adjuntos Un adjunto es la forma más usada de desplegar programas maliciosos debido a varias características propias del funcionamiento de los sistemas. Entre esas está el poder manipular las extensiones, incluir subprogramas dentro de documentos y aprovechar errores en el manejo de los nombres de los archivos. Sin embargo, las formas más comunes de ataque que emplean los delincuentes son la modificación de las extensiones y los programas internos dentro de documentos. En el primer caso, es usual que los archivos enviados estén comprimidos, pues los detectores contra malware embebidos en los sistemas de correo no pueden analizar este tipo de archivos. Para no caer en estas trampas se han creado varios servicios en línea. Con el fin de no hacer más complejo el ejercicio de revisión, vamos a ver tres herramientas que nos permiten validar las extensiones, comparar los reportes de diferentes antivirus y analizar los programas internos en los documentos, eso sí, cuidando la privacidad. Para validar la extensión, la herramienta que recomendamos se llama CheckFileType, con la cual pueden confirmar el tipo de archivo que está analizando. Para la prueba usaremos un adjunto que dice ser una hoja de cálculo hecha en Excel. Tras el análisis de la herramienta podemos ver que en realidad no es una hoja de cálculo, sino que es un archivo de texto, hecho en Word. Para validar el riesgo asociado al archivo, empleamos VirusTotal y así tenemos el reporte de varios sistemas de detección de programas maliciosos. Revisamos el mismo archivo que pasamos a validar la extensión, donde encontramos que cerca del 60% de los analizadores lo detectan como malicioso. Este procedimiento no lo recomendamos para archivos con información sensible o personal, pues el servicio se queda con una copia del documento, lo que puede generar fugas de información. Los archivos generados en MS Office y los archivos PDF, permiten a los atacantes embeber programas, llamados macros y JavaScript respectivamente. Por lo cual son muy utilizados para acceder o extraer información en los computadores. Por este motivo crearon una herramienta en línea que permite hacer el análisis de estos programas cuidando la privacidad de la información contenida en los documentos. Esta herramienta se llama Diario, para simplificar el proceso se puede integrar al correo electrónico de Outlook, pero es posible usarlo en línea como mostraremos a continuación con el mismo archivo que hemos usado. Tras analizar el archivo, el sistema nos da un reporte simple que nos indica la presencia de componentes maliciosos dentro de los programas embebidos en los documentos. Los usuarios deben cambiar la percepción de ser el eslabón más débil en la cadena de ciberseguridad, y pasar a ser la primera barrera de protección contra la información de la empresa y también personal. Sin embargo, para esto sus rutinas y comportamientos deben cambia con el objetivo de hacer que a los delincuentes les sea más difícil manipularlos u orientar su comportamiento hacia acciones que pongan en riesgo la información. Estas herramientas y análisis se deberían ejecutar a todos los mensajes que reciben, sin importar si son desde correo electrónico o en mensajería instantánea o mensajes de texto. En cualquier caso, estos pasos reducen la posibilidad de verse involucrados en un incidente cibernético. Foto de Chris Yang en Unsplash

Si bien el camino de la ciberseguridad no es lineal y cada empresa tienen sus características propias, la experiencia nos ha permitido agrupar a las empresas en cinco niveles de evolución de la ciberseguridad. Que existan estos niveles no implica que todas las empresas deben llegar al máximo (eso depende mucho de las características y tamaño de las organizaciones) pero si se debe llegar a un nivel óptimo que reduzca la probabilidad de un incidente. Con este artículo, tratamos de dar una herramienta a las empresas para identificar el lugar donde se encuentran, conocer los retos y necesidades para subir el nivel de evolución. El fin es que puedan crear su plan de acciones de mejora. No es una guía definitiva, pero si una ayuda para simplificar algunos de los pasos que normas o estándares nos indican sin mucho contexto. Los 5 niveles en la ciberseguridad de una empresa En la imagen podemos apreciar los niveles. Analizaremos en detalle cada nivel, teniendo en cuenta la postura en seguridad de redes, seguridad de dispositivos, servicios y gestión de archivos. Inconscientes Este tipo de organizaciones toma las decisiones en gestión de la información basándose en recomendaciones o buenas prácticas del mercado. Usualmente, ven la adquisición de equipos de ciberseguridad como un gasto o un cumplimiento a alguna norma del sector. Esto genera que la adquisición de elementos de ciberseguridad no sea coherente y se realice con el único objetivo de tener un mínimo control o cumplimiento. Por otro lado, no se tienen ninguna política de seguridad o de gestión de la información, que los empleados o terceras partes deban cumplir, exponiendo así la información propia y de sus clientes. La red corporativa habitualmente cuenta con sistemas de protección perimetral y controles de navegación. Esto gestionado por el personal de TI, cumpliendo los requerimientos de negocio más que los de ciberseguridad. Sin ningún tipo de segmentación ni controles de acceso de dispositivos. Se habilitan accesos remotos a equipos en la red con el único control de un usuario y contraseña, que usualmente es compartido por varios trabajadores, para poder conectarse a equipos o servicios internos desde los hogares. CYBER SECURITY El impacto de los ataques de ciberseguridad en pymes y grandes empresas 2 de diciembre de 2021 Los equipos de la organización suelen tener un sistema de antivirus no empresarial, que no puede ser monitoreado ni controlado desde un sistema central. Los sistemas operativos suelen no estar gestionados en las actualizaciones o configuraciones adecuadas, por lo que es común que los equipos convivan con software malicioso, sin que estos sean detectados. La información en estas organizaciones no es controlada ni clasificada, por lo que cualquier usuario en la red puede acceder a toda la información sin restricciones. Los directivos suelen generar copias no controladas de la información y el trabajo no se realiza en equipo o con una trazabilidad sobre el acceso a los datos, sino que se maneja de forma independiente en los dispositivos de los usuarios. Los sistemas de almacenamiento en la nube no tienen habilitado los sistemas de control de acceso, ni son cifrados. Suelen usarse conectados como un directorio adicional al sistema operativo de los usuarios, por lo que la función principal es de un respaldo de la información. Reactivos Este tipo de organizaciones inician el proceso de integrar la seguridad de la información en los ámbitos organizacionales de la empresa, entendiendo que en el mundo actual todo depende del manejo de la información y por ende la ciberseguridad es pilar fundamental en el crecimiento como empresa. La principal característica de estas organizaciones es que cuentan con un servicio de centro de operaciones de seguridad (SOC), de forma externa o interna. Permitiendo que la correlación y la detección de amenazas se haga de forma reactiva en la red y basada en las configuraciones de detección. Este tipo de organizaciones tienen muchos servicios en la nube y varios dispositivos de seguridad en la red que envían los eventos al centro de operaciones para la detección de amenazas. En algunos de estos casos, las amenazas que se monitorean y alertan tienen origen en redes externas, pero en pocas ocasiones se monitorea con igual rigor las amenazas internas. La gestión de la seguridad suele ser responsabilidad del área de tecnología, donde se tienen equipos de administración de red y equipos básicos de seguridad, encargados de tomar las medidas reactivas ante las notificaciones del SOC. Para las conexiones remotas, los usuarios cuentan con accesos de VPN, controlados a través de sistemas de identificación centralizados como el directorio activo y monitoreados desde el SOC. Sin embargo, las redes no están segmentadas y las conexiones de la VPN tienen los mismos privilegios y accesos que la red de la organización. Los dispositivos de los usuarios están gestionados desde una administración central, que despliega las políticas de control y permisos de acceso, tomando como base de control la tipificación de usuario, pero se suelen tener administradores locales en las máquinas y usuarios administrativos para labores de dirección o de gestión de red. Se permite conectar dispositivos personales a la red empresarial, permitiendo posible acceso de software malicioso o la extracción de información sensible. Teniendo en cuenta la falta de controles sobre los archivos esto es una de las principales causas de fugas de información. Se tienen sistemas de respaldo no empresariales, como lo son discos externos o carpetas compartidas en la nube, sin garantía de recuperación de los datos y propensas a ser atacadas en secuestros de información. Los sistemas de almacenamiento en la nube no tienen habilitado los sistemas de control de acceso, ni son cifrados. Suelen usarse conectados como un directorio adicional al sistema operativo de los usuarios, por lo que la función principal es de un respaldo de la información. Proactivos Estas empresas tienen sistemas e infraestructuras que les permiten tomar controles anticipados, lo que les permite que todas las decisiones en seguridad de la información se basen en datos y en la detección oportuna de las amenazas, para lo que cuentan con una arquitectura de seguridad orientada a los retos que conlleva el manejo de la información. Para esto, no solo cuentan con un SOC, sino que realizan un análisis de las amenazas internas y externas que se detectan en estos sistemas, para así poder implementar las mejoras en los controles y en las políticas corporativas de manejo de la información. Estas organizaciones utilizan sistemas de gestión de identidades para iniciarse en los procesos de clasificación de la información y mejoras en los controles de acceso. Controlan no solo el acceso a los datos, sino que permite a través de múltiples factores de autenticación garantizar la identidad de un usuario, mitigando los ataques más comunes de suplantación de identidad. Para que esto funcione correctamente se tienen controles corporativos sobre dispositivos de red y de usuarios en la empresa, que permita no solo detectar amenazas existentes, sino que basado en el conocimiento y comportamientos detectados en las redes o en los dispositivos, se pueden generar alertas y controles sobre situaciones sospechosas. Estas implementaciones usan los indicadores de ataque, en lugar de indicadores de compromiso, siendo proactivos en la aplicación del control. Otra característica importante es el nivel de concientización del personal, entrenado en cómo detectar amenazas y qué herramientas usar para las comunicaciones empresariales, siempre teniendo en cuenta la categorización de los documentos. Todo lo anterior es gestionado por un equipo dedicado a ciberseguridad, con un nivel directivo que le permite opinar y analizar las decisiones corporativas con una visión de protección hacia los datos y que le permite disponer de equipos especializados en monitoreo, respuesta de incidentes, gestión de identidades, arquitectura de seguridad, entre otros Anticipados En estas organizaciones las plataformas, la arquitectura de red y los procedimientos corporativos tienen como objetivo la protección de la información y la respuesta anticipada a posibles amenazas del mundo cibernético, generando una protección de la información en cualquier punto donde esta se encuentre y cuidando cualquier forma de comunicarla o conectarse a la misma. La alta dirección de la empresa es consciente de la importancia de la seguridad de la información, por lo tanto, cada decisión que se haga en proveedores, equipamiento, despliegue de red, uso de servicios en nube y demás, tiene un análisis previo del área de seguridad de la información, que a su vez garantiza que las políticas y controles estén alineados a los objetivos empresariales. En estas organizaciones son fundamentales los equipos de cacería de amenazas (Threat Hunting) y los equipos de respuesta de incidentes (Incident Response). En estrecha colaboración con los equipos de defensa, monitoreo y ataque de la empresa, analizan no solo las alertas de diversos sistemas de detección, sino que, usando las técnicas y tácticas de ataque divulgadas por las empresas especializadas en seguridad de la información, generan mecanismos de detección o análisis de posibles comportamientos anómalos. CYBER SECURITY Principales tipos de seguridad informática en las empresas 1 de noviembre de 2019 Los sistemas de gestión y clasificación documental están muy integrados a los sistemas de gestión de identidad, permitiendo una trazabilidad de eventos sobre cada archivo corporativo y un control de acceso basado en las identidades, ya no solo de los trabajadores sino de los equipos o sistemas autónomos dentro de la red que por programación tengan acceso a archivos de la empresa. Todo esto orquestado por el equipo de seguridad, que depende directamente de la presidencia o junta directiva, en el cual se compone de personal capacitado para la detección, para el monitoreo, para la cacería de amenazas, para equipos de ataque y equipos de defensa, soportados con herramientas especializadas para cada campo y con una protección avanzada en los dispositivos de usuarios y en los dispositivos de red, que controlan los accesos y que permite modificar la arquitectura de la red. Automatizados Este es el nivel más alto en la gestión de la seguridad de la información empresarial. Su principal característica es que, al tener una estructura y arquitectura sólida y trabajada en seguridad, se integra a plataformas de automatización inteligente, que permitan orquestar los diversos sistemas de monitoreo, detección y threat hunting, usando tecnología de aprendizaje profundo y genera reacciones automáticas a las diversas amenazas o comportamientos detectados. Estas empresas basan su funcionamiento de seguridad de la información en la confianza cero (Zero Trust), que extiende controles a todos los niveles e instancias donde se manejen, gestionen, generen o manipulen datos, sin importar si son empleados, proveedores, terceras partes, dispositivos autómatas o cualquiera que tenga acceso a datos. Para la gestión de estos sistemas de orquestación y de automatización, se requiere de un personal especializado en ciberseguridad y de empleados concientizados, además de tener políticas claras de seguridad y que estén muy alineadas al negocio para evitar las fricciones que se pueden generar en la aplicación de los controles.

Las empresas ya han tomado conciencia de la importancia de tener mecanismos que garanticen la protección de su información y lo relevante que resulta entender sus debilidades para poder mejorar su nivel de resiliencia ante un incidente cibernético. Aunque muchos directivos continúan viendo la seguridad como la necesidad de disponer de elementos diseñados para proteger y minimizar la posibilidad de un ataque, esto ya no es así. La ciberseguridad es un proceso continuo que requiere el entender a los contrincantes y conocer los riesgos del entorno. Con esta filosofía nació en 2013 ATT&CK de MITRE, de la que hemos hablado en anteriores ocasiones en nuestro blog, buscando recopilar en una matriz las técnicas, tácticas y procedimientos, que usan los atacantes en acciones reales contra entornos empresariales, móviles e industriales, donde su evolución ha permitido generar la creación de una matriz de capacidades defensivas y de contramedidas, llamada D3fend. Mitre establece que, “la inteligencia de amenazas cibernéticas se trata de saber qué hacen los adversarios y usar esa información para mejorar la toma de decisiones”, así que, independientemente del tamaño del equipo de ciberseguridad, esta herramienta es vital en el proceso de garantizar la seguridad de la información. De esta forma se permite asociar técnicas de los principales grupos criminales, casos icónicos de incidentes en las diferente industrias, validar por la industria cuáles son los adversarios comunes, conocer el software usado en cada una de las fases del ataque. entre muchas otras herramientas que se brindan. Las empresas que apenas están empezando y tienen pocos recursos dentro del área, pueden empezar entendiendo el comportamiento usual de los adversarios de su industria, para con estos datos validar si las defensas implementadas detectan y mitigan el accionar de estos grupos. Para entender cómo se realiza este análisis, vamos a tomar como ejemplo una empresa de logística, víctimas últimamente de varios ataques de ransomware en todo el mundo. 1. Encuentra tu sector. Determinar el sector de la industria hacia la que se enfoca el negocio. Para esto el sitio web provee un buscador en la parte superior. Para el ejemplo colocaremos allí logistics. Figura 1: Resultado de búsqueda en https://attack.mitre.org/groups/ Para el análisis vamos a tomar el ransomware Cuba, que marcamos en la ilustración. Es uno de los más usados contra empresas medianas en Latinoamérica. 2. Información del adversario. Una vez se selecciona el software o grupo a analizar se accede a la información que coloca el sistema, como datos básicos de plataforma que ataque, desde cuándo fue detectado, quién lo detecto y las industrias víctimas. Figura 2: Información del adversario 3. Conocer las técnicas. En esta misma página del adversario muestra las técnicas que se han detectado en los ataques donde se ha usado este malware en una lista que enumera las técnicas y sub-técnicas usadas Figura 3: Técnicas usadas por Cuba en un ataque. Allí mismo en el “Navigator Layers” da la posibilidad de ver dentro de la matriz cuáles son las tácticas y sus técnicas. Figura 4: Visualización de tácticas y técnicas usadas por Cuba. Como se puede ver en este caso se desconocen o no se reflejan las técnicas usadas por los grupos adversarios para iniciar el ataque, lo que se denomina pre-attack en la matriz. Esto suele indicar que se utilizan técnicas demasiado variadas como para establecer una en concreto. 4. Conocer las defensas. Cada una de las técnicas tiene una sección donde se enumeran las posibles formas de detección que se deben implementar para mitigar esta acción. Para el ejemplo vamos a ver una sub-técnica usada en la táctica de ejecución, y que suele ser el primer paso detectado por los investigadores de respuesta de incidentes en los ataques con este ransomware. Figura 5: Técnica a analizar, debido a que nos muestra un comando. Los adversarios usan la consola de comandos de Windows para ejecutar programas dentro de la maquina víctima, para el caso puntual de Cuba se ha detectado el comando cmd.exe /c en varias de sus actividades analizadas. Al acceder a la información de la técnica, se tiene los datos básicos recolectados de como la han usado, algunos de los procedimientos donde se ha detectado, posibles mitigaciones y formas de detectar su ejecución. Para nuestro caso de ejemplo veremos directamente la información y la posible forma de detectarlo. Figura 6: Datos de la Técnica T1059.003 Figura 7: Recomendaciones de detección para la T1059.003 Con esta información el equipo de ciberseguridad, puede tomar las decisiones de cómo actuar para prevenir un incidente que utiliza este software para afectar a su sector industrial. Incluso, puede tomar la referencia de la técnica para buscar en la matriz de defensa sobre más información de cómo protegerse. Visita https://d3fend.mitre.org/ y en el buscador denominado ATT&CK lookup coloca la técnica, para nuestro ejemplo T1059.003. Figura 8: Relación con matriz de defensa. Esto muestra el mapa de las formas de defensa y detección, que para nuestro ejemplo son las siguientes. Figura 9: Mapa de defensa para T1059.003 En resumen, esta herramienta es muy valiosa para todo tipo de empresas y equipos de ciberseguridad, entregando información y datos para tomar decisiones en búsqueda de una mejor resiliencia cibernética.

Para dar contexto, PackageDNA es nuestro framework open source de análisis de paquetes de los principales lenguajes de programación, con el que buscamos ofrecer una herramienta que cubra la brecha de analizar la cadena de suministro que usan cuando se desarrolla en Python, Ruby, NPM o GO, que suele estar fuertemente basada en los paquetes que se llaman de las librerías para simplificar el código que se está creando. Este framework vio la luz en BlackHat USA, una de las principales charlas del sector en este año de reactivación en el que se hizo en modo híbrido. Nos permitió volver a los escenarios y mantener la presencia en BlackHat por cinco años consecutivos con diferentes herramientas e investigaciones. BlackHat Arsenal USA 2021 Pero no es la única presentación que hicimos en Las Vegas. Nos invitaron a participar en 8.8 las Vegas, una versión especial de la conferencia de Chile con los conferencistas hispanoamericanos que se presentan en Defcon y en BlackHat, así que en la misma ciudad se presenta la charla en inglés y en español. Agenda de 8.8 las vegas Para el evento principal de 8.8 se presentó el paper y fue aceptado, pero por la situación de la pandemia el evento se realizó en modalidad virtual aunque con presentaciones en vivo, lo que permitió un escenario digital de varios días con participación de muchos de nuestros expertos y con el Key Note por parte de Chema Alonso. Presentación virtual en 8.8 Chile Unos días después de esto nos anunciaron que la charla había sido aceptada en BlackHat Europa 2021, en el Arsenal, en el modo híbrido como en las Vegas, pero por problemas con los visados y las situaciones de la pandemia, se decide participar en el entorno virtual. La organización, al igual que en Las Vegas, nos pide crear un video con el formato del evento. Aprendiendo un poco de este nuevo mundo de los eventos virtuales creamos nuestro esquema y así nos presentamos en Arsenal de BlackHat Europa. Escenario virtual de BlackHat Europa 2021 Después de esta presentación nos anuncian la aceptación de la charla en el espacio de DevSecOps de EkoParty 2021 también en modo virtual. Esto nos llevó a incluso más público. Presentación en EkoParty, Space DevSecOps En Colombia, nos invitaron a la universidad CESMAG y la universidad Politécnico grancolombiano a mostrar el framework a estudiantes de las carreras de sistemas y otros que tuvieran interés en el área de la programación. Y esto nos llevó a algunas entrevistas y notas en canales virtuales especializados en ciberseguridad. Para el cierre de año, la habíamos presentado en un nuevo evento en asociación con BlackHat Event, en la ciudad de Riyadh en Arabia Saudita, llamado AtHack. Este evento es parte del programa de gobierno a ser líderes digitales para el 2030, así que crearon un evento similar a los BlackHat y volvíamos a estar en la zona de Arsenal. Este era presencial, así que en este escenario novedoso y retador cerrábamos el año. Donde a diferencia del Arsenal de BlackHat este fue un escenario completo y la charla duraba 40 minutos, en dos oportunidades. Programación de las charlas Durante la charla en AtHack Un cierre increíble con un evento de 14.000 personas, donde la respuesta de la gente Saudí fue muy satisfactoria y con muy buenos comentarios. Estado de PackageDNA en GitHub Por este año, esta fue la ruta y esperamos que el otro año podamos seguir mostrando nuestro framework en otras conferencias.

En mayo de 2020, durante la fase más complicada de la pandemia en el mundo, recibimos la noticia que el Internet estaba roto como consecuencia de unos fallos llamados Ripple20 que afectaban a que millones de dispositivos IoT. Pero este fue solo uno de los hallazgos de una serie de problemas detectados en la pila de TCP/IP que se han reunido en una investigación llamada el Proyecto Memoria. En este proyecto se reportan vulnerabilidades en la implementación de 14 pilas TCP/IP detectadas tras 18 meses de investigaciones. El resultado es la divulgación de 97 vulnerabilidades agrupadas en 6 reportes que, por su propia naturaleza, son calificadas con un nivel de riesgo muy alto e impactan a millones de dispositivos y a cientos de fabricantes. Lo primero que llama la atención del reporte es la fecha del lanzamiento inicial de las catorce pilas TCP/IP, que como mínimo cuentan con 7 años y como máximo 28. Evidencia que, como en anteriores ocasiones en otros protocolos base, se arrastran vulnerabilidades desconocidas desde muchas décadas atrás. Año del lanzamiento inicial de cada pila TCP/IP analizada Esto no implica que todos las pilas o protocolos sean vulnerables solo por ser antiguos, pero sí manifiesta que en muchas ocasiones los procesos de corrección y de mejoras en este tipo de elementos básicos para el funcionamiento de internet son algo lentos. Además, el estudio indica que uno de los principales problemas es la falta de respuesta de muchos fabricantes al momento de avisarles de las vulnerabilidades o la lenta adopción de parches, como en el caso de Schneider Electric, que tardó 308 días en publicar los parches de corrección de las vulnerabilidades conocidas como AMNESIA:33. El otro punto muy importante es el impacto de estas vulnerabilidades, pues en su mayoría las implementaciones se encuentran en dispositivos de IoT, IioT y OT, que son la base del funcionamiento de las infraestructuras críticas e industrias en el mundo. Dispositivos como turbinas de gas, elementos de transmisión eléctrica y RTU de la marca Siemens, han confirmado por sus propios CERT la existencia de las vulnerabilidades en sus dispositivos en los dos últimos meses SSA-044112 y SSA-316383, que confirman a NUCLEUS:13 y NUMBER:JACK respectivamente. Pero no es la única industria afectada. Otras gravemente impactadas son los entornos gubernamentales y de servicios médicos. De hecho son los que más dispositivos afectados reportan, rondando ambos el 60% de ellos. Figura 2: Dispositivos vulnerables por cada sector Como en ocasiones anteriores, este caso evidencia la necesidad de realizar mayores controles sobre cómo los fabricantes y desarrolladores están haciendo creando o haciendo uso de las diferentes pilas de TCP/IP en sus implementaciones. La buena noticia es que este tipo de errores reportados de forma responsables manifiesta la importancia no solo de estos análisis, sino de lo vital que resulta ofrecer una alerta temprana a las organizaciones del mundo para concienciar sobre el resto de vulnerabilidades todavía no descubiertas que pueden encontrarse en entornos críticos.

En los servicios que encontramos a través de Internet o de móviles y con los que interactuamos todos los días, encontramos lenguajes de programación como Python y JavaScript, que son los que en este 2021 se están disputando el primer lugar según las calificaciones de los programadores. Figura 1 Para que estos desarrollos funcionen y las comunidades crezcan a estos ritmos, es necesario abstraer la complejidad de los lenguajes, por lo que la mayoría de estos tienen repositorios donde las comunidades ponen a disposición paquetes que simplifican labores en los desarrollos. Por ejemplo, en la librería de PyPi para Python, nosotros pusimos a disposición del público un paquete que le permite usar DIARIO desde cualquier desarrollo hecho en este lenguaje y así simplificar la detección de malware embebidos en documentos, protegiendo la privacidad de su información. Sin embargo, los paquetes de terceros se han convertido en un vector de ataque que cada día los delincuentes aprovechan más y del que desde finales de 2019 venimos hablando y estudiando, permitiéndonos generar un framework opensource que le permita a los desarrolladores analizar los paquetes que van a usar de las librerías de desarrollo, llamado PackageDNA. Lamentablemente este tipo de ataques vuelve a ser noticia cuando uno de los paquetes comprometidos, pone en riesgo a una de las principales empresas del sector de la tecnología como es Facebook. Hace poco, uno de los paquetes que esta empresa usa (y otras muchas) en sus desarrollos para reconocer desde qué sistema operativo están accediendo a sus servicios fue reportado como comprometido en su propio GitHub. El paquete comprometido es UA-parser-js, uno de los más usados con poco más de 8 millones de descargas en la semana y con 1219 paquetes que lo usan como dependencia. Figura 2 Como se puede ver, el sistema reporta que tiene 52 versiones. Se dan como comprometidas en el advisories de GitHub las versiones 0.7.29, 0.8.0 y 1.0.0, pero ninguna de estas está disponible ya en la librería. Figura 3: Versiones disponibles de ua-parser-js Al intentar analizar todas la versiones con PackageDNA, encontramos que la librería de NPMjs solo permite descargar las últimas versiones. Figura 4: Versiones analizadas con PackageDNA del paquete UA-parser-js En el análisis se detecta una librería sospechosa de TypoSquatting (nótese el ua-parsers.js, que no es exactamente igual que ua-parser-js) y que al seguir el enlace a la librería en cuestión, podemos evidenciar que ya fue dada de baja. Figura 5: Paquete posible typosquatting de ua-parser-js Este paquete aunque se dio de baja, es posible descargarlo y hacer el análisis como si fuera local en PackageDNA, pero afortunadamente no contiene ningún reporte malicioso. El desarrollador no es el mismo que el original ua-parser-js. Su nickname es joenix y tiene 172 paquetes en la librería de NPM. Figura 6: Desarrollador del posible paquete de typo de ua-parser-js Otra de las detecciones hechas por PackageDNA, es el uso de dependencias de un Audio Video Media Codec, que está calificado como de alto riego a la confidencialidad y una severidad de riesgo crítico. Figura 7: Detección de AppInspector sobre UA-parser-js Esto evidencia una vez más la necesidad de implementar dentro de las revisiones de seguridad del código los paquetes que tienen como requerimiento los desarrollos, pues en cualquier momento estos pueden ser comprometidos y poner en riesgo los servicios que despliegan. Cada día es más común encontrar este tipo de amenazas y los delincuentes continúan buscando brechas que poder usar para desde la cadena de suministro afectar objetivos más grandes o desplegar amenazas que les generen ganancias, como en este caso que el compromiso insertaba un criptominner en el sistema.

El pasado 13 de septiembre, Apple sorprendió a sus usuarios con una actualización de sistema en iPhone, iWatch, iPad y MacOS. Algo que no sucede muy a menudo y menos si viene con una publicación oficial de Apple indicando la importancia de instalar la actualización. Todo esto debido a un reporte de Citizen Lab, donde confirmaron que con un documento PDF malicioso es posible explotar la vulnerabilidades CVE-2021-30858 y CVE-2021-30860 para ejecutar comandos en iOS y macOS. Terrible para el usuario, pero hay que saber qué significa y de dónde viene esta amenaza. Todo comenzó en febrero de 2021 cuando la empresa Forcedentry analizaba un iPhone que le habían cogido a un activista Saudí y que resultó infectado con el software espía de origen Israelita, llamado Pegasus, de la empresa NSO Group. Descubrieron que había una vulnerabilidad de 0-day, totalmente desconocida, y de 0-clic (no necesita intervención del usuario) que podría ser efectiva en cualquiera de los dispositivos de la marca Apple. Sin embargo, en la investigación inicial se pensaba que el iMessage era la forma de aprovecharse de esta debilidad hasta que el 24 de agosto, Citizen Lab publicó un informe donde demostraba que estas vulnerabilidades podrían y estaban siendo aprovechadas usando documentos PDF que contienen comandos ocultos que se ejecutan en los sistemas y dan acceso a los atacantes a la información en estos dispositivos. Lo más grave de esta amenaza es que es totalmente invisible e indetectable para el usuario. Como mínimo ha sido usada por NSO Group, como se anunció por diferentes medios en la semana del 14 al 27 de agosto, cuando se hizo pública la investigación que afirma que activistas del centro de derechos humanos de Bahrein, entre junio de 2020 y febrero de 2021, habían sido espiados usando este ataque en conjunto con un software conocido como Pegasus. Cómo te afecta … Sin duda, todos manejamos datos y contactos, y además nuestros dispositivos tienen conexión a Internet, por lo que, saber que existe esta vulnerabilidad que nadie conocía (0-day) y que le permite tomar control y espiar dispositivos móviles y computadores de la marca de Apple, es sin duda una oportunidad que no van a desaprovechar los atacantes. Este conjunto de circunstancias hace que cualquier usuario de iPhone, IPad, iPod, iWatch y MacOS, sea una potencial víctima de esta amenaza a partir de ahora. Desafortunadamente para Apple, no es el primer caso de este año, ni el primero originado por la investigación a esos móviles de los activistas saudís, de donde se han reportado las siguientes amenazas: En enero, tres 0-day que afectaban a iOS y que estaban siendo activamente explotados. En marzo, un 0-day reportado por investigadores pero no se confirma su explotación. En abril, un 0-day para iOS y un 0-day para MacOS, activamente explotado por el troyano Shlayer y que originó una avalancha de firmas para macOS. En mayo, otros tres 0-day que permiten ejecutar comandos en los dispositivos móviles con simplemente visitar un sitio web, además un 0-day para MacOS que salta las protecciones de privacidad del sistema. En junio, dos 0-day activamente explotados para afectar dispositivos móviles antiguos. Qué hacer… Toca mantener muy actualizados los dispositivos de Apple, e instalar inmediatamente la actualizaciones que salieron entre el 13 y el 15 de septiembre en el boletín https://support.apple.com/en-us/HT201222 y en el boletín https://support.apple.com/en-us/HT212807. En estas es donde se corrigen las debilidades detectadas por Citizen Lab y por algunos otros investigadores, mitigando la posibilidad de que los delincuentes puedan aprovecharla y acceder a la información de los dispositivos o desplegar malware de espionaje o de secuestro. No solo es en los iPhone, si se cuenta con un iPad, iWatch o un Mac también se debe instalar las actualizaciones en el menor tiempo posible, pues una vez son públicas aumenta las probabilidades de aprovechamiento por los diferentes grupos delictivos en el ciberespacio.

Tras varios meses de investigación y desarrollo, durante el evento BlackHat USA 2021 Arsenal, presentamos nuestra herramienta de análisis profundo de paquetes de desarrollo que llamamos PackageDNA. Se pudo ver durante la charla “Scanning DNA to detect malicious packages in your code”, cuyo objetivo era mostrar el framework de análisis de librerías que se programó para ayudar a los desarrolladores y empresas a validar la seguridad de los paquetes que se están usando en sus códigos. Esta herramienta surgió cuando nos planteamos, en el equipo de Innovación y Laboratorio, analizar el malware que se oculta dentro de las librerías para desarrolladores. Cada cierto tiempo se hacía público que algunas de ellas suplantaban a las originales, como a finales de 2018, cuando se alertó de un par de librerías en PyPi. La historia se repetiría a menudo desde entonces, ¿pero cómo hacer la investigación sin una herramienta que nos facilitara la búsqueda? Nuestra idea inicial era tomar los paquetes de PyPi únicamente, pero nos propusimos un reto mayor y la idea evolucionó hasta tomar las librerías de los principales lenguajes de programación. Así se convirtió en un framework, que debería mostrar cada paquete que analizaba en PyPi, RubyGems, NPM y Go, los siguientes datos: Metadatos del paquete HASH de todos los archivos que contiene Detección de posibles IoC, como son IP’s, Hash, URL’s y correos electrónicos Análisis estático del código, con una herramienta open source para cada lenguaje Análisis usando AppInspector, la herramienta open source de Microsoft para identificación de componentes maliciosos Validación de archivos sospechosos contra Virustotal Validación de reporte de CVE en GitHub, teniendo en cuenta la versión específica del paquete Validación de paquetes generados por el mismo usuario dentro de la librería y en otros lenguajes de programación Comprobar los posibles typosquatting del paquete en la misma librería Todo esto terminó en un poderoso framework que permite un análisis profundo de las librerías que se están usando en el código que se analiza o que se está creando, pero que además entrega a los analistas de seguridad una visión estática de la seguridad del código, una visión del comportamiento de atacante y datos para inteligencia de amenazas. ¿Cómo utilizar PackageDNA? El framework está desarrollado en Python3 con una consola interactiva que le permite al usuario ir seleccionando de forma simple lo que desea hacer. La primera pantalla que ve el usuario es la siguiente: Desde aquí se debe iniciar con la opción 7 la configuración de todas las herramientas externas que se tienen asociadas al uso del framework (todas son de uso libre o desarrollos de código abierto). Como se puede ver en la siguiente imagen es solo cargar correctamente cada valor. Una vez se tiene todo configurado, el usuario puede realizar sobre las librerías PyPI, RubyGems, NPM y Go, lo siguiente: Analizar la última versión de un paquete Analizar todas las versiones de un paquete y comparar resultados entre las versiones Cargar una lista de paquetes con versiones específicas Cargar un paquete local para su análisis Para el análisis de inteligencia de amenazas, el usuario selecciona la opción 4 en el panel inicial y le permite entrar a otro panel donde puede realizar: Búsquedas de los paquetes generados en cada una de las librerías y desarrollos cargados en github usando el nombre de usuario que desee investigar. Analizar los "typosquatting" y "brandsquiatting" que se encuentren en una librería especifica de un paquete. Hacer búsquedas de segmentos de código dentro de un paquete especifico. Aunque la herramienta está diseñada sin una base de datos que almacene todas las búsquedas, se dispone de una opción que permite revisar los resultados de los análisis realizados y almacenados localmente en la máquina. Teniendo la información inicialmente en la consola, pero con la opción de verlo en el navegador a través de Flask, como se ve en las siguientes imágenes. Ataques a la cadena de suministro, el mejor banco de pruebas Durante el desarrollo, los ataques a la cadena de suministro de software tomaron una gran relevancia en el mundo, llegando reportes de varios paquetes que se habían detectado como maliciosos en muchas librerías que estaban dentro de nuestro alcance. No podíamos tener mejor escenario de pruebas. De hecho, logramos poder analizar las versiones de maratlib, un paquete de PyPI que se desplegó para hacer minería de criptomonedas de forma maliciosa y que suplantaba a un paquete comúnmente usado en matemáticas llamado matplotlib. Al ejecutar la herramienta y usar la comparación en las dos versiones, pudimos ver claramente el segmento de código malicioso que es detectado por AppInspector y que está presente en una sola de las versiones cargadas en la librería. Pero además, podemos observar los otros paquetes que aparecen el reporte y que son generados usando técnicas de typosquatting. Así que, con este framework, esperamos poder aportar a la comunidad de desarrolladores y de analistas de seguridad en código, un mecanismo simple pero muy poderoso para cumplir con sus objetivos. Lo pueden descargar de forma libre en https://github.com/telefonica/packagedna y quedamos abiertos a sus comentarios y aportes para mejorar la herramienta.

Hace unas semanas atrás publicamos el reporte de ciberseguridad del primer semestre del año, donde se puede encontrar un capítulo especial sobre las amenazas del mundo de OT, también conocido como sistemas de control industrial (ICS, Industrial Control System), tomados a partir del metahoneypot que el área de innovación y laboratorio desplegaron en C4IN, el cual es llamado Aristeo. En las 24 horas anteriores a hacer este artículo, Aristeo había detectado cerca de 3.000.000 eventos de ciberseguridad dirigidos a estas infraestructuras. En estos últimos seis meses hemos presenciado cómo las infraestructuras críticas, que basan su funcionamiento en ICS, han sido primera plana en las noticias de todo el mundo, con casos como el Ransomware al Colonial Pipeline, la detección de bugs en sistemas de Schneider Electric, e implicaciones del caso de SolarWinds en entornos industriales, entre otras. ¿Por qué los incidentes son tan graves? El mundo de ICS ha migrado vertiginosamente a la digitalización, la industria 4.0 avanzo con la pandemia a pasos de gigante y ha llegado para quedarse. Sin embargo, no todos los cambios se han realizado pensando en la protección de esta infraestructura ni teniendo en cuenta que los protocolos y conexiones que manejan no están necesariamente actualizados o preparados para manejar el tráfico que es común en redes IT. Esto hace que algunos dispositivos sean mucho más propensos a denegaciones con un simple escaneo de puertos o que algunas consolas de HMI tengan sistemas operativos obsoletos, pues son las que soportan el software para los DCS o SCADA que gestionan. Otro indicador claro de las debilidades en ciberseguridad de ICS es el aumento en los reportes de vulnerabilidad emitidos por la CISA, que viendo únicamente el mes de julio de 2020, fueron un total de 21 reportes, mientras en el mismo mes de 2021 fueron 41 reportes. Y el aumento en las detecciones de equipos con protocolos industriales por parte de los motores en Internet, como se ve en los resultados de ZoomEye, es otro claro indicador de la falta de protecciones que se han tenido en cuenta durante la pandemia para la migración de la industria hacia la digitalización. Toda acciona trae sus consecuencias La suma de todos estos indicadores de una gestión deficiente de la ciberseguridad ha generado reacciones en los diferentes actores relacionados en los ataques. Por una parte, es claro que la industria criminal ha empezado a dirigir sus acciones hacia los sectores de control industrial, aunque la historia de los incidentes en ICS es larga y tiene casos muy importantes en los últimos 12 años. También ha generado reacción por parte de los estados, que han visto cómo las infraestructuras críticas de sus países se han visto afectadas por estas organizaciones, generando nuevas políticas y obligaciones para los operadores de estas infraestructuras. Sin ninguna duda, el país más afectado ha sido Estados Unidos. Por esto, finalizando el mes de julio se emitió desde la casa blanca un memorando que obliga a los operadores responsables del funcionamiento de la infraestructura crítica a mejorar la ciberseguridad de sus operaciones. Pero no es el único país que ha tomado medidas de orden presidencial. También está Australia, quien tras una serie de incidentes ha decidido implementar mejoras en las políticas estatales para reforzar la protección a la infraestructura crítica. Qué acciones tomar La empresas ya han empezado a tomar medidas y a buscar en el mercado las opciones que les permitan mejorar su postura de ciberseguridad en entornos de control industrial. Esto se puede apreciar fácilmente al ver cómo las empresas de auditoria han empezado a hacer convenios comerciales con empresas del sector de la ciberseguridad. En Telefónica Tech conocemos bien la importancia de este sector y de estar a la vanguardia de la ciberseguridad, siendo desde hace un año un inversor de Nozomi Network, además de creadores en el área de innovación y laboratorio del centro C4IN, lanzado en 2019, donde se han generado varios desarrollos para la mejora de la ciberseguridad industrial y desarrollado Aristeo, el metahoneypot para hacer inteligencia de amenazas en el sector. Esto da un accionar claro que con casos de estudio aporta una mejora de la ciberseguridad en entornos industriales y permite minimizar la efectividad de las acciones criminales, que han aumentado hacia este sector empresarial.

Desde hace algunos años las técnicas usadas por los desarrolladores de malware se han enfocado en evadir los mecanismos de detección, encontrando que los macros ofuscados y el uso de herramientas propias de Windows es un mecanismo efectivo para cumplir sus objetivos, incluso si usan formatos antiguos de los documentos de ofimática. Una de las campañas de malware que más ha explotado la técnica de los macros antiguos y ofuscados (algunos simplemente ocultos) es Emotet, llamado como un rey del antiguo Egipto, y que desde el 2014 se ha convertido en el troyano bancario más temido, con un pico de incidentes muy fuerte en 2019. Figura 1: https://any.run/malware-trends/emotet Pero durante las últimas semanas McAfee Labs publicó una nueva técnica de infección que no solo usa los macros de Office como su principal herramienta al inicio del ataque, sino que la complementa con la descarga de DLL’s maliciosas. En lo que llevamos de 2021 ha afectado principalmente a España, Canadá y Estados Unidos, siendo considerada como el regreso de una variante del malware bancario Zloader, que apareció por primera vez en 2006 como una variante del troyano bancario Zeus. Figura 2: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/zloader-with-a-new-infection-technique/ Analizando el flujo de la amenaza detectada vemos que el vector inicial del ataque es a través de un correo electrónico que trae adjunto un archivo de Microsoft Word, que descarga un Microsoft Excel protegido con contraseña desde un servidor remoto. Con los dos documentos en la máquina, se inicia una interacción programada con los macros de VBA en ambos archivos y modifican algunas políticas del registry, para evitar las alertas al ejecutar los macros dinámicos desde el Excel, para así descargar finalmente el ejecutable Zloader que contiene una DLL maliciosa. Este es el típico comportamiento que hemos descrito en los ataques de tipo Fileless y que se han buscado prevenir con la creación de DIARIO, para detectar en el primer paso del flujo de la amenaza el contenido malicioso de esas macros respetando la privacidad de los documentos. Para este caso no es la excepción que se pueda usar, pues el hash que aparece como IoC principal es el documento de Word con el que inicia el ataque, que es 210f12d1282e90aadb532e7e891cbe4f089ef4f3ec0568dc459fb5d546c95eaf y que como se puede apreciar en la respuesta web. Figura 3: https://diario.elevenpaths.com/ Ya lo detectamos como malicioso, debido a que las 5 macros contienen procesos maliciosos y donde, al revisarlos en nuestra herramienta, se puede ver claramente cómo uno de estos está cargando el momento donde se abre el Excel con la contraseña desde el Word. Y como desde la otra macro se crea la URL de descarga para este mismo archivo. En el área de innovación se diseñó DIARIO pensando en que la forma más efectiva para las detecciones de código malicioso de este tipo es el uso del Machine Learning, por lo que cualquier otro documento que contenga alguna variante del proceso malicioso de esta detección, será inmediatamente reconocido y marcado como un documento malicioso. Si los usuarios tuvieran el entrenamiento y concienciación suficientes para analizar cada uno de los archivos adjuntos que llegan a su correo, tener una herramienta como DIARIO dentro del cliente de Outlook, les permite mitigar el riesgo de este tipo de ataques y contrarrestar la amenaza desde el primer paso del flujo de ataque.

Desde hace unos años, WatchGuard genera un reporte de la situación de seguridad detectada en Internet. Tras la compra de Panda, este reporte ha cobrado aun más importancia, debido a que contiene detecciones de los terminales finales, permitiendo un espectro de seguridad más amplio que detalla mejor los tipos de incidentes que han sucedido en Internet. Así, el último reporte ha mostrado un incremento bastante importante en ataques de malware sin archivo, conocidos como fileless malware, de los cuales hemos hablado desde hace unos años por la peligrosidad que conllevan y por su difícil detección, algo que evidentemente están aprovechando los delincuentes, viendo el incremento de cerca del 900% en el uso de esta técnica de ataque si comparamos las muestras reportadas entre 2019 y 2020. Orígenes Este problema es casi tan antiguo como los sistemas operativos, siendo la primera muestra de este tipo de amenazas en 1987 con el denominado Lehigh Virus, obtuvo su nombre por ser desarrollado en Lehigh University durante unas pruebas en la carrera de computación. Sin embargo, no generaba daños en el sistema y se retiraba con el reinicio de la computadora, pues simplemente se alojaba en la RAM y con cada ejecución o llamado del COMMAND.COM incrementaba un contador que iba consumiendo la memoria y haciendo así cada vez más lentos los procesos en la maquina. Pero este desarrollo logró un hito en cuanto a los ataques, que siempre tenían como premisa el poder alojar en el disco duro el segmento maliciosos para ser ejecutado, algo que expone a que cualquier sistema de antivirus detecte las características maliciosas del software. De esta manera, al no tener que llegar al disco duro, sino estar solo en la memoria, les daba ventaja para no ser detectados, pero les dejaba muy poco margen de acción en el desarrollo de ataque sofisticados que requieran códigos extensos. ¿Cómo se realizan estos ataques? En nuestros días, kits de herramientas como PowerSploit y CobaltStrike, han permitido a los delincuentes el desarrollo de malware de tipo fileless, mucho más avanzado y preciso, sin tener que conocer el detalle completo del funcionamiento del sistema. Un ejemplo de esto es como con PowerSploit se puede inyectar una DLL con un simple comando, generando ataque de DLL hijacking sofisticados y simples. Esto se ha analizado ampliamente en las matrices de MITRE ATT&CK, que incluso tiene un análisis de PowerSploit, para que los equipos de defensa conozcan de antemanos las capacidades que este kit le brinda al atacante y en que técnica especifica es la que se usa este tipo de ataques. Incluso dentro de nuestro equipo se desarrolló un framework que permite a los equipos de ataque y defensa de las empresas llevar a cabo investigaciones y detecciones de posibles brechas de seguridad usando UAC-A-Mola, que tiene varios tipos de automatizaciones para saltar los controles de auntenticación de los usuarios en sistemas Windows, usando principalmente ataques basados en fileless. ¿Cómo podemos defendernos? En cuanto a la parte defensiva, los avances que Windows ha logrado para contener esta amenaza son cada vez más útiles y requiere de despliegues menos complejos dentro de los esquemas de red en las organizaciones, como hemos hablado en ocasiones anteriores en nuestro blog, las capacidades que se han logrado con AMSI sin duda son un complemento fundamental para lograr tener la protección ante el inminente aumento de los ataques de fileless. Sin embargo, en la mayoría de organizaciones no se implementan los controles que proveen esta herramienta nativa del sistema operativo, con las cuales cualquier flujo de entrada podría ser analizado y detectar las anomalías, un ejemplo de las capacidades que brinda el AMSI fueron las que hemos logrado con las extensión del navegador AMSIext, que entrega una conexión entre el navegador y AMSI, para que todos los potenciales scripts contenidos en un sitio web sean analizados por este motor, detectando cualquier posible anomalía así no se toque el disco duro en su ejecución. Otra forma típicamente usada por los delincuentes para la ejecución de ataques tipo fileless, es combinar este ataque con la ejecución de macros en los documentos de ofimática, los cuales permiten el uso de las capacidades de programación de macros para descargar y ensamblar los códigos maliciosos dentro de la memoria, retrasando la detección por parte de los sistema de antivirus tradicionales y haciendo compleja la detección para los sistemas de tipo endpoint. Ejemplo práctico Ataques como los generados por IcedID, evidencian cómo esta técnica es muy beneficiosa para los atacantes e integra la potencia del fileless dentro de las técnicas, usando a powershell como herramienta de descarga e instalación de las DLL maliciosas, haciendo casi indetectables sus acciones por los antivirus, como se ve en la imagen de análisis de VirusTotal. Con nuestra herramienta DIARIO, nosotros aislamos esos macros para su análisis y detección de procesos maliciosos, con lo que se pueden también integrar dentro del flujo de análisis que se debería tener en los archivos que llegan a una organización, para mitigar este tipo de ataques. Siguiendo con el análisis de IcedID, podemos ver que la extracción y análisis de las macros hecha con DIARIO, nos indican que son sospechosas de malware y nos muestran los tres macros usados para ese fin. Como se puede ver, aunque el aumento de estos ataques es exponencial, la efectividad de los ataques puede ser mitigada con varias acciones: La implementación de los debidos controles en todos los terminales de la red. La integración de herramientas propias de los sistemas con extensiones, o desarrollos que hagan uso de estas capacidades sin la necesidad de implementaciones manuales. La debida capacitación y concienciación al personal de cómo proceder para garantizar que estas herramientas sean efectivas en las detecciones y no que se salten por malas practicas en el manejo de las mismas.

En seguridad siempre optamos por implementar mecanismos de prevención y disuasión, más que de contención. Sin embargo, la implementación de estos mecanismos no siempre son eficaces o sencillos de configurar o mantener. En el mundo físico podemos ver muchos ejemplos de esto, como son las celdas fotovoltaicas, las puertas trampa o las cámaras de vídeo. Todas esas medidas previenen o disuaden a los delincuentes a entrar a una propiedad, pero para que cumplan su función requieren una configuración previa y un mantenimiento o monitoreo constante. Adicionalmente, estos mecanismos no pueden detectar por sí mismos si un delincuente está estudiando las posibles debilidades que pueda aprovechar para su objetivo criminal. Por lo que, para que puedan ser realmente preventivas, es necesario que estén bajo un monitoreo constante y una investigación de las anomalías o comportamientos sospechosos almacenados en los vídeos o en los eventos de los mecanismos instalados. Configurando sistemas para prevenir y disuadir Esto mismo sucede con los sistemas de seguridad de la información, dónde todos los recursos técnicos que se configuran buscan prevenir o disuadir, para lo cual toman como base de configuración las características que permiten detectar los ataques que se van conociendo y que, dependiendo de cada mecanismo de protección, se van configurando dentro de los motores de detección y alerta, para que los sistemas de monitoreo puedan ser avisados de la presencia de una amenaza. Por lo tanto, al igual que como sucede en la seguridad física, son mecanismos que si no se mantienen monitoreados y actualizados en sus configuraciones de detección, se convierten en sistemas que pueden ser analizados por delincuentes para la detección de fallas que puedan ser aprovechadas. Para mantener estas actualizaciones, cada tecnología dispone de formas automáticas o manuales de actualización de los sensores de detección Por ejemplo, los sistemas tradicionales de antivirus reciben constantemente actualización de las formas de detección, y los sistemas actualizados que utilizan Machine Learning aprenden a detectar las amenazas usando muestras de diferentes tipos de malware, como las que tenemos en nuestra herramienta CARMA de las amenazas de Android. Indicadores de compromiso (IoC) como mecanismo de actualización Sin embargo, uno de los mecanismos que más se ha propagado para mantener una constante actualización de las configuraciones son los indicadores de compromiso (IoC), los cuales son piezas de evidencia forense que se han recolectado tras un incidente y que permite identificar patrones comunes como direcciones IP, dominios o hashes que hayan sido utilizamos previamente y actualizar así los sensores de detección para que califiquen como amenaza a cualquier acción dentro de la red que contenga una de estas piezas de evidencia. Una de las técnicas de prevención es realizar investigaciones sobre alertas de los sistemas de monitoreo que permitan determinar si las acciones recolectadas se pueden relacionar con incidentes previamente reportados en el mundo, este método en seguridad de la información es conocido como Threat Hunting, siendo la metodología más completa y compleja para la detección de posibles intrusiones que hayan saltado los controles establecidos, usando los IoC como base de comparación. De detectores reactivos a detectores proactivos Pero, ¿qué pasa si el delincuente usa mecanismos totalmente desconocidos?, ¿qué pasa si el malware no toca el disco y los antivirus no pueden comparar con sus firmas?, ¿qué pasa si el IPS no tiene ese trama de datos dentro de sus comparaciones de alerta? Lo que sucede es que nada se alerta, el monitoreo por más que sea persistente no va a recibir ninguna alarma de anomalía y, el delincuente, tras un riguroso análisis de nuestros sistemas de seguridad, habría encontrado la brecha o la técnica para esconderse y conseguir su objetivo. En muchas ocasiones, esto es lo que esta sucediendo en los incidentes cibernéticos que se han reportado este año, por lo que es necesario que las áreas de seguridad de la información empiecen a cambiar el enfoque de detectores reactivos, como los IoC, a detectores proactivos, que permitan poder detectar amenazas o incidentes en el mismo momento que suceden y que no dependan del conocimiento previo de otros incidentes. Indicadores de Ataque (IoA) Esto es lo que se ha denominado como Indicadores de Ataque (IoA), que permite a los equipos de detección (Blue Team) identificar sucesos por patrones de comportamiento, por ejemplo un escaneo de red, una comunicación a un C&C o cualquier comportamiento que entregue señales de que algo saltó las defensas de la red. Debido a esta particularidad, es complicado tener un listado o una base de datos común de IoA’s, pues están atados a las tácticas mostradas en la matriz de ATT&CK de Mitre y a las características de seguridad propias de cada empresa, usando el contexto para determinar cuando una acción es o no un indicador de ataque. Por este motivo, la implementación no es sencilla y requiere de un conocimiento a profundidad de las actividades TI normales de todos los departamentos de una organización, de la implementación de sistemas de Zero Trust Network Access e implementación de controles de trafico de red en todos los sistemas que gestionen información, para así poder tener las actividades básicas que se mencionan a continuación para la detección de los IoAs: Análisis de todas las conexiones cuyo destino sea fuera de la red corporativa, dando prioridad a destinos marcado como maliciosos o a lugares donde no se debería hacer comunicaciones desde la empresa. Todo intento de trafico en la red por puertos no convencionales o de servicios que se hayan habilitado dentro de la red o en horarios fuera de oficina. Cualquier equipo que tenga múltiples conexiones activas o intentos de conexión con equipos dentro de la red a los cuales no tienen permiso o que no tenga dentro de su historial de conexiones. Reporte de eventos repetidos, como malware o trafico malicioso, en uno o varios equipos por los sistemas de detección. Procesos de autenticación de los usuarios, que impliquen cualquier conexión simultanea o intentos fallidos. Con estas investigaciones permanentes se inicia la generación de la base de conocimiento de los IoA y los procesos de respuesta de incidentes mejoran. De esta manera el sistema se basa no en datos que han sucedido y que pueden ser evadidos por los atacantes, si no en actividades y técnicas asociadas tanto a las tácticas de ataque como a las características propias de la red de la organización.

Los ciberdelincuentes buscan estrategias para lograr sus objetivos: en algunos casos se trata información de usuarios; en otros, conexiones; otras veces generan redes de equipos bajo su control (botnets), etc. Cualquier usuario es una potencial víctima pero si adicionalmente pueden hacer que otros distribuyan su código malicioso sin saberlo, hablamos de una ganancia invaluable para los delincuentes. Por esto se han dado cuenta de que infiltrar código malicioso en paquetes que los desarrolladores usan para generar sus proyectos es una forma muy efectiva de propagarlo en la mayor cantidad de víctimas posibles, además de beneficiarse así del anonimato. De esta manera, cada vez que un desarrollador, en cualquier parte del mundo, use el paquete corrupto que filtraron dentro de la librería en cualquier tipo de código, este distribuirá el segmento malicioso y hacer la trazabilidad será casi imposible, pues existen librerías que han sido descargadas millones de veces. En el último año se han encontrado varias muestras de esta práctica usando principalmente los paquetes de la librería de NPM y paquetes de la librería de Python. Los delincuentes usaron diferentes técnicas para ocultar su accionar y saltar los controles que se tienen en estás librerías, veamos cuáles. ¿Cuáles son las técnicas utilizadas por los ciberdelincuentes? Aunque las técnicas son diversas, vamos ha centrarnos en las que, tras su detección, se pudo evidenciar que permanecieron mucho tiempo disponibles en las librerías: Typosquatting: como habíamos hablado anteriormente, está técnica se utiliza en diversos tipos de ataques informáticos y se basa en modificaciones en los nombres de los paquetes que hacen que los usuarios se puedan confundir o que tras un error en la digitación carguen uno de estos códigos maliciosos. El ejemplo más claro de este método se presentó en la librería PyPi de Python donde se detectaron dos paquetes maliciosos que usaban mutaciones en el nombre para su propagación, como en el caso de jeIlyfish con jellyfish. Ésta mutación del nombre tenía como objetivo obtener las llaves de autenticación de SSH en los diferentes servidores o equipos donde estuviese instalado cualquier desarrollo que usase este paquete. Estos paquetes estuvieron disponibles durante más de un año en la librería PyPi, donde fueron descargados más de cien mil veces, lo que entrega al atacante un amplio impacto y dispersión en cuanto a posibles objetivos, ya que este código puede estar aun siendo utilizado en algunos desarrollos empresariales o caseros que no sean correctamente mantenidos o monitoreados. Brandjacking: este tipo de ataque se aprovecha la importancia de un paquete para crear una mutación o simulación del mismo. La diferencia principal con la anterior técnica es que no apela al posible error de un desarrollador cuando digita el requerimiento dentro de su código, sino que crea un paquete de tiene exactamente el mismo nombre pero adiciona usualmente el nombre del lenguaje en el que se esta trabajando. En los paquetes de la librería NPMjs se ha detectado esta técnica en varias ocasiones, usando paquetes como twilio, que tiene cerca de 500 mil descargas, para crear un paquete malicioso que usa su reconocimiento para suplantarlo, con el paquete twilio-npm, la cual con tan solo 3 días en linea logro 371 descargas. Con estos dos básicos ejemplos se evidencia que los delincuentes están buscando todo el tiempo el despliegue de su código malicioso por diversos mecanismos, demostrando que pueden poner en riesgo a cualquier usuario con o sin conocimientos en computación o en gestión de información. Asimismo, esto confirma que es vital que las empresas de desarrollo busquen mecanismos para detectar estas estrategias, cumpliendo metodologías que garanticen el desarrollo seguro para minimizar que este tipo de amenazas sea explotada y ponga en riesgo a los usuarios. En cuanto a las empresas que están detrás de este tipo de lenguajes de desarrollo, se están haciendo esfuerzos internos y en comunidad para detectar estas amenazas en el menor tiempo posible. Un ejemplo de estas alianzas en las OSSF (Open Source Security Foundation), de las cual hacemos parte activa, que busca desarrollar herramientas y comunicación con el objetivo de mejorar la seguridad en los desarrollos y que las empresas de desarrollos informáticos tengan referencias o elementos para validar el ciclo de vida de sus desarrollos.

En los últimos años, el número de incidentes en redes de infraestructuras críticas y en sistemas industriales se ha incrementado notablemente. Se han producido ataques con un alto grado de complejidad y conocimiento sobre los elementos afectados y sobre cómo aprovechar la deficiencia histórica en implementaciones de seguridad que tiene este tipo de redes. Esto genera un alto riesgo sobre la vida de las personas que trabajan en estas industrias o que dependen de ellas, así como como en las infraestructuras críticas de los países. En artículos anteriores hemos hablado sobre cómo las redes industriales basan su seguridad en mantener los sistemas industriales aislados. Esto es lo que conocemos como AirGap, pero se trata de un aislamiento cada vez menos probable y más ineficiente. La falsa confianza de seguridad que genera este aislamiento ha permitido que los ciberatacantes aprovechen herramientas de control remoto (RAT) para filtrarse en redes IT y llegar a las redes OT, desde donde aprovechan las vulnerabilidades de sistemas industriales sin ser detectados. Las medidas de seguridad se han demorado un poco en llegar a este tipo de entornos debido a la falta de conocimiento en ciberseguridad OT, al aislamiento que se genera en las empresas entre los equipos de IT y OT o simplemente por la errónea presunción de que estos dispositivos no pueden ser alcanzados por los delincuentes. Sin embargo, a principios de este año, MITRE publicó el marco conocido como ATT&CK (Tácticas, Técnicas y Conocimiento Común de Adversarios), especializado para los sistemas de control industrial. Fuente: https://collaborate.mitre.org/attackics/index.php/Main_Page Esta matriz ha sido muy importante en las investigaciones de incidentes que han sucedido en los últimos seis meses, como indica nuestro partner Nozomi Networks en su informe del primer semestre de 2020. En este informe se evidencia cómo la pandemia de la COVID-19 está siendo utilizada para realizar ataques de ransomware y ampliación de botnet en sistemas OT e IoT, además de analizarse las tácticas y técnicas usadas. Caso práctico con MITRE ATT&CK paso a paso Para entender como se aplica esta matriz, lo mejor es analizar un ataque de con ella. En este caso vamos a tomar una amenaza persistente avanzada (APT) llamada GreyEnergy, que se hizo pública en noviembre de 2018 pero cuyas primeras detecciones se encuentran en incidentes de la red eléctrica de Polonia en 2015 y más tarde en incidentes del sector financiero durante 2018. El ataque inicial usó una técnica muy conocida por todos los que trabajamos en seguridad y a la que todos los usuarios de Internet se ven expuestos permanentemente, que es el phishing. Se trata además de una técnica cuyo uso ha aumentado significativamente en esta época de pandemia. Por tanto, el acceso inicial en el mapa de ATT&CK se encuentra en el SpearPhishing Attachment, pues el ataque inicia con un documento de Word que contiene una macro maliciosa con los comandos necesarios para las fases siguientes de ejecución, evasión y persistencia. Debido a que la carga maliciosa esta en una macro, la cual requiere interacción del usuario, en la sección de ejecución del mapa de ATT&CK se debe marcar el User Execution. Con el fin de lograr persistencia, el malware busca servidores web con una vulnerabilidad para ocultarse, logrando camuflarse en la red, por lo que en el mapa de ATT&CK se marcan en Persistencia el Hooking y en Evasión el Masquerading, debido al packer que usa para ocultar el código malicioso real. Para detectar objetivos dentro de la red afectada, el malware usa varias herramientas ampliamente conocidas que se pueden agrupar dentro del descubrimiento en el mapa de ATT&CK, como Network Service Scanning y Network Sniffing, logrando detectar los servicios vulnerables antes mencionados para el movimiento lateral, que en el mapa de ATT&CK sería Explotation of Remote Services. Para la ejecución de comandos usa una conocida técnica entre los sistemas de C&C, la cual es desplegar proxy dentro de la red para redireccionar las solicitudes a los equipos externos de la red, ocultando el trafico de los sistemas de monitoreo de seguridad de la red entre el tráfico interno. Por lo que en la fase de inhibir las funciones de respuesta se marca en el mapa de ATT&CK el de Program Download y el de Alarm Suppression, pues usan un programa externo como el procy y suprimen la alarma tras ocultarse en trafico interno. Las dos últimas fases dentro del mapa de ATT&CK son más complejas de analizar porque, al ser un malware modular, es posible que el proceso que control que quiera perjudicar cambie según el caso y, por ende, su impacto final. Sin embargo, en las muestras recolectadas se encontró que buscaban detener servicios generando borrado en discos duros de los sistemas de interfaces humanas (HMI), por lo que el impacto final seria daño en propiedad o denegar el control. De esta forma, lo que deberíamos marcar sería Service Stop y Damage to Property. En las redes industriales este impacto es muy crítico, pues al perder el control o la visibilidad de los controles de operación, no queda otra salida que detener el servicio en una parada de emergencia para mitigar la posibilidad de perdidas humanas, daños ambientales o daños físicos, lo que usualmente genera pérdidas económicas y de reputación muy graves para las empresas afectadas. Conclusiones Como se puede apreciar, MITRE ATT&CK permite determinar claramente las tácticas y técnicas usadas por los ciberdelincuentes en los ciberataques orientados a entornos industriales, así como proporcionar la posibilidad de obtener información común recopilada en otros incidentes que ayudan al despliegue de sistemas de monitoreo especializados y a la aplicación de sistemas de inteligencia de amenazas para minimizar los impactos que se puedan tener ante un incidente. En cada una de las fases se tienen posibles indicadores de compromiso, como por ejemplo el hash del archivo usado en el phishing (f50ee030224bf617ba71d88422c25d7e489571bc1aba9e65dc122a45122c9321) donde, como se puede apreciar a continuación, la macro contiene el malware. Este habría sido detectado con nuestra herramienta DIARIO y los sistemas de control habrían permitido evitar el inicio del incidente. Esta metodología permite asegurar las tres etapas de control de los sistemas industriales, como ya explicamos en los artículos de introducción a sistemas industriales hace unos años. Se debe asegurar una correcta medición de los datos para que la evaluación y procesamiento de los mismos garanticen el cumplimiento de estándares de trabajo seguro. Debido a la gravedad de un incidente en entornos industriales, es fundamental que se empiecen a contemplar estos marcos de seguridad en dichos entotrnos para que el monitoreo y respuesta a incidentes cibernéticos, así como los sistemas de control remoto, gestionen mejor los requerimientos de seguridad y eviten, literalmente, poner vidas en riesgo.

No cabe duda de que esta pandemia de la COVID-19 ha cambiado la cotidianeidad de la humanidad, no sólo mientras dure la pandemia, sino de forma permanente. Son muchas las empresas que pretenden extender el teletrabajo como un método permanente para sus empleados. Esto está aumentando el tiempo que permanecemos conectados, como se ha visto en las estadísticas de conectividad en los meses de confinamiento y posteriores, abriendo múltiples posibilidades para usuarios y empresarios que tuviesen la necesidad de usar la tecnología para cosas tan cotidianas como las compras de alimentos. Sin embargo, esto también supone una gran oportunidad para los ciberdelincuentes para realizar ataques a base de engaños, de los que hemos hablado en artículos anteriores y que Microsoft ha reportado como muy graves en su blog de seguridad. En muchos artículos nos han contado las consecuencias de que se materialicen estos riesgos, pero en muchas ocasiones no sabemos qué herramientas debemos configurar ni cómo hacerlo para mitigarlos. En este articulo veremos qué herramientas de ElevenPaths gratuitas podemos utilizar y de qué nos protegen. Ataques mientras navegamos por Internet Cuando usamos el navegador estamos expuestos a muchas amenazas, pero algo en común a muchas es que se acabe en un dominio fraudulento bien por redirección o ataque DNS de algún tipo. Al estar en casa, sin un sistema de protección empresarial, es muy difícil que sean detectados. Para evitar esto tenemos, por un lado Conexión Segura, que limita el acceso a lugares fraudulentos sin necesidad de configurar nada en el sistema. Por otro, tenemos la posibilidad de usar DoH, una tecnología estándar que previene ataques tradicionales DNS además de suponer una mejora en la privacidad. En Firefox basta con instalar nuestra extensión EasyDoH, la cual fue actualizada recientemente para simplificar la configuración del servidor de DNS que el usuario quiera utilizar. Si añadimos el DoH (en beta) propio de ElevenPaths, protegeremos además de dominios maliciosos: Otra amenaza se presenta cuando algún ejecutable o script malicioso del sitio web donde nos encontramos intenta ejecutar algo en el sistema sin “tocar el disco”. Esto quiere decir que, sin que descarguemos nada o sin que le demos directamente a ejecutar, realizan acciones desde la memoria del navegador. Se trata de una amenaza muy importante porque al no llegar al disco, los sistemas de protección como AntiVirus o EndPoint Response, se ven limitados en su detección.. Para esto hemos desarrollado recientemente una extensión para Chrome y Firefox llamada AMSIext. Una vez instalada, ésta conecta el navegador con el sistema llamado AMSI del propio Windows 10, que permite validar los programas que se van a ejecutar en memoria, mucho antes de su ejecución e incluso antes de que pueda llegar al disco duro incluso por error. Ataques con archivos No cabe duda de que los engaños incentivando a la ejecución archivos son una de las técnicas más usadas por los ciberdelincuentes y que más se ha incrementado actualmente, para lo que se usan dos mecanismos que, aunque parecen simples, son muy efectivos para saltarse algunos de los controles de nuestro PC. La primera técnica tradicional es el cambio de extensión de los archivos. Windows confía demasiado en las extensiones de los archivos y, por ejemplo, si la extensión es .docx, los abrirá con MS Word sin tener en cuenta el contenido real. Para evitar este riesgo, hemos creado un programa que valida que la extensión concuerde con los Magic Numbers (técnica que identificación plenamente el archivo más allá de la extensión). Este programa llamado MEC sólo requiere ser instalado en tu ordenador y, automáticamente, cada vez que el usuario intente abrir un archivo, el sistema comparará los Magic Numbers con su extensión. Si no concuerdan, el programa le muestra al usuario que este archivo no puede ser abierto con el programa que la extensión indica. En resumen, detectará si ha sido modificada la extensión. La segunda amenaza que utiliza archivos y que ha tenido un incremento exponencial en los últimos meses es la del malware escondido documentos MS Word, MS Excel y PDF. En esta ocasión, si el usuario abre los archivos y da permisos de ejecución, realmente abre la puerta a que los ciberdelincuentes puedan ejecutar acciones o conectarse al equipo. Frente a este tipo de amenaza hemos desarrollado DIARIO, una herramienta gratuita para que los usuarios puedan revisar todos los documentos que llegan por correo electrónico o que descargan de Internet antes de abrirlos y así validar si contienen o no malware. Para proteger la privacidad de los usuarios, la inteligencia artificial de DIARIO sólo toma la macro para el análisis, protegiendo la información sensible que pueda contener el archivo. La herramienta se puede utilizar directamente en el sitio web o descargar el la herramienta anónima según el sistema operativo de tu equipo. Después, se carga el archivo sospechoso y el sistema devuelve la información sobre si se considera malicioso. Como podemos ver, contamos con varias herramientas gratuitas y sencillas para aumentar significativamente nuestros niveles de seguridad, cerrando la puerta a los ataques más comunes que se están ejecutando en estos momentos.

El cerebro es increíble y ha evolucionado durante miles de años para hacernos la vida más simple o para reducir tiempo de procesamiento en cosas que considera innecesarias. Una de ellas es leer cada letra en un texto escrito, lo cual se puede comprobar de varias formas, como en los siguientes tres ejemplos: ¿Por qué sucede esto? Ésto se debe a la manera en que aprendemos a leer, pues inicialmente sólo vemos imágenes y no es hasta después de entenderlas cuando empezamos a hacer la asociación con sonidos y las palabras. Cuando estamos acostumbrados a leer las mismas palabras durante mucho tiempo, nuestro cerebro coloca palabras donde no están o reemplaza inmediatamente los números por las letras que corresponde o puede leer cuando están escritas al revés, entre muchas otras cosas. Sin duda, esta capacidad cerebral es increíblemente poderosa, pero también genera algunos riesgos de ciberseguridad por la posibilidad que brinda para generar engaños fácilmente. Por ejemplo, si te llega un mensaje que dice “www.gooogle.com” tú no te das cuenta que "goooge" tiene tres "o" en lugar de las dos que tiene el sitio real. Qué es el TypoSquatting Desde hace muchos años, los delincuentes se han percatado de que es posible usar esta capacidad en nuestra contra. Las campañas de phishing usan estas pequeñas alteraciones del texto para engañar a los usuarios, siendo muy efectivas si son asociadas a sensaciones de miedo o de afectación económica. Este tipo de amenazas se ha denominado TypoSquatting. Con la actual crisis sanitaria generada por el Covid-19, el uso de esta técnica ha aumentado significativamente. Una de las entidades que más ha sido utilizada para generar estos engaños es la Organización Mundial de la Salud, que tuvo que publicar un comunicado expreso de ciberseguridad para tratar de mitigar los daños de estos engaños. Uno de los miles de ejemplos está en uno de los sistemas de seguimiento de la pandemia que se han generado, llamado coronatracker.com, que se utiliza como base para diferentes mutaciones de tipo typosquatting, como podemos ver a continuación: Para resumir el análisis, sólo se tomará el segundo dominio detectado, coronatracker.info, que usa la técnica de cambiar el dominio raíz (com por info) para que la víctima, al enfocarse en el nombre de la página, no se fije en ningún otro de los detalles. En este otro ejemplo a continuación, un SMS trata de engañar al usuario usando el dominio de una entidad bancaria, cambiando el dominio raíz de com por one. Al realizar el análisis de coronatracker.info con nuestra herramienta TheTHE, se puede ver cómo este engaño de TypoSquatting oculta un sitio dedicado a enviar phishing y que el dominio fue creado en la primera semana de la pandemia, como otros miles que han surgido. Usando la IP vemos, en la primera imagen, que ya ha sido reportado en AbuseIP por ser una IP sospechosa y, en la segunda, vemos cómo el análisis con Maltiverse la detecta como maliciosa. Usando el dominio, se ve como este ya se ha reportado en Virustotal y que adiciona responde a 9 direcciones IP diferentes. Como se puede apreciar, los delincuentes no dejan pasar ninguna oportunidad para desplegar malware. Esta tormenta de eventos suscitados por la pandemia son el momento perfecto para usar todos los mecanismos que tienen a su disposición para acceder a datos personales, datos empresariales, datos financieros o simplemente a máquinas que les puedan servir para conseguir más víctimas. Estas técnicas no sólo se aplican en dominios, sino también en aplicaciones móviles, paquetes de software para desarrollo, correos electrónicos, mensajería instantánea, SMS y cualquier otro medio que pueda usarse para que las víctimas hagan click en el enlace.

Las empresas medianas y grandes que deben cumplir normas y controles de su industria o de su país han tenido que desarrollar lo que se conoce como BCP (Business Continuity Plan), también conocido como plan de continuidad del negocio. En él, expertos en el funcionamiento de la empresa o consultores especializados determinan la ruta de acción que se debe tomar en los diferentes escenarios en los que la continuidad del negocio se vea amenazada. Por otra parte, muchas empresas pequeñas han tenido que implementarlos para poder hacer negocios con las empresas que por norma la deben solicitar. Esto surgió tras los ataques del 11 de septiembre del 2001, cuando se evidenció que muchas empresas no sabían cómo reaccionar en caso de que su sede principal se viera bloqueada. Por tanto, se plantearon escenarios de calamidad sobre un ámbito del negocio o sobre todo el negocio, buscando las alternativas para suplir esa falta por un período de tiempo. En algunos de estos planes se tuvieron en cuenta terremotos, maremotos y cierres a accesos por circunstancias sociales, entre otros, pero, ¿cuantos tenían una pandemia dentro de las posibles causas de bloqueo del negocio? No muchas empresas la tuvieron en cuenta, pero éste es el más simple de los problemas, pues aunque se tomase de referencia alguno de los planteamientos que se realizaron para catástrofes naturales o bloqueos de acceso a las sedes principales, no sabemos con exactitud cuando se puede volver al trabajo. La tecnología y seguridad que debería tener un BCP ante una pandemia Empecemos por las cosas que se deberían haber hecho previamente para estar preparados. Es fundamental tener un piloto de cómo reaccionarían nuestros servicios y nuestros empleados al teletrabajo, pues aunque usemos una VPN que permita simular que el trabajador está directamente conectado a la red de la empresa, los servicios y la red no están necesariamente preparados para recibir peticiones desde esa conexión. Con el comportamiento que se puede evidenciar en Internet, al realizar validaciones de los servicios expuestos, se ve un crecimiento de más del 40% en el uso de RDP, como muestra Shodan en su blog. Al hacer una búsqueda simple, se encuentran equipos con vulnerabilidades conocidas: Si bien no todas las empresas cuentan con la tecnología necesaria para desplegar la cantidad de VPN suficientes para que toda la empresa se conecte a trabajar de forma remota, es algo que se debería haber tenido en cuenta para evitar que se expongan servicios vulnerables. Para ello existen muchas comparaciones y ayudas en Internet que permiten tomar decisiones seguras que se acomoden al presupuesto. En segundo lugar, las empresas deben conocer qué tienen expuesto en Internet y como es el uso habitual de estos servicios, pues sólo con estos datos de base ya es posible identificar cuándo el uso desde redes externas está superando las capacidades que se tienen de cada uno de los servicios o cuándo se es víctima de un ataque cibernético. ¿Cuál es el siguiente paso? Teniendo claros los servicios expuestos se pueden empezar a tomar medidas de seguridad de la información, que se deben activar en el momento de empezar el plan de continuidad. Es decir, que en este momento ya deberían estar en pleno funcionamiento y en ajustes. Estas medidas deben estar orientadas a la identificación plena de los usuarios, ya que al estar en remoto, no se dispone de las medidas de identificación locales como la red, la MAC del equipo y la configuración del mismo. En la mayoría de casos sólo se tiene como control el usuario y la contraseña, que ha demostrado no ser un mecanismo que garantice la identificación. Una vez se tiene este control, se debe iniciar el monitoreo de los sucesos en todos los servicios y tener alertas afinadas para la detección de amenazas externas, pues en este momento todas las conexiones se realizarán fuera de la red de la empresa. Por ello, todos los controles de seguridad perimetral deben pasar a lo que se calculó en los planes de continuidad. ¿Qué hacer a continuación? La última medida que debe estar contemplada en este plan de continuidad es la de las herramientas tecnológicas que se van a utilizar para el control de las operaciones y el trabajo de los diferentes grupos de la empresa. Éstas además deben contar con capacitaciones realizadas al personal, para lo cual es fundamental contar con aliados estratégicos en el mundo de la tecnología. Ésto es porque la cantidad de herramientas disponibles en Internet hoy es innumerable, pero no todas cumplen con las medidas de protección a la información requeridas para garantizar la continuidad de los negocios. Uno de los principales ejemplos de estas herramientas se puede ver en los servicios en la nube, que en los últimos años han tenido un exponencial crecimiento en opciones y en implementaciones, pero no en todos los casos se realiza contando con las medidas de seguridad sufientes. Esto es crítico si se tiene en cuenta que esto es casi la piedra angular de la transformación digital y de un buen desarrollo del plan de continuidad, que hoy debe estar operando en su máxima capacidad. Conclusiones Tras el primer mes de medidas a nivel global se ha podido comprobar que los planes de continuidad de negocio de algunas empresas han funcionado correctamente en cuanto a su objetivo esencial de mantener a los empleados realizando sus funciones y el poder acceder a la información. Sin embargo, por el crecimiento de los servicios expuestos en Internet y por las vulnerabilidades detectadas en estas, no se tuvo en cuenta la seguridad de la información en el diseño de estos planes. Ésto se evidencia en los reportes de control que han hecho en nuestro SOC (Security Operations Center) y que se ha analizado ampliamente en diferentes medios por nuestros expertos de ElevenPaths y publicado en una guía de riesgos y recomendaciones en tiempos de COVID-19. Por este motivo, las empresas deben empezar a acomodar los planes a las nuevas circunstancias e iniciar la implementación de controles y mecanismos que no sólo permitan a sus trabajadores cumplir sus funciones, sino que garanticen la seguridad de la información que, en un futuro próximo, será la continuidad de las empresas.

El término threat hunter o "cazador de amenazas" no es nuevo y lleva siendo trabajado y mejorado desde hace algunos años en el mundo de la seguridad de la información. Integrando tecnología, procesos y personas, busca detectar y aislar amenazas a través de análisis proactivos de red para aportar valor con técnicas avanzadas que suplan las debilidades de las medidas de seguridad, ya sea por una amenaza externa o interna. Sin embargo, no todas las organizaciones están preparadas para entrar en este mundo o simplemente no lo necesitan desplegar internamente dentro de sus medidas de protección. Esto es debido a que su despliegue necesita de unos requisitos previos que para nada son un punto de partida en la seguridad de la información y que pueden no aportar nada en el ecosistema de una compañía concreta para la detección y respuesta a los incidentes cibernéticos. ¿Qué debemos tener en cuenta? Para la implementación de un modelo de Threat Hunting, las empresas deben considerar unas bases tecnológicas, de procesos y de personal con unas capacidades y características mínimas. Por ejemplo, desde el punto de vista tecnológico, se deben tener bien desplegados los elementos para la detección de amenazas, por lo cual es indispensable contar con un buen sistema de EDR (Endpoint Detection & Response), un sistema de IDS (Intrusion Detection System) y un SIEM (Security Information Event Management). Éstos servirán como fuente primordial de la telemetría de la red y de los sucesos que en ella ocurran de manera regular, periódica y/o extraordinaria. Pero éstas no son las únicas fuentes de datos que se deben tener en cuenta, pues sólo dan una visión interna. Los equipos de Threat Hunting necesitan una visión más completa y que sea manejada a través de herramientas específicas que permitan encontrar de forma ágil y eficiente información relacionada a un posible suceso anómalo o que haya generado un incidente en otras organizaciones. Un ejemplo de estas herramientas es TheTHE, sobre la que ya hemos hablado en otras ocasiones. En cuanto a los procesos que se verían afectados en la implementación de un equipo de Threat Hunting, debemos tener claro que los procesos de detección de amenazas son la base sobre la que se sustenta el despliegue, pues un threat hunter viene a cubrir las brechas que dejan los sistemas y procesos tradicionales. También se deben tener en cuenta las fases de los procesos de detección de amenazas que van a interactuar con los procesos de Threat Hunting, con el objetivo de automatizar todo lo posible la detección y respuesta. Por tanto, el apoyo de un SOAR (Security Orchestation, Automation & Response) permitiría definir responsabilidades de los diferentes equipos que van a interactuar y a retroalimentar las fuentes de información con un conocimiento en profundidad del negocio. Por último, se debe contemplar el personal que realizará las funciones de Threat Hunting, el cual requiere unas características especiales en su conocimiento técnico y conocimiento de amenazas, como por ejemplo las tecnologías que utiliza la organización, con el fin de poder extraer cualquier dato aprovechable en la detección de las amenazas. ¿Cuándo empieza todo esto a funcionar? Las organizaciones tienen que entender que los equipos de Threat Hunting necesitan tiempo para generar resultados efectivos, pues tras el entendimiento de los datos recolectados y de las características de comportamiento de la red, deben asociar su conocimiento y datos adquiridos de las posibles amenazas para comenzar con las hipótesis de las amenazas que se van a trazar y cazar. Podemos comprobar que los requerimientos base para la implementación de un equipo de Threat Hunting dentro de una organización no son sencillos y establecen nuevos paradigmas, como el hecho de suponer que ya se ha sido vulnerado y que se debe encontrar aquello que está afectando a la empresa. Por supuesto, esto sólo es posible cuando el equipo de Threat Hunting se alimenta de toda la información que pueda ser brindada por los equipos de detección tradicionales. Como hemos visto, el grado de maduración en el manejo de la seguridad de la información debe ser alto dentro de la empresa para poder iniciar una implementación de Threat Hunting, la cual es fundamental en un mundo que cada día se ve más amenazado digitalmente, con una variedad grandísima de amenazas que ya no tiene sólo como objetivo a las empresas grandes.

A lo largo de la historia se han producido numerosas filtraciones de datos, algunas de las más recientes, tan masivas y potencialmente peligrosas, como las que pusieron en manos de cibercriminales millones de cuentas de usuario de Dropbox, LinkedIn o Yahoo, explicadas ya en nuestro blog. En el día a día y con la intención de detectar y reducir el riesgo a las fugas, algunas empresas han implementado controles como analizadores de tráfico, soluciones DLP, IDS/IPS y Next-Generation Firewalls. A pesar de ello, la cantidad de información que se hace pública debido a dichas fugas de datos continúa en aumento, como lo demuestran las estadísticas. Un atacante puede utilizar una gran cantidad de técnicas diferentes para exfiltrar información de una máquina corporativa sin necesidad de tener control de la misma, aprovechando el desconocimiento de los usuarios y los vacíos de seguridad recurrentes en algunos equipos. Tras muchos años de realizar investigaciones y trabajar con metadatos, seguimos sosteniendo que son uno de esos vacíos que los equipos de seguridad generalmente dejan sin proteger, ya que consideran estar protegidos por alguno de los dispositivos de seguridad instalados en la red. A partir de esta premisa y jugando un poco con las posibilidades, desarrollamos una pequeña herramienta tipo PoC para determinar el nivel de protección ante una fuga de información que utilice como mecanismo de transporte los propios metadatos, extrayendo documentos de las máquinas y escondiendolos entre los metadatos de archivos PDF que no resulten sospechosos. ¿Como funciona? Para la ejecución de la PoC se desarrollaron dos scripts, el primero es el que realiza la extracción de la información del equipo víctima, usando los metadatos y esteganografía para superar las medidas de protección que pueda tener una red; el segundo script es el encargado de recuperar la información oculta en los metadatos y reconstruir la información filtrada en el equipo del atacante. Empecemos viendo un poco más en detalle el primer script. Lo primero que identifica es el tipo de sistema operativo donde se encuentra, para así poder determinar el directorio principal del usuario afectado, y utilizará dicho dato como ubicación inicial para la búsqueda de la información a extraer. Usando técnicas forenses básicas para identificar el tipo de archivo, el script busca documentos cuya cabecera de identificación confirme que son del tipo PDF, y posteriormente valida que el tamaño sea inferior a 1MB; todos los PDF’s identificados en el equipo serán usados como “portadores” de los documentos de ofimática que se extraerán de la máquina víctima. Usando la misma técnica de identificación se genera una lista de los archivos de ofimática (docx, xlsx y pptx) que se encuentren en el equipo. Con la lista de los archivos a exfiltrar, se procede a fragmentar cada uno de los archivos que superen los 300Kb con la finalidad de mitigar la posibilidad de detección. Ya identificados los archivos “portadores” y creados los fragmentos necesarios de los archivos a exfiltrar, el script procede a crear nuevos archivos PDF usando como base los archivos portadores (PDFs existentes), donde se carga un nuevo atributo en los metadatos, llamado “Comment” y que contiene alguno de los fragmentos creados con los archivos a exfiltrar. Como se ve en la imagen 1. Imagen 1: Carga de fragmento en los portadores Una vez que se tiene embebida la información de los archivos a extraer en los PDFs portadores, el archivo creado se le da un nombre clave, que contiene el numero de documento exfiltrado, el nombre del usuario, el identificador del fragmento y la cantidad de fragmentos total que componen el archivo original. Cada uno de esos archivos creados se envía por correo electrónico en la prueba de concepto, como se puede apreciar en la imagen 2, pero podría utilizarse cualquier otro mecanismo de extracción como subir la información a un servidor de comando y control o a algún otro sitio controlado por el atacante. Imagen 2: Recepción de los archivos exfiltrados Como mecanismo de comprobación del funcionamiento de este primer script, se puede usar el bot de Metashield para Telegram, cargando uno de los archivos recibidos desde la maquina víctima y se puede ver como en el campo “Comment” se evidencia una información en hexadecimal que corresponde a un fragmento del archivo, como se puede apreciar en la imagen 3. Imagen 3: Análisis de metadatos de archivo exfiltrado Cuando se tienen todos los documentos exfiltrados es hora de usar el segundo script que se desarrollo, el cuál recibe de entrada el dato de cuántos documentos son lo que se han exfiltrado (que se obtiene con los nombres de los archivos recibidos pues el primer numero del nombre indica cuantos son los archivos comprometidos). El segundo dato que solicita es la ruta donde están almacenados los archivos recibidos (si esta no es ingresada se toma la ruta donde se encuentra el script) y por último, solicita de forma obligatoria el nombre del usuario víctima, que también esta dentro del nombre de los archivos recibidos. Como se ve en la imagen 4. Imagen 4: Parámetros a cargar en el script de reconstrucción El script inicia un recorrido organizado por los archivos leyendo el atributo llamado “Comment” en los metadatos de todos los archivos y concatena la información hasta reconstruir cada documento extraído., indicándole al usuario cuando cada archivo es reconstruido y el nombre asignado, como se ve en la imagen 5. Imagen 5: Proceso de reconstrucción de archivos exfiltrados Para poder identificar a qué tipo de archivo pertenecen los documentos exfiltrados, se usó un comando de Linux, que nos permite conocer el filetype de los archivos, como se puede apreciar en la imagen 6. Imagen 6: Detección de tipo de archivos exfiltrados Con esta PoC se demuestra que los metadatos pueden ser un canal de exfiltración de información además de los otros usos maliciosos sobre los cuales hemos hablado en muchos años, y por ello, deben ser controlados. Si quieren descargar esta PoC para realizar pruebas internas, pueden hacerlo desde nuestro repositorio de GitHub.

Fue en enero de 2018 cuando se detectaron las primeras muestras de un Ransomware-as-a-Service (RaaS), que llamaron GrandCrab. No solo fue uno de los primeros en ser ofrecido como servicio, sino que también fue en cobrar usando DASH, una de las criptomonedas que se han diseñado pensando en mejorar el anonimato y la privacidad de sus usuarios. Estas características fueron las que rápidamente hicieron que GandCrab pasara a ser uno de los ransomware con mayor numero de detecciones en el mundo, logrando en dos meses cerca de 50.000 víctimas y más de 600.000 dolares cobrados en rescates. Sin embargo, errores en la programación del malware permitían recuperar los datos secuestrados usando una copia de la llave de descifrado que, por error, el desarrollador dejaba en el equipo víctima, con lo que se generó la primera herramienta pública para la recuperación de los datos. Esto no sirvió durante mucho tiempo, pues el equipo de desarrollo de GandCrab, realizó unas actualizaciones al código e inutilizaron esta herramienta. Este nivel de gestión por parte de los cibercriminales, significó una especial atención de varias empresas de anti-malware, que empezaron una carrera para detectar todas las variaciones y mecanismos de evasión de anti-malware. De esta manera, se han generado más de 5 versiones del malware hasta la fecha, donde los delincuentes declaran que ya no mantendrán las actualizaciones en el sistema y el FBI hace públicas las llaves maestras de descifrado, ganando esta guerra. Evolución de las versiones En la primera versión, los desarrolladores de GandCrab usaban una única llave de cifrado y varios “exploits kits” para distribuirse. Cuando llegaban a una maquina víctima, se copiaban a si mismos en el folder %appdata%| Microsoft inyectando el comando nslookup.exe para generar una conexión con el C&C en los dominios gandcrab.bit. Ese dominio, al no ser controlado por la ICANN, entregaba un nivel superior de privacidad al atacante, que en conjunto con su fácil uso, lo convirtió rápidamente en el RaaS preferido en DarkNet, no obstante, su reinado duro solo un par de meses, cuando investigadores descubrieron que copiaba la llave de descifrado en la misma maquina víctima. Esto generó que, una semana después de publicar la herramienta de descifrado, se lanzara la segunda versión con un nuevo y mejorado algoritmo de cifrado, colocando .CRAB como extensión a los archivos secuestrados. Pero no fue la única mejora, pues los dominios del C&C fueron modificados y aunque el dominio superior continuaba siendo .bit, estos cambiaban en varias muestras. Además, el método de propagación usado en esta versión fue a través de correos SPAM, aumentando así el numero de víctimas. Un mes después, se publicó la versión 3 con dos mejoras significativas. La primera generaba una presión sicológica más fuerte a sus víctimas, al cambiar el fondo de escritorio por un mensaje donde le avisaba que su información había sido secuestrada. La segunda mejora, fue colocar una llave en el registry de windows que le permitía auto-ejecutarse y ganar así persistencia en la maquina. Pero en Julio de 2018, a tan solo 6 meses de su detección inicial, se hizo publica la cuarta versión, que sin duda era la que mejores avances técnicos demostraba, pues incluía uno de los algoritmos de cifrado más eficiente y rápido que se ha desarrollado, llamado Tiny Encryption Algorithm (TEA) y volvio a cambiar su mecanismo de dispersión, usando falsos sistemas de crackeo de software. Así cuando un usuario descargaba un mecanismo para quitar la seguridad de algún software, realmente estaba descargando la nueva versión de este ransomware. En noviembre se detectó la versión denominada 5.0.4, la cual cambio la forma de propagación, usando campañas de SPAM, ataques de fuerza bruta al servicio de RPD, aprovechando fallos en los sitios web y usando kit de exploits. Además, crea un archivo de instrucciones que la víctima debe seguir para pagar el rescate. Para celebrar el aniversario, se hizo pública la versión 5.1, que modificaba el procedimiento del pago, pues en el archivo que se creaba se solicitaba instalar el navegador TOR y acceder a una URL especifica, donde se encontraba la billetera a la que se tenia que hacer el pago del rescate. Pero esta versión no duro mucho y a menos de un mes fue actualizado por la versión 5.2. Versión que mejoraba el proceso de cifrado y que, en el fondo de escritorio, además de colocar su tradicional fondo negro con letras rojas para indicar la ruta del documento donde estaba el proceso, se colocaba un mensaje que decía “Atrápame si puedes”. La solución encontrada Tras un año y medio de funcionamiento y más de 1,2 millones de víctimas en todo el mundo, especialmente en América Latina, en junio de 2019 los desarrolladores de GandCrab publicaron en un foro de DarkNet que difunde RaaS, que ya no iban a continuar con el proyecto y que todas las víctimas tenian dos meses para pagar, sino iban a perder sus archivos para siempre, pues iban a borrar todas las llaves. Pero el 15 de Julio el FBI hizo publicó que tenía las llaves maestras de descifrado de las versiones 4 y superiores de este malware, a través de un comunicado oficial que indica que las llaves se trabajaron en colaboración con BitDefender y que iban a ser publicadas en el proyecto nomoreransom.org. Este fue un trabajo en conjunto de más de nueve fuerzas de gobiernos, quienes, como indico el FBI en su comunicado, pusieron a disposición las llaves maestras en la página web de NoMoreRansom para que cualquier usuario afectado por alguna versión de este ransomware pueda recuperar sus archivos. Sin embargo, la afectación ya ha sido de mucho tiempo para estas víctimas, por lo que se deben continuar con medidas que permitan salvaguardar información sensible y con los respaldos verificados para poder restaurar en caso de un incidente, sin pagar a los secuestradores.

Los empresarios de hoy en día tienen en cuenta la ciberseguridad entre sus riesgos y sus necesidades de inversión. Sin embargo, para las empresas pequeñas sigue siendo un desafío entender qué hacer o implementar o mantener, para proteger sus negocios de las amenazas cibernéticas. Por este motivo, muchas instituciones especializadas en generar estándares, y algunos entes gubernamentales de tecnologías de información, están generando leyes o guías para que las pequeñas y medianas empresas puedan identificar, evaluar y reducir los riesgos de ciberseguridad, diseñadas pensando en las necesidades y recursos de ese tipo de empresas. Algunas de estas guías son públicas, brindando a las empresas herramientas pensadas en la implementación de estas medidas, entendiendo los recursos limitados y los pocos conocimientos que estas organizaciones tienen para enfrentar la ciberseguridad, gestionando los riesgos a unos costos eficientes y medidas alcanzables para sus objetivos, que no agobian a quienes no trabajan en el área de la ciberseguridad. Unos ejemplos son las publicaciones de NIST, la de FTC y la de INCIBE. Las guías tienen en común iniciar con una serie de conceptos calificados como básicos, donde se explican los principales riesgos que se deben tener en cuenta y la forma de gestionarlos. Permitiendo comprender las diferentes amenazas, pero sobre todo la capacidad de identificarlas de forma simple. En términos generales, las guías siempre indican la importancia de gestionar la seguridad del sitio web de las empresas, como el elemento más importante en la presencia digital de la empresa, en el cual se debe siempre tener en cuenta al menos estos tres consejos: Acceso controlado al administrador del sitio, habilitando el doble factor de autenticación y generando alertas de cualquier cambio a los directores de la empresa. Este consejo, se orienta a la prevención de cambios no autorizados y al control de la posible suplantación de identidad del administrador por robo de sus credenciales. Generar confianza a sus clientes a través de la implementación de los mecanismos de transferencia segura de información y validación de usuarios. Este consejo, busca que las empresas entiendan la importancia de la reputación digital, sobre todo si se tiene pagos en línea o se recibe información privada de clientes. Tener respaldo confiable del sitio web, que garantice usabilidad y la mínima perdida de información posible. Este consejo, busca que se tenga una herramienta de recuperación ante incidentes simple, pues ante un ataque de modificación o a un secuestro del sitio, esta es la única herramienta que permite mitigar las afectaciones, pero debe dar garantía de confiabilidad. Otro factor a tener muy en cuenta es el aseguramiento de los dispositivos que gestionan o que comunican la información con la que trabaja la compañía, pues la integridad y confiablidad de estos son las que permiten garantizar que la información es veraz. Tomando tres consejos importantes que siempre se deben aplicar, serían los siguientes: Todo dispositivo donde se tenga información de la empresa debe ser tratado como un elemento que se debe salvaguardar. Este consejo, hace referencia a la implementación de todos los sistemas de seguridad en móviles o equipos de teletrabajo, los cuales deben poder ser cumplir con las mismas normas que los equipos de la oficina, como son la implementación de software que los proteja de malware y que permita una gestión de la información en caso de pérdida o daño. Mantener actualizado todos los software de los equipos de red, realizando las configuraciones necesarias de seguridad en cada dispositivo. Este consejo, se orienta principalmente a la implementación de redes inalámbricas, las cuales deben ser controladas a través de una identificación plena de quienes se conectan a estas e implementar los protocolos de seguridad más confiables disponibles. Validar siempre el software que se usa en los dispositivos y tener los controles para que no pueda ser instalado ningún software sin permiso. Este consejo, busca minimizar la posibilidad de que por mal manejo o descuido de usuarios o administradores se instale software que pueda generar afectación a la información, para lo que se sugiere la implementación de mínimos privilegios a los usuarios y validación de cualquier software antes de realizar la instalación. Por último, pero no menos importante, está la formación al eslabón más importante de la seguridad: los usuarios, vistos no solo como quienes manejan la información sino como quienes aportan a dar valor a los datos y a su protección. Tomando tres consejos importantes que siempre se deben aplicar, serían los siguientes: Planeando la seguridad de la información como un caso de negocio interno de la empresa. Este consejo se orienta a los directores, que deben empezar a ver la seguridad de la información como un aporte vital al negocio, el cual se debe alinear a todas las necesidades de la empresa. Seguridad implementada según la criticidad de la información con relación al negocio. Este consejo, busca que las empresas entiendan que se deben implementar mecanismos de control como el cifrado de datos, para garantizar los datos sensibles y vitales de la empresa, para lo cual es fundamental capacitar y entrenar a los usuarios. La seguridad de la información es trabajo conjunto de todos en las empresas y se requiere una participación activa de todos. Este consejo, busca que se tenga en cuenta la capacitación y entrenamiento asertivo de todos los trabajadores de las empresas como un elemento vital del manejo de la información. La publicación de estas guías entrega capacidades para la protección de las pequeñas y medianas empresas, con un lenguaje simple y con ejemplos aplicables a las capacidades y necesidades de este tipo de organizaciones. Permitiendo con esto mitigar los riesgos que se han generado en el mundo cibernético, cuando las organizaciones criminales usan la infraestructura de estas pymes para afectar a empresas más grandes o a diferentes objetivos.

El incremento de detecciones de esta amenaza ha crecido un 725 % según los informes de las empresas de antivirus. Debido a esto, todas las medidas de control que puedan ser tomadas son necesarias y aunque la variedad de mecanismos usados dificulta una única forma de prevención, ya se han generado buenas prácticas de la industria que ayudan en los controles. Para los usuarios de criptomonedas es fundamental tener medidas efectivas que aseguren sus transacciones de ataques en el portapapeles. Tras la investigación realizada por nuestro laboratorio de innovación sobre el funcionamiento de Evrial se desarrolló una herramienta que controla el ataque de cambio de la billetera destino, que denominamos CryptoClipWatcher y que es completamente libre. Esta sencilla pero poderosa herramienta una vez instalada comprueba cada vez que el usuario usa el portapapeles si existe una billetera de alguna criptomoneda, la cual será monitoreada en todo momento, para alertar en caso de un cambio en el proceso de la transacción. Adicionalmente, tiene un sistema de protección para que el malware requiera un usuario de nivel superior para poder bloquear su funcionamiento. En los dispositivos móviles, debido al incremento en las detecciones en las tiendas de aplicaciones, tanto Apple como Google, modificaron las políticas de seguridad de las aplicaciones, bloqueando la posibilidad de que los desarrolladores implementen minadores de criptomonedas en las aplicaciones ofrecidas. No obstante, los usuarios deben validar las aplicaciones instaladas en sus dispositivos y no descargar aplicaciones de sitios no oficiales. Las empresas que están migrando o que ya migraron su infraestructura a la nube, deben adoptar medidas para la administración de las infraestructuras en la nube, que contemplen el uso de API, únicamente desde plataformas autorizadas y que las credenciales se mantengan fuera de los servicios públicos. Para esto es necesario que implementaciones como Docker tengan políticas de seguridad y cumplan las buenas prácticas. Todas las anteriores recomendaciones, deben ser complementadas con el monitoreo permanente de procesamiento de equipo, tráfico en la red, existencia de proxies, inspección de paquetes y mantenimiento de sistemas de EDR (Endpoint Deception and Response) en todos los equipos, con el fin de garantizar una detección temprana de cualquier anomalía de las descritas anteriormente o alguna nueva metodología usada por los delincuentes. Esto, sin duda, es un trabajo constante para las organizaciones que implica cambios en los modos de operación y procesos de las empresas, y que se deben soportar en servicios especializados donde apoyarse en la cooperación de entidades del sector o de otros sectores permita tener al día los mecanismos de validación con los indicadores de compromiso (IOC) que se generan de estas alianzas. Dentro de los IOC se encuentran direcciones IP, dominios, URLs, características del tráfico, nombre de archivos, extensiones de archivos, características de ejecutables, entre otros. Ya disponible la serie completa sobre Cryptojacking: » Cryptojacking: Amenaza latente y creciente. Parte 1 de 4 » Cryptojacking: Amenaza latente y creciente. Parte 2 de 4 » Cryptojacking: Amenaza latente y creciente. Parte 3 de 4

En la entrada anterior vimos cuales eran los entornos que los delincuentes están usando con mayor frecuencia para el cryptojacking, por lo que en esta entrada continuaremos con la explicación de los tres entornos restantes. Botnet Una de las principales características que los delincuentes en los últimos años han incorporado a los software con los que crean o administran las redes de equipos zombies, es la capacidad de ser modulares y adaptativas, permitiendo que desde los C6C se modifiquen los módulos activos o se descarguen nuevos. Esta característica brinda a los delincuentes la posibilidad de usar las infraestructuras existentes o nuevas de las botnet para monetizar su accionar con el cryptojacking, llevando a que muchas de las botnet conocidas estén cambiando sus operaciones usuales de phishing y DDoS por la de minado de criptomonedas. Esto lo hemos evidenciado en varias ocasiones en nuestras newsletters Cybersecurity Pulse, donde se evidenciaba como se estaba usando el mismo método de propagación de WannaCry para crear una botnet que minara XMR, usando un programa en Python denominado PyRoMine. Pero este no es el único caso, a lo largo del 2018 el incremento de detecciones de botnet usadas para la minería es evidente con casos como la Operation Prowli, Smominru, PowerGhost, entre otras. Estos casos han generado que informes de seguridad, como el de ISACA, indiquen que el Cryptojacking superá la importancia del ransomware entre las amenazas de este 2018. Transacciones de usuarios A diferencia de las anteriores amenazas, en esta los delincuentes no se enfocan en el minado de criptomonedas, sino en los usuarios de las mismas. Estos usuarios crecen en todo el mundo cada día, como se mostró en el inicio de esta serie, se han llegado a registrar en promedio 200.000 transacciones por día en el blockchain de BTC. Este número de transacciones aumenta el interés de la delincuencia en obtener “dinero fácil”, buscando robar las billeteras o interferir las transacciones de los usuarios del sistema, que al igual que en el mundo físico, son usualmente descuidados con el manejo de la seguridad en el manejo de su dinero. El más importante ejemplo de este ataque en el presente 2018 es el denominado Evrial, que fue detalladamente analizado en nuestro blog, donde se muestra como este malware al estar en un equipo que realizaba transacciones en BTC, tomaba los datos de la billetera destino en el portapapeles del sistema y la reemplazaba por la dirección de la billetera del delincuente. Pero no es la única que se ha detectado durante 2018, se informó del robo de casi U$140.000 en BTC usando CryptoShuffer y la empresa Qihoo 360 Total Security de origen Chino informó que cerca de 300.000 equipos se han visto afectados por una campaña de cryptojacking de tipo clipboard, modificando las transacciones realizadas por los usuarios de BTC y de ETH. Una de las billeteras usadas en el momento de escribir esta entrada tenía 15 transacciones realizadas, como se ve en el blockchain de BTC. Dispositivos Móviles Las empresas están moviendo sus servicios en los entornos móviles, por esto el incremento de conexiones a Internet, de aplicaciones corporativas y personales, redes sociales y demás se han migrado al mundo móvil, lo que conlleva a que la delincuencia busque la forma de desplegar su accionar a este mundo y el cryptojacking no es la excepción. Aunque la capacidad de computo de los dispositivos móviles no es tan alta, la cantidad de dispositivos y la disponibilidad de los mismos permite que puedan ser usados para la minería, por lo que en el presente año se ha aumentado significativamente la detección de aplicaciones que contienen troyanos de minera de criptomonedas. El principal ejemplo es Loapi, el cual usa la publicidad para desplegar un troyano invasivo que descarga contenido para adultos. Además incluye un minero de XMR que puede ser accionado sin detenerse hasta llegar a colapsar físicamente la batería de los dispositivos.

En la actualidad son pocas las personas que no han escuchado hablar de las criptomonedas o del Bitcoin. Sin duda, desde 2009 han generado una revolución en el mundo, con la creación de sistemas financieros que no están centralizados y con la llegada del Blockchain como tecnología que garantiza la confiabilidad en transacciones, ademas de muchos otros usos. El crecimiento en el uso de las criptomonedas ha despertado un atractivo muy alto para las organizaciones criminales, quienes encuentran la posibilidad de monetizar sus acciones de una forma muy directa, ya que, si secuestran el dispositivo para minar, logran rentabilidad de su actividad ilícita, sin intervenir al usuario. Caso opuesto a lo sucedido en los ataques tradicionales, que dependen de una acción de la víctima, como en el ransomware, donde esperan que la víctima pague por el retorno de su información. Debido a eso, surge un ataque denominado Cryptojacking, el cual hace referencia al secuestro de cualquier tipo de dispositivo que pueda generar procesamiento; principalmente servidores, computadoras y smartphones. Con el objetivo de poder realizar los cálculos necesarios en la minería de criptomonedas de tal forma que se asegure el cobro de la comisión entregada al ganador de la prueba de trabajo. La cantidad de transacciones que actualmente se registran en el blockchain de criptodivisas como Bitcoin, Ethereum, Monero y Litecoin, supera los 200.000 por día en promedio, lo que en algunas ocasiones causa una saturación en los procesos, lo cual incrementa el valor de las comisiones de pago, haciendo que se requiera una mayor capacidad de procesamiento y así aumente la necesidad de secuestrar más dispositivos por parte de los delincuentes. Otra variante del Cryptojacking es el secuestro de criptomonedas durante el proceso de intercambio de la transacción, mediante un cambio de las billeteras de destino. Por lo que este tipo de ataque usa un malware, que al infectar la máquina busca en el portapapeles las cadenas de las transacciones que se están ejecutando, modificando en este punto el destino de la transacción; sin que la víctima pueda identificar este cambio y transfiriendo los fondos al delincuente. ¿Cuáles son las criptomonedas más usadas en Cryptojacking? Aunque todas las criptomonedas entregan una comisión al ganador de la prueba de trabajo o puede ser modificada la billetera de destino en el proceso de la transferencia, los delincuentes se han enfocado en las que mayor valor tengan en el mercado. Por lo tanto, son Bitcoin (BTC), Ethereum (ETH) y Monero (XMR) las criptodivisas que más usadas son en este tipo de ataques. Las dos primeras sin duda por su valor de mercado, pues la tasa de cambio a dólares es la más alta de las criptomonedas, donde el promedio de este año el BTC ha estado en 7000USD y el precio promedio este año del ETH ha sido de 600USD. Generando el mayor interés para los ataques de robo durante el proceso de transacción y un interés un poco menos en los secuestros para el minado. La tercera moneda es de interés para la delincuencia debido a dos características de su desarrollo, la primera es su orientación a el anonimato del propietario de la mismas, aunque anteriormente hemos demostrado que no es tan eficiente como dice su promesa. La segunda característica es la posibilidad de usar el algoritmo CryptoNight para hacer rentable el minado usando la CPU. Lo que llama la atención de los delincuentes para que XMR sea la criptomoneda más usada para Cryptojacking en cloud, web y smartphones. Aunque estas tres son el foco principal de la delincuencia es sin duda XMR la que abrumadoramente se lleva la delantera en las detecciones de Cryptojacking. Esto es debido a ser la única que usa firmas circulares, lo que aumenta la dificultan de asociar una transacción con sus emisores y receptores originales, aumentando con esto la privacidad de los usuarios. En el siguiente post de esta serie hablaremos sobre los entornos amenazados por el Cryptojacking y luego iremos completando la serie con más información relacionada a estos ataques. » Cryptojacking: Amenaza latente y creciente. Parte 2 de 4 » Cryptojacking: Amenaza latente y creciente. Parte 3 de 4 » Cryptojacking: Amenaza latente y creciente. Parte 4 de 4

Desde la salida, hace 4 años, de los sistemas de contenedores, estos han ganado mucha popularidad y usabilidad en entornos empresariales y educativos, debido a las grandes virtudes que poseen en cuanto a las facilidades de despliegue y las opciones de seguridad obvias que trae, por ser aplicaciones puntuales las que se cargan en el sistema. Sin embargo, en el blog no hemos hablado mucho de ello y sus características de seguridad, que en algunos casos, han generado una falsa sensación de que son sistemas sin ningún tipo de vulnerabilidad y que al desplegar las imágenes de los diferentes servicios que se requieren, estos van a estar completamente protegidos ante cualquier incidente. Los que trabajamos en seguridad de la información, sabemos que eso nunca será cierto. En el 2017, Sagie Dulce durante la conferencia de Black Hat, hizo una ponencia llamada “ Cómo abusar de la API Docker con contenedores fantasmas”, donde con una prueba de concepto (PoC) demostró como en los montajes de Docker sobre Windows era posible usar la API a través de las conexiones de TCP de un contenedor para crear o probar aplicaciones en los contenedores en ejecución. Esta actuación permite a un atacante esconder o ejecutar malware en los contenedores que están operando, generando una persistencia en el equipo base que es muy difícil de detectar por los mecanismos de seguridad para PC, ya que son herramientas usadas para afectar el contenedor. Esta vulnerabilidad ya fue corregida por Docker en sus actualizaciones para la versión community y para la versión Enterprise, pero a partir de esta investigación se han realizados varias pruebas de concepto para validar lo expuesto en los documentos oficiales de Docker sobre seguridad ( Docker docs). Aquí una de las principales énfasis es que la seguridad del contenedor depende de la seguridad del anfitrión y de su kernel. Estas debilidades expuestas en las investigaciones son intrínsecas de los contenedores, pero muy poco tenidas en cuenta al momento de desplegar sistemas en producción o incluso en la integración por parte de sistemas operativos anfitriones, como la reportada en el CVE 2018-8115. Esta aprovecha en la validación de parámetros de ingreso de una librería del sistema de Windows justo en el momento de cargar una imagen de Docker. Debido a esto, es necesario que los administradores usen herramientas para validar algunos de los riesgos, que validen principalmente la relación entre el anfitrión y el contenedor, desde incluso antes de ejecutar una imagen. Como se ve a continuación, el solo demonio de Docker puede tener brechas, debido a la forma que el administrador lo haya configurado. Ilustración 1: Respuesta de Docker sin contenedores Herramientas como Dockscan permiten validar esa relación entre el anfitrión y los contenedores, y como cada aplicación que se habilita, puede generar riesgos. En el caso de la ilustración 1, la herramienta evidencia la falta de límites de usuarios y con tráfico libre entre la red del anfitrión y la de los contenedores. Cuando se ejecuta un contenedor y exponer algún servicio, surgen nuevas brechas que se deben tener en cuenta, como se puede apreciar en la ilustración 2, donde se ve la falta de controles de acceso en el contenedor que se marca como una vulnerabilidad de riesgo alto. Ilustración 2. Detección de brechas con un contenedor en ejecución Existen muchas herramientas Open Source y otras de pago, que permiten hacer validaciones sobre la configuración del demonio de Docker o sobre los servicios expuestos, tales como: Clair Scanner Docker Bench Test OpenScap Docker Notary StackRox La integración de estas u otras herramientas dentro de los sistemas de DevOps empresariales basados en contenedores como Docker, incorporan una capa necesaria de seguridad para la implementación en producción de esta tecnología. Esta capa es cada vez más importante, generando nuevas herramientas y metodologías denominadas SecDevOps que buscan tener esquemas de seguridad para los servicios de producción. Si tienes dudas o comentarios, puedes hacerlo en nuestra comunidad de ElevenPaths y compartirlo con el resto de usuarios. Let's hack!

El avance de los dispositivos de comunicación y la cobertura en conectividad, con la que se cuenta en la actualidad, han permitido a las empresas agilizar sus procesos y mejorar la satisfacción de sus clientes a través de la inmersión de tecnología en sus labores cotidianas. Sin embargo, esto también ha generado que las empresas deban realizar inversiones elevadas en dispositivos y en conectividad móvil, lo que implica la implementación de controles efectivos. Esa necesidad de control es cubierta tecnológicamente por los sistemas de administración de dispositivos móviles o MDM (siglas en inglés), es la razón por la cual han tenido un crecimiento exponencial en los últimos años, ya que les permite a las empresas afrontar los retos generados por la cantidad de dispositivos móviles, la variedad de versiones de sistemas operativos, el aumento en el consumo de datos y múltiples riesgos a la seguridad de la información. Este último reto es quizás en el que las empresas menos interés invierten, pero es donde las amenazas pueden ocasionar consecuencias de mayor impacto, debido a que la información de procesos y de clientes se maneja en estos dispositivos, que no poseen ningún tipo de control o de mecanismo de eliminación remota, que garantice en caso de pérdida o robo, mitigar la fuga de información. El funcionamiento básico de los MDM está basado en la instalación de un agente sobre cada uno de los dispositivos que requiere ser administrado, los cuales mantienen la actualización de su información usando USB, WiFi, GPRS, 3G, 4G o cualquier otro medio que permita transmitir los datos hacia el servidor central de gestión donde están las políticas y controles. Existen múltiples desarrollos y proveedores de este servicio, los cuales ofrecen a sus clientes el modelo SaaS para la gestión de los dispositivos, que han sido ampliamente estudiados y comparados, como se puede apreciar en este cuadro de “enterpiseios.com” que muestra un cuadro comparativo entre varios de los principales proveedores y con múltiples características de los servicios. Sin embargo, el análisis que se requiere en las organizaciones para tomar la decisión del servicio no requiere ser tan detallado, sino que se debe basar en las necesidades puntuales de la empresa y en los dispositivos que se desean administrar. De acuerdo a la experiencia que se ha tenido con este tipo de servicios, las empresas deben tener en cuenta las siguientes características para tomar su decisión: Sistemas Operativos: Es fundamental que el MDM soporte diversos sistemas operativos móviles, para así poder en una única consola de gestión, administrar todos los dispositivos de la empresa. Dispositivos con Android: Debido a que Android es un sistema libre, todos los fabricantes pueden realizar modificaciones sobre el código, lo que hace que no todos los controles que se requieren implementar sean posibles o que se deban generar configuraciones de control muy precisas para cumplir con las necesidades de la empresa. Dispositivos iOS: Al ser un sistema operativo cerrado, existen algunas condiciones y restricciones de fábrica que no pueden ser modificadas, por lo que se deben tener en cuenta al generar las políticas y controles que se desean tener. Aplicaciones Internas: Si la empresa ha desarrollado aplicaciones para los dispositivos móviles, el sistema MDM debe permitir la instalación de éstas y manejar las diferentes versiones, sin que los dispositivos tengan que estar físicamente en la sede. Restricción de Aplicaciones: Debe ser posible controlar el acceso a las tiendas de aplicaciones de los fabricantes y permitir alertas en caso de que se instale una aplicación no permitida. Ubicación: Los sistemas de MDM permiten tener información de geolocalización de los dispositivos, por lo que deben garantizar un mecanismo que controle la manipulación de la configuración de GPS de los dispositivos. Consumos: Si la empresa desea controla o limitar el consumo de datos o de llamadas, debe verificar que el MDM permita controles de restricción específicos sobre sus dispositivos o que le garantice un informe de consumo. Eliminación Remota: Es fundamental que el servicio garantice el envió del comando de eliminación de la información a través de cualquier red de datos en la que se enlace el dispositivo, para así poder salvaguardar la información de la empresa en caso de hurto o perdida. Reportes: Para la gestión es necesario soportar a través de estadísticas y reportes de los controles, que nos permitan medir su eficacia, por lo que la plataforma debe permitir la generación de reportes que satisfagan las necesidades del cliente. Diego Samuel Espitia CSA – Chief Security Ambassador @dsespitia

En todos los sitios donde se brinda algún servicio en Internet nos piden un usuario y una contraseña para acceder a los servicios que ofrecen, sin embargo, la mayoría de usuarios tomamos esto como una medida de seguridad, pero no es así, la combinación usuario y contraseña se creó y funciona como un mecanismo de control de acceso. Esta confusión ha generado que los usuarios sientan una falsa sensación de seguridad en Internet, pues en su mayoría las personas creen que su contraseña protege toda su información, sin tener en cuenta que cada día son más las contraseñas que han sido robadas de sitios web muy reconocidos, nada más por nombrar algunos casos críticos podemos nombrar las siguientes: Agosto, 2014: 1.200 millones de contraseñas publicadas por la mafia rusa, tras afectar más de 420.000 sitios web. Octubre, 2015: se publicaron los datos de acceso de 13 millones de usuarios de LinkedIn. Enero, 2016: sitio web de e-bay un fallo en el sistema permite robo de credenciales a través de un XSS indetectable para el cliente. Sin contar que todos los días son robadas cientos o miles de credenciales de varios sitios, que son comprometidos por bajos niveles de seguridad, exponiendo a sus usuarios a que su información sea publicada o usada para otros fines. Existen sitios que se encargan de mostrar las publicaciones de estas fugas de información en tiempo real, como el que vemos a continuación que es de 2016. Estas fugas de información generan un riesgo crítico a nivel empresarial, debido a que la mayoría de usuarios solo tienen una contraseña para entrar a todos los servicios en línea que usan, con lo cual un delincuente que obtenga acceso a una de esas contraseñas tendría la capacidad de suplantar la vida digital de la víctima, incluidos sus perfiles laborales. Por esta razón, las organizaciones que consideran la información como un pilar de su funcionamiento han tomado medidas para mitigar este riesgo generado por sus usuarios, dentro de las que se tienen el forzar el cambio de contraseña cada 3 meses y forzar que contengan características que compliquen su creación, pero ¿qué tan eficientes son estas medidas? Desafortunadamente estas medidas no son efectivas, debido a que la vulnerabilidad sigue siendo generada por el usuario y su falsa creencia de seguridad que le da la contraseña, esto lleva a que el usuario continúe usando contraseñas simples, un ejemplo claro de esto se presentó en Noviembre del 2014, cuando el FBI pudo descifrar la evidencia que tenía para condenar a un ciberdelincuente, porque éste usaba el nombre de su gato como contraseña de cifrado. ¿Qué alternativas tenemos para asegurar el acceso a nuestra información? En realidad se han generado grandes estudios para el desarrollo de sistemas que brinden una mayor seguridad que una contraseña y adicionalmente sirvan como control de acceso. Llegando a la conclusión que para garantizar la identificación y autenticación de un usuario el servicio debe solicitar: Algo que eres. Es el componente basado en la biometría de cada individuo, como la firma, la huella dactilar, la huella palmar, la forma de las venas en la mano, entre otras. Algo que tienes. Es el componente físico de los requerimientos, puede ser una tarjeta inteligente, una llave USB, entre otras. Algo que sabes. Es el componente de conocimiento que debe tener el individuo, puede ser un valor numérico o alpha-numérico único o variable con el tiempo. Estos tres componentes nos garantizan la identidad y autenticidad del usuario al momento de solicitar el acceso a un servicio y resta la complicación al usuario de tener que recordar o memorizar contraseñas para cada sitio, lo cual cada día es más inviable. Estos componentes le dan la posibilidad a las empresas de integrar las identidades de su personal con sus sistemas de información, controlando así la posibilidad de fraudes internos o de cuentas que se usen de forma compartida entre varios usuarios y brindando a los usuarios la simplicidad de autenticarse en los diferentes sistemas de información usando componentes de uso común. En la actualidad, existen desarrollos para que los usuarios validen su identidad a través de su dispositivo móvil, donde los servicios web pueden integrar de forma simple la autenticación con un sistema que garantiza la identidad del usuario con algo que tiene como es su dispositivo movil, con algo que sabe como un PIN y con algo que es como los datos cargados en el sistema del proveedor de telefónica móvil, este es el concepto fundamental de mobile connect.