En este artículo hablaremos sobre los ataques DDoS y sobre cómo proteger a tu empresa de estas amenazas. Los ciberdelincuentes los utilizan en muchas ocasiones. Actualmente los ciberdelincuentes buscan numerosas formas de perpetrar un ataque contra una compañía u organización. Una de esas maneras es con un ataque DDoS. ¿Qué es un ataque de denegación de servicio (DoS)? Un ataque de […]
En este artículo descubriremos lo que son los insiders y cómo pueden afectar a la seguridad de una empresa, así como la mejor manera de protegerse de ellos.
La ciberseguridad se ha convertido en una cuestión de gran importancia para las empresas. La información que manejan las organizaciones se encuentra en riesgo de forma constante y, con ello, la integridad de las mismas.
En la actualidad, existen numerosos peligros cibernéticos que puede sufrir una empresa como, por ejemplo, los insiders.
Los insiders son un peligro diferente, ya que se encuentran dentro de la compañía.
Un insider es una persona con acceso legítimo a la información de una organización que utiliza dicho privilegio de forma indebida, poniendo en riesgo la seguridad de la empresa.
Los insiders pueden ser empleados, antiguos empleados, proveedores o cualquier persona con acceso a la información.
De esta forma, pueden suponer un grave peligro a las empresas porque pueden causar grandes daños. Una fuga de información implica consecuencias económicas, reputacionales y legales para las empresas.
Existen dos tipos de insiders según la intencionalidad que poseen:
Aparte de estos dos tipos, se puede dar otro caso en el que el insider sea coaccionado por un agente externo que le obligue a realizar acciones maliciosas mediante chantaje o extorsión.
Existen una serie de medidas para reducir los riesgos de que se produzca una fuga de información de la empresa por culpa de los insiders.
En primer lugar, se debe dar una gran importancia a la concienciación y formación de los empleados, para que no se conviertan en insiders negligentes. El desconocimiento es una de las principales vulnerabilidades de las organizaciones.
Por otro lado, se deben implantar políticas de seguridad claras para todos, en materia de contraseñas seguras, respuesta ante incidentes, entre otros.
Además, para la detección de posibles amenazas por insiders, puede ser útil el monitoreo y registro de actividades de los empleados.
Asimismo, es de gran importancia restringir los accesos a los empleados y que cada uno tenga acceso sólo a la información que necesita para desarrollar su trabajo.
Por último, se debe tener en cuenta la seguridad física de la empresa, controlando el acceso de las personas a los edificios, zonas restringidas y dispositivos de la empresa.
En mayo, Barracuda, una empresa especializada en soluciones de seguridad para el correo y redes corporativos, hizo público que algunos de sus 200.000 clientes en todo el mundo fueron atacados mediante la explotación de una vulnerabilidad de día cero presente en su pasarela de seguridad del correo electrónico desde octubre de 2022. Los delincuentes aprovecharon esta vulnerabilidad desconocida para desplegar puertas traseras, ganar persistencia en los sistemas comprometidos y robar datos de empresas y administraciones.
Unas semanas antes, Google había lanzado una nueva versión de su navegador, Chrome, para parchear otra vulnerabilidad de día cero, explotada por actores hostiles para atacar a los usuarios de Chrome.
Estos casos evidencian los esfuerzos permanentes de los ciberdelincuentes por encontrar vulnerabilidades y la necesidad de que las compañías puedan detectar vulnerabilidades emergentes antes de que los agresores las explotan para lograr sus fines maliciosos.
¿Por qué son tan importantes las vulnerabilidades para las compañías? Como señala el National Institute of Standards and Technology (NIST), una vulnerabilidad es «una debilidad en la lógica computacional que se encuentra en componentes de software y hardware».
Este organismo público estadounidense, un referente en la investigación y creación de conocimiento en el terreno de la ciberseguridad, hace hincapié en que la explotación de una vulnerabilidad puede afectar a la confidencialidad, integridad y disponibilidad de los activos IT y los datos de las empresas, las administraciones públicas y la ciudadanía.
De ahí que la gestión de vulnerabilidades sea uno de los aspectos centrales de la estrategia de seguridad de cualquier compañía que disponga de activos IT. Y, dentro de dicha gestión, cada vez es más relevante la capacidad de detectar vulnerabilidades emergentes para prevenir su explotación y los efectos perniciosos de un incidente de seguridad.
A continuación, vamos a abordar cómo pueden las compañías detectar vulnerabilidades emergentes y prevenir los riesgos asociados a ellas.
Como ya hemos señalado en más de una ocasión, el número de vulnerabilidades que se detectan anualmente crece año a año. En 1999 se descubrieron 894 vulnerabilidades. El año pasado se batió el récord histórico, tras detectarse 25.227 nuevas vulnerabilidades. Este año ya se ha sobrepasado la barrera de las 200.000 vulnerabilidades conocidas.
El aumento exponencial de las vulnerabilidades es un proceso lógico, teniendo en cuenta que vivimos en un mundo cada vez más digitalizado. Todos los días ven la luz nuevos software, aplicaciones y dispositivos. De tal forma que el nivel de ciberexposición de las empresas, las instituciones y los usuarios se incrementa.
Antes mencionábamos que hace unas semanas Google parcheó una vulnerabilidad de día cero a la que estaba expuesto el navegador Chrome. Este hecho no es anecdótico. En el 2022, la multinacional parcheó 9 vulnerabilidades de día cero de su navegador. Y en el 2021, se parchearon hasta 15 vulnerabilidades.
Este escenario evidencia la importancia de detectar las vulnerabilidades emergentes y mitigarlas antes de que sean explotadas por actores hostiles para atacar a una organización y a sus clientes.
Llegados a este punto, es muy relevante mencionar que entre todo este caudal creciente de agujeros de seguridad afloran dos categorías de vulnerabilidades: las de día 0 y las de día 1. En el caso de las primeras, se trata de brechas descubiertas antes de que el proveedor sepa de su existencia. Debido precisamente a este desconocimiento, no existe un parche para corregir la vulnerabilidad, por lo que es muy probable que un eventual ataque tenga éxito.
En el caso de las vulnerabilidades de día 1, el fabricante sí ha publicado un parche para corregir el incidente, pero los ciberdelincuentes analizan las funcionalidades que han sido parcheadas para desarrollar exploits sobre sistemas que aun sigan siendo vulnerables porque no han sido actualizados.
Al incremento del número de vulnerabilidades y de los ataques que explotan vulnerabilidades de día cero y día 1, debemos sumar el auge de los ataques de cadena de suministro de software. Es decir, aquellos en los que se encuentra y explota una vulnerabilidad presente en un componente empleado en múltiples softwares y usado por numerosas empresas.
La concatenación de vulnerabilidades de día 0 y 1 y ataques de cadena de suministro ha dado lugar a crisis de seguridad como la protagonizada por la tristemente célebre Log4Shell, una vulnerabilidad que afectaba a la librería de software de código abierto Log4J, empleada por miles de aplicaciones y software empresarial Java en todo el mundo.
La explotación maliciosa de las vulnerabilidades Log4Shell (a la original se sumaron otras tres) desencadenó un efecto dominó que afectó a compañías globales de la importancia de Amazon, Apple, IBM, Tesla o Cisco.
En el desarrollo de software es esencial la utilización de componentes ya creados, que permiten agilizar el proceso y abaratar los costes. Disfrutar de estas ventajas debe ir unido a una concienciación mayor en lo relativo a las consecuencias de los ataques de cadena de suministro y el deber de implementar la seguridad en todo el ciclo de vida del software.
El caso de Log4Shell puso negro sobre blanco la necesidad de que las empresas cuenten con servicios de ciberseguridad que les permitan detectar vulnerabilidades emergentes críticas y que afecten a su infraestructura tecnológica, incluyendo todos los componentes de terceros, antes de que sean explotadas exitosamente por actores hostiles.
Como señalamos antes, la gestión de las vulnerabilidades es una de las actividades principales de las capas defensivas de una empresa. Dicha gestión debe llevarse a cabo a lo largo de todo su ciclo de vida y, para ello, ha de:
A la hora de realizar una gestión de vulnerabilidades integral no solo se han de tener en cuenta las vulnerabilidades conocidas, es decir, aquellas que ya han sido publicadas en el pasado, sino que resulta crucial poder detectar vulnerabilidades emergentes que puedan afectar a los activos empresariales.
Aquí es donde entra en juego el servicio de vulnerabilidades emergentes, que se centra en analizar los activos de una compañía de forma continua para detectar cuáles están expuestos a vulnerabilidades críticas tanto de día cero como de día 1. Incidentes en definitiva que pueden desencadenar graves problemas de seguridad.
El servicio de vulnerabilidades emergentes de Tarlogic Security realiza una monitorización proactiva del perímetro de los clientes para detectar vulnerabilidades emergentes a las que puedan estar expuestos sus activos IT. Para ello, los profesionales de ciberseguridad proceden a evaluar las nuevas vulnerabilidades descubiertas y que:
Para ello, el equipo encargado de detectar vulnerabilidades emergentes implementa cuatro actuaciones estratégicas:
Todas estas actividades se llevan a cabo de forma continua, las 24 horas del día y los siete días de la semana. De esta manera, la capacidad de detectar vulnerabilidades emergentes y tomar medidas para subsanarlas antes de que sean explotadas se caracteriza por la agilidad y la eficacia y sirve para prevenir incidentes de seguridad y sus consecuencias económicas, legales y reputacionales.
¿Qué consiguen las empresas que cuentan con un servicio para detectar vulnerabilidades emergentes 24/7?
A lo largo del artículo hemos ido apuntando algunos de los beneficios asociados a un monitoreo proactivo del perímetro de una compañía para detectar vulnerabilidades emergentes que puedan afectar a sus activos. A continuación, vamos a señalar cinco beneficios directos de disponer de un servicio de vulnerabilidades emergentes como el de Tarlogic Security, prestado por profesionales experimentados y al día con las novedades que se producen en un mundo tan cambiante como el de la ciberseguridad.
En la defensa de una empresa frente a las ciberamenazas entran en juego diversos equipos y profesionales. De ahí que la coordinación sea una cuestión de capital importancia a la hora de planificar las estrategias de seguridad y conseguir que sean eficaces.
Esta coordinación es aún más relevante a la hora de detectar vulnerabilidades emergentes y activar una respuesta eficiente ante ellas.
Por ello, un servicio de vulnerabilidades emergentes debe ser capaz de coordinar la reacción de una empresa cuando se publica una vulnerabilidad de día cero con un nivel de impacto elevado. Por supuesto, también en el caso de los incidentes de seguridad de día 1. De lo contrario, la gestión de la vulnerabilidad emergente será deficiente y caótica.
Más allá de coordinar las actuaciones que se deben poner en marcha para prevenir los riesgos asociados a una vulnerabilidad de día cero o de día 1, el equipo que realiza el servicio de vulnerabilidades emergentes ha de llevar a cabo un análisis rápido sobre el perímetro de la empresa.
Para ello, empleará un inventario actualizado de toda la infraestructura tecnológica empresarial y pondrá en marcha pruebas estandarizadas para comprobar si la vulnerabilidad descubierta puede o no afectar a la empresa y de qué forma puede ser explotada por actores hostiles para realizar un ataque exitoso.
Sin este análisis, que debe ser ágil, pero también preciso, no se puede diseñar e implementar una respuesta adecuada ante los riesgos asociados a una vulnerabilidad emergente.
Si tras el análisis el equipo a cargo del servicio de vulnerabilidades emergentes concluye que una vulnerabilidad afecta a la infraestructura IT de la empresa, ¿qué se puede hacer?
Tanto el diseño de contramedidas como su adaptación en función de la información disponible son actuaciones esenciales para prevenir la explotación de una vulnerabilidad y los riesgos asociados a esta actuación maliciosa.
Si una empresa no pone en marcha las acciones pertinentes para gestionar una vulnerabilidad que afecta a alguno de sus activos, corre el riesgo de sufrir un incidente de seguridad que dañe su modelo de negocio, su operatividad o ponga en jaque datos confidenciales empresariales y de sus clientes.
Asimismo, resulta de vital importancia que los profesionales desplieguen procedimientos y pruebas para verificar que las contramedidas que se han implementado funcionan adecuadamente.
Detectar vulnerabilidades emergentes que afectan a los activos empresariales y poner en marcha contramedidas sirve para cumplir dos objetivos directamente relacionados:
El goteo de incidentes de seguridad asociados a la explotación de vulnerabilidades de día cero y de día 1 es continuo. En un mundo plenamente digitalizado como el nuestro, las compañías tienen que situar a la ciberseguridad en el centro de sus estrategias empresariales. Y ello conllevar disponer de la capacidad de detectar vulnerabilidades emergentes y poder gestionarlas de forma ágil e integral para cerrar el camino de los ciberdelincuentes hasta las entrañas de un negocio.
El último de los beneficios de detectar vulnerabilidades emergentes en el perímetro de una empresa y tomar medidas para responder ante ellas radica en la posibilidad de anticiparse a los actores hostiles. ¿En qué sentido?
Tras detectar vulnerabilidades emergentes que afectan a activos IT, los profesionales pueden analizar las tácticas, técnicas y procedimientos que pueden poner en marcha los grupos de ciberdelincuentes para explotar estas vulnerabilidades.
Esta capacidad de anticipación implica disponer de conocimientos y herramientas avanzados de ciberseguridad, ciberinteligencia y Threat Hunting. Puesto que no basta con estudiar la vulnerabilidad en cuestión, sino que es necesario comprender cuáles son las tácticas, técnicas y procedimientos de los actores maliciosos y qué rutas pueden emplear para explotar diversas vulnerabilidades y alcanzar sus objetivos.
Si una organización puede anticiparse a los delincuentes, aumentará su resiliencia frente a los ataques que aprovechan la explotación de vulnerabilidades de día cero para comprometer los activos empresariales.
El punto anterior nos permite observar la importancia de la innovación y la investigación en el ámbito de la ciberseguridad.
Los delincuentes diseñan constantemente herramientas y procedimientos para explotar vulnerabilidades de la infraestructura tecnológica de las empresas y las instituciones. De tal forma que los profesionales de la ciberseguridad también han de realizar un esfuerzo permanente para desentrañar los modus operandi de los actores maliciosos e incrementar la resiliencia de las organizaciones frente a los ciberataques.
Por eso, para optimizar la capacidad de detectar vulnerabilidades emergentes, analizarlas y ayudar a mitigarlas, Tarlogic cuenta con la unidad S.T.A2.R.S. Este equipo, conformado por especialistas en ciberseguridad con amplios conocimientos y una larga experiencia a sus espaldas, analiza de forma continua las vulnerabilidades emergentes, de cara a generar conocimiento que sea útil a la hora de detectar vulnerabilidades emergentes en los activos empresariales y mitigarlas.
Así, el trabajo de la unidad S.T.A2.R.S. enriquece tanto el servicio de gestión de vulnerabilidades como el servicio especializado en vulnerabilidades emergentes, para ayudar a las empresas a hacer frente a estas debilidades
Además, dentro de la apuesta de Tarlogic por la innovación y la transferencia de conocimiento, esta unidad especializada en detectar vulnerabilidades emergentes y estudiarlas en profundidad, publica análisis sobre nuevas vulnerabilidades críticas, que incluyen:
En definitiva, detectar vulnerabilidades emergentes se ha convertido en una actividad estratégica para hacer frente al incremento de ataques que explotan vulnerabilidades e impactan en la cadena de suministro de software. El servicio de vulnerabilidades emergentes monitorea activamente el perímetro de las empresas para detectar vulnerabilidades que puedan afectar a sus activos tecnológicos.
La era de los espías circunspectos y silenciosos que John le Carré retrató para la posteridad en novelas como El espía que surgió el frío, terminó con el final de la Guerra Fría. Hoy en día, el espionaje tiene lugar en el mundo digital a través de amenazas persistentes avanzadas, lanzadas por grupos de ciberdelincuentes esponsorizados por estados que desean obtener información de gobiernos, compañías, medios extranjeros o desestabilizar a otros países.
En las últimas semanas se han hecho públicas dos campañas de amenazas persistentes avanzadas puestas en marcha por un grupo chino y otro norcoreano. La primera de ellas, conocida como SmugX, atacaba a embajadas para obtener información clave sobre la política exterior de países europeos como Reino Unido, República Checa o Hungría. La segunda, lanzada por el grupo APT Kimsuky iba dirigida a robar datos de actores estratégicos como centros de investigación o medios de comunicación.
Estos casos recientes evidencian una tendencia clave en el ámbito de la ciberseguridad a nivel global: el auge de las amenazas persistentes avanzadas, cuyo impacto en compañías y administraciones públicas puede llegar a ser devastador. De ahí que la mejora de la resiliencia frente a esta clase de amenazas se haya convertido en una cuestión de vital importancia para miles de empresas e instituciones de todo el planeta.
A continuación, vamos a profundizar en qué son las amenazas persistentes avanzadas, cuáles son sus objetivos, quiénes están detrás de ellas y cómo se pueden preparar las compañías y administraciones frente a estas peligrosas amenazas, gracias a los servicios de Threat Hunting y los ejercicios de Red Team.
Las amenazas persistentes avanzadas son popularmente conocidas a través de las iniciales del concepto en inglés, APT: advanced persistent threats. Estas tres palabras nos sirven para realizar una primera aproximación a este concepto esencial en el mundo de la ciberseguridad:
Más allá de las tres palabras que conforman el concepto, el National Institute of Standards and Technology de Estados Unidos, define a las amenazas persistentes avanzadas poniendo el foco en cinco aspectos esenciales:
A raíz de lo que venimos de señalar, podemos vislumbrar qué diferencia a las amenazas persistentes avanzadas de las comunes.
Los delincuentes detrás de las amenazas persistentes avanzadas presentan sofisticados niveles de experiencia y disponen de cuantiosos recursos. Esto les permite diseñar e implementar ataques mucho más complejos y disponer de más herramientas para vencer los mecanismos de defensa de una organización y cumplir con los objetivos.
Los grupos APT destacan por su elevado nivel de experiencia, contar con una motivación clara, conjugar múltiples vectores de ataque y disponer de una meta perfectamente definida (robar propiedad intelectual, espionaje industrial o gubernamental…).
Una de las claves que nos sirve para diferenciar a las amenazas persistentes avanzadas y destacar su peligrosidad son los vectores de ataque que emplean los actores hostiles. ¿Por qué?
Los delincuentes no recurren a un único vector de ataque para vulnerar un activo IT de una compañía, sino que emplean múltiples vectores, lo que tiene como consecuencia que las amenazas persistentes avanzadas sean más sofisticadas y complejas. Así, este tipo de ataques puede combinar el empleo de técnicas de ingeniería social, la explotación de vulnerabilidades de día 0 o el uso de malware.
Las amenazas persistentes avanzadas no son ataques que golpean una sola vez, sino que buscan infiltrarse en la infraestructura tecnológica de la organización y lograr la máxima persistencia en ella, consiguiendo, a su vez, un acceso continuado en el tiempo.
Ello conlleva que los actores hostiles deban pasar desapercibidos y conseguir que los ataques queden latentes en los sistemas corporativos o gubernamentales y sean monitoreados de forma continua hasta la consecución de los objetivos maliciosos.
Asimismo, debemos añadir que los grupos APT buscan obtener el máximo alcance para poder infiltrarse en toda la infraestructura tecnológica de la organización y recabar la mayor cantidad de información posible.
Muchos ciberataques se ponen en marcha recurriendo a la automatización. Por la contra, las amenazas persistentes avanzadas se caracterizan por ser ejecutadas de forma manual. De tal forma que los actores hostiles ejecutan todas las fases de la Cyber Kill Chain para asegurarse de alcanzar los objetivos marcados.
De ahí que podamos afirmar que las amenazas persistentes avanzadas se caracterizan por ser ataques dirigidos y organizados, sustentados en objetivos perfectamente definidos.
Gracias a las herramientas que permiten automatizar los ciberataques, muchos se lanzan contra un amplio número de objetivos. Por ejemplo, una campaña de phishing que se dirige a miles de cuentas de correo electrónico. Por la contra, las amenazas persistentes avanzadas se dirigen contra targets específicos, como profesionales concretos de una determinada organización.
Entre los targets habituales de los grupos APT se encuentran gobiernos, compañías, personas relevantes, redes o infraestructura crítica, por ejemplo, plantas energéticas u oleoductos.
Esta situación pone en evidencia la existencia de recursos y capacidades de inteligencia (OSINT, SOCMINT) por parte de los actores maliciosos.
Las características de las amenazas persistentes avanzadas guardan una relación directa con los objetivos de los grupos APT. Estos ataques complejos, que conjugan varios vectores de ataques y técnicas sofisticadas, buscan infiltrarse el máximo tiempo posible en la infraestructura IT sin ser identificados para:
A la luz de las características y objetivos que hemos esbozado, podemos hacernos la siguiente pregunta: ¿qué buscan las amenazas persistentes avanzadas?
La complejidad de las acciones, el nivel de preparación de los delincuentes que las desarrollan y la cantidad de recursos que se necesitan para ejecutarlas con éxito implican que las amenazas persistentes avanzadas tengan, en primer lugar, targets específicos, a diferencia de otros ataques menos complejos y que se automatizan.
De ahí que señalemos que las APT se tratan de ataques dirigidos hacia targets concretos y no de ataques a discreción, que buscan impactar en el mayor número de víctimas potenciales. O, dicho de una forma más prosaica, mediante las amenazas persistentes avanzadas los delincuentes buscan dar en la diana, mientras que en los ataques automatizados masivos echan la red en el mar, sin importar qué vaya a caer en sus manos.
Aclarada esta cuestión, ¿contra quién se dirigen las amenazas persistentes avanzadas? Especialmente contra instituciones públicas clave como los departamentos o ministerios ligados a la seguridad, la defensa, la política exterior o la investigación. Así como contra compañías de sectores críticos, como el financiero, la salud, las telecomunicaciones, el transporte o la energía.
¿Cómo se infiltran los actores hostiles en la infraestructura IT de esta clase de organizaciones? Combinando diferentes tácticas, técnicas y procedimientos para obtener acceso a los sistemas corporativos, instalar backdoors, escalar privilegios o realizar movimientos laterales para lograr los objetivos maliciosos.
Frente a otros ataques más sencillos, las amenazas persistentes avanzadas se desarrollan a lo largo de una gran cantidad de tiempo, tanto por su complejidad como por su misión de persistir durante un plazo temporal muy amplio para acrecentar su impacto en la organización atacada.
Los grupos APT son aquellos que diseñan y ejecutan amenazas persistentes avanzadas para cumplir sus objetivos delictivos. Para ello, desarrollan herramientas, técnicas, tácticas y procedimientos que requieren de elevados conocimientos técnicos y una amplia experiencia. La complejidad de las amenazas persistentes avanzadas exige que los delincuentes que forman parte de estos grupos presenten una gran pericia y que, además, dispongan de cuantiosos recursos para llevar a cabo sus actividades delictivas.
Por ello, en muchos casos, como los dos que mentamos al inicio del artículo, los grupos APT son esponsorizados por estados.
Sin embargo, también existen grupos APT que no tienen una relación directa con ningún gobierno, sino que su objetivo es infiltrarse en compañías o administraciones para extorsionarlas, como fue el caso del ataque lanzado por el grupo RansomHouse contra el Hospital Clínic de Barcelona; o para vender información sensible a la competencia.
Aún así, lo cierto es que muchos grupos APT tienen estrechos lazos con diversos estados (Rusia, China, Irán…) y su objetivo es contribuir a desestabilizar a los estados occidentales, ya sea atacando a sus instituciones o a sus compañías.
Sin ir más lejos, el equipo de Threat Hunting de Tarlogic Security hizo pública una investigación sobre el grupo APT28, también conocido popularmente como Fancy Bear. Este grupo que amenazas persistentes avanzadas ha atacado al presidente de Francia, Emanuel Macron, al Bundestag alemán, al CSIC español o al Comité Nacional Demócrata estadounidense.
Los grupos de amenazas persistentes avanzadas van en aumento y su impacto en el terreno de la ciberseguridad y la protección de las empresas, las administraciones y las personas también. De ahí que los profesionales de Threat Intelligence y Threat Hunting sean claves a la hora de entender cómo operan los diferentes grupos APT y, así, poder mejorar la resiliencia frente a sus acciones maliciosas.
Precisamente, el framework MITRE ATT&CK, centrado en estudiar las tácticas, técnicas y procedimientos de los ciberdelincuentes, lleva a cabo una labor de recopilación de información sobre los grupos APT. Así, MITRE ATT&CK pone a disposición de los profesionales de ciberseguridad y las organizaciones datos como:
¿Cómo pueden las organizaciones hacer frente a las amenazas persistentes avanzadas? En primer lugar, cortando su Cyber Kill Chain antes de que logren cumplir sus objetivos maliciosos. En esta tarea entren en juego los profesionales de ciberinteligencia y los threat hunters.
La inteligencia es fundamental a la hora de poner en marcha las amenazas persistentes avanzadas, puesto que los ciberdelincuentes deben conocer con precisión a las organizaciones que van a atacar, su infraestructura IT y su estrategia de seguridad. Y, por eso mismo, es fundamental a la hora de comprender qué TTP emplean los actores hostiles cuando realizan tareas de investigación y desarrollan herramientas o procedimientos para lanzar sus ataques.
Por su parte, los profesionales que realizan Threat Hunting proactivo han de rastrear la presencia de amenazas persistentes avanzadas en los sistemas de una organización. ¿Cómo? Analizando la actividad en los endpoints o detectando amenazas partiendo de hipótesis de compromiso y usando la telemetría.
Las amenazas persistentes avanzadas y los grupos que las diseñan y ejecutan suponen un peligro para la seguridad de miles de empresas, pero también para las instituciones y el conjunto de la ciudadanía.
Por ello, es fundamental que las compañías y las administraciones públicas sean capaces de mejorar su resiliencia frente a las APT y, así, ser capaces de mejorar las capacidades de detección, respuesta, contención y recuperación.
Tarlogic Security ofrece a las empresas e instituciones servicios de Red Team y Threat Hunting que aúnan capacidades de seguridad ofensiva y defensiva para ayudarlas a mejorar su resiliencia APT.
El equipo de Threat Hunting de Tarlogic lleva a cabo una monitorización permanente de los principales grupos APT del mundo con el objetivo de analizar en profundidad las técnicas, tácticas y procedimientos (TTP) que emplean esta clase de actores hostiles.
Todo este conocimiento conforma una amplia base de datos que sirve para identificar y diseñar oportunidades de detección para hacer frente a las nuevas TTP empleadas por los grupos APT.
Mediante esta estrategia de Threat Hunting Proactivo, los profesionales de Tarlogic ayudan a las compañías a mejorar sus capacidades defensivas frente a las amenazas persistentes avanzadas.
Así, para conseguir optimizar la resiliencia frente a las TTP de los grupos APT, una organización debe ser capaz de responder afirmativamente a tres preguntas básicas:
La solución que ofrece Tarlogic a las empresas para hacer frente a las amenazas persistentes avanzadas incluye, también, la prestación de servicios de Red Team para diseñar e implementar ejercicios de compromiso mediante APT.
Los profesionales de la compañía de ciberseguridad acuerdan con la empresa que ha contratado estos servicios el diseño del ejercicio de compromiso mediante APT: vectores de entrada, actividades de impacto… Durante su ejecución, el equipo de Tarlogic pondrá en marcha un ataque dirigido contra la organización de cara a:
¿Cuáles son los beneficios de estos ejercicios de compromiso diseñados y ejecutados por un Red Team altamente cualificado y con una amplia experiencia a sus espaldas?
En definitiva, las amenazas persistentes avanzadas y los grupos que las diseñan e implementan han adquirido una creciente relevancia económica y social en los últimos años. Estos ataques dirigidos y sofisticados desafían las capacidades defensivas de las empresas y las instituciones de todo el mundo.
Por eso, mejorar la resiliencia frente a las amenazas persistentes avanzadas se ha convertido en una prioridad para las organizaciones que desean estar preparadas para detectar, responder y mitigar estos ataques y sobrevivir a su impacto.
Al fin y al cabo, como escribió John le Carré en El topo: «¿Qué es supervivencia? Una infinita capacidad de sospecha».
¿Alguna vez has dudado de un ratón que conectas a un ordenador, o del cable de tu cargador del móvil? Seguramente la respuesta es que ni siquiera te lo has planteado. Cuando conectamos algo a nuestros dispositivos, salvo, quizás, en el caso ‘pendrives’ o tarjetas de memoria, lo normal es que confiemos en que no son más que meros accesorios, tan peligrosos para nuestro terminal como una mesa de madera. Pero después de leer esto, es muy posible que empieces a verlos de otra forma.
Joel Serna y Ernesto Sánchez son dos jóvenes españoles expertos en ciberseguridad y consultores en este mismo sector que, entre otros proyectos, han centrado sus carreras en estos periféricos que normalmente tratamos sin más importancia y que son potenciales puertas de entrada a todos nuestros sistemas. Y es que desde esa base de carga que utilizas para enchufar tu teléfono a la luz hasta el mismísimo cable que usas como unión a tu móvil pueden ser manipulados para colarse como un caballo de Troya en tus dispositivos y robarte tanto los datos como el control de los mismos.
“La idea de ‘troyanizar hardware’ [así se denominan técnicamente estas prácticas] viene por el simple hecho de que las personas confían en el ‘hardware’ y nunca llegan a pensar que este puede haber sido alterado con fines maliciosos. Actualmente, se empieza a ver cómo las personas desconfían de los ‘pendrives’ porque pueden contener ‘malware’, pero nunca se llega a desconfiar de cables y baterías para cargar el móvil, etc.”, explica en conversación con Teknautas Joel Serna, que fue el encargado de mostrar su proyecto en el evento Mundo Hacker Day, celebrado en Madrid.
Juntos construyen dos productos de los denominados BadUSB (dispositivos conectables por USB que se hacen pasar por otro para que confíes en ellos). El primero de ellos es un dispositivo llamado Phoenix Ovpositor que se parece mucho a un ‘pendrive’ y que puede usarse para aprovechar todas estas vulnerabilidades, tanto con la forma de ‘pincho’ como integrado en una base de carga o en un ratón, y el segundo es un cable al que aún no han puesto nombre. Ambos artilugios destacan por su bajo coste. “Muchos de sus componentes son comprados en internet con unos precios bajísimos en páginas chinas y tú solo tienes que tener los conocimientos para poder ensamblarlos y hacer que funcionen”.
“Nos gusta trastear con estas cosas, es divertido, y por eso hemos dedicado nuestro tiempo y dinero a estos proyectos, pero el objetivo es poder ayudar a concienciar a la gente del peligro de estos accesorios y a las empresas a poder protegerse de cualquiera de estos ataques”, comenta Serna. Es más, su siguiente objetivo es mandar el cable a algún fabricante, conseguir que creen unos cuantos miles de ellos y venderlos a expertos en ciberseguridad para que trasteen con ellos y vean los peligros que atañen para luego vigilar todo lo que compran.
Vale, ese ratón que tengo por casa o el cable USB pueden haber sido manipulados, pero ¿cómo funcionan exactamente estos sistemas? Pues son mecanismos mucho más comunes de lo que imaginas.
Gracias a microcontroladores diminutos que colocan en estos periféricos y que pasan totalmente desapercibidos, como vemos en las fotos que pusimos arriba y en las que añadimos bajo este párrafo, consiguen entrar en tu dispositivo. Algunos simplemente son controladores programables, y sirven para, una vez programados y conectados, conseguir que el móvil o el ordenador realice alguna acción concreta (abrir la tienda de aplicaciones y descargar una ‘app’ maliciosa, por ejemplo), pero otros son mucho más sofisticados y llegan a tomar el control del terminal sin que tú te des ni cuenta. Para ello, llegan a abrir puertas con puntos de conexión wifi o Bluetooth.
“Nosotros aún estamos trabajando en sistemas que puedan levantar puntos wifi para conectarnos remotamente al accesorio, pero ya existen otros proyectos que lo han logrado. Uno de los más conocidos es USBNinja, que permite hacerlo a través de una conexión Bluetooth”. Algo similar consigue otro cable en cuyo desarrollo participó el propio Serna: el OMG (Offensive MG), que sí da acceso por wifi.
En cuanto a los potenciales ataques que pueden realizar a tu móvil, Serna destaca dos en concreto. En el caso de los microcontroladores programados con anterioridad, se puede conseguir emular al usuario y ejecutar acciones que el mismo no espera (o realizar acciones que él no desea). El otro ataque se basa en la ejecución de comandos ADB en dispositivos móviles Android aprovechando los espacios dedicados a los desarrolladores para hacerse con el control del móvil.
Después de leer todo esto, puede que estés pensando en qué puedes hacer para protegerte de estos caballos de Troya, o al menos qué precauciones puedes tomar para evitar caer en alguna trampa, pero lo peor es que a día de hoy es algo prácticamente indetectable. Al menos así lo asegura el experto en ciberseguridad, que explica que normalmente la única forma de saber que un cable o una base de carga vienen con algo dentro es desmontando el accesorio.
“En el caso de los microcontroladores programados, su acción sí que se muestra al usuario, ya que lo que hace es realizar otras acciones no llevadas a cabo por el usuario, y lo hace a la vista de todos, pero otros pueden trabajar sin que te des ni cuenta”, explica. Claro, ni hablar de lo que puede ocurrir en terrenos empresariales, donde se compran grandes cantidades de material que pocas veces da tiempo a revisar concienzudamente.
Por ello, la recomendación de Serna es que revises con detalle dónde conectas tus dispositivos (mucho cuidado con esos cargadores baratos que compramos por internet o en tiendas de ‘todo a 100’) y, sobre todo, que no lo hagas como si no pudiera pasar nada. Como avisa, hasta los accesorios de fabricantes de confianza pueden ser manipulados para colarte algún tipo troyano, por lo que no queda otra que estar atentos.
El Ransomware es una auténtica epidemia para la ciberseguridad mundial. Es la principal amenaza de malware en la mayoría de los estados miembros de la Unión Europea, según el informe de seguridad de Europol de 2018, y según el último informe de Malwarebytes, ha crecido un 200% en el segmento empresarial en el primer trimestre de 2019.
Como sabes, un Ransomware típico infecta un ordenador personal o dispositivo móvil, bloquea el funcionamiento y/o acceso a una parte del equipo apoderándose de los archivos con un cifrado fuerte y exigiendo al usuario una cantidad de dinero como “rescate” para liberarlos. Y nadie está a salvo, porque puede afectar por igual a cualquier plataforma, Windows, OS X, Linux o sistemas móviles Android, iOS o Windows Phone.
La motivación de los ciberdelincuentes es casi siempre económica, aunque puede emplearse para otros fines. Además, los ataques por Ransomware son cada vez más numerosos, sofisticados, peligrosos y masivos, como vimos con WanaCryptor, un ataque bien planificado y estructurado cuyo objetivo fue lograr una infección masiva a nivel mundial, poniendo contra las cuerdas a un buen número de grandes empresas de decenas de países.
Aunque -dependiendo del tipo de Ransomware y el grado de cifrado utilizado- existen herramientas públicas para poder descifrarlos, en la mayoría de ocasiones a nivel cliente no existe otra solución que formatear el equipo con la consiguiente pérdida de tiempo y de los datos y archivos si no tenemos copias de seguridad.
Si el mejor de los consejos en ciberseguridad es la prevención, en el caso del Ransomware es absolutamente imprescindible para frenarlo, siguiendo una serie de consejos como los que te proponemos:
Actualización del sistema y aplicaciones. Mantener el sistema operativo actualizado con los últimos parches de seguridad y todas las aplicaciones que tengamos instaladas es el mejor punto de partida. El mencionado WanaCryptor aprovechó una vulnerabilidad en sistemas Windows.
Línea de defensa. Conviene instalar y mantener una solución antimalware, incluyendo un cortafuegos correctamente configurado para permitir el acceso exclusivo de las aplicaciones y servicios necesarios.
Herramienta Anti Ransom. Es una herramienta específica contra este tipo de ataques, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
Filtro antispam. Muchos de los ataques por Ransomware se distribuyen a través de campañas masivas de correo electrónico. Además de estos filtros, debes seguir los consejos generales como no pinchar en enlaces o abrir archivos adjuntos de remitentes desconocidos.
Bloqueadores de JavaScript. Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
Políticas de seguridad. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit facilitan el establecimiento de políticas que impiden la ejecución de directorios comúnmente utilizados por el ransomware, como App Data, Local App Data, etc.
Cuentas con privilegios. No utilizar cuentas con privilegios de administrador. El 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
Extensiones de archivos. Mostrar las extensiones para tipos de ficheros conocidos es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
Máquinas virtuales. Emplear máquinas virtuales para aislar el sistema principal es otra técnica efectiva. En un entorno virtualizado la acción de los ransomware no suele materializarse.
Backup. Realizar copias de seguridad de los datos importantes como tarea de mantenimiento regular es la medida más efectiva para minimizar los daños en caso de ser infectado. La copia de seguridad debe alojarse en un medio externo distinto al del equipo para poder recuperar los archivos desde un sitio «limpio» y no tener que pagar el «rescate» exigido por estos ciberdelincuentes.
FUENTE: https://www.muycomputer.com/2019/04/30/como-prevenir-el-ransomware/
Somos un grupo de profesionales con más de 30 años en tecnologías de la información. Somos la mejor opción en ciberseguridad, continuidad de negocios y consultoría Ti.
