Oct 20

Artículo: ¿Cómo actuar cuando el phishing comienza desde dentro? – Globb Security

Interesante artículo de nuestros compañeros de globbsecurity. 

” Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones” 

http://globbsecurity.com/actuar-cuando-phishing-comienza-desde-dentro-42288/

 Los ataques de phishing interno son cada vez más una preocupación creciente entre los profesionales de seguridad. Y es que, estos correos electrónicos de phishing enviados por un usuario de confianza a otro de la misma organización, se utilizan en ataques multietapa en los que una cuenta de correo es capturada, ya sea controlando a los usuarios del dispositivo con malware que ha sido instalado previamente, o bien comprometiendo las credenciales de la cuenta del usuario.

Los emails de phishing internos se utilizan en ataques dirigidos, donde el objetivo es robar información o cometer extorsiones, y es común en los patrones de Business Email Compromise (BEC) diseñados para robar dinero. Si el remitente es un usuario interno en el que se confía, es más probable que el destinatario abra el correo electrónico sin tomar ninguna medida de precaución.

Conscientes del aumento de este tipo de ataques, los expertos de Trend Micro han recabado varios ejemplos que permiten ilustrar qué son estas amenazas y cómo actúan:

Eye Pyramid

Los atacantes de Eye Pyramid llevaron a cabo una exitosa campaña de robo de información durante años antes de que, a principios de 2017, pudieran ser llevados a los tribunales. Su técnica favorita consistía en pasar de un usuario a otro usando emails de phishing con un archivo adjunto malicioso.

El mensaje adjunto contenía malware que recopilaba y extraía información, incluyendo direcciones de correo electrónico que se utilizaban en los siguientes objetivos. Sus métodos, que comprometieron más de 100 dominios de correo electrónico y 18.000 cuentas de email, tuvieron el sello de un ataque patrocinado por un Estado, pero sorprendentemente fue puesto en marcha por un ingeniero nuclear italiano y su hermana, que buscaban sacar provecho de la información.

Phishing interno dirigido a credenciales de Office 365

La popularidad de Microsoft Office 365 lo ha convertido en un blanco atractivo para las campañas de ataque. Existen muchos ejemplos de atacantes que intentan falsificar las credenciales de Office 365 de los usuarios. Una vez que la cuenta de un usuario se compromete, los atacantes pueden iniciar un ataque de Business Email Compromise (BEC) como en los emails incluidos en el ejemplo a continuación que hacen referencia a una estafa de transferencia bancaria.

Ataque destructivo contra el Financial Times

Un ejemplo de un ataque potencialmente destructivo se dio en el Financial Times hace unos años. El atacante (más tarde se supo que era el Ejército Electrónico Sirio) utilizó una cuenta de email comprometida para enviar correos de phishing internos con el fin de robar credenciales de cuentas adicionales. Cuando el departamento de TI conoció la existencia de estos ataques internos de phishing, envió un email de advertencia a todos los usuarios en el que se incluía un enlace para cambiar las contraseñas.

El problema fue que el atacante vio dicho correo del área de TI y cambió el link a su propio website de phishing. Al final, los atacantes tuvieron acceso a todos los sistemas que necesitaban, pero decidieron que el Financial Times era un “mal menor” y continuaron atacando a otras compañías de medios.

Métodos para detener los ataques internos de suplantación de identidad

Un primer paso para reducir los ataques internos de phishing pasa por implementar sistemas de autenticación multifactorial(MFA) para reducir el riesgo de que un atacante obtenga el control de las credenciales de la cuenta robada. Pero aun teniendo la MFA habilitada, pueden producirse ataques internos de phishing si el dispositivo de un usuario está comprometido con malware.

las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno

De lo que muchas personas no se dan cuenta es que las soluciones de seguridad para el gateway, que analizan el tráfico del correo electrónico entrante y saliente de SMTP, no ven el email interno. Para escanear estos correos internos, se puede utilizar una solución basada en un registro diario que se integre con su servicio de correo o servidor de correo. Las mejores herramientas pueden buscar todo tipo de amenazas en el correo electrónico al escanear el contenido del email, archivos adjuntos y URL.

  • Soluciones basadas en registro

El primer método es emplear la función de registro diario de los sistemas de correo electrónico para enviar una copia de cada email interno a un servicio de seguridad que lo analizará offline. Este método es bueno para detectar ataques, pero no para detenerlos. Algunos servicios de seguridad basados en el registro diario pueden utilizar las herramientas de Exchange para eliminar un correo electrónico después del análisis. Sin embargo, mientras se realiza el análisis, que podría durar unos 5 minutos si se necesita sandboxing, el usuario sigue teniendo acceso al email y a los archivos adjuntos. Y si el archivo adjunto se trataba de un ransomware, como Teslacript que cifra 10.000 archivos en 40 segundos, el análisis puede ser demasiado tarde.

  • Soluciones de servicio integradas

Las soluciones de Servicio Integradas resuelven el problema del acceso de los usuarios durante el análisis mediante la integración directa con el sistema de correo utilizando una API. La API alerta a la solución de seguridad de que ha llegado un email y puede ocultar el correo a los usuarios hasta que se complete el análisis. Las integraciones de servicios on-premise están disponibles como software para servidores Microsoft Exchange e IBM Domino. Las soluciones basadas en API también están disponibles para sistemas de correo electrónico en la nube, como Microsoft Office 365, si el proveedor pone las API disponibles para las soluciones de seguridad.

Oct 19

Artículo: Malware para firmware: cómo explotar una falsa sensación de seguridad

A ver que nos explican en este interesante artículo de nuestros compañeros de welivesecurity. 

https://www.welivesecurity.com/la-es/2017/10/19/malware-para-firmware/

Oct 19

Artículo: Problemas para identificar delincuentes detrás de CG-NAT

Interesante artículo de nuestros compañeros de blog.segu-info. 

http://blog.segu-info.com.ar/2017/10/problemas-para-identificar-delincuentes.html?m=1

Oct 18

Artículo: List of Firmware & Driver Updates for KRACK WPA2 Vulnerability

https://www.bleepingcomputer.com/news/security/list-of-firmware-and-driver-updates-for-krack-wpa2-vulnerability/

Traducción Google: 

Como muchas personas han leído o pronto leerán, existe una vulnerabilidad en el protocolo inalámbrico WPA2 llamado Krack que podría permitir a los atacantes escuchar las conexiones inalámbricas e inyectar datos en la transmisión inalámbrica para instalar malware o modificar páginas web.

Para protegerse, muchos proveedores de productos Wi-Fi lanzarán firmware y controladores actualizados para sus productos. Se recomienda encarecidamente a los usuarios que actualicen su hardware tan pronto como haya una actualización disponible para protegerse. Esto incluye el firmware del enrutador y los controladores de la tarjeta de red inalámbrica.

Para ayudarlo, he creado una lista de información conocida sobre varios proveedores de Wi-Fi y si hay nuevos controladores disponibles. Como esta vulnerabilidad es bastante nueva, hay poca información disponible, le aconsejo que revise esta página en los próximos días para ver si hay nueva información disponible. Esta página incluye información resultante del contacto de los proveedores, la página informativa del CERT y otras fuentes.

Última actualización: 17/10/17 19:20 EST

Empresas con información disponible:

ADTRAN

ADTRAN publicó en sus foros que están llevando a cabo una investigación y enviará un aviso de seguridad a todos los usuarios registrados con detalles.

Aerohive Networks

Aerohive ha publicado un avisoexplicando en qué circunstancias sus productos son vulnerables a KRACK. También incluyeron información sobre qué mejoras de HiveOS mitigan este ataque,

Arch Linux

Arch ha enviado actualizaciones para wpa_supplicant y hostapd. Los parches se pueden encontrar aquí y aquí .

Amazonas

Un portavoz de Amazon respondió a nuestra consulta con ” Estamos en el proceso de revisar cuál de nuestros dispositivos puede contener esta vulnerabilidad y estará emitiendo parches cuando sea necesario “.

Apple

De acuerdo con un artículo en AppleInsider :

Las fuentes dentro de Apple no autorizadas a hablar en nombre de la compañía le han dicho a  AppleInsider  que el parche para eliminar la susceptibilidad al hardware se incluyó en una versión beta “anterior” de la gama actual de sistemas operativos, lo que significa un lanzamiento  antes del lote del lunes . Sin embargo, nuestra fuente señaló específicamente que el hardware AirPort, que incluye el Time Machine, la estación base AirPort Extreme y AirPort Express no tiene un parche disponible, y no estaba seguro si uno estaba en progreso.

Aruba Networks

La información del parche se puede encontrar aquí  y  aquí . También se publicó una  pregunta frecuente .

AV M

AVM tiene un aviso publicado sobre el KRACK vuln. Según AVM “FRITZ! Las cajas de conexiones de banda ancha no se ven afectadas actualmente por la violación de seguridad inalámbrica conocida como” Krack “, ya que dichos puntos de acceso no utilizan el estándar 802.11r afectado”. Tampoco parecen contentos con la forma en que se manejó la divulgación.

Belkin, Linksys y Wemo

BleepingComputer recibió una respuesta de Belkin que dice:

“Belkin Linksys y Wemo son conscientes de la vulnerabilidad WPA. Nuestros equipos de seguridad verifican los detalles y lo asesoraremos en consecuencia. También sabemos que estamos comprometidos con poner al cliente primero y planeamos publicar instrucciones en nuestra página de asesoramiento de seguridad sobre qué clientes puede hacer para actualizar sus productos, siempre que sea necesario “.

Cisco

Cisco lanzó un aviso que analiza la vulnerabilidad en relación con su producto y una lista de productos que son vulnerables. Cisco ha declarado que IOS y las actualizaciones de controladores se están desarrollando y serán lanzadas. Se recomienda a los usuarios de productos de Cisco que revisen el aviso a menudo para futuras actualizaciones.

DD-WRT

Una versión beta de DD-WRT está en su sitio FTP . En el momento de escribir esto, el último firmware está en una carpeta llamada  10-17-2017-r33525 .

Debian

Debian publicó un aviso  a la lista de correo de Debian Security Announcement con información sobre actualizaciones que solucionan la vulnerabilidad de Krack.

Dell

Un portavoz de Dell le dijo a BleepingComputer que están investigando activamente la vulnerabilidad y tendrá un aviso en los próximos días. 

D-Link

D-Link ha publicado un aviso que indica que están esperando los parches de los fabricantes de chipsets. Además afirman con precisión que “para los usuarios de los consumidores, su prioridad debería ser la actualización de dispositivos tales como computadoras portátiles y teléfonos inteligentes”.

DrayTek

DrayTek ha publicado un avisodetallando qué productos se ven afectados por KRACK y declarando que las actualizaciones estarán disponibles la próxima semana.

Eero

Eero lanzó un aviso que dice que han lanzado eeroOS versión 3.5, que mitiga los KRACK vulns.

EnGenius

Un portavoz de EnGenius le dijo a BleepingComputer que lanzarán un aviso el viernes que contendrá un programa de liberación de parches para los dispositivos afectados.

Espressif

Espressif ha lanzado actualizaciones para  ESP-IDF ,  ESP8266 RTOS SDK y  ESP8266 NONOS SDK en su página de Github .

Fedora

Fedora tiene una   actualización de Fedora 25 disponible para las pruebas. Los urnas Fedora 26  y Fedora 27 están pendientes de ser agregados a la versión estable.

FreeBSD

Según CERT, FreeBSD es consciente de la vulnerabilidad y los usuarios deberían unirse a su lista de distribución FreeBSD-Announce o monitorear su página de Información de seguridad .

Fortinet

De acuerdo con este documento , la versión FortiAP 5.6.1 corrigió los KRACK vulns.

Google

Android 6.0 y superior son actualmente vulnerables a este ataque. Cuando BleepingComputer se puso en contacto con Google, su declaración fue ” Estamos conscientes del problema y estaremos parcheando los dispositivos afectados en las próximas semanas”.  Todavía no hay información disponible sobre Google WiFi.

Intel

Intel ha publicado un aviso , que incluye enlaces a controladores actualizados.

Kisslink

Kisslink le dijo a BleepingComputer que ya que sus productos están protegidos a través de su tecnología Promximity y, por lo tanto, no están usando WPA2 ni están afectados por sus errores.

Lede

Paquetes actualizados para hostapd-common – 2016-12-19-ad02e79d-5, wpad – 2016-12-19-ad02e79d-5, y wpad-mini – 2016-12-19-ad02e79d-5 están disponibles en Ledge. Puede verificar la disponibilidad de la actualización mediante el  comando opkg list-upgradable  y actualizar usando el  comando de actualización opkg  .

LineageOS

LineageOS ha tenido parchescombinados para evitar el Krak vulns.

Linux

Según el lanzamiento de la vulnerabilidad, ” nuestro ataque es especialmente catastrófico contra la versión 2.4 y superior de wpa_supplicant, un cliente Wi-Fi comúnmente utilizado en Linux “. Los parches se pueden encontrar aquí .

Meraki

Se han lanzado actualizaciones para Cisco Meraki que resuelven el KRACK vuln. Puede encontrar más información en este aviso:  Vulnerabilidad 802.11r (CVE: 2017-13082) Preguntas frecuentes .

Microchip Technology

Microchip ha publicado un  aviso con las actualizaciones disponibles.

Microsoft

Microsoft arregló en silencio  el KRACK vulns en el parche del 10 de octubre el martes. 

MikroTik

Según MikroTik: ” RouterOS v6.39.3, v6.40.4, v6.41rc no se ve afectado. Los dispositivos de modo AP no se ven afectados. Todos los arreglos implementados solo se refieren a la estación y los modos WDS “. Además, declararon que las versiones de firmware se lanzaron la semana pasada para corregir esta vulnerabilidad.

Netgear

Netgear ha publicado un aviso que contiene una lista de productos afectados por KRACK y actualizaciones asociadas. 

Nido

Afirmó que los parches se lanzarán la próxima semana. Estos se actualizarán automáticamente y no requerirán la intervención del usuario.

OpenBSD

OpenBSD recibió un parche que se usó para actualizar y corregir silenciosamente esta vulnerabilidad. Se puede leer más información aquí  y aquí .

Open-Mesh y CloudTrax

Se publicó un aviso para Open-Mesh & CloudTrax sobre el Krack vuln. Se espera que una actualización se entregue a todos aquellos que usan actualizaciones automáticas antes del 17 de octubre. Más información en el aviso.

Peplink

Peplink emitió un aviso  que indica que los usuarios de Wi-Fi como funcionalidad WAN son vulnerables a este ataque. Para solucionar temporalmente este problema, los usuarios pueden desactivar esta función y esperar a que se publique un firmware actualizado.

pfSense

pfSense, que está basado en FreeBSD, ha abierto un problema para importar la corrección de FreeBSD. 

Qualcomm

Un portavoz de Qualcomm le dijo a BleepingComputer:

“Proporcionar tecnologías que respalden una seguridad y privacidad sólidas es una prioridad para Qualcomm Technologies, Inc. (QTI). Hemos estado trabajando con socios de la industria para identificar y abordar todas las implementaciones del problema de seguridad de código abierto que implica la reutilización del número de paquetes WPA dentro de Qualcomm Los parches para estos problemas están disponibles ahora en el Foro Code Aurora y a través de otros canales de distribución, con parches adicionales publicados tan pronto como se verifican a través de nuestro proceso de garantía de calidad “

Red Hat

Red Hat ha generado una advertenciasobre la vulnerabilidad en wpa_supplicant. No hay más información disponible.

Raspberry Pi

Como esto usa wpa_supplicant, debe actualizar a los últimos paquetes. Utilice la  actualización de sudo aptseguido de la actualización de  sudo apt  para instalar un wpa_supplicant parcheado.

Ruckus Wireless

Ruckus Wireless ha publicado un aviso de seguridad  que establece que desactivar 802.11r mitigará CVE-2017-13082. Los parches de seguridad para dispositivos afectados se lanzarán tan pronto como estén disponibles.

Sierra Wireless

Sierra Wireless publicó un boletín técnico sobre productos afectados y planes de remediación. Enlace desde CERT .

Sonicwall

Sonicwall ha publicado un aviso que dice que no son vulnerables:

SonicWall Capture Labs ha evaluado estas vulnerabilidades y ha determinado que nuestros puntos de acceso inalámbricos SonicPoint y SonicWave, así como nuestros firewalls inalámbricos TZ y SOHO, no son vulnerables a las fallas en WPA2.

SonicWall está trabajando en una solución para proporcionar una capa adicional de protección para los clientes de SonicWall que bloqueará estos ataques intermedios incluso de clientes vulnerables sin parche. Esto se entregará en una futura actualización de SonicOS. 

Sophos

Sophos ha publicado un aviso que indica que los productos inalámbricos Sophos UTM Wireless, Sophos Firewall Wireless, Sophos Central Wireless y Cyberoam Wireless se ven afectados por la vulnerabilidad de Krack. Las actualizaciones de estos productos se publicarán próximamente.

Synology

Synology publicó un aviso que indica que Synology DiskStation Manager (DSM) con dongle WiFi conectado y Synology Router Manager (SRM) son vulnerables a Krack. Según Synology, próximamente se publicarán actualizaciones para los productos afectados.

Toshiba

Según CERT, la impresora SureMark 4610 de Toshiba (Modelos 1NR, 2CR, 2NR) con adaptador de LAN inalámbrico y el producto SSD inalámbrico Canvio AeroMobile se ven afectados. Toshiba contactará a los propietarios y socios comerciales directamente con respecto a la impresora y se lanzará una actualización de firmware para la tarjeta SSD inalámbrica.

TP-Link

Cuando me comuniqué con el soporte técnico de TP-Link, me dijeron: ” Nuestros mayores están vigilando este problema. Actualmente no hemos recibido ningún comentario sobre el hecho de que el producto de TP-Link se vea afectado. Ofreceremos una actualización en nuestro sitio web oficial Una vez que tengamos alguna nueva información ” .

Turris Omnia

Turris, que usa OpenWRT, publicó en sus foros que se agregó un parche a su repositorio que van a probar y lanzar una corrección. Con suerte, esto hará que OpenWRT publique pronto también una actualización.

Ubiquiti (UniFi, AmpliFi, airMax)

Ubiquiti ha publicado un aviso que proporciona detalles sobre qué productos UniFi, AmpliFi y AirMax se ven afectados por la vulnerabilidad de KRACK. Este aviso también proporciona enlaces a las actualizaciones que resuelven este ataque.

Cabe señalar que la función beta 802.11r (itinerancia rápida) sigue siendo vulnerable y se aconseja que se inhabilite hasta que una futura actualización resuelva el problema.

Ubuntu

Ubuntu ha publicado un aviso con información sobre cómo actualizar wpa_supplicant y hostapd para resolver esta vulnerabilidad.

WatchGuard

WatchGuard ha publicado una descripción de asesoramiento cuando las actualizaciones estarán disponibles para sus diversos productos y servicios.

Anuncio de la Alianza Wi-Fi

La Alianza Wi-Fi lanzó un anunciosobre el KRACK vuln.

Zyxel

Zyxel ha creado una página que detalla qué productos se ven afectados. Mientras están trabajando para solucionar la vulnerabilidad, no hay controladores y firmware actualizados disponibles.

Las empresas afirmaron no verse afectadas por Krack:

Arista Networks, Inc. 
Lenovo 
Vmware

Empresas sin información disponible:

Juniper Networks 
3com Inc 
Actiontec 
Alcatel-Lucent 
AsusTek Computer Inc. 
Atheros Communications, Inc. 
Barracuda Networks 
Broadcom 
CentOS 
Edimax 
EMC Corporation 
Extreme Networks 
F5 Networks, Inc. 
Foundry Brocade 
Hewlett Packard Enterprise 
IBM, INC. 
Kyocera Communications 
Marvell Semiconductor 
MediaTek

Oct 18

Artículo: Cómo evitar que imprimir documentos ocasione fugas de datos

Interesante artículo de nuestros compañeros de welivesecurity. 

https://www.welivesecurity.com/la-es/2017/10/17/imprimir-documentos-fuga-datos/

Oct 17

Artículo: Pequeña empresa: un objetivo para los delincuentes cibernéticos

La pyme principal objetivo para los ciberdelincuentes. 

http://blog.trendmicro.com/small-business-a-target-for-cyber-criminals/

Traducción Google:

 La era de las amenazas cibernéticas ha estado marcada con vulnerabilidades críticas, cepas en evolución y organizaciones que han enfrentado las consecuencias. La brecha de Target, el aumento de ransomware como WannaCry y el reciente hack de Equifax sirven como lecciones de que estos ataques son la nueva normalidad para las empresas, lo que hace que la seguridad sea una necesidad más grande que nunca. Con muchos de estos incidentes bien publicitados que giran en torno a empresas más grandes, es fácil que las pequeñas y medianas empresas se vuelvan complacientes, creyendo que están a salvo y bajo el radar de actores maliciosos.

Esta es una suposición peligrosa: las pymes son patos sentados para los delincuentes cibernéticos, y como los líderes comprenden mejor sus riesgos, luchan por tomar medidas contra las amenazas emergentes. De acuerdo con MetLife y el Índice de Pequeñas Empresas de la Cámara de Comercio de los EE. UU., El 60 por ciento de las pymes está preocupado por la ciberseguridad . Aquellos con 20 a 99 empleados tienen más probabilidades de estar preocupados por esta amenaza que las compañías con menos de 20 empleados. No importa cuán pequeño sea su negocio, todavía sirve como un objetivo lucrativo para los delincuentes cibernéticos.

Ataques ciberneticosLos ataques cibernéticos son caros y ubicuos.

Falta de fondos para soluciones de seguridad

Para muchas pymes, ver el presupuesto es necesario para mantener encendidas las luces y garantizar que la empresa viva para operar otro día. Esto deja muy poco espacio para otras iniciativas o costos inesperados. Desafortunadamente, esta falta de fondos se muestra a menudo en las soluciones de seguridad implementadas por las PyMEs. Algunas organizaciones tienen lo básico, mientras que otras no tienen nada, confían en su tamaño para evitar la atención de los ciberdelincuentes. Sin embargo, sin soluciones cibernéticas, las pymes se están dejando muy abiertas, que es lo que buscan los atacantes en sus objetivos potenciales.

Las empresas a menudo no tienen los fondos para ofrecer soluciones de seguridad.Las empresas a menudo no tienen los fondos para ofrecer soluciones de seguridad.

Los conceptos equivocados y las prioridades fuera de lugar se reflejan en el gasto de las PYME para sus sistemas de seguridad. De acuerdo con una encuesta de la industria, el 45 por ciento de los propietarios de pequeñas empresas cree que nunca serán atacados, y el 38 por ciento afirmó que no gastarían nada en las protecciones de seguridad cibernética este año fiscal. En general, el 78 por ciento de los participantes notaron que no gastarían nada ni una porción muy pequeña de su presupuesto para enfrentar las amenazas.

Si crees que no tienes los fondos para la seguridad, considera las posibles consecuencias: es igualmente improbable que tengas los fondos necesarios para recuperarte de un ataque. TechRepublic informó que un solo hack podría terminar costando entre $ 82,000 y $ 256,000 . Incluso si una PYME tiene el efectivo para recuperarse, el daño reputacional y la confianza perdida de los clientes podrían ser el colmo final que cierra definitivamente el negocio. Las amenazas cibernéticas cuestan mucho más que dinero, y las pymes deben tomar estos riesgos con seriedad.

“La tecnología y la ciberseguridad son entornos complejos que requieren atención comprometida”.

Las deficiencias del personal de seguridad

Los profesionales de TI tienen mucha demanda para enfrentar problemas de seguridad, pero no hay suficientes candidatos disponibles para cubrir todas las posiciones abiertas. Las pequeñas y medianas empresas se encuentran en una desventaja adicional porque a menudo no tienen los recursos necesarios para admitir un equipo de TI interno. De acuerdo con la encuesta MYOB SME Snapshot, el 38 por ciento de los participantes declaró que están fuera de su alcance , pero solo el 13 por ciento tiene planes para contratar a un profesional de TI. Sin estos expertos a la mano, puede ser difícil hacer las evaluaciones tecnológicas necesarias y mantenerse al tanto de todas las amenazas que están surgiendo.

En la mayoría de las pymes, se pide a los líderes de la organización y al personal que se pongan muchos sombreros, pero la tecnología y la ciberseguridad son entornos complejos que requieren una atención comprometida. Sin un enfoque en estas áreas, las empresas pueden dejarse abiertas a amenazas en las que no podrían pensar. Según la investigación de la industria, las vulnerabilidades conocidas siguen siendo la principal causa de violaciones de datos y amenazas cibernéticas , informó The Hill. Esto significa que las PYME podrían ser afectadas por un problema que tiene una solución existente y que podría haberse evitado por completo. En lugar de asumir este riesgo, las pequeñas y medianas empresas deben aprovechar el talento experto que les ayudará a prevenir vulnerabilidades y proteger contra las amenazas emergentes.

Entrenamiento inadecuado de los empleados

Los miembros del personal son, con mucho, uno de los mayores motivos por los que el malware y otras amenazas ingresan a los sistemas empresariales . Los esquemas de suplantación de identidad y de ingeniería social se están volviendo más sofisticados para aparecer como mensajes legítimos y alentar a los destinatarios a hacer clic en un enlace malicioso o descargar archivos cargados de virus. Algunos empleados ni siquiera cambian las contraseñas predeterminadas ni se aseguran de que su hardware esté actualizado. Estos comportamientos son peligrosos y pueden combinarse en un entorno de “traer su propio dispositivo”. A medida que las empresas alientan al personal a trabajar con su hardware móvil personal, hay menos control sobre la información de la compañía. Si los trabajadores permiten que las aplicaciones de terceros no autorizadas accedan a los datos de la empresa, esto representa un riesgo de incumplimiento importante.

Con la consumerización de TI, los empleados esperan usar sus dispositivos para el trabajo como lo harían para las tareas personales. El empresario sugirió comprometerse a codificar las políticas de seguridad y proporcionar sesiones de capacitación periódicas para ayudar a los trabajadores a mantener el ritmo de las amenazas cambiantes. Las PYMES pueden requerir firmas de los empleados para garantizar la comprensión y la aplicación del cumplimiento. Cuando los trabajadores saben qué buscar en un correo electrónico de suplantación de identidad (phishing) o un comportamiento informático inusual, las PyMEs reducen la superficie de ataque y pueden responder a problemas más rápido. 

La capacitación puede ayudar a los empleados a evitar las amenazas cibernéticas. La capacitación puede ayudar a los empleados a evitar las amenazas cibernéticas.

La superación de las amenazas cibernéticas

Los ciberataques y la seguridad pueden parecer una perspectiva desalentadora para las pymes, pero es necesario abordarlas para evitar infracciones, garantizar que la seguridad siga funcionando. A medida que las pymes se convierten en objetivos más grandes para las amenazas de extorsión y otras violaciones, hay algunas medidas que pueden tomar para protegerse mejor.

En primer lugar, no tiene que acercarse al vasto mundo de la ciberseguridad por su cuenta. Los proveedores de servicios administrados son una pieza esencial del rompecabezas para implementar la seguridad empresarial sin los altos costos y la presión que conlleva el manejo de dicho entorno. El trabajo en equipo con un MSP capacitado proporcionará acceso crítico a un equipo de expertos con el objetivo de mejorar continuamente las capacidades de seguridad y garantizar que se cumplan las necesidades de cumplimiento de la industria.

Los propietarios de pequeñas empresas tienen bastante en mente sin agregar amenazas cibernéticas a esa lista. Los servicios de seguridad para empresas Worry-Free de Trend Micro ofrecen protección de nube todo en uno para usuarios y datos. Nuestros productos son fáciles de usar con una configuración rápida, características en un paquete sin complicaciones, actualizaciones automáticas y protección para los usuarios en cualquier lugar en cualquier dispositivo. Para obtener más información sobre cómo las PYME pueden mantenerse seguras frente a las amenazas cibernéticas, comuníquese hoy con Trend Micro para una consulta.

Oct 17

Artículo: KRACK: seria debilidad en WPA/WPA2

WPA/WPA2 crakeada?….  Artículo publicado por nuestros compañeros de blog.segu-info. 

http://blog.segu-info.com.ar/2017/10/krack-seria-debilidad-en-wpa2.html?m=1

Transcripción literal:

 En los últimos días, ha sonado una alerta sobre una forma de vulnerar el protocolo WPA2. Básicamente, lo que los expertos han explicado es que mediante la ejecución de ataques dirigidos conocidos como KRACK (Key Reinstallation AttaCK), es posible acceder a cualquier red WiFi y desde ahí, por supuesto, atacar de forma directa los ordenadores y dispositivos conectados a la red.


Con esta vulnerabilidad, los atacantes podrían acceder a la red WiFi con cualquier protocolo: WPA-TKIP, AES-CCMP, y GCMP y sin requerir contraseña. Los investigadores en seguridad han afirmado “si tu dispositivo soporta Wi-Fi, es muy probable que esté afectado. Durante nuestra investigación inicial hemos descubierto que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros están afectados por alguna variante de los ataques”.

La parte principal del ataque es llevado a cabo contra el handshake de 4 vías del protocolo WPA2. Este “saludo” se ejecuta cuando un cliente desea unirse a una red Wi-Fi protegida, y se utiliza para confirmar que tanto el cliente como el AP poseen las credenciales correctas (por ejemplo, la contraseña precompartida de la red). Al mismo tiempo, el saludo de 4 vías también negocia una nueva clave de cifrado que se utilizará para cifrar todo el tráfico subsiguiente. Actualmente, todas las redes Wi-Fi utilizan este protocolo de enlace de 4 vías. Esto implica que todas estas redes se ven afectadas por (alguna variante de) este ataque. Por ejemplo, el ataque funciona contra redes Wi-Fi personales y empresariales, contra WPA y el último estándar WPA2, e incluso contra redes que solo usan AES.

Afortunadamente para que los ataques KRACK se lleven a cabo, hay algunos requisitos. El primero es que el atacante debe dominar y saber explotar la vulnerabilidad. Si bien las herramientas son semiautomáticas, requiere poder interceptar los paquetes necesarios que permitirán el acceso a una red en particular. Aquí hay una demo y las herramientas serán publicadas en el futuro.

Lo segundo, es que el atacante debe estar en el rango de cobertura de la red para poder perpetrar los ataques.

Una forma de reducir el riesgo para los que gestionan datos sensibles, es la utilización de una VPN (Virtual Private Network) que cifre los datos y los ofusque tu conexión incluso para el ISP.

El equipo investigador asegura que existe una forma de solucionar el inconveniente mediante un parche al protocolo, no necesariamente una actualización a un WPA3. Los parches los debe emitir el fabricante del router o el dispositivo que emite la red WiFi.

La investigación será presentada en las conferencias Computer and Communications Security (CCS) y Black Hat Europe. Quienes deseen conocer las especificaciones técnicas de esta vulnerabilidad y las herramientas utilizadas en los ataques, pueden dirigirse a esta web.

Ataques que se pueden hacer:

  • El adversario puede descifrar paquetes arbitrariamente.
  • El adversario puede obtener los números de secuencia TCP de una conexión y secuestrar esas conexiones.
  • El adversario puede reproducir tramas de broadcast y multicast.
  • El adversario puede descifrar e inyectar paquetes arbitrarios (solo TKIP o GCMP)
  • El adversario puede obligar al cliente a usar una clave de cifrado “all-zero” (ANDROID 6.0+ y LINUX)

Ataques que no pueden hacerse:

  • El adversario no puede recuperar la contraseña de WPA.
  • El adversario no puede inyectar paquetes en AES-CCMP.

Aquí se puede realizar un seguimiento del avance de la respuesta de cada vendor. 

Oct 15

Artículo: VPN anónimos “no-log”, ¿reales o no?

Si estás pensando en contratar uno de estos servicios, no olvides de leer este interesante artículo publicado por nuestros compañeros de welivesecurity. 

http://blog.segu-info.com.ar/2017/10/vpn-anonimos-no-log-reales-o-no.html?m=1

Transcripción literal: 

Los servidores VPN son muy utilizados por todos aquellos usuarios que se preocupan por su privacidad y quieren conectarse a Internet de forma anónima, sin revelar su identidad, sin dejar rastro y, además, saltarse las distintas restricciones regionales que puedan existir ofuscando su ubicación. Dentro de los servidores VPN existen algunos, denominados como “no-log” que se caracterizan principalmente por “no guardar ningún registro de la actividad de los usuarios”, brindando así una privacidad mucho mayor a la del resto de servidores. Sin embargo, ¿son estos VPN realmente de fiar? 


PureVPN es una de las VPN que más prometía sobre el “no-logging” y en respetar la privacidad de los usuarios. Sin embargo, PureVPN ha estado colaborando con el FBI en la identificación de un usuario que se conectaba a Internet a través de este servidor. PureVPN se caracteriza por ser un servidor VPN situado en Hong Kong (y, por lo tanto, lejos de los países de los 14-eyes) que (en teoría) se preocupa por la privacidad de sus clientes, permite el pago con Bitcoin para no dejar rastro bancario y, además, utiliza conexiones cifradas con un algoritmo de 256-bit.



Este servidor VPN ha ganado un gran número de usuarios debido a que, según parecía, era uno de los más fiables en cuanto a la privacidad. Por desgracia, no ha sido así.

PureVPN aseguraba no guardar registros y respetar la privacidad

Hace apenas una semana, el FBI detenía a Ryan Lin, un ciberacosador que había estado acosando a otras personas a través de la red y esquivando a los servicios de policía al utilizar conexiones como la red Tor, servidores VPN y otras plataformas como TextFree para realizar llamadas anónimas a través de la red. 

Este ciberacosador utilizaba PureVPN para ocultar su identidad en la red debido, principalmente, a que es uno de los servicios que más protegía la privacidad de los usuarios y, además, no guardaba absolutamente ningún tipo de registro. Sin embargo, según parece, todo han sido mentiras. 

Tras una larga investigación, el FBI pidió a PureVPN los logs de actividad de este usuario, registros que supuestamente PureVPN no guardaba de sus usuarios, lo que ha sido esencial para vincularle con varias campañas de acoso online y otras prácticas ilegales. Estos registros vincularon la cuenta de Gmail de este usuario con su cuenta en TextFree y revelaron información que le vincularon con su IP. No se sabe por qué PureVPN ha hecho esto al estar alojado en Hong Kong lejos de la jurisdicción del FBI, pero lo ha hecho. 

Igual que la privacidad de este ciberacosador se ha visto comprometida, los cientos de miles de usuarios que actualmente utilizan este servidor VPN también pueden ver su privacidad expuesta ya que, tal como se ha demostrado, este servidor VPN ha incumplido uno de los principios básicos de este tipo de servicios: respetar a los usuarios. 

Oct 15

Artículo: DoubleLocker: ransomware para Android explota los servicios de accesibilidad

 “DoubleLocker puede cambiar el PIN del dispositivo, evitar que las víctimas accedan al mismo y también cifrar la información que encuentra en él; una combinación que no se ha visto hasta la fecha en el ecosistema Android.” 

https://www.welivesecurity.com/la-es/2017/10/13/doublelocker-ransomware-android-accesibilidad/

Transcripción literal:

Investigadores de ESET descubrieron al primer ransomware que se aprovecha de los servicios de accesibilidad para Android. Además de cifrar la información, es capaz de bloquear el dispositivo.

Las soluciones de ESET lo detectan como Android/DoubleLocker.A y está basado en el código de un troyano bancario, conocido por utilizar con fines maliciosos los servicios de accesibilidad del sistema operativo móvil de Google. Sin embargo, le faltan las funciones relacionadas a la recolección de credenciales bancarias de los usuarios y el vaciado de sus cuentas. En cambio, se le añadieron dos poderosas herramientas para extorsionar a sus víctimas en busca de dinero.

DoubleLocker puede cambiar el PIN del dispositivo, evitar que las víctimas accedan al mismo y también cifrar la información que encuentra en él; una combinación que no se ha visto hasta la fecha en el ecosistema Android.

“Debido a sus raíces de amenaza bancaria, DoubleLocker bien podría convertirse en lo que podemos llamar ransom-bankers. Es un malware que funciona en dos etapas. Primero trata de vaciar tu cuenta bancaria o de PayPal y luego bloquea tu dispositivo e información para solicitar el pago del rescate. Dejando las especulaciones de lado, la primera vez que vimos una versión de prueba de un ransom-banker de este tipo in the wild fue en mayo de 2017″, comentó Lukáš Štefanko, investigador de malware de ESET que descubrió a DoubleLocker.

Distribución

DoubleLocker se propaga exactamente igual que aquel troyano en el que está basado. Se distribuye generalmente a través de una versión falsa de Adobe Flash Player, subida a sitios web comprometidos.

Una vez ejecutada, la app solicita la activación del servicio de accesibilidad del malware, llamado “Google Play Service” para engañar a los usuarios, que podrían creer que se trata de un servicio legítimo de Google. Luego de que el malware obtiene los permisos de accesibilidad, los usa para activar los derechos de administrador del dispositivo y se establece a sí mismo como aplicación de Inicio (Home) por defecto, en ambos casos sin el consentimiento del usuario.

Así es como funciona:

“Establecerse a sí mismo como una aplicación de Inicio por defecto (un launcher) es un truco que mejora la persistencia del malware. Cada vez que el usuario hace clic en el botón Inicio, el ransomware se activa y el dispositivo se bloquea de nuevo. Gracias al uso del servicio de accesibilidad, el usuario no sabe que ejecuta malware pulsando Inicio”, explicó Lukáš Štefanko.

Bloqueo del dispositivo y de su información

Una vez ejecutado en el dispositivo, DoubleLocker le da a la víctima dos razones para pagar el rescate, y de ahí viene su nombre. Cabe destacar que desde ESET no recomendamos pagarlo en ningún caso.

Primero, cambia el PIN del equipo, de manera que la víctima no puede usarlo. El nuevo código PIN se establece en base a un valor aleatorio, que no se almacena en el dispositivo ni se envía a otro lado, por lo que es imposible que el usuario o un experto en seguridad lo recupere. Luego de que se hace el pago, el atacante puede restablecer el PIN remotamente y desbloquear el dispositivo.

Segundo, DoubleLocker cifra todos los archivos del directorio principal de almacenamiento. Usa el algoritmo AES, añadiéndoles la extensión “.cryeye”.

El monto del rescate solicitado es 0.0130 BTC (aproximadamente 54 dólares) y el mensaje remarca que se debe pagar en el transcurso de 24 horas. Sin embargo, si no se paga, los datos permanecerán cifrados pero no se borrarán, por lo que un backuppodría ser de gran utilidad.

Figura 1: Archivos cifrados en un dispositivo infectado con DoubleLocker

Figura 2: Mensaje de pedido de rescate de DoubleLocker

¿Cómo librarte de DoubleLocker?

En el pedido de rescate, se le advierte al usuario que no intente eliminar o bloquear a DoubleLocker: “Sin [el software], nunca podrás recuperar tus archivos originales”. Para prevenir que el usuario elimine la amenaza, los cibercriminales incluso recomiendan deshabilitar el software antivirus.

“Este consejo es irrelevante: quienes tengan una solución de seguridad de calidad instalada en sus dispositivos estarán a salvo de DoubleLocker”, comentó Lukáš Štefanko.

A quienes no tengan una solución de seguridad y necesiten limpiar este ransomware del dispositivo, el investigador les recomendó lo siguiente.

Si el dispositivo no está rooteado y no tiene ninguna solución de administración de dispositivos móviles capaz de restablecer el PIN, la única manera de eliminar el bloqueo de pantalla es a través de una restauración a los valores de fábrica (factory reset). Las opciones para hacerlo dependen de la versión de Android, pero la opción generalmente se encuentra en Ajustes → Copia de seguridad y restablecimiento → Restablecer valores de fábrica.

Si el dispositivo está rooteado, el usuario puede conectarse a él a través de Android Debug Bridge (ADB) y eliminar el archivo en el que se almacenó el PIN. Para que esto funcione, el dispositivo tiene que tener habilitado el debugging: Ajustes → Opciones de desarrollador → USB Debugging.

Así, se eliminará el PIN o contraseña de bloqueo de pantalla y el usuario podrá acceder al dispositivo. Luego, operando en modo seguro, puede desactivar los derechos de administrador del malware y desinstalarlo. En algunos casos, se necesita reiniciar el equipo.

“DoubleLocker es una razón más para que los usuarios de dispositivos móviles tengan una solución de seguridad de calidad instalada y hagan backup de su información regularmente”, concluyó Lukáš Štefanko.

Oct 14

Artículo: EEUU, Rusia, Israel, Kaspersky… Espionaje y ciberguerra

Las aplicaciones antivirus… realmente seguras?? 

http://blog.segu-info.com.ar/2017/10/eeuu-rusia-israel-kaspersky-espionaje-y.html?m=1

Transcripción literal:

 El uso de los productos de la compañía de seguridad informática de origen ruso Kaspersky Lab en sedes y ubicaciones del Gobierno de los Estados Unidos, quedó prohibido luego de encontrar que el software utilizado por esta empresa había sido utilizado en labores de espionaje.

kaspersky-hacking-news
Sin embargo, la compañía rusa tampoco ha demostrado fuerza al momento de blindar su información, ya que todo apunta a que un grupo de hackers israelíes pudieron acceder a información sensible de la compañía y también a la que fue presuntamente sustraída de Estados Unidos.

¿Ciberguerra?

Se podría afirmar que se trata de una guerra cibernética que cada día deja más matices de hostilidad, teniendo como protagonistas al gobierno ruso y a Kaspersky por un lado, y a Estados Unidos en el otro bando, sumando una razón más a la disputa política entre ambas naciones.

Ahora, expertos en seguridad han afirmado que hace un par de años, hackers vinculados al gobierno israelí, lograron acceder a la información de Kaspersky. Según los reportes esto habría ocurrido:

  1. Hackers vinculados a Israel tuvieron acceso a la información de hackers vinculados a Kaspersky.
  2. Los hackers de Israel encontraron que Kaspersky tenía información de las autoridades estadounidenses, obtenida presuntamente a través de los productos de seguridad de la empresa.

Partiendo del hecho de que Kaspersky está vinculado a Rusia, podría decirse que Rusia hackeó a Estados Unidos, e Israel hackeó a Rusia y obtuvo su información y la de los norteamericanos.

Israel, un nuevo participante

Al parecer, los israelíes habrían accedido a la hoja de ruta de la compañía de seguridad en relación a los productos de software y a las conversaciones con el gobierno ruso, es decir, cómo se ejecutó el acceso y robo de información clasificada a la Agencia Nacional de Inteligencia (NSA, por sus siglas en inglés). De hecho Israel también contó con el acceso no autorizado a esta información robada.

Según una publicación de The New York Times, Israel consiguió matar dos pájaros de un solo tiro, ya que pudieron acceder a la información de Kaspersky y además encontrarse con la información relacionada al gobierno de Estados Unidos. Es muy probable que este no sea el último episodio que vivamos en esta historia, ya que seguramente existen casos que aún no han salido y que seguramente serán publicados próximamente.

Entradas más antiguas «