En este artículo hablaremos sobre los ataques DDoS y sobre cómo proteger a tu empresa de estas amenazas. Los ciberdelincuentes los utilizan en muchas ocasiones. Actualmente los ciberdelincuentes buscan numerosas formas de perpetrar un ataque contra una compañía u organización. Una de esas maneras es con un ataque DDoS. ¿Qué es un ataque de denegación de servicio (DoS)? Un ataque de […]
En este artículo descubriremos lo que son los insiders y cómo pueden afectar a la seguridad de una empresa, así como la mejor manera de protegerse de ellos.
La ciberseguridad se ha convertido en una cuestión de gran importancia para las empresas. La información que manejan las organizaciones se encuentra en riesgo de forma constante y, con ello, la integridad de las mismas.
En la actualidad, existen numerosos peligros cibernéticos que puede sufrir una empresa como, por ejemplo, los insiders.
Los insiders son un peligro diferente, ya que se encuentran dentro de la compañía.
Un insider es una persona con acceso legítimo a la información de una organización que utiliza dicho privilegio de forma indebida, poniendo en riesgo la seguridad de la empresa.
Los insiders pueden ser empleados, antiguos empleados, proveedores o cualquier persona con acceso a la información.
De esta forma, pueden suponer un grave peligro a las empresas porque pueden causar grandes daños. Una fuga de información implica consecuencias económicas, reputacionales y legales para las empresas.
Existen dos tipos de insiders según la intencionalidad que poseen:
Aparte de estos dos tipos, se puede dar otro caso en el que el insider sea coaccionado por un agente externo que le obligue a realizar acciones maliciosas mediante chantaje o extorsión.
Existen una serie de medidas para reducir los riesgos de que se produzca una fuga de información de la empresa por culpa de los insiders.
En primer lugar, se debe dar una gran importancia a la concienciación y formación de los empleados, para que no se conviertan en insiders negligentes. El desconocimiento es una de las principales vulnerabilidades de las organizaciones.
Por otro lado, se deben implantar políticas de seguridad claras para todos, en materia de contraseñas seguras, respuesta ante incidentes, entre otros.
Además, para la detección de posibles amenazas por insiders, puede ser útil el monitoreo y registro de actividades de los empleados.
Asimismo, es de gran importancia restringir los accesos a los empleados y que cada uno tenga acceso sólo a la información que necesita para desarrollar su trabajo.
Por último, se debe tener en cuenta la seguridad física de la empresa, controlando el acceso de las personas a los edificios, zonas restringidas y dispositivos de la empresa.
En mayo, Barracuda, una empresa especializada en soluciones de seguridad para el correo y redes corporativos, hizo público que algunos de sus 200.000 clientes en todo el mundo fueron atacados mediante la explotación de una vulnerabilidad de día cero presente en su pasarela de seguridad del correo electrónico desde octubre de 2022. Los delincuentes aprovecharon esta vulnerabilidad desconocida para desplegar puertas traseras, ganar persistencia en los sistemas comprometidos y robar datos de empresas y administraciones.
Unas semanas antes, Google había lanzado una nueva versión de su navegador, Chrome, para parchear otra vulnerabilidad de día cero, explotada por actores hostiles para atacar a los usuarios de Chrome.
Estos casos evidencian los esfuerzos permanentes de los ciberdelincuentes por encontrar vulnerabilidades y la necesidad de que las compañías puedan detectar vulnerabilidades emergentes antes de que los agresores las explotan para lograr sus fines maliciosos.
¿Por qué son tan importantes las vulnerabilidades para las compañías? Como señala el National Institute of Standards and Technology (NIST), una vulnerabilidad es «una debilidad en la lógica computacional que se encuentra en componentes de software y hardware».
Este organismo público estadounidense, un referente en la investigación y creación de conocimiento en el terreno de la ciberseguridad, hace hincapié en que la explotación de una vulnerabilidad puede afectar a la confidencialidad, integridad y disponibilidad de los activos IT y los datos de las empresas, las administraciones públicas y la ciudadanía.
De ahí que la gestión de vulnerabilidades sea uno de los aspectos centrales de la estrategia de seguridad de cualquier compañía que disponga de activos IT. Y, dentro de dicha gestión, cada vez es más relevante la capacidad de detectar vulnerabilidades emergentes para prevenir su explotación y los efectos perniciosos de un incidente de seguridad.
A continuación, vamos a abordar cómo pueden las compañías detectar vulnerabilidades emergentes y prevenir los riesgos asociados a ellas.
Como ya hemos señalado en más de una ocasión, el número de vulnerabilidades que se detectan anualmente crece año a año. En 1999 se descubrieron 894 vulnerabilidades. El año pasado se batió el récord histórico, tras detectarse 25.227 nuevas vulnerabilidades. Este año ya se ha sobrepasado la barrera de las 200.000 vulnerabilidades conocidas.
El aumento exponencial de las vulnerabilidades es un proceso lógico, teniendo en cuenta que vivimos en un mundo cada vez más digitalizado. Todos los días ven la luz nuevos software, aplicaciones y dispositivos. De tal forma que el nivel de ciberexposición de las empresas, las instituciones y los usuarios se incrementa.
Antes mencionábamos que hace unas semanas Google parcheó una vulnerabilidad de día cero a la que estaba expuesto el navegador Chrome. Este hecho no es anecdótico. En el 2022, la multinacional parcheó 9 vulnerabilidades de día cero de su navegador. Y en el 2021, se parchearon hasta 15 vulnerabilidades.
Este escenario evidencia la importancia de detectar las vulnerabilidades emergentes y mitigarlas antes de que sean explotadas por actores hostiles para atacar a una organización y a sus clientes.
Llegados a este punto, es muy relevante mencionar que entre todo este caudal creciente de agujeros de seguridad afloran dos categorías de vulnerabilidades: las de día 0 y las de día 1. En el caso de las primeras, se trata de brechas descubiertas antes de que el proveedor sepa de su existencia. Debido precisamente a este desconocimiento, no existe un parche para corregir la vulnerabilidad, por lo que es muy probable que un eventual ataque tenga éxito.
En el caso de las vulnerabilidades de día 1, el fabricante sí ha publicado un parche para corregir el incidente, pero los ciberdelincuentes analizan las funcionalidades que han sido parcheadas para desarrollar exploits sobre sistemas que aun sigan siendo vulnerables porque no han sido actualizados.
Al incremento del número de vulnerabilidades y de los ataques que explotan vulnerabilidades de día cero y día 1, debemos sumar el auge de los ataques de cadena de suministro de software. Es decir, aquellos en los que se encuentra y explota una vulnerabilidad presente en un componente empleado en múltiples softwares y usado por numerosas empresas.
La concatenación de vulnerabilidades de día 0 y 1 y ataques de cadena de suministro ha dado lugar a crisis de seguridad como la protagonizada por la tristemente célebre Log4Shell, una vulnerabilidad que afectaba a la librería de software de código abierto Log4J, empleada por miles de aplicaciones y software empresarial Java en todo el mundo.
La explotación maliciosa de las vulnerabilidades Log4Shell (a la original se sumaron otras tres) desencadenó un efecto dominó que afectó a compañías globales de la importancia de Amazon, Apple, IBM, Tesla o Cisco.
En el desarrollo de software es esencial la utilización de componentes ya creados, que permiten agilizar el proceso y abaratar los costes. Disfrutar de estas ventajas debe ir unido a una concienciación mayor en lo relativo a las consecuencias de los ataques de cadena de suministro y el deber de implementar la seguridad en todo el ciclo de vida del software.
El caso de Log4Shell puso negro sobre blanco la necesidad de que las empresas cuenten con servicios de ciberseguridad que les permitan detectar vulnerabilidades emergentes críticas y que afecten a su infraestructura tecnológica, incluyendo todos los componentes de terceros, antes de que sean explotadas exitosamente por actores hostiles.
Como señalamos antes, la gestión de las vulnerabilidades es una de las actividades principales de las capas defensivas de una empresa. Dicha gestión debe llevarse a cabo a lo largo de todo su ciclo de vida y, para ello, ha de:
A la hora de realizar una gestión de vulnerabilidades integral no solo se han de tener en cuenta las vulnerabilidades conocidas, es decir, aquellas que ya han sido publicadas en el pasado, sino que resulta crucial poder detectar vulnerabilidades emergentes que puedan afectar a los activos empresariales.
Aquí es donde entra en juego el servicio de vulnerabilidades emergentes, que se centra en analizar los activos de una compañía de forma continua para detectar cuáles están expuestos a vulnerabilidades críticas tanto de día cero como de día 1. Incidentes en definitiva que pueden desencadenar graves problemas de seguridad.
El servicio de vulnerabilidades emergentes de Tarlogic Security realiza una monitorización proactiva del perímetro de los clientes para detectar vulnerabilidades emergentes a las que puedan estar expuestos sus activos IT. Para ello, los profesionales de ciberseguridad proceden a evaluar las nuevas vulnerabilidades descubiertas y que:
Para ello, el equipo encargado de detectar vulnerabilidades emergentes implementa cuatro actuaciones estratégicas:
Todas estas actividades se llevan a cabo de forma continua, las 24 horas del día y los siete días de la semana. De esta manera, la capacidad de detectar vulnerabilidades emergentes y tomar medidas para subsanarlas antes de que sean explotadas se caracteriza por la agilidad y la eficacia y sirve para prevenir incidentes de seguridad y sus consecuencias económicas, legales y reputacionales.
¿Qué consiguen las empresas que cuentan con un servicio para detectar vulnerabilidades emergentes 24/7?
A lo largo del artículo hemos ido apuntando algunos de los beneficios asociados a un monitoreo proactivo del perímetro de una compañía para detectar vulnerabilidades emergentes que puedan afectar a sus activos. A continuación, vamos a señalar cinco beneficios directos de disponer de un servicio de vulnerabilidades emergentes como el de Tarlogic Security, prestado por profesionales experimentados y al día con las novedades que se producen en un mundo tan cambiante como el de la ciberseguridad.
En la defensa de una empresa frente a las ciberamenazas entran en juego diversos equipos y profesionales. De ahí que la coordinación sea una cuestión de capital importancia a la hora de planificar las estrategias de seguridad y conseguir que sean eficaces.
Esta coordinación es aún más relevante a la hora de detectar vulnerabilidades emergentes y activar una respuesta eficiente ante ellas.
Por ello, un servicio de vulnerabilidades emergentes debe ser capaz de coordinar la reacción de una empresa cuando se publica una vulnerabilidad de día cero con un nivel de impacto elevado. Por supuesto, también en el caso de los incidentes de seguridad de día 1. De lo contrario, la gestión de la vulnerabilidad emergente será deficiente y caótica.
Más allá de coordinar las actuaciones que se deben poner en marcha para prevenir los riesgos asociados a una vulnerabilidad de día cero o de día 1, el equipo que realiza el servicio de vulnerabilidades emergentes ha de llevar a cabo un análisis rápido sobre el perímetro de la empresa.
Para ello, empleará un inventario actualizado de toda la infraestructura tecnológica empresarial y pondrá en marcha pruebas estandarizadas para comprobar si la vulnerabilidad descubierta puede o no afectar a la empresa y de qué forma puede ser explotada por actores hostiles para realizar un ataque exitoso.
Sin este análisis, que debe ser ágil, pero también preciso, no se puede diseñar e implementar una respuesta adecuada ante los riesgos asociados a una vulnerabilidad emergente.
Si tras el análisis el equipo a cargo del servicio de vulnerabilidades emergentes concluye que una vulnerabilidad afecta a la infraestructura IT de la empresa, ¿qué se puede hacer?
Tanto el diseño de contramedidas como su adaptación en función de la información disponible son actuaciones esenciales para prevenir la explotación de una vulnerabilidad y los riesgos asociados a esta actuación maliciosa.
Si una empresa no pone en marcha las acciones pertinentes para gestionar una vulnerabilidad que afecta a alguno de sus activos, corre el riesgo de sufrir un incidente de seguridad que dañe su modelo de negocio, su operatividad o ponga en jaque datos confidenciales empresariales y de sus clientes.
Asimismo, resulta de vital importancia que los profesionales desplieguen procedimientos y pruebas para verificar que las contramedidas que se han implementado funcionan adecuadamente.
Detectar vulnerabilidades emergentes que afectan a los activos empresariales y poner en marcha contramedidas sirve para cumplir dos objetivos directamente relacionados:
El goteo de incidentes de seguridad asociados a la explotación de vulnerabilidades de día cero y de día 1 es continuo. En un mundo plenamente digitalizado como el nuestro, las compañías tienen que situar a la ciberseguridad en el centro de sus estrategias empresariales. Y ello conllevar disponer de la capacidad de detectar vulnerabilidades emergentes y poder gestionarlas de forma ágil e integral para cerrar el camino de los ciberdelincuentes hasta las entrañas de un negocio.
El último de los beneficios de detectar vulnerabilidades emergentes en el perímetro de una empresa y tomar medidas para responder ante ellas radica en la posibilidad de anticiparse a los actores hostiles. ¿En qué sentido?
Tras detectar vulnerabilidades emergentes que afectan a activos IT, los profesionales pueden analizar las tácticas, técnicas y procedimientos que pueden poner en marcha los grupos de ciberdelincuentes para explotar estas vulnerabilidades.
Esta capacidad de anticipación implica disponer de conocimientos y herramientas avanzados de ciberseguridad, ciberinteligencia y Threat Hunting. Puesto que no basta con estudiar la vulnerabilidad en cuestión, sino que es necesario comprender cuáles son las tácticas, técnicas y procedimientos de los actores maliciosos y qué rutas pueden emplear para explotar diversas vulnerabilidades y alcanzar sus objetivos.
Si una organización puede anticiparse a los delincuentes, aumentará su resiliencia frente a los ataques que aprovechan la explotación de vulnerabilidades de día cero para comprometer los activos empresariales.
El punto anterior nos permite observar la importancia de la innovación y la investigación en el ámbito de la ciberseguridad.
Los delincuentes diseñan constantemente herramientas y procedimientos para explotar vulnerabilidades de la infraestructura tecnológica de las empresas y las instituciones. De tal forma que los profesionales de la ciberseguridad también han de realizar un esfuerzo permanente para desentrañar los modus operandi de los actores maliciosos e incrementar la resiliencia de las organizaciones frente a los ciberataques.
Por eso, para optimizar la capacidad de detectar vulnerabilidades emergentes, analizarlas y ayudar a mitigarlas, Tarlogic cuenta con la unidad S.T.A2.R.S. Este equipo, conformado por especialistas en ciberseguridad con amplios conocimientos y una larga experiencia a sus espaldas, analiza de forma continua las vulnerabilidades emergentes, de cara a generar conocimiento que sea útil a la hora de detectar vulnerabilidades emergentes en los activos empresariales y mitigarlas.
Así, el trabajo de la unidad S.T.A2.R.S. enriquece tanto el servicio de gestión de vulnerabilidades como el servicio especializado en vulnerabilidades emergentes, para ayudar a las empresas a hacer frente a estas debilidades
Además, dentro de la apuesta de Tarlogic por la innovación y la transferencia de conocimiento, esta unidad especializada en detectar vulnerabilidades emergentes y estudiarlas en profundidad, publica análisis sobre nuevas vulnerabilidades críticas, que incluyen:
En definitiva, detectar vulnerabilidades emergentes se ha convertido en una actividad estratégica para hacer frente al incremento de ataques que explotan vulnerabilidades e impactan en la cadena de suministro de software. El servicio de vulnerabilidades emergentes monitorea activamente el perímetro de las empresas para detectar vulnerabilidades que puedan afectar a sus activos tecnológicos.
La era de los espías circunspectos y silenciosos que John le Carré retrató para la posteridad en novelas como El espía que surgió el frío, terminó con el final de la Guerra Fría. Hoy en día, el espionaje tiene lugar en el mundo digital a través de amenazas persistentes avanzadas, lanzadas por grupos de ciberdelincuentes esponsorizados por estados que desean obtener información de gobiernos, compañías, medios extranjeros o desestabilizar a otros países.
En las últimas semanas se han hecho públicas dos campañas de amenazas persistentes avanzadas puestas en marcha por un grupo chino y otro norcoreano. La primera de ellas, conocida como SmugX, atacaba a embajadas para obtener información clave sobre la política exterior de países europeos como Reino Unido, República Checa o Hungría. La segunda, lanzada por el grupo APT Kimsuky iba dirigida a robar datos de actores estratégicos como centros de investigación o medios de comunicación.
Estos casos recientes evidencian una tendencia clave en el ámbito de la ciberseguridad a nivel global: el auge de las amenazas persistentes avanzadas, cuyo impacto en compañías y administraciones públicas puede llegar a ser devastador. De ahí que la mejora de la resiliencia frente a esta clase de amenazas se haya convertido en una cuestión de vital importancia para miles de empresas e instituciones de todo el planeta.
A continuación, vamos a profundizar en qué son las amenazas persistentes avanzadas, cuáles son sus objetivos, quiénes están detrás de ellas y cómo se pueden preparar las compañías y administraciones frente a estas peligrosas amenazas, gracias a los servicios de Threat Hunting y los ejercicios de Red Team.
Las amenazas persistentes avanzadas son popularmente conocidas a través de las iniciales del concepto en inglés, APT: advanced persistent threats. Estas tres palabras nos sirven para realizar una primera aproximación a este concepto esencial en el mundo de la ciberseguridad:
Más allá de las tres palabras que conforman el concepto, el National Institute of Standards and Technology de Estados Unidos, define a las amenazas persistentes avanzadas poniendo el foco en cinco aspectos esenciales:
A raíz de lo que venimos de señalar, podemos vislumbrar qué diferencia a las amenazas persistentes avanzadas de las comunes.
Los delincuentes detrás de las amenazas persistentes avanzadas presentan sofisticados niveles de experiencia y disponen de cuantiosos recursos. Esto les permite diseñar e implementar ataques mucho más complejos y disponer de más herramientas para vencer los mecanismos de defensa de una organización y cumplir con los objetivos.
Los grupos APT destacan por su elevado nivel de experiencia, contar con una motivación clara, conjugar múltiples vectores de ataque y disponer de una meta perfectamente definida (robar propiedad intelectual, espionaje industrial o gubernamental…).
Una de las claves que nos sirve para diferenciar a las amenazas persistentes avanzadas y destacar su peligrosidad son los vectores de ataque que emplean los actores hostiles. ¿Por qué?
Los delincuentes no recurren a un único vector de ataque para vulnerar un activo IT de una compañía, sino que emplean múltiples vectores, lo que tiene como consecuencia que las amenazas persistentes avanzadas sean más sofisticadas y complejas. Así, este tipo de ataques puede combinar el empleo de técnicas de ingeniería social, la explotación de vulnerabilidades de día 0 o el uso de malware.
Las amenazas persistentes avanzadas no son ataques que golpean una sola vez, sino que buscan infiltrarse en la infraestructura tecnológica de la organización y lograr la máxima persistencia en ella, consiguiendo, a su vez, un acceso continuado en el tiempo.
Ello conlleva que los actores hostiles deban pasar desapercibidos y conseguir que los ataques queden latentes en los sistemas corporativos o gubernamentales y sean monitoreados de forma continua hasta la consecución de los objetivos maliciosos.
Asimismo, debemos añadir que los grupos APT buscan obtener el máximo alcance para poder infiltrarse en toda la infraestructura tecnológica de la organización y recabar la mayor cantidad de información posible.
Muchos ciberataques se ponen en marcha recurriendo a la automatización. Por la contra, las amenazas persistentes avanzadas se caracterizan por ser ejecutadas de forma manual. De tal forma que los actores hostiles ejecutan todas las fases de la Cyber Kill Chain para asegurarse de alcanzar los objetivos marcados.
De ahí que podamos afirmar que las amenazas persistentes avanzadas se caracterizan por ser ataques dirigidos y organizados, sustentados en objetivos perfectamente definidos.
Gracias a las herramientas que permiten automatizar los ciberataques, muchos se lanzan contra un amplio número de objetivos. Por ejemplo, una campaña de phishing que se dirige a miles de cuentas de correo electrónico. Por la contra, las amenazas persistentes avanzadas se dirigen contra targets específicos, como profesionales concretos de una determinada organización.
Entre los targets habituales de los grupos APT se encuentran gobiernos, compañías, personas relevantes, redes o infraestructura crítica, por ejemplo, plantas energéticas u oleoductos.
Esta situación pone en evidencia la existencia de recursos y capacidades de inteligencia (OSINT, SOCMINT) por parte de los actores maliciosos.
Las características de las amenazas persistentes avanzadas guardan una relación directa con los objetivos de los grupos APT. Estos ataques complejos, que conjugan varios vectores de ataques y técnicas sofisticadas, buscan infiltrarse el máximo tiempo posible en la infraestructura IT sin ser identificados para:
A la luz de las características y objetivos que hemos esbozado, podemos hacernos la siguiente pregunta: ¿qué buscan las amenazas persistentes avanzadas?
La complejidad de las acciones, el nivel de preparación de los delincuentes que las desarrollan y la cantidad de recursos que se necesitan para ejecutarlas con éxito implican que las amenazas persistentes avanzadas tengan, en primer lugar, targets específicos, a diferencia de otros ataques menos complejos y que se automatizan.
De ahí que señalemos que las APT se tratan de ataques dirigidos hacia targets concretos y no de ataques a discreción, que buscan impactar en el mayor número de víctimas potenciales. O, dicho de una forma más prosaica, mediante las amenazas persistentes avanzadas los delincuentes buscan dar en la diana, mientras que en los ataques automatizados masivos echan la red en el mar, sin importar qué vaya a caer en sus manos.
Aclarada esta cuestión, ¿contra quién se dirigen las amenazas persistentes avanzadas? Especialmente contra instituciones públicas clave como los departamentos o ministerios ligados a la seguridad, la defensa, la política exterior o la investigación. Así como contra compañías de sectores críticos, como el financiero, la salud, las telecomunicaciones, el transporte o la energía.
¿Cómo se infiltran los actores hostiles en la infraestructura IT de esta clase de organizaciones? Combinando diferentes tácticas, técnicas y procedimientos para obtener acceso a los sistemas corporativos, instalar backdoors, escalar privilegios o realizar movimientos laterales para lograr los objetivos maliciosos.
Frente a otros ataques más sencillos, las amenazas persistentes avanzadas se desarrollan a lo largo de una gran cantidad de tiempo, tanto por su complejidad como por su misión de persistir durante un plazo temporal muy amplio para acrecentar su impacto en la organización atacada.
Los grupos APT son aquellos que diseñan y ejecutan amenazas persistentes avanzadas para cumplir sus objetivos delictivos. Para ello, desarrollan herramientas, técnicas, tácticas y procedimientos que requieren de elevados conocimientos técnicos y una amplia experiencia. La complejidad de las amenazas persistentes avanzadas exige que los delincuentes que forman parte de estos grupos presenten una gran pericia y que, además, dispongan de cuantiosos recursos para llevar a cabo sus actividades delictivas.
Por ello, en muchos casos, como los dos que mentamos al inicio del artículo, los grupos APT son esponsorizados por estados.
Sin embargo, también existen grupos APT que no tienen una relación directa con ningún gobierno, sino que su objetivo es infiltrarse en compañías o administraciones para extorsionarlas, como fue el caso del ataque lanzado por el grupo RansomHouse contra el Hospital Clínic de Barcelona; o para vender información sensible a la competencia.
Aún así, lo cierto es que muchos grupos APT tienen estrechos lazos con diversos estados (Rusia, China, Irán…) y su objetivo es contribuir a desestabilizar a los estados occidentales, ya sea atacando a sus instituciones o a sus compañías.
Sin ir más lejos, el equipo de Threat Hunting de Tarlogic Security hizo pública una investigación sobre el grupo APT28, también conocido popularmente como Fancy Bear. Este grupo que amenazas persistentes avanzadas ha atacado al presidente de Francia, Emanuel Macron, al Bundestag alemán, al CSIC español o al Comité Nacional Demócrata estadounidense.
Los grupos de amenazas persistentes avanzadas van en aumento y su impacto en el terreno de la ciberseguridad y la protección de las empresas, las administraciones y las personas también. De ahí que los profesionales de Threat Intelligence y Threat Hunting sean claves a la hora de entender cómo operan los diferentes grupos APT y, así, poder mejorar la resiliencia frente a sus acciones maliciosas.
Precisamente, el framework MITRE ATT&CK, centrado en estudiar las tácticas, técnicas y procedimientos de los ciberdelincuentes, lleva a cabo una labor de recopilación de información sobre los grupos APT. Así, MITRE ATT&CK pone a disposición de los profesionales de ciberseguridad y las organizaciones datos como:
¿Cómo pueden las organizaciones hacer frente a las amenazas persistentes avanzadas? En primer lugar, cortando su Cyber Kill Chain antes de que logren cumplir sus objetivos maliciosos. En esta tarea entren en juego los profesionales de ciberinteligencia y los threat hunters.
La inteligencia es fundamental a la hora de poner en marcha las amenazas persistentes avanzadas, puesto que los ciberdelincuentes deben conocer con precisión a las organizaciones que van a atacar, su infraestructura IT y su estrategia de seguridad. Y, por eso mismo, es fundamental a la hora de comprender qué TTP emplean los actores hostiles cuando realizan tareas de investigación y desarrollan herramientas o procedimientos para lanzar sus ataques.
Por su parte, los profesionales que realizan Threat Hunting proactivo han de rastrear la presencia de amenazas persistentes avanzadas en los sistemas de una organización. ¿Cómo? Analizando la actividad en los endpoints o detectando amenazas partiendo de hipótesis de compromiso y usando la telemetría.
Las amenazas persistentes avanzadas y los grupos que las diseñan y ejecutan suponen un peligro para la seguridad de miles de empresas, pero también para las instituciones y el conjunto de la ciudadanía.
Por ello, es fundamental que las compañías y las administraciones públicas sean capaces de mejorar su resiliencia frente a las APT y, así, ser capaces de mejorar las capacidades de detección, respuesta, contención y recuperación.
Tarlogic Security ofrece a las empresas e instituciones servicios de Red Team y Threat Hunting que aúnan capacidades de seguridad ofensiva y defensiva para ayudarlas a mejorar su resiliencia APT.
El equipo de Threat Hunting de Tarlogic lleva a cabo una monitorización permanente de los principales grupos APT del mundo con el objetivo de analizar en profundidad las técnicas, tácticas y procedimientos (TTP) que emplean esta clase de actores hostiles.
Todo este conocimiento conforma una amplia base de datos que sirve para identificar y diseñar oportunidades de detección para hacer frente a las nuevas TTP empleadas por los grupos APT.
Mediante esta estrategia de Threat Hunting Proactivo, los profesionales de Tarlogic ayudan a las compañías a mejorar sus capacidades defensivas frente a las amenazas persistentes avanzadas.
Así, para conseguir optimizar la resiliencia frente a las TTP de los grupos APT, una organización debe ser capaz de responder afirmativamente a tres preguntas básicas:
La solución que ofrece Tarlogic a las empresas para hacer frente a las amenazas persistentes avanzadas incluye, también, la prestación de servicios de Red Team para diseñar e implementar ejercicios de compromiso mediante APT.
Los profesionales de la compañía de ciberseguridad acuerdan con la empresa que ha contratado estos servicios el diseño del ejercicio de compromiso mediante APT: vectores de entrada, actividades de impacto… Durante su ejecución, el equipo de Tarlogic pondrá en marcha un ataque dirigido contra la organización de cara a:
¿Cuáles son los beneficios de estos ejercicios de compromiso diseñados y ejecutados por un Red Team altamente cualificado y con una amplia experiencia a sus espaldas?
En definitiva, las amenazas persistentes avanzadas y los grupos que las diseñan e implementan han adquirido una creciente relevancia económica y social en los últimos años. Estos ataques dirigidos y sofisticados desafían las capacidades defensivas de las empresas y las instituciones de todo el mundo.
Por eso, mejorar la resiliencia frente a las amenazas persistentes avanzadas se ha convertido en una prioridad para las organizaciones que desean estar preparadas para detectar, responder y mitigar estos ataques y sobrevivir a su impacto.
Al fin y al cabo, como escribió John le Carré en El topo: «¿Qué es supervivencia? Una infinita capacidad de sospecha».
¿Alguna vez has dudado de un ratón que conectas a un ordenador, o del cable de tu cargador del móvil? Seguramente la respuesta es que ni siquiera te lo has planteado. Cuando conectamos algo a nuestros dispositivos, salvo, quizás, en el caso ‘pendrives’ o tarjetas de memoria, lo normal es que confiemos en que no son más que meros accesorios, tan peligrosos para nuestro terminal como una mesa de madera. Pero después de leer esto, es muy posible que empieces a verlos de otra forma.
Joel Serna y Ernesto Sánchez son dos jóvenes españoles expertos en ciberseguridad y consultores en este mismo sector que, entre otros proyectos, han centrado sus carreras en estos periféricos que normalmente tratamos sin más importancia y que son potenciales puertas de entrada a todos nuestros sistemas. Y es que desde esa base de carga que utilizas para enchufar tu teléfono a la luz hasta el mismísimo cable que usas como unión a tu móvil pueden ser manipulados para colarse como un caballo de Troya en tus dispositivos y robarte tanto los datos como el control de los mismos.
“La idea de ‘troyanizar hardware’ [así se denominan técnicamente estas prácticas] viene por el simple hecho de que las personas confían en el ‘hardware’ y nunca llegan a pensar que este puede haber sido alterado con fines maliciosos. Actualmente, se empieza a ver cómo las personas desconfían de los ‘pendrives’ porque pueden contener ‘malware’, pero nunca se llega a desconfiar de cables y baterías para cargar el móvil, etc.”, explica en conversación con Teknautas Joel Serna, que fue el encargado de mostrar su proyecto en el evento Mundo Hacker Day, celebrado en Madrid.
Juntos construyen dos productos de los denominados BadUSB (dispositivos conectables por USB que se hacen pasar por otro para que confíes en ellos). El primero de ellos es un dispositivo llamado Phoenix Ovpositor que se parece mucho a un ‘pendrive’ y que puede usarse para aprovechar todas estas vulnerabilidades, tanto con la forma de ‘pincho’ como integrado en una base de carga o en un ratón, y el segundo es un cable al que aún no han puesto nombre. Ambos artilugios destacan por su bajo coste. “Muchos de sus componentes son comprados en internet con unos precios bajísimos en páginas chinas y tú solo tienes que tener los conocimientos para poder ensamblarlos y hacer que funcionen”.
“Nos gusta trastear con estas cosas, es divertido, y por eso hemos dedicado nuestro tiempo y dinero a estos proyectos, pero el objetivo es poder ayudar a concienciar a la gente del peligro de estos accesorios y a las empresas a poder protegerse de cualquiera de estos ataques”, comenta Serna. Es más, su siguiente objetivo es mandar el cable a algún fabricante, conseguir que creen unos cuantos miles de ellos y venderlos a expertos en ciberseguridad para que trasteen con ellos y vean los peligros que atañen para luego vigilar todo lo que compran.
Vale, ese ratón que tengo por casa o el cable USB pueden haber sido manipulados, pero ¿cómo funcionan exactamente estos sistemas? Pues son mecanismos mucho más comunes de lo que imaginas.
Gracias a microcontroladores diminutos que colocan en estos periféricos y que pasan totalmente desapercibidos, como vemos en las fotos que pusimos arriba y en las que añadimos bajo este párrafo, consiguen entrar en tu dispositivo. Algunos simplemente son controladores programables, y sirven para, una vez programados y conectados, conseguir que el móvil o el ordenador realice alguna acción concreta (abrir la tienda de aplicaciones y descargar una ‘app’ maliciosa, por ejemplo), pero otros son mucho más sofisticados y llegan a tomar el control del terminal sin que tú te des ni cuenta. Para ello, llegan a abrir puertas con puntos de conexión wifi o Bluetooth.
“Nosotros aún estamos trabajando en sistemas que puedan levantar puntos wifi para conectarnos remotamente al accesorio, pero ya existen otros proyectos que lo han logrado. Uno de los más conocidos es USBNinja, que permite hacerlo a través de una conexión Bluetooth”. Algo similar consigue otro cable en cuyo desarrollo participó el propio Serna: el OMG (Offensive MG), que sí da acceso por wifi.
En cuanto a los potenciales ataques que pueden realizar a tu móvil, Serna destaca dos en concreto. En el caso de los microcontroladores programados con anterioridad, se puede conseguir emular al usuario y ejecutar acciones que el mismo no espera (o realizar acciones que él no desea). El otro ataque se basa en la ejecución de comandos ADB en dispositivos móviles Android aprovechando los espacios dedicados a los desarrolladores para hacerse con el control del móvil.
Después de leer todo esto, puede que estés pensando en qué puedes hacer para protegerte de estos caballos de Troya, o al menos qué precauciones puedes tomar para evitar caer en alguna trampa, pero lo peor es que a día de hoy es algo prácticamente indetectable. Al menos así lo asegura el experto en ciberseguridad, que explica que normalmente la única forma de saber que un cable o una base de carga vienen con algo dentro es desmontando el accesorio.
“En el caso de los microcontroladores programados, su acción sí que se muestra al usuario, ya que lo que hace es realizar otras acciones no llevadas a cabo por el usuario, y lo hace a la vista de todos, pero otros pueden trabajar sin que te des ni cuenta”, explica. Claro, ni hablar de lo que puede ocurrir en terrenos empresariales, donde se compran grandes cantidades de material que pocas veces da tiempo a revisar concienzudamente.
Por ello, la recomendación de Serna es que revises con detalle dónde conectas tus dispositivos (mucho cuidado con esos cargadores baratos que compramos por internet o en tiendas de ‘todo a 100’) y, sobre todo, que no lo hagas como si no pudiera pasar nada. Como avisa, hasta los accesorios de fabricantes de confianza pueden ser manipulados para colarte algún tipo troyano, por lo que no queda otra que estar atentos.
“La sociedad digital se caracteriza por su rápida penetración en todos los procesos de la vida cotidiana. Hoy, miles y miles de puestos de trabajo no se entienden sin la red. Y así seguirá siendo”. Así habló la ministra de trabajo, Magdalena Valerio, durante el InfoJobs Next, evento celebrado tan solo hace unos meses en el que se trató la cuestión de cómo atraer y retener el talento juvenil.
Y es que el sector de la Informática y las Telecomunicaciones se posiciona como “uno de los que ofrece mejores oportunidades laborales en España”, tal y como se extrae del informe anual de Infojobs. Las empresas cada vez demandan más profesionales preparados para el sector TIC, sin embargo, esta demanda no termina de ser cubierta por la oferta, lo que provoca una brecha (cada vez mayor) entre ambas y, por tanto, un problema para ambos agentes, tanto para el que contrata como para el que busca ser contratado. Ante ello, parece existir solo una solución: la formación.
“Hemos visto que los candidatos necesitan contar con formación que les pueda orientar en su actividad profesional, teniendo en cuenta sus aspiraciones para acabar en el entorno laboral más adecuado para ellos. Luego están las empresas, que cada vez necesitan más la ayuda o soporte para contribuir y facilitar la captación de talento tecnológico”, afirma Alberto Moya, director de la consultora de software Ulbe Group. Así, el problema parece residir en que las escuelas no se están adaptando al nuevo mercado laboral y los estudiantes salen de ellas sin tener claras las metodologías que se utilizan en las empresas, por lo que una vez llegados a las mismas, tienen que aprender a marchas forzadas. Así lo confirman desde uTech Academy, academia de programación de la consultora, aunque apuntan: “Es complicado conocer a un estudiante de último año que esté cursando informática y que no tenga trabajo”.
El hecho de que exista más oferta de empleo que profesionales formados se deriva en que hay muy poca competencia en el sector, una ventaja añadida. Según datos de la plataforma InfoJobs, el 47 por ciento de las empresas españolas de 50 empleados o más tiene previsto aumentar la contratación de perfiles digitales en los próximos dos años.
El déficit de profesionales se debe a que las empresas exigen un alto nivel de cualificación a sus posibles empleados. Más de un 40 por ciento de las ofertas en el sector de las TIC pide candidatos con formación universitaria, seguido por la Formación Profesional de Grado Superior, con un 26 por ciento. El resto se reparte entre titulación de bachillerato, FP Medio y Graduado Escolar, con porcentajes muy alejados de los anteriores.
La carrera universitaria que más se demanda es la de Ingeniería Informática, que aglutina un 40,5 por ciento de la oferta de empleos, seguida por Ingeniería de Telecomunicaciones, con un alejado 10,2 por ciento. En el caso de los FP, la familia de Informática y Comunicaciones y la de Electricidad y Electrónica serían las más atrayentes.
Según el Informe Infoempleo y Adecco sobre el desarrollo de las TIC en España, las empresas ofrecen para los profesionales especializados en el sector, puestos técnicos en el 74,6 por ciento de las ofertas de empleo. En el 20 por ciento buscan mandos intermedios y en el 3,3 por ciento, directivos. En cambio, son pocas las ofertas de empleo que ofrecen puestos de empleados, tan solo un 2,1 por ciento. Y esto también se refleja en la retribución salarial.
Un 13,9 por ciento de las ofertas de empleo que se publican en nuestro país ofrece puestos de trabajo que hace 15 años no existían, en su gran mayoría, vinculados a las nuevas tecnologías. El marketing y el Big Data son dos de las áreas más favorecidas por la transformación digital de las empresas.
Algunos de los perfiles más solicitados dentro de estos ámbitos son el de responsable de estrategia de negocio online, director de marketing online, CDO -chief digital officer), data & analytics manager o jefe de proyecto Big Data. El salario anual de estos profesionales se encuentra entre los 43.000 euros y 55.000 euros anuales, según Infoempleo. La combinación de escasez de profesionales, el alto nivel de cualificación requerido y la baja competencia hace que las retribuciones estén entre las más altas de España.
Expertos avisan que de aquí al año 2022, es decir, en un margen de tres años, el 54 por ciento de los trabajadores tendrá que mejorar sus conocimientos y habilidades para lograr oportunidades en el nuevo mercado digital y así equiparar la brecha existente. Según el informe, medio año de formación será suficiente para un 35 por ciento de ellos, de seis meses a un año para el 9 por ciento y hasta un 10 por ciento necesitará más de un año para mejorar y ampliar su cartera académica.
La patente sugiere que la pantalla tendría integrada la autenticación por medio de ondas acústicas y es la segunda que sugiere Touch ID en pantalla.
Apple continúa sus planes para integrar Touch ID en la pantalla.
Una nueva patente llamada “Métodos de imágenes biométricas de una superficie de entrada (Methods of biometric imaging of input surfaces)” sugiere que un usuario simplemente podría tocar la pantalla de un dispositivo como el iPhone y autenticarse por medio de ondas acústicas.
El sistema acústico de imagen descrito se usaría para tomar la imagen de una huella dactilar y hacer un mapa de dicha huella. Este escaneo usaría ondas acústicas, pulsaciones y ondas mecánicas para autenticar al usuario. Estas ondas y la información de la huella estaría codificada, dice la patente.
Patently Apple, un sitio que sigue de cerca nuevas patentes a nombre de la fabricante del iPhone, fue el primero en encontrar esta patente. El sitio revela que Apple ya tiene una segunda patente similar relacionada a la autenticación por huella dactilar integrado en la pantalla.
La patente menciona más detalles técnicos, pero su relevancia es el hecho de que Apple está investigando formas de traer de regreso la autenticación por huella dactilar, una función que desapareció a partir del iPhone X en 2017 y que ya llegó al iPad a partir de 2018.
Algunos fabricantes de dispositivos Android están colocando lectores de huella en la pantalla como una solución a la desaparición de los botones frontales que fueron usados como lectores de huellas. Sin embargo, estos lectores no han demostrado tener la misma seguridad que los lectores tradicionales, además de que tampoco son muy fiables.
La Comisión de Bolsa y Valores de EE.UU. (SEC, por sus siglas en inglés), emitió una carta en la cual garantiza a un criptoproyecto que no tomará acciones o medidas de ejecución, por la venta de su token. En la misiva, fechada el 3 de abril de 2019, el ente regulador reconoce, basado en la información provista por la empresa, que el token del proyecto no es un valor.
Según se informó en algunos medios estadounidenses, la comunicación, denominada “carta de no acción”, es la primera en su tipo que se refiere a un proyecto de criptoactivos. Portales como Forbes, incluso la calificaron de “histórica”. En la carta, firmada por Jonathan A. Ingram, Asesor Legal Principal de la División de Finanzas Corporativas de FinHub, adscrita a la SEC, se expresa que “sobre la base de los hechos presentados, la División no recomendará acciones de ejecución a la Comisión”. No obstante, condiciona esta opinión a que se cumplan los términos que excluyen al token de la categoría de “valor”.
La carta fue redactada en respuesta al abogado James P Curry, representante legal de la compañía de viajes de negocios TurnKey Jet, Inc. El jurista había oficiado a la SEC solicitando la “no acción” contra la empresa. En su solicitud expuso las razones por las cuales los tokens TKJ, que sustentan el proyecto blockchain de su cliente, no son un valor en los términos señalado en la Ley de Valores estadounidense y otras normativas relacionadas.
La respuesta del regulador fue la carta de “no acción”, donde reconoce como válidos los argumentos de TurnKey Jet. Sin embargo, aclara que cualquier cambio en las condiciones de uso del token, podría cambiar el concepto emitido por la institución.
TurnKey Jet es una empresa que presta servicios de transporte aéreo y taxi aéreo, ubicada en la localidad de West Palm Beach, Florida, en los Estados Unidos. De acuerdo con la carta enviada a la SEC, la empresa adelanta un programa que plantea una forma de “jet card” o cupón de servicios tokenizado. El proyecto utilizará una blockchain privada, con la finalidad de gestionar los intercambios monetarios entre todas las partes involucradas en la prestación de los servicios.
La SEC fijó seis condiciones de uso del token TKJ, que la firma emisora debe cumplir para mantener su aprobación. Entre ellas señala que no se usará fondos generados por la venta del token TKJ, para desarrollar la tecnología de la plataforma. Asimismo, la SEC exige que los tokens se puedan usar de forma inmediata para su funcionalidad prevista (comprar servicios de flete aéreo). Además, los tokens TKJ no podrán ser usados con potencial de ganancia por parte de TurnKey Jet.
Por otra parte, el regulador estableció que la empresa debe garantizar que TKJ no será transferible a carteras externas a la plataforma. El precio nominal del token fue fijado por la SEC en un dólar por unidad y señaló que su compra implica para TurnKey una obligación de prestar el servicio de flete aéreo.
Estas condiciones fueron emitidas específicamente para el caso del proyecto TKJ y no son vinculantes para otros proyectos de este tipo. Sin embargo, el director de la división de finanzas corporativas de la SEC, Bill Hinman, declaró que ofrecen “a los participantes del mercado una buena idea de cómo el personal de la SEC analizará y tratará el asunto”.
El abogado Stephen Palley dijo en su cuenta Twitter que el concepto emitido por la SEC se refiere a un hecho específico. No obstante, considera que puede señalar una hoja de ruta para quienes tienen un negocio legítimo y encuentran útil este caso de uso de la tecnología de los criptoactivos.
En su aniversario número 80, Corfo se ha planteado una nueva transformación. Así como en su origen en 1939, durante el gobierno del Presidente Pedro Aguirre Cerda, la institución nació con el objetivo de impulsar la industria, la electricidad, la minería, el comercio, el transporte y la agricultura, a través de empresas estatales, en la actualidad, busca convertirse en la “Agencia del futuro”, para ampliar la base de la economía chilena. Aquello deja atrás la idea de ser un país extractivo, para avanzar en el desarrollo de una economía colaborativa, sustentable y territorialmente equitativa, innovando en los lugares donde tenemos más valor para agregar a la productividad a través de la tecnología, la innovación y el emprendimiento.
El director regional de CORFO, Gregorio Rodríguez, explica que “pasamos de un enfoque de industrialización, a fomentar el emprendimiento, la innovación y la competitividad como motores de desarrollo”.
Uno de los ejes fundamentales de gestión de Corfo es el apoyo a las pequeñas y medianas empresas, con un ecosistema propicio para desarrollarse, generar riquezas, trabajo y desarrollo en sus territorios. “Pasamos de un enfoque de industrialización, a fomentar el emprendimiento, la innovación y la competitividad”, Gregorio Rodríguez, director regional de Corfo “Corfo está en todas partes. Estamos en el sector agroindustrial, agropecuario, en la pesca, el turismo, la minería y la construcción, que son actividades tradicionales, de sectores primario y secundario, pero también estamos en las industrias creativas”, detalla Gregorio Rodríguez. Para ello, cuenta con DataEmprendimiento, la primera plataforma de datos abiertos, que posee más de 400.000 registros con informacón relevante sobre los proyectos financiados por la Gerencia de Emprendimiento Corfo, desde el año 2001. Todos los proyectos cuentan con un alto potencial de crecimiento y una diferenciación dentro del mercado. Desde el 2001, la estatal ha entregado más de 125.000 mil millones de pesos para el desarrolllo de de 6.000 proyectos integrados por más de 14.000 emprendedores. De ellos, gran parte son chilenos, sin embargo existe una notable participación de emprendedores de países como Estados Unidos, India, Argentina y Brasil.
Hoy vivimos la cuarta revolución industrial, en donde la creación de valor está en la generación de soluciones a través de la innovación, la creatividad y el emprendimiento. Rodríguez expresa que “tenemos un ecosistema del emprendimiento, donde participan los cowork (espacios físicos y virtuales creados para que emprendedores realicen sus actividades y creen productos y servicios), los centros de emprendimiento y además colaboramos de manera muy cercana con los municipios, detectando ideas de emprendimientos y entregándoles financiamiento temprano”.
De esta manera, la apuesta de Corfo por la diversificación productiva tiene un enfoque en lograr el denominado triple impacto en la comunidad: económico, social y ambiental. 3703
Fuente: Diario el Día – http://www.diarioeldia.cl/economia/corfo-senala-que-centrara-esfuerzos-en-economia-sustentable-innovacion
El Ransomware es una auténtica epidemia para la ciberseguridad mundial. Es la principal amenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de seguridad de Europol de 2018, y según el último informe de Malwarebytes, ha crecido un 200% en el segmento empresarial en el primer trimestre de 2019.
Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte del equipo apoderándose de los archivos con un cifrado fuerte y exigiendo al usuario una cantidad de dinero como “rescate” para liberarlos. Y nadie está a salvo, porque puede afectar por igual a cualquier plataforma, Windows, OS X, Linux o sistemas móviles Android, iOS o Windows Phone.
La motivación de los ciberdelincuentes es casi siempre económica, aunque puede emplearse para otros fines. Además, los ataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como vimos con WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.
Aunque -dependiendo del tipo de Ransomware y el grado de cifrado utilizado- existen herramientas públicas para poder descifrarlos, en la mayoría de ocasiones a nivel cliente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los datos y archivos si no tenemos copias de seguridad.
Si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es absolutamente imprescindible para frenarlo, siguiendo una serie de consejos como los que te proponemos:
Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio «limpio» y no tener que pagar el «rescate» exigido por estos ciberdelincuentes.
FUENTE: https://www.muycomputer.com/2019/04/30/como-prevenir-el-ransomware/
Somos un grupo de profesionales con más de 30 años en tecnologías de la información. Somos la mejor opción en ciberseguridad, continuidad de negocios y consultoría Ti.
