Gabriel Bergel

Gabriel Bergel

CSA de ElevenPaths. Infosec Rockstar, ISC2 Board of Directors, 8dot8 Co Founder, CCI Coordinator, host of the #8punto8 radio program of RadioDemente.cl
Ciberseguridad
El Malware Móvil, parte de la Generación Z
La generación Z o "post Millenials” es el grupo demográfico nacido entre el año 1994 y 2010, el malware móvil nació el 2004 con Cabir, el primer virus que afectó a los teléfonos Symbian Serie 60. En esos tiempos, Nokia lideraba el mercado de móviles, y este software malicioso se propagaba de teléfono a teléfono mediante el protocolo de inserción Bluetooth OBEX. Personalmente creo que el malware móvil nació deliberadamente con un objetivo delictivo y centrado en obtener dinero de manera ilegal, no como el malware en computadores que se considera con un inicio ligado a la vieja escuela y en particular a desobediencia electrónica, revolución digital, fama, reconocimiento de pares. Historia del malware móvil Una vez "lanzado" este primer malware, conocido como Cabir, sólo tomó un año para que los desarrolladores de virus adaptaran sus técnicas maliciosas para uso en móviles, el avance fue muy precipitado: 2005: el primer troyano. 2006: el primer robo de datos. 2008: el primer antivirus falso. Lo que marcaria el inicio del principal vector de compromiso: aplicaciones falsas A partir de 2012: el móvil comienza a ser usado para Ciberespionaje y Android se convierte en el objetivo principal del malware. En 2013: el 98,1% del malware ya apuntaba a Android. En este ámbito, en el 2020 destacó una interesante botnet llamada Terracotta basada en Android y alojada (cómo no) en Google Play, perpetraba ataques de tráfico y anuncios fraudulentos de una forma peculiar tanto en sus tácticas como en sus técnicas. Consiguió en junio 2 mil millones de peticiones fraudulentas, con 65.000 teléfonos infectados. Para mas información sobre lo que paso en 2020 puedes consultar el Informe sobre el estado de la seguridad 2020 H2. También en 2020 nos enteramos de lo que le ocurrió a Jeff Bezos a través de WhatsApp en su teléfono móvil, con un simple mensaje y un archivo malicioso del tipo RAT se logro comprometer su celular. Figura 1: infografía, historia del malware móvil Seguridad en los móviles, el gran desafío Hoy en día el teléfono móvil es el aparato tecnológico más utilizado, más popular y "más importante" en nuestra vida, más si cabe en tiempos de pandemia. Sin embargo, sigue existiendo poca conciencia a la hora de instalar aplicaciones, compartir información, conectarse a redes Wi-Fi públicas, etc. Además, aun podemos encontrar aplicaciones o servicios de espionaje móvil que se comercializan de manera totalmente abierta como FlexiSpy. Por lo tanto, existe un gran desafío y responsabilidad que requiere de mucha atención por parte de las personas. A esta altura, se preguntarán, ¿cual es el principal vector que podría comprometer la seguridad de mi teléfono móvil?, la respuesta es, las aplicaciones que se instalan, como lo pueden observar en la figura número 2. Figura 2 : Infografía, principal vector usado (Fuente: Pradeo) Principales malware móviles Adware: malware que automáticamente ofrece publicidad no deseada o engañosa, presente en páginas web, aplicaciones, avisos emergentes, con el fin de generar lucro a sus autores o peor aún. RAT (Remote Administration Tool): es una herramienta para administración remota, pero, también se usa para fines no legítimos, por lo cual pasó a denominarse Remote Access Trojan. Spyware: malware que recopila información y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario. Troyanos: software malicioso que se presenta como una aplicación aparentemente legítima e inofensiva, pero que, al ejecutarlo, desarrolla su acción maliciosa. Normalmente están ocultos. Recomendaciones de seguridad para móviles No hacer jailbreak o root al celular. Evitar instalar aplicaciones de terceros (validar las fuentes). Bloquear la instalación de programas de fuentes desconocidas. Revisar la lista de aplicaciones para saber si se instalaron programas sospechosos sin nuestro consentimiento. Instalar un Antivirus y/o Antimalware. No hacer click ni descargar archivos de links enmascarados, desconocidos y enviados por extraños. Cuidado con el phishing, smshing, phishing en RRSS, etc. Lee los términos y condiciones como si fueras un abogado antes de aceptarlos y detén el proceso de descarga si algo huele a permiso para cargar adware. Realiza análisis de seguridad y mantén las actualizaciones al día. Si además te gusta investigar y analizar malware, te recomiendo nuestra plataforma CARMA, un servicio gratuito proporcionado por nuestro área de Innovación y Laboratorio. Proporciona un conjunto gratuito de muestras de malware, adware y otros archivos potencialmente peligrosos recopilados para el sistema operativo Android. Estas muestras pueden ser utilizadas exclusivamente con fines de investigación o académicos, por lo que se prohíbe su uso para cualquier otro fin. Estos conjuntos están destinados a proporcionar muestras de calidad que puedan ser utilizadas para análisis dentro de sistemas expertos como Machine Learning, Inteligencia Artificial o cualquier método que permita mejorar la detección futura de este tipo de amenazas.
22 de abril de 2021
Ciberseguridad
Zombis digitales e ingeniería social
Este post trata sobre zombis e ingeniería social, la imagen de la figura 1 es gratis y libre de derechos de uso, siempre cuando la referencies, y me encantó. Probablemente todos sabemos cómo es una noche antes de la entrega de un trabajo, proyecto, tesis o, el concepto anglosajón tan usado en el ámbito corporativo, un deadline, que hace referencia a la fecha de entrega total o parcial de un proyecto o servicio. Una imagen que tiene mucho que ver con este artículo, como veremos a continuación. Figura 1: Night of the Deadline (Design vector created by freepik) ¿Saben lo que es un zombi? El concepto "zombi" viene del criollo haitiano zonbi, en ocasiones escrito zombie, en inglés. A grandes rasgos se refiere a un ente capaz de resucitar o volver a la vida. (Wikipedia). En la actualidad, vivimos en un mundo consumido por la tecnología, nadie se imaginaria el mundo sin un teléfono móvil en la mano, sin Internet o redes sociales y, lo peor, se está perdiendo el sentido de la realidad frente al mundo digital. ¿Nos habremos transformado en zombis digitales? Diría que sí, parece increíble que la mayoría de las personas no se dé cuenta de la cantidad de información privilegiada que poseen las redes sociales sobre nosotros o sobre cómo estas tecnologías fueron diseñadas y calibradas para manipular la psicología humana. Hoy en día, la adicción a Internet y a las redes sociales, o la difusión de información errónea, están generando un impacto negativo en nuestra salud mental y la salud mental de nuestra juventud, afectando incluso a procesos e instituciones democráticas. Para los que aun no creen en esto, recomiendo los documentales, “The Social Dilemma” o “Coded Bias”. Además, Internet esta lleno de desafíos ridículos y peligrosos, así como de “zombis” que los siguen, esa es la prueba empírica de que nos hemos convertido en Zombis Digitales o estamos en el proceso de hacerlo, y como en todo apocalipsis Zombi, aún no hay una cura o vacuna. Adicción a Internet Es muy difícil, y casi imposible, concebir nuestro mundo sin Internet. Es una herramienta que ha revolucionado muchas áreas de nuestra vida, si bien los aspectos positivos son innegables, existen muchos negativos que surgen cuando las personas se enganchan a ella como forma primaria de satisfacción de sus necesidades. La adicción a Internet es, de las nuevas patologías digitales, la más antigua. Acuñada en 1996 por la OMS, entre el 6 y 10% de la población la padece: más de 2 horas diarias durante la semana y 4 horas diarias durante los fines de semana, es un consumo de riesgo, con importantes consecuencias para la salud mental de las personas. Redes sociales Según Wikipedia, una red social es una estructura social compuesta por un conjunto de usuarios que están relacionados de acuerdo con algún criterio (relación profesional, amistad, parentesco, entre otras). En general, las personas se preocupan mucho de sus perfiles en redes sociales, de mantenerlos atractivos, activos, entretenidos, etc. Se ha convertido en el principal canal de comunicación para muchos, sobre todo en pandemia. No podemos negar los beneficios de las redes sociales, sin embargo, muchos no saben, que todo se monitorea, se graba, se mide, cada vez que escribimos algo, vemos una imagen, cuanto tiempo la miramos, en que horarios, saben cuando nos sentimos solos o deprimidos, que hacemos por las mañanas, noches, los lugares que frecuentamos y con quien lo hacemos, etc.. Tienen más información de nosotros que en toda la historia de la humanidad. Con toda esa información crean modelos predictivos basados en algoritmos que hasta el día de hoy no se conocen y no se pueden auditar (y que podrían sufrir de sesgos) y así predicen nuestras acciones, el modelo que mejor predice gana, están haciendo vudú y los usuarios somos las victimas. Hoy hablamos de un nuevo capitalismo basado en la vigilancia continua de nuestras acciones que voluntariamente publicamos o entregamos a cambio de participar de dinámicas, juegos o encuestas (Cambridge Analityca). Estas empresas se han vuelto billonarias gracias a los negocios que cierran con las marcas anunciantes y con la efectividad que ofrecen para que los usuarios consuman sus productos, con esto se han creado mercados futuros de humanos, igual que los mercados futuros de animales. Siempre escucho que a la gente le gustan muchos las redes sociales y se sienten acogidos y vanguardistas porque son gratis y no lucran, ¡Mentira! Tienen 3 objetivos principales: Aumentar nuestra atención Aumentar el crecimiento, incluso han experimentado con hackeo humano para el crecimiento acelerado, esto da para otro post ;) Aumentar la publicidad (ganar más dinero) Para esto se ocupa la tecnología persuasiva, explotando las vulnerabilidades de la psicología humana. Si a esta situación le sumamos la ingeniería social, ya sabrán que pasa… Es momento de despertar, desconectarse, crear hábitos digitales, aumentar la inmunidad digital, debemos tener mayor conciencia digital, conversar sobre estos temas, sobre todos con los más pequeñas y la 3ra edad y también, porqué no decirlo, debemos desconfiar un poco mas…
27 de enero de 2021
Ciberseguridad
¿Ransomware en pandemia o pandemia del ransomware?
Nadie se imaginaba qué pasaría en el ámbito de la ciberseguridad durante la pandemia de la Covid-19. Quizás algunos colegas sí fueron visionarios u otros básicamente se guiaron por las estadísticas de los últimos años respecto a los incidentes y brechas de seguridad, que han ido en aumento sostenido. Espero que todos si entiendan que hoy en día nadie esta libre de sufrir un incidente cibernético. Un poco de historia Los inicios del ransomware no se remontan a los años 2000 como la mayoría lo cree, sino que, ya en diciembre del año 1989, cuando ni siquiera se había creado la primera página web, 20.000 disquetes de 5¼" se enviaron desde Londres a empresas británicas y de otros países, a los suscriptores de la revista PC Business World y también a participantes de un congreso sobre el sida organizado por la Organización Mundial de la Salud. En la pegatina de estos disquetes estaba escrito AIDS Information Introductory Diskette (Disquete de Información Introductoria sobre el SIDA), estaba y decía provenir de la PC Cyborg Corporation. Todo esto no era más que un engaño, cifraba el disco duro de los computadores y pedía un rescate. AIDS fue el primer ransomware que también se difundió a escala global: llegó a unos 90 países por correo postal. A día de hoy, han pasado 31 años y el ransomware ya se ha convertido en una industria, con avances increíbles en la materia. La pandemia de la Covid-19 no ha hecho más que acelerar el desarrollo de las campañas de infección. Las cifras e incidentes que han ocurrido en pandemia, me atrevería a decir, no tienen precedentes.El trabajo remoto podría ser uno de los causantes, ya que los controles de ciberseguridad son más débiles en el hogar que en el entorno corporativo, pero principalmente tiene relación con nuestro ansiedad e incertidumbre, lo que provoca que estemos mas “predispuestos” a caer en un phishing que contiene ransomware. Sin embargo, este aumento en las cifras en la región ya se evidencia en distintos estudios desde el año pasado: Ransomware por país. Fuente: Symantec El negocio del ransomware Hace no mucho tiempo, el ransomware era clasificado como un incidente (DBIR) y no como una brecha, debido a que el cifrado de datos no necesariamente involucra una divulgación de confidencialidad. Sin embargo, eso ha cambiado: el negocio del ransomware ya no consiste tanto en cifrar sino en ganar dinero con la amenaza de la exfiltración de la información y hay casos que así lo demuestran. En ElevenPaths, desde hace años, hacemos seguimiento a las distintas campañas de ransomware que existen y lo compartimos con la comunidad a través de nuestros boletines semanales e informes de investigación sobre ciberseguridad. También lo comenté hace un mes, después de dar muchas entrevistas sobre el incidente en el Banco Estado de Chile, supuestamente provocado por Sodinokibi. Un ransomware al que, desde ElevenPaths, ya veníamos siguiendo sus campañas desde enero de este año. Por otro lado, los avances en desarrollo de ransomware son evidentes. Por ejemplo, Conti ocupa 32 hilos de CPU en paralelo durante el proceso de infección de un computador. Sergio de los Santos escribió un post muy recomendable llamado “¿Qué recomiendan los criminales de la industria del ransomware para que no te afecte el ransomware?” que pueden ser de utilidad para entender lo que sucede en esta nueva época. Para terminar, cabe destacar la iniciativa hacker voluntaria y sin fines de lucro llamada CTI League (Liga de Inteligencia de Amenazas Cibernéticas), una comunidad global de voluntarios de respuesta a emergencias que defiende y neutraliza las amenazas y vulnerabilidades de ciberseguridad para los sectores que salvan vidas relacionados con la pandemia actual de la Covid-19, por el gran trabajo que han realizado ayudando y evitando que mas instituciones de salud se vean afectadas por este tipo de ciberataques. Sólo queda una pregunta: ¿cuál será el siguiente nivel en esta batalla?
29 de octubre de 2020
Ciberseguridad
Ciberseguridad en pandemia (II)
Continuamos con la segunda parte de este artículo en el que analizamos la situación actual en sus tres dimensiones. Recordemos que en la primera parte del post hablábamos de la primera dimensión, las personas. Ahora desarrollaremos las otras dos: la ciberseguridad y la pandemia. Segunda dimensión: la ciberseguridad Por extraño que parezca, se podría decir que ya se ha hackeado todo. Si no me creen, les invito a revisar nuestros informes de investigaciones en ciberseguridad o a visitar la infografía de Information is Beatiful. El último informe DBIR 2020 indicaba que “los tiempos no cambian”, ya que el robo de credenciales, los ataques de ingeniería social (el phishing y el compromiso del correo electrónico) y los errores humanos causaron la mayoría de las brechas de seguridad en 2019 (67%). Los empleados que hoy en día trabajan desde casa podrían ser particularmente vulnerables a estos ataques, por lo que es aquí donde deberíamos centrar los esfuerzos de prevención. Además, añado un par de datos adicionales: por un lado, hace tres años había un ciberataque cada 39 segundos; por otro, Cybersecurity Ventures predice que los daños por delitos cibernéticos le costarán al mundo 6 billones de dólares en 2021, en comparación con los 3 billones de dólares de 2015. ¿Por qué hoy en día el cibercrimen se ha vuelto tan popular? Porque mueve mucho dinero. Lo más probable es que los cibercriminales estén ganando mucho más que el dueño de una empresa rentable de éxito. Estas son algunas cifras extraídas de una investigación de Digital Shadows: Mercados en línea ilegales: 860.000 millones de dólares Secreto comercial, robo de propiedad intelectual: 500.0000 millones de dólares Comercio de datos: 160.000 millones de dólares Crimeware / Cybercrime-as-a-Service (CaaS): 1.600.000 millones de dólares Ransomware: 1000 millones de dólares Respecto a los cibercriminales, el rango de edad se ha hecho más amplio y sus ataques más avanzados. Me atrevería a decir que la mayoría de los cibercriminales son millenials y se comportan como dicta su generación: quieren resultados rápidos usando el mínimo de recursos, esfuerzo y tiempo. Para ilustrar esto tenemos, por ejemplo, a chavales como Kane Gamble, que en 2015, con tan sólo 15 años, accedió a cuentas del entonces director de la CIA, John Brennan, y del subdirector del FBI, Mark Giuliano, usando ingeniería social. Otro ejemplo es el de Park Jin Hyok, supuesto líder del grupo Lazarus, que también es millenial y es una de las personas más buscadas por el FBI. En gran parte de las acciones de este grupo ha financiado Kim Jong-Un su carrera armamentística nuclear. Ficha de Park Jin Hyok. Fuente: FBI Tercera dimensión: la pandemia La pandemia de la COVID-19, declarada a nivel mundial el día 11 de marzo del 2020 por sus altas cifras de contagio y letalidad, es una situación de salud crítica sin precedentes en el siglo XXI. Nos ha obligado a permanecer en cuarentena o aislamiento social, lo que conlleva una serie de desafíos psicológicos, sociológicos y laborales, como la adaptación al teletrabajo de forma prolongada. Hoy en día vivimos preocupados por la cantidad de muertes y de personas infectadas por el virus, por la falta de una vacuna, etc. Además, comenzamos a tener angustia por la incertidumbre del regreso a la “normalidad” y estamos comenzando a experimentar una crisis económica mundial. En resumen, estamos ante un panorama para nada alentador. Desde el punto de vista corporativo, hoy hay más trabajadores remotos y por tanto menos personal de TI y seguridad listo para mitigar ataques e intrusiones. Esto y todo lo anterior configura un ambiente propicio para los cibercriminales, que precisamente aprovechan estas situaciones de preocupación, incertidumbre y estrés para activar sus campañas de fraudes y estafas. La desconcentración generalizada y el alcance mundial de la pandemia facilitan el trabajo de los cibercriminales y aumentan la probabilidad de éxito de sus campañas. Esto se ve reflejado en las cifras y estadísticas sin precedentes que han facilitado distintas fuentes como Google, que a través de su informe de transparencia indicaba que en enero de este año registró 149.000 sitios web activos de phishing. En febrero, ese número casi se duplicó a 293.000, y en marzo llegó a 522.000, un aumento del 350% desde enero. En mayo ya se registraban 1.915.0000 sitios. Hoy en día prima el engaño, el fraude y el phishing por correo electrónico, las estafas telefónicas, donde llaman a las víctimas presentándose como miembros del personal de una clínica u hospital y afirmando que un familiar de la víctima ha contraído el virus para pedirle el pago del tratamiento médico correspondiente, etc. También encontramos aplicaciones falsas de mapas de contagio o que se hacen pasar por gobiernos u hospitales, e incluso existe la venta de vacunas falsas. Hoy quienquiera que esté pensando en comprar suministros médicos en línea debería pensárselo dos veces y comprobar muy bien que el proveedor en cuestión es una empresa legal y acreditada. Conclusiones Observando las tres dimensiones, podemos apreciar que la ciberseguridad es hoy más necesaria que nunca. Debemos invertir en ella y preocuparnos por los riesgos a los que nos exponemos en Internet. El panorama ha cambiado: ya no importa si la compañía es conocida o atractiva para los cibercriminales, no importa su tamaño ni el sector en el que se encuentre. Todas las empresas deben tener consciencia del riesgo potencial que supone el día a día en su trabajo, ya que están tratando con datos personales e información sensible de colaboradores y clientes. Desde el servicio CyberThreats del Security Cyberoperation Center (SCC), realizamos una útil guía de riesgos y recomendaciones en ciberseguridad para la COVID-19 que recomiendo consultar. Para más información, síguenos en redes sociales, visita nuestra web y nuestro blog. Primera parte de este artículo CYBER SECURITY Ciberseguridad en pandemia (I): las personas 23 de julio de 2020
30 de julio de 2020
Ciberseguridad
Ciberseguridad en pandemia (I): las personas
La ciberseguridad es más importante aún en estos tiempos de pandemia en los que se están incrementando los ciberataques, sí, pero además de un objetivo de negocio a nivel corporativo, debe suponer también una parte integral de nuestras vidas. A principios de este año lo resumíamos en este podcast de ElevenPaths Radio: me gusta analizar la situación actual en tres dimensiones, las personas, la ciberseguridad y la pandemia. Centrándonos en la dimensión de las personas, en este artículo hablaremos de nomofobia, phubbing, IAD y FOMO. Primera dimensión: las personas Hoy en día, el teléfono inteligente se ha transformado en el dispositivo electrónico más importante de nuestras vidas, en las que nos encontramos completamente conectados. La redes sociales se han transformado en el canal de comunicación y relación humana de facto, y hacemos un uso totalmente intensivo de Internet, como lo pueden ver en la infografía que publica todos los años Lori Lewis. Sin embargo, los teléfonos inteligentes, las redes sociales e Internet no han traído solamente beneficios, ya que para muchos (dependiendo de nuestra edad etaria y nivel de educación) ha significado un obligado y complejo proceso de transformación digital. Por lo tanto, en el mundo digital es normal observar poca conciencia sobre los riesgos que existen en Internet y falta de higiene digital. Desde hace algunos años, hemos comenzado a observar nuevas patologías y fobias derivadas de este uso intensivo que comentábamos anteriormente, las cuales veremos a continuación. Nomofobia Este término proviene del acrónimo en inglés No Mobile Phone Phobia, fobia a no contar con el teléfono o a no poder utilizarlo, ya sea por falta de batería o por falta de señal de datos. Si tienes problemas para dejar tu móvil o te sientes ansioso cuando sabes que perderás el servicio durante unas horas, o incluso si los pensamientos de estar sin él te causan angustia, es posible que tengas nomofobia. He aquí una nota muy interesante de RTVE al respecto. Se trata de algo muy serio porque diferentes estudios indican que afecta a más del 53% de los usuarios a nivel mundial. Incluso existe un test que mide escala de dependencia y adicción al smartphone (EDAS) que cuenta con 40 preguntas. Phubbing Esta patología, también llamada ningufoneo o ninguneo digital, deriva de la anterior. Se da cuando estamos conversando, en una reunión, almorzando o realizando alguna actividad de interacción con alguien y esa persona deja de prestar atención y comienza a mirar su celular. El término proveniente de la unión de las palabra inglesas snubbing (despreciar, ningunear) y phone (teléfono) fue acuñado durante una campaña publicitaria dirigida por la agencia de publicidad McCann para el diccionario australiano Macquarie. La agencia solicitó propuestas a sus empleados para designar una nueva palabra para describir este comportamiento. Un estudiante universitario australiano llamado Alex Haigh, que había estado internado en McCann mientras se desarrollaba la campaña, acuñó el término y en 2016 creó la página web Stop Phubbing para evitar (como él mismo decía) que en el futuro las parejas pierdan la habilidad de comunicarse cara a cara y se basen en la actualización de sus estados. En dicha página web, Haigh concluía en su investigación que el 90% de los adolescentes preferían el contacto vía texto que cara a cara y que el 97% de los comensales aseguraba que su comida sabía peor cuando era víctima de este comportamiento. En la actualidad es probable que esas cifras hayan aumentado. IAD Otra patología más antigua, considerada la base de las otras, es la conocida como IAD (por sus siglas en inglés) o “Desorden de Adicción a Internet”. Si juegas demasiado tiempo a videojuegos online, haces compras online de manera compulsiva, participas activamente en redes sociales y por todo ello consideras que el uso del ordenador y/o el móvil interfiere en tu vida diaria, relaciones con otras personas, etc. quizá padezcas IAD. Este desorden fue descrito en 1995 por el Dr. Ivan Goldberg. Una investigación del Centro Nacional para la Información Biotecnológica de Estados Unidos (NCBI) realizada en 2012 indicaba que su prevalencia en las culturas estadounidense y europea era asombrosa: afectaba hasta al 8,2% de la población total. Sin embargo, otros informes sugerían que afectaba hasta al 38% de la población general. Si piensas que la padeces, puedes realizar este cuestionario creado por Psycom. FOMO Para terminar, FOMO, del inglés Fear Of Missing Out, es el miedo a perderse algo, una nueva ansiedad surgida desde la popularización del smartphone y las redes sociales. El FOMO es la manifestación moderna de un miedo típico, el de la exclusión. De cierta forma, somos animales programados para formar parte de un grupo y las redes sociales cumplen el papel que siempre han tenido las amistades físicas. En el mundo real es fácil ignorar lo que ocurre fuera de nuestro campo de visión, pero en el digital estamos a un clic de saber qué hacen nuestros familiares, amigos y conocidos en cualquier momento. A la luz de estos comportamientos y desórdenes, queda algo más claro por qué las personas nos hemos convertido desde hace años en el foco principal de los cibercriminales. Continuaremos desarrollando este post en una segunda parte, estad atentos a nuestro blog. Mientras tanto, os invitamos a escuchar el sexto episodio de nuestro podcast “Actualidad con nuestros CSAs” en ElevenPaths Radio. Ya disponible la segunda parte de este artículo CYBER SECURITY Ciberseguridad en pandemia (II) 30 de julio de 2020
23 de julio de 2020
Ciberseguridad
Decepticons vs. Covid-19: la batalla definitiva
Decepticons. Los que son de la Generación X recordarán muy bien quiénes eran: en la saga Transformers, se trataba de los seres robóticos modulares con autoconfiguración mecánica del planeta Cybertron, liderados por Megatron. Sin darnos cuenta, ya en los años 80 hablábamos de Decepticons y robots autoconfigurables. La situación actual de la pandemia del Covid-19 nos ha obligado a confinarnos en nuestras casas y, por ende, nos hemos vistos obligados a trabajar desde la casa. El virus ha cambiado la forma en que usamos Internet y el tráfico en la red ha aumentado en un 70%. Y desde el punto de vista social y psicológico, todos estamos bajo un estrés social y emocional que, por otra parte, es muy normal en este tipo de situaciones. Este cúmulo de circunstancias se convierte en el panorama perfecto para los cibercriminales, que más que nunca están tratando de aprovecharlo para conseguir sus objetivos y obtener dinero directamente o algo (información, por lo general) que les permita obtenerlo. ¿Qué tiene que ver esto con los Decepticons? Los Decepticons calzan muy bien en esta "nueva realidad". Considerando que los cibercriminales utilizan cada vez más la ingeniería social para engañarnos, sobre todo el phishing (que según la división de delitos en Internet del FBI es la forma más prominente de delito cibernético), hoy en día hay que ser desconfiado, sobre todo en estos tiempos en los que estamos más distraídos por la pandemia. Por lo tanto, si los cibercriminales emplean el engaño como su principal arma, ¿por qué nosotros no? Entre todas las técnicas y estrategias que hemos adoptado en ciberseguridad, una de las que está tomando más importancia es la “decepción”, entendida no como un sentimiento de insatisfacción, sino como el concepto inglés deception. En el ámbito militar, este término se utiliza para describir aquellas acciones ejecutadas con el objetivo de engañar a los adversarios sobre las capacidades, intenciones y operaciones de las fuerzas militares propias, de forma obtengan conclusiones falsas. En la doctrina militar de los Estados Unidos se usa el acrónimo MILDEC (MILitary DECeption) y en la antigua doctrina militar de la Unión Soviética y ahora de Rusia usan el término Maskirovka (en ruso: маскировка), que significan literalmente camuflaje, ocultación, enmascaramiento. Algunos ejemplos históricos Existen numerosos casos del uso de esta técnica en distintas situaciones de conflicto o guerra, como el mítico caballo de Troya, usado por los aqueos como una estrategia para introducirse en la ciudad fortificada de Troya; o como en la Segunda Guerra Mundial, cuando un ejército fantasma engañó a Adolf Hitler con un desfile itinerante de tanques, cañones y aviones (en gran parte tripulados por actores y artistas) suplantando al Ejército Aliado cerca de la línea del frente. Esto desvió la atención sobre las tropas estadounidenses, separando a las fuerzas alemanas y dando a los Aliados una ventaja táctica. En un capítulo de la famosa serie de televisión Vikingos vemos como Ragnar Lodbrok también utiliza una ingeniosa estrategia para entrar en París, fingir estar a punto de morir y solicitar un entierro cristiano en la catedral. Una vez dentro y para sorpresa de todos, Ragnar sale de su ataúd y... lo que ocurre después ya es spoiler. Este episodio sucedió en realidad, a tenor de lo que cuentan las sagas vikingas, aunque su protagonista no fue Ragnar, sino el que luego sería Rey de Noruega, Harald Hardrada (Harald III de Noruega). Figura 1: Rey Harald III de Noruega Deception y honeypot, ¿son lo mismo? En nuestro blog ya hablamos en una ocasión sobre deception y Nikos Tsouroulas lo explicó muy bien: “Estos enfoques nos permiten desplegar escenarios falsos que simulan infraestructuras, activos y perfiles de nuestra organización para desencaminar a un atacante hacia un entorno controlado y monitorizado, donde se le plantean nuevos desafíos y dificultades a lo largo de un árbol de ataque, diseñado específicamente en base a la naturaleza de cada organización. De esta forma se consigue dirigir los recursos de un atacante hacia una infraestructura falsa, mientras nuestros verdaderos activos se encuentran protegidos y logramos obtener inteligencia del adversario (indicadores sobre su C&C, herramientas empleadas, capacidades, motivaciones, etc.).” En mi último trabajo de campo antes de la pandemia, tuve la oportunidad de trabajar con la tecnología de los amigos de CounterCraft (empresa española que Telefónica seleccionó en 2016 para invertir y apoyar su expansión) y me quedé alucinado con lo que había avanzado este tipo de plataformas. Probablemente un término que sí conocían y que está muy relacionado con este enfoque es el honeypot. Se trata de un señuelo que puede utilizarse con cualquier tecnología, muy comúnmente en un servidor web. Hay muchas soluciones open source que permiten realizar esto a muy bajo coste, pero deception es un concepto más amplio que solo un señuelo. Figura 2: Honeypot Antes de 2010, sólo había unas pocas empresas de ciberseguridad que ofreciesen productos de deception, pero gracias a la gran evolución que ha experimentado este tipo de plataformas, me atrevo a decir que hoy en día ya existen más de 15 proveedores de tecnología deception. Este tipo de soluciones pueden ser un gran acelerador para los equipos de detección y respuesta, ya que producen alertas que los departamentos de seguridad pueden aprovechar para reaccionar y responder de manera más precisa y oportuna. Frente a los nuevos desafíos de ciberseguridad a los que se enfrentan las empresas durante esta crisis sanitaria, CounterCraft ha preparado paquetes de seguridad específicos para ello y cuentan un catálogo de 25 campañas de engaño listas para usar: phishing, exfiltración de datos, ataque SWIFT, detección de movimiento lateral, etc. Conclusiones No debemos olvidar lo que hace un tiempo dijo Gartner: el engaño es simple y económico, aumenta 12 veces el tiempo de detección y mejora el tiempo de permanencia en más del 90%. Lo que me gusta de esta solución es que combina inteligencia avanzada, recopilada por las campañas, enriquecida con MITRE ATT&CK, de manera que se puede tener una amplia visión sobre qué, quién y cómo se está actuando contra la organización. Así podemos obtener datos de amenazas, TTP e IOC de los adversarios que se pueden compartir de inmediato con soluciones de ciberseguridad como SIEM, SOAR, MISP, Sandbox y otros. En última instancia, he de decir que el engaño en el ámbito de ciberseguridad es un medio para mantenerse proactivo en lugar de reactivo. Estamos tratando de hacer esta batalla más simétrica, por eso esta vez no sólo debemos apoyar a los Autobots, sino también sumarnos a los Decepticons. "Toda guerra se basa en el engaño." Sun Tzu "No es la especie más fuerte la que sobrevive, ni la más inteligente, sino la más receptiva al cambio." Charles Darwin
21 de mayo de 2020
Ciberseguridad
Análisis de riesgo aplicado al COVID-19
Durante estas últimas semanas hemos visto todo tipo de análisis y teorías alrededor del Covid-19 pero, probablemente, muchos no se hayan dado cuenta de que podemos aplicar la metodología del análisis de riesgo, tan conocida por nosotros los hackers y por aquellos profesionales que trabajan en ciberseguridad. En la primera temporada de nuestros webinars, #11PathsTalks ya tratamos sobre este tema, sobre todo por la importancia que tiene entender este proceso para poder hacer una adecuada gestión del riesgo tecnológico en nuestras empresas, pero también para entender bien como enfrentar las nuevas amenazas cibernéticas. Este proceso cada vez es más reconocido dentro de la industria, existen muchas metodologías, ISO (ISO 27005) y cada vez se exige en más procesos de certificaciones internacionales, como el caso de PCI DSS que lo incluye como exigencia en el proceso de Ethical Hacking. La situación actual de encierro, cuarentena, tensión, sobreexposición a información, el desafío de una adecuada administración del tiempo en casa, etc. ha hecho que mis niveles de paranoia y escepticismo crezcan y me cuestione todo el doble. Entre esos temas, discutiendo con colegas y no colegas, me di cuenta de que a la mayoría le costaba entender como protegerse de una manera adecuada para enfrentar esta nueva pandemia del COVID-19 y me di cuenta en la call semanal con mis colegas CSA sobre las muchas analogías presentes en el proceso de análisis de riesgo que regularmente ocupamos (espero) para analizar los riesgos presentes en nuestra organización. Análisis de riesgo cualitativo aplicado al COVID-19 Riesgo (RAE): (Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia). 1. m. Contingencia (Posibilidad de que algo suceda o no suceda) o proximidad de un daño. El análisis de riesgo es un proceso que busca identificar el riesgo de seguridad de un activo, determinando su probabilidad de ocurrencia, su impacto en el negocio y los controles que mitigan el impacto (o la probabilidad de ocurrencia). Enfoque basado en: Probabilidad – Impacto Tal y como lo haríamos de manera tradicional, pero en este caso centrándonos solamente en el COVID-19 como la amenaza que queremos analizar, identificaremos el o los activos que se podrían ver afectados por dicha amenaza, las vulnerabilidades presentes que pueden permitir que dicha amenaza afecte al activo, la probabilidad de ocurrencia de que esa amenaza -considerando las vulnerabilidades- afecte al activo y el impacto asociado a que esa amenaza -a través de las vulnerabilidades- afecte al activo. Como siempre, uno de los objetivos es definir qué controles minimizan la probabilidad de ocurrencia o el impacto. Recordemos el contexto general: Figura 1: Contexto general de la seguridad de la información Amenaza: un evento con el potencial de afectar negativamente a la confidencialidad, integridad o disponibilidad de los activos de información. En este caso se trata de un evento con el potencial de afectar nuestra salud (integridad), el COVID-19. Activo: cualquier cosa que tenga valor para la organización. En nuestro caso, el activo a proteger son las personas. Vulnerabilidad: una debilidad que facilita la materialización de una amenaza. En nuestro caso serían: Tener más 80 años Tener mala salud o estado físico Padecer enfermedades crónicas Tener necesidades especiales (discapacidad) Tener malos hábitos (no lavarse las manos, toser sin taparse la boca) No seguir las recomendaciones. (usar mascarilla, respetar cuarentena) Probabilidad del riesgo: es la frecuencia con que se podría producir el riesgo en un plazo determinado de tiempo. Niveles de probabilidad de ocurrencia (del contagio en este caso): Alta Media Baja Impacto: son las consecuencias que habría si un determinado activo ve afectada su confidencialidad, integridad o disponibilidad. En nuestro caso son las consecuencias que habría si un activo (persona) ve afectada su salud. Posible impacto: Bajo: contagiarse con el COVID-19 y no tener secuelas. Medio: contagiarse con el COVID-19 y quedar con secuelas. Alto: morir a causa del COVID-19. Matriz Análisis de Riesgo simplificada – COVID-19 – Riesgo Inherente El riesgo absoluto o inherente es el riesgo que no considera los controles. Matriz Análisis de Riesgo simplificada – COVID-19 – Riesgo Residual El riesgo residual es el riesgo resultante posterior a la aplicación de controles. Resultado del Análisis de Riesgo Figura 2: Matriz de calor de los riesgos identificados Resultado del Análisis de Riesgo al COVID-19 – Riesgo Inherente Figura 3: Matriz de calor de los riesgos inherentes Resultado del Análisis de Riesgo al COVID-19 – Riesgo Residual Figura 4: Matriz de calor de los riesgos residuales Conclusiones Como se puede comprobar, el proceso del análisis de riesgo tiene por objetivo identificar y aplicar controles para disminuir la probabilidad de ocurrencia o el impacto asociado o ambos en el mejor de los casos. En la Figura 3 se puede observar que los riesgos se encuentran todos en niveles medio y alto, por lo que se deben gestionar aplicando los controles identificados. De esta forma, en la Figura 4 se puede observar cómo la aplicación de los controles disminuyó la probabilidad de ocurrencia o el impacto asociado y por ende los riesgos disminuyeron. Lo más importante que debemos entender en este caso del COVID-19 es que al aplicar todos estos controles o recomendaciones de expertos no estamos eliminando el virus, sólo estamos disminuyendo la probabilidad de contagio. Sin embargo, al aplicar estas recomendaciones también disminuimos el impacto, porque si no nos contagiamos, no corremos el riesgo de morir a raíz del virus (impacto más alto de esta amenaza). ¿Quieres saber más detalles sobre la COVID-19? Consulta el resto de artículos sobre el coronavirus escritos por nuestros expertos: CYBER SECURITY Decepticons vs. Covid-19: la batalla definitiva 21 de mayo de 2020 CYBER SECURITY 20 preguntas sobre las apps de rastreo de contagios del Covid-19 28 de abril de 2020 CYBER SECURITY DataCOVID-19: luchando contra el coronavirus con los datos de posición aproximada de tu móvil 13 de abril de 2020 CYBER SECURITY Iniciativa solidaria Covid-19: recargando IFEMA de energía para los enfermos 30 de abril de 2020
2 de abril de 2020
Ciberseguridad
¿Preparados para un incidente de ciberseguridad? (parte 2)
Con el objetivo de continuar con el anterior post en el que hablábamos sobre estar preparados para incidentes de ciberseguridad, seguimos en esta segunda parte con el proceso de Business Continuity Plan (BCP) o continuidad de negocios. El BCP sirve para cuando un incidente genera una catástrofe o una interrupción grave del negocio. ¿Cómo se implementa el BCP? Lo primero que debemos determinar es el alcance del BCP. En teoría debería ser único para abordar todos los procesos críticos de la organización y ser capaz de definir todas las estrategias de recuperación necesarias que permitan salvar vidas y mantener el negocio tras una crisis. Sin embargo, es común encontrar BCP más acotados, orientados a satisfacer las necesidades de continuidad de uno o más procesos críticos. Es fundamental definir un comité directivo para este propósito (C level). Si no se pudiera conformar, solicitar tiempo y atención de otro comité directivo ya existente. También debemos armar un equipo de trabajo multidisciplinar, que será el responsable de la parte operativa. Es fundamental que exista un representante de cada área de la compañía. Este equipo de trabajo es el que desarrolla, implementa y ejecuta el plan, mientras que el comité autoriza, supervisa, define roles, dota del presupuesto y toma las decisiones estratégicas. A continuación, debemos identificar todos los procesos de la organización. En el mejor de los casos esto ya estará realizado; de lo contrario tendremos que hablar con los jefes de procesos para identificarlos y "diagramarlos". Una vez realizado esto y con apoyo de los jefes de procesos, se identificará la criticidad de éstos para el negocio. Ésto depende exclusivamente del core del negocio y el BCP, en este sentido, es un “traje a medida”. Una vez identificados los procesos críticos, realizaremos evaluaciones de riesgos a éstos. En esta fase identificamos los potenciales riesgos a los que se encuentran expuestos y la probabilidad de que una vulnerabilidad sea explotada por una amenaza. Asimismo, medimos el impacto que causaría dicha explotación sobre los activos. El objetivo de esta etapa es gestionar los riesgos asociados a los procesos críticos. Business Impact Analysis (BIA) Continuando con nuestro plan, debemos realizar un BIA (Business Impact Analysis). Independientemente de que se hayan mitigado en su totalidad los riesgos de los procesos críticos, siempre existirá un riesgo residual (riesgo resultante después de la aplicación de controles) y siempre tendremos que estar preparados para enfrentar una crisis o desastre, por lo cual debemos identificar cómo una interrupción de estos procesos críticos impactaría en el negocio. La evaluación de riesgos es preventiva, el BIA es reactivo. El principal objetivo del BIA es identificar el Objetivo de Tiempo de Recuperación o RTO (Recovery Time Objective), y el Objetivo de Punto de Recuperación o RPO (Recovery Point Objective). El RTO es el tiempo que el negocio soporta la interrupción del proceso crítico. Por ejemplo, un RTO de 2 horas quiere decir que puede estar 2 horas sin el servicio. Si se sobrepasa ese tiempo, existe un impacto en el negocio, por lo tanto la estrategia de recuperación estará basada en el RTO. Por su parte el RPO está relacionado con el punto en el tiempo desde el cual se debe recuperar el proceso crítico. Un RPO de 2 días quiere decir que se necesitan por lo menos 2 días de información para que el proceso se vuelva a ejecutar de manera normal. Este punto está asociado a la cantidad de datos que la empresa se puede permitir perder, por lo cual nuestras estrategias de recuperación deben considerar los RPO en las estrategias de respaldo. Con la información recopilada podremos desarrollar nuestras estrategias de recuperación para las posibles causas o escenarios de contingencia. Se recomienda utilizar las peores condiciones posibles, ya que en ellas estarán contenidos los demás escenarios. Las estrategias deben considerar, además de los procesos tecnológicos necesarios para la contingencia (DRP), las personas necesarias que cumplen roles dentro de los procesos críticos y su reubicación en caso necesario. Estas estrategias serán el corazón de nuestro BCP, ya que nos permitirán salvar vidas y minimizar o evitar un impacto negativo en el negocio a causa de una crisis o desastre. Respondiendo algunos interrogantes Tenemos que definir los procedimientos, grupos y roles (pueden ser distintos a los roles en operación normal) para responder y operar en emergencia o contingencia. Con esto debemos poder responder a las siguientes preguntas: ¿qué hacer en caso de emergencia?, ¿qué le digo a mis clientes?, ¿cómo contacto con mis empleados?, ¿dónde reubicaremos las dependencias?, ¿qué le respondo a los medios o a la prensa? Para ello tenemos que definir nuestro plan de manejo y comunicación de crisis. Se deben generar instancias de presentación y coordinación con autoridades públicas (policía, bomberos, clínicas y hospitales). Debemos poder responder: ¿quiénes necesitan saber?, ¿qué necesitan saber? y ¿cuándo lo necesitan saber? También es necesario realizar campañas, talleres y charlas de concienciación y formación para los equipos de trabajo, comité directivo y en general para todos los empleados. En lo posible, debemos generar un logo y eslogan, tratar de ser lúdicos para atraer al público objetivo y dar incentivos y premios a la participación. Siempre digo que en ciberseguridad no debe existir la fe, sino que todo debe tener pruebas empíricas. Este plan no se eximirá de ello, por lo tanto debemos definir un plan de pruebas para las estrategias de recuperación y BCP en su totalidad. Existen varios tipos de pruebas, desde las más básicas y pasivas hasta las totales, entre las que destacan los ejercicios de escritorio, el simulacro detallado, los simulacros funcionales, los simulacros de evacuación y los ejercicios a gran escala. El BCP no será válido si no se ha probado, así que esta etapa es esencial. Y ahora, ¿qué? Una vez concretadas todas las fases, planes, procedimientos, pruebas, etc., estaremos en condiciones de armar nuestro BCP, que será la integración de toda la documentación generada. Una decisión muy importante que debemos tener la capacidad de responder con nuestro BCP es: ¿cuándo activarlo y entrar en contingencia y cuándo y cómo volver a la normalidad? Para finalizar debemos definir un plan de mantención y actualización del BCP. En general, el BCP nos debe permitir contestar al quién, qué, dónde, cuándo y cómo. El BCP no es un proyecto, no es una tarea de una sola vez, no es por un período fijo de tiempo. Debe ser un plan permanente, dinámico, consistente en varios proyectos, interdependientes y reiterativos, al igual que la ciberseguridad. Si aún no lo has hecho, a continuación puedes leer la primera parte de este post. Descubre también la 5ª temporada de nuestros #11PathsTalks. CYBER SECURITY ¿Preparados para un incidente de ciberseguridad? (parte 1) 16 de enero de 2020
27 de febrero de 2020
Ciberseguridad
¿Preparados para un incidente de ciberseguridad? (parte 1)
Ha quedado demostrado en el ultimo tiempo que la ciberseguridad ya no es un tema de TI (Tecnología de Información) o de algunos pocos dentro de la organización. Es responsabilidad de la Dirección, pero también de todos, incluso en la vida personal de cada uno. ¿Por qué? se preguntarán muchos, porque cada uno de nosotros en el día a día hace uso de mucha tecnología, plataformas inteligentes e información digital. Me atrevería a decir que muy pocas personas no tienen un smartphone, no tienen correo electrónico ni redes sociales y no usan la web para hacer trámites y compras online. Hoy en día todo el mundo hace uso intensivo de internet y de las distintas plataformas que lo conforman. La edad determina la conciencia en ciberseguridad La principal diferencia entre los usuarios está en la edad o generación a la que pertenecen, ya que esto determina si son nativos digitales o no. Esto afecta directamente a la denominada “conciencia digital”, sobre todo en lo que respecto a ciberseguridad, me refiero a saber usar la tecnología y plataformas digitales de manera higiénica y segura. Aquí se produce uno de los principales desafíos a los cuales nos vemos enfrentados como sociedad, la alfabetización digital y concientización sobre las nuevas ciberamenazas, desde los más jóvenes que comienzan a utilizar la tecnología de manera consciente y no solo por diversión (9-10 años), hasta la tercera edad, siendo los dos colectivos más atractivos el ciberacoso y cibercrimen. Por lo tanto, el foco para los siguientes años debería ser tratar de acortar la brecha en este aspecto, considerando la ciberseguridad como una materia más en el colegio, como matemáticas o historia y asegurar un plan de estudios que continúe en la enseñanza superior hasta crear organismos públicos que permitan educar y capacitar a la población en materia de ciberseguridad. Ciberseguridad en el ámbito corporativo Si nos situamos en el ámbito corporativo, el desafío actual que se presenta en materia de incidentes de ciberseguridad es, según mi opinión, cómo recuperarse de un incidente. Para ello se debe empezar cambiando el viejo paradigma de “mi empresa no es foco para un cibercriminal”, ya que el escenario actual cambió radicalmente en los últimos 10 años, principalmente porque hoy la mayoría de los cibercriminales son millenians, piensan de manera distinta, usan otras herramientas y tienen otras estrategias. Hoy en día lo que más buscan es ser eficientes, o sea, gastar la mínima cantidad de recursos (tiempo) para conseguir su objetivo. Por lo tanto, la mayoría de los ciberataques se basan en el “volumen”. Esto quiere decir que sus técnicas se basan en la masividad y, por ende, no están buscando a una empresa en particular. Al contrario, buscan que su ataque llegue a la mayor cantidad de empresas, sin importar el sector o su tamaño, y que caigan las que no estaban preparadas. Si lo llevamos a un ejemplo mas práctico y entendible, es cambiar, por ejemplo, la forma de pescar: no ir a pescar con una caña buscando una zona en particular y un tipo de pez en particular, sino con una red lo más extensa posible y pescar todo lo que quede atrapado en esa red. Este ejemplo puede aplicarse a un tipo de cibercriminales, ya que en el otro se encuentran los cibercriminales de élite, patrocinados por Estados, como es el caso de Lazarus. Por tanto, bajo este nuevo escenario, el combate contra la ciberdelincuencia se vuelve aún más asimétrico y quedó demostrado con la cantidad de brechas que se producen día a día. Un sitio web que tiene una infografía que se actualiza regularmente sobre estas brechas es Information is Beatiful. En mi opinión, en ciberseguridad hay 2 procesos muy importantes: la Evaluación de los Riesgos, que es una actividad fundamental que debe realizarse de manera constante buscando prevenir los riesgos, y la gestión de incidentes y el BCP o plan de continuidad de negocios. Ambos tienen directa relación cuando el riesgo no se puede prevenir y el incidente se produce. Se deben tomar acciones para entrar en estado de contingencia y mantener la continuidad operacional. Gestión de incidentes Para comenzar, debemos recordar qué es un incidente, que no es lo mismo que un evento, según el NIST 800-61 (Computer Security Incident Handling Guide). Un evento es cualquier ocurrencia observable en un sistema o red. Los eventos incluyen un usuario que se conecta a un recurso compartido de archivos, un servidor que recibe una solicitud de una página web, un usuario que envía un correo electrónico y un firewall que bloquea un intento de conexión. Los eventos adversos son eventos con una consecuencia negativa, como bloqueos del sistema, inundaciones de paquetes, uso no autorizado de privilegios del sistema, acceso no autorizado a datos confidenciales y ejecución de malware que destruye datos. Esta guía aborda solo los eventos adversos relacionados con la seguridad informática, no los causados por desastres naturales, fallas de energía, etc. Un incidente de seguridad informática es una violación o amenaza inminente de violación de las políticas de seguridad informática, políticas de uso aceptable o prácticas de seguridad estándar. Algunos ejemplos de incidentes son: Un atacante ordena a una botnet que envíe grandes volúmenes de solicitudes de conexión a un servidor web, lo que hace que se bloquee. Se engaña a los usuarios para que abran un "informe trimestral" enviado por correo electrónico que en realidad es malware: ejecutar la herramienta infecta el ordenador y establece conexiones con un host externo. Un atacante obtiene datos confidenciales y amenaza con divulgarlos públicamente si la organización no paga una suma de dinero designada. Un usuario proporciona o expone información confidencial a otros a través de servicios de intercambio de archivos punto a punto. Una vez que acordamos lo que es un incidente, deberíamos crear y definir (en caso de que no tuviéramos) una política, procedimiento, herramientas y estructura necesarias para recepcionar, analizar y responder a incidentes de seguridad. Lo siguiente debería ser adherirse a algún estándar o modelo. A continuación las fases del Estándar ISO 27035 y del NIST: Como se puede observar, son casi lo mismo, sin importar el modelo, frameworks o estándar que se use. La idea básica es que la gestión de incidentes debe ser un modelo estructurado, separado en fases, con la idea de poder mejorar cada fase por separado y medirlas de mejor manera. ¿Qué aprendimos después del dolor? Una de las partes mas importantes en respuesta a incidentes es también la más omitida. Es recomendable que todos los involucrados en el incidente se reúnan tras el incidente y expongan las lecciones aprendidas, para que quede todo documentado e incluso lo aprendido sea parte del programa de concientización de la organización. Algunas de las preguntas de dicha reunión serían: ¿Exactamente qué ocurrió y cuándo? ¿Cómo de bien lo hicimos? ¿Los procedimientos documentados se siguieron? ¿Fueron adecuados? ¿Qué podríamos cambiar la próxima vez para hacerlo mejor? ¿Qué Precursores e Indicadores deberíamos vigilar más de cerca la próxima vez? Conoce más sobre incidentes de ciberseguridad en la segunda parte de este post que te dejamos a continuación. Te invitamos también a ver la 5ª temporada de nuestros #11PathsTalks. CYBER SECURITY ¿Preparados para un incidente de ciberseguridad? (parte 2) 27 de febrero de 2020
16 de enero de 2020
Ciberseguridad
Descubriendo el mundo del biohacking
No es la primera vez que hablamos sobre biohacking en el blog de ElevenPaths, si quieres conocer su historia te invitamos a visitar este post en el que hablamos de "Biohackers everywhere". ¿Qué es el biohacking? Para mí, el biohacking, más que un ámbito o ciencia es un estilo de vida, una forma de pensar distinta a lo establecido, biológicamente hablando. Si realizas una búsqueda sobre el tema por Internet, lo primero que encuentras es: DIYB (Do It Yourself Biology), haz biología por ti mismo. Esto significa estudiar, analizar, experimentar con el cuerpo humano usando algo externo, desde una vitamina o suplemento hasta tecnología. ¿Con qué objetivo? Te preguntarás, con el objetivo principal de la ciencia: mejorar, curar enfermedades, aumentar capacidades físicas o cognitivas e, incluso, aumentar el promedio de vida de las personas. Una forma simple de explicar qué es el biohacking sería: la “ciencia” que tiene como objetivo, en primer lugar, mejorar las capacidades del cuerpo humano manipulándolo utilizando suplementos y/o tecnología y, en segundo lugar, hacer que el conocimiento, técnicas y tecnología necesarias para hacerlo estén al alcance de todos, es decir, poner a disposición de todo el mundo lo que muchas veces se reserva solo para laboratorios de grandes corporaciones, democratizando la "ciencia" de vanguardia mientras se mantiene segura. Digo “ciencia” entre comillas porque no es realmente una ciencia, no esta reconocida como tal y tampoco esta aprobada por ninguna asociación internacional de medicina o salud, por lo tanto, no es realizada por doctores en clínicas u hospitales, sino que por investigadores apasionados, la mayoría con estudios formales de medicina o materias afines y también por hackers, ¿Qué estamos haciendo, por tanto, con esto del biohacking? Convertir nuestros cuerpos (o el de un amigo) en los laboratorios, pero claro, debemos tomar muchas precauciones y actuar con ética y responsabilidad, porque no estamos experimentando con un software o hardware y un error nos podría costar la vida, literalmente hablando. Consideramos que es un movimiento que sostiene que los seres humanos pueden y deben usar la tecnología para aumentar y evolucionar a nuestra especie. Cuando hablamos de biohacking abarcamos desde el uso de suplementos o nuevas técnicas para mejorar nuestro cuerpo hasta el uso de tecnología para el mismo objetivo. Cómo iniciarse en el biohacking Respecto a la parte natural del biohacking, recomiendo buscar y seguir a Dave Asprey el “padre del biohacking". Una forma simple de empezar es haciendo una dieta alimenticia, así de simple, si “cambiamos” o “hackeamos” a nuestro organismo, entregándole menos carbohidratos, más vegetales, más vitaminas y menos azúcar, todo combinado con mucho ejercicio y agua por supuesto, si soportan este cambio en su cuerpo y cerebro, están preparados para empezar con el biohacking. Continuando con el biohacking usando tecnología, una forma relativamente simple pero que requiere un compromiso mayor con el Transhumanismo o cultura Cyborg y una pizca de tolerancia al dolor, es un implante de un chip. Hoy existen muchos sitios web como Dangerous Things, donde se puede adquirir un chip especialmente diseñado para ser implantado, junto a la las instrucciones para implantarlo, aunque se recomienda hacerlo con alguien que tenga experiencia en la materia. En este video podéis ver una charla con la historia del biohacking y el proyecto “Abrir la Barrera de Acceso como Magneto, aumentando la Seguridad”. Aumenta tu seguridad con un chip ¿Cómo es posible aumentar la seguridad usando un chip en vez de una tarjeta de acceso? Simple: una tarjeta se puede perder, la pueden robar, se puede romper, etc. La mano no, por lo tanto, el chip implantado es más seguro que la tarjeta. Podrías usar el implante para entrar a tu casa, apartamento u oficina sin necesidad de llaves, pero esto va mas allá, en discapacidad los avances son increíbles, hace poco lo indicaba Zoltan Istvan, quien se postuló para la presidencia de Estados Unidos como jefe del Partido Transhumanista: tener un implante es divertido y conveniente, también señaló que "para algunas personas con capacidades distintas y que no tienen brazos, un chip en sus pies es la forma más sencilla de abrir puertas u operar algunos artículos del hogar modificados con lectores de chips". Es en salud donde mas se ha avanzado con el biohacking y por eso es esperable que pronto sea considerado y aprobado por los organismos internacionales de salud. En Chile existen 2 proyectos muy importantes creados para personas con capacidades distintas o discapacidad (1% de la población mundial) y son Overmind (proyecto presentado en la Villa de Biohacking de Defcon26) y Mi Voz (proyecto que obtuvo el 4to lugar en “Una idea para cambiar la historia). Si te interesan estos proyectos y quieres saber más sobre biohacking disfruta del webinar “Biohacking The Discapacity” de nuestra 5ª temporada de los #11PathsTalks.
4 de julio de 2019
Ciberseguridad
Implementando ciberseguridad desde cero (Parte 2)
Con el objetivo de continuar con el post publicado en nuestro blog hace unos días sobre "Cómo implementar Ciberseguridad desde cero", continuamos con nuestros consejos de cómo empezar a implementar Ciberseguridad en una empresa u organización, incluso en el hogar. Cyber Kill Chain Se trata de un nuevo marco de ámbito técnico, muy importante en la actualidad, desarrollado por Lockheed Martin, el marco Cyber Kill Chain® es parte del modelo Intelligence Driven Defense® para la identificación y prevención de la actividad de intrusiones cibernéticas. El modelo identifica lo que los adversarios deben completar para lograr su objetivo. Los siete pasos de Cyber Kill Chain® mejoran la visibilidad de un ataque y enriquecen la comprensión de un analista de las tácticas, técnicas y procedimientos de un adversario. Figura 1: Cyber Kill Chain 20 controles Críticos CIS En 2008, la Oficina del Secretario de Defensa solicitó ayuda a la Agencia de Seguridad Nacional (NSA) para priorizar la búsqueda de controles de seguridad disponibles para la ciberseguridad. La solicitud fue realizada a la NSA porque ésta "comprendió mejor cómo funcionaban los ataques cibernéticos y qué ataques se usaban con mayor frecuencia". Esta solicitud llegó en un momento en que la frase "la ofensa debe informar a la defensa" se había convertido en un mantra de la Casa Blanca para la ciberseguridad. El mandato del Departamento de Defensa (DoD) de USA para los 20 CSC fue descrito de la siguiente manera por Tom Donahue de la CIA: "Primero arregle los males conocidos". Eso significa que ningún control debe ser una prioridad a menos que se pueda demostrar que detiene o mitiga un ataque conocido. Este mandato fue la clave que vino a separar los controles críticos de CIS de la mayoría de las otras listas de controles. De esta manera comenzó la historia de los 20 controles críticos, que es el resultado del trabajo de la NSA, CIA, FBI, SANS y un par de marcas de ciberseguridad hoy a cargo del CIS (Center for Internet Security), el objetivo, implementar los controles que "realmente mitigan" los ataques de ciberseguridad actuales, es un estudio vivo que se va actualizando, cambiando el orden y número de los controles, todo basado en cómo van mutando los ataques actuales. Definitivamente, consideramos que es el camino más eficiente para implementar ciberseguridad, ya que al introducir los 20 CSC realmente se están mitigando los ciber ataques actuales y se esta haciendo un uso eficiente del presupuesto. Distribución de los 20 CSC Figura 2: Distribución de los 20 CSC Hay 5 quick wins, acciones que requiere poco esfuerzo pero que dan un resultado relativamente grande, de la versión 6 que sí o sí hay que aplicar. A continuación, los sub-controles que tienen el impacto más inmediato en la prevención de ataques: Listas blancas de aplicaciones (se encuentra en el CSC 2). Uso de estándares, configuraciones seguras de los sistemas (se encuentra en el CSC 3). Aplicar parches dentro de 48 horas en software de aplicaciones (se encuentra en el CSC 4). Aplicar parches dentro de 48 horas en software del sistema (se encuentra en el CSC 4). Número reducido de usuarios con privilegios administrativos (se encuentra en el CSC 3 y CSC 12). 5 Principios Fundamentales de los 20 CSC La ofensa informa a la defensa: utilizar el conocimiento de los ataques reales que han comprometido los sistemas para proporcionar la base para aprender continuamente de estos eventos y construir defensas efectivas y prácticas. Incluir sólo aquellos controles demostrados para detener ataques conocidos del mundo real. Priorización: invertir primero en los controles que proporcionarán la mayor reducción de riesgos y protección contra los actores más peligrosos y que se pueden implementar de manera viable en un entorno informático. Mediciones y métricas: establecer parámetros comunes para proporcionar un lenguaje compartido para ejecutivos, especialistas en TI, auditores y funcionarios de seguridad para medir la efectividad de las medidas de seguridad dentro de una organización, de modo que los ajustes necesarios se puedan identificar e implementar rápidamente. Diagnóstico y mitigación continuos: realizar mediciones continuas para probar y validar la efectividad de las medidas de seguridad actuales y para ayudar a dirigir la prioridad de los siguientes pasos. Automatización: automatizar las defensas para que las organizaciones puedan lograr mediciones confiables, escalables y continuas de su adhesión a los controles y las métricas relacionadas. Os invitamos a revisar cuántos controles de los 20 CSC tienen implementado en sus organizaciones. Esperamos que este post haya sido de utilidad y ya tengáis una idea de cómo comenzar a implementar ciberseguridad desde cero y, sobre todo, siendo eficientes. Para saber más sobre ciberseguridad, revisa Whitepapers, como este último Informe de tendencias en Ciberseguridad 2019 y 5ª temporada ya disponible de nuestros #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestro blog. Bibliografía: https://www.sans.org/critical-security-controls/history Consulta la primera parte del post Implementando ciberseguridad desde cero aquí.
6 de junio de 2019
Ciberseguridad
Ciberseguridad: aprende cómo implementarla desde cero (Parte 1)
Actualmente, la evolución tecnológica e innovadora de las empresas representa un gran progreso para las empresas. Sin embargo, también implica compromiso para resguardar la información generada. De modo que cuando aún no se ha implementado ciberseguridad o no se ha invertido en ella, es muy común preguntarse: ¿Cómo empiezo? ¿Qué estándares utilizo? ¿Qué controles elijo? ¿Esta tecnología realmente nos protegerá de los ataques actuales? Por su parte, We Live Security en su informe 2019, afirma que en el 2018 se tuvieron graves casos de vulneración de datos. Uno de los más notables fue el incidente de Facebok y Cambridge Analytica. Igualmente, entró en vigencia el Reglamento General de Protección de Datos para minimizar anteriormente lo descrito. Igualmente, Mckinsey, estima 4 tendencias relativas a la seguridad: Mayor valor en línea. Según la consultora, muchas instituciones experimentan mayores ataques en línea debido a la diversidad de transacciones que allí se gestan. Es un mundo donde pueden extraerse datos y transacciones personales de clientes. Por consiguiente, es una fuente a proteger continuamente. Las corporaciones trabajan más en redes y son más abiertas al mundo digital. Mediante los dispositivos móviles, mayores actividades se realizan desde allí. Desde estos se encuentran piratas informáticos para el ingreso de malware. Las cadenas de suministro están más interconectadas. Sumado a sus beneficios, también implica protección contra los ataques en los diversos eslabones de la cadena. Los cibercriminales son más sofisticados. Incluso existen organizaciones profesionales de ciberdelitos y grupos avanzados tecnológicamente. Actualmente, los malware son más difíciles de detectar y frecuentemente se personalizan para robar datos y obtener ganancias financieras. Basado en todo lo anterior, se confirma la importancia de que las empresas concienticen sobre la información en torno a su protección de los cibercriminales. De hecho, un estudio de Gartner de 2018, indica que se espera que el mercado global de ciberseguridad alcance los 170.400 millones de dólares en 2022. ¿Qué es la ciberseguridad? Debemos partir con esta definición, que a pesar de ser un término relativamente nuevo, su concepto no lo es tanto. Básicamente, nos referimos a seguridad informática, proteger y gestionar el riesgo relacionado con la infraestructura computacional e información contenida en dicha infraestructura, es decir, “The Matrix” . Figura 1: Cybersecurity Principales tipos de ciberseguridad En torno a los tipos de ataques contra la ciberseguridad, se pueden señalar dos grupos principales: Ataques pasivos: en este caso, un atacante obtiene derechos sin cambiar el contenido de los mensajes. Para lograr su fechoría, el atacante escucha y analiza el tráfico entre dos estaciones de trabajo. Los ataques activos, consisten en el cambio, eliminación y copia de contenido de los archivos. Los cibercriminales logran identificarse como usuario autorizado y deshabilitan el flujo de datos normal, entre otros. (Vukašinović, 2018). ¿Qué se requiere para iniciar? La implementación de medidas preventivas de seguridad, suponen que las organizaciones deben ejecutan acciones claras para la protección de sus datos. Se debe recordar que la información es uno de los activos a proteger de todas sus formas. Además de tener la responsabilidad de implementar un plan de seguridad integral de una empresa, se debe concienciar en la empresa; entonces la palabra clave será “creer”. Si no se cree en que la ciberseguridad es necesaria, o mejor dicho, fundamental, lamentablemente no se destinará el presupuesto suficiente a este ámbito. Por ende, es extraño pensar que en el año 2019, cuando la información llega por diferentes canales directamente a nuestro teléfono móvil y donde Internet es el canal principal, aun sea necesario concienciar sobre lo importante que es invertir en ciberseguridad. Si es el caso, lo primero que se debe conseguir es que crean, ya que creer es poder. Una forma tradicional de vender seguridad o ciberseguridad es a través del miedo, “esto te pasará si no inviertes…”, “si no compras mi tecnología estas totalmente expuesto….En ElevenPaths pensamos que la mejor herramienta es la educación. Por lo que mediante este enfoque debemos concentrarnos y en enseñar sobre: Cuáles son las amenazas actuales. Cómo se pueden mitigar. De qué manera se puede prevenir. Cómo se debe reaccionar cuando ocurre un incidente. Qué técnicas de seguridad aplicar, etc. Si se necesitan “brechas” que mostrar, recomendamos Information is Beatiful que es un portal muy popular con varios estudios transformados en infografías, o como ellos lo llaman, el “arte de la visualización de los datos”. También en nuestro blog se pueden encontrar diferentes posts sobre investigaciones relacionadas con brechas de seguridad, como la interesante charla que presentaron los colegas Jaime y Pablo en la RootedCON 2019. Figura 2: brechas y hacks de datos más grandes del mundo Análisis y gestión En ciberseguridad, estos dos conceptos siempre van de la mano. Ya sea que estamos hablando en un ámbito más técnico, por ejemplo vulnerabilidades, o en un ámbito más de gestión, por ejemplo “riesgos”. Nos centraremos en este último ámbito. Conforme a ello, para empezar a implementar medidas de seguridad hay que tener algo muy claro: cuál es el contexto general donde transita la información. Puedes consultar la charla sobre Análisis de Riesgos que incluimos en la primera temporada de nuestros #11PathsTalks. Figura 3: contexto general de la seguridad de la información Una vez que entendemos el contexto general de la seguridad podemos comenzar pero, ¿cómo? Hoy en día hay muchos estándares, marcos de trabajo, metodologías, etc. Siempre es más seguro utilizar los más usados y eficientes. En este sentido, creemos que es fundamental entender y ocupar el Framework de Ciberseguridad del NIST (que acaba de cumplir 5 años), ya que aglutina las fases básicas y más importantes en nuestra opinión: Identificar. Proteger. Detectar. Responder. Recuperar. Este marco voluntario consta de estándares, directrices y buenas prácticas para gestionar los riesgos relacionados con la seguridad cibernética. El enfoque prioritario, flexible y rentable del Marco de Seguridad Cibernética ayuda a promover la protección y la resistencia de la infraestructura crítica. Así como en otros sectores importantes para la economía y la seguridad nacional de Estados Unidos. Figura 4: fases del framework de ciberseguridad Una iniciativa que también recomendamos es Secure Control Framework. Su misión es proporcionar un poderoso catalizador que promueva la forma en que los controles de privacidad y ciberseguridad se utilizan en las capas estratégica, operativa y táctica de una organización; independientemente de su tamaño o industria. Básicamente es un herramienta en un portal web donde existen más de 100 estándares, ISO, controles, frameworks, etc. Se pueden elegir a cuáles se quieren adherir y el portal muestra los controles que deben implementarse de manera integral. Figura 5: portal web SCF (Secure Control Framework) En suma, las medidas de ciberseguridad se componen de un plan que permita la sensibilización y concientización de todos en la organización. Sumado a ello, se esperan diagnosticar constantemente para prevenir sobre los peligros latentes en los sistemas. Finalmente, el control es vital; en otras palabras monitorear lo planificado, determinará que todo va según lo diseñado en seguridad. Continuaremos desarrollando el post en una 2ª parte, estad atentos a nuestro blog y, mientras tanto, los invitamos a ver la 5ª temporada de nuestros #11PathsTalks. Consulta la segunda parte del post Implementando ciberseguridad desde cero aquí. CYBER SECURITY Implementando ciberseguridad desde cero (Parte 2) 6 de junio de 2019 Referencias Bibliográficas Vukašinović, M. (2018). Cyber Security Measures In Companies. Paper de Conference: International Journal of economics and statistics. Disponible en: https://www.researchgate.net/publication/330325833_Cyber_Security_Measures_In_Companies
30 de mayo de 2019
Ciberseguridad
Lazarus, levántate y camina…
Haciendo alusión a la frase celebre que le dice Jesús a Lázaro cuando lo resucita quiero partir este post, pero en este caso el protagonista no es el personaje bíblico, si no un grupo cibercriminal norcoreano, y “levántate y camina” calza perfectamente con el fenómeno que esta ocurriendo en Chile y Latinoamérica, ya que este grupo de ciberdelincuentes se esta alzando y con fuerza, por si no lo sabían, al grupo norcoreano Lazarus, se le adjudican una serie de campañas y ataques desde el 2007. El ataque más antiguo que se puede atribuir al Grupo Lazarus tuvo lugar en 2007. Este ataque fue denominado "Operación Llama" o "Operation Flame" en ingles y utilizó malware de primera generación contra el gobierno de Corea del Sur. Según algunos investigadores, la actividad presente en este ataque puede vincularse a ataques posteriores como "Operación 1Misión", "Operación Troya" y los ataques DarkSeoul en 2013. El siguiente incidente tuvo lugar el 4 de julio de 2009 y provocó el inicio de "Operación Troya". Este ataque utilizó el malware Mydoom y Dozer para lanzar un ataque DDoS a gran escala, poco sofisticado, contra sitios web de EE. UU y Corea del Sur. La ráfaga de ataques afectó a treinta y seis sitios web y colocó el texto "Memoria del día de la Independencia" en el registro de arranque maestro (MBR). Con el paso del tiempo, los ataques de este grupo se han vuelto más sofisticados, sus técnicas y herramientas han evolucionado y son más efectivas. El ataque de marzo de 2011 conocido como "Diez días de lluvia" se centró en medios de comunicación, finanzas y la infraestructura crítica de Corea del Sur y consistió en ataques DDoS más sofisticados que se originaron en ordenadores comprometidas dentro de Corea del Sur. Los ataques continuaron el 20 de marzo de 2013 con DarkSeoul (mas sobre este ataque y la vida de un hacker en Corea del Sur en nuestro blog), un ataque de malware wiper que tuvo como objetivo tres compañías de transmisión de Corea del Sur, institutos financieros y un ISP. En ese momento, otros dos grupos, NewRomanic Cyber Army Team y WhoIs Team, reconocieron ese ataque, pero los investigadores descubrieron que el Grupo Lazarus estaba detrás de él. Un ataque notable por el que se conoce al grupo es el ataque de 2014 en Sony Pictures. El ataque de Sony utilizó técnicas más sofisticadas y destacó cómo ha evolucionado el grupo con el tiempo, también se le atribuye la creación del ramsomware “Wannacry”. ¿Quiénes son? Según varias investigaciones, el Grupo Lazarus (también conocido como Hidden Cobra o DarkSeoul) es un grupo de cibercriminales compuesto por un número desconocido de individuos, su modus operandi principal es el uso de malware avanzado contra sus objetivos. De acuerdo a lo indicado por el gobierno de los EEUU, UK y Rusia, es un grupo de cibercriminales patrocinado por el estado, cuyo nombre en código es Hidden Cobra, está supuestamente controlado por el Bureau 121, una división de la Oficina General de Reconocimiento, una agencia de inteligencia de Corea del Norte. Bureau 121 es responsable de realizar campañas cibernéticas militares contra distintos objetivos. Se sabe que Lazarus se ha especializado en ataques DDoS y violaciones corporativas dirigidas a instituciones gubernamentales, militares y aeroespaciales de todo el mundo. Ahora que la presión económica global sobre Corea del Norte ha aumentado, Lazarus ha cambiado su enfoque hacia las organizaciones financieras internacionales para realizar robos de dinero y espionaje. El primer ataque de Lazarus en el ámbito financiero y el de mayor escala ocurrió en febrero de 2016, cuando los ciberdelincuentes intentaron robar alrededor de 1 billón de dólares del Banco Central de Bangladesh aprovechando las debilidades en la seguridad del banco para infiltrarse en su sistema y obtener acceso a computadoras con acceso a la red SWIFT. Debido a un error en el documento de pago, los atacantes lograron robar solo 81 millones de dólares. En marzo de 2017, funcionarios del FBI y la NSA confirmaron públicamente por primera vez que Pyongyang estaba probablemente detrás del ataque al Banco Central de Bangladesh. En febrero de 2017, varios bancos polacos se vieron comprometidos. Los investigadores de seguridad analizaron el código de malware y lo utilizaron principalmente para atribuir la actividad al grupo Lazarus. Pero como las herramientas a menudo son reutilizadas por diferentes grupos, el análisis de malware no proporciono evidencia concluyente de atribución. Especialistas de la empresa rusa Group IB investigaron a este grupo y encontraron pruebas que identifican que Corea del Norte está detrás de estos ataques, a través de la detección y análisis exhaustivo de varias capas de la infraestructura de comando y control “C&C” utilizada por Lazarus identificaron las direcciones IP de Corea del Norte desde las cuales se controlaron los ataques. Desde estos casos, muchos otros ataques han sucedido con modus operandi y vector de ataque similar, por lo tanto todo apunta a que fueron cometidos por el mismo grupo Lazarus, Group IB ha investigado al grupo y han relacionado a otros países donde se buscaba el mismo objetivo: robar dinero. A continuación 2 mapas mundiales donde se identifican las operaciones de Lazarus. Mapa elaborado por Group IB sobre países objetivo de Lazarus Suponiendo que el sistema financiero asiático reacciono a estos ataques y aumentó las barreras para evitar seguir siendo victima y que los bancos en Europa estaban mejor preparados, el grupo comenzó a mirar otros objetivos y así llego a Latinoamérica. El primer ataque de Lazarus en Latinoamérica sucedió en Ecuador en el Banco del Austro en febrero del 2016, costándole12 millones de dólares a la entidad, para realizar el ciber-robo se siguieron los siguientes pasos: Utilizar malware para saltarse el sistema de seguridad local del banco. Obtener acceso a la red de mensajería SWIFT. Enviar mensajes fraudulentos a SWIFT para iniciar transferencias de dinero desde las cuentas corrientes hasta bancos más grandes. Durante diez días los hackers utilizaron las credenciales de SWIFT pertenecientes a un empleado del banco para modificar los detalles de transacción de 12 transferencias que sumaron alrededor de 12 millones de dólares, acabando todo ese dinero en cuentas bancarias en Hong Kong, Dubái, Nueva York y Los Ángeles. También ha habido ataques no confirmados y donde existe muy poca información que relacionan a la organización con ataques en México, donde indican que Lazarus quiso llevarse 100 millones de dólares del sistema financiero mexicano a través de un ciberataque. “Logramos identificar que un grupo de hackers de origen norcoreano han intentado afectar al sistema financiero nacional”, reveló Marco Rosales, titular de la Unidad de Investigaciones y Operaciones Tecnológicas de la Procuraduría General de la República (PGR). También supuestamente robaron 11 millones de dólares de un banco no identificado en Costa Rica, intentos de ataque en Uruguay, Colombia y Brasil, hasta que llegaron a Chile, donde atacaron al Banco de Chile en mayo del 2018 (10 millones de dólares), Banco Consorcio en noviembre del 2018 (2 millones de dólares) y Redbanc en diciembre del 2018 (0, lograron repeler el ataque).
7 de marzo de 2019
Ciberseguridad
Los sesgos del arte del engaño
Hace un par de semanas atrás, un compañero escribía una entrada en el post explicando “Los seis principios de la influencia que utilizan los cibercriminales para hackear tu cerebro”, y también, en algún webinar de los ElevenPaths Talks hemos conversado sobre la Ingeniería Social como "A la Pesca de Víctimas" y "El Arte del Engaño". A partir de haber definido en varias ocasiones que la Ingeniería Social es una mezcla de ciencia, psicología y arte, como "cualquier acto que influya en una persona para tomar una acción que puede o no ser lo mejor para él”, creemos que la ingeniería social no siempre es negativa y abarca el cómo nos comunicamos con nuestros padres, terapeutas, hijos, cónyuges… como lo define el propio Kevin Mitnick en su libro “The Art of Deception”. En la entrada anterior, comentábamos sobre las formas de influir, pero en esta ocasión, queríamos tratar el tema de los sesgos. Los sesgos no son más que las desviaciones de un estándar de racionalidad o buenos juicios. Hay muchos tipos diferentes, sin embargo, estos 7 son los más importantes que queremos mencionar: Quid Pro Quo: Significa algo para algo, muy utilizado por policías y agencias de inteligencias, pero también por ingenieros sociales. Un atacante llama a números aleatorios en una empresa que reclama llamar desde el soporte técnico. Eventualmente llegaran a alguien con un problema legítimo, agradecidos de que alguien los llame para ayudarlos. El atacante "ayudará" a resolver el problema y, en el proceso, la victima tendrá que escribir comandos que le den acceso al atacante o inicien la instalación de algún código malicioso (malware). Baiting: Es como el caballo de Troya contemporáneo, se utilizan medios físicos, por lo general periféricos y se basa en la curiosidad o la codicia de la víctima. En este ataque, el atacante deja un pendrive USB infectado con malware o un disco duro externo USB en una ubicación segura (baño, ascensor, acera, estacionamiento), le da una etiqueta de aspecto legítimo y curioso, y simplemente espera a que la víctima use el dispositivo. Hoy en día no es necesaria la interacción del usuario para tomar control del computador de la victima, solo es necesario que lo conecte para que se ejecute el payload. Pretexting: Es el acto de crear y usar un escenario inventado para involucrar a una víctima específica de manera que aumente la posibilidad de que la víctima divulgue información o realice acciones que serían poco probables en circunstancias normales. Esta técnica se puede utilizar para engañar a una empresa para que divulgue información del cliente, así como por investigadores privados para obtener registros telefónicos, registros de servicios públicos, registros bancarios y otra información directamente de los representantes del servicio de la compañía. La información puede ser utilizada para establecer una legitimidad aún mayor bajo un cuestionamiento más intenso con un gerente, por ejemplo, para hacer cambios en la cuenta, obtener saldos específicos, etc. Diversion Theft: También conocido como "Corner Game" o "Juego de la esquina", originado en el East End of London, el robo de diversión es una "estafa" ejercida por ladrones profesionales, normalmente, en contra de una empresa de transporte o mensajería. El objetivo es persuadir a las personas responsables de una entrega de que el envío se solicita en otro lugar. Tailgaiting o Piggybacking: Un atacante busca ingresar a un área restringida donde el acceso es desatendido o controlado por un control de acceso electrónico. Esta técnica consiste en simplemente entrar detrás de una persona que tiene acceso, mayormente utilizada en organizaciones donde se tiene más de una puerta o tal vez una salida secundaria al establecimiento. La persona legítima generalmente mantendrá la puerta abierta para el atacante, además, no solicita la identificación y asume que el atacante ha olvidado o perdido la tarjeta de identidad correspondiente. Phishing: Técnica de suplantación de identidad mediante correos electrónicos fraudulentos que conducen a sitios web falsos. El objetivo de este ataque es el robo de credenciales y datos sensibles, además de infección del equipo y la red. Se diferencian dos tipos de phising: Phising genérico - Características: El phishing no es necesariamente dirigido. Se cuelga de servidores y dominios existentes, y envía spam masivamente. Su efectividad es baja, pero debido al alto número de muestra, es viable. Spear Phishing - Características: El phishing es dirigido. Cuenta con dominio personalizado. Es altamente efectivo ya que si el atacante se dedica a autenticar el correo este llegaría a la bandeja de entrada de la víctima. Registro SPF, Firma DKIM, DMARC, etc. Phising de una falsa advertencia sobre una multa no pagada en una autopista de Chile. El link tiene URL de Francia, pretende que bajemos un ZIP infectado con un ransomware Sitio web falso que simula ser un Banco Estado Una de las principales conclusiones del reporte DBIR (Data Breach Investigation Report) del 2018 es que los cibercriminales siguen teniendo éxito con las mismas técnicas probadas y comprobadas, y sus víctimas siguen cometiendo los mismos errores. Hoy en día, las personas siguen cayendo en las mismas trampas de los cibercriminales, y siguen cayendo en campañas de phishing. Vishing: Esta técnica utiliza un sistema de respuesta de voz (IVR) fraudulento para recrear una copia legítima de un sistema de IVR de un banco u otra institución. Se le solicita a la víctima (generalmente a través de un correo electrónico de suplantación de identidad) que llame al "banco" a través de un número (idealmente gratuito) proporcionado para "verificar" la información, incluso puede hacer la llamada directamente haciéndose pasar por el ejecutivo del banco. Recomendaciones Las personas deben establecer marcos de confianza. (Deben de responder a estas preguntas: cuándo, dónde, porqué, cómo se debe manejar la información privada y confidencial. Verificar siempre las fuentes de información de los correos y llamadas entrantes. Nunca ingresar un link directamente desde el correo. Revisar periódicamente tus cuentas bancarias. Pedir detalles siempre sobre la identidad de quien llama, si alguien llama y no puede acreditar quien es o de qué empresa habla, no mantengas la conversación. No debes sentir obligación/urgencia/felicidad de recibir un correo/llamada y proporcionar información privada o información de tu tarjeta bancaria, por lo general si lo sientes, es un phishing. Como cita Kevin Mitnick: “Pueden contar con procesos bien definidos y robustos, además de la mejor y última tecnología disponible, sin embargo, lo único que necesita es un llamado a un usuario no capacitado o desprevenido, para vulnerar toda la seguridad de una compañía". Conclusiones Hay que tener mucho cuidado cuando recibes un correo de un desconocido o una llamada de un extraño, las personas somos el eslabón mas débil de la ciberseguridad. Para despedirme, os invito a conocer más sobre los #11PathsTalks, webinars gratuitos impartidos por los Chief Security Ambassadors.
22 de noviembre de 2018
Ciberseguridad
Bug bounty, ¿solo una moda o ha llegado para quedarse?
El bug bounty esta más presente de lo que pensamos y, poco a poco, se va a ir haciendo más popular, sobre todo si trabajas en Seguridad Informática. De hecho, lo hemos mencionado previamente en la newsletter quincenal CyberSecurity Pulse y en algún post como este. Nuestra pregunta es bien sencilla, ¿qué es el bug bounty? Para poder definir este concepto, vamos a partir de la explicación de algunos otros conceptos o definiciones básicas. Un bróker (del inglés broker) es un individuo o institución (agente de bolsa) que organiza las transacciones entre un comprador y un vendedor para ganar una comisión cuando se ejecute la operación. Hay muchos tipos de brokers: de seguros, tecnología, etc. y en el caso de bug bounty, podemos decir que utilizamos el mismo concepto, es un intermediador entre proveedores (en este caso Hackers) y clientes (las empresas). El crowdsourcing (del inglés crowd – multitud – y outsourcing – recursos externos) se podría traducir al español como colaboración abierta de tareas, es decir, que las tareas se realicen mediante comentarios de un grupo de personas o comunidad, a través de una convocatoria abierta. Ejemplos de este concepto, son Facebook, empresa que genera mas contenido sin tener escritores, UBER, empresa de viajes que ningún auto es propiedad de ellos, AirBNB, etc. Las plataformas de bug bounty utilizan el mismo concepto: permiten la interacción entre clientes y hackers, generando servicios, ethical hacking, provenientes de la comunidad de hackers para clientes que tienen la necesidad de descubrir en sus plataformas tecnológicas, errores y/o vulnerabilidades. ¿Pero cómo funciona el modelo? Los hackers trabajan en base a programas con recompensas que abren los clientes, que permite evaluar y explotar de manera controlada las vulnerabilidades que van encontrando en los objetivos definidos buscando ganar una recompensa por el hallazgo, la cual estará a cargo del cliente o del equipo de la empresa de bug bounty. Una de las ventajas principales de este tipo de servicios es que el cliente puede administrar de manera autónoma sus programas. Solo debe registrarse como cliente, abrir un programa, definir un monto total para las recompensas, decidir si el programa será privado o publico, e invitar a los hackers, así de simple. Los servicios adicionales ofrecidos suelen ser la posibilidad de administrar el programa en cuestiones, como por ejemplo, validar los reportes que envían los hackers (necesario perfil técnico con experiencia en ethical hacking), capacidad de elegir hackers por ranking (dinero recolectado y/o por puntos) y posibilidad de hacer un retest. Desde el punto de vista del hacker, debes inscribirte como tal, pasar un proceso de selección y/o firma de acuerdos de confidencialidad y ética, no todas las empresas de bug bounty ocupan el mismo criterio. Después del proceso de inscripción y selección ya estás en condiciones de ver los programas públicos o ser invitado para un programa privado y hackear. Una vez encuentras alguna vulnerabilidad y puedes explotarla y reproducir el ataque, estás en condiciones de escribir un reporte y enviarlo para pago de recompensa. Por lo general, el pago está relacionado al nivel de criticidad de la vulnerabilidad. Tabla nivel de vulnerabilidad /pago de recompensa La historia parte de hace 23 años El 10 de octubre de 1995, Netscape lanzó el primer programa de bug bounty que ofrecía recompensas en efectivo a aquellos que encontraban errores de seguridad en su navegador Netscape Navigator 2.0 Beta. Matt Horner, vicepresidente de marketing de Netscape, explicó en su momento que "al recompensar a los usuarios por identificar y reportar rápidamente errores, este programa fomenta una revisión extensa y abierta de Netscape Navigator 2.0 y nos ayuda a continuar creando productos de la más alta calidad". La mentalidad de Netscape como pionero fue impresionante, pero la idea no se hizo realidad con otros proveedores de software. Foto de pantalla de Netscape Navigator 2.0 Debido a que la iniciativa bug bounty de Netscape no atrapó a otros proveedores, la empresa de seguridad IDefense, que luego fue comprada por Verisign, comenzó su propio programa de bug bounty en 2002, y ofreció a los hackers recompensas en efectivo de hasta 400 USD por informar vulnerabilidades en el software. En el verano de 2004, nueve años después del bug bounty de Netscape, la fundación Mozilla lanzó un programa que ofrecía recompensas de 500 USD para los hackers capaces de identificar las vulnerabilidades críticas en Firefox. El programa fue patrocinado por el emprendedor (y turista espacial) Mark Shuttleworth y el distribuidor de Linux Linspire. El programa de Mozilla sigue vigente hoy en día, ampliado para cubrir la mayoría de los productos de Mozilla. En el 2005, el competidor de IDefense, TippingPoint lanzó otro programa de "intermediarios" llamado Zero Day Initiative (ZDI). Al igual que IDefense, TippingPoint conectó a la comunidad de seguridad con los proveedores al ofrecer recompensas en efectivo por informes sobre vulnerabilidades. El ZDI todavía está funcionando, ahora liderado por TrendMicro que adquirió la empresa a Hewlett-Packard en el 2015. Tres semanas antes de la conferencia CanSecWest de 2007, Dragos Ruiu (fundador de CanSecWest) anunció el concurso PWN2OWN, una búsqueda de errores de seguridad en Mac OSX. Esta era la forma en que Ruiu demostraba su frustración con la manera en que Apple manejaba la seguridad y la divulgación. El concurso se celebró dentro de un marco de tiempo limitado, con un computador portátil como premio, pero luego se actualizó a una recompensa de 10.000 USD proporcionada por ZDI. PWN2OWN fue un gran éxito y se ha convertido en un evento recurrente en CanSecWest. Pasó a ser parte de ZDI y hoy, no solo se buscan vulnerabilidades en Apple, sino también en Microsoft, VMWare, BD, aplicaciones y navegadores. En 2010, el programa de bug bounty de Google impulsó la tendencia hacia programas de bonificación de errores para aplicaciones web. A principios del mismo año, Google lanzó un programa similar para el proyecto de fuente abierta Chromium, que causó gran éxito. El programa de recompensas de Google, que invitó abiertamente a hackers de todo el mundo, fue similar al que Mozilla lanzó en 2004. Este año pasaron muchas cosas en la escena bug bounty: Mozilla decidió ampliar su programa a aplicaciones web, Barracuda lanzó su programa y Deutsche Post, el servicio postal federal alemán, publicó un programa para su servicio de mensajería segura. Facebook siguió los pasos de Google y lanzó su programa whitehat en 2011. Facebook pagaría recompensas mínimas de 500 USD, sin límite máximo. El programawhitehat de Facebook todavía se sigue ejecutando y se han pagado más de 4 millones de USD en recompensas. Desde el 2011 a la fecha se han abierto muchos programas y existen empresas que se dedican 100 % a esta intermediación entre hackers y clientes, utilizando el potencial de la comunidad hacker. Estos son reconocidas como empresas de bug bounty, Las más importantes son Hackerone, Bugcrowd, Synack y Vulnscope. Por el lado del mercado, cada vez mas empresas confían y han legitimado este tipo de servicio. Abren programas copiando a las pioneras Netscape y Mozilla, sin embargo, no solo la empresa Fintech, sino que de todos los rubros, incluso del sector bancario, donde han encontrado una solución para evitar el reporte publico (full disclosure) de las vulnerabilidades e impulsar a través de los programa de bug bounty un reporte responsable y confidencial de las vulnerabilidades encontradas, las recompensas han aumentado de manera considerable. Microsoft ha llegado a ofrecer recompensas de 250.000 USD por hallazgos críticos en sus productos, Google paga siete veces más que lo que comenzó pagando en el 2010, en las conferencias mas importantes como RSA o DefCon es común que las empresas de bug bounty organicen competencias para hackear a sus principales clientes llegando a pagar 500.000 USD por programa (próxima DefCon26). Esta historia de intermediarios, recompensas y crowdsourcing está recién partiendo y depende mucho del nivel de madurez de cada mercado y país. Seguirá creciendo y cada vez serán mas populares, ha logrado democratizar el acceso al servicio de ethical hacking a un precio mucho menor y con el mismo nivel de calidad. Sin embargo, no debemos de olvidar que en seguridad el éxito de la estrategia está basada en complementar distintos procesos, servicios, tecnologías y personas, dado que no existe la bala de plata, . Por lo tanto, el bug bounty viene a complementar el resto de servicios disponibles y necesarios.
5 de julio de 2018
Ciberseguridad
Biohackers, biohackers everywhere
Así tal cual, últimamente ya no soy sólo yo. En muchos países, medios, conferencias, sitios web, etc. están hablando de biohacking. De hecho, nosotros también lo hemos hecho en un #11PathsTalks que, si aún no lo has visto, te recomiendo hacerlo. Pero, ¿qué es el biohacking? Compuesto por las palabras “biología” y “hacking”, es una "práctica cuyo propósito es el acercamiento de la ciencia a la ciudadanía; trasladando los laboratorios de investigación a los garajes u hogares del público general (1)" . Hay muchos conceptos asociados, pero el más importante es “DiYBio (Do it yourself Biology)”. Se trata de una nueva practica “científica” en la que los que formamos parte de ella convertimos nuestros organismos o el de otros seres vivos en auténticos laboratorios. El objetivo no es otro que ampliar las capacidades del ser humano, tanto físicas como mentales, y poner la ciencia al alcance de todos. Hay una definición de Ellen Jorgensen (Bióloga Molecular) que se convirtió a Biohacker que dice así: “ Es un movimiento que defiende hacer la biotecnología accesible para todos, no únicamente para científicos y gente en los laboratorios del gobierno. La idea es que si se comparte la ciencia y se les permite participar a diversos grupos, esto podría estimular la innovación. Poner la tecnología en las manos de los usuarios finales es en general una buena idea, porque ellos tienen la mejor idea de lo que son sus necesidades. Y aquí tenemos esta tecnología muy sofisticada encaminándose, todas estas preguntas asociadas sociales, morales y éticas, y nosotros los científicos no servimos para tratar de explicar al público qué es exactamente lo que estamos haciendo en esos laboratorios. Entonces, ¿no sería maravilloso si hubiera un sitio en tu barrio dónde pudieras ir a aprender sobre estas cosas, mediante la experiencia?” Partiendo de la base de que el organismo es una máquina, por supuesto, puede mejorarse o “hackearse”, desde la secuenciación de genomas a la implantación de dispositivos electrónicos sub-dérmicos, o incluso poniendo a prueba el organismo con ensayos físicos directos como la exposición o inyección de elementos químicos (por ejemplo cloro E6). Para mí y siempre que me lo preguntan lo explico así, el biohacking es “ciencia” porque, la verdad, no es una práctica científica, ya que se basa en la metodología DiYBio. En simples palabras, es hacerlo en la casa con amigos, “ciencia” que tiene por objetivo mejorar las capacidades del cuerpo humano usando la tecnología. Un poco de historia Los primeros experimentos y Cyborgs (que la RAE define como un “ser formado por materia viva y dispositivos electrónicos”) se remontan a los años 60. En animales, el pionero fue el Dr. Joseph A. Gengerelli (1957), con su Ratón Cyborg. Una antena de radio conectada al cerebro permitía al roedor seguir instrucciones que le provocaban pequeñas convulsiones debido a las señales. Ratón Cyborg del Dr. Gengerelli (1957) Unos años mas tarde, se realizaba la primera investigación sobre aplicaciones de biohacking en rehabilitación de personas, y se realizó en el Case Institute of Technology, a principios de la década de 1960. Un exoesqueleto motorizado, fijado al piso, se controlaba a través de una fuente de luz montada en la cabeza, que activaba sensores de luz en el ambiente. Este dispositivo podía realizar tareas preprogramadas o ser movido directamente por el individuo. Este trabajo condujo al brazo Rancho 'Golden', desarrollado en el Rancho Los Amigos Hospital, en 1969. Una órtesis (según definición de la Organización Internacional de Normalización (ISO), es un apoyo u otro dispositivo externo (aparato) aplicado al cuerpo para modificar los aspectos funcionales o estructurales del sistema neuromusculoesquelético). Estaba accionada por seis grados de libertad que usaba siete conmutadores de lengua, en un modo secuencial, para maniobrar con éxito un brazo mecánico en el espacio. Este primer prototipo dio vida al The Rancho Electric Arm (REA), en 1972, que era un brazo mecánico con más prestaciones y que termino en un proyecto en la NASA. The Rancho Electric Arm (REA) Esos fueron los principios, sin embargo, el auge de este movimiento fue durante la segunda mitad del año 2000 gracias a varios factores. Uno de ellos es el desarrollo de una red de hackerspaces, donde a partir de 2005 se empezaron a realizar experimentos demostrativos de técnicas biotecnológicas en Estados Unidos. No fue hasta el periodo entre 2008 y 2010 en que la biología DIY comenzó a desvincularse de la biotecnología corporativista y de competiciones académicas como iGEM, hasta llegar a diversificarse e internacionalizarse. Los laboratorios de biología DIY están presentes en al menos 21 países en el mundo, sin contar con los individuos u otro tipo de organismos que la practican. Los principales laboratorios están concentrados en América del Norte y Europa, aunque también existen en Asia. También destaca el abaratamiento en los últimos años del material de laboratorio para realizar experiencias de biología, así como la posibilidad de creación de alternativas de bajo costo o de recuperar material usado de laboratorios profesionales y académicos. En este sentido, la biología DIY utiliza las posibilidades del movimiento de código abierto, a través de internet, para la transmisión de información sobre métodos y materiales de laboratorio. Las analogías entre la informática y los sistemas vivos son muy frecuentes en este movimiento, aunque éstas podrían revelarse como limitadas al cabo del tiempo ya que la complejidad de la vida es muy superior a la de la informática. (fuente: Wikipedia) En la actualidad Aluciné con esta “ciencia” cuando vi el 2013 un TeDx llamado “ biohacking -You can do it, too” de Ellen Jorgensen. Me permitió conocer lo importante que era y el gran potencial que tenia para la humanidad. Fue entonces cuando me puse a estudiarlo durante 3 años hasta hoy. Actualmente, vemos la palabra biohacking en muchos sitios web, noticias, conferencias, etc. Y casi todos somos biohackers. Yo, personalmente, tengo 2 implantes de chip en mis manos: en la mano izquierda un chip RFID que me implantó Amal Graafstra en la Villa de biohacking de Def Con24 y con el que puedo abrir la barrera de acceso a mi condominio. Además, me permitió realizar mi primer proyecto de biohacking llamado “ Abrir la barrera de acceso como Magneto, aumentando la seguridad”. Por otro lado, en la mano derecha tengo un chip NFC que me implantó Janine Medina en 8.8 Resistencia, y un par de proyectos pendientes. Probando el implante de chip RFID en mi mano izquierda Hoy, ya existen cumbres o congresos como el Biohacker Summit que se organiza en Estocolmo este año. o la primera conferencia de Body Hack que se lleva a cabo en Austin, Texas (EEUU) llamada BDYHAX. El año pasado, en Def Con25, en vez de ir a los tracks de las conferencias principales, tomé la decisión de ir a la Villa de Biohacking, y como dicen mis amigos españoles, ¡flipé! Este año lo volveré hacer, las charlas fueron increíbles, pero la que más me gusto, fue la keynote llamada “ The Moral Imperative of Biohacking” de Tim Cannon, donde nos planteó que el biohacking puede tener consecuencias mucho más serias que las tecnologías tradicionales y que es fundamental que como comunidad analicemos e intentemos abordar las implicaciones éticas del biohacking. En Chile, el destino me hizo conocer a Rodrigo Quevedo y su proyecto Overmind que permite a una persona discapacitada controlar una silla de ruedas a través de ondas cerebrales. Otro experimento y cortometraje que los invito a ver es el de Josiah Zayner, un ex científico de investigación en biología sintética de la NASA, que ingresó en una habitación de hotel y en el transcurso de cuatro días, realizó un experimento extremadamente arriesgado en sí mismo. El objetivo fue reemplazar por completo todas las bacterias que estabans dentro de su cuerpo. El último caso y quizás el más polémico que ocurrió, fue justamente en BDYHAX2018, en febrero de este año, donde Aaron Traywick, biohacker y CEO de la compañía Ascendance Biomedical, se subió al escenario, se bajó los pantalones, y se inyectó en el muslo una vacuna con un tratamiento de herpes experimental frente a una audiencia en directo. El experimento fue transmitido en Facebook Live el 4 de febrero. Como ven, ya no somos pocos, los invito a investigar mas sobre biohacking y DiYBio, que, en mi opinión, innegablemente irá en aumento y será parte de nuestro futuro, ¿te quieres quedar fuera? Mientras tanto, los invito a conocer más sobre los #11PathsTalks y cualquier tema relacionado con la seguridad de la información en nuestra comunidad. (1) Contenido de www.muyinteresante.es
29 de marzo de 2018
Ciberseguridad
Ethical Hacking Continuo: las buenas prácticas del rey de la selva
Ya se ha hablado anteriormente sobre la diferencia entre escaneo de vulnerabilidades, Pentest y Ethical Hacking. Básicamente, existe un problema cuando se ofrece un análisis de vulnerabilidades como Ethical Hacking (en adelante EH), donde claramente el resultado y la calidad de este último serán totalmente distintos. Nos seguimos centrando en el EH, pero yendo a un nivel de madurez superior: Ethical Hacking Continuo. Pocas empresas comienzan a acuñar este término, pero cada vez será más común. Ethical Hacking Continuo Piensa en la foto de navidad con la familia, la de fin de año con la empresa, de graduación de un hijo, etc. Siempre son casi perfectas, porque nos preocupamos de salir bien, con los ojos abiertos, y con la sonrisa perfecta. Pasa lo mismo con el EH. Cuando alguna empresa contrata un EH a demanda, se ejecutará en alguna fecha en particular y esto funcionará como una foto de las mencionadas. Todos se preparan, parchean los servidores, eliminan las cuentas en desuso, cierran los puertos inseguros, piden que se haga el EH fuera de horario de producción y evitando fechas complicadas (inicios o fines de mes…). Por lo tanto, a pesar de ser una muy buena práctica, sigue siendo una foto “manipulada”, con un resultado preparado o esperado. También debemos convenir que las empresas y el mercado actual son muy dinámicos, por lo cual es normal que se realicen cambios constantemente. Esa es la otra razón fundamental por la que el enfoque tradicional está quedando en el pasado. Si le sumamos que a través de este servicio podremos además, descubrir de manera continua nuevas amenazas, cambios inesperados antes que un cibercriminal, hacer descubrimiento continuo de activos, recibir continuamente alertas o anomalías de nuestros activos críticos, saber en el momento cuándo expiró un certificado… se consigue finalmente disponer de una visión inmediata de nuestro nivel de riesgo en todo momento y no tener que esperar al escaneo programado o al servicio de EH. Por lo tanto todo indica que debemos escalar un nivel y dar el paso al EH Continuo. Claro está, la empresa debe tener el nivel de madurez necesario para soportarlo. El objetivo de un EH no es interrumpir la operativa normal. El EH Continuo nos da la posibilidad de tener el acercamiento más real respecto a cómo está preparada nuestra empresa para enfrentar los actuales ataques cibernéticos. Tiene como objetivo final entrenar de manera continua (basado en el conocido Ciclo de Demming, con la etapa de planificación mínima) a la empresa, sus colaboradores, procesos y tecnología a prevenir este tipo de ataques y responder oportunamente cuando los controles de seguridad sean vulnerados. El EH Continuo consiste en realizar pruebas automáticas de manera continua/persistente a un ámbito, validando de manera manual los hallazgos por un equipo de pentesters para evitar falsos positivos y hacer pruebas de concepto, de esta forma la empresa podrá continuamente conocer sus vulnerabilidades reales, la forma en la que se explotan y cómo se pueden mitigar. Ya existen tecnologías que colaboran en esta tarea como Faast. Podríamos establecer una metáfora relacionada a Faast y al EH tradicional, en relación con la vida animal salvaje. Los leones (más poderosos) cazan puntualmente las mejores piezas, mientras que las leonas (cazadoras) buscan entre sus objetivos animales heridos, ancianos o enfermos porque serán más fáciles de capturar. Es más eficiente que desgastarse persiguiendo a un animal joven. Con Faast nos preocupamos de cazar todas las gacelas heridas y enfermas, esto es, se detecta de manera continua la falta de parches, versiones desactualizadas de sistemas operativos o servicios, vulnerabilidades conocidas, etc. Así orientamos los servicios especializados de EH a detectar vulnerabilidades mas complejas, más difíciles de detectar, así no desgastaremos a los ethical hackers especialistas en detectar vulnerabilidades de detección “programable”, sino que se orientaran en buscar las vulnerabilidades asociadas al core o a procesos complejos de negocio, lo que significa que la empresa valorará más este servicio porque su ROI será mayor. Te invito a evaluar un servicio de EH Continuo y hacer como el rey de la selva.
7 de marzo de 2016