Archivos de la categoría Noticias

Información importante | Meltdown y Spectre

Como probablemente ya estés al tanto, se han descubierto vulnerabilidades que afectan a muchos procesadores y sistemas operativos modernos, incluidos Intel, AMD y ARM.

Estos ataques se presentan en tres variantes distintas: CVE-2017-5715CVE-2017-5753, CVE-2017-5754, dos de ellas de Spectre, otra de Meltdown y están presentes en diversos sistemas: computadoras personales, dispositivos móviles y la nube.

Meltdown y Spectre son bugs de hardware importantes, ya que una explotación exitosa podría permitir a los atacantes obtener acceso no autorizado a datos confidenciales, incluidas las contraseñas.

Qué aconsejamos hacer desde NextVision:

  • Actualizar software de Antivirus que se utilice:
    • Symantec: hacer clic en este link.
    • Kaspersky: hacer clic en este link.
    • F-Secure: hacer clic en este link.

Aconsejamos seguir estos links que van actualizando de manera inmediata los updates de los fabricantes.

Comunicate con nosotros por cualquier inquietud!

Todo sobre Fuga de Información y Clasificación de Datos

Todo lo que tenés que saber para  proteger tu información crítica

La información es un activo crítico: los datos de clientes y empleados, proyectos, transacciones e innovaciones son el corazón de una empresa, son un recurso que da pie a mejoras y crecimiento del negocio, además de ser una de las insignias de credibilidad más importantes de vista a la clientela que confía información de diverso grado de sensibilidad.

Es por ello, que cuando se produce una fuga de información y estos datos caen en malas manos, las consecuencias van desde pérdidas económicas, daños a la reputación de la compañía o el cierre permanente de ésta. La creciente oleada de fugas de información por ataques perpetrados a empresas de todos los rubros y tamaños implica que la debida protección de los datos debe ser la prioridad número uno.

En este post, te daremos una guía en la que aprenderás en qué consiste una fuga de información, sus consecuencias, y las tecnologías existentes que pueden ayudarte a mantener la información de tu empresa segura.

ÍNDICE

– Qué es una fuga de información y cómo se produce

– ¿Cuáles son las consecuencias de una fuga de información?

– La protección de la información como estrategia

– ¿Cómo proteger la información?

– Solución DLP de Symantec

– En definitiva, ¿Debo encriptar mis datos?


Qué es una fuga de información y cómo se produce

Número de incidentes por fuga de información durante la primera mitad del 2017 (Fuente: Breach Level Index)

Una fuga de información es un incidente en el que información sensible o confidencial fue vista o robada por personas no autorizadas. Información como datos bancarios, registros clínicos, propiedad intelectual, secretos industriales o documentos del gobierno son las más propensas a ser objeto de estos ataques.

Una fuga de información suele ocurrir en varios escenarios internos y externos, intencionales o no, y que pueden ser consecuencia de protocolos de seguridad débiles, la negligencia o simplemente la mala suerte. Veamos algunos:

  • Un cibercriminal hackea los sistemas de una organización y extrae la información.
  • Una persona con acceso a las instalaciones de la organización (un empleado o alguien que recibe ayuda interna) accede a los servidores para llevarse información.
  • Comportamiento negligente de los empleados como la apertura, click y descarga de archivos de origen dudoso, visitas a sitios web inapropiados, publicación de información inadecuada en redes sociales, uso incorrecto o pérdida de los dispositivos (USB, Notebooks, discos rígidos, o CD/DVD) con información de la empresa.
  • Uso inapropiado de la información por parte de los empleados cuando trabajan desde casa, ya que suelen romper los procesos de seguridad definidos para el ambiente corporativo.
  • Empleados malintencionados o ex empleados que guardan información sensible de para venderla, o utilizarla en contra de la empresa.
  • Uso de aplicaciones de comunicación y transferencia de archivos que no son controladas por la empresa, como Whatsapp, Dropbox o Google Drive, para realizar las tareas diarias entre los empleados.
  • Si se produce la infección del sistema por un malware diseñado para el robo de información, como el muy utilizado Ransomware, los troyanos, keyloggers y spyware.

Más allá de las fugas de información por negligencia interna, los usos de la información robada son diversos: los criminales roban información para perpetrar ataques más dañinos a la organización más adelante, para lucrar vendiendo los documentos a competidores, para robar secretos por espionaje industrial o gubernamental, o para filtrarla y dañar la reputación de la organización.


¿Cuáles son las consecuencias de una fuga de información?

El impacto de una fuga de información es tan diverso como las razones por las que se produce. Algunas de las consecuencias a las que se enfrenta una organización si sus datos son robados pueden ser:

    • Problemas legales: cuando se produce una fuga de información, las empresas suelen enfrentarse a sanciones, multas o juicios por el incumplimiento de leyes y normativas que buscan proteger la privacidad de los clientes.
    • Pérdidas financieras: las empresas pueden verse obligadas a indemnizar económicamente a clientes afectados, si se trata del caso de robo de información de sus clientes, o podrían perder su competitividad, si se fugó información asociada al core del negocio.
    • Suspensión de las operaciones: este caso puede darse cuando información sensible sobre el funcionamiento del negocio se ve comprometida, y se produce un segundo ataque una vez que los cibercriminales saben cómo interrumpir procesos o dar de baja servicios que son clave para la operatividad de la empresa.
    • Pérdida de credibilidad: esta es una de las consecuencias más difíciles de reparar, ya que cuando una empresa es víctima de este tipo de incidentes, queda ante sus clientes como una organización descuidada en la que no se puede confiar para brindar información sensible como datos médicos o financieros. Casos recientes de empresas que tuvieron fugas de información y sufrieron daños en su reputación son Forever 21 y Uber. La marca de ropa sufrió el robo de los datos de las tarjetas de crédito de los clientes que hicieron compras en esta tienda entre marzo y octubre de este año. Por su parte, Uber ocultó la fuga de los datos de 57 millones de usuarios y ahora se a enfrenta procesos judiciales en países como Estados Unidos, Australia, Reino Unido y Filipinas.


La protección de la información como estrategia

Es clave pensar en las políticas de protección de datos como integral de la operatividad del negocio

Si todavía tenés dudas respecto de si para tu empresa, por muy chica que sea, es necesario adoptar protocolos y sistemas de protección de datos, la respuesta es sí. La protección de la información debe tomarse como parte clave de la estrategia de supervivencia del negocio, ya que las consecuencias anteriormente expuestas pueden llevar a su cierre definitivo.

Y es que el riesgo de que tu empresa sea víctima de una fuga de información es cada vez mayor, ya que este tipo de incidentes va en aumento: de acuerdo al Internet Security Threat Report de Symantec, más de 7 billones de identidades han sido robadas en los últimos 8 años, y la tendencia continúa al alza.

Además, no proteger tus datos implica un riesgo de gastos y pérdidas mucho mayor que si se implementara una solución de cifrado de datos enterprise en el negocio. Entre los problemas a las que se expone tu empresa si decidís no tomar medidas de protección de datos están:

Problemas de reputación:

Como mencionamos antes, una fuga de información puede dañar seriamente la credibilidad de tu empresa ante tus clientes y su confianza en tus servicios, algo muy difícil de recuperar. En el caso de las empresas grandes, la dimensión de los daños son mayores, ya que suele involucrarse la prensa en la cobertura de la fuga de información.

Problemas financieros:

Una fuga de información implica que la empresa tenga que asumir gastos por efectos de demandas judiciales e indemnizaciones, sin tomar en cuenta la posible pérdida de tiempo productivo y competitividad que pueden producirse si la información robada afecta procesos operativos del negocio.

Problemas por incumplimiento de normativas:

La información de los clientes está amparada por regulaciones y normativas propias de cada industria y cada país. En el caso de Argentina, la industria bancaria es la más regulada, y todo banco que desee operar en el país debe cumplir con un mínimo de protocolos de seguridad para las distintas operaciones y transacciones. Además, debe pasar por varias auditorías para que el BCRA verifique los estándares mínimos de seguridad; de lo contrario, se expone a multas o a la suspensión de sus operaciones.

Otra ley que protege la información sensible de los clientes es la Ley de Protección de Datos, de la Dirección Nacional de Protección de Datos Personales, que da la potestad a los usuarios de hacer una denuncia en caso de que considere que sus datos personales están siendo violados por alguna organización, para que dicho organismo proceda a la auditoría de la misma.

Cuando una organización falla en el cumplimiento de normativas, se expone a multas y sanciones que implican gastos, y hasta el cese definitivo de sus operaciones, por lo que cumplir las normativas de protección de datos tiene que ser considerada una prioridad para las empresas de todos los rubros en la actualidad.


¿Cómo proteger la información?

La primera y más eficaz barrera de protección de datos sensibles es la encriptación o cifrado de información. Encriptar implica proteger información y documentos con técnicas y algoritmos que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. Solo implementando una solución de cifrado para proteger la información sensible, se previenen la mitad de los intentos de robo de información, e inclusive si la extracción de los datos es exitosa, es posible resguardar la información porque:

  • Protege los datos de dispositivos perdidos por negligencia o por accidente.
  • Reduce la potencia de los ciberataques, ya que los criminales tienen que encontrar la clave de descifrado, y los datos mismos, para apoderarse de ellos.

Otra barrera fundamental para la defensa de datos es la tecnología DLP (Data Loss Prevention), que es una herramienta que se instala en las estaciones de trabajo y detecta usos de la información potencialmente perjudiciales. Implementar esta tecnología consta de 5 fases:

  • Clasificación de la información: en esta etapa se busca hacer una auditoría de la información sensible de la empresa y el nivel de riesgo que implicaría para ésta la fuga de datos. Un ejemplo de clasificación de la información puede ser:
  1. Información altamente confidencial.
  2. Información confidencial.
  3. Información restringida.
  4. Información pública.

Con esta clasificación se busca establecer un control en los accesos y distintos grados de protección dentro de la solución DLP.

  • Definición de los módulos a implementar: los módulos se definen luego de hacer un análisis de los posibles canales de fuga de información.

 

  • Instalación e integración de DLP con distintos sistemas: estos sistemas son los servidores de correo electrónico, servidores web, files servers, aplicaciones en la nube y todos aquellos por los que se envíe/reciba o almacene información del negocio.

 

  • Creación de políticas y procedimientos de DLP: se definen políticas y procedimientos para mantener la clasificación de la información, y el proceso que permita el mantenimiento y actualización de las reglas de seguridad en la herramienta.

 

  • Administración de la herramienta DLP: la correcta administración de DLP incluye la detección y análisis de incidentes, alertas de información sensible fuera de los canales autorizados, eliminación de falsos positivos y la realización de ajustes de los controles. Este trabajo puede realizarlo un agente interno de la empresa, o un recurso contratado que se encargue de la administración, como NextVision con su servicio de Administración consultiva y administrativa, que contempla los puntos anteriormente expuestos.


Solución Data Loss Prevention (DLP) de Symantec

La solución DLP de Symantec es una de las más completas del mercado, ya que brinda una protección de datos que se adapta al escenario actual, plagado de amenazas, y a las expectativas y necesidades de las organizaciones, cada día más centradas en la nube y la movilidad.

Con DLP de Symantec, podés:

  • Descubrir dónde están almacenados tus datos en aplicaciones de la nube, dispositivos móviles, sistemas de red y de almacenamiento.
  • Monitorear cómo se utilizan tus datos, dentro y fuera de tu red.
  • Proteger los datos contra la fuga, sin importar su uso o forma de almacenamiento.

Symantec DLP combina la conveniencia de la protección de tus datos dentro y fuera de la red de la organización, con tecnologías de detección de datos avanzadas, capaces de detectar que tus datos estén en uso, en reposo o en movimiento.

Implementar Symantec DLP en tu organización permite:

  • Una cobertura de protección amplia y visión directa de tus datos en más de 60 aplicaciones cloud, incluyendo las populares Office 365, Dropbox, Google Apps y Salesforce.
  • Supervisión continua de cambios en la información: adición de contenido, cambios y derechos de acceso.
  • Gestión de extremo a extremo en una única consola basada en la web, donde podrás: definir políticas de prevención pérdida de datos, detectar falsos positivos, revisar y corregir incidentes.
  • Contar con capacidades de flujo de trabajo robustas que permiten desarrollar una respuesta a incidentes ágil.
  • Realizar análisis y reporting ad-hoc con la ayuda de una herramienta de analítica avanzada que permite extraer datos en cubos multidimensionales para crear reportes a la medida de los intereses de los involucrados en la organización.

Con su extensión a la nube, Symantec DLP mantiene su posición como líder del Cuadrante Mágico de Gartner de soluciones de prevención de pérdida de datos, y se perfila como una solución dinámica y flexible que te permite tener una mirada atenta a todos los datos de la organización, en cualquier momento y lugar.


En definitiva, ¿Debo encriptar mis datos?

La información se ha convertido en uno de los bienes más valiosos, y es por ello que es un objetivo tan atractivo para el cibercrimen: información sensible en manos inapropiadas puede traducirse en robos, estafas, accidentes industriales y hasta el inicio de una guerra. Por lo que no debe escatimarse en sistemas que mantengan los datos de tu organización a buen resguardo.

Un buen ejemplo de lo sencillo que resulta para los cibercriminales vulnerar sistemas que no tienen una política adecuada de protección de datos se puede observar en esta escena de la serie Mr. Robot:

En este ejemplo, Elliot manipula su propia información. Pero, ¿Qué pasaría si en un ataque masivo se alterara la información de otros pacientes? ¿Cuántas vidas se pondrían en riesgo? Es desde esta perspectiva que debe contemplarse la importancia de resguardar y encriptar apropiadamente los datos, sin importar el rubro o el tamaño de tu empresa.

Si querés saber más sobre la encriptación de datos, los sistemas más utilizados y cómo implementar un protocolo de cifrado correctamente, te invitamos a visitar esta Guía de encriptación para empresas que hemos preparado para vos.

6 claves para entender el ataque KRACK

1. ¿Qué pasó?

Se encontraron nuevas vulnerabilidades en los protocolos WPA/WPA2, utilizados para proteger la seguridad de todas las redes WiFi modernas.

El ataque se inicia en la etapa de negociación del protocolo, que es ejecutado cuando un cliente quiere unirse a una red WiFi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso WiFi poseen las credenciales correctas. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante WiFi.

2. ¿Qué significa KRACK?

KRACK (Key Reinstallation Attacks) es el acrónimo con el que se llama a los ataques de reinstalación de clave que se utilizan para explotar las debilidades de WPA/WPA2.

3. ¿Cómo actúa? 

El ataque funciona sobre las dos versiones de WPA e incluso aquellas que emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta una negociación de autenticación conocida como handshake de 4 vías. En la tercera fase de dicha negociación, la clave de cifrado se instala y es usada para cifrar los datos mediante un protocolo.

Sin embargo, debido a que los mensajes pueden perderse, el sistema WiFi retransmite el tercer mensaje en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

 4. ¿Qué vulnerabilidades pudieron ser explotadas?

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088

Es importante tener en cuenta que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual.

Los invitamos a leer la nota de vulnerabilidad VU # 228519 de CERT / CC para obtener detalles adicionales sobre qué productos han sido afectados.

5. ¿Cuáles son los posibles daños?

A través de su ejecución los ciber delincuentes podrían leer toda la información que no esté cifrada mediante una comunicación establecida por WPA/WPA2: números de tarjetas de crédito, contraseñas, mensajes de chat, emails y, en definitiva, cualquier dato que pase por la red WiFi y se encuentre en sitios poco protegidos.

6. ¿Qué podemos hacer ante esta amenaza?

Al estar hablando de un protocolo, serán los organismos IEE y Wifi Alliance los que deberá trabajar en encontrar un workaround a la versión actual o diseñar un nuevo estándar para que luego los fabricantes puedan desarrollar el nuevo código que permita reestablecer conexiones seguras en entornos wifi.

Hoy más que nunca, resulta FUNDAMENTAL para las empresas trabajar en capas de encriptación, para proteger la información crítica (almacenada y en tránsito) que pueda llegar a manos de delincuentes.

Desde NextVision, les facilitamos los siguientes materiales para una buena estrategia de Encriptación:

Siempre es importante poder conocer los posibles riesgos a los que nos enfrentamos, haciendo un análisis de nuestra propia infraestructura. Para eso, contamos con el Cybersecurity Health Check, un servicio de NextVision pensado para responder a ciberamenazas. Conocelo.

Fuentes:

  • Departamento Técnico de NextVision
  • KracksAttacks

Defray: Nueva Amenaza de Ransomware

En las últimas horas, se ha descubierto una nueva amenaza llamada Defray.

Este Ransomware está atacando principalmente a instituciones educativas y empresas de salud, minería, banca y finanzas de varios países de Europa por el momento.

Se distribuye mediante Scripts PowerShell y a través de documentos de Microsoft Word adjuntados en correos electrónicos. Se indica a las víctimas que en el interior del documento se encuentran detalles sobre una factura pendiente o sobre un requerimiento judicial. Al abrir el archivo se solicita la activación de las macros.

Desde NextVision, aconsejamos leer NUESTRA GUÍA ESPECÍFICA con el paso a paso para prevenir, responder y actuar ante un ataque de Ransomware.

Pueden descargarla aquí.

Mensaje enviado a las víctimas

Todo sobre encriptación de datos para empresas

La encriptación o cifrado de información sensible es de suma importancia para preservar la seguridad de datos que forman parte del core operativo de una empresa. Una fuga de datos puede implicar pérdidas económicas, comprometer la reputación de la empresa y poner en riesgo su permanencia en el mercado, por lo que proteger la información a través de sistemas de cifrado es esencial.

En esta nota, te ofrecemos una guía en la que te explicamos qué es la encriptación de datos desde sus orígenes, y porqué es tan importante manejar un protocolo de cifrado adecuado para garantizar la seguridad de tus datos.

¿Qué es la encriptación?

La encriptación (traducción de la palabra en inglés encryption), también conocida como criptografía, es la acción de proteger información y documentos con técnicas que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. A pesar de ser un aspecto inherentemente a la informática, el cifrado de información (y la necesidad de proteger data de ojos extraños) se remonta a los inicios de la escritura.

A lo largo de la historia, distintas culturas han creado sus propios sistemas de encriptación que eran empleados especialmente para enviar mensajes en tiempos de guerra, pero que sentaron las bases de la encriptación que conocemos hoy en día. Veamos algunos de los sistemas más conocidos.

Métodos de encriptación famosos

Escítala (Esparta, siglo V a.C)

Los guerreros espartanos enviaban mensajes codificados enrollando una cinta de cuero en una vara, llamada escítala, para luego escribir en forma longitudinal, para luego desenrollar la cinta y terminar con un conjunto de letras sin sentido que, en teoría, solo podía descifrarse enrollando la cinta de nuevo en una vara con el mismo diámetro que la original. A pesar de que es un método rudimentario en el que cuadrando las letras, sin necesidad de una escítala, se puede descifrar el mensaje, era efectivo para su tiempo ya que poca gente sabía leer.

Cifrado de Polybios (Grecia, siglo a.C)

Creado por el historiador Polybios, este sistema usa el principio de sustitución colocando las letras en una tabla y, en los encabezados de las filas y las columnas se asignan números que sustituyen las letras que conforman el mensaje original: se encripta el mensaje buscando los números que corresponden a cada letra en el cuadrante que se encuentren en la tabla. Para descifrar el mensaje, es necesario separar el código en pares e ir buscando los cruces de cada par de números en la tabla.

El Cifrado de Polybios es conocido por el método de comunicación cifrada más usado por prisioneros nihilistas de la Rusia zarista.

Cifrado César (siglo I, a.C)

Este sistema, nombrado así por el famoso dictador romano, es también un cifrado por sustitución en la que la letra a ser encriptada es sustituida por la letra que le siga 3 posiciones más adelante en el alfabeto. Es un método muy sencillo que el mismo Julio César usaba para comunicarse con los generales de su ejército durante sus campañas militares.

Máquina Enigma

La máquina Enigma, utilizada por los nazis para encriptar sus comunicaciones, era un dispositivo electromecánico inventado por Arthur Scherbius, que se componía de unas teclas que representaban las letras del alfabeto, y que al tipear el mensaje activaban el mecanismo electrónico que hacía mover los rotores conectados al teclado que iluminaba las letras que conformaban el mensaje cifrado.

Aunque a simple vista parece un mecanismo sencillo, la máquina Enigma tenía la particularidad de que uno de sus rotores giraba un veintiseisavo más de vuelta cada vez que el usuario tecleaba, por lo que la posición de las conexiones cambiaba con cada pulsación de las teclas y daba como resultado una encriptación polialfabética que siempre variaba, lo que hizo tan complicado para los aliados hallar la clave que pudiera descifrar los mensajes cifrados con Enigma. Además, para hacerla más robusta, la máquina contaba con la capacidad de intercambiar los cilindros y las conexiones, permitiendo usar 105.456 alfabetos y una cantidad enorme de posibilidades de cifrado.

Los mensajes de Enigma, luego de varios años, fueron descifrados en 1942 por un grupo de criptoanalistas liderados por Alan Turing y Joan Clarke. Se estima que el descifrado del código Enigma le ahorró al mundo 4 años más de guerra.

La encriptación moderna

Algoritmos

Las soluciones de encriptación como las conocemos en la actualidad se originaron en 1970, con la aparición del algoritmo DES (Data Encryption Standard), desarrollado por el gobierno estadounidense. El DES se basaba en el cifrado de sustitución por bloques, que consta de transformar un texto de una longitud de bits fija en un texto cifrado de igual longitud, que era de 56 bits, lo que se convirtió en su principal desventaja, ya que al tener un código tan corto podía ser descifrado en 24 horas.

Unos años más tarde, sustituyó DES por el Advanced Encryption Standard (AES) un sistema por bloques con claves mucho más seguras, que usan un estándar de 128 bits, pero que pueden llegar a ser de hasta 256 bits. Actualmente AES se mantiene como uno de los sistemas de cifrado más populares en Internet.

Otro de los algoritmos que actualmente se utilizan es el RSA (Las siglas de Rivest, Shamir y Adleman, sus desarrolladores), que es el que usa el cifrado asimétrico y, a diferencia del algoritmo DES utiliza 2 claves, una pública y otra privada que conserva el propietario del archivo. Actualmente el RSA es el algoritmo de encriptación más usado en en sistemas de autenticación online.

Sistemas de encriptación

Actualmente, existen 3 sistemas de encriptación afianzados en el mundo digital para la protección de datos, veamos en detalles cuáles son y cómo funcionan:

Encriptación simétrica

Este sistema usa la misma clave para cifrar y descifrar la información entre el emisor y receptor, quiénes se ponen de acuerdo sobre la clave a utilizar de antemano. El sistema simétrico es el más inseguro, ya que en la comunicación de la clave entre los involucrados es fácil de interceptar; además, cómo la seguridad de un sistema de cifrado debe colocarse en la fuerza de la clave, esta podría ser demasiado larga, lo que lo hace poco práctico.

Encriptación asimétrica

También conocida como encriptación de clave pública, utiliza 2 claves diferentes entre el emisor y receptor, una pública que es transmitida a todos los que necesiten enviar información cifrada, y otra privada que es secreta. Ambas claves se generan simultáneamente y están vinculadas, pero la relación entre ellas debe ser lo suficientemente compleja para que no sea posible obtener la privada a partir de la pública. Este sistema La usa como base el algoritmo RSA.

De acuerdo al portal Redes Zone, las claves cumplen estas funciones:

  • Encriptar la información.
  • Asegurar la integridad del mensaje cifrado.
  • Certificar la autenticidad del emisor.

Si bien la distribución de las claves es más segura porque la privada no es revelada, su principal desventaja recae en la lentitud del proceso, por varios factores que incluyen:

  • Tiempo de procesamiento para obtener un par de claves y un mensaje de la misma longitud.
  • Las claves deben ser 5 veces o más largas que las usadas en el cifrado simétrico.
  • El mensaje cifrado es más largo que el original.

Encriptación híbrida

Uno lo mejor de los sistemas encriptación anteriores y solventa los problemas de seguridad y lentitud del cifrado de los datos. La encriptación híbrida funciona de la siguiente manera:

  • Se genera una clave privada y una pública (desde el receptor)
  • Se encripta el archivo al mismo tiempo en el que se generan las claves.
  • El receptor envía su clave pública.
  • Se encripta el archivo con la clave pública recibida.
  • Se envía el archivo cifrado de forma síncrona y la clave de forma asíncrona.

Además de solventar los problemas que presentan la encriptación simétrica y asimétrica, el sistema híbrido es especialmente útil cuando se tiene que enviar información cifrada a varios destinatarios simultáneamente.

¿Por qué es importante encriptar la información?

En el mundo actual, la información es poder y dinero, y los cibercriminales lo saben: es por ello que la fuga de datos es uno de los principales ciberataques del que son víctimas las empresas, y el que más dinero les cuesta: según un estudio patrocinado por IBM, una fuga de datos puede llegar a costarle a una empresa grande 4 millones de dólares en promedio. El caso de las Pymes es más preocupante, ya que suelen ser las víctimas predilectas de este tipo de ataques (hasta un 90%), principalmente porque no suelen tener cuidado en el manejo y preservación de sus datos, llegando a perder un promedio de 36 mil dólares por ataque, de acuerdo al estudio realizado por First Data.

A las pérdidas económicas se le suma el deterioro de la reputación ante los ojos del público. Esto es especialmente perjudicial cuando la empresa usa información personal de sus clientes para operar. Un caso en los que una fuga de datos significó una mayor pérdida de credibilidad que de dinero fue el del sitio web de citas Ashley Madison, en el que se filtró la información personal de más de 37 millones de usuarios y fue expuesta en Internet. Si bien el ataque se produjo en 2015, las consecuencias para la compañía persisten hasta hoy: en julio de 2017 Ruby Corp., casa matriz del portal, accedió a pagar una multa de 11,2 millones de dólares para poner fin a los litigios en su contra; además, ha perdido más del tercio de sus ganancias desde que se dió a conocer la fuga.

Para evitar este tipo de situaciones que pueden significar costos inesperados o la quiebra de un negocio, la mejor apuesta es invertir en una solución de encriptación para los datos sensibles de tu empresa.

El sistema de encriptación: ¿Pago o gratuito?

Ya que hemos explicado porqué es importante encriptar la información valiosa que tu empresa maneja, te estarás preguntando qué tipo de solución es la más conveniente. Si bien sabrás que existen infinidad de herramientas gratuitas en Internet que cifran documentos, éstas no son las más adecuadas para un entorno corporativo. Aquí te explicamos las razones por las que una solución de encriptación con licencia es la mejor opción para las empresas:

Múltiples niveles de seguridad

Los softwares de encriptación pagos hacen uso de los algoritmos de cifrado más avanzados y seguros, como el AES; además, hacen uso de claves de hasta 256 bits, tamaño que se considera ideal por su seguridad y su desempeño al momento de la comunicación. Por último, la gran mayoría de las soluciones sin licencia emplean encriptación simétrica o asimétrica; en cambio, las herramientas pagas utilizan la encriptación híbrida que, como mencionamos antes, es la más segura y rápida.

Administración centralizada

Con las herramientas pagas cuentas con una interfaz de administración centralizada en la que podés:

  • Definir grupos de encriptación con clave privada.
  • Usar containers separados de llave para uso específico.
  • Sincronizar en grupos AD.
  • Establecer la fecha de vencimiento de una clave específica para mayor control.
  • Hacer uso de mecanismos de recuperación de claves.

Cumplimiento de normativas

Hay industrias, como la bancaria, que tienen unos estándares de seguridad en el manejo de la información que deben cumplirse para poder operar. Es fundamental que las empresas cuenten con sistemas de encriptación robustos que garanticen el cifrado de la información según a los estándares nacionales e internacionales.

Además de estas ventajas, la inversión para adquirir una solución de encriptación paga es mínima, si se compara con los problemas que puede evitar: dependiendo del tamaño de la organización y su industria, los costos pueden ir desde los 232 hasta los 331 dólares por año, según los resultados de un estudio realizado por el Ponemon Institute. Aunado a esto, siempre podrás acudir al desarrollador de la herramienta ante cualquier inconveniente.

¿Qué buscar en una solución de encriptación?

Ahora que ya sabés porque adquirir una solución de encriptación paga es la mejor opción para preservar la información de tu empresa, es momento de buscar el software que mejor se adapte a las necesidades de tu empresa. Te damos algunos puntos clave que debes tomar en cuenta a la hora de seleccionar un sistema de encriptación que cumpla su trabajo sin afectar la productividad del usuario final:

Flexibilidad

Si tenés una empresa en pleno proceso de crecimiento, lo más probable es que la cantidad de información sensible que debas almacenar y la cantidad de formatos en los que manejes tus archivos incremente, por lo que al momento de buscar una solución de encriptación, debes buscar una que tenga capacidad para generar y almacenar múltiples claves.

Versatilidad

En el entorno empresarial de hoy, pensar en cifrar archivos solamente en los equipos que los empleados usan durante su jornada en las oficinas no es lo más conveniente. Hoy en día el trabajo se traslada más allá de las paredes de la sede de la empresa, por lo que adquirir una solución que se puede trasladar a archivos alojados en la nube, y estaciones de trabajo como dispositivos USB, discos extraíbles y notebooks, es la mejor opción para proteger la información a donde quiera que vayan los colaboradores.

Administración centralizada

Una solución adecuada para empresas debe dar la posibilidad de administrar de forma centralizada las políticas y claves de protección de datos. Este control va más allá de la administración y distribución de claves: también es importante contar con la capacidad de saber qué usuario ha hecho una determinada acción dentro de su sistema, y aplicar restricciones de accesos de acuerdo a los roles desempeñados.

Reporting

El control de la solución de encriptación ideal va más allá de la administración centralizada, debe proporcionar una visión del estado del cifrado actual, de todos los usuarios y dispositivos que hacen vida en la organización, desde la consola del administrador. Esto permitirá optimizar la protección de los datos conforme tu empresa vaya creciendo y evolucionando.

Ya que conocés de qué trata la encriptación y su importancia para el funcionamiento adecuado y seguro de una empresa, te invitamos a comunicarte con nosotros: tenemos la solución de encriptación que se adapta a tus necesidades.

Todo lo que tenés que saber sobre Ransomware

El Ransomware ha afectado a miles de empresas y particulares desde hace más de 20 años; sin embargo, su amenaza no ha hecho sino crecer y hacerse más complicada de contener por la sofisticación que este tipo de ataques ha desarrollado a lo largo de su historia.

Para que tu empresa se pueda defender, la información es vital. En esta nota cubriremos todos los aspectos del Ransomware: desde su historia, hasta el protocolo a seguir ante ataques y el futuro de esta amenaza, para que tu negocio no sea víctima del crimen cibernético más prominente en la actualidad.

¿Qué es el Ransomware?

El Ransomware, palabra que surgió de la unión de “Ransom” (rescate) y “Ware” (software) es un tipo de programa malicioso que encripta datos y restringe el acceso a programas de la computadora que infecta, y pide un rescate a los afectados para recuperar el acceso. El rescate suele ser una suma de dinero (que normalmente parte desde los 500 USD) que los cibercriminales piden que se envíe por medios como la criptomoneda Bitcoin, a cambio de una clave de decriptación para poder recuperar el acceso completo a la máquina. Normalmente el tiempo para pagar el rescate es limitado: si la víctima no paga a tiempo, se lo amenaza con aumentar la suma de rescate o con la destrucción de sus archivos.

A pesar de pedir un rescate relativamente bajo por víctima, los cibercriminales han logrado hacer ataques de mayor alcance, llegando a infectar cientos de miles de máquinas de una sola vez, incrementando sus posibilidades de recaudación, aunque no todas las víctimas paguen el rescate: según el portal Digital Guardian, sólo la variante CryptoLocker ha generado 320 millones de dólares en ganancias por rescates.

Desde el primer ataque registrado, los cibercriminales han ido desarrollando programas cada vez más sofisticados: difíciles de detectar o crackear, y cada vez más fáciles de lanzar. Estas son algunas de las variantes de Ransomware famosas por los estragos que han causado en los últimos años:

Locky

Nota de rescate generada en ataques con Locky. Fuente: Heimdal Security

Lanzado en 2016, este Ransomware normalmente es enviado con un correo que se hace pasar como una factura en un archivo adjunto de Microsoft Word, usualmente llamado “_Locky_recover_instructions.txt”. Para infectar un equipo, Locky usa una macro maliciosa y se vale de una técnica de ingeniería social al insertar la frase: “Habilitar macro para visualizar la factura”: si el usuario ejecuta la macro, el equipo es infectado.

Locky encripta archivos como videos, imágenes, documentos de Office y código fuente, y cambia sus extensiones por .locky. Además de archivos guardados, también restringe el acceso a copias automáticas hechas por el sistema operativo, lo que hace muy difícil recuperar la información secuestrada sino se cuenta con un buen backup.

Desde sus inicios, Locky ha sido actualizado para evadir el origen del correo en el que se envía el archivo malicioso y puede encriptar archivos con extensiones como: .zepto, .odin, .shit, .thor, .aesir, and .zzzzz. La última versión, lanzada en diciembre 2016, usa la extensión .odin.

Actualmente las infecciones por Locky han disminuido porque los cibercriminales comenzaron a dejarlo de lado desde junio de 2016.

Cerber

Nota de rescate de Cerber. Fuente: Bleeping Computer

Este Ransomware, al igual que Locky, se propaga a través de correo spam con un archivo adjunto de extensión .docx en el que se manipula al usuario para habilitar las macros maliciosas que infectan el equipo. Uno de los aspectos más notables de Cerber es que no afecta equipos localizados en estos países: Azerbaiyán, Armenia, Georgia, Bielorrusia, Kyrgyzstan, Kazajistán, Moldavia, Turkmenistán, Tajikistán, Rusia, Uzbekistán y Ucrania.

Cuando el equipo es infectado, Cerber deja notas de rescate en las carpetas de los archivos encriptados, una de estas notas puede ser un mensaje de audio. En estas notas se le deja a  la víctima instrucciones para descargar el navegador anónimo Tor y un enlace a una página alojada en la web profunda para recibir más instrucciones sobre el pago.

Por lo que se conoce, Cerber puede ser una de las primeras cepas de Ransomware ofrecida como servicio, esta modalidad se denomina Ransomware as a Service (RaaS): los desarrolladores han puesto a disposición de los demás usuarios el acceso a Cerber mediante una suscripción, y estos se quedan con una parte de lo recaudado por los ataques.

TeslaCrypt

Nota de rescate de TeslaCrypt. Fuente: Los Virus

Actualmente en desuso, TeslaCrypt inició sus ataques en febrero de 2015, encriptando data de determinados videojuegos como mapas, perfiles de personajes, partidas guardadas, etc.; no obstante, en versiones posteriores comenzó a afectar otro tipo de archivos. Infectaba los equipos usando exploits como Angler, Sweet Orange y Nuclear, que afectaban Adobe Flash: de acuerdo al blog portal segu-info, un exploit es un programa o código que se aprovecha de alguna vulnerabilidad encontrada en un programa para entrar en un sistema y realizar ataques. Siguiendo la definición, TeslaCrypt se aprovechaba de está vulnerabilidad para ingresar en un equipo e infectarlo.

La infección se producía cuando la víctima visitaba un sitio web comprometido y el exploit descargaba el Ransomware en la carpeta de archivos temporales del equipo, aprovechando vulnerabilidades del plugin desactualizado de Adobe Flash del navegador usado. Una vez instalado, TeslaCrypt comienza a ejecutar varias operaciones en segundo plano para iniciar la encriptación en el próximo reinicio del equipo, Cuando se reinicia el sistema, el Ransomware encripta los archivos y deja notas de rescate en las carpetas que contienen estos archivos.

A mediados de 2016, sus desarrolladores lo dieron de baja y publicaron la clave maestra para desencriptar los archivos infectados en el sitio web que usaban para los pagos.

El sitio de pagos de TeslaCrypt muestra la clave maestra para el desbloqueo de archivos. Fuente: Bleeping Computer

CTB-Locker

Nota de rescate de CTB-Locker. Fuente: GFOS Seguridad Informática

Operando desde 2015, CTB-Locker se propaga principalmente por 2 vías: a través de correo electrónico adjuntos como faxes, facturas vencidas, y avisos de suspensión de cuenta, o con anuncios de antivirus falsos. Una vez que el equipo está infectado y los archivos cifrados, CTB-Locker despliega en la pantalla la correspondiente nota de rescate y una demostración de cómo la víctima podrá recuperar sus datos si accede a pagar el rescate.

Las siglas en inglés CTB revelan mucho de la naturaleza de este Ransomware, aquí te las explicamos:

  • C (Curva): se refiere al uso del cifrado de curva elíptica para cifrar los archivos de los afectados, mucho más complicado de desencriptar.

 

  • T (Tor): se refiere al servidor malicioso C2, alojado en el dominio .onion del navegador Tor, muy difícil de detectar y de dar de baja.

 

 

  • B (Bitcoin): evidentemente, se refiere a la criptomoneda que los cibercriminales suelen usar para cobrar los rescates.

 

CTB-Locker es otra de las variantes de Ransomware ofrecida por los desarrolladores bajo la modalidad RaaS, en este caso, el monto pedido en los rescates es escogido por el usuario del Ransomware.

Cryptolocker

Nota de Rescate usada por CryptoLocker. Fuente: Genbeta

Esta variante comenzó a extenderse a finales de 2013 y finalizó su actividad en mayo de 2014. Su creador es el ruso Evgeniy Bogachev, el hacker más buscado del mundo en la actualidad.

Cryptolocker usaba un cifrado asimétrico RSA, lo que quiere decir que tiene 2 claves para su desencriptación, una pública y otra privada, en este caso la privada se alojaba en los servidores del Ransomware. Al igual que otras variantes, CryptoLocker infectaba equipos a través de correo malicioso, y amenazaba a las víctimas con destruir la clave privada si no pagaban el rescate, lo que dejaría los archivos encriptados permanentemente.

La particularidad de Cryptolocker radicaba en la longitud de la clave pública que usaba como parte del cifrado, los expertos que analizaron el Ransomware en su momento determinaron que era tan larga que era imposible usar un ataque de fuerza bruta, esto es, probar con varias claves hasta dar con la correcta.

Después de recaudar cientos de millones de dólares en rescates, el Ransomware fue dado de baja el 2 de junio de 2014 durante la Operación Tovar: una iniciativa que unió al FBI, la Interpol, varios proveedores de ciberseguridad y universidades que buscaba acabar con Gameover ZeuS, el botnet desde que el se distribuía Cryptolocker.

WannaCry

Nota de rescate de WannaCry. Fuente: Viral4Real

Los ataques con la variante WannaCry (también conocida como Wana Decrypt0r 2.0, Wanna Decryptor o WannaCrypt) comenzaron el 12 de mayo de 2017 y se ha convertido en el ataque de Ransomware más amplio y nocivo que se ha realizado: hasta el momento, ha infectado a más de 230.000 equipos en 150 países, teniendo como víctimas más prominentes empresas como Telefónica, la ferroviaria alemana Deutsche Bahn, FedEx, la Red de Servicios de Salud de Reino Unido y la aerolínea LATAM.

Historia del Ransomware

Aunque los ataques de Ransomware comenzaron a hacerse notorios a partir de 2005, su historia se remonta a mucho antes. Acá hacemos una cronología en la que abarcamos el primer ataque de Ransomware conocido, y los ataques que le han dado a este Cibercrimen la notoriedad que actualmente tiene.

El primer ataque de Ransomware

El Ransomware comenzó sus andadas hace casi 30 años, concretamente en 1989, y la industria de la salud fue su primera víctima. De acuerdo a Becker’s Hospital Review, el ataque llegó a las computadoras de 20.000 investigadores del VIH ubicados en 90 países porque el Dr. Joseph Popp, también investigador de esta enfermedad, infectó con un Ransomware unos diskettes que contenían material de investigación. Los equipos se infectaron después de reiniciarse 90 veces y al aparecer una nota en las pantallas en la que pedía hasta 378 dólares por “alquiler de software”. Desde entonces, la industria de la salud ha sido una de las víctimas predilectas de los cibercriminales para ejecutar ataques con Ransomware.

Si bien los expertos declaran que el virus del Dr. Popp tenía muchos defectos, sentó las bases de lo que terminaría siendo un negocio muy lucrativo para el cibercrimen.

Los ataques de Ransomware más famosos

A pesar de ser un problema constante, no todos los ataques de Ransomware llegan a los titulares. Solo los más grandes y los que más estragos causan acaparan la atención del mundo, aquí les presentamos un recuento de los ataques de Ransomware que más resonancia han tenido en la opinión pública hasta la fecha:

Hollywood Presbyterian Medical Center (HPMC)

Fuente: Healthcare IT News

Este hospital de Los Ángeles fue víctima de una ataque en 2016, los cibercriminales bloquearon el acceso a la red del hospital, los correos electrónicos y las historias clínicas de los pacientes por varios días. Finalmente, el hospital optó por pagar el rescate exigido de 17.000 USD (40 Bitcoins) para poder recuperar acceso a sus datos. Unos días después, el Departamento de Salud del Condado de Los Ángeles reportó que fue infectado con un virus similar, pero fue capaz de aislar los equipos infectados a tiempo.

Kentucky Methodist Hospital, Chino Valley Medical Center y Desert Valley Hospital

En marzo el 18 de marzo de 2016, estos 3 centros descubrieron que sus sistemas habían sido infectados con la variante Locky. A pesar de que pudieron recuperar todos sus datos sin pagar el rescate 6 días después, sufrieron disrupciones no solo los hospitales directamente infectados, sino otros hospitales con los que compartían archivos.

WannaCry

Como mencionamos arriba, el ataque masivo perpetrado con el ransomware WannaCry es uno de los más letales hasta la fecha. WannaCry se expandió usando Eternal Blue, un exploit que se cree ha sido desarrollado por la Agencia Nacional de Seguridad de Estados Unidos (NSA) y fue filtrado por el grupo de hackers “Shadow Brokers”, en abril de 2017. Este exploit se aprovecha de una vulnerabilidad encontrada en la seguridad de las versiones de Windows actualmente mantenidas por Microsoft, que permitía a los atacantes ejecutar programas en remoto. La compañía creó un parche para solventar el problema en marzo de 2017, pero no fue instalado en muchos equipos antes de que el ataque de WannaCry ocurriese.

Que las grandes compañías afectadas no hayan instalado el parche se atribuye a lo engorroso que resulta actualizar el sistema operativo de todos los equipos que operan en una compañía como Telefónica, por ejemplo, que cuenta con poco más de 120 mil empleados: “Con 120.000 usuarios podría realizarse en un plazo de 3 a 4 horas. Pero como algunas estaciones de trabajo pueden estar apagadas al intentar la actualización, que además suele demandar un reinicio de la máquina, la instalación exitosa del parche a 120.000 usuarios en un escenario productivo normal, puede llegar a demorar días o incluso semanas.” explicó Pablo Verdina, director de tecnología de NextVision, en declaraciones al diario La Nación.

La infección pudo ser contenida por un golpe de suerte de Marcus Hutchins, autor del blog MalwareTech, quien descubrió cómo mitigar la propagación del Ransomware al registrar un dominio sin registrar escondido dentro del código, al hacer esto, se dió cuenta de que WannaCry solo encriptaba los archivos si las víctimas se conectaban a este dominio: al tomar el control del dominio detuvo el daño. Gracias a Hutchins, el mundo pudo respirar y comenzar a pensar en medidas de seguridad para contrarrestar la expansión del Ransomware.

Los responsables del ya denominado “Cibercrimen del siglo” aún se desconocen. En un principio se sospechó del gobierno de Corea del Norte; sin embargo, la firma de seguridad de datos Flashpoint analizó la nota de rescate generada por el Ransomware y declararon estar casi seguros de que al menos uno de los perpetradores es chino o al menos maneja el idioma con fluidez, ya que parece ser que la nota escrita en chino sirvió como base para traducir las notas en otros idiomas.

Petya

Nota de rescate de Petya. Fuente: The Verge

El 28 de junio de 2017 grandes compañías en países como Rusia, Ucrania, España, Dinamarca, Reino Unido y Estados Unidos fueron afectadas por el Ransomware de la variante Petya, también llamado NotPetya, que usó la misma vulnerabilidad en Windows de la que se aprovechó WannaCry en su momento. A pesar de tener similitudes, Petya es un virus más sofisticado que WannaCry porque no tiene una vulnerabilidad tan evidente como la que usó Marcus Hutchins para detener la infección causada por este último.

Los estragos que causó Petya saltan a la vista: Con más de 20.000 equipos infectados entre las empresas afectadas, todas las líneas de negocio en 130 países de la gigante de transporte y energía danesa Moller-Maersk se vieron comprometidas, las operaciones de decenas de bancos ucranianos se vieron afectadas, e inclusive el tablero de entradas y salidas de vuelos del aeropuerto más grande de Kiev sufrió fallas.

Actualmente el método de pago de Petya se encuentra deshabilitado; en este sentido, el 6 de julio de 2017, el creador de este Ransomware se pronunció a través de una página de la deep web solicitando 250.000 dólares (100 Bitcoins) a cambio de la clave universal para desbloquear los equipos infectados. Aunque en un principio se pensó que el ataque de Petya tenía la finalidad de lucro de un Ransomware común, expertos han coincidido en que podría tratarse de un arma de ciberguerra, ya que los atacantes hicieron especial énfasis en hacer daño a empresas ucranianas y, más allá de secuestrar archivos, afecta el sistema de arranque y daña el disco rígido de las máquinas, lo que le da más atributos de gusano destructivo que de Ransomware.

¿Cómo se produce un ataque de Ransomware?

Infección

Ahora, veamos cómo es posible que un Ransomware infecte un equipo. Los virus de Ransomware normalmente se propagan mediante estos canales:

    • Email (Phishing): es quizás la vía por la que más víctimas caen. El Phishing es una técnica de ingeniería social que busca engañar al usuario haciéndose pasar por una comunicación legítima. Normalmente engañan a las personas para que ingresen a sitios web comprometidos o descarguen archivos que contienen el código malicioso. De acuerdo a un reporte de PhishMe para el primer trimestre de 2016, 93% de los correos de phishing contenían Ransomware.

 

  • Anuncios maliciosos: el Ransomware infecta el equipo una vez que el usuario hace click a uno de estos anuncios.
  • Dispositivos USB
  • Programas desactualizados, mediante Exploit Kits.

 

Post-Infección

Una vez que el virus está en el equipo, su actuación específica depende mucho de la variante, pero generalmente escanea los archivos y los bloquea cambiándoles la extensión. Luego genera la nota de rescate, ya sea cambiando el fondo de pantalla o colocando notas en las carpetas de los archivos secuestrados.

¿Cómo actuar ante un ataque de Ransomware?

Si sos víctima de Ransomware, esto es lo que tenés que hacer para combatir la infección y salvar tus datos:

  1. Aislá el equipo: esto evita que afecte a otros equipos conectados a la red.
  2. Analizá la nota de rescate: cada variante de Ransomware tiene una impronta que lo distingue de las demás. Como mostramos en las imágenes de las notas de rescate de las variantes que analizamos arriba, las notas no son iguales. Analizar la nota te puede dar una idea de a qué variedad de Ransomware te estás enfrentando. Otra forma de saber cuál variante de Ransomware infectó tu equipo es ver bajo cuál extensión fueron bloqueados tus archivos.

Si no podés analizar la nota, enviala a tu proveedor de ciberseguridad.

 

  • Desinfectá la máquina: Los tipos de Ransomware más sencillos pueden ser eliminados corriendo un antivirus. Si no podés ingresar al sistema operativo o ejecutar programas, probá restaurando el sistema desde el arranque, si aún así no podés entrar a Windows, podés correr un antivirus desde un disco ejecutable o un USB.

 

Si, a pesar de estos intentos no logras ingresar a tu sistema, tendrás que reinstalar el sistema operativo.

  1.      Restaurá tus archivos: con la ayuda de tu backup, recuperá tus archivos. Se recomienda contar con un respaldo offline y actualizarlo constantemente, si solo se cuenta con un backup online, se corre el riesgo de que el Ransomware lo infecte.
  2. Pero… ¿Y si no tenés backup? En este caso, se tiene que evaluar si se puede continuar la operación del negocio sin esos archivos, o pagar el rescate. Aunque pagar el rescate nunca es recomendable, ya que no hay garantía de que podrás recuperar tus archivos; por ejemplo, durante la época de ataques con Cryptolocker, muchos afectados declararon nunca haber recuperado sus archivos a pesar de haber pagado el rescate.

¿Cómo protegerse de ataques de Ransomware?

Si bien no existe forma de blindarse totalmente, la mejor defensa contra el Ransomware es la prevención. Es por eso que te damos una guía para que evites que tu empresa sea una víctima más:

    • Hacer un backup regular de los datos de las máquinas y el servidor.
    • Tener un backup offline.
    • Mantener actualizados los parches de los programas y sistemas operativos para evitar ser víctima de vulnerabilidades.
    • Mantener el antivirus actualizado.
    • Usar un bloqueador de anuncios.
    • Usar un programa anti-spam para proteger los correos.
    • Aplicar directivas de restricción de software para limitar la ejecución y descarga de archivos.

 

  • Educación y concientización: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa para que sepan cómo actuar mientras trabajan y navegan por Internet. En líneas generales, estos son algunos consejos que pueden seguir:
  • Leer los mensajes antes de aceptar la descarga de cualquier archivo.

 

    • Desconfiar de anuncios online de antivirus que dicen detectar infecciones en el equipo.
    • No ingresar a URLs que vengan dentro de correos que no son esperados o son sospechosos.

El futuro del Ransomware

El Ransomware es un problema que está lejos de desaparecer, ya que a pesar de que muchos logran recuperar sus archivos sin pagar rescate, hay otros tantos que sí lo hacen, lo que ha provocado que los ataques de Ransomware se hayan convertido en un negocio muy lucrativo para los cibercriminales: solo Cryptolocker acumuló más de 300 millones de dólares y, como mencionamos arriba, muchos de los que pagaron nunca recuperaron sus archivos. Actualmente, los atacantes apuntan cada vez más a grandes corporaciones y de forma masiva, por lo que se espera que veamos variantes de Ransomware más letales y más difíciles de tratar en el futuro.

Además, los cibercriminales están expandiendo su “modelo de negocio” con el ofrecimiento de Ransomware como un servicio, poniendo a disposición de cualquier persona (sin necesidad de tener grandes conocimientos técnicos) los códigos de Ransomware para lanzar ataques a cambio de un porcentaje de los rescates. CTB-Server, Cerber y Petya son pioneros en esta modalidad de distribución que comienza a hacerse popular.

En definitiva, podemos afirmar que tendremos más noticias de Ransomware en el futuro cercano. Mientras tanto, queda como tarea para las empresas reforzar su protocolo de ciberseguridad para que no sean sorprendidas por un ataque que, si bien no es posible evitar completamente, pueden mitigarse sus efectos para tener una recuperación rápida y continuar sus operaciones como si nada hubiera pasado.

¿Querés conocer más detalles? Podés mirar nuestros webinars: uno dedicado a profundizar más en el Ransomware y otro enfocado en las enseñanzas que nos dejó el ataque de WannaCry.

Alerta | Ransomware Petya

Durante las últimas horas se han registrado ataques globales a través de PetrWrap, una familia de malware que explota el ransomware original de Petya encapsulado.

Hay alerta por posibles nuevos ataques.

RECOMENDACIÓN INMEDIATA: Esta variante se está propagando a través de vulnerabilidades de Microsoft detectadas en marzo y abril de 2017. Desde NextVision aconsejamos aplicar los parches correspondientes a MS17-010 y las siguientes vulnerabilidades: CVE-2017-0199 y CVE-2017-0147 lo antes posible.

Nueva Firma Symantec
Symantec ya tiene disponible una firma de listas de virus que incluye la detección del ransomware Petya también conocido como Trojan.Cryptolocker.AJ [Symantec]

– Descripción de la amenaza:
https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99

– Para bajar el ultimo Rapid Release rev. 009 acceder al siguiente link y bajar la versión según el SEPM que corresponda:
https://www.symantec.com/security_response/definitions/download/detail.jsp?gid=rr

– Instrucciones para aplicar el Rapid Release en forma manual (.JDB) en un SEPM
https://support.symantec.com/es_ES/article.TECH102607.html

Adicionalmente se sugiere ajustar las políticas de prevención según su respectiva tecnología, basándose en la siguiente información:

Type Ransomware – Petya Ransomware Fast Spreading Attack:

File Names
dllhost.dat
petwrap.exe
Order-20062017.doc
myguy.xls
BCA9D6.exe

Hashes
SHA256
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
MD5
415FE69BF32634CA98FA07633F4118E1
71b6a493388e7d0b40c83ce903bc6b04
SHA1
34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
a809a63bc5e31670ff117d838522dec433f74bee
bec678164cedea578a7aff4589018fa41551c27f
d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
aba7aa41057c8a6b184ba5776c20f7e8fc97c657
0ff07caedad54c9b65e5873ac2d81b3126754aac
51eafbb626103765d3aedfd098b94d0e77de1196
078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
7ca37b86f4acc702f108449c391dd2485b5ca18c
2bc182f04b935c7e358ed9c9e6df09ae6af47168
1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
82920a2ad0138a2a8efc744ae5849c6dde6b435d

Malicious IP’s
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108

Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de malware. Pueden ver nuestro documento con buenas prácticas para combatir un ataque Ransomware.

Reviví el Webinar sobre WannaCry

El miércoles 24 de mayo realizamos un webinar sobre WannaCry para unas 80 personas que siguieron en vivo el seminario gratuito organizado por NextVision.

La actividad tuvo como objetivo entender qué pasó y conocer los aprendizajes que dejó este ataque masivo a nivel mundial.

Reviví el webinar:

Alerta por ataques masivos de Ransomware

En las últimas horas varias compañías internacionales han recibido ciberataques, paralizando parte de las redes informáticas y afectando tanto sus operaciones como el trabajo de cientos de empleados.

El caso más impactante es el de Telefónica, quien sufrió un ataque masivo de Ransomware.

El monto del rescate no está claro, pero se habla de que podría equivaler a 300 dólares por equipo infectado o a 300 bitcoins, que serían aproximadamente 509.487 euros.

INFORMACIÓN Y RECOMENDACIONES

1)El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2)Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir este tipo de malware. Pueden ver nuestro documento con buenas prácticas para combatir un ataque Ransomware.

3)Además, los invitamos a revivir nuestro webinar sobre el tema:

4) Para los clientes de Symantec Endpoint Protection, ES PRIMORDIAL migrar a la nueva versión 14. La versión 12 no frena esta nueva versión. MIGRÁ AHORA FÁCILMENTE.

Por cualquier duda, contactanos!