Sep 25

Artículo: Ransomware, principal amenaza para las empresas

Entre los meses de abril y junio del presente año, el ransomware ha representado casi la mitad de todos los incidentes de ciberseguridad a escala global en las organizaciones. Solo esta amenaza triplica el siguiente riesgo más común: la explotación de vulnerabilidades de Microsoft Exchange Server.

El último informe trimestral de Cisco Talos revela que los cibercriminales dirigieron el malware a una amplia gama de sectores como: transporte, telecomunicaciones, fabricación, educación y salud; siendo este último, el más atacado por tercer trimestre consecutivo, seguido por administración púbica.

Para llevar a cabo estos ataques, los hackers maliciosos de ransomware utilizan herramientas comerciales como Cobal Strike, aplicaciones de código fuente abierto (incluyendo Rubeus) y otras herramientas nativas del dispositivo de las víctimas como PowerShell.

Otras ciberamenazas observadas en el informe son la explotación de vulnerabilidades conocidas, la minería de criptomonedas y el control de cuentas de usuarios. Además, también hubieron varios incidentes que estuvieron relacionados con unidades USB troyanizadas, un antiguo vector de ataque no detectado durante años.

Finalmente, los responsables de Cisco afirmaron que: “La falta de autenticación multifactor (MFA) sigue siendo una de los mayores barreas para una seguridad efectiva de empresas y administraciones” y añadieron que: “Observamos con frecuencia incidentes de ransomware que podrían haberse evitado habilitando MFA en los servicios críticos”.

*Fuente: Füture by inese

Sep 14

Píldora nº 7. Píldoras semanales sobre #Ciberseguridad para usuarios.

Buenos días a tod@s,

Una vez finalizado el parón veraniego, comenzamos de nuevo con nuestras píldoras en ciberseguridad. Empecemos esta semana recordando la píldora nº 6 del pasado 7/07/2021:

 

PÍLDORA Nº 6 DE LA SEMANA DEL 07-07-2021 : Tipos de backup y los errores más comunes a la hora de realizarlo.

 

Eres eficiente a la hora de crear una buena copia de seguridad? De la mano de welivesecurity te presento el siguiente artículo:

 Con el creciente uso de los más diversos tipos de tecnología, términos como respaldo o backup dejaron de resultar extraños para la mayor parte de los usuarios. En caso de que aún no estés familiarizado con este término o lo conozcas pero no lo consideres tan importante, a continuación explicaremos qué es el backup, cuáles son los principales tipos de backup que existen y cuáles son los errores más comunes a la hora de realizarlo.

El concepto detrás de backup existe mucho antes de recibir este nombre. Siempre que algún documento o información importante era copiado y guardado en dos lugares diferentes con el fin de que esa información no se pierda, se estaba realizando un backup de esa información. Así, en caso de que la versión original se dañe, es posible recuperar la información recurriendo a esa copia que fue dejada en un lugar diferente y seguro.

Cuando fue adoptado por personas y empresas, y se llevó al terreno de la tecnología, sus características originales no cambiaron; tan solo se añadieron nuevos recursos para hacer que las copias de seguridad fuesen más productivas.

Existen tres principales formas de realizar un backup: completo, progresivo y diferencial.

Backup completo

Como el nombre lo sugiere, se refiere al proceso de copiar todo aquello que fue previamente considerado importante y que no puede perderse. Esta copia de seguridad es la primera y la más consistente, ya que puede ser realizada sin la necesidad de herramientas adicionales.

Backup progresivo o incremental

Este proceso de copia exige un nivel de control mucho mayor sobre las distintas etapas del backup en sí, ya que realiza la copia los archivos teniendo en cuenta los cambios que sufrieron desde el último respaldo. Por ejemplo, imagina que has realizado un backup completo. Una vez terminado decides continuar con un backup progresivo y creas dos archivos nuevos. El backup progresivo detectará que todos los archivos del backup completo son los mismos y procederá a copiar solamente los dos archivos nuevos que fueron creados. Por lo tanto, el backup progresivo representa un ahorro de tiempo y de espacio, ya que siempre habrá menos archivos para ser respaldados que si se llevara adelante un backup completo. Recomendamos que esta estrategia de backup no sea ejecutada manualmente.

Backup diferencial

El diferencial tiene la estructura básica del backup progresivo, es decir, hace copias de seguridad solo de los archivos que sufrieron alguna modificación o que son nuevos. El cambio en este modelo de backup está en que todos los archivos creados después del backup completo siempre serán copiados nuevamente. Debido a las similitudes con el modelo anterior, tampoco se recomienda que el proceso se realice manualmente.

Dónde realizar el backup

Una vez que elegimos el tipo de backup que más se ajusta a nuestras necesidades, es importante definir dónde será almacenado. En este sentido, los soportes más utilizados para el almacenamiento de la información varían con el paso de los años. De hecho, ya se han realizado respaldos en disquetes, CDs, DVD,s, cintas magnéticos, discos Blu-Ray, discos rígidos externos, servicios de almacenamiento en la nube, entre otros. Una pregunta que debe responderse a la hora de decidir dónde será almacenada la copia de seguridad es: ¿por cuánto tiempo voy a tener que guardar ese respaldo? Según cuál sea la respuesta, será más sencillo determinar el medio en el cual almacenar los archivos.

La siguiente tabla contiene un estimativo de la vida útil de distintos sistemas de almacenamiento:

MedioFecha de creaciónVida útilCapacidad
HD19565 – 10 añosGB hasta TB
Disquete19713-5 añosCentenas de KB hasta algunos MB
CD/CD-ROM197925 – 50 años80 minutos o 700 MB
MD (Mini Disc)199125 – 50 años60 minutos o 340 MB
DVD1994/199525 – 50 años4.7 GB
Tarjeta SD199410 años o másPocos MB a decenas de GB
Pendrive200010 años o másPocos MBs a decenas de GB
SSD1970-199010 o másGB hasta TB

Fuente: showmetch.com.br

Si bien ya tenemos algo de información que nos ayudará a mantener una rutina de backup estable y funcional, algunos todavía se preguntarán si realmente es necesario hacerlo y por qué es considerado tan esencial.

Dado que para responder a esta pregunta adecuadamente es necesario conocer las necesidades de cada empresa u hogar, a continuación, planteamos dos escenarios ficticios que servirán para ejemplificar instancias en las que el backup adquiere un gran valor.

Para empresas

El año es 2021, la empresa Empresa Ficticia Co. comenzó sus actividades a las ocho de la mañana como de costumbre. Cerca de las 11 horas, uno de los responsables de TI escucha un ruido diferente en un sector próximo. Su teléfono suena inmediatamente después del ruido. Al atender el llamado se da cuenta que la estación de trabajo está totalmente paralizada y lee un mensaje en la pantalla que le informa que los datos fueron cifrados. El mismo mensaje es exhibido en algunas de las otras máquinas ubicadas en este y otros sectores de la empresa, hasta que llega la noticia de que el servidor de archivos de la empresa se detuvo como consecuencia del mismo problema: el ransomware WannaCry.

En este ejemplo ficticio, la empresa, que dependía de su servidor de archivos para poder operar, podría fácilmente no haber sufrido la paralización de sus sistemas, provocado por el ataque del ransomware, si hubiese una copia de seguridad del servidor de archivos.

Ejemplo hogareño

El señor Despreocupado da Silva estaba mirando la televisión sentado en el sofá de su casa, cuando de repente sintió nostalgia y le dieron ganas de ver las fotos de su casamiento y el nacimiento de su hijo. Cuando se dispone a ver las fotos comienza a llover. Una vez que termina de verlas, el señor Despreocupado va hacia la cocina para comer algo y deja la computadora enchufada a la corriente. De repente, se escucha el estruendo de un rayo que cae cerca y de repente se corta la luz. Al día siguiente, luego de que el suministro eléctrico vuelve a la normalidad, descubre que el disco rígido de su computadora se rompió y que todos sus recuerdos fotográficos se habían perdido.

Incluso en el hogar es posible utilizar un disco rígido externo o un pendrive para hacer una copia de seguridad de todo lo que es considerado de valor. Si bien en el ejemplo el incidente ocurre como consecuencia del corte de una intermitencia eléctrica, los factores que pueden provocar la pérdida de información son muchos, y en cualquier caso, haber realizado un backup periódico habría evitado la pérdida de los datos.

Si existe información que no puede perderse, el backup es una solución eficiente para evitar que eso suceda.

Errores comunes a la hora de realizar un backup

Ahora que ya vimos algunos aspectos relacionados a la importancia del backup, a continuación, ofrecemos algunas recomendaciones y repasamos algunos errores comunes que suelen cometerse durante el proceso.

No hacer backup

Ese es sin dudas el error más común. Muchas veces el respaldo no se realiza por negligencia o por creer que la información no era importante, al menos hasta que se perdieron.

Dejar el backup en el mismo equipo en el que estaban los archivos originales

La idea del backup es crear una copia de seguridad. Esta copia debe ser mantenida en un lugar diferente al que contiene los archivos originales. En caso de que estén en el mismo equipo, se perderán tanto los archivos originales como los que fueron respaldados.

No validar la integridad del backup

Realizar un backup involucra una serie de procesos. No es suficiente con solo crear una copia, sino que es necesario verificar los archivos para asegurarse que los datos guardados estarán accesibles en caso de necesidad. Dependiendo de la forma en que el backup fue realizado, que generalmente es un archivo comprimido, el mismo puede corromperse, y en tal caso deberá realizarse un nuevo backup.

No ejecutar el backup periódicamente

Es importante que las copias de seguridad sean realizadas de forma recurrente, principalmente si la información respaldada recibiera constantes actualizaciones. Si, por ejemplo, el backup de un documento de texto en el que se está escribiendo un libro solo se realiza el primer día del mes y 15 días después el archivo se pierde, apenas se habrá conservado una copia de dos semanas de antigüedad y se habrá perdido todo el esfuerzo realizado en la siguiente quincena.

No controlar los archivos del backup

Después de haber realizado una copia de seguridad, mantenga un control de qué archivo pertenece a cada equipo. En caso de que sea necesaria la recuperación de datos es clave que los mismos no sean restaurados en un equipo equivocado.

PÍLDORA SEMANAL DEL 04-10-2021 : Recomendaciones para una gestión de identidades eficiente

Si analizamos cómo ha evolucionado el desarrollo de la actividad laboral de las empresas, nos damos cuenta de que ha ido variando mucho con los años. El puesto de trabajo ya no es un lugar fijo donde un empleado desarrolla sus quehaceres diarios. Comerciales en busca de clientes, personal de salud que se desplaza hasta el paciente o el teletrabajo son actividades que requieren acceder en mayor o menor medida a recursos de la organización, como correo electrónico, software para la gestión de relaciones con los clientes o CRM, sistemas de planificación de recursos empresariales o ERP o cualquier otra herramienta interna, sin tener que estar presentes en el puesto físico ubicado en su oficina.

Por este motivo, en cualquier organización se plantea el dilema de permitir el acceso remoto y a la vez mantener un nivel óptimo de ciberseguridad. Para conseguirlo es recomendable contar con políticas de seguridad, cuyo cometido, entre otros muchos, será el de permitir, restringir, monitorizar y proteger los accesos, locales y remotos, es decir, establecer quién tiene permiso para entrar, identificar a estos usuarios de forma que se pueda verificar su identidad, y definir qué pueden y qué no pueden hacer.

Microsoft tuvo que hacer frente al mismo problema pues está formado por un gran número de trabajadores distribuidos alrededor del mundo. Aunque la mayoría de empresas no son del tamaño de los de Redmon, las recomendaciones que han seguido pueden ser de ayuda para cualquier organización, adaptándose siempre a las necesidades y capacidades de cada empresa. A continuación, os mostramos algunos aspectos en los que se han centrado para mejorar la gestión de identidades.

Protección de las cuentas de administrador

En cualquier tipo de empresa, los empleados con privilegios de administrador tienen los perfiles de usuario con permisos más elevados. Realizan tareas críticas imprescindibles para un óptimo funcionamiento de la organización, como aplicar parches de seguridad o gestionar los permisos de los demás usuarios. Proteger adecuadamente estos perfiles de usuarios con permisos de administrador es esencial para salvaguardar la seguridad de los sistemas de la empresa y la información que contienen o gestionan.

El primer paso será limitar el número de usuarios con este tipo de privilegios. Cuanto más reducido sea, menos posibilidades habrá de que alguno pudiera verse implicado en un incidente de seguridad. También definiremos las tareas en las que está permitido su uso, como por ejemplo actualizar un determinado software o llevar a cabo tareas de mantenimiento en la red interna. Limitaremos el uso de este tipo de usuarios a tareas puntuales, incluso aunque haya que habilitarlo y deshabilitarlo temporalmente, es decir, no debe ser utilizado de forma continua ya que, ante un incidente de seguridad, las consecuencias para la organización podrían ser muy graves.

Otro aspecto a tener bajo control es definir desde qué equipos es posible utilizar permisos de administrador. Lo ideal es utilizar un dispositivo específico para esa tarea concreta, que contará siempre con las últimas actualizaciones y parches de seguridad.

Doble factor en los sistemas críticos y usabilidad

No es seguro utilizar contraseñas como única medida para evitar accesos no autorizados, en particular a los sistemas críticos de la empresa, por varios motivos:

  • Los ciberdelincuentes podrían descubrirlas, mediante campañas de phishing, por fuerza bruta utilizando listados con millones de contraseñas, créalos a medida, etc.
  • Los usuarios podrían caer en la tentación de utilizar la misma contraseña para todos sus servicios, alguno de los cuales podría haberse visto comprometido.
  • Es muy posible que la contraseña no cumpla los requisitos mínimos para ser considerada robusta y sea asequible para el delincuente con sus medios probar combinaciones hasta encontrarla.

Por ello, siempre que sea posible se debe utilizar un sistema de doble factor de autenticación incorporando, por ejemplo, un segundo factor biométrico, aunque sin perder de vista la usabilidad. Además, siempre que sea posible se deben reducir los flujos de trabajo que requieran la autenticación por medio de contraseña. Para ello se migrarán a un portal separado que requiera un doble factor de autenticación para acceder. Un sistema seguro que es poco amigable para los usuarios terminará por ser inseguro, ya que estos encontrarán métodos para saltarse las restricciones.

Gestión de identidades

Para Microsoft, el punto más importante: simplificar la gestión de privilegios. Los usuarios, deben tener únicamente acceso a la información y herramientas que les permitan desarrollar su actividad laboral. Hay que encontrar el equilibrio en la gestión de los privilegios de los usuarios, ya que una concesión de demasiados permisos pondría en riesgo la seguridad de la empresa. Por otra parte, otorgar pocos permisos a los usuarios también supone un peligro ya podrían solicitar más permisos de los necesarios con la excusa de agilizar el trabajo.

Otro aspecto a tener en cuenta es cómo se gestionan estos permisos. Pueden realizarse de forma individualizada,  siempre y cuando el número de usuarios sea reducido, o si este número es amplio, gestionarlos en base a grupos. Por ejemplo, se pueden crear grupos por área de la empresa, como contabilidad, almacén, dirección, informática, etc. Cada uno de estos grupos tendrá los privilegios necesarios para desarrollar su trabajo. En caso de necesitar acceder a un nuevo recurso, se otorgará el acceso al usuario específico o se podría crear un nuevo grupo de usuarios.

También se establecen en las políticas de control de acceso apartados que contemplen la gestión de cuentas cuando hay cambios que afecten a las personas y las auditorías que verifiquen la vigencia de los permisos:

  • que cuando un empleado cambia de grupo de usuarios no mantiene los privilegios que tenía con el grupo anterior;
  • que se revisan cada cierto tiempo que los permisos concedidos son los necesarios;
  • que se dan de baja a los usuarios cuando un empleado abandona la compañía.

De esta forma evitaremos que por descuido o intencionadamente se realicen accesos no permitidos a la información y las herramientas de la empresa. Un sistema seguro que no permite realizar las tareas de trabajo diarias con fluidez no será aceptado por los trabajadores y terminará volviéndose inseguro. Microsoft concluye que combinando la seguridad con la experiencia de usuario se obtienen mejores resultados. Estas son las principales recomendaciones en cuanto a gestión de identidades. Aplícalas pero siempre en la medida idónea para tu empresa

Jul 07

Píldora nº 6. Píldoras semanales sobre Ciberseguridad para usuarios.

Eres eficiente a la hora de crear una buena copia de seguridad? De la mano de welivesecurity te presento el siguiente artículo:

 Con el creciente uso de los más diversos tipos de tecnología, términos como respaldo o backup dejaron de resultar extraños para la mayor parte de los usuarios. En caso de que aún no estés familiarizado con este término o lo conozcas pero no lo consideres tan importante, a continuación explicaremos qué es el backup, cuáles son los principales tipos de backup que existen y cuáles son los errores más comunes a la hora de realizarlo.

El concepto detrás de backup existe mucho antes de recibir este nombre. Siempre que algún documento o información importante era copiado y guardado en dos lugares diferentes con el fin de que esa información no se pierda, se estaba realizando un backup de esa información. Así, en caso de que la versión original se dañe, es posible recuperar la información recurriendo a esa copia que fue dejada en un lugar diferente y seguro.

Cuando fue adoptado por personas y empresas, y se llevó al terreno de la tecnología, sus características originales no cambiaron; tan solo se añadieron nuevos recursos para hacer que las copias de seguridad fuesen más productivas.

Existen tres principales formas de realizar un backup: completo, progresivo y diferencial.

Backup completo

Como el nombre lo sugiere, se refiere al proceso de copiar todo aquello que fue previamente considerado importante y que no puede perderse. Esta copia de seguridad es la primera y la más consistente, ya que puede ser realizada sin la necesidad de herramientas adicionales.

Backup progresivo o incremental

Este proceso de copia exige un nivel de control mucho mayor sobre las distintas etapas del backup en sí, ya que realiza la copia los archivos teniendo en cuenta los cambios que sufrieron desde el último respaldo. Por ejemplo, imagina que has realizado un backup completo. Una vez terminado decides continuar con un backup progresivo y creas dos archivos nuevos. El backup progresivo detectará que todos los archivos del backup completo son los mismos y procederá a copiar solamente los dos archivos nuevos que fueron creados. Por lo tanto, el backup progresivo representa un ahorro de tiempo y de espacio, ya que siempre habrá menos archivos para ser respaldados que si se llevara adelante un backup completo. Recomendamos que esta estrategia de backup no sea ejecutada manualmente.

Backup diferencial

El diferencial tiene la estructura básica del backup progresivo, es decir, hace copias de seguridad solo de los archivos que sufrieron alguna modificación o que son nuevos. El cambio en este modelo de backup está en que todos los archivos creados después del backup completo siempre serán copiados nuevamente. Debido a las similitudes con el modelo anterior, tampoco se recomienda que el proceso se realice manualmente.

Dónde realizar el backup

Una vez que elegimos el tipo de backup que más se ajusta a nuestras necesidades, es importante definir dónde será almacenado. En este sentido, los soportes más utilizados para el almacenamiento de la información varían con el paso de los años. De hecho, ya se han realizado respaldos en disquetes, CDs, DVD,s, cintas magnéticos, discos Blu-Ray, discos rígidos externos, servicios de almacenamiento en la nube, entre otros. Una pregunta que debe responderse a la hora de decidir dónde será almacenada la copia de seguridad es: ¿por cuánto tiempo voy a tener que guardar ese respaldo? Según cuál sea la respuesta, será más sencillo determinar el medio en el cual almacenar los archivos.

La siguiente tabla contiene un estimativo de la vida útil de distintos sistemas de almacenamiento:

MedioFecha de creaciónVida útilCapacidad
HD19565 – 10 añosGB hasta TB
Disquete19713-5 añosCentenas de KB hasta algunos MB
CD/CD-ROM197925 – 50 años80 minutos o 700 MB
MD (Mini Disc)199125 – 50 años60 minutos o 340 MB
DVD1994/199525 – 50 años4.7 GB
Tarjeta SD199410 años o másPocos MB a decenas de GB
Pendrive200010 años o másPocos MBs a decenas de GB
SSD1970-199010 o másGB hasta TB

Fuente: showmetch.com.br

Si bien ya tenemos algo de información que nos ayudará a mantener una rutina de backup estable y funcional, algunos todavía se preguntarán si realmente es necesario hacerlo y por qué es considerado tan esencial.

Dado que para responder a esta pregunta adecuadamente es necesario conocer las necesidades de cada empresa u hogar, a continuación, planteamos dos escenarios ficticios que servirán para ejemplificar instancias en las que el backup adquiere un gran valor.

Para empresas

El año es 2021, la empresa Empresa Ficticia Co. comenzó sus actividades a las ocho de la mañana como de costumbre. Cerca de las 11 horas, uno de los responsables de TI escucha un ruido diferente en un sector próximo. Su teléfono suena inmediatamente después del ruido. Al atender el llamado se da cuenta que la estación de trabajo está totalmente paralizada y lee un mensaje en la pantalla que le informa que los datos fueron cifrados. El mismo mensaje es exhibido en algunas de las otras máquinas ubicadas en este y otros sectores de la empresa, hasta que llega la noticia de que el servidor de archivos de la empresa se detuvo como consecuencia del mismo problema: el ransomware WannaCry.

En este ejemplo ficticio, la empresa, que dependía de su servidor de archivos para poder operar, podría fácilmente no haber sufrido la paralización de sus sistemas, provocado por el ataque del ransomware, si hubiese una copia de seguridad del servidor de archivos.

Ejemplo hogareño

El señor Despreocupado da Silva estaba mirando la televisión sentado en el sofá de su casa, cuando de repente sintió nostalgia y le dieron ganas de ver las fotos de su casamiento y el nacimiento de su hijo. Cuando se dispone a ver las fotos comienza a llover. Una vez que termina de verlas, el señor Despreocupado va hacia la cocina para comer algo y deja la computadora enchufada a la corriente. De repente, se escucha el estruendo de un rayo que cae cerca y de repente se corta la luz. Al día siguiente, luego de que el suministro eléctrico vuelve a la normalidad, descubre que el disco rígido de su computadora se rompió y que todos sus recuerdos fotográficos se habían perdido.

Incluso en el hogar es posible utilizar un disco rígido externo o un pendrive para hacer una copia de seguridad de todo lo que es considerado de valor. Si bien en el ejemplo el incidente ocurre como consecuencia del corte de una intermitencia eléctrica, los factores que pueden provocar la pérdida de información son muchos, y en cualquier caso, haber realizado un backup periódico habría evitado la pérdida de los datos.

Si existe información que no puede perderse, el backup es una solución eficiente para evitar que eso suceda.

Errores comunes a la hora de realizar un backup

Ahora que ya vimos algunos aspectos relacionados a la importancia del backup, a continuación, ofrecemos algunas recomendaciones y repasamos algunos errores comunes que suelen cometerse durante el proceso.

No hacer backup

Ese es sin dudas el error más común. Muchas veces el respaldo no se realiza por negligencia o por creer que la información no era importante, al menos hasta que se perdieron.

Dejar el backup en el mismo equipo en el que estaban los archivos originales

La idea del backup es crear una copia de seguridad. Esta copia debe ser mantenida en un lugar diferente al que contiene los archivos originales. En caso de que estén en el mismo equipo, se perderán tanto los archivos originales como los que fueron respaldados.

No validar la integridad del backup

Realizar un backup involucra una serie de procesos. No es suficiente con solo crear una copia, sino que es necesario verificar los archivos para asegurarse que los datos guardados estarán accesibles en caso de necesidad. Dependiendo de la forma en que el backup fue realizado, que generalmente es un archivo comprimido, el mismo puede corromperse, y en tal caso deberá realizarse un nuevo backup.

No ejecutar el backup periódicamente

Es importante que las copias de seguridad sean realizadas de forma recurrente, principalmente si la información respaldada recibiera constantes actualizaciones. Si, por ejemplo, el backup de un documento de texto en el que se está escribiendo un libro solo se realiza el primer día del mes y 15 días después el archivo se pierde, apenas se habrá conservado una copia de dos semanas de antigüedad y se habrá perdido todo el esfuerzo realizado en la siguiente quincena.

No controlar los archivos del backup

Después de haber realizado una copia de seguridad, mantenga un control de qué archivo pertenece a cada equipo. En caso de que sea necesaria la recuperación de datos es clave que los mismos no sean restaurados en un equipo equivocado.

Publicado en: https://www.ciberforense.com.es/?p=2423

Jun 21

Píldora nº 5. Píldoras semanales sobre Ciberseguridad para usuarios.

Desde la entrada en vigor del RGPD, se han multiplicado los debates sobre el riesgo de brechas de datos”, afirma Eran Brown, Chief Technology Officer de INFINIDAT EMEA. Y no es de extrañar. La nueva ley de protección de datos pone énfasis en el usuario y sus derechos lo que afecta directamente a las empresas que, más que nunca, están obligadas a proteger los datos personales de manera proactiva.

Ante un escenario “de alto riesgo” en el que las empresas deben proteger sus activos de constantes ataques, INFINIDAT ha querido compartir un listado de tres desafíos críticos que, a juicio de sus expertos, deben tener en cuenta las empresas para evitar la pérdida de datos debido a ataques de ransomwarey cumplir con las estrictas regulaciones que establece el RGPD. Se considera que se produce una brecha de datos cuando un tercero no autorizado accede a datos

personales de clientes manejados por una empresa; una pérdida de datos, por su parte, supone que es la propia empresa la que ve interrumpido su acceso a los datos personales de sus clientes.

En los últimos años, la causa más común de la pérdida de datos personales han sido los ataques de ransomware, con nombres como WannaCry, Petya, o CryptoLock. Tanto que en 2017 las campañas de ransomware fueron los ataques de malware más comunes. En algunos sectores, como el sanitario, este porcentaje superó el 70%. Dada esta situación, y con muchos retos a los que enfrentarse, existen algunos aspectos que deben ser considerados por los responsables de las organizaciones a fin de desarrollar una estrategia sólida:

1.       Detección de los ataques

Los ataques de ransomware modernos pueden permanecen ocultos durante largos periodos de tiempo antes de ser detectados, con el objetivo de cifrar el mayor número de datos. Luego el malware bloquea al usuario y solicita un “rescate” utilizando como divisa una criptomoneda. Este comportamiento es muy eficiente, pero también es el talón de Aquiles del ataque: dado que los cambios se acumulan con el tiempo, es posible detectar el malware si se utiliza un mecanismo de rastreo.

Los snapshots, que generalmente consumen porcentajes muy reducidos del volumen total de los datos, comenzarán a “inflarse”, al consumir más capacidad. Si el sistema de almacenamiento proporciona algún tipo de monitorización y alarmas sobre consumo de capacidad, la organización podrá detectar fácilmente este aumento y reaccionar antes de que los atacantes puedan bloquear a los usuarios.

2.       Respuesta a los ataques

Si, por ejemplo, el ataque de ransomware ha sido capaz de cifrar 100 Terabytes de datos durante una semana, los backups ejecutados durante esa semana también se verán comprometidos, y no podrán utilizarse para recuperar los datos. Por tanto, los administradores se verán obligados a recuperar 100 TB de información a través de la red desde un sistemas de backup, lo que probablemente llevará horas, y sin garantías de que la recuperación no contenga archivos corruptos.

Pero, al mismo tiempo, el tamaño del snapshot sugerirá inmediatamente si contiene datos cifrados. Por tanto, si una organización utiliza snapshots, podrá acceder a ellos, testarlos en sus propias instalaciones y recuperar el snapshot correcto, reduciendo así el tiempo de recuperación de días a minutos.

3.       Prevención ante la explosión en el volumen de almacenamiento

Un vector de riesgo que a veces no se considera en el contexto del ransomware es que la capacidad adicional que consume durante su tiempo “silencioso” aumenta la carga sobre los arrays de almacenamiento existentes, en promedios de entre un 80% y un 100%, lo que, obviamente, bloqueará las aplicaciones corporativas.

Disponer de un array de mayor capacidad ofrecerá a los administradores un mayor tiempo para identificar y responder ante los ataques de ransomware. Pero, al mismo tiempo, también conllevará un mayor nivel de consolidación de datos y, por tanto, requerirá una mayor fiabilidad. La arquitectura de doble controlador, diseñada en la década de los 90 del siglo pasado para entornos de unos pocos terabytes, no puede proporcionar este nuevo nivel de fiabilidad que se requiere en la era del Petabyte. Almacenamiento y protección de datos: un nuevo modelo para combatir el Ransomware.

Si bien en los sistemas InfiniBox de INFINIDAD el hardware se comparte entre los usuarios, estos sistemas ofrecen también capacidad bajo demanda basada en pools de capacidad que permiten a los clientes separar las diferentes aplicaciones críticas, lo cual garantiza que el aumento en los requerimientos de capacidad en un área corrompida por el ransomware no afectará al rendimiento de otras aplicaciones. “Es algo similar a lo que hacemos cuando segmentamos una red para evitar que los ataques se muevan entre hosts”, explica Eran Brown.

Además de esta segmentación, InfiniBox brinda protección a nivel del sistema, ya que la capacidad disponible está centralizada, en lugar de distribuirse entre múltiples arrays, lo cual reduce el tiempo necesario para detectar y reaccionar a ataques de ransomware.

      

Jun 14

Píldora nº 4. Píldoras semanales sobre Ciberseguridad para usuarios.

Originalmente publicada: https://www.ciberforense.com.es/?p=246

Cómo minimizar los riesgos de un ataque de “malware”…. gran pregunta…….

1ª Premisa: Copia de Seguridad, tanto local y en la nube Esta premisa es la fundamental. Un buen protocolo de copias de seguridad debe de incluir, como mínimo, dos copias: una en local y otra en un servidor externo en la “nube”, con una periodicidad diaria, semanal y mensual, de los datos más importantes de la empresa. No debiéramos de escatimar – ni un euro- en las copias de seguridad. Con esta premisa, pase lo que pase, aunque se pierda tiempo en la recuperación de datos, estaríamos “on line” en un corto período de tiempo y funcionando con unas pérdidas mínimas.

2ª Premisa: Utiliza la opción de “Restauración del Sistema”  En windows  lo tienes en: Panel de control > Sistema y mantenimiento > Copia de seguridad y restauración. Si aún no la has activado, es conveniente que lo actives de inmediato, en caso de una infección siempre podrás revertir el proceso y volver a un estado del sistema sin infección. Hay que tener cuidado….   las últimas versiones de ramsonware pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.

3ª Premisa: Desactiva de la conexión a la red: Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor  antes de que termine de cifrar tus archivos.

4ª Premisa: Programa antimalware y cortafuegos que ayuden a identificar amenazas y conductas sospechosos. Tienes algunas utilidades muy buenas tanto libres como de pago que ayudarán a la identificación de posibles amenazas.

5ª Premisa: Programa de Antivirus. Imprescindible. Actualizaciones automáticas y definiciones de virus. Este te permitirá analizar los archivos adjuntos del programa de correo electrónico, una de las más comunes via de infección de este tipo de malware.

6ª Premisa: Deshabilita el acceso al escritorio en remoto. El ramsonware en general, accede a los ordenadores mediante el Protocolo de escritorio remoto (RDP), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota.

7ª Premisa: Se pueden crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data, tal y como indica ESSET.

8ª Premisa: Programas legítimos y actualizados. Al tener los programas actualizados evitaremos las posibles vulnerabilidades que vayan apareciendo y que puedan usar un exploit y puedan ingresar en el sistema sin enterarnos. Activa las actualizaciones automáticas en tu SO, es la mejor opción.

 En definitiva, seguir las premisas anteriores, excepto la 1ª no nos salvará en un 100% de una posible infección pero sí que reducirá drásticamente el porcentaje. En caso de haber ocurrido, si hemos seguido la 1ª premisa “Copias de Seguridad” nuestro negocio estará seguro ya que los datos los podremos recuperar aunque perdamos tiempo en formatear equipos e instalar de nuevo todo el software.

Jun 07

Píldora nº 3. Píldoras semanales sobre Ciberseguridad para usuarios básicos.

El artículo original fue publicado en el siguiente enlace https://www.welivesecurity.com/la-es/2021/05/21/que-es-ransomware/ un artículo muy interesante y bastante completo que explica de una manera clara, perfecto para usuarios, que es, como se propaga, qué tenemos que tener en cuenta y cómo protegerse.

El término ransomware hace referencia a un tipo de malware que luego de comprometer un equipo secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras ransom (rescate) y software.

A continuación, te contamos todo lo que necesitas saber sobre esta amenaza informática que en el último tiempo ha tenido un crecimiento importante y que luego de lo que fue el brote de WannaCry allá por 2017, está generando un impacto significativo en la ciberseguridad afectando a pequeñas, medianas y grandes empresas de varias industrias, así como organismos gubernamentales, instituciones educativas y de salud en todo el mundo.

Tabla de contenidos de este artículo:

¿Cómo funciona el Ramsomware?

Existen diferentes tipos de Ramsomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo al método de extorsión del que se valgan:

  • Ransomware de cifrado o criptoransomware: utiliza la criptografía para cifrar los archivos del equipo comprometido impidiendo que el usuario pueda acceder a ellos. Este tipo de ransomware es el más común, el más moderno, y el más efectivo y, aunque pueda removerse del equipo con facilidad, la información que se ha visto comprometida es difícil o -mayormente- imposible de recuperar. Usualmente busca atacar extensiones de archivo que sean de interés para los usuarios, como archivos de ofimática, multimedia, bases de datos, etcétera. También es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. El principal síntoma de un equipo comprometido por un criptoransomware es el cambio de extensión en los archivos y la imposibilidad para abrirlos.
  • Ransomware de bloqueo de pantalla o lockscreen: no muy frecuente en la actualidad, aunque siguen siendo populares en arquitecturas como teléfonos y tabletas con Android, el objetivo de este tipo de ransomware es impedir la utilización y el acceso al equipo hasta que se realice el pago del rescate. Los primeros Ransomware de propagación masiva formaban parte de esta categoría y utilizaban técnicas sencillas para tomar control de la pantalla del equipo. Esta forma primitiva de ransomware es más fácil de remover y suele tener consecuencias menores para los usuarios.

¿Cómo llega el ransomware a infectar un equipo?

A grandes rasgos, en el mundo del cibercrimen encontramos tanto campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.

La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits—, así como también  dispositivos USB, descarga de software pirata, entre otros.

Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman a la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.

Al pagar el rescate, ¿se descifran los archivos?

Si bien es posible que se restituya el acceso a los archivos una vez pagado el rescate, es una práctica desalentada ya que no solo se está contribuyendo a la continuación de una actividad delictiva, sino que además nada puede garantizar la recuperación de los archivos e incluso podría motivar futuros intentos de ataque ahora que los criminales conocen que la víctima está dispuesta a pagar. Por estas razones, apelamos a la prevención e inversión en seguridad para reducir al mínimo el riesgo de un ataque.

No uso Windows… ¿Estoy a salvo del ransomware?

No, igual eres vulnerable.

El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas. No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas. En parte esto se debe a que los ataques son dirigidos a blancos previamente analizados y que, según el criterio de los atacantes, o cuentan con los recursos para hacer frente al pago del rescate o estiman que las consecuencias que un ataque puede tener sobre un blanco en particular provocará una presión suficiente para que se inclinen por la opción de pagar.

Aunque existe una mayor variedad de ransomware para plataformas de Microsoft, también los hay para equipos de Apple, distribuciones de Linux, teléfonos móviles y demás arquitecturas de la Internet de las Cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y buenas prácticas en el uso de todos sus equipos.

Ransomware: una amenaza en constante evolución

Además del cambio de enfoque que han tenido en los últimos años pasando de los ataques masivos a los ataques dirigidos, con el paso del tiempo los atacantes también fueron añadiendo más características para aumentar la peligrosidad y efectividad de sus creaciones. Un ejemplo de ello es el infame WannaCry que en 2017 paralizó centenas de sistemas a nivel mundial en un ataque sin precedentes y fue definido como el primer “ransomworm”; es decir, un tipo de ransomware con propiedades de gusano capaz de propagarse a sí mismo sin la ayuda del usuario sacando provecho de fallas de seguridad presentes en otros equipos de la misma red. En el caso de WannaCry, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows.

A fines de ese mismo año, también se identificó otro tipo de ransomware, denominado Wiperware, un tipo de malware que se asemeja a los criptoransomware, pero que además de cifrar la información también intenta cifrar -generalmente con éxito- el registro principal de arranque o MBR (Master Boot Record), dejando inutilizable el sistema operativo.

Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware que hoy es una realidad: esta nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Esto sin duda aumenta la presión sobre los afectados, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Tal como explica el ESET Quarterly Threat, los operadores detrás del ransomware Maze fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esta modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son las llamadas en frío y los ataques de DDoS.

Por otra parte, la direccionalidad de los ataques llevó a los cibercriminales a evolucionar hacia una mayor sofisticación y planificación. Ahora necesitan estudiar en profundidad a los blancos a los que apuntan, lo que implica en muchos casos un período en el que los atacantes, luego del compromiso inicial, exploran la red con el objetivo de recopilar información de interés y conocer los recursos de la víctima para luego en un momento liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar el monto máximo que una víctima podría pagar por el rescate.

Otro aspecto que vale la pena señalar como parte de esta evolución es el Ransomware as a Service (RaaS), un modelo que permite que actores maliciosos sin grandes conocimientos técnicos puedan iniciar una campaña de ransomware al contratar la creación de malware como un servicio o sumarse como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias. Este modelo, de gran auge en la actualidad, se descubrió tiempo atrás a través de una herramienta denominada Tox, la cual permitía la creación de este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza.

De la misma manera, el ransomware de código abierto (cuyo primer referente fue llamado Hidden Tear), desencadenó nuevos escenarios para el desarrollo de este tipo de programas maliciosos y sus variantes, donde es posible la rápida creación de malware cada vez más sofisticado y masivo mediante la mejora de código preexistente.

¿Qué hacemos si ya sufrimos esta amenaza?

El curso de acción a seguir tras verse comprometido por ransomware dependerá de las medidas de seguridad que se hayan tomado antes de sufrir el incidente. Si se cuenta con un backup, es posible restaurar la información desde allí. Si el backup está desactualizado, cabe evaluar cuánta información puede restaurarse y, de ser suficiente, evitar el pago. Si no se posee backup o este fue igualmente comprometido, quedará en manos de las víctimas decidir si desean correr el riesgo de efectuar el pago. Como mencionamos anteriormente, esta es una práctica que desaconsejamos.

Si tenemos la habilidad necesaria, podemos extraer la muestra de ransomware del equipo para identificar qué variante especifica es la que ha logrado colarse dentro del sistema, utilizando servicios como VirusTotal para analizar el archivo. También podemos escanear nuestro equipo con una solución de seguridad -si es que no tenemos ninguna ya- para que detecte el código malicioso y nos informe a qué familia de ransomware pertenece. Una vez que tengamos esta información, podemos utilizar motores de búsqueda para ver si existe alguna herramienta que nos permita recuperar los archivos. ¡Cuidado! Muchas páginas prometen herramientas de descifrado de archivos, pero en realidad buscan aprovecharse del pánico de los usuarios para instalar más malware en el equipo. Siempre dirígete a sitios de confianza. Ten en cuenta que, a decir verdad, para la mayor parte del ransomware no existe forma de recuperar los archivos una vez que estos se han visto afectados.

Otro consejo que puedes adoptar si te has convertido en víctima de ransomware es ejecutar algún programa como Recuva o ShadowExplorer, ya que algunas muestras obsoletas de ransomware utilizan un borrado inseguro de archivos que le permite a las víctimas recuperarlos con herramientas para restauración de archivos. Ten en cuenta que estas técnicas de recuperación de archivos ya son bien conocidas por los atacantes, y las nuevas versiones de ransomware se aseguran de que no se puedan recuperar los archivos de esta manera.

De cualquier modo, algo que siempre debe realizarse tras un incidente de seguridad es un análisis de este para determinar por qué ocurrió y corregir la situación a futuro para evitar nuevos ataques. La clave para combatir al ransomware es la prevención.

¿Cómo se protege un usuario hogareño del ransomware?

La forma más sencilla de poder asegurar un equipo sin tener los conocimientos técnicos es mediante la instalación de una solución de seguridad que nos permita bloquear intentos de explotación de vulnerabilidades, ejecución de malware o acceso a sitios peligrosos.

Es importante actualizar todas las apps y sistemas operativos para asegurarnos de instalar los últimos parches de seguridad. Además, tener un backup de la información al día es crucial para poder hacer frente al ransomware.

También se recomienda tener cuidado con los adjuntos en correos electrónicos y demás enlaces que podamos encontrar durante la navegación en Internet. Los sitios fraudulentos intentarán apelar a ganarse la confianza del usuario haciéndose pasar por entidades de renombre, ofreciendo premios y promociones, o atendiendo al miedo en los usuarios. Por ejemplo, campañas de propagación de malware utilizaron la pandemia para difundir troyanos haciéndolos pasar por autoridades sanitarias locales.

Como consejo final, utilizar herramientas de cifrado de archivos sensibles, como fotos, videos y documentos personales, puede ayudar a evadir la presión extra si los atacantes deciden extorsionar a las víctimas con la publicación en línea de los archivos.

¿Cómo pueden las empresas protegerse ante esta amenaza?

El concepto de sistema seguro ha ido cambiando a medida que evoluciona la tecnología y el cibercrimen. En la actualidad sabemos que la seguridad de la información se obtiene como resultado a una combinación de capas de protección cuidadosamente desplegadas. El aislado hecho de instalar una solución de seguridad no será suficiente por sí solo, ya que la superficie de exposición de las empresas y personas ha aumentado de manera drástica.

Las empresas deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Así, un correcto análisis de riesgo se traducirá en la instalación de soluciones de seguridad para la detección de infecciones (antimalware), la gestión de copias de respaldo, la protección de los procesos de autenticación en las redes empresariales mediante doble factor de autenticación, el despliegue de soluciones de sistemas de prevención, detección y monitorización, el cifrado de los archivos, la realización de inteligencia de amenazas, entre otros. La adecuación de las herramientas necesarias para crear una arquitectura de seguridad en profundidad (es decir, seguridad por capas) serán decisivas en la pronta detección de amenazas.

La adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios. Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.

En particular, algunos consejos básicos para protegerse del ransomware son los siguientes:

  • Tener una copia de respaldo actualizada

La herramienta más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los documentos que estaban infectados, estamos previniendo llegar al punto de pagar para solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se debe diseñar una buena política de respaldo para evitar esta situación.

  • Instalar una solución de seguridad

Siempre es una buena idea tener un software antimalware y un firewall para identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes de códigos conocidos para evadir la detección, por lo que es importante contar con ambas capas de protección.

  • Utilizar herramientas para el cifrado de archivos

El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.

  • Capacitar al personal sobre los riesgos

A nivel empresarial, es necesario acompañar la inclusión de tecnologías de defensa con la creación de planes de capacitación para alertar al personal sobre los riesgos que existen en línea y cómo evitarlos.

  • Mostrar las extensiones ocultas por defecto

Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar archivos sospechosos.

  • Analizar los adjuntos de correos electrónicos

Gran parte de las infecciones por ransomware se inician con un adjunto en un correo electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble extensión, o cualquier otra extensión referente a un ejecutable.

  • Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás infecciones por muchas variantes de ransomware, y también infecciones de malware en general.

  • Deshabilitar RDP cuando no sea necesario

El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede deshabilitarse para proteger tu máquina del acceso indebido.

        Y LA PRÓXIMA SEMANA……….    Ransomware: prevenir antes que curar

     “La alegría de ver y entender es el más perfecto don de la naturaleza.

ALBERT EINSTEIN

May 31

Píldora nº 2. Píldoras semanales sobre Ciberseguridad para usuarios básicos de empresa.

PÍLDORA SEMANAL: HÁBITOS PRACTICOS SOBRE CIBERSEGURIDAD.

PARTE 2ª      QUÉ ES EL PHISING?

La palabra “phishing” es similar a “pescar” debido a la analogía de usar cebo para intentar atrapar a las víctimas y recolectar información confidencial

Por información confidencial nos referimos a cualquier cosa que abarque desde su número de seguro social hasta contraseñas, número de cuenta bancaria, detalles de la tarjeta de crédito, número PIN, domicilio, cuentas en redes sociales, cumpleaños, apellido de soltera de la madre, etc.

Con el fin de utilizar esta información para realizar daños financieros, robo de identidad, obtener acceso ilegal a diferentes cuentas, chantaje, y un largo , etc…

¿Cómo funciona el Phishing?

Los atacantes utilizan diferentes métodos de engaño en las estrategias de phishing.

Por ejemplo , crearán mensajes y sitios web falsos, que imitan a los originales. Y con ello, intentarán atraernos para que entreguemos nuestra información personal. Nos pedirán responder, seguir un enlace incluido en un mensaje o descargar un archivo adjunto.

En primera instancia, la comunicación parece ser iniciada por una persona o empresa legítima. Los famosos ataques de phishing imitan, por no decir copian a la perfección mensajes de instituciones financieras/bancos en su mayoría , pero no siempre, agencias gubernamentales , minoristas y servicios en línea ( Amazon, eBay, PayPal … ), redes sociales ( Facebook … ) o incluso de un amigo o colega.

Para que el phishing parezca original , los atacantes incluyen fotos e información del sitio web original. Incluso pueden redirigirlo al sitio web de la empresa y recopilar los datos a través de una ventana emergente falsa. O puede ocurrir al revés: primero solicitan los datos personales y luego nos redirigen al sitio web real, lo que en muchos casos , nos hace no percatarnos. Otras veces, nos dicen que hemos sido blanco de una estafa y que necesitamos actualizar nuestra información con urgencia para mantener nuestra cuenta segura.

Todos estos trucos ( Y son una parte diminuta ) minimizarán las posibilidades de que nos demos cuenta de lo que sucedió a la hora del engaño.

El phishing se ha convertido en una forma de propagar malware. Los atacantes remiten contenido malicioso o C&C a través de los archivos adjuntos o enlaces en los que nos intentan engañarnos para que hagamos clic en ellos.

Aunque el phishing se transmite principalmente por correo electrónico, también puede funcionar a través de otros medios. En los últimos años, y ahora más que nunca por la activación de la PSD2,  los ciberdelincuentes se han centrado en los ataques de phishing realizados a través de servicios de mensajería instantánea, SMS, redes sociales, mensajes directos en juegos y muchos otros.

El phishing es popular entre los ciberatacantes porque es más fácil engañar a alguien para que haga clic en un enlace o descargue archivos adjuntos que intentar entrar en las defensas de su sistema. Esto consigue muy bien su cometido. He empezado a leerme/estudiar el CISM de ISACA, y en las primeras página ya nos indica, que nuestra seguridad, es tan frágil, como el eslabón más frágil de la cadena, y es hay donde el phishing ataca directamente.

Funciona porque apelan a las emociones. Promete grandes ofertas o alerta de que podemos tener un problema con nuestras cuentas bancarias, o peor aún , uno de los enlaces que os indique, que trata sobre los ERTEs , jugando con el sufrimiento de no disponer temporalmente de trabajo.

Pero no todo es emoción, también es muy efectivo porque más del 50% de los usuarios usan las mismas contraseñas para diferentes cuentas, por no decir que usan la misma para todo. Esto facilita que los ciberdelincuentes tengan acceso a fácilmente a todos nuestros recursos una vez se hacen con las credenciales de una víctima.

        Y LA PRÓXIMA SEMANA………. CÓMO PREVENIR EL PHISING…

“LA VIDA ES MUY PELIGROSA. NO POR LAS PERSONAS QUE HACEN EL MAL, SINO POR LAS QUE SE SIENTAN A VER LO QUE PASA”

ALBERT EINSTEIN

May 24

Píldora nº 1. Píldoras semanales sobre Ciberseguridad para usuarios básicos de empresa.

PÍLDORA SEMANAL: HÁBITOS PRACTICOS SOBRE CIBERSEGURIDAD.

PARTE 1ª

  • Contraseñas seguras: Bajo ningún concepto guardaremos las contraseñas de acceso a nuestros sistemas en texto plano, es decir, NO estarán visibles en post-it pegados en los monitores ni escritas en papel ni guardadas en algún cuaderno. En caso de que las guardemos digitalmente en el ordenador o en el dispositivo externo que utilicemos para las copias de seguridad, SIEMPRE DEBERÁN DE ESTAR ENCRIPTADAS, bien utilizando un programa compresor con ZIP o RAR y poner una buena contraseña o la utilización de un programa específico para encriptar como puede ser VERACRYPT.
  • Evitar el uso externo de dispositivos USB de almacenamiento. La conexión de un dispositivo externo de almacenamiento en un ordenador puede suponer un foco de entrada de malware que pueda infectar el sistema y por consiguiente la red local a la cual está conectado. Se recomienda NO conectar ningún dispositivo personal. El dispositivo que se conecte, debería de ser utilizado EXCLUSIVAMENTE para realización de algún tipo de copia de seguridad y SOLAMENTE para esa tarea, almacenándose en un cajón preferentemente cerrado con llave.
  • Evitar el acceso a páginas de acceso no seguro (http): Evitaremos acceder a cualquier página que no se “acceda” de manera segura, es decir, que en el encabezado de la URL de la página a visitar aparezca “HTTP”. Siempre comprobaremos que el acceso a esa página empiece por “HTTPS” y aparezca el candado cerrado al principio de la barra de búsqueda. Actualmente los navegadores no permiten acceder a páginas que no sean seguras pero aún así deberemos de estar atentos. EVITAREMOS hacer click en cualquier enlace sospechoso que no estemos seguros.
  • Cerrar correctamente la sesión: Cerraremos siempre la sesión de  cualquier dispositivo y apagaremos el sistema de forma correcta. En caso de que haya algún problema en el cierre de la sesión o del sistema, se deberá de poner en contacto con la persona encargada del sistema para solucionarlo. El cierre de la sesión debe de ir precedido del cierre de todos los programas que hayamos utilizado.

May 22

Artículo: Ransomware: qué es y cómo funciona | WeLiveSecurity

Artículo publicado en el siguiente enlace https://www.welivesecurity.com/la-es/2021/05/21/que-es-ransomware/ un artículo muy interesante y bastante completo que explica de una manera clara, perfecto para usuarios, que es, como se propaga, qué tenemos que tener en cuenta y cómo protegerse.

El término ransomware hace referencia a un tipo de malware que luego de comprometer un equipo secuestra su información para extorsionar a las víctimas, solicitando el pago de una suma de criptomonedas para recuperar esos datos. La palabra es un acrónimo de las palabras ransom (rescate) y software.

A continuación, te contamos todo lo que necesitas saber sobre esta amenaza informática que en el último tiempo ha tenido un crecimiento importante y que luego de lo que fue el brote de WannaCry allá por 2017, está generando un impacto significativo en la ciberseguridad afectando a pequeñas, medianas y grandes empresas de varias industrias, así como organismos gubernamentales, instituciones educativas y de salud en todo el mundo.Tabla de contenidos de este artículo:

¿Cómo funciona el ransomware?

Existen diferentes tipos de ransomware según las acciones que realizan en el equipo una vez que logran comprometerlo y de acuerdo al método de extorsión del que se valgan:

  • Ransomware de cifrado o criptoransomware: utiliza la criptografía para cifrar los archivos del equipo comprometido impidiendo que el usuario pueda acceder a ellos. Este tipo de ransomware es el más común, el más moderno, y el más efectivo y, aunque pueda removerse del equipo con facilidad, la información que se ha visto comprometida es difícil o -mayormente- imposible de recuperar. Usualmente busca atacar extensiones de archivo que sean de interés para los usuarios, como archivos de ofimática, multimedia, bases de datos, etcétera. También es capaz de cifrar unidades extraíbles y unidades de red mapeadas dentro del computador. El principal síntoma de un equipo comprometido por un criptoransomware es el cambio de extensión en los archivos y la imposibilidad para abrirlos.
  • Ransomware de bloqueo de pantalla o lockscreen: no muy frecuente en la actualidad, aunque siguen siendo populares en arquitecturas como teléfonos y tabletas con Android, el objetivo de este tipo de ransomware es impedir la utilización y el acceso al equipo hasta que se realice el pago del rescate. Los primeros ransomware de propagación masiva formaban parte de esta categoría y utilizaban técnicas sencillas para tomar control de la pantalla del equipo. Esta forma primitiva de ransomware es más fácil de remover y suele tener consecuencias menores para los usuarios.

¿Cómo llega el ransomware a infectar un equipo?

A grandes rasgos, en el mundo del cibercrimen encontramos tanto campañas de malware que buscan distribuir un malware de manera masiva y aleatoria, y también ataques dirigidos que emplean códigos maliciosos para afectar a empresas y organizaciones de todo tipo de industrias.

La forma de distribución más común del ransomware es a través de correos de phishing con archivos adjuntos o enlaces que intentan engañar a los usuarios mediante ingeniería social para convencerlos de descargar la amenaza. Otras formas de distribución son mediante ataques a conexiones remotas, como el Protocolo de Escritorio Remoto (RDP), aprovechando el uso de contraseñas débiles. También a través de la explotación vulnerabilidades —por ejemplo, mediante sitios web comprometidos utilizados para redirigir a sus visitantes a diferentes tipos de exploits—, así como también  dispositivos USB, descarga de software pirata, entre otros.

Como podemos deducir de lo anterior, gran parte de los ataques comienza con el engaño de las personas que hacen uso del sistema, utilizando alguna de las numerosas técnicas que conforman a la Ingeniería Social, y también mediante ataques a conexiones remotas como el RDP. No obstante, los atacantes también pueden procurar hacerse del control remoto del sistema aprovechando vulnerabilidades en equipos desactualizados, mal configurados y/o sin ninguna solución de seguridad instalada.

Al pagar el rescate, ¿se descifran los archivos?

Si bien es posible que se restituya el acceso a los archivos una vez pagado el rescate, es una práctica desalentada ya que no solo se está contribuyendo a la continuación de una actividad delictiva, sino que además nada puede garantizar la recuperación de los archivos e incluso podría motivar futuros intentos de ataque ahora que los criminales conocen que la víctima está dispuesta a pagar. Por estas razones, apelamos a la prevención e inversión en seguridad para reducir al mínimo el riesgo de un ataque.

No uso Windows… ¿Estoy a salvo del ransomware?

No, igual eres vulnerable.

El motivo principal para la generación de malware es el rédito económico. Por ello, los atacantes suelen generar mayor cantidad de códigos maliciosos para las plataformas más utilizadas y con mayor cantidad de potenciales víctimas. No obstante, en los últimos años los ataques de ransomware dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. De hecho, en el último tiempo aumentaron considerablemente los montos que solicitan los atacantes a las víctimas. En parte esto se debe a que los ataques son dirigidos a blancos previamente analizados y que, según el criterio de los atacantes, o cuentan con los recursos para hacer frente al pago del rescate o estiman que las consecuencias que un ataque puede tener sobre un blanco en particular provocará una presión suficiente para que se inclinen por la opción de pagar.

Aunque existe una mayor variedad de ransomware para plataformas de Microsoft, también los hay para equipos de Apple, distribuciones de Linux, teléfonos móviles y demás arquitecturas de la Internet de las Cosas (IoT). Por eso es tan importante que los usuarios adopten herramientas de protección y buenas prácticas en el uso de todos sus equipos.

Ransomware: una amenaza en constante evolución

Además del cambio de enfoque que han tenido en los últimos años pasando de los ataques masivos a los ataques dirigidos, con el paso del tiempo los atacantes también fueron añadiendo más características para aumentar la peligrosidad y efectividad de sus creaciones. Un ejemplo de ello es el infame WannaCry que en 2017 paralizó centenas de sistemas a nivel mundial en un ataque sin precedentes y fue definido como el primer “ransomworm”; es decir, un tipo de ransomware con propiedades de gusano capaz de propagarse a sí mismo sin la ayuda del usuario sacando provecho de fallas de seguridad presentes en otros equipos de la misma red. En el caso de WannaCry, aprovechando una vulnerabilidad conocida como EternalBlue que afectaba al servicio de archivos compartidos de Windows.

A fines de ese mismo año, también se identificó otro tipo de ransomware, denominado Wiperware, un tipo de malware que se asemeja a los criptoransomware, pero que además de cifrar la información también intenta cifrar -generalmente con éxito- el registro principal de arranque o MBR (Master Boot Record), dejando inutilizable el sistema operativo.

Hacia fines del 2019 comenzó a observarse una tendencia en los ataques de ransomware que hoy es una realidad: esta nueva modalidad hace uso de una técnica conocida como doxing, que consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. Esto sin duda aumenta la presión sobre los afectados, ya que no solo se trata de recuperar la información cifrada, sino también evitar que los datos robados se hagan públicos. Tal como explica el ESET Quarterly Threat, los operadores detrás del ransomware Maze fueron los primeros en adoptar la práctica de doxing en sus ataques. Si bien sus campañas comenzaron a detectarse desde mayo de 2019, a partir de octubre comenzaron a incluir la filtración de información de la víctima como parte de la amenaza. Poco tiempo después, esta modalidad extorsiva fue adoptada por una gran cantidad de grupos de ransomware que a su vez sumaron otras modalidades extorsivas para aquellas víctimas que no estén interesadas en llegar a un acuerdo, como son las llamadas en frío y los ataques de DDoS.

Por otra parte, la direccionalidad de los ataques llevó a los cibercriminales a evolucionar hacia una mayor sofisticación y planificación. Ahora necesitan estudiar en profundidad a los blancos a los que apuntan, lo que implica en muchos casos un período en el que los atacantes, luego del compromiso inicial, exploran la red con el objetivo de recopilar información de interés y conocer los recursos de la víctima para luego en un momento liberar el ransomware en el sistema. Esto les permite, entre otras cosas, determinar el monto máximo que una víctima podría pagar por el rescate.

Otro aspecto que vale la pena señalar como parte de esta evolución es el Ransomware as a Service (RaaS), un modelo que permite que actores maliciosos sin grandes conocimientos técnicos puedan iniciar una campaña de ransomware al contratar la creación de malware como un servicio o sumarse como afiliados para distribuir la amenaza a cambio de un porcentaje de las ganancias. Este modelo, de gran auge en la actualidad, se descubrió tiempo atrás a través de una herramienta denominada Tox, la cual permitía la creación de este tipo de malware de manera automática, independientemente de los conocimientos técnicos de quien la utiliza.

De la misma manera, el ransomware de código abierto (cuyo primer referente fue llamado Hidden Tear), desencadenó nuevos escenarios para el desarrollo de este tipo de programas maliciosos y sus variantes, donde es posible la rápida creación de malware cada vez más sofisticado y masivo mediante la mejora de código preexistente.

¿Qué hacemos si ya sufrimos esta amenaza?

El curso de acción a seguir tras verse comprometido por ransomware dependerá de las medidas de seguridad que se hayan tomado antes de sufrir el incidente. Si se cuenta con un backup, es posible restaurar la información desde allí. Si el backup está desactualizado, cabe evaluar cuánta información puede restaurarse y, de ser suficiente, evitar el pago. Si no se posee backup o este fue igualmente comprometido, quedará en manos de las víctimas decidir si desean correr el riesgo de efectuar el pago. Como mencionamos anteriormente, esta es una práctica que desaconsejamos.

Si tenemos la habilidad necesaria, podemos extraer la muestra de ransomware del equipo para identificar qué variante especifica es la que ha logrado colarse dentro del sistema, utilizando servicios como VirusTotal para analizar el archivo. También podemos escanear nuestro equipo con una solución de seguridad -si es que no tenemos ninguna ya- para que detecte el código malicioso y nos informe a qué familia de ransomware pertenece. Una vez que tengamos esta información, podemos utilizar motores de búsqueda para ver si existe alguna herramienta que nos permita recuperar los archivos. ¡Cuidado! Muchas páginas prometen herramientas de descifrado de archivos, pero en realidad buscan aprovecharse del pánico de los usuarios para instalar más malware en el equipo. Siempre dirígete a sitios de confianza. Ten en cuenta que, a decir verdad, para la mayor parte del ransomware no existe forma de recuperar los archivos una vez que estos se han visto afectados.

Otro consejo que puedes adoptar si te has convertido en víctima de ransomware es ejecutar algún programa como Recuva o ShadowExplorer, ya que algunas muestras obsoletas de ransomware utilizan un borrado inseguro de archivos que le permite a las víctimas recuperarlos con herramientas para restauración de archivos. Ten en cuenta que estas técnicas de recuperación de archivos ya son bien conocidas por los atacantes, y las nuevas versiones de ransomware se aseguran de que no se puedan recuperar los archivos de esta manera.

De cualquier modo, algo que siempre debe realizarse tras un incidente de seguridad es un análisis de este para determinar por qué ocurrió y corregir la situación a futuro para evitar nuevos ataques. La clave para combatir al ransomware es la prevención.

¿Cómo se protege un usuario hogareño del ransomware?

La forma más sencilla de poder asegurar un equipo sin tener los conocimientos técnicos es mediante la instalación de una solución de seguridad que nos permita bloquear intentos de explotación de vulnerabilidades, ejecución de malware o acceso a sitios peligrosos.

Es importante actualizar todas las apps y sistemas operativos para asegurarnos de instalar los últimos parches de seguridad. Además, tener un backup de la información al día es crucial para poder hacer frente al ransomware.

También se recomienda tener cuidado con los adjuntos en correos electrónicos y demás enlaces que podamos encontrar durante la navegación en Internet. Los sitios fraudulentos intentarán apelar a ganarse la confianza del usuario haciéndose pasar por entidades de renombre, ofreciendo premios y promociones, o atendiendo al miedo en los usuarios. Por ejemplo, campañas de propagación de malware utilizaron la pandemia para difundir troyanos haciéndolos pasar por autoridades sanitarias locales.

Como consejo final, utilizar herramientas de cifrado de archivos sensibles, como fotos, videos y documentos personales, puede ayudar a evadir la presión extra si los atacantes deciden extorsionar a las víctimas con la publicación en línea de los archivos.

¿Cómo pueden las empresas protegerse ante esta amenaza?

El concepto de sistema seguro ha ido cambiando a medida que evoluciona la tecnología y el cibercrimen. En la actualidad sabemos que la seguridad de la información se obtiene como resultado a una combinación de capas de protección cuidadosamente desplegadas. El aislado hecho de instalar una solución de seguridad no será suficiente por sí solo, ya que la superficie de exposición de las empresas y personas ha aumentado de manera drástica.

Las empresas deben diseñar cuidadosamente los mecanismos de seguridad que necesitan implementar. Así, un correcto análisis de riesgo se traducirá en la instalación de soluciones de seguridad para la detección de infecciones (antimalware), la gestión de copias de respaldo, la protección de los procesos de autenticación en las redes empresariales mediante doble factor de autenticación, el despliegue de soluciones de sistemas de prevención, detección y monitorización, el cifrado de los archivos, la realización de inteligencia de amenazas, entre otros. La adecuación de las herramientas necesarias para crear una arquitectura de seguridad en profundidad (es decir, seguridad por capas) serán decisivas en la pronta detección de amenazas.

La adquisición de tecnologías de protección debe verse acompañada de una buena gestión de la seguridad a través de políticas y de educación para los usuarios. Se deben diseñar planes para audiencias específicas, construirlos sobre los resultados esperados y pensarlos para ganar la atención de su público buscando mantener a los distintos actores interesados en actualizarse.

En particular, algunos consejos básicos para protegerse del ransomware son los siguientes:

  • Tener una copia de respaldo actualizada

La herramienta más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. De este modo, si es posible restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde la copia de respaldo los documentos que estaban infectados, estamos previniendo llegar al punto de pagar para solucionar el inconveniente. Además, se debe tener en cuenta que el backup puede verse comprometido si se encuentra conectado al equipo donde comenzó la infección, por lo cual se debe diseñar una buena política de respaldo para evitar esta situación.

  • Instalar una solución de seguridad

Siempre es una buena idea tener un software antimalware y un firewall para identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes de códigos conocidos para evadir la detección, por lo que es importante contar con ambas capas de protección.

  • Utilizar herramientas para el cifrado de archivos

El ransomware mayormente cifra solo archivos con determinadas extensiones, como ser imágenes, videos, bases de datos o documentos de ofimática. Al utilizar una solución de cifrado podríamos lograr que un archivo sobreviva intacto a una infección por ransomware.

  • Capacitar al personal sobre los riesgos

A nivel empresarial, es necesario acompañar la inclusión de tecnologías de defensa con la creación de planes de capacitación para alertar al personal sobre los riesgos que existen en línea y cómo evitarlos.

  • Mostrar las extensiones ocultas por defecto

Con frecuencia, una de las maneras en que se presenta el ransomware es en un archivo con doble extensión (por ejemplo, “.PDF.EXE”), aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Modificando las opciones del sistema para ver las extensiones completas de archivo, será más fácil detectar archivos sospechosos.

  • Analizar los adjuntos de correos electrónicos

Gran parte de las infecciones por ransomware se inician con un adjunto en un correo electrónico. Por ello es importante establecer reglas en el servidor de correos para el análisis de archivos adjuntos y el bloqueo de mensajes que contengan archivos .EXE, .SCR, doble extensión, o cualquier otra extensión referente a un ejecutable.

  • Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Es posible deshabilitar este tipo de comportamientos a través de las políticas locales o de red del sistema, o mediante el software de prevención de intrusiones. De este modo evitarás infecciones por muchas variantes de ransomware, y también infecciones de malware en general.

  • Deshabilitar RDP cuando no sea necesario

El ransomware puede acceder a las máquinas mediante el Protocolo de Escritorio Remoto, que les permite a terceros obtener acceso a tu equipo en forma remota. Si no se requiere, puede deshabilitarse para proteger tu máquina del acceso indebido.

May 05

Artículo: Cómo cifrar correos electrónicos para tener seguridad en el email

Interesante artículo publicado en redeszone. Un artículo que intenta introducirnos en una comunicación más segura y protegida, dentro de lo que cabe….

https://www.redeszone.net/tutoriales/seguridad/cifrar-correos-electronicos-seguridad-aplicaciones/

El correo electrónico poco a poco ha ido aumentando su presencia hasta convertirse en una herramienta imprescindible. En gran medida, ha sustituido a la correspondencia en papel entre otras razones por motivos ecológicos. Sin embargo, no es el único motivo, la inmediatez con la que recibiremos un mensaje es su gran baza a favor. No obstante, a lo largo de los años se le han achacado problemas como es el caso de falta de privacidad. Por ese motivo, y para evitar que vuestra información privada caiga en manos de ciberdelincuentes y gobiernos, os vamos a proponer diferentes aplicaciones para cifrar correos electrónicos y mantener vuestra privacidad.about:blank

En el año 2013 se desveló la existencia del programa clandestino PRISM de la Agencia de seguridad de Nacional de Estados Unidos, conocida como NSA. Se descubrió que se estaban recopilando masivamente mensajes de, al menos, nueve grandes compañías de Internet. A parte de las organizaciones gubernamentales, están los ciberdelincuentes que buscan vulnerar nuestra privacidad para luego sacar beneficios. Como ya habréis deducido, cifrar correos electrónicos puede mejorar nuestra privacidad enormemente ya que solamente el destinatario legítimo de este correo será capaz de leerlo.

Mailvelope: la extensión multinavegador

Mailvelope es una extensión que podemos instalarla en los navegadores en Chrome, Edge y Firefox, para cifrar de forma segura nuestros correos electrónicos con PGP utilizando proveedores de correo web, es compatible con Gmail y Outlook que son los más utilizados a nivel doméstico y también profesional.

about:blank

Este complemento del navegador nos va a proporcionar encriptación de extremo a extremo para nuestro e-mail. Vamos a poder conseguir cifrar los correos electrónicos sin tener que cambiar nuestro proveedor de correo electrónico. En este sentido, hay que comentar que, tanto el cifrado como el descifrado se realizan en los dispositivos finales. Esto se traduce en que nuestros datos privados nunca saldrán de nuestro equipo sin estar cifrados.

Lo primero que tenemos que hacer es instalar Mailvelope en el navegador de tu elección:

Una vez instalada correctamente la extensión del navegador nos aparecerá una pantalla como esta, tras pulsar el icono rojo de la extensión del programa.

Entonces tocaremos sobre el botón ¡Iniciemos! Lo primero que necesitamos es generar nuestra clave para lo que pulsaremos en Generar llave. A continuación, nos aparecerá una pantalla como esta:

Luego, elegimos un nombre, ponemos nuestro correo electrónico y añadimos una contraseña que tenemos que repetir dos veces. Desde este momento, ya tenemos nuestra contraseña PGP. Luego nos tenemos que dirigir a nuestro e-mail para verificar la dirección de correo electrónico que pusimos en el servidor de claves de Mailvelope. Así, otros usuarios de Mailvelope podrán enviarnos correos cifrados. En la bandeja de entrada del correo veremos que tenemos un mensaje como este:

Ahora es el turno de pulsar en Mostrar mensaje, y aparecerá esta pantalla:

Aquí nos va a pedir que introduzcamos la contraseña que hemos establecido antes de Mailvelope. Una vez hecho, nos aparecerá el mensaje totalmente descifrado:

En este momento tendremos que pulsar sobre el link para verificar el correo y poder usar el programa. La forma de descifrar seguirá el mismo procedimiento para todos los correos electrónicos que nos manden en el futuro. Lo único que se debe tener en cuenta, es introducir la clave que corresponda. Respecto a la forma de mandar un correo electrónico encriptado, debe comenzar utilizando el editor de Mailvelope, cuyo icono es el que tenéis marcado con una flecha.

Por último, se escribe el texto y se envía.

Mymail Crypt for Gmail

Esta es otra extensión que podemos usar, pero en este caso sólo sirve para Google Chrome. El plugin podemos descargarlo desde la Chrome Store de forma gratuita. Nos encontramos que implementa GPG en Webmail (Gmail) usando la biblioteca OpenPGP.js. Hay que comentar que el proyecto no está afiliado a Google. Una vez completada la instalación, debemos acceder a las opciones de la extensión y allí generar nuestra clave de cifrado a la vez que importaremos las claves de nuestros contactos para que, al recibir un correo, este se descifre automáticamente.

Por lo tanto, tras haber entrado en opciones, nos dirigiremos a la solapa My Keys y pulsaremos sobre generate a new key.

Entonces aparecerá una pantalla como la siguiente:

Aquí, la configuración es muy similar a la del plugin anterior. Lo que tenemos que hacer es poner un nombre, añadir un correo, poner una password y pulsar sobre el botón de submit. A partir de ese momento, ya tendríamos un botón para poder cifrar correos electrónicos.

Así, nos llegaría un mensaje a nuestra bandeja de entrada un correo electrónico cifrado:

Y desde aquí podríamos descifrarlo:

Por último, aquí tenéis un video en que explica cómo se instala la extensión y más:https://www.youtube.com/embed/aAXIqnjbc-M?enablejsapi=1&version=3

Infoencrypt para cifrar desde la web

La ventaja que tiene respecto a las dos anteriores, es que es más sencilla de utilizar que las dos anteriores. En ese sentido, nos presenta dos ventajas importantes:

  1. No requiere de ninguna instalación de software.
  2. Es fácil de usar y no tenemos que configurar nada.

En cuanto al cifrado que utiliza es AES de 128 bits. Se trata del cifrado más popular y ha sido aprobado por la NSA de Estados Unidos para su uso interno. Para poderlo utilizar tenemos que acceder a la web de Infoencrypt desde el siguiente enlace. Entonces nos saldrá esta pantalla que podremos usar para cifrar correos electrónicos:

Su forma de utilización es muy sencilla, arriba del todo en el cuadro blanco grande escribimos el texto que queremos cifrar y escribimos la contraseña dos veces. A continuación, lo que tenemos que hacer es pulsar sobre el botón Encrypt. Entonces copiamos el texto que genera y lo mandamos por correo electrónico. Luego destinatario entra en esta web, copia el texto encriptado, introduce la password y pulsa Decrypt para descifrar el texto. Sin duda, es una forma interesante para cifrar correos electrónicos ocasionalmente.

CipherMail para Google Chrome

Gracias a esta extensión para Chrome podremos enviar mensajes encriptados para Gmail, Outlook o cualquier otro correo electrónico utilizando la tecnología S/MIME y certificados con CipherMail. Las características principales de CipherMail son:

  • Cifrado de correo electrónico S/MIME 3.1 (X.509, RFC 3280).
  • Soporte de texto simple y HTML estando ambos formatos encriptados.
  • Integración con Google usando OAuth2.
  • Admite los protocolos del servidor de correo SMTP e IMAP.

Aquí tenemos la pantalla donde podemos enviar mensajes cifrados con S/MIME:

Este es un vídeo demostrativo de cómo funciona la extensión:https://www.youtube.com/embed/KuJ5CV1YXCA?enablejsapi=1&version=3

Si queréis probar la extensión CipherMail para cifrar correos electrónicos podéis descargarla de la Chrome Web Store desde aquí.

ProtonMail Bridge

ProtonMail Bridge se trata de una aplicación de escritorio que hace de puente de cifrado entre el servidor de correo electrónico que usemos habitualmente, y los servidores de la firma, todo ello con el objetivo de cifrar los mensajes que enviemos. Este programa de ProtonMail es compatible con la mayoría de servicios de correo como ThunderbirdApple Mail o cualquier otro de escritorio que utilice los protocolos IMAP y SMTP. Esta sería la pantalla de configuración de IMAP/SMTP de ProtonMail Bridge:

La herramienta está disponible para Windows, MacOS y Linux, podéis descargarla desde este enlace.

Criptext: el servicio de email más seguro

Según el desarrollador Criptext se trata posiblemente de uno de los servicios de correos más seguros del mundo.

Entre sus características están la encriptación punto a punto, es de código abierto, utiliza el protocolo Signal y no almacenan datos en la nube. Además, si envías un correo equivocado puedes retractarte en caso de que no haya pasado una hora. El programa está disponible para Windows, Android, IOS, Mac y Linux.

Mailfence: otra alternativa muy interesante

Mailfence es una buena alternativa para cifrar correos electrónicos y así proteger nuestra privacidad.

Gracias a su cifrado y firmas digitales garantiza al destinatario que el remitente somos nosotros. Es gratuito y tenemos un espacio de 500 MB, pero si necesitamos más tendremos que recurrir a las opciones de pago. Si queremos aumentar a 5GB y 10 alias podríamos hacerlo por 2,5 € al mes, aquí tenéis toda la información.

Mozilla Thunderbird

El popular gestor de correo Mozilla Thunderbird, ha incluido recientemente OpenPGP de forma nativa, sin necesidad de instalar ninguna extensión en este gestor de correo, ni hacer complicadas configuraciones, ahora lo tendremos todo en el propio gestor de correo. Tendremos que crear las claves RSA o EC para cifrar los correos electrónicos, e importar las claves públicas de los destinatarios a los que queremos enviar emails cifrados con PGP. En RedesZone tenemos un completo tutorial de configuración y uso, por supuesto, es compatible con cualquier servicio de correo electrónico, porque el cifrado se realiza de forma local sin necesidad de instalar extensiones en los navegadores web.

Tal y como habéis visto, disponemos actualmente de una gran cantidad de programas y extensiones para enviar correos electrónicos de forma completamente segura y privada. Esperamos que, con todas estas herramientas, disfrutéis de la seguridad y privacidad a la hora de intercambiar correos electrónicos.

Entradas más antiguas «