Ingeniería Social: la estrategia detrás de muchos ciberataques a personas ¡y a empresas!

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques. ¿Los empleados de tu empresa están capacitados para identificar y reaccionar ante estas amenazas?

La ingeniería social, conocida también como el arte de hackear humanos, se basa en la interacción de personas en donde la víctima es engañada para que viole todos los procedimientos de seguridad que debería haber seguido.

¿Acaso no has recibido el mail de un banco que te alerta porque la cuenta fue cancelada y tenés que hacer clic para diligenciar tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar credenciales privilegiadas para acceder a entornos más protegidos -como los corporativos-, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

Correos electrónicos de phishing, vishing (llamadas telefónicas) o baiting (USB con malware que se deja en algún lugar público para alguien la encuentre y la conecte a su computadora), son algunas de las técnicas usadas por los cibercriminales. También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o de la empresa para la cual trabaja. Aquí vale la pena preguntarse ¿Qué tan informados están tus empleados sobre este tipo de tácticas?, ¿Saben cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo

Dicen que es más fácil engañar a alguien para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear el sistema, el cual seguramente contará con monitoreos y alertas de seguridad que impedirán el ataque. Cuando vamos al ámbito corporativo, encontramos que los cibercriminales buscan atacar a personas con cargos directivos o estratégicos, pues así podrán acceder a datos confidenciales de mayor relevancia y será más útil el espionaje para lograr su cometido.

Lo más grave es que puede que el equipo de seguridad nunca se entere del robo de datos que se consumó a través de ingeniería social. ¿Cómo controlar que el director de Recursos Humanos no le comparta a su “colega” algunos datos relacionados con la estrategia del negocio a través de mensajes privados en LinkedIn?

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados informados y capacitados, esta podría ser la mayor amenaza de seguridad para la organización, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing. Correo fraudulento que engaña para que la víctima comparta información sensible.
  • Robo de Identidad. Hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware. Alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting. O carnada, como el caso mencionado del USB.
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing. El criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia.

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle mails segmentados y relevantes para que al final alguno de los empleados haga clic en un vínculo malicioso. De esta forma infecta una de las computadoras y puede ingresar a toda la red de la empresa.

Por todo lo anterior, las compañías deberían adoptar una cultura de seguridad basada en las personas, que brinde capacitación continua y mantenga informados a los empleados sobre las amenazas vigentes, tanto digitales como físicas. Además de la protección que puedan ofrecer los diferentes software de seguridad, combatir los ataques de ingeniería social requiere cambios de comportamiento, conocimiento y compromiso por parte de los empleados. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los colaboradores a entender por qué es tan importante para la compañía que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar potenciales riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas, tanto en el ámbito personal como en el corporativo.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación y contraseñas seguras, para evitar el robo de identidad.

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo más alto que el malware y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por esto la seguridad de la información va más allá de lo técnico: debe considerarse también como un proceso cultural en la empresa, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contactanos!

Alerta de Seguridad: Nueva amenaza CVE-2019-0708

Última actualización: Jueves 16 de mayo | 14.30hs

Microsoft anunció el descubrimiento de un error “gusano” que pone en riesgo los antiguos, pero aún utilizados, sistemas operativos Windows 7, Windows Server 2008 R2, Windows Server 2008,  Windows XP y Windows 2003. Ante esto, la empresa aseguró que lanzará actualizaciones de seguridad para estas versiones, a pesar de que las mismas ya no cuentan con soporte técnico.

Es necesario que los sistemas expuestos sean parcheados lo antes posible, pues la vulnerabilidad descubierta reside en los “servicios de escritorio remoto” integrados en estas versiones, se caracteriza por ser pre-autenticación y no requiere la interacción de usuarios. Esta falla genera las condiciones para alimentar un malware de rápido movimiento que puede propagarse de una computadora vulnerable a otra vulnerable, de manera semejante a los ataques del ransomware WannaCry de 2017.

En total, Microsoft lanzó hoy 16 actualizaciones dirigidas a por lo menos 79 agujeros de seguridad en Windows y software relacionado. Casi una cuarta parte de ellos obtuvieron la calificación “crítica” más grave de Microsoft. Los errores críticos son aquellos que pueden ser explotados por programas maliciosos para penetrar en sistemas vulnerables de forma remota, sin la ayuda de los usuarios.

Otros productos de Microsoft que reciben parches hoy en día incluyen Office y Office365, Sharepoint, .NET Framework y el servidor SQL. Una vez más -la cuarta en este año-, Microsoft está parchando otra falla crítica en el componente de Windows responsable de asignar las direcciones de Internet a las computadoras host (también conocido como “cliente DHCP de Windows”).

¿Cuáles son las recomendaciones a seguir?

  • Parchear lo antes posible los sistemas. Para acceder a estas actualizaciones de seguridad se debe ingresar al sitio web de soporte técnico de Microsoft y realizar una búsqueda de la Guía de Orientación para el Cliente para la Vulnerabilidad CVE-2019-0708.
  • Realizar la actualización luego de haber hecho una buena copia de seguridad (backup).
  • Si bien cerrar el puerto 3389 a nivel de firewall puede parecer una solución, esta medida no es del todo confiable. Por esto insistimos en recurrir al parcheo y recomendamos soluciones de Vulnerability & Patch Management, las cuales ofrecerán información completa sobre los dispositivos y las aplicaciones presentes en la red, recopilarán datos sobre las versiones de software y comprobarán si se requieren actualizaciones o si se deben parchar vulnerabilidades.

Las vulnerabilidades detectadas se podrán priorizar automáticamente para que se apliquen los parches más urgentes y se implementen en forma prioritaria las actualizaciones más importantes

  • Implementar sistemas operativos actuales que reciban actualizaciones de seguridad y cuenten con soporte técnico vigente.
  • Implementar soluciones de seguridad que cuenten con anti Ransomware.

Fuentes consultadas:


De Ursnift a Emotet: colaboraciones peligrosas que crean malware más potente

En estos últimos meses hablar de troyano bancario es hablar de Emotet. No es sorpresa que esto sea así, ya que la campaña utilizada por este malware es muy agresiva y la mayoría de los bancos, por no decir todos, han recibido un correo malicioso con un documento Office adjunto.

Pero hay otro troyano bancario que inició sus actividades en el año 2009 llamado Ursnif, también conocido como Gozi, que comparte el método de propagación con Emotet, es decir, ambos utilizan documentos de Office o el correo electrónico, y ejecutan un payload que descarga otras amenazas (Emotet: Dridex – GootKit – ZeuzPanda – IceID – TrickBot – BitPaymer y Ursnif-Gozi: GandCrab – Dridex).


Las técnicas de propagación e infección utilizadas por Ursnif han evolucionado hasta llegar a las utilizadas hoy en día por Emotet; hablamos de técnicas Fileless, conocidas como LoL (Living of the Land), en las que el atacante se mueve de manera sigilosa utilizando herramientas que ya tenemos en el equipo y por lo tanto no levantan sospechas, como documentos de Word, Excel, cmd, powershell y msiexec, con los que intentan infectar nuestros equipos.

Similitudes y Diferencias

Un análisis más profundo de ambas amenazas nos muestra que las dos comparten el mismo payload, llevándonos a la conclusión de que quizás hay un grupo común detrás de estas amenazas. Esta teoría toma más fuerza debido a que los responsables de Ursnif fueron apresados en el año 2015, y la primera muestra de Emotet ha sido vista en el año 2014, ya utilizando las llamadas técnicas fileless y mostrando una evolución del malware.

Estas colaboraciones son peligrosas porque se crea malware más potente, persistente, y nos demuestra que los grupos criminales trabajan activamente, ya sea colaborando o distribuyendo las mismas herramientas propicias para el desarrollo de amenazas a diferentes actores.

Hay pequeñas diferencias. Por ejemplo, Ursnif no deja rastros en el sistema, sin embargo, Emotet  deja un archivo .lnk en el equipo para ejecutarse cada vez que inicia Windows, además de algún rastro de información en el registro, lugar que no es revisado habitualmente por ningún usuario.

Otra diferencia es que el método de ofuscación no es igual, señal de que el grupo desarrollador no es el mismo en sí.

Cómo protegerse. 

Vemos entonces cómo ambas amenazas comparten un mismo vector de infección: el correo electrónico. Una protección para el mail trabajando en conjunto con un sandbox, nos ayudaría en principio a mitigar estas amenazas, ya que tendríamos un lugar en dónde explotar los adjuntos maliciosos para que muestren su carga y así poder extraerlos de los correos electrónicos. Esta solución también requiere trabajar sobre los links embebidos en el cuerpo del mensaje, abriendo sitios en modo seguro.

Recordemos que además la protección de los equipos es muy importante. Por ello debemos contar con un software que nos permita realizar un análisis de comportamiento y configurar políticas de restricciones sobre carpetas, archivos y procesos.

También a nivel corporativo hay que revisar la posibilidad de contar con un sandbox en la nube, inteligencia artificial avanzada y listas negras, todo esto administrado desde un mismo entorno para poder contener, investigar y remediar todas las amenazas en los diferentes dispositivos con la mayor rapidez posible.

Conocé todas las recomendaciones haciendo clic acá.

Porque ante la mutación, colaboración e incremento de las ciberamenazas, debemos estar preparados para prevenir, actuar y remediar. En NextVision contamos con soluciones para proteger y acompañar a tu empresa en estas fases. Contactanos!

El troyano Emotet evoluciona

Última actualización | 22 de abril de 2019

Emotet, reconocido originalmente como el gran “troyano bancario” viene evolucionando en los últimos años y hasta convirtiéndose en un distribuidor de amenazas.

Se han detectado numerosas campañas de phishing que entregan variantes de Emotet y también se lo ha relacionado con infecciones de ransomware Ryuk dirigidas a gran escala.

Emotet se distribuye de dos maneras: a través de correos electrónicos que han adjuntado documentos de Microsoft Word con macros maliciosos y a través de correos electrónicos con enlaces maliciosos. Si un usuario abre el archivo adjunto y habilita macros, o sigue el enlace, puede resultar en la descarga y ejecución de la carga útil de Emotet en su sistema.

Ahora ha ganado también la capacidad de verificar si la IP infectada desde donde se envía el correo electrónico malicioso ya se encuentra en una lista de correo no deseado, lo que les permite enviar más correos electrónicos a las bandejas de entrada sin ser rechazados.

Ejemplos:

A) Durante la tercera semana de enero de 2019, muchos usuarios en Latinoamérica recibieron un correo electrónico como el que figura a continuación.

Este es un comportamiento muy conocido de Emotet. El malware utiliza técnicas de ingeniería social estándar e incluye el nombre de la persona cuya cuenta de correo electrónico se ha comprometido para que no parezca un mail no deseado.

El adjunto infectado:

B) Mail Malicioso usando a Amazon como remitente

Conclusión y Recomendaciones:

El troyano Emotet es una amenaza altamente automatizada, que está en pleno desarrollo y tiene blancos en determinados territorios. Su pequeño tamaño, los mecanismos de autopropagación usados y su arquitectura modular hacen que Emotet sea un arma muy efectiva en manos de los ciberdelincuentes.

Sin embargo, este troyano originariamente bancario no usa tecnologías que sean fundamentalmente nuevas y por lo tanto, siguiendo adecuadas recomendaciones, podemos proteger nuestra empresa. Qué te sugerimos:

  • Bloquear macros en documentos de Office.
  • Considerar bloquear el intercambio de archivos a través de la red.
  • Mantener la suite de MS Office al día con los parches de seguridad.
  • Si aún no fue realizada, crear una política para los correos sospechosos y notificarlos al depto de ciberseguridad/TI.
  • Mantener al día la actualización de los sistemas operativos, antimalware y aplicaciones.
  • Actualizar contraseñas: Nadie de tu red LAN debería tener como password algunas de las siguientes passwords utilizados por la botnet de #Emotet para desplegarse en otros equipos a través de SMB.
  • Restringir permisos de los usuarios para instalar y ejecutar aplicaciones de malware. No agregar usuarios al grupo de administradores locales a menos que sea necesario.
  • Contar con un software que nos permita realizar un análisis de comportamiento y configurar políticas de restricciones sobre carpetas, archivos y procesos.
  • Contar con un sandbox en la nube, inteligencia artificial avanzada y listas negras, todo esto administrado desde un mismo entorno para poder contener, investigar y remediar todas las amenazas en los diferentes dispositivos con la mayor rapidez posible.
  • Concientizar y capacitar de manera continua a los colaboradores de la empresa para crear una cultura cibersegura.

Si en tu empresa necesitás asesoramiento o consultoría para prevenir y detectar este tipo de ataques, no dudes en contactarte con nuestro equipo de expertos. Contamos con soluciones tecnológicas para prevenir, actuar y remediar amenazas. Además, disponemos de servicios de awareness para concientizar a los usuarios de tu organización. Escribinos a info@nextvision.com para más información.

Fuentes Consultadas:

    • Equipo de consultores de tecnología de NextVision

Nuevo programa de Concientización

LOGRAR UNA CULTURA CIBERSEGURA, LA CLAVE PARA PROTEGER NUESTRA INFORMACIÓN Y EL NEGOCIO

Que el usuari@ es el eslabón más débil de la ciberseguridad de una organización no es una novedad. Los ataques de phishing y ransomware siguen siendo las vías de entrada más exitosas para los ciberdelincuentes.

Más allá de las diferentes soluciones tecnológicas que adopten las organizaciones (y que son más que necesarias), esta problemática solo va a  ser resuelta si se busca cambiar los HÁBITOS de las personas que manejan la información dentro de una organización.

Desde NextVision, creamos un programa ÚNICO, INTEGRAL y CONTINUO con foco en las personas. Que busca enraizar en los empleados los fundamentos de una cultura cibersegura, a través de dinámicas participativas, simulacros de ataques y formación, para tod@s los colaboradores de la organización.

CON EL PROGRAMA NV AWARENESS SU EMPRESA PODRÁ:

  • Proteger al negocio y su información crítica de ciberataques, como consecuencia del uso tecnológico ingenuo o negligente de los empleados.
  • Evaluar la situación existente en materia de cultura cibersegura. Conocer cómo responden los colaboradores de la organización a correos electrónicos no confiables y a posibles ataques de phishing o ransomware, entre otras amenazas.
  • Realizar simulacros de ataques de Phishing y Ransomware en tiempo real para poder tener indicadores claros de potenciales ataques y entender el grado de exposición de información sensible.
  • Implementar un programa de formación y concientización continua para las diferentes áreas y niveles jerárquicos, que incluye charlas presenciales,. capacitaciones virtuales con módulos interactivos , exámenes y encuestas.
  • Colaborar con las áreas de comunicación interna/RRHH con material didáctico.
  • Centralizar toda la gestión del programa de capacitación y concientización, con métricas de correlación que permiten conocer de forma objetiva la efectividad de las acciones.
  • Cumplir con normativas y auditorías, a partir de un único registro de reporting de las acciones.
  • Lograr cambios de hábito permanentes en los colaboradores, a través del soporte de un equipo interdisciplinario de profesionales: expertos en seguridad, facilitación de equipos y comunicación interna con foco en ciberseguridad.

¿Querés que te asesoremos sobre este tema o conocer más sobre nuestra propuesta? ¡Contactanos ahora!

Los Servicios Administrados de Seguridad: Una opción para incrementar la productividad y reducir los costos

Todas las empresas, sin importar su tamaño, necesitan estar cada vez más protegidas ante las crecientes amenazas cibernéticas. Sin embargo, esto demanda importante inversión en personas, procesos y tecnología..

Muchas compañías están encontrando la solución en los servicios administrados de seguridad. Si aún no sabés de qué se trata y cuáles son sus beneficios, te contamos a continuación.

No es un secreto: las amenazas cibernéticas son un factor que pone en riesgo el crecimiento de pequeñas, medianas y grandes empresas. Más ahora, cuando vivimos el auge de la transformación digital y las compañías deben flexibilizar algunas de sus políticas más estrictas para no quedarse atrás.

Y esto, sin duda, lo aprovechan los ciberdelincuentes: se habla de un crecimiento de más del 50% de ataques cibernéticos en el mundo cada año. Y al no contar con la prevención adecuada, las compañías -de todos los tamaños- pueden estar perdiendo su capacidad para proteger sus activos más valiosos: los datos y la información.

Las organizaciones necesitan mejorar la detección de amenazas en tiempo real, disminuyendo así el impacto ante un posible ataque. Sin embargo, las restricciones en presupuesto hacen que los equipos de TI y Seguridad deban atender diversas solicitudes a diario, dejando tal vez de lado el monitoreo proactivo permanente.

La situación preocupa más con el paso del tiempo, pues los ataques son cada vez más frecuentes y sofisticados, las amenazas siguen evolucionando y los ciberdelincuentes están día a día buscando la forma de acceder a los sistemas de tu empresa para obtener información valiosa.

Tal vez te interese: Qué es un ataque DDOS y cómo detenerlo

Los servicios administrados de seguridad son considerados cada vez más como una solución que resulta ser flexible, eficiente en la relación costo – beneficio y un aliado en la mitigación de riesgos cibernéticos.

Pequeñas, medianas y grandes empresas puedan mejorar los tiempos de respuesta, rendimiento y disponibilidad de la infraestructura tecnológica sin incurrir en los grandes esfuerzos de presupuesto que exigiría adquirir las herramientas de seguridad necesarias, contratar analistas expertos y mantenerlos.

Estas razones han incrementado la demanda de Servicios de Seguridad Administrada, los cuales ofrecen esquemas de protección acordes con los niveles de riesgo que cada compañía decide asumir. De esta forma garantizan que su información esté a salvo y que no se vea afectada la continuidad del negocio como consecuencia de un ciberataque.

En junio de 2017, el malware Nyetya se expandió rápidamente a través de los sistemas Windows en todo el mundo. Esto sucedió solo un mes después de que las compañías de seguridad revisaran todos sus sistemas debido al famoso ransomware WannaCry, y a pesar de ello, algunas empresas se vieron afectadas con este nuevo y sofisticado ataque.

Pensá, ¿Cuánto le costaría a tu empresa una base de datos hackeada, que inactive tu negocio hasta que logres superar el incidente? Y eso sin hablar de la pérdida de clientes que suelen abandonar a sus marcas cuando éstas sufren algún ataque.

¿Cómo habría reaccionado tu negocio? Tal vez valga la pena revisar la opción de contratar servicios administrados de seguridad, que te ayuden a resguardar la información teniendo en cuenta el cambio permanente de amenazas y los nuevos tipos de ataques. Dejá que los expertos tomen las decisiones adecuadas para tu negocio y te sugieran los cambios a realizar en los esquemas y políticas de seguridad, de acuerdo con las incidencias y vulnerabilidades detectadas en los monitoreos.

Un Sistema Administrado de Seguridad (SOC, siglas del inglés Security Operation Center) es un centro en el que se hacen monitoreos continuos de los eventos de seguridad de un entorno. Este cuenta con información de las últimas tendencias en amenazas, conoce las brechas que aprovechan los delincuentes y sabe cómo prevenirlas, mitigar y remediar ciberataques. Siempre respetando el mapa de riesgos y lineamientos definidos por la empresa contratante.

La tendencia actual es la tercerización de los servicios de seguridad, asegura Cisco en su Annual Cybersecurity Report 2018. La contratación de servicios de monitoreo creció de 42 a 49% en los últimos tres años y sólo el 6% de los encuestados no optaba por el outsourcing en este campo de los SOC.

Beneficios de los SOC

Algunos beneficios de contar con un sistema administrado de seguridad:
– Flexibilidad con soluciones a la medida de cada cliente.
– Monitoreo preventivo, administración de equipos y atención de requerimientos 7×24, los 365 días del año.
– Posibilidad de validar cambios antes de pasar a producción.
– Contar con la asesoría de expertos actualizados.
– Evitar la obsolescencia en hardware y software.
– Se puede proveer de manera remota.

Así tendrás monitoreo integral de seguridad en todos los dispositivos, detección de amenazas y respuesta a los incidentes para proteger la infraestructura e información sensible de tu negocio.

De esta forma se puede delegar en manos expertas la administración y operación proactiva de la seguridad para concentrar todos los esfuerzos del personal en desarrollar el core del negocio.

¿En tu negocio se realiza un monitoreo preventivo de seguridad? ¿Han llegado a detectar posibles amenazas?

Ante todos estos desafíos que hoy tienen los CISOs en las empresas, NextVision creó el NV CIBERDEFENSA, una propuesta que busca ayudar a los clientes a robustecer su seguridad para gestionar eficazmente los riesgos, ofreciendo visibilidad, control y atención ante posibles amenazas. Todo esto con el respaldo de tecnologías Fortinet y nuestro equipo de expertos.

Conoce más sobre este nuevo servicio haciendo clic aquí.

¿Qué es un ataque DDoS y cómo detenerlo?

La tecnología avanza día a día para hacernos la vida más fácil. Sin embargo, también los ciberdelincuentes se las ingenian para aprovecharse de aquellas personas y empresas que no siguen las recomendaciones de seguridad y por lo tanto se convierten en presa fácil para sus ataques.

Uno de los más sonados en la web son “los ataques distribuidos de denegación de servicio», conocidos como DDoS por sus siglas en inglés (distributed denial of service attack). Esta es una técnica usada por hackers en la que, usando redes de bots y software malicioso instalado en miles y miles de máquinas, se generan tantas solicitudes al servidor de un sitio web que éste termina por caerse.

Ese es el objetivo de los ataques DDoS: que los usuarios reales de un sitio web no puedan ingresar porque el servidor no da abasto para tantas solicitudes de información.

¿Y cuáles son las consecuencias para vos? Más allá de que tu empresa “desaparezca” de la web por un tiempo, también puede enfrentarse a pérdidas económicas, reputacionales y de mercado.

Pero, ¿Qué es lo que motiva a los hackers a realizar esto?

Durante los últimos 20 años, los ataques distribuidos de denegación de servicio han sido usados con diferentes fines:

 Financieros: Donde los hackers extorsionan a las empresas para que paguen rescates a cambio de no ejecutar o de detener el ataque DDoS.

Políticos: Otros, por su parte, han sido realizados con estos fines. Ejemplo de ello son las amenazas y ataques del grupo hacktivista Anonymous. Su última aparición fue a finales de abril, cuando saturaron el sitio informativo del Gobierno de Nicaragua como muestra de apoyo a las manifestaciones que por estos días realiza la oposición en el país centroamericano.

Sensación de poder y diversión: Para algunos hackers, estas son sus principales motivaciones. Como ejemplo está el caso de Mafiaboy, un chico de 16 años que en el año 2000 se propuso afectar la disponibilidad del sitio de CNN. También pudo impactar a Amazon, Yahoo, eBay entre otras empresas.

Además, con el paso de los años se encuentran más vulnerabilidades y diferentes formas de cometer los ataques, causando mayor impacto. Por ejemplo, el pasado 28 de febrero, la plataforma de desarrollo colaborativo GitHub sufrió el que en su momento fue el ataque DDoS más grande de la historia (1.35 terabits por segundo), y cuatro días después, el 4 de marzo de este año, un sitio web en Estados Unidos, cuyo nombre no fue revelado, recibió un ataque aún más grande (1.7 terabits por segundo).

Estos fueron mucho más grandes que el sufrido en octubre de 2016 por Dyn, uno de los proveedores de DNS más importantes del mundo, en el que se vieron afectados grandes sitios como Twitter, Reddit, Spotify, PayPal, entre otros.

  • Para las empresas y negocios, los ataques DDoS generan pérdida de ingresos, pérdida de clientes y pérdida de credibilidad.
  • En 2017 casi se duplicó la cantidad de organizaciones que informó pérdida de ingresos como un impacto empresarial de este tipo de ataques cibernéticos.

Fuente: 13.º Informe de seguridad de infraestructura mundial anual (WISR) de NETSCOUT.

¿Cómo prevenir los ataques DDoS?

Como mencionamos, este tipo de amenazas van evolucionando a medida que se encuentran diferentes vulnerabilidades. La mejor forma de mitigar riesgos y poder responder a este tipo de ataques es seguir estos consejos:

  1. Tené un antivirus actualizado en todos tus dispositivos y obtené la última versión de los sistemas operativos de los servidores web.
  2. Mantené las buenas prácticas desde la programación de las páginas web y aplicaciones.
  3. Instalá un WAF (web application firewall), que te proteja ante posibles ataques dirigidos al servidor web y que además permita analizar el tráfico de tu sitio.
  4. Conocé, monitorizá y dimensioná la actividad de tu web para identificar anomalías en el tráfico así como las partes de la red más propensas a ser atacadas (el ancho de banda, los mismos firewalls, los servidores, etc.)
  5. Adquirí un servicio profesional de protección contra ataques DDoS con capacidad de red para absorberlos y que te ofrezca asistencia 24/7.

¿Qué hacer ante un ataque DDoS?, ¿Cómo detenerlo?  

Si crees que estás siendo víctima de un ataque de denegación de servicio, seguí las siguientes recomendaciones:

  1. Verificá que sí se trate de un ataque DDoS y que no sea otra la causa por la cual está lento o caído tu sitio.
  2. Contactate con tu partner de ciberseguridad para recibir asistencia. En primera instancia podrán hacer un bloqueo en el firewall de las IP que identifiquen como atacantes o de comportamiento irregular. También podrían restringir geográficamente el acceso a tu sitio web para disminuir la posibilidad de recibir tráfico no deseado.
  3. Creá una cuenta en plataformas de seguridad que ofrezcan herramientas de protección contra ataques DDoS.  
  4. Puede ser necesario priorizar las aplicaciones más importantes que deban permanecer habilitadas y prescindir de otras durante el tiempo que dure el ataque. También puede ayudar el poner barreras de acceso a documentos y aplicaciones de alto consumo de datos, como un captcha o inicio de sesión de usuario, para asegurar que solo los usuarios reales (es decir los humanos, no los bots que están siendo usados para el ataque) consuman estos recursos.
  5. Contactá a las personas de tu empresa que deban estar enteradas de la situación. No olvides incluir a las áreas de riesgos, seguridad y comunicaciones, ya que dependiendo de la afectación a usuarios también podría ser necesario revisar el manejo en cuanto a relaciones públicas, jurídicas y medios de comunicación.  

Como hemos visto, los ciberataques avanzan con el tiempo y cada vez tienen mayor magnitud, generando así más riesgos y consecuencias negativas para las empresas. Lo bueno es que también a esa velocidad avanza la tecnología que les hace frente y que te ayudan a mantener seguro el sitio web de tu negocio.

Al final, ¿para qué exponerse de frente a un ataque DDoS si es posible prevenir y mitigar el riesgo?

Si querés que te ayudemos en tu empresa sobre este y otros temas, comunicate con nuestros expertos para mayor información.

Evitá que tu empresa sea víctima de Phishing y Ransomware por descuido de los empleados

Argentina, el séptimo país del mundo que más ataques de phishing recibe (Clarín 7/11/17)

El mail es el principal vector de los ataques de phishing y malware. Los cibercriminales trabajan 24×7 en nuevas técnicas de ataque para entrar a las organizaciones a través de su eslabón más débil: sus empleados.

¿Sabías que podés evitar el clic impulsivo en tu organización?

Symantec Messaging Gateway (SMG) ofrece una capa adicional de seguridad para la protección de correos electrónicos deshabilitando las URL. ¿Qué significa esto?  Si un empleado hace clic en un enlace que recibe por mail, SMG deshabilita el hipervínculo y evita que sea redirigido a un potencial sitio malicioso.

Si ya sos cliente de SMG contactanos ahora para migrar a la versión 10.6.2 y contar con esta nueva funcionalidad.

El mejor producto de mensajería del mercado

Symantec fue nombrada empresa líder en IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment, y Top Player (la máxima categoría) en el informe Secure Email Gateway Market Quadrant de Radicati Group (2016)

Protegete de ataques dirigidos y amenazas desconocidas

SMG utiliza Disarm, una tecnología de Symantec, que elimina el contenido vulnerable de archivos adjuntos de Microsoft Office y PDF. El documento limpio se reconstruye, se vuelve a adjuntar en el correo electrónico y se envía a su destinatario.

Evitá la pérdida de datos en el correo electrónico 


Esta solución ofrece tecnologías avanzadas de filtrado de contenido y prevención contra la pérdida de datos para garantizar el cumplimiento regulatorio y evitar la pérdida de datos gracias a su tecnología sofisticada de búsqueda de coincidencias de datos estructurados.

Reducí costos con una gestión sencilla

Consola unificada para gestionar varios appliances, rastrear mensajes y ver tendencias, estadísticas de ataques e incidentes de falta de cumplimiento. Todo en un solo lugar y sin costos altos de infraestructura.

Escribinos a info@nextvision.com para recibir asesoramiento de un experto de NextVision

6 claves para entender el ataque KRACK

1. ¿Qué pasó?

Se encontraron nuevas vulnerabilidades en los protocolos WPA/WPA2, utilizados para proteger la seguridad de todas las redes WiFi modernas.

El ataque se inicia en la etapa de negociación del protocolo, que es ejecutado cuando un cliente quiere unirse a una red WiFi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso WiFi poseen las credenciales correctas. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante WiFi.

2. ¿Qué significa KRACK?

KRACK (Key Reinstallation Attacks) es el acrónimo con el que se llama a los ataques de reinstalación de clave que se utilizan para explotar las debilidades de WPA/WPA2.

3. ¿Cómo actúa? 

El ataque funciona sobre las dos versiones de WPA e incluso aquellas que emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta una negociación de autenticación conocida como handshake de 4 vías. En la tercera fase de dicha negociación, la clave de cifrado se instala y es usada para cifrar los datos mediante un protocolo.

Sin embargo, debido a que los mensajes pueden perderse, el sistema WiFi retransmite el tercer mensaje en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

 4. ¿Qué vulnerabilidades pudieron ser explotadas?

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088

Es importante tener en cuenta que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual.

Los invitamos a leer la nota de vulnerabilidad VU # 228519 de CERT / CC para obtener detalles adicionales sobre qué productos han sido afectados.

5. ¿Cuáles son los posibles daños?

A través de su ejecución los ciber delincuentes podrían leer toda la información que no esté cifrada mediante una comunicación establecida por WPA/WPA2: números de tarjetas de crédito, contraseñas, mensajes de chat, emails y, en definitiva, cualquier dato que pase por la red WiFi y se encuentre en sitios poco protegidos.

6. ¿Qué podemos hacer ante esta amenaza?

Al estar hablando de un protocolo, serán los organismos IEE y Wifi Alliance los que deberá trabajar en encontrar un workaround a la versión actual o diseñar un nuevo estándar para que luego los fabricantes puedan desarrollar el nuevo código que permita reestablecer conexiones seguras en entornos wifi.

Hoy más que nunca, resulta FUNDAMENTAL para las empresas trabajar en capas de encriptación, para proteger la información crítica (almacenada y en tránsito) que pueda llegar a manos de delincuentes.

Desde NextVision, les facilitamos los siguientes materiales para una buena estrategia de Encriptación:

Siempre es importante poder conocer los posibles riesgos a los que nos enfrentamos, haciendo un análisis de nuestra propia infraestructura. Para eso, contamos con el Cybersecurity Health Check, un servicio de NextVision pensado para responder a ciberamenazas. Conocelo.

Fuentes:

  • Departamento Técnico de NextVision
  • KracksAttacks

Defray: Nueva Amenaza de Ransomware

En las últimas horas, se ha descubierto una nueva amenaza llamada Defray.

Este Ransomware está atacando principalmente a instituciones educativas y empresas de salud, minería, banca y finanzas de varios países de Europa por el momento.

Se distribuye mediante Scripts PowerShell y a través de documentos de Microsoft Word adjuntados en correos electrónicos. Se indica a las víctimas que en el interior del documento se encuentran detalles sobre una factura pendiente o sobre un requerimiento judicial. Al abrir el archivo se solicita la activación de las macros.

Desde NextVision, aconsejamos leer NUESTRA GUÍA ESPECÍFICA con el paso a paso para prevenir, responder y actuar ante un ataque de Ransomware.

Pueden descargarla aquí.

Mensaje enviado a las víctimas