tag:blogger.com,1999:blog-144234622024-03-19T05:48:06.587-03:00Segu-Info - Ciberseguridad desde 2000Noticias de Ciberseguridad desde Segu-InfoSeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.comBlogger1870125tag:blogger.com,1999:blog-14423462.post-82197747791428157472024-03-18T10:41:00.007-03:002024-03-18T10:41:33.593-03:00Nuevo ataque acústico determina las pulsaciones de teclas a partir de patrones de escritura<p>
Los investigadores han demostrado un nuevo
<b>ataque acústico de canal lateral en los teclados</b> que puede deducir la
entrada del usuario en función de sus patrones de escritura, incluso en malas
condiciones, como entornos con ruido.
</p>
<p>
Aunque el método logra una tasa de éxito promedio del 43%, que es
significativamente menor que
<a
href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-steals-data-from-keystrokes-with-95-percent-accuracy/"
rel="nofollow"
target="_blank"
>otros métodos presentados en el pasado</a
>, no requiere condiciones de grabación controladas ni una plataforma de
escritura específica.
</p>
<p>
Esto lo hace más aplicable en ataques reales y, dependiendo de algunos
parámetros específicos del objetivo, puede producir suficientes datos
confiables para descifrar la entrada general del objetivo con algún análisis
posterior a la captura.
</p>
<h3 style="text-align: left;">El ataque acústico</h3>
<p>
Los investigadores Alireza Taheritajar y Reza Rahaeimehr de la Universidad de
Augusta en Estados Unidos han publicado un
<a href="https://arxiv.org/pdf/2403.08740.pdf" rel="nofollow" target="_blank"
>artículo técnico</a
> [PDF] que presenta los detalles de su exclusivo método acústico de
canal lateral.
</p>
<p>
<b
>El ataque aprovecha las emisiones de sonido distintivas de diferentes
pulsaciones de teclas y el patrón de escritura de los usuarios capturado por
software especializado para recopilar un conjunto de datos.</b
>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="208"
data-original-width="800"
height="166"
src="https://www.bleepstatic.com/images/news/u/1220909/2024/Papers/comparison.png"
width="640"
/>
</div>
<p>
Es fundamental recopilar algunas muestras de escritura del objetivo para que
las pulsaciones de teclas y palabras específicas puedan correlacionarse con
las ondas sonoras.
</p>
<p>
El documento profundiza en los posibles métodos para capturar texto, pero
podría ser a través de malware, sitios web maliciosos o extensiones de
navegador, aplicaciones comprometidas, secuencias de comandos entre sitios o
teclados USB comprometidos.
</p>
<p>
La escritura del objetivo puede grabarse usando un micrófono oculto cerca de
él o de forma remota usando dispositivos comprometidos en las proximidades,
como teléfonos inteligentes, computadoras portátiles o parlantes inteligentes.
</p>
<p>
El conjunto de datos capturado incluye muestras de tipeo en diversas
condiciones, por lo que se deben registrar múltiples sesiones de tipeo, lo
cual es crucial para el éxito del ataque. Sin embargo, los investigadores
dicen que el conjunto de datos no tiene por qué ser particularmente grande.
</p>
<p>
Luego, el conjunto de datos se utiliza para entrenar un modelo estadístico que
produce un perfil completo de los patrones de escritura individuales del
objetivo en función de los intervalos de tiempo entre pulsaciones de teclas.
</p>
<p>
Los investigadores descubrieron que aceptar una desviación del 5% para el
modelo estadístico es crucial, ya que el comportamiento al escribir varía
ligeramente incluso cuando una persona escribe la misma palabra dos veces.
</p>
<p>
Por ejemplo, cualquier intervalo registrado entre A y B que se encuentre entre
95 milisegundos (100 - 5%) y 105 milisegundos (100 + 5%) podría considerarse
una coincidencia.
</p>
<p>
La desviación también ayuda a mitigar el impacto de los errores o el ruido en
la grabación, asegurando que las discrepancias menores no provoquen una falta
de coincidencia.
</p>
<p>
El método predice el texto escrito analizando grabaciones de audio de la
actividad del teclado, y la precisión se mejora al filtrar las predicciones a
través de un diccionario de inglés.
</p>
<p>
Lo que hace que el ataque sea diferente en comparación con otros enfoques es
que puede alcanzar una precisión de predicción de escritura del 43 % (en
promedio) incluso cuando:
</p>
<p></p>
<ul style="text-align: left;">
<li>las grabaciones contienen ruido ambiental</li>
<li>
las sesiones de escritura grabadas para el mismo objetivo se llevaron a cabo
en diferentes modelos de teclado.
</li>
<li>las grabaciones fueron tomadas usando un micrófono de baja calidad</li>
<li>el objetivo es libre de utilizar cualquier estilo de escritura</li>
</ul>
<p></p>
<p>
Por otro lado, el método tiene limitaciones que en ocasiones hacen que el
ataque sea ineficaz.
</p>
<p>
Por ejemplo, puede ser difícil perfilar a las personas que rara vez usan una
computadora y no han desarrollado un patrón de mecanografía consistente, o a
los mecanógrafos profesionales que escriben muy rápido.
</p>
<p>
Los resultados de las pruebas de 20 sujetos de prueba han producido un amplio
rango de éxito, desde el 15% hasta el 85%, lo que hace que algunos sujetos
sean mucho más predecibles y susceptibles que otros.
</p>
<p>
Los investigadores también observaron que la amplitud de la forma de onda
producida se acentúa menos cuando se utilizan teclados silenciosos
(interruptores mecánicos o de membrana con amortiguador de sonido), lo que
puede obstaculizar la eficacia del entrenamiento para el modelo de predicción
y reducir las tasas de detección de pulsaciones de teclas.
</p>
<p>
Fuente:
<a
href="https://www.bleepingcomputer.com/news/security/new-acoustic-attack-determines-keystrokes-from-typing-patterns/"
rel="nofollow"
target="_blank"
>BC</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-73077456185151692242024-03-16T10:36:00.001-03:002024-03-16T10:36:00.119-03:00La lucha actual para proteger los PLC y redes OT<p>
Han pasado muchos años desde que el infame ataque
<a href="https://blog.segu-info.com.ar/search/?q=stuxnet" rel="nofollow" target="_blank">Stuxnet</a>
puso de relieve las vulnerabilidades de los sistemas de tecnología operativa
(OT) que desempeñan un papel crucial en nuestra infraestructura crítica. Sin
embargo, a pesar de los avances, estos sistemas siguen expuestos, lo que
genera preocupación sobre nuestra preparación para futuras amenazas
cibernéticas.
</p>
<p>
Por ejemplo, un
<a href="https://www.darkreading.com/ics-ot-security/siemens-plcs-still-vulnerable-stuxnet-like-cyberattacks" rel="nofollow" target="_blank">artículo reciente de escrito por Dan Raywood</a>
destacó cómo los controladores lógicos programables (PLC), específicamente los
controladores de la marca Siemens, siguen siendo vulnerables.
</p>
<h3 style="text-align: left;">Vulnerabilidad de OT</h3>
<p>
<b>Un desafío central de la vulnerabilidad OT radica en el comportamiento
humano.</b>
Los actores de amenazas explotan el comportamiento humano. Esto conduce a
contraseñas débiles, actualizaciones desatendidas y un cumplimiento poco
estricto de los protocolos. Al explotar estas tendencias, los delincuentes
informáticos convierten contraseñas fáciles de adivinar en claves maestras y
aprovechan vulnerabilidades sin parches para obtener acceso.
</p>
<p>
<b>La convergencia de IT y OT crea un arma de doble filo. Si bien fomenta la
eficiencia y la innovación, también amplía la superficie de ataque.</b>
La creación de una red para gestionar dispositivos críticos (como los PLC)
que controlan maquinaria y la interconexión de TI y OT tiene el potencial
de convertirse en una pesadilla de seguridad.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="379" data-original-width="800" height="303" src="https://i.imgur.com/8oSRqc1.png" width="640" />
</div>
<h3 style="text-align: left;">
Lo mejor es un enfoque en capas para la seguridad de OT
</h3>
<p>
En principio se recomienda el uso de tecnología que aplique medidas de
seguridad, como la utilización de protocolos de cifrado modernos. Aunque esto
ofrece protecciones valiosas, está lejos de ser infalible. Los actores de
amenazas decididos aún pueden explotar vulnerabilidades sin parches o
aprovechar vectores de ataque alternativos, como la convergencia de IT y OT.
Si los atacantes están lo suficientemente motivados, podrían cambiar a otros
métodos en los que TLS resulte inútil. En referencia a las vulnerabilidades
del PLC de Siemens, el atacante puede enviar instrucciones API directamente al
PLC, dándole instrucciones que pueden dañar procesos críticos.
</p>
<p>
El artículo hace referencia a los comentarios de Colin Finck, líder
tecnológico de ingeniería inversa y conectividad en Enlyze, sobre el firmware
más reciente de Siemens que admite TLS, que según él no es lo suficientemente
bueno. En este sentido, el artículo es correcto, pero no dice explícitamente
que la ciberseguridad necesite un enfoque en capas, siendo el cifrado sólo una
pieza del rompecabezas.
</p>
<p>
Por ejemplo, seria recomendable implementar el enfoque de defensa en
profundidad para las operaciones de la planta y configurar el entorno de
acuerdo con los
<a href="https://www.siemens.com/cert/operational-guidelines-industrial-security" rel="nofollow" target="_blank">lineamientos operativos de Siemens</a> [PDF] para seguridad industrial.
</p>
<h3 style="text-align: left;">No confíes en nadie</h3>
<p>
<b>Aquí es donde la protección a nivel de dispositivo se vuelve crucial.
Proteger y asegurar dispositivos, como los PLC, proporciona una solución
tanto para las crecientes superficies de ataque como para el elemento
humano. La seguridad implica un enfoque simple: no confíes en nadie. Por lo
tanto, aplicar y hacer cumplir la confianza cero (Zero Trust) ayuda a
proteger la infraestructura crítica.</b>
</p>
<p>
Promover estas sólidas políticas de seguridad y establecer pautas claras para
un entorno OT seguro implica una
<b>verificación meticulosa de cada intento de acceso a los PLC</b>. Además, a
usuarios específicos se les deben conceder sólo los permisos mínimos
necesarios. Tanto los equipos de seguridad como los gerentes de OT deben
defender los controles de acceso, garantizando que solo los usuarios
autorizados puedan interactuar con los PLC que controlan los sistemas críticos
en la fábrica. La aplicación de estas políticas de seguridad evita que
determinados atacantes envíen instrucciones API directamente al PLC.
</p>
<h3 style="text-align: left;">Construir resiliencia</h3>
<p>
<b>Las vulnerabilidades de los PLC sirven como un crudo recordatorio de la
lucha actual para proteger nuestra infraestructura crítica.</b>
Siemens es sólo uno de los muchos proveedores de PLC, cada uno de los cuales
tiene diferentes vulnerabilidades.
</p>
<p>
Debido a esto, la ciberseguridad debe ser parte de las responsabilidades de
los gerentes de OT y equipos de IT. Deben comprender que es necesario un
enfoque por niveles, siendo el primer nivel la protección de los PLC. Hacer
cumplir y gestionar el acceso y las credenciales a los PLC transforma la
infraestructura vulnerable en infraestructura resiliente.
</p>
<p>
Fuente:
<a href="https://www.darkreading.com/ics-ot-security/ongoing-struggle-to-protect-plcs" rel="nofollow" target="_blank">Dark Reading</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-13850521388271032022024-03-13T09:07:00.002-03:002024-03-13T09:07:14.371-03:00Las pérdidas por ransomware aumentan un 74% en 2023 [FBI]<p>
Las pérdidas por ransomware en EE.UU. aumentaron a 59,6 millones de dólares en
2023, un aumento del 74% con respecto a la cifra reportada el año anterior de
34,4 millones de dólares, según el <a
href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
>informe "2023 INTERNET CRIME REPORT"</a
> [<a
href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
rel="nofollow"
target="_blank"
>PDF</a
>]
</p>
<p>
Esta cifra se calculó a partir de 2.825 incidentes de ransomware reportados al
FBI el año pasado, un aumento del 18% con respecto a 2022.
</p>
<p>
La agencia policial añadió que es probable que la cifra real sea mucho mayor,
ya que muchas infecciones de ransomware no se denuncian. Por ejemplo, cuando
el
<a
href="https://www.infosecurity-magazine.com/news/global-dismantles-hive-ransomware/"
rel="nofollow"
target="_blank"
>FBI se infiltró en la infraestructura del grupo Hive en 2023</a
>, descubrió que solo el 20% de las víctimas de Hive denunciaron a las
autoridades.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="315"
data-original-width="524"
height="385"
src="https://assets.infosecurity-magazine.com/content/span/7ec749d8-5404-42f0-bef1-a0a1688c5e56.png"
width="640"
/>
</div>
<p>
El FBI atribuyó en parte este aumento a que los actores de amenazas ajustaron
sus tácticas, como el despliegue de múltiples variantes de ransomware contra
la misma víctima y el uso de la destrucción de datos para aumentar la presión
sobre las víctimas para que negocien.
</p>
<p>
El Centro de Quejas de Delitos en Internet (IC3) del FBI recibió 1.193 quejas
de ataques de ransomware por parte de organizaciones de infraestructura
crítica.
</p>
<p>
La atención sanitaria fue el sector de infraestructura crítica más afectado
por el vector, con 249 informes. Le siguieron la manufactura crítica (218) y
las instalaciones gubernamentales (156).
</p>
<p>
La variante de ransomware que más afectó a las infraestructuras críticas el
año pasado fue LockBit (175 incidentes), seguida de ALPHV/BlackCat (100),
Akira (95), Royal (63) y Black Basta (41). En febrero de 2024, se informó que
una operación policial global
<a
href="https://www.infosecurity-magazine.com/news/operation-cronos-lockbit-takedown/"
rel="nofollow"
target="_blank"
>derribó la infraestructura de LockBit</a
>.
</p>
<p>
Por
<a
href="https://www.infosecurity-magazine.com/news/investment-fraud-biggest/"
rel="nofollow"
target="_blank"
>segundo año consecutivo</a
>, el fraude de inversiones fue el tipo de delito en Internet más costoso
rastreado por IC3, con pérdidas que aumentaron de 3.310 millones de dólares en
2022 a 4.570 millones de dólares en 2023.
</p>
<p>
El segundo vector más lucrativo para los atacantes fue el compromiso del
correo electrónico empresarial (BEC), con pérdidas de 2.900 millones de
dólares registradas en 21.489 quejas. Esto representa un pequeño aumento de
las pérdidas de 2.700 millones de dólares estimadas para BEC en 2022.
</p>
<p>
En tercer lugar se ubicaron las estafas de tecnología/atención al cliente y
suplantación de identidad del gobierno, responsables de más de 1.300 millones
de dólares en pérdidas. Estas estafas, que normalmente se perpetran desde
centros de llamadas, se dirigieron abrumadoramente a adultos mayores: el 40%
de los denunciantes tenían más de 60 años y este grupo sufrió el 58% de las
pérdidas.
</p>
<p>
El phishing fue el delito en Internet denunciado con más frecuencia el año
pasado, con casi 300.000 denuncias, un ligero descenso con respecto a 2022. Le
siguió la violación de datos personales, con 55.851 denuncias.
</p>
<p>
El FBI recibió un total de 880.418 denuncias de delitos en Internet en 2023,
un 10% más que en 2022. Las pérdidas estimadas aumentaron un 22% en el mismo
período, de 10.300 millones de dólares en 2022 a 12.500 millones de dólares en
2023.
</p>
<p>
Fuente:
<a
href="https://www.infosecurity-magazine.com/news/fbi-us-ransomware-losses-surge/"
rel="nofollow"
target="_blank"
>InfoSecurity</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-27511619761796849012024-03-11T09:00:00.001-03:002024-03-11T09:00:00.135-03:00Investigación demuestra que ataque remoto estilo Stuxnet es posible con malware de PLC basado en web<p>
Un equipo de investigadores ha desarrollado malware diseñado para atacar
controladores lógicos programables (PLC) modernos en un esfuerzo por demostrar
que se pueden lanzar ataques remotos estilo Stuxnet contra dichos sistemas de
control industrial (ICS).
</p>
<p>
Los investigadores son del Instituto de Tecnología de Georgia y han publicado
un
<a
href="https://www.ndss-symposium.org/wp-content/uploads/2024-49-paper.pdf"
rel="nofollow"
target="_blank"
>artículo "Compromising Industrial Processes using Web-Based Programmable Logic
Controller Malware"</a
> que detalla este proyecto de seguridad de ICS. Los autores
son Ryan Pickren, Tohid Shekari, Saman Zonouz, Raheem Beyah.
</p>
<p>
En el caso de los PLC tradicionales, un atacante puede apuntar a la capa
lógica de control o a la capa de firmware. Los ataques de firmware pueden
proporcionar un alto nivel de control del dispositivo y son difíciles de
detectar, pero el malware puede ser difícil de implementar. El malware de
lógica de control es más fácil de implementar, pero también de detectar. Ambos
escenarios requieren que el atacante tenga acceso privilegiado a la red
industrial de la organización objetivo.
</p>
<p>
En el caso de los PLC modernos, muchos incluyen un servidor web y se pueden
configurar, controlar y monitorear de forma remota a través de API dedicadas y
un navegador web normal que sirve como interfaz hombre-máquina (HMI).
</p>
<p>
Si bien estos PLC modernos pueden proporcionar muchos beneficios a las
organizaciones, los investigadores de Georgia Tech advierten que también
pueden ampliar significativamente la superficie de ataque de los ICS.
</p>
<p>
Para demostrar los riesgos, los investigadores desarrollaron lo que llaman
malware PLC basado en web, que reside en la memoria del controlador, pero que
los dispositivos equipados con navegador presentes en el entorno ICS ejecutan
en el lado del cliente. El malware puede abusar de las API web legítimas del
PLC para interrumpir los procesos industriales o dañar la maquinaria.
</p>
<p>
Este nuevo malware para PLC puede ser fácil de implementar y difícil de
detectar. La infección inicial se puede realizar a través del acceso físico o
de red a la HMI basada en web de destino, pero el malware también se puede
implementar directamente a través de Internet secuestrando la HMI utilizando
vulnerabilidades de origen cruzado.
</p>
<p>
Para lograr persistencia, este nuevo tipo de malware de PLC aprovecha los
trabajadores de servicios, que permiten que el código JavaScript se introduzca
en la memoria caché del navegador y se ejecute independientemente de la página
web que lo instaló. Además, seguirán ejecutándose hasta 24 horas después de
que el archivo haya sido eliminado del servidor. Con este método, el malware
puede sobrevivir a actualizaciones de firmware, nuevas HMI basadas en web e
incluso reemplazos de hardware.
</p>
<p>
Una vez que se ha implementado, las capacidades del malware dependen del poder
de las API legítimas basadas en web que se utilizan, y algunas de estas API
son muy poderosas. Por ejemplo, se pueden aprovechar para sobrescribir
directamente valores de entrada/salida, abusar de las entradas HMI, cambiar
puntos de ajuste y configuraciones de seguridad, falsificar la pantalla HMI,
actualizar configuraciones del administrador e incluso para la filtración de
datos en tiempo real.
</p>
<p>
Los investigadores dijeron que el malware también puede tener una conexión de
comando y control (C&C), incluso si el PLC objetivo está en una red
aislada.
</p>
<p>
Una vez que el actor de la amenaza lleva a cabo las tareas deseadas, puede
cubrir sus huellas haciendo que el malware se destruya a sí mismo, sobrescriba
la carga útil maliciosa con una carga útil benigna, cancele el registro de
todos los trabajadores del servicio y, potencialmente, incluso realice un
restablecimiento de fábrica del dispositivo.
</p>
<p>
<b
>Los investigadores demostraron su trabajo desarrollando un malware llamado
IronSpider,</b
>
que diseñaron para atacar los PLC de Wago. El ataque simulado implicó la
explotación de vulnerabilidades previamente desconocidas para implementar el
malware cuando el operador objetivo mira un banner publicitario especialmente
diseñado. El malware puede sabotear un motor industrial para causar daños
mientras falsifica la pantalla HMI para mostrar valores normales y evitar
levantar sospechas.
</p>
<p>
Algunas de las
<a
href="https://www.securityweek.com/critical-vulnerabilities-allow-hackers-to-take-full-control-of-wago-plcs"
rel="nofollow"
target="_blank"
>vulnerabilidades de Wago PLC</a
>
fueron descritas el año pasado luego de una conversación con Ryan Pickren, uno
de los investigadores de Georgia Tech involucrados en este proyecto de malware
para PLC.
</p>
<p>
<b
>IronSpider ha sido comparado con el notorio malware Stuxnet, que atacó el
programa nuclear de Irán hace más de una década.</b
>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="422"
data-original-width="800"
height="338"
src="https://www.securityweek.com/wp-content/uploads/2024/03/PLC-malware.png"
width="640"
/>
</div>
<p>
<i
>"Stuxnet saboteó las instalaciones nucleares iraníes modificando la señal
de salida analógica a unidades de frecuencia variable que controlaban las
centrifugadoras de enriquecimiento de uranio. Un resultado directo de este
sabotaje fue la destrucción física de más de 1.000 centrífugas y una
reducción del 30% en la capacidad operativa de las instalaciones"</i
>, dijeron los investigadores en su artículo.
</p>
<p>
Agregaron:
<i
>"Nuestro prototipo de malware, IronSpider, pudo lograr un ataque
fundamentalmente similar utilizando un enfoque drásticamente diferente.
Stuxnet atacó los PLC mediante malware de lógica de control que implementó a
través de estaciones de trabajo de ingeniería comprometidas […]. IronSpider,
sin embargo, utilizó malware basado en web que implementó utilizando un
sitio web malicioso sin necesidad de comprometer ningún sistema
periférico"</i
>.
</p>
<p>
Si bien el ataque se demostró contra un producto Wago, los investigadores
determinaron que este tipo de malware de PLC también se puede utilizar contra
PLC de Siemens, Emerson, Schneider Electric, Mitsubishi Electric y Allen
Bradley. Los ataques contra estos controladores implican la explotación de
vulnerabilidades recién descubiertas o conocidas previamente. En algunos
casos, para un ataque se requieren contraseñas FTP, protocolos inseguros o
información privilegiada.
</p>
<p>
Los expertos han creado un marco independiente del proveedor que se puede
utilizar para crear y analizar malware de PLC basado en web.
</p>
<p>
<i
>"Este marco explora cada etapa utilizando estrategias ampliamente
aplicables que pueden usarse contra la mayoría de los modelos de PLC
modernos y presenta una descripción general de cómo el código frontal
malicioso puede subvertir la integridad de los entornos ICS al comprometer
metódicamente las propiedades web de los PLC. Este marco se puede utilizar
como punto de referencia en estudios futuros en cualquier proveedor y modelo
de PLC"</i
>, explicaron los investigadores.
</p>
<p>
Fuente:
<a
href="https://www.securityweek.com/remote-stuxnet-style-attack-possible-with-web-based-plc-malware-researchers/"
rel="nofollow"
target="_blank"
>SecurityWeek</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-86446465941124398472024-03-09T16:06:00.003-03:002024-03-09T16:06:31.509-03:00Fraudes relacionados con criptos aumentaron un 53% en 2023 [FBI]<p>
La Oficina Federal de Investigación de los Estados Unidos (FBI) informó que el
fraude de inversión relacionado con criptomonedas constituyó la mayor parte de
las pérdidas de inversión dentro de los Estados Unidos en 2023.
</p>
<p>
En el
<a href="https://www.ic3.gov/Media/PDF/AnnualReport/2023_IC3Report.pdf"
>informe "2023 INTERNET CRIME REPORT"</a
>, el FBI declaró que las pérdidas de inversiones relacionadas con criptos
aumentaron de 2.57 mil millones de dólares en 2022 a alrededor de 3.94 mil
millones de dólares en 2023, lo que representa un aumento del 53%.
</p>
<p>
Mientras tanto, la cantidad total perdida de todas las inversiones en 2023
ascendió a 4,570 millones de dólares. Esto significa que los 3,940 millones de
dólares perdidos en fraudes relacionados con criptomonedas representaron
aproximadamente el 86% de todas las pérdidas por fraudes de inversión en la
nación.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="507"
data-original-width="800"
height="406"
src="https://s3.cointelegraph.com/uploads/2024-03/18bc29f2-65b2-4ad7-aad7-252cc0a8811f.png"
width="640"
/>
</div>
<p>
El FBI resaltó que un número cada vez mayor de víctimas se ven arrastradas a
estafas relacionadas con las criptomonedas atraídas por la promesa de obtener
importantes beneficios de sus inversiones.
</p>
<p>
<i
>"Estas estafas están diseñadas para atraer a las personas objetivo con la
promesa de lucrativos rendimientos de sus inversiones".</i
>
</p>
<p>
Una de las estafas cripto más comunes de las que la gente está
<a
href="https://es.cointelegraph.com/news/cryptocurrency-exchange-debiex-romance-scam-allegations"
>siendo víctima son las estafas románticas</a
>. En estos casos, un criminal adopta una identidad falsa en línea para
ganarse el afecto y la confianza de una víctima antes de crear una historia
para
<a
href="https://es.cointelegraph.com/news/crypto-romance-scammers-adopt-approval-phishing-scams-chainalysis"
>persuadir a la víctima a enviar criptos</a
>, sólo para desaparecer después.
</p>
<p>
En diciembre de 2023, Chainalysis informó que las estafas románticas
presuntamente fueron la causa de al menos 374 millones de dólares en criptos
robadas en 2023. Mientras tanto, el 1° de enero, Cointelegraph informó
que más de 324.000
<a
href="https://es.cointelegraph.com/news/crypto-phishing-scams-2023-300-million-dollars-324k-victims-report"
>usuarios de criptos fueron víctimas de estafas de phishing en 2023</a
>, con alrededor de USD 295 millones en activos digitales perdidos por
vaciadores de monederos.
</p>
<p>
Sin embargo, el aumento en el número de ciudadanos que son víctimas de estafas
con criptomonedas no es sólo en los EE.UU.; otros países de todo el mundo
también están experimentando un problema similar.
</p>
<p>
En abril de 2023, la Comisión Australiana de Competencia y Consumo informó que
los australianos perdieron 221.3 millones de dólares australianos (146.9
millones de dólares) por estafas de inversión
<a
href="https://es.cointelegraph.com/news/australian-crypto-scams-increased-by-over-162-with-nearly-150m-lost"
>en las que se utilizaron criptomonedas como método de pago en 2022</a
>, un aumento del 162.4% desde 2021.
</p>
<p>
Fuente:
<a
href="https://es.cointelegraph.com/news/crypto-investment-fraud-fbi-united-states-scams"
rel="nofollow"
target="_blank"
>CoinTelegraph</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-24180459421115866162024-03-01T10:00:00.003-03:002024-03-01T10:00:00.139-03:00Delitos en criptomonedas en la Darknet aumentaron en 2023 [Chainalysis]<p>
La industria de las criptomonedas continúa siendo objeto de ciberdelincuencia,
y los mercados de la darknet son una de las dos categorías que mostraron un
aumento en los ingresos en 2023, según el último informe de la
firma de análisis blockchain Chainalysis.
</p>
<p>
En su <a href="https://go.chainalysis.com/crypto-crime-2024.html"><b>"Informe de Crimen de Criptomonedas 2024"</b></a>, publicado ayer,
los datos revelaron que los mercados de la darknet recibieron ingresos de al
menos USD 1,7 mil millones. Esto fue un "rebote" desde sus datos de 2022
cuando las autoridades cerraron
<a href="https://es.cointelegraph.com/news/crypto-scams-fall-65-after-gullible-noobs-exit-the-market-chainalysis">el mercado de la darknet más grande del mundo</a>, Hydra.
</p>
<p>
Aunque ningún mercado reemplazó a Hydra, el informe reveló que los mercados
más pequeños están prosperando al servir nichos específicos y desarrollar
roles más "especializados". Chainalysis destacó que el Mega Darknet Market
lidera el paquete con más de medio billón de dólares en entradas de
criptomonedas.
</p>
<p>
No obstante, los ingresos generados por los mercados de la darknet aún no han
vuelto a los niveles máximos vistos durante el liderazgo de Hydra en el
mercado. El informe dijo:<br /><i>"Esperamos que las agencias de aplicación de la
ley continúen investigando y desmantelando los mercados de la darknet,
especialmente dado que muchos ofrecen productos de fentanilo en venta"</i>.
</p>
<p>
Eric Jardine, líder de investigación de ciberdelincuencia en Chainalysis, dijo
a Cointelegraph que el fenómeno de los <i>"mercados de la darknet de nicho"</i>
compitiendo por ganar cuota de mercado no es algo nuevo y sigue las tendencias
después de los cierres de mercados de la darknet como Silk Road y AlphaBay.
</p>
<p>
Además del aumento de los ingresos de los mercados de la darknet, 2023 vio más
del doble de las sanciones vinculadas a criptomonedas por parte de la Oficina
de Control de Activos Extranjeros (OFAC) de los Estados Unidos, con un total
de 18 sanciones a individuos o entidades, todas las cuales incluyeron
direcciones de criptomonedas en su designación.
</p>
<p>
Las entradas de criptomonedas a entidades y jurisdicciones sancionadas
representaron el 61.5% de todo el volumen de transacciones ilícitas, lo que
representa USD 14.9 mil millones en volumen de transacciones en 2023.
</p>
<p>
Según el informe, las sanciones vinculadas a criptomonedas cambiaron en 2023
de OFAC dirigirse a servicios importantes como Garantex y Hydra, y mezcladores
como Tornado Cash, a grupos y actores individuales.
</p>
<p>
La lista de individuos sancionados este año vinculados a criptomonedas incluyó
al grupo de piratería norcoreano Kimsuky, el mezclador de criptomonedas
Sinbad.io, la nacional rusa Ekaterina Zhdanova y el MSB Buy Cash con sede en
Gaza.
</p>
<p>
Sin embargo, el informe presentó algunas cifras más positivas, incluida una
disminución interanual en los ingresos de estafas basadas en criptomonedas.
Aunque las estafas siguen siendo uno de los mayores impulsores del crimen
basado en criptomonedas con USD 4.6 mil millones en ingresos para 2023, la
cifra bajó desde los USD 5.9 mil millones del año anterior.</p>
<p>
Sin embargo, 2023 vio un aumento en nuevos tipos de estafas, incluidas
<a href="https://es.cointelegraph.com/news/valentine-nightmare-romance-scams">estafas románticas —también conocidas como estafas de sacrificio de
cerdos (<i>pig-butchering</i>)</a>. Estos tipos de estafas
<a href="https://es.cointelegraph.com/news/defi-scams-evolution-pig-butchering-fraud">más que duplicaron los ingresos</a>
año tras año, con datos que sugieren un crecimiento de 85 veces desde
2020.</p><div class="separator" style="clear: both; text-align: center;"><a href="https://s3.cointelegraph.com/uploads/2024-02/d6aa49ea-f5c6-40f0-86a3-94613659ef5c.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="384" data-original-width="800" height="307" src="https://s3.cointelegraph.com/uploads/2024-02/d6aa49ea-f5c6-40f0-86a3-94613659ef5c.png" width="640" /></a></div><br /><p><br /></p>
<p>
Jardine dijo que las estafas románticas están en aumento porque <i>"son efectivas
—los estafadores no son nada si no son oportunistas. Estas estafas
llevan semanas o meses, ya que los estafadores buscan ganarse la confianza de
sus víctimas. Los usuarios que no son conscientes de las señales para detectar
estafas pueden caer fácilmente en la trampa".
</i></p>
<p>
Cuando se le preguntó sobre cualquier información para que los usuarios eviten
estafas y naveguen por la ciberdelincuencia vinculada a las criptomonedas en
2024, Jardine dijo: <i>"Crear un entorno en cadena más seguro y confiable
requiere acciones de varios actores del sector público y privado, así como de
los propios individuos".
</i></p>
<p>
Dijo que en el caso de las estafas, <i>"los individuos pueden ayudar a minimizar
su riesgo siendo cautelosos en sus interacciones en cadena y en línea"</i>,
mientras que otros actores en el ecosistema pueden ayudar a identificar las
huellas en cadena de las redes de estafas, y la aplicación de la ley <i>"puede
trabajar en diferentes jurisdicciones y con actores del sector privado para
intentar recuperar los fondos robados a las víctimas".
</i></p>
<p>
Jardine también enfatizó la importancia de utilizar servicios que enfaticen
activamente la seguridad en el espacio DeFi. Cuando se le preguntó sobre
cualquier información para que los usuarios eviten estafas y naveguen por la
ciberdelincuencia vinculada a las criptomonedas en 2024, Jardine dijo: <i>"Crear un entorno en cadena más seguro y confiable requiere acciones de varios
actores del sector público y privado, así como de los propios individuos".</i></p>
<p>
Dijo que en el caso de las estafas, <i>"los individuos pueden ayudar a minimizar
su riesgo siendo cautelosos en sus interacciones en cadena y en línea"</i>,
mientras que otros actores en el ecosistema pueden ayudar a identificar las
huellas en cadena de las redes de estafas, y la aplicación de la ley <i>"puede
trabajar en diferentes jurisdicciones y con actores del sector privado para
intentar recuperar los fondos robados a las víctimas".
</i></p>
<p>
Jardine también enfatizó la importancia de utilizar servicios que enfaticen
activamente la seguridad en el espacio DeFi. <i>"Una buena higiene digital,
especialmente en términos de gestión de contraseñas y frases de recuperación,
también es crucial"</i>, dijo.
</p><p>Fuente: <a href="https://es.cointelegraph.com/news/darknet-market-crypto-crimes-rise-chainalysis" rel="nofollow" target="_blank">CoinTelegraph</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-87252294125338745012024-02-22T09:19:00.000-03:002024-02-22T09:19:00.241-03:00Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023<p>
La explotación de vulnerabilidades por parte de los grupos de ransomware se
divide en dos categorías claras: vulnerabilidades que solo han sido explotadas
por uno o dos grupos y aquellas que han sido ampliamente explotadas por varios
grupos. Cada una de estas categorías requiere un enfoque diferente para la
defensa y la mitigación y este
<a href="https://www.recordedfuture.com/patterns-targets-ransomware-exploitation-vulnerabilities-2017-2023" rel="nofollow" target="_blank">informe de Recorded Future</a>
profundiza en estos aspectos.
</p>
<p>
Los grupos de actores de amenazas que son los únicos que atacan ciertas
vulnerabilidades tienden a seguir preferencias específicas de orientación y
uso de armas, lo que permite a las empresas priorizar las defensas de la red y
las auditorías de los proveedores. La mejor defensa contra los grupos que
favorecen la explotación única es crear un perfil de sus objetivos más
probables, tanto en términos de productos como de tipos de vulnerabilidad.
</p>
<p>
Las vulnerabilidades ampliamente explotadas se encuentran en el software que
se utiliza con frecuencia en las grandes empresas. Estas vulnerabilidades
suelen explotarse fácilmente mediante módulos de pruebas de penetración o
líneas mínimas de código centradas en dispositivos que aceptan solicitudes
HTTP/S.
</p>
<p>
<b>Las mejores defensas contra la explotación generalizada son parchear las
vulnerabilidades tan pronto como estén disponibles,</b>
monitorear la investigación de seguridad para detectar vulnerabilidades
simples de prueba de concepto y monitorear los foros criminales en busca de
referencias a componentes de la pila tecnológica (en lugar de vulnerabilidades
específicas).
</p>
<h3 style="text-align: left;">Resultados clave</h3>
<p></p>
<ul style="text-align: left;">
<li>
Los grupos de ransomware son los únicos que explotan tres o más
vulnerabilidades y muestran un claro enfoque de selección, que los
defensores pueden utilizar para priorizar las medidas de seguridad. Por
ejemplo, CL0P se ha centrado de manera única en el software de transferencia
de archivos de Accellion, SolarWinds y MOVEit. Otros grupos de ransomware
con altos niveles de explotación única muestran patrones similares.
</li>
<li>
Todas las vulnerabilidades que los grupos de ransomware han atacado con
mayor frecuencia se encuentran en el software utilizado con frecuencia por
las grandes empresas y pueden explotarse fácilmente mediante módulos de
prueba de penetración o líneas individuales de código curl. Estas
vulnerabilidades son ProxyShell (CVE) 2021 (34473), CVE (2021) 34523 y CVE
(2021) 31207, ZeroLogon (CVE 2020) 1472, Log4Shell (CVE 2021) 44228, CVE
2021 (3). 4527 y CVE 2019 19781.
</li>
<li>
Las vulnerabilidades que requieren vectores únicos o personalizados para
explotar (por ejemplo, archivos maliciosos que utilizan formas particulares
de compresión) tienen más probabilidades de ser explotadas por sólo uno o
dos grupos.
</li>
<li>
Es muy poco probable que los operadores y afiliados de ransomware hablen
sobre vulnerabilidades específicas, pero el ecosistema cibercriminal que los
respalda ha discutido vulnerabilidades y productos públicamente conocidos
como objetivos de interés para la explotación.
</li>
</ul>
<p>
Las tres principales identificaciones (ID) de CWE para vulnerabilidades
explotadas por grupos de ransomware son las siguientes:
</p>
<p></p>
<ul style="text-align: left;">
<li>CWE 20 (Validación de entrada incorrecta): nueve vulnerabilidades</li>
<li>
CWE 22 (Limitación inadecuada de un nombre de ruta a un directorio
restringido ["Path Traversal"]): nueve vulnerabilidades
</li>
<li>CWE 787 (escritura fuera de límites): ocho vulnerabilidades</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://i.imgur.com/kvguWgp.png" target="_blank">
<img border="0" data-original-height="487" data-original-width="800" height="390" src="https://i.imgur.com/kvguWgp.png" width="640" /></a>
</div>
<p>
Este resultado no es del todo sorprendente, ya que se alinea aproximadamente
con patrones más amplios observados en el panorama de amenazas. Por ejemplo,
CWE 20, CWE 22 y CWE 787 figuraron entre los diez CWE principales en la lista
de las
<a href="https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html" rel="nofollow" target="_blank">25 debilidades de software más peligrosas de 2023 de CISA / MITRE</a>, una clasificación elaborada a partir del análisis de los CVE que se
explotan actualmente en el salvaje.
</p>
<h3 style="text-align: left;">
La explotación generalizada se concentra en los grandes proveedores y los
scripts fáciles.
</h3>
<p>
De todas las vulnerabilidades explotadas por las operaciones de ransomware,
cinco se destacaron como aquellas que atrajeron la mayor atención de los
actores de amenazas, habiendo sido explotadas por el mayor número de actores
de amenazas de ransomware individuales.
</p>
<p>
Estas vulnerabilidades son ProxyShel, ZeroLogon, Log4Shell, CVE 2021 34527,
que afectó a productos empresariales de Microsoft como Exchange, Netlogon y
Print Spooler, y CVE 2019 19781, que afectó al software de Citrix.
</p>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://i.imgur.com/LmyW4Z3.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="477" data-original-width="800" height="382" src="https://i.imgur.com/LmyW4Z3.png" width="640" /></a>
</div>
<br />
<p>
El dominio de Microsoft aquí no es sorprendente: como hemos identificado en
<a href="https://www.recordedfuture.com/blog/2021-vulnerability-landscape" rel="nofollow" target="_blank">informes anteriores</a>, Microsoft es regularmente el proveedor más afectado por la explotación de
Zero-Days y por el ransomware en general, ya que alrededor del 55% de las
vulnerabilidades explotadas por tres o más grupos estaban en productos de
Microsoft.
</p>
<p>
Las cinco vulnerabilidades principales también resultaron muy populares en el
panorama de amenazas más amplio una vez reveladas debido a factores como el
alto impacto en términos de acceso o control sobre los sistemas y la ubicuidad
del software afectado. Por ejemplo, se observó repetidamente que grupos de
estados-nación y otros ciberdelincuentes que no utilizan ransomware atacaban
estas vulnerabilidades como parte de sus operaciones de intrusión.
</p>
<p>
Al examinar las actividades de los grupos de ransomware y el uso de
vulnerabilidades conocidas públicamente en foros, se identificaron dieciséis
CVE no solo a los que se hace referencia en foros criminales sino que también
son explotados por miembros de ransomware como servicio y RaaS.
</p>
<h3 style="text-align: left;">
Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023
</h3>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://i.imgur.com/iZltNl9.png" style="margin-left: 1em; margin-right: 1em;" title="(clic para agrandar)"><img border="1" src="https://i.imgur.com/iZltNl9.png" title="(clic para agrandar)" width="780" /></a>
</div>
<div class="separator" style="clear: both; text-align: center;">
(clic para agrandar)
</div>
<p>
Los ciberdelincuentes afiliados a RaaS se encuentran en estos foros delictivos
y pueden utilizar estas publicaciones en los medios para facilitar su interés
en explotar una vulnerabilidad.
</p>
<h3 style="text-align: left;">Mitigaciones</h3>
<p>
Con base en los hallazgos y evaluaciones anteriores, consideramos que las
siguientes son las defensas más efectivas contra la explotación de
vulnerabilidades por parte de los operadores de ransomware:
</p>
<ul style="text-align: left;">
<li>
A menos que sea necesario, asegúrese de que los dispositivos y las redes no
puedan recibir solicitudes entrantes en los puertos 80 HTTP y 443 HTTPS. La
explotación de vulnerabilidades del ransomware de mayor volumen muestra una
clara preferencia por las vulnerabilidades críticas que pueden explotarse
mediante unas pocas líneas de código contra dispositivos que pueden recibir
solicitudes HTTP/S.
</li>
<li>
Monitorear artículos, blogs y repositorios de códigos de investigadores de
seguridad en busca de referencias a una sintaxis de explotación simple
basada en solicitudes HTTP/S (como el código curl). Esta información se
puede utilizar para configurar detecciones de intentos de explotación contra
dispositivos que deben permanecer accesibles públicamente.
</li>
<li>
Para los grupos de ransomware de interés, identifique si dichos grupos
explotan vulnerabilidades específicas y dónde, para crear un perfil de los
objetivos más probables, tanto en términos de productos como de tipos de
vulnerabilidad. Por ejemplo, las organizaciones preocupadas por CL0P
deberían priorizar mayores medidas de seguridad contra la inyección SQL en
el software de transferencia de archivos. Alternativamente, las
organizaciones preocupadas por ALPHV deberían priorizar el refuerzo de la
autenticación para el software de respaldo de datos.
</li>
<li>
<b>
Parchee las vulnerabilidades críticas y ampliamente explotadas lo más
rápido posible.</b>
Las estadísticas de tiempo de permanencia anteriores demuestran que los
grupos de ransomware pueden explotar la infraestructura vulnerable de las
víctimas más de tres años después de la divulgación de una vulnerabilidad.
</li>
<li>
No utilice el monitoreo de foros criminales como una forma confiable de
identificar el interés de los grupos de ransomware en vulnerabilidades
específicas, ya que estos grupos rara vez discuten dichas vulnerabilidades.
Además, no confíe en las alertas de menciones criminales de identificadores
CVE, ya que los delincuentes generalmente hablan de los identificadores CVE
solo después de que se ha producido la explotación. En su lugar, supervise
las discusiones criminales sobre proveedores y productos preocupantes.
</li>
</ul>
<p></p>
<p>
Fuente:
<a href="https://www.recordedfuture.com/patterns-targets-ransomware-exploitation-vulnerabilities-2017-2023" rel="nofollow" target="_blank">Recorded Future</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-29965172804346324402024-02-13T10:00:00.001-03:002024-02-29T16:01:47.393-03:00Los pagos de ransomware superan los mil millones de dólares en 2023 [Chainalysis]<p>
En 2023, los actores del ransomware intensificaron sus operaciones, apuntando
a instituciones de alto perfil e infraestructura crítica, incluidos
hospitales, escuelas y agencias gubernamentales. Se llevaron a cabo
importantes ataques de ransomware a la cadena de suministro aprovechando el
omnipresente software de transferencia de archivos
<a href="https://www.cisa.gov/news-events/alerts/2023/06/07/cisa-and-fbi-release-stopransomware-cl0p-ransomware-gang-exploits-moveit-vulnerability" rel="nofollow" target="_blank">MOVEit</a>, lo que afectó a empresas que van
<a href="https://www.bbc.com/news/technology-65814104" rel="nofollow" target="_blank">desde la BBC</a>
hasta British Airways.
</p>
<p>
Según el <a href="https://www.chainalysis.com/blog/ransomware-2024/" rel="nofollow" target="_blank">informe de Chainalysis</a>, en 2023, el panorama del ransomware experimentó una importante escalada en
la frecuencia, el alcance y el volumen de los ataques.
</p>
<div>
Como resultado de estos y otros ataques,
<b>las bandas de ransomware alcanzaron un hito sin precedentes, superando los
mil millones de dólares en pagos extorsionados en criptomonedas a las
víctimas.</b>
</div>
<h3 style="text-align: left;">2023: un año decisivo para el ransomware</h3>
<p>
Los pagos de ransomware en 2023 superaron la marca de los mil millones de
dólares, la cifra más alta jamás observada. Aunque en 2022 se produjo una
disminución en el volumen de pagos de ransomware, la línea de tendencia
general de 2019 a 2023 indica que el ransomware es un problema en aumento.
</p>
<p>
Se debe tener en cuenta que esta cifra <u>no</u> refleja el impacto económico
de la pérdida de productividad y los costos de reparación asociados con los
ataques. Esto es evidente en casos como el audaz ataque de ALPHV-BlackCat y
Scattered Spider a los complejos turísticos de MGM. Si bien
<a href="https://www.securityweek.com/mgm-resorts-says-ransomware-hack-cost-110-million/" rel="nofollow" target="_blank">MGM no pagó</a>
el rescate, estima que los daños le costaron a la empresa más de 110 millones
de dólares.
</p>
<p>
El panorama del ransomware no sólo es prolífico sino que se expande
continuamente, lo que dificulta monitorear cada incidente o rastrear todos los
pagos de rescate realizados en criptomonedas. Es importante reconocer que
nuestras cifras son estimaciones conservadoras y que probablemente aumentarán
a medida que se descubran nuevas direcciones de ransomware con el tiempo. Por
ejemplo, el informe inicial para 2022 sobre delitos del año pasado mostró 457
millones de dólares en rescates, pero desde entonces esta cifra se ha revisado
al alza en un 24,1%.
</p>
<p>
Los ataques de ransomware fueron llevados a cabo por una variedad de actores,
desde grandes sindicatos hasta grupos e individuos más pequeños, y los
expertos dicen que su número está aumentando. Allan Liska, analista de
inteligencia de amenazas de la empresa de ciberseguridad
<a href="https://www.recordedfuture.com/solutions/ransomware" rel="nofollow" target="_blank">Recorded Future, señala</a>:
<i>"Un aspecto importante que estamos viendo es el crecimiento astronómico en
el número de actores de amenazas que llevan a cabo ataques de ransomware"</i>. <a href="https://therecord.media/ransomware-payments-doubled-to-more-than-1-billion-2023" rel="nofollow" target="_blank">Recorded Future informó 538 nuevas variantes de ransomware en 2023</a>, lo que
apunta al surgimiento de nuevos grupos independientes.
</p>
<p>
Podemos ver algo de esa variedad en el gráfico a continuación, que muestra las
cepas de ransomware más activas por trimestre desde principios de 2022 hasta
2023.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="617" data-original-width="800" height="494" src="https://www.chainalysis.com/wp-content/uploads/2024/02/chart-4-bubble-chart-1024x790.png" width="640" />
</div>
<p>
También podemos ver diferencias significativas en las estrategias de
victimización de las principales cepas de ransomware, que representa el tamaño
medio del rescate de cada cepa versus su frecuencia de ataques. El gráfico
también ilustra numerosos nuevos participantes y filiales en 2023, que sabemos
que a menudo reutilizan el código de las cepas existentes. Esto sugiere un
número cada vez mayor de nuevos actores, atraídos por el potencial de obtener
altas ganancias y menores barreras de entrada.
</p>
<p>
Investigadores explican que grupos como Clop están apostando a una estrategia
de "caza mayor". Realizan menos ataques, pero recaudan cada vez más. Una
proporción cada vez mayor de todo el volumen de pagos de ransomware se compone
de rescates de 1 millón de dólares o más.
</p>
<p>
El ransomware, junto con los pagos en actividades ilegales en la Darknet,
fueron las dos formas de criptodelito que registraron un pico en los ingresos
durante 2023. Chainalysis destaca que este salto demuestra que los actores
maliciosos se están adaptando poco a poco a las mejoras en ciberseguridad de
las organizaciones.
</p>
<p>
El reporte también destaca el auge de otra metodología: el ransomware como
servicio (RaaS). Esta estrategia es ejecutada por personas externas, conocidas
como afiliados, que pueden acceder al malware para llevar a cabo distintos
ataques. Como contraprestación, pagan una parte de las ganancias del rescate a
los operadores principales del software malicioso.
</p>
<p>
Es el caso de Phobos, por ejemplo, que además simplifica el proceso para que
los delincuentes informáticos con menos habilidad técnica puedan secuestrar
datos.
<i>"A pesar de apuntar a entidades más pequeñas y exigir rescates más bajos,
el modelo RaaS es un multiplicador de fuerza, lo que permite a la cepa
llevar a cabo una gran cantidad de estos ataques más pequeños"</i>, destaca el informe.
</p>
<p>
Mientras el ransomware y los delitos de la Darknet aumentan, la recaudación
relacionada con estafas y ataques de criptomonedas cayó durante el año
pasado. Según se informó a comienzos de este año, se <a href="https://www.chainalysis.com/blog/2024-crypto-crime-report-introduction/" rel="nofollow" target="_blank">enviaron al menos 24.200 millones de dólares en criptomonedas</a> a organizaciones ilícitas en 2023. En su mayoría, asociadas a
entidades o países sancionados por Estados Unidos, acusados de financiar el
terrorismo y lavar dinero.
</p>
<p>
<b>El informe completo se puede descargar desde
<a href="https://www.chainalysis.com/blog/ransomware-2024/" rel="nofollow" target="_blank">"Ransomware Payments Exceed $1 Billion in 2023, Hitting Record High After
2022 Decline"</a></b>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-11642053160607042572024-02-01T14:24:00.000-03:002024-02-01T14:24:00.244-03:00Principales errores de la postura de seguridad<p>
Cada año presenta un nuevo conjunto de desafíos y oportunidades para
fortalecer nuestra postura de ciberseguridad. Es la naturaleza del campo: la
velocidad a la que los actores maliciosos llevan a cabo amenazas persistentes
avanzadas genera una batalla constante y en evolución por la resiliencia
cibernética.
<b>La ilusión en ciberseguridad reside en esa adaptación y aprendizaje
continuo, estando siempre un paso por delante de las posibles amenazas.</b>
</p>
<p>
Como profesionales de una industria que opera las 24 horas del día, esta
hipervigilancia se convierte en algo natural. Siempre estamos en un estado
constante de preparación, anticipando el próximo paso, adaptando estrategias y
contrarrestando amenazas. Sin embargo, sigue siendo igualmente crucial estar
al tanto de las vulnerabilidades más comunes que afectan las posturas de
seguridad en este momento. ¿Por qué? Conocer estos puntos débiles no se trata
sólo de defensa; se trata de garantizar una continuidad empresarial sólida e
ininterrumpida en un entorno donde los riesgos siempre están a la vuelta de la
esquina.
</p>
<h3 style="text-align: left;">
<b>La importancia de evaluar periódicamente su postura de seguridad</b>
</h3>
<p>
El camino para construir una postura de seguridad ciberresiliente comienza con
la identificación de las vulnerabilidades existentes. Según el
<a href="https://www.tripwire.com/state-of-security/insight-vulnerability-management-report" rel="nofollow" target="_blank">informe Tripwire</a>, cuando se le pregunta a una empresa sobre la visibilidad de sus
vulnerabilidades, menos de la mitad de los profesionales de la ciberseguridad
afirman tener una visibilidad alta (35%) o completa (11%). En el mejor de los
casos, más de la mitad de las organizaciones (51%) sólo tienen una visibilidad
moderada de sus vulnerabilidades.
</p>
<p>
Las evaluaciones periódicas son una de las principales formas de evaluar la
postura de seguridad de su organización y obtener la visibilidad que necesita
para comprender dónde están los riesgos. Estas evaluaciones revisan
exhaustivamente las prácticas e infraestructura de ciberseguridad de su
organización y pueden variar en alcance y frecuencia según las necesidades de
su organización y la madurez de su programa de riesgos.
</p>
<p>
Cuando se trata del programa de gestión de vulnerabilidades, la mayoría de las
empresas cuentan con un programa de este tipo. Según la encuesta, una gran
mayoría de las organizaciones (71%) tienen un programa formal interno de
gestión de vulnerabilidades. Pocas organizaciones (12%) tienen solo programas
informales ad hoc, el 8% tienen programas administrados por terceros y el 9%
no tiene ningún programa.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="517" data-original-width="728" height="454" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdCRy0sF6vYPtosDliSNPgU5N-mRUVHiiOgVYBDhzK4YFCMvgRTk63lc_hgoDj32M7ntJeWO7_K5P3VooDly2j6kqMCn2Ds_5zANNWK8vY934jMCfI5kB9ZkgkFh_9Q-IeiuayeqbTcjENAUcDd9aUuBb12igaxWiPO2hhXkJrn3i3XTy4j5VHR87nKdI/w640-h454/THN-AP_Frequency-Chart_1.png" width="640" />
</div>
<h3>Madurez de seguridad y frecuencia de pruebas</h3>
<p>
Este nivel se distingue por el análisis de riesgos y la priorización en el
entorno:
</p>
<ul style="text-align: left;">
<li>NIVEL 0: Sin programa de gestión de vulnerabilidades.</li>
<li>NIVEL 1 – Escaneo: sin análisis ni orientación de remediación.</li>
<li>
NIVEL 2 – Evaluación y cumplimiento: estrategia estructurada con
evaluaciones periódicas del cumplimiento y las mejores prácticas. Procesos
establecidos.
</li>
<li>
NIVEL 3 – Análisis y priorización: análisis más allá del ranking CVSS; La
priorización de las amenazas está determinada por el riesgo específico del
entorno de TI individual.
</li>
<li>
NIVEL 4: Gestión de ataques: utiliza datos de pruebas de escaneo para
identificar cómo un ataque de amenaza podría moverse a través del sistema.
</li>
<li>
NIVEL 5 – Gestión de riesgos empresariales: un programa de gestión
completamente desarrollado que tiene en cuenta todo el entorno, analiza
datos de escaneos de vulnerabilidades y pruebas de penetración, examina
métricas para identificar tendencias y utiliza procesos mejorados y técnicas
de remediación.
</li>
</ul>
<p>
Aparte de esto, cuando se trata de capacidades de gestión de
vulnerabilidades, la encuesta encontró que la evaluación de vulnerabilidades
(70%) encabezó la lista. Le siguen el descubrimiento de activos (66%), el
escaneo de vulnerabilidades (63%) y las funciones de gestión de riesgos
(61%).
</p>
<p>
De acuerdo a estas estrategias se puede medir la madurez de la organización:
</p>
<ul style="text-align: left;"><li>Estrategia inmadura o sin riesgo: las evaluaciones no se realizan con una frecuencia continua o se realizan de forma ad hoc. </li><li> Estrategia de riesgo emergente o ad hoc: las evaluaciones se realizan con cierta frecuencia, generalmente trimestral o mensual. </li><li> Estrategia madura o establecida: las evaluaciones se realizan de forma continua, generalmente mensualmente. </li><li> Estrategia avanzada: las evaluaciones periódicas están integradas en el programa general de riesgos y se realizan mensual o semanalmente, según el tipo de prueba.</li></ul><h3 style="text-align: left;">Frecuencia de prueba sugerida por marco común</h3>
<ul style="text-align: left;">
<li>
<a href="https://www.nist.gov/cyberframework" rel="nofollow" target="_blank">NIST CSF</a>: Las pautas del Instituto Nacional de Estándares y Tecnología (NIST)
varían de escaneos trimestrales a mensuales, según las pautas específicas
del marco rector.
</li>
<li>
PCI DSS: El Estándar de seguridad de datos de la industria de tarjetas de
pago (PCI DSS) exige análisis trimestrales.
</li>
<li>
HIPAA: La Ley de Responsabilidad de Protección de la Información de Salud
(HIPAA) no requiere intervalos de escaneo específicos, pero enfatiza la
importancia de una estrategia de evaluación bien definida.
</li>
</ul>
<h3 style="text-align: left;">Tipos de evaluaciones periódicas</h3>
<ul style="text-align: left;">
<li>Escaneos de vulnerabilidad</li>
<li>Pruebas de penetración</li>
<li>Simulaciones de infracciones y ransomware</li>
<li>Escaneos de reputación de seguridad</li>
<li>Análisis de impacto empresarial</li>
<li>Evaluación de la postura de seguridad</li>
<li>
La realización de evaluaciones de forma rutinaria permite a su organización
identificar de forma preventiva posibles amenazas y vulnerabilidades de
seguridad, de forma muy similar a los controles preventivos de salud para la
ciberseguridad de su organización.
</li>
</ul>
<h3 style="text-align: left;">Las 6 principales vulnerabilidades</h3>
<p>
Ahora, exploremos las vulnerabilidades que se encuentran comúnmente durante
estas evaluaciones periódicas de la postura de seguridad y su impacto
potencial en la integridad de la seguridad de su organización.
</p>
<h4 style="text-align: left;">
1. Brechas en el programa de gestión de vulnerabilidades
</h4>
<p>
Un programa estructurado de gestión de vulnerabilidades es la piedra angular
de la ciberseguridad proactiva para su organización. Sirve como radar de su
organización para identificar y abordar rápidamente las debilidades de
seguridad. Las organizaciones que carecen de un programa de este tipo se
exponen a riesgos importantes, como una mayor exposición a vulnerabilidades
conocidas, una gestión de parches ineficiente y una capacidad reducida para
priorizar las vulnerabilidades críticas.
</p>
<h4 style="text-align: left;">2. Deficiencias en Detección y Monitoreo</h4>
<p>
Los sistemas de detección inadecuados pueden dejar a su organización ciega
ante las amenazas en curso, permitiendo a los atacantes operar sin ser
detectados durante períodos prolongados. Sin sistemas de detección adecuados,
como sistemas avanzados de detección de intrusiones (IDS) o soluciones de
gestión de eventos e información de seguridad (SIEM), existe el riesgo de que
la detección de amenazas se retrase o se pierda, aumente el tiempo de
permanencia de los atacantes y un mayor potencial de filtración de datos.
</p>
<p>
Para mejorar este aspecto, es crucial introducir herramientas y estrategias de
seguimiento avanzadas. Implementar tecnologías de respuesta y detección de
amenazas de última generación, utilizar análisis de comportamiento para la
detección de anomalías y realizar ejercicios de búsqueda de amenazas son
algunos de los enfoques clave para mejorar las capacidades de detección.
</p>
<p>
La ausencia de tales medidas retrasa la identificación de amenazas y
obstaculiza la capacidad de responder de manera efectiva y oportuna.
Implementar un sistema de detección y monitoreo sólido y completo es esencial
para mantener una defensa sólida contra las ciberamenazas en evolución. Esto
incluye actualizar y perfeccionar continuamente las metodologías de detección
para mantenerse a la vanguardia de los últimos vectores y técnicas de ataque
utilizados por los ciberdelincuentes.
</p>
<h4 style="text-align: left;">3. Falta de políticas y procedimientos</h4>
<p>
Las organizaciones necesitan políticas y procedimientos formalizados de
ciberseguridad para gestionar eficazmente los riesgos de seguridad. Sin esto,
existen numerosas consecuencias, incluidas prácticas de seguridad
inconsistentes en todos los departamentos, capacidades de respuesta a
incidentes debilitadas, dificultad para garantizar el cumplimiento de las
regulaciones y una mayor exposición a consecuencias legales, regulatorias,
financieras y de reputación.
</p>
<p>
Elaborar e implementar políticas de seguridad integrales implica desarrollar y
documentar estas políticas con claridad, garantizar que se comuniquen de
manera efectiva a todos los empleados y educarlos sobre la importancia del
cumplimiento.
</p>
<p>
Se necesitan revisiones, actualizaciones y adaptaciones periódicas de estas
políticas para mantener el ritmo de la evolución del panorama de las amenazas
cibernéticas. Esto también garantiza que las medidas de ciberseguridad de la
organización sigan siendo relevantes y efectivas. Además, contar con un
conjunto de procedimientos bien definidos ayuda a estandarizar las respuestas
a incidentes de seguridad, lo que ayuda a minimizar el impacto y acelerar los
tiempos de recuperación en caso de una brecha.
</p>
<h4 style="text-align: left;">4. Prácticas de prueba inadecuadas</h4>
<p>
Las pruebas periódicas de los sistemas de seguridad y los planes de respuesta
a incidentes son vitales para identificar debilidades y garantizar la
preparación para ataques del mundo real. Esto incluye realizar pruebas de
penetración periódicas para descubrir vulnerabilidades, crear, practicar y
ajustar planes de respuesta a incidentes y participar en evaluaciones de
seguridad de terceros. No se puede subestimar la importancia de las pruebas
periódicas, ya que no solo ayudan a identificar vulnerabilidades antes de que
lo hagan los atacantes, sino que también evalúan la eficacia de los controles
de seguridad existentes.
</p>
<p>
Además, las pruebas periódicas garantizan una respuesta rápida y eficaz a los
incidentes, mitigando posibles daños de forma proactiva. Esta práctica es
crucial para mantener una postura de ciberseguridad actualizada y resiliente,
capaz de defenderse contra las últimas amenazas a la seguridad. La
colaboración con expertos externos para las evaluaciones aporta una
perspectiva externa, que a menudo descubre puntos ciegos que los equipos
internos podrían pasar por alto.
</p>
<h4 style="text-align: left;">5. Capacitación y Concientización</h4>
<p>
El personal insuficientemente capacitado puede introducir vulnerabilidades sin
darse cuenta y hacer que una organización sea más susceptible a los ataques.
El problema de una formación insuficiente provoca configuraciones erróneas,
errores humanos y falta de reconocimiento y respuesta a las amenazas, lo que
reduce la eficacia de los controles de seguridad. Para abordar esto, son
cruciales enfoques para la capacitación en concientización sobre seguridad.
Proporcionar capacitación continua en ciberseguridad, fomentar el desarrollo
profesional y las certificaciones y fomentar una cultura de concienciación
sobre la seguridad son medidas clave.
</p>
<p>
Estas iniciativas de capacitación ayudan a garantizar que el personal de todos
los niveles esté equipado para identificar y responder a las amenazas a la
seguridad de manera efectiva. Al mantener a la fuerza laboral informada y
vigilante, las organizaciones pueden reducir significativamente el riesgo de
infracciones causadas por errores humanos. Este enfoque proactivo para la
capacitación del personal es un componente crítico de una estrategia integral
de ciberseguridad.
</p>
<h3 style="text-align: left;">Adopción e implementación del marco</h3>
<p>
Seleccionar y adherirse a un marco de ciberseguridad es crucial para las
organizaciones que buscan establecer un enfoque estructurado de seguridad. La
necesidad de marcos radica en proporcionar una hoja de ruta clara para la
seguridad, garantizar la alineación con las mejores prácticas de la industria
y facilitar el cumplimiento de las regulaciones. El proceso recomendado para
la selección del marco implica evaluar las necesidades específicas y la
tolerancia al riesgo de su organización, elegir un marco adecuado (por
ejemplo,
<a href="https://www.nist.gov/cyberframework" rel="nofollow" target="_blank">NIST Cybersecurity Framework</a>) y personalizarlo para que se ajuste a los requisitos únicos de la
organización.
</p>
<p>
La adopción e implementación del marco proporciona un enfoque estructurado y
metódico para gestionar los riesgos de ciberseguridad. También ofrecen pautas
para establecer protocolos y medidas de seguridad sólidas, mejorando así la
postura de seguridad general de una organización. La personalización del marco
elegido garantiza que se alinee perfectamente con las necesidades de seguridad
específicas de la organización, los estándares de la industria y los
requisitos reglamentarios.
</p>
<h3 style="text-align: left;">Apetito y comprensión del riesgo</h3>
<p>
Comprender el apetito por el riesgo de su organización e integrarlo en su
estrategia de ciberseguridad es esencial para una gestión de riesgos eficaz.
Determinar el nivel de riesgo que su organización está dispuesta a aceptar
varía de una organización a otra e influye en la toma de decisiones y la
asignación de recursos. Esta comprensión del apetito por el riesgo es crucial
para alinear los esfuerzos de ciberseguridad con la tolerancia al riesgo de la
organización y priorizar las medidas de seguridad basadas en evaluaciones de
riesgos.
</p>
<p>
El riesgo informa la estrategia, y es necesario mantener una vigilancia
continua para monitorear la evolución de los riesgos y adaptar las estrategias
de seguridad en consecuencia. Este enfoque garantiza que las medidas de
ciberseguridad no solo sean reactivas sino proactivas, anticipando amenazas
potenciales y mitigándolas antes de que se materialicen. Al comprender y
gestionar el riesgo de forma eficaz, las organizaciones pueden crear una
postura de ciberseguridad sólida y resiliente adaptada a sus necesidades
específicas y niveles de tolerancia al riesgo.
</p>
<h3 style="text-align: left;">Mitigar las vulnerabilidades identificadas</h3>
<p>
Ahora que hemos examinado minuciosamente estas vulnerabilidades comunes, es
fundamental comprender cómo priorizar su resolución en función de la gravedad
y el impacto potencial. El primer paso es obtener más visibilidad de las
vulnerabilidades de su organización. Una vez identificadas, puede priorizar
estas vulnerabilidades de manera efectiva para mitigarlas.
</p>
<p>
Para mitigar estos riesgos, se sugiere implementar un marco aceptado por la
industria como NIST CSF, CIS o SANS. Estos marcos guían a las organizaciones
en el establecimiento de prácticas sólidas de ciberseguridad e implican
evaluar las medidas de seguridad actuales en comparación con los estándares
del marco, desarrollar e implementar políticas apropiadas y garantizar la
capacitación regular del personal para la concientización. El monitoreo y la
mejora continua son clave, ya que permiten identificar y rectificar
oportunamente las brechas y vulnerabilidades de seguridad.
</p>
<p>
La ciberseguridad no es un esfuerzo único; es un compromiso continuo para
proteger los activos y la reputación de su organización. Al abordar estas
vulnerabilidades comunes reveladas en las evaluaciones de la postura de
seguridad y mantenerse alerta, puede fortalecer su postura de seguridad y
reducir el riesgo de ser víctima de ataques cibernéticos.
</p>
<p>
Fuente:
<a href="https://thehackernews.com/2024/01/top-security-posture-vulnerabilities.html" rel="nofollow" target="_blank">THN</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-27579309752918348802024-01-30T09:54:00.001-03:002024-02-29T16:01:56.777-03:00Hackeo de plataformas criptográficas en 2023 [Chainalysis]<p>
En los últimos años, el hackeo de criptomonedas se ha convertido en una
amenaza omnipresente y formidable, que ha provocado el robo de miles de
millones de dólares de plataformas criptográficas y ha dejado al descubierto
vulnerabilidades en todo el ecosistema. Como revela el
<a href="https://go.chainalysis.com/2023-crypto-crime-report.html" rel="nofollow" target="_blank">Informe de Chainalysis sobredelitos criptográficos del año pasado</a>, 2022 fue el año con mayor número de robos de criptomonedas, con 3.700
millones de dólares robados.
</p>
<p>
En 2023, sin embargo, los fondos robados disminuyeron aproximadamente un 54,3
% hasta los 1.700 millones de dólares, aunque el número de incidentes de
piratería individual en realidad aumentó, de 219 en 2022 a 231 en 2023.
</p>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.chainalysis.com/wp-content/uploads/2024/01/yearly-value-stolen.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="549" data-original-width="800" height="439" src="https://www.chainalysis.com/wp-content/uploads/2024/01/yearly-value-stolen.png" width="640" /></a>
</div>
<p>
¿A qué se debe la enorme caída de los fondos robados? Principalmente debido a
una caída en el hacking de DeFi. Los ataques a los protocolos DeFi impulsaron
en gran medida el enorme aumento del robo de criptomonedas que vimos en 2021 y
2022, y los ciberdelincuentes robaron más de 3.100 millones de dólares en
ataques a DeFi en 2022.
</p>
<p>
Pero en 2023, los delincuentes informáticos robaron sólo 1.100 millones de
dólares de los protocolos DeFi. Esto equivale a una caída del 63,7% en el
valor total robado de las plataformas DeFi año tras año. También hubo una
caída significativa en la proporción de todos los fondos robados
contabilizados por las víctimas del protocolo DeFi en 2023, como vemos en el
gráfico a continuación.
</p>
<p></p>
<p>
A pesar de esa caída, todavía hubo varios hacks importantes de protocolos DeFi
notables a lo largo de 2023. En marzo, por ejemplo,
<a href="https://www.chainalysis.com/blog/euler-finance-flash-loan-attack/" rel="nofollow" target="_blank">Euler Finance</a>, un protocolo de préstamos y préstamos en Ethereum, experimentó un ataque de
préstamos rápidos, que generó aproximadamente $197 millones en pérdidas. En
julio de 2023 se produjeron 33 hackeos, la mayor cantidad de cualquier mes,
que incluyeron 73,5 millones de dólares robados de
<a href="https://www.chainalysis.com/blog/curve-finance-liquidity-pool-hack/" rel="nofollow" target="_blank">Curve Finance</a>.
</p>
<p>
De manera similar, se produjeron varios exploits importantes en septiembre y
noviembre de 2023 en las plataformas DeFi y CeFi: <a href="https://www.coindesk.com/tech/2023/09/25/mixin-network-losses-nearly-200m-in-hack/">Mixin Network</a>
($200 millones),
<a href="https://announcement.coinex.com/hc/en-us/articles/19187420867348-Latest-Progress-of-the-Hacking-Attack-on-Sep-12-2023-Updated-on-Sep-22-">CoinEx</a>
($43 millones),
<a href="https://cointelegraph.com/news/poloniex-resumes-withdrawals-hack">Poloniex Exchange</a>
($130 millones),
<a href="https://www.pymnts.com/cryptocurrency/2023/crypto-platform-htx-loses-258-million-in-withdrawals-after-hack/">HTX</a>
($113.3 millones), y
<a href="https://cryptonews.net/news/security/27885872/">Kyber Network</a>
($54.7 millones).
</p>
<p><b>
El informe completo se puede descargar desde
<a href="https://www.chainalysis.com/blog/crypto-hacking-stolen-funds-2024/" rel="nofollow" target="_blank">"Funds Stolen from Crypto Platforms Fall More Than 50% in 2023, but Hacking
Remains a Significant Threat as Number of Incidents Rises"</a></b>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-22295123013270517082024-01-23T09:44:00.004-03:002024-01-23T11:58:49.397-03:00Posible ataque a la cadena de suministro a través de PyTorch<p>El ingeniero de seguridad
<a href="https://www.reddit.com/r/programming/comments/19crouj/playing_with_fire_how_we_executed_a_critical/" rel="nofollow" target="_blank">John Stawinski IV ha escrito un proyecto</a>
en el que él y Adnan Khan llevaron a cabo un ataque a la cadena de suministro
de la popular infraestructura del marco de aprendizaje profundo PyTorch,
aunque afortunadamente con buenas intenciones.</p>
<p>
Según el ingeniero, el popular marco de código abierto de Meta, <a href="https://pytorch.org/" rel="nofollow" target="_blank">PyTorch</a>,
utiliza los llamados <a href="https://docs.github.com/en/actions/hosting-your-own-runners/managing-self-hosted-runners/about-self-hosted-runners" rel="nofollow" target="_blank">ejecutores autohospedado</a> en su repositorio GitHub. Esto no está en consonancia con las mejores
prácticas y puede generar vulnerabilidades que tienen importantes
implicaciones para la cadena de suministro.
</p>
<p>
Según el investigador, la principal vulnerabilidad para esto está en los
corredores autohospedados que se utilizaron. Los corredores son máquinas
virtuales que ejecutan procesos en GitHub Actions. A menudo se utilizan como
parte de procesos de CI/CD.
</p>
<p>
En el último caso, un ejemplo de <i>exploit</i> puede ser robar secretos del
código alojado en GitHub para que la versión de lanzamiento pueda verse
comprometida. También es posible cargar versiones maliciosas de PyTorch en
GitHub, o cargar versiones en AWS, agregar código a la rama del repositorio
principal o dependencias de PyTorch de puerta trasera.
</p>
<p>
La mayoría de estos corredores están alojados en el propio GitHub y se
descartan y eliminan después de su uso. Los corredores autohospedados se
ejecutan fuera de la plataforma GitHub y son más flexibles. Se pueden
personalizar según lo deseen los usuarios. A diferencia de los ejecutores de
GitHub, cada manejo no requiere una instancia limpia y la misma instancia se
puede reutilizar para diferentes tareas.
</p>
<p>
Escribe Stawinski a modo de introducción al proyecto.
<i>"Hace cuatro meses, Adnan Khan y yo explotamos una vulnerabilidad crítica
de CI/CD [Integración continua/Entrega continua] en PyTorch, una de las
plataformas de ML [Aprendizaje automático] líderes en el mundo. Utilizada
por titanes como Google, Meta, Boeing y Lockheed. Martin, PyTorch es un
objetivo importante tanto para los hackers como para los estados-nación.
Afortunadamente, explotamos esta vulnerabilidad antes que los malos"</i>.
</p>
<p>
El ataque en cuestión se lleva a cabo a través de la plataforma de
colaboración y alojamiento de código GitHub de Microsoft, aprovechando GitHub
Actions, un sistema para automatizar la compilación, las pruebas e incluso el
lanzamiento de software, y que permite la ejecución de código proporcionado
por el usuario durante ese proceso. Este código puede ser parte de la
plataforma alojada de GitHub o lo que se conoce como un "ejecutor
autohospedado", que trae consigo advertencias sobre seguridad que los
desarrolladores suelen ignorar, dice Stawinski.
</p>
<p>
<i>"No ayuda que algunas de las configuraciones predeterminadas de GitHub no
sean tan seguras"</i>, señala Stawinski.
<i>"De forma predeterminada, cuando un ejecutor autohospedado se adjunta a un
repositorio, cualquiera de los flujos de trabajo de ese repositorio puede
usar ese ejecutor. Esta configuración también se aplica a los flujos de
trabajo de solicitudes de extracción de bifurcación. Recuerde que cualquiera
puede enviar una solicitud de extracción de bifurcación a un GitHub público.
repositorio. Sí, incluso usted. El resultado de esta configuración es que,
de forma predeterminada, cualquier colaborador del repositorio puede
ejecutar código en el ejecutor autohospedado enviando un PR malicioso"</i>.
</p>
<p>
Al analizar el repositorio de PyTorch utilizando la herramienta Gata de
Praetorian, Stawinski y Khan encontraron varios corredores autohospedados
potencialmente vulnerables, y algunos con acceso a secretos, incluidas las
claves de acceso de Amazon Web Services (AWS) y los tokens de acceso personal
(PAT) de GitHub. Al enviar una simple solicitud de extracción para corregir un
error tipográfico en la documentación, la pareja se convirtió en
"contribuyentes" y creó un flujo de trabajo que les dio acceso completo a los
corredores, que luego se utilizaron para obtener los secretos supuestamente
protegidos, incluidos los PAT de GitHub.
</p>
<p>
Utilizando el token [GitHub] se puede cargar un activo que afirma ser un
binario PyTorch precompilado y listo para usar y agregar una nota de la
versión con instrucciones para ejecutar y descargar el binario. Cualquier
usuario que descargado el binario entonces estaría ejecutando el código
modificado. Si los activos del código fuente actual no estuvieran fijados en
la confirmación de lanzamiento, el atacante podría sobrescribir esos activos
directamente.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="800" data-original-width="493" height="640" src="https://hackster.imgix.net/uploads/attachments/1674779/image_vn76axmUSe.png?auto=compress%2Cformat&w=1280&h=960&fit=max" width="394" />
</div>
<p>
<i>"Si las versiones del repositorio de PyTorch con puertas traseras suenan
divertidas, bueno, eso es sólo una fracción del impacto que logramos cuando
analizamos los secretos del repositorio"</i>. Estos secretos, señala Stawinski, desbloquearon el acceso a más de 90
repositorios de PyTorch, así como a los sistemas en la nube de Amazon Web
Services (AWS) del proyecto.
</p>
<p>
El proceso les valió a la pareja un pago de recompensa por errores de U$S5.000
de parte de Facebook. Meta, matriz, más un bono del diez por ciento como
disculpa por los retrasos.
</p>
<p>
El
<a href="https://johnstawinski.com/2024/01/11/playing-with-fire-how-we-executed-a-critical-supply-chain-attack-on-pytorch/" rel="nofollow" target="_blank">artículo completo de Stawinski</a>
está disponible en su sitio web.
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-651397381261028482024-01-22T15:30:00.000-03:002024-01-22T15:30:00.120-03:00Ingeniería del Caos, War Games y la Resiliencia<div class="separator"><div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="798" data-original-width="800" height="319" src="https://i.imgur.com/8lc454q.png" width="320" />
</div></div><p>
<b>En términos generales, el proceso de la ingeniería del caos se basa en
"experimentar con los límites".</b>
</p>
<blockquote>
La Ingeniería del Caos es la disciplina de experimentar en un Sistema, con la
finalidad de generar confianza en la capacidad del Sistema para soportar
condiciones turbulentas en producción.
</blockquote>
<p>
<b>
La
<a href="https://principlesofchaos.org/" rel="nofollow" target="_blank">ingeniería del caos</a>
es la ciencia detrás de inyectar fallas intencionalmente en los sistemas
para medir la capacidad de recuperación.</b>
Como cualquier método científico, <i>Chaos Engineering</i> se enfoca en
experimentos / hipótesis y luego compara los resultados con un control. El
ejemplo por excelencia de Chaos Engineering en un sistema distribuido es
eliminar servicios aleatorios para ver cómo responden los elementos y qué
detrimento se manifiesta en el viaje del usuario.
</p>
<p>
<b>Para llevar simulaciones más dinámicas y "juegos de guerra" a los campos
cibernéticos, las simulaciones deben ser más dinámicas y personalizables.</b>
No se puede esperar que los humanos enfrenten eficazmente amenazas que cambian
cada vez más rápido a menos que la capacitación para detener esas amenazas
evolucione tan rápidamente como para capturar los últimos TTP, idealmente casi
tan pronto como se identifiquen como indicadores de compromiso (IoC) en la
naturaleza.
</p>
<h3 style="text-align: left;">Proceso del caos</h3>
<p>
Para ello, primero se define un estado estable, en el que un sistema funciona
según lo definido como normal. Un grupo de control asegura que es el escenario
caótico el que influye en el sistema; el grupo de control continúa trabajando
fuera de este escenario de prueba.
</p>
<p>
Ahora se introducen problemas en el escenario de prueba (fallas del servidor,
discos duros defectuosos, fallas, escenarios de sobrecarga, ataques
informáticos). El objetivo principal de la ingeniería del caos es probar cómo
lidiar con estos problemas. ¿Cómo se pueden ampliar los límites de un sistema?
¿Qué redundancias son necesarias para mantener en funcionamiento el servicio
existente? ¿Y cómo se pueden eliminar las debilidades dadas?
</p>
<p>
Para ganar más confianza en un sistema, es esencial limitar los errores y
mantener los estados del sistema estables tanto como sea posible. Precisamente
por eso, es fundamental someter los sistemas a pruebas críticas y provocar
errores de forma selectiva.
</p>
<p>
En realidad, la ingeniería del caos está lejos de ser caótica: es un enfoque
disciplinado basado en datos para realizar experimentos que utilizan el
comportamiento caótico para estresar los sistemas y descubrir sus debilidades
(o demostrar su resiliencia). Los principales beneficios incluyen:
</p>
<p></p>
<ul style="text-align: left;">
<li>Exponer la deuda técnica</li>
<li>
Generar confianza en los sistemas implementados y entre los equipos que
contribuyen a esos sistemas.
</li>
<li>
Identificar y realizar integraciones comprobables y posibles puntos de
falla.
</li>
<li>Habilitar el aprendizaje basado en experimentos</li>
<li>
Ofrecer confiabilidad y resiliencia mejoradas de los sistemas para reducir
el tiempo de inactividad
</li>
<li>
Estos beneficios, a su vez, ayudan a mejorar la experiencia y la
satisfacción del cliente.
</li>
</ul>
<p></p>
<h3 style="text-align: left;">
Ingeniería de la Resiliencia: Construyendo para resistir
</h3>
<p>
La <b>ingeniería de la resiliencia</b> se centra en la creación de sistemas
tecnológicos que no solo funcionan de manera eficiente en condiciones ideales,
sino que también pueden resistir y recuperarse rápidamente de eventos
inesperados o errores.
</p>
<p>Aquí hay algunos conceptos clave:</p>
<ul style="text-align: left;">
<li>
<b> Identificación de puntos críticos del error:</b> Los ingenieros de la
resiliencia llevan a cabo un análisis exhaustivo para identificar los puntos
críticos del error en un sistema. Estos son los componentes que, si generan
problemas, pueden tener un impacto significativo en el rendimiento general.
</li>
<li>
<b> Implementación de redundancias:</b> Para aumentar la resistencia, se
introducen elementos redundantes en el sistema. Esto implica la duplicación
de componentes críticos, de modo que si uno da error, otro pueda tomar su
lugar sin interrupciones significativas.
</li>
<li>
<b> Estrategias de recuperación eficientes:</b> Se desarrollan planes de
recuperación sólidos para garantizar que, en caso de un error, el sistema
pueda volver a un estado operativo normal en el menor tiempo posible.
</li>
<li>
<b> Pruebas rigurosas:</b> La ingeniería de la resiliencia implica pruebas
exhaustivas bajo diversas condiciones para simular eventos inesperados y
evaluar cómo responde el sistema. Esto garantiza que las estrategias de
recuperación sean efectivas y que el sistema pueda adaptarse a situaciones
impredecibles.
</li>
</ul>
<h3>Ingeniería del Caos: Desafiando para fortalecer</h3>
<p>
La ingeniería del caos adopta un enfoque más desafiante al introducir eventos
inesperados y situaciones caóticas controladas en un sistema. Aquí se destacan
algunos aspectos clave:
</p>
<ol>
<li>
Simulación de eventos disruptivos: Los ingenieros del caos simulan
situaciones adversas, como errores en el hardware, interrupciones en la red
o cambios en el entorno. Este enfoque permite identificar debilidades
ocultas que podrían no ser evidentes en condiciones normales.
</li>
<li>
Aprendizaje de la adversidad controlada: La idea es aprender de eventos
caóticos controlados. Al exponer el sistema a situaciones desafiantes de
manera controlada, los equipos de ingeniería pueden identificar y abordar
debilidades antes de que se conviertan en problemas reales.
</li>
<li>
Ciclo de mejora continua: La ingeniería del caos no solo se trata de
identificar problemas, sino también de utilizar esa información para mejorar
continuamente la resiliencia del sistema. Este enfoque proactivo contribuye
a un ciclo constante de mejora.
</li>
</ol>
<h3>Colaboración efectiva: Resiliencia y Caos trabajando juntos</h3>
<p>
<b>
La verdadera fortaleza se encuentra en la colaboración efectiva entre la
ingeniería de la resiliencia y la ingeniería del caos.</b>
Ambas prácticas se complementan mutuamente para ofrecer soluciones
tecnológicas sólidas y adaptativas. Mientras que la ingeniería de la
resiliencia construye la fortaleza inherente del sistema, la ingeniería del
caos desafía ese sistema para revelar y corregir debilidades potenciales.
</p>
<p>
La ingeniería de la resiliencia y del caos son herramientas poderosas en la
gestión de sistemas tecnológicos en constante cambio. En un mundo donde la
incertidumbre es la norma, estas disciplinas no solo permiten la
supervivencia, sino que también fomentan la innovación y la mejora continua.
Al abrazar estos principios, las organizaciones pueden construir y mantener
sistemas tecnológicos robustos, capaces de enfrentar los desafíos del panorama
digital actual.
</p>
<h3 style="text-align: left;">
La ingeniería del caos es medicina preventiva.
</h3>
<p>
Chaos Engineering es un enfoque disciplinado para identificar fallas antes de
que se conviertan en interrupciones. Al probar proactivamente cómo responde un
sistema bajo estrés, puede identificar y corregir fallas antes de que terminen
en las noticias.
</p>
<p>
Chaos Engineering te permite comparar lo que crees que sucederá con lo que
realmente sucede en tus sistemas. Literalmente, "rompe cosas a propósito" para
aprender a construir sistemas más resistentes.
</p>
<p>Los principales beneficios de Chaos Engineering son:</p>
<ul style="text-align: left;">
<li>
Cliente: la mayor disponibilidad y durabilidad del servicio significa que
ninguna interrupción interrumpe su vida diaria.
</li>
<li>
Negocios: Chaos Engineering puede ayudar a prevenir pérdidas extremadamente
grandes en ingresos y costes de mantenimiento, crear ingenieros más felices
y comprometidos, mejorar la capacitación de guardia para los equipos de
ingeniería y mejorar el Programa de administración de SEV (incidentes) para
toda la empresa.
</li>
<li>
Técnico: los conocimientos de los experimentos de caos pueden significar una
reducción de incidentes, reducción de la carga de guardia, mayor comprensión
de los modos de falla del sistema, diseño mejorado del sistema, tiempo medio
más rápido para la detección de SEV y reducción de SEV repetidos.
</li>
</ul>
<p>
Muchas empresas de tecnología más grandes practican la Ingeniería del Caos
para comprender mejor sus sistemas distribuidos y arquitecturas de
microservicios. La lista incluye Netflix, LinkedIn, Facebook, Google,
Microsoft, Amazon y muchos otros. La lista siempre está creciendo.
</p>
<p>
Por ejemplo, para llevar a cabo estas pruebas en la práctica,
<a href="https://netflixtechblog.com/the-netflix-simian-army-16e57fbab116" rel="nofollow" target="_blank">Netflix se basa en el software Simian Army</a> (ahora
<a href="https://github.com/netflix/chaosmonkey" rel="nofollow" target="_blank">Chaos Monkey</a>) Esta suite de errores simula una situación en la que los monos
utilizan el software y provocan diversos errores sobre la nube. Varias
herramientas de prueba tienen nombres correspondientes.
</p>
<p>
Se puede hacer una revisión de algunas de las herramientas y
<i>frameworks</i> más extendidos para la ingeniería del caos, viendo para cada
uno de ellos sus principales cualidades y los casos de uso donde mejor
encajan.
</p>
<ul style="text-align: left;">
<li>
<a href="https://github.com/Netflix/SimianArmy" rel="nofollow" target="_blank">Simian Army</a>
/
<a href="https://github.com/netflix/chaosmonkey" rel="nofollow" target="_blank">Chaos Monkey</a>
</li>
<li>
<a href="https://chaostoolkit.org/" rel="nofollow" target="_blank">Chaos Toolkit</a>
</li>
<li>
<a href="https://chaos-mesh.org/" rel="nofollow" target="_blank">Chaos Mesh</a>
</li>
<li>
<a href="https://litmuschaos.io/" rel="nofollow" target="_blank">Litmus</a>
</li>
<li>
<a href="https://github.com/cloud-bulldozer/kraken" rel="nofollow" target="_blank">Kraken</a>
</li>
<li>
<a href="https://www.gremlin.com/" rel="nofollow" target="_blank">Gremlin</a>
</li>
<li>
<a href="https://github.com/Optum/ChaoSlingr" rel="nofollow" target="_blank">ChaoSlingr</a>
</li>
<li>
<a href="https://codecentric.github.io/chaos-monkey-spring-boot/" rel="nofollow" target="_blank">Chaos monkey 4 spring boot</a>
</li>
</ul>
<p>Fuentes:</p>
<ul style="text-align: left;">
<li>
<a href="https://ciberseguridad.com/guias/prevencion-proteccion/ingenieria-caos/">https://ciberseguridad.com/guias/prevencion-proteccion/ingenieria-caos/</a>
</li>
<li>
<a href="https://principlesofchaos.org/es/">https://principlesofchaos.org/es/</a>
</li>
<li>
<a href="https://www.loadview-testing.com/es/blog/ingenieria-del-caos-principios-ejemplos-y-herramientas/">https://www.loadview-testing.com/es/blog/ingenieria-del-caos-principios-ejemplos-y-herramientas/</a>
</li>
<li>
<a href="https://www.gartner.com/smarterwithgartner/the-io-leaders-guide-to-chaos-engineering">https://www.gartner.com/smarterwithgartner/the-io-leaders-guide-to-chaos-engineering</a>
</li>
<li>
<a href="https://www.isaca.org/resources/isaca-journal/issues/2019/volume-4/chaos-to-the-rescue">https://www.isaca.org/resources/isaca-journal/issues/2019/volume-4/chaos-to-the-rescue</a>
</li>
</ul>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-19838178342609247692024-01-16T14:42:00.004-03:002024-01-17T09:30:55.497-03:00Riesgos Foro Económico Mundial 2024: ciberataques y desinformación dentro del Top 10<p>El <a href="https://www.weforum.org/publications/global-risks-report-2024/digest/" rel="nofollow" target="_blank">Informe de Riesgos Globales 2024 de World Economic Forum</a> explora algunos de los riesgos más graves
que podemos enfrentar durante la próxima década, en un contexto de rápidos
cambios tecnológicos, incertidumbre económica, calentamiento del planeta y
conflictos. A medida que la cooperación se ve sometida a presión, es posible
que las economías y sociedades debilitadas sólo necesiten el más mínimo shock
para superar el punto de inflexión de la resiliencia.
</p>
<h3 style="text-align: left;">Un panorama global en deterioro</h3>
<p>
Si analizamos retrospectivamente los acontecimientos de 2023, muchos
acontecimientos captaron la atención de personas de todo el mundo, mientras
que otros recibieron un escrutinio mínimo. Las poblaciones vulnerables se
enfrentaron a conflictos letales, desde Sudán hasta Gaza e Israel, junto con
condiciones de calor sin precedentes, sequías, incendios forestales e
inundaciones.</p><p>El descontento social era palpable en muchos países, con ciclos
informativos dominados por la polarización, protestas violentas, disturbios y
huelgas. Aunque se evitaron en gran medida consecuencias desestabilizadoras a
nivel mundial, como las que se observaron en el estallido inicial de la guerra
entre Rusia y Ucrania o la pandemia de COVID-19, las perspectivas a largo
plazo de estos acontecimientos podrían traer consigo más shocks globales.
</p>
<p>En el informe de este año, cuatro fuerzas estructurales que darán forma a la materialización y gestión de
los riesgos globales durante la próxima década. Se trata de cambios a más
largo plazo en la disposición y la relación entre cuatro elementos sistémicos
del panorama global:</p>
<p></p>
<ul style="text-align: left;">
<li>
Trayectorias relacionadas con el calentamiento global y consecuencias
relacionadas para los sistemas terrestres (cambio climático).
</li>
<li>
Cambios en el tamaño, crecimiento y estructura de las poblaciones en todo el
mundo (bifurcación demográfica).
</li>
<li>
Vías de desarrollo de tecnologías de frontera (aceleración tecnológica).
</li>
<li>
Evolución material en la concentración y fuentes del poder geopolítico
(cambios geoestratégicos).
</li>
</ul>
<p></p>
<p>
Un nuevo conjunto de condiciones globales está tomando forma en cada uno de
estos dominios y estas transiciones se caracterizarán por la incertidumbre y
la volatilidad. A medida que las sociedades busquen adaptarse a estas fuerzas
cambiantes, su capacidad para prepararse y responder a los riesgos globales se
verá afectada.</p>
<p>
Los riesgos ambientales continúan dominando el panorama de riesgos en los tres
períodos de tiempo. Dos tercios de los encuestados clasifican el clima
extremo como el principal riesgo con mayor probabilidad de presentar una
crisis material a escala global en 2024.
</p><h3 style="text-align: left;">Ciberataques y desinformación dentro del Top 10 de riesgos</h3><p>Reflejando los resultados de la encuesta del año anterior, la crisis del costo de vida (42%) y los <b>ataques cibernéticos (39%)</b> siguen siendo preocupaciones importantes en las perspectivas generales y aparecen como una de las tres principales preocupaciones para los encuestados del gobierno y del sector privado, respectivamente. La crisis del costo de vida ocupa un lugar más alto entre los grupos de edad más jóvenes: fue seleccionada por el 55% de los encuestados de 39 años o menos, en comparación con solo el 28% de los de 60 años o más.</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="384" data-original-width="800" height="307" src="https://assets.weforum.org/editor/responsive_large_webp_AuVyZH3ZEyBdUi9qH1s2OOJWAI8latNpiv5fPo3O8JA.webp" width="640" />
</div>
<p>
También se considera el segundo riesgo más grave en el período de dos años y,
al igual que en las clasificaciones del año pasado, casi todos los riesgos
ambientales figuran entre los 10 principales a largo plazo.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="384" data-original-width="800" height="640" src="https://i.imgur.com/OC0lLPn.png" width="580" />
</div>
<p>
Al surgir como el riesgo global más grave previsto para los próximos dos años,
los actores nacionales y extranjeros aprovecharán la <b>desinformación</b> para
ampliar aún más las divisiones sociales y políticas (Capítulo 1.3: Información
falsa). Dado que se espera que cerca de tres mil millones de personas acudan a
las urnas electorales en varias economías (entre ellas Bangladesh, India,
Indonesia, México, Pakistán, el Reino Unido y los Estados Unidos) durante los
próximos dos años, el uso generalizado de información errónea y desinformativa
, y las herramientas para difundirlo, pueden socavar la legitimidad de los
gobiernos recién elegidos. Los disturbios resultantes podrían abarcar desde
protestas violentas y crímenes de odio hasta enfrentamientos civiles y
terrorismo.
</p>
<p>
Más allá de las elecciones, es probable que las percepciones de la realidad
también se polaricen más, infiltrándose en el discurso público sobre temas que
van desde la salud pública hasta la justicia social. Sin embargo, a medida que
se socave la verdad, también aumentará el riesgo de propaganda y censura
internas. En respuesta a la información errónea y la desinformación, los
gobiernos podrían tener cada vez más poder para controlar la información en
función de lo que determinen que es "verdadero". Las libertades relacionadas
con Internet, la prensa y el acceso a fuentes más amplias de información, que
ya están en declive, corren el riesgo de derivar en una represión más amplia
de los flujos de información en un conjunto más amplio de países.
</p><p>Fuente: <a href="https://www.weforum.org/publications/global-risks-report-2024/in-full/global-risks-2024-at-a-turning-point/" rel="nofollow" target="_blank">WEF</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-91351918966528400872024-01-15T09:10:00.048-03:002024-01-15T09:10:00.127-03:00Ejercicios BAS y ATT&CK para fortalecer la ciberseguridad (Mike Tyson says)<div class="separator">
<div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<div style="background-image: url('https://pbs.twimg.com/media/DpvSBkAWwAkH1Yg?format=jpg'); background-size: cover; clip-path: circle(50% at center); height: 200px; width: 200px;"></div>
</div>
</div>
<p>
<b>En el mundo de la seguridad, la preparación no es sólo un lujo sino una
necesidad.</b>
En este contexto, el <a href="https://twitter.com/MikeTyson/status/1052665864401633299" rel="nofollow" target="_blank">famoso dicho de Mike Tyson,</a>
<i>"Todo el mundo tiene un plan hasta que recibe un puñetazo en la boca"</i>,
se presta a nuestro ámbito: las defensas cibernéticas deben ser probadas en
batalla para tener una oportunidad.
</p>
<p>
Las <a href="https://thehackernews.com/2024/01/applying-tyson-principle-to.html" rel="nofollow" target="_blank">palabras de Tyson capturan la paradoja</a> de la preparación en materia de
ciberseguridad: con demasiada frecuencia,
<b>las ciberdefensas no probadas pueden crear una falsa sensación de
seguridad</b>, lo que lleva a consecuencias nefastas cuando amenazas reales asestan un
golpe. Aquí es donde entra en juego la
<b>Breach and Attack Simulation (BAS)</b>, una herramienta proactiva en el
arsenal de ciberseguridad de cualquier organización.
</p>
<h3 style="text-align: left;">
Cuando la ciberseguridad llega al límite: el problema de las suposiciones
</h3>
<p>
Las suposiciones son los icebergs ocultos en el vasto océano de la
ciberseguridad. Aunque podríamos creer que nuestros controles de seguridad son
infalibles, las estadísticas muestran otro panorama. Según el
<a href="https://www.picussecurity.com/resource/report/the-red-report-2023?hsLang=en-us" rel="nofollow" target="_blank">Informe Rojo</a> [<a href="https://www.picussecurity.com/hubfs/Red%20Report%202023/RedReport2023-Picus.pdf" rel="nofollow" target="_blank">PDF</a>] y <a href="https://www.picussecurity.com/resource/report/blue-report-2023" rel="nofollow" target="_blank">Informe Azul 2023</a>
[<a href="https://www.picussecurity.com/hubfs/Blue%20Report%202023/blue-report-2023-picus.pdf" rel="nofollow" target="_blank">PDF</a>] de la empresa Picus,
<b>solo el 59% de los ataques se previenen, apenas el 37% se detectan y apenas
el 16% activan alertas.</b>
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="168" data-original-width="800" height="134" src="https://i.imgur.com/h2FOHhk.png" width="640" />
</div>
<p>
Estos datos revelan una verdad alarmante: las medidas de ciberseguridad a
menudo resultan insuficientes en escenarios del mundo real. A menudo, esta
deficiencia se debe a complejidades en la configuración y a la escasez de
profesionales capacitados, lo que puede generar defensas mal configuradas y de
bajo rendimiento.
</p>
<p>
Al mismo tiempo, los métodos de prueba tradicionales, como las pruebas de
penetración y los ejercicios del equipo rojo, no pueden evaluar completamente
la eficacia de la seguridad de una organización. Esto puede contribuir a la
suposición, a menudo peligrosa, de que los controles de seguridad son
efectivos sin someterlos a pruebas continuas en escenarios del mundo real.
</p>
<p>
Este abismo entre la seguridad percibida y la real confirma la creciente
necesidad de validación de la seguridad a través de simulación de ataques y
violaciones (BAS), un método para enfrentar estas falacias validando
rigurosamente las defensas antes de que los ataques tomen a las organizaciones
con la guardia baja. En última instancia, BAS cierra el velo de la
ciberseguridad en cada posible infracción.
</p>
<h3 style="text-align: left;">La mecánica de BAS</h3>
<p>
BAS es una prueba de la realidad de su postura en materia de ciberseguridad.
En esencia, BAS es la simulación sistemática y controlada de ciberataques en
toda su red de producción. Cada simulación está diseñada para imitar el
comportamiento de atacantes reales, cultivando la preparación para tácticas,
técnicas y procedimientos (TTP) del adversario.
<b>Según el informe, los actores de amenazas utilizan una media de 11 TTP
diferentes durante un ataque.
</b>
</p>
<p>
Por ejemplo, un escenario de ataque APT comienza con métodos de infracción
iniciales, como explotar vulnerabilidades de software o correos electrónicos
de phishing con archivos adjuntos maliciosos. Luego, profundiza, intentando
movimientos laterales dentro de la red, aumentando los privilegios cuando sea
posible e intentando exfiltrar datos confidenciales. En este escenario, el
objetivo es replicar un ciclo de vida de ataque completo con fidelidad, al
mismo tiempo que se analiza cómo responden sus controles de seguridad en cada
paso.
</p>
<p>
Es más, BAS no es sólo un ejercicio aislado. Es un proceso continuo que se
adapta a medida que evoluciona el panorama de amenazas. A medida que salen a
la luz nuevas variantes de malware, TTP, técnicas de explotación, campañas APT
y otras amenazas emergentes, se incorporan a la biblioteca de inteligencia de
amenazas de la herramienta BAS. Esto garantiza que su organización pueda
defenderse contra las amenazas potenciales de hoy y de mañana.
</p>
<p>
Después de cada simulación, las herramientas BAS proporcionan análisis
completos e informes detallados. Estos contienen detalles cruciales sobre cómo
se detectó o evitó (o no) la intrusión, el tiempo que tardaron los controles
de seguridad en responder y la eficacia de la respuesta.
</p>
<p>
Armados con estos datos, los profesionales de la ciberseguridad pueden
priorizar mejor sus estrategias de respuesta, centrándose primero en las
brechas más apremiantes en la defensa de su organización. También pueden
ajustar los controles de seguridad existentes con firmas de prevención y
reglas de detección fáciles de aplicar que pueden mejorar su capacidad para
detectar, prevenir o reaccionar ante amenazas cibernéticas.
</p>
<h3 style="text-align: left;">Paso 1: Adapte BAS a sus necesidades</h3>
<p>
La personalización de BAS para su organización comienza con la comprensión de
las amenazas que es más probable que enfrente, porque las principales
preocupaciones de ciberseguridad de un banco difieren de las de un hospital.
Elija simulaciones que reflejen las amenazas más relevantes para su industria
e infraestructura técnica. Las herramientas BAS modernas pueden generar
manuales de simulación personalizados con las amenazas cibernéticas que tienen
más probabilidades de afectar a su organización.
</p>
<h3 style="text-align: left;">Paso 2: cree un programa de simulación</h3>
<p>
La coherencia es clave. Ejecute simulaciones BAS con regularidad, no solo como
un evento puntual sino como parte integral de su estrategia de ciberseguridad.
Establezca una cadencia, ya sea diaria, semanal, mensual o en tiempo real
después de cambios significativos en TI o en el panorama de amenazas, para
mantenerse un paso por delante de los adversarios que continuamente
perfeccionan sus tácticas.
</p>
<h3 style="text-align: left;">Paso 3: aplique las ideas</h3>
<p>
El verdadero valor de BAS radica en los conocimientos prácticos derivados de
los resultados de la simulación. Las plataformas BAS avanzadas brindan
recomendaciones prácticas, como firmas de prevención y reglas de detección que
pueden incorporarse directamente a los controles de seguridad (incluidos IPS,
NGFW, WAF, EDR, SIEM, SOAR y otras soluciones de seguridad) para fortalecer su
postura de seguridad de inmediato.
</p>
<h3 style="text-align: left;">Paso 4: medir y refinar</h3>
<p>
Defina métricas de éxito cuantitativas para evaluar el impacto de BAS en la
ciberseguridad de su organización. Esto puede incluir la proporción de ataques
bloqueados/registrados/alertados con respecto a todos los ataques, la cantidad
de brechas defensivas abordadas o mejoras en los tiempos de detección y
respuesta. Perfeccione continuamente su proceso BAS en función de estos
indicadores de rendimiento para garantizar que sus defensas se vuelvan más
nítidas con cada iteración.
</p>
<h3 style="text-align: left;">Técnicas utilizadas (ATT&CK)</h3>
<p>
Cuando se trata de escenarios de ataque (ataques complejos y de varias
etapas), los hallazgos indican una puntuación de efectividad de la prevención
de solo el 46%. Este tipo de ataques son cada vez más comunes. Más de un
tercio de las muestras de malware exhiben 20 o más Tácticas, Técnicas y
Procedimientos (TTP) de atacantes, según el análisis compilado en The Red
Report 2023.
</p>
<p>
<b>
La matriz
<a href="https://attack.mitre.org/" rel="nofollow" target="_blank">MITRE ATT&CK</a> para empresas v12.1 consta de 14 tácticas, 193 técnicas y 401
subtécnicas.
</b>
</p>
<p>
Por ejemplo, un adversario podría aprovechar la <b>Táctica</b> del "movimiento
lateral", que implica pasar de un sistema comprometido a otro dentro de una
red para lograr otros objetivos. Una <b>"Técnica"</b> es un método específico
utilizado por un adversario para lograr una táctica. Por ejemplo, un
adversario podría utilizar la técnica de "Servicios Remotos" para realizar un
Movimiento Lateral.
</p>
<p>
Las técnicas de ATT&CK más frecuentes identificadas en 2022, enumeradas
por el porcentaje de muestras de malware en las que exhibieron el siguiente
comportamiento.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="757" data-original-width="525" height="640" src="https://i.imgur.com/KXcvHoZ.png" width="444" />
</div>
<p>
Una <b>"Subtécnica"</b> es una variación o implementación específica de una
técnica. Por ejemplo, T1021.001 para protocolo de escritorio remoto es una
subtécnica de la técnica "Servicios remotos".
</p>
<p>
ATT&CK también proporciona información sobre <b>"Grupos"</b> de amenazas
relacionados con una actividad de intrusión, así como el software utilizado
por estos grupos. ATT&CK utiliza el término "software" para definir
malware, herramientas comerciales o personalizadas, software de código abierto
y utilidades de sistema operativo que utilizan los adversarios.
</p>
<p>
Actualmente, ATT&CK contiene 135 grupos y 718 piezas de software.
ATT&CK también incluye 43 <b>"Mitigaciones"</b>, que describen conceptos
de seguridad y clases de tecnologías que pueden emplearse para impedir la
ejecución exitosa de una técnica o subtécnica.
</p>
<p>
Para la detección, ATT&CK proporciona 39 fuentes de datos con componentes
de datos, que identifican propiedades y valores específicos de una fuente de
datos pertinentes para identificar una técnica o subtécnica particular de
ATT&CK.
</p>
<p>
Fuente:
<a href="https://thehackernews.com/2024/01/applying-tyson-principle-to.html" rel="nofollow" target="_blank">THN</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-25031392346035503902024-01-10T10:24:00.016-03:002024-01-10T10:57:16.418-03:00Ataques de Push Bombing en métodos de múltiple autenticación (MFA)<div class="separator"><div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: right;">
<img border="0" data-original-height="624" data-original-width="800" height="250" src="https://secfense.com/wp-content/uploads/2022/12/MFA-bombing-how-to-bypass-strong-authentication.png" width="320" />
</div></div><p>
El <b><i>push bombing</i></b> es un ataque de fatiga MFA dirigido en el que un
atacante realiza múltiples intentos de inicio de sesión en el portal SSO del
objetivo o en aplicaciones y servicios corporativos expuestos públicamente.
</p>
<p>
El <i>push bombing</i> se utiliza con contraseñas robadas o
filtradas contra MFA tradicional (contraseña + segundo factor). Una vez que el atacante ha escrito el
primer factor, el nombre de usuario y la contraseña, sólo necesita
que el usuario acepte el segundo factor enviado a su teléfono (o correo) para acceder a los recursos de la víctima.
</p>
<p>
Este tipo de "bombardeo" funciona porque los usuarios acceden a muchas
aplicaciones diferentes y tienen que volver a autenticarse en aplicaciones
varias veces al día. Esta repetición crea memoria muscular que puede hacer que
los usuarios aprueben un mensaje <i>push</i> cualquiera. O, como implica
la palabra bomba, los atacantes envían solicitudes continuas. La frustración
exacerba la paciencia del usuario, lo que lo lleva a hacer clic en cualquier
mensaje recibido.
</p>
<p>
Para los intrusos avanzados que buscan persistencia, el siguiente paso es
cambiar las credenciales de la cuenta o los perfiles de MFA para una
apropiación de la cuenta como punto de partida para un movimiento lateral
hacia activos comerciales más interesantes.
</p>
<p>
A los atacantes les encanta explotar el <i>push</i> porque funciona
(<a href="https://thehackernews.com/2022/08/cisco-confirms-its-been-hacked-by.html" rel="nofollow" target="_blank">Cisco</a>
y
<a href="https://www.darkreading.com/attacks-breaches/uber-breach-external-contractor-mfa-bombing-attack" rel="nofollow" target="_blank">Uber</a> fueron víctimas recientes de este tipo de ataques). Pero lo que atrae a los
atacantes a esta técnica es que es fácil. En muchos casos, no se requiere
malware ni infraestructura de phishing de intermediario (MiTM) para que
funcione.
</p>
<h3 style="text-align: left;">Cómo funciona el ataque push bombing</h3>
<p>
Cuando un usuario activa la MFA en una cuenta, suele recibir un código o una
solicitud de autorización de algún tipo. El usuario introduce sus credenciales
de acceso. A continuación, el sistema envía una solicitud de autorización al
usuario para completar su inicio de sesión.
</p>
<p>
El código MFA o la solicitud de aprobación suelen llegar a través de algún
tipo de mensaje <i>"push"</i>. Los usuarios pueden recibirlo de varias
maneras:
</p>
<ul style="text-align: left;">
<li>SMS/texto</li>
<li>Un dispositivo emergente</li>
<li>Notificación de una aplicación</li><li>Correo electrónico</li>
</ul>
<p>
Recibir esa notificación es una parte normal del inicio de sesión de la
autenticación multifactor. Es algo con lo que el usuario estaría
familiarizado.
</p>
<p>
Con el <i>push bombing</i>, los atacantes empiezan con las credenciales del
usuario. Pueden obtenerlas a través de phishing o de un volcado de contraseñas
de una gran violación de datos. Luego, intentan entrar muchas veces a la
cuenta. Esto envía al usuario legítimo varias notificaciones <i>push</i>, una
tras otra. Muchas personas cuestionan la recepción de un código inesperado que
no solicitaron. Pero cuando alguien es bombardeado con ellas, puede ser fácil
hacer clic por error para aprobar el acceso.
</p>
<p>
<i>Push bombing</i> es una forma de ataque de ingeniería social diseñado para:
</p>
<ul style="text-align: left;">
<li>Confundir al usuario</li>
<li>Desgastar al usuario</li>
<li>
Engañar al usuario para que apruebe la solicitud MFA para dar acceso al
atacante.
</li>
</ul>
<p>
Al principio, los ataques son simples contra un empleado para lograr engañarlo
rápidamente. Sin embargo, estos ataques suelen ser puntos de entrada para un
ataque dirigido contra el empleador de la víctima o hacia arriba en la cadena
de suministro hacia clientes empresariales más grandes. El ataque está
documentado en MITRE ATT&CK Framework como
<a href="https://attack.mitre.org/techniques/T1621/" rel="nofollow" target="_blank">T1621</a>
(Generación de solicitud de autenticación multifactor) y generalmente se
ejecuta en cinco partes:
</p>
<p>
<b>1. Reconocimiento:</b> el atacante investiga el flujo de trabajo del
objetivo y los recursos expuestos públicamente.
</p>
<p>
<b>2. Acceso a credenciales:</b> el atacante adquiere las credenciales del
objetivo mediante phishing, robo de contraseñas o búsquedas en la la web.
</p>
<p>
<b>3. Acceso inicial:</b> el atacante inicia solicitudes de acceso a los
recursos expuestos de las víctimas, lo que activa repetidas notificaciones
<i>push</i> a la víctima con la intención de engañarla. A través de llamadas
falsas al servicio de asistencia de TI que dicen:
<i>"Necesitamos que apruebe esa solicitud"</i> o exacerbar al objetivo
para que apruebe el reconocimiento del segundo factor accidentalmente o por
frustración.
</p>
<p>
<b>4. Movimiento lateral:</b> el atacante pasa a un estado de intruso y, en
muchos casos, se mueve lateralmente a través del interior de la empresa hacia
activos más valiosos.
</p>
<p>
<b>5. Impacto:</b> el intruso detona cargas útiles de ransomware, extrae datos
o instala puertas traseras para agregarlas al grupo de propiedades del agente
de acceso inicial.
</p>
<h3 style="text-align: left;">Cómo detener los ataques Push Bombing</h3>
<p>
Se pueden detener los ataques <i>push bombing</i> combinando la educación de
los usuarios y tecnologías MFA reforzadas.
</p>
<p>
La concientización de los usuarios sobre los ataques de ingeniería social, es
esencial para reducir la probabilidad de éxito de los atacantes. Sin embargo,
los trabajadores son personas. Para el personal que no pertenece a la
seguridad, esta ocupa un segundo lugar, o incluso más abajo, en la
clasificación de prioridades después de realizar su trabajo.
</p>
<p>
La educación para la concientización tiene límites, como lo demuestran los
<a href="https://info.knowbe4.com/phishing-by-industry-benchmarking-report" rel="nofollow" target="_blank">informes anuales de phishing de KnowBe4</a>: después de 12 meses de capacitación intensiva en phishing, el 5% de 9,5
millones de personas de 30.100 organizaciones todavía mordieron el anzuelo. Y
los resultados de este año reflejan informes anteriores.
</p>
<h3 style="text-align: left;"><b>Técnicas adaptativas de MFA</b></h3>
<p>
La experiencia del usuario es esencial para el éxito de los programas de MFA.
Imponer obstáculos draconianos genera descontento en los usuarios, lo que no
es bueno para los administradores ni para la gerencia de TI.
</p>
<p>
<b> Adaptive MFA</b> agrega inteligencia a los flujos de trabajo tradicionales
de MFA para combatir los indicadores anónimos. Tras la detección, la
plataforma MFA presenta ayudas a los usuarios y obliga a realizar pasos
adicionales en el flujo de trabajo de inicio de sesión. Éstas incluyen:
</p>
<p></p>
<ul style="text-align: left;">
<li>Geolocalización de la solicitud de origen</li>
<li>
OTP en la aplicación para la entrada manual en el mensaje de servicio al que
se accede
</li>
<li>
Solicitar acciones de violación de la política de frecuencia e intervalo
para frenar y bloquear a los bombarderos
</li>
</ul>
<p></p>
<p>
Estas técnicas adaptativas aumentan la capacidad del usuario para proteger los
recursos de la empresa. Sin embargo, tienen límites. Por ejemplo, la
geolocalización de direcciones IP puede ser propensa a errores debido a
imprecisiones introducidas por VPN, TOR y la infraestructura móvil. En segundo
lugar, cualquier aceptación errónea, incluso después de los mensajes de
advertencia geográfica y OTP, resulta en el éxito del atacante.
</p>
<p>
<b> Técnicas de MFA resistentes al phishing:</b> el desarrollo más reciente
contra el <i>push bombing</i> es el MFA resistente al phishing. Esta
tecnología intenta eliminar las debilidades de los usuarios ante ataques
relacionados con el phishing. En este caso se utilizan técnicas de fijación
que vinculan a los usuarios, estaciones de trabajo y navegadores a sus
aplicaciones y servicios asignados. La MFA resistente al phishing suele
utilizar <i>tokens</i> de hardware como tarjetas inteligentes X.509 y llaves
USB o <i>tokens</i> de hardware FIDO2 para imposibilitar el acceso no
autorizado sin poseer los <i>tokens</i>.
</p>
<p>
<b>MFA sin contraseña (passwordless):</b> se libera a los usuarios de
crear o recordar cualquiera de las contraseñas de su lugar de trabajo elimina
el riesgo de phishing de contraseñas más grave. Se aumenta las apuestas al
eliminar las contraseñas, algo que sabes a favor de algo que eres.
</p>
<p>
Lo más interesante es que, si bien a los usuarios les encanta la MFA sin
contraseña, TI es el gran ganador. TI reduce inmediatamente los riesgos de
seguridad y detiene las llamadas al servicio de asistencia técnica para
contraseñas que consumen mucho tiempo. Sin mencionar que TI puede modernizar
la infraestructura más rápidamente sin la coordinación para compartir secretos
de los usuarios.
</p>
<p>
Fuente:
<a href="https://doubleoctopus.com/blog/passwordless-mfa/what-is-mfa-push-bombing-attack-and-how-to-stop-it/" rel="nofollow" target="_blank">Doble Octupus</a>
|
<a href="https://www.beyondtrust.com/resources/glossary/mfa-fatigue-attack" rel="nofollow" target="_blank">Beyond Trust</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-54548926277099640232024-01-05T10:06:00.001-03:002024-01-05T10:06:00.147-03:00Resumen de vulnerabilidades del año 2023: si todo es crítico, nada lo es<p style="text-align: right;">
<i
>Por Saeed Abbasi, director de producto - Unidad de investigación de
amenazas, Qualys</i
>
</p>
<p>
Es hora de hacer una pausa y reflexionar. Es hora de evaluar qué funcionó y
qué no en 2023, qué nos llamó la atención y causó perturbaciones, y qué pasó
desapercibido. Más importante aún, necesitamos saber qué lecciones aprendimos
de 2023 para que podamos hacer un mejor trabajo en la gestión del riesgo este
nuevo año. En consonancia con esto, la
<a href="https://www.qualys.com/tru/" rel="nofollow" target="_blank"
>Unidad de Investigación de Amenazas de Qualys (TRU)</a
>
ha preparado un informepara revisar el panorama de amenazas en 2023.
</p>
<h3 style="text-align: left;">Conclusiones clave</h3>
<ul style="text-align: left;">
<li>
Menos del uno por ciento de las vulnerabilidades contribuyeron al mayor
riesgo y fueron explotadas rutinariamente en la naturaleza.
</li>
<li>
97 vulnerabilidades de alto riesgo, probablemente explotadas, no formaban
parte del catálogo de vulnerabilidades conocidas explotadas
<a
href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-133a"
rel="nofollow"
target="_blank"
>(KEV) de CISA</a
>.
</li>
<li>
El 25 por ciento de estas vulnerabilidades fueron inmediatamente objeto de
explotación, y el <i>exploit</i> se publicó el mismo día en que la
vulnerabilidad en sí se reveló públicamente.
</li>
<li>
1/3 de las vulnerabilidades de alto riesgo afectaron a dispositivos de red y
aplicaciones web.
</li>
<li>
La explotación de servicios remotos, la explotación de aplicaciones públicas
y la explotación para escalar privilegios son las tres principales tácticas
de MITRE ATT&CK.
</li>
</ul>
<p>
Al momento de escribir este artículo, se revelaron 26.447 vulnerabilidades en
2023, eclipsando el número total de vulnerabilidades reveladas en 2022 en más
de 1.500 CVE. Esto continúa la trayectoria de años en la que se han encontrado
más vulnerabilidades que el año anterior.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="427"
data-original-width="800"
height="342"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Fig_01.png"
width="640"
/>
</div>
<p>
Sin embargo, no todas las vulnerabilidades presentan un riesgo elevado; de
hecho, un pequeño subconjunto (menos del 1%) aporta el mayor riesgo. Estas
vulnerabilidades particularmente críticas son aquellas que tienen un <i>exploit</i>
armado, son explotadas activamente por ransomware, actores de amenazas y
malware, o tienen evidencia confirmada de explotación en la naturaleza. Son
estas vulnerabilidades las que examinaremos en detalle.
</p>
<h3 style="text-align: left;">
Panorama de amenazas de vulnerabilidad para 2023
</h3>
<p>
La Unidad de Investigación de Amenazas (TRU) de Qualys analizó las
vulnerabilidades de alto riesgo para obtener más información y discutir
tendencias comunes. La TRU inspeccionó cuáles eran los más explotados, qué
métodos y tácticas de ataque se utilizaron y qué estrategias podemos utilizar
para fortalecer las defensas contra ellos. Algunos aspectos destacados de sus
hallazgos:
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="404"
data-original-width="800"
height="323"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Vuln-Threat-Landscape-1536x776.png"
width="640"
/>
</div>
<ul style="text-align: left;">
<li>
Más de 7.000 vulnerabilidades tenían código de explotación de prueba de
concepto. Estas vulnerabilidades podrían resultar en una explotación
exitosa; sin embargo, el código de explotación suele ser de menor calidad,
lo que puede reducir la probabilidad de que un ataque tenga éxito.
</li>
<li>
206 vulnerabilidades tenían disponible un código de explotación armado. Es
muy probable que los <i>exploits</i> para estas vulnerabilidades comprometan el
sistema de destino si se utilizan.
</li>
<li>
Hubo 115 vulnerabilidades explotadas habitualmente por actores de amenazas,
malware y grupos de ransomware como CL0P.
</li>
<li>
De las vulnerabilidades observadas, 109 tenían evidencia conocida de
explotación y estaban enumeradas en el CISA KEV.
</li>
<li>
Se explotaron 97 vulnerabilidades en estado salvaje, pero no se incluyeron
en la lista CISA KEV. Nota: Las organizaciones que priorizan según CISA KEV
deben prestar especial atención a estos CVE.
</li>
<li>
Grupos de ransomware como LockBit y Cerber explotaron 20 vulnerabilidades.
</li>
<li>
Además, 15 vulnerabilidades fueron explotadas por grupos de malware y
botnets.
</li>
</ul>
<h3 style="text-align: left;">Principales tipos de vulnerabilidad</h3>
<p>
Más de un tercio de las vulnerabilidades de alto riesgo identificadas podrían
explotarse de forma remota. Los cinco tipos de vulnerabilidades más frecuentes
representaron más del 70 por ciento del total descubierto. Esto subraya la
necesidad crítica de una estrategia integral de gestión de vulnerabilidades
que incluya capacidades de escaneo remoto, y no dependa únicamente de métodos
basados en agentes.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="404"
data-original-width="800"
height="323"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Fig_03-2048x1035.png"
width="640"
/>
</div>
<h3 style="text-align: left;">
Tiempo medio para explotar las vulnerabilidades de alto riesgo en 2023
</h3>
<p>
En 2023, fuimos testigos de una tendencia crítica en la explotación de
vulnerabilidades de alto riesgo. El análisis revela una visión sorprendente de
la rapidez con la que los atacantes aprovechan estas vulnerabilidades.
</p>
<p>
<b>
El tiempo medio para explotar las vulnerabilidades en 2023 será de 44 días
(aproximadamente un mes y medio). </b
>Sin embargo, este promedio oculta la urgencia de la situación. En numerosos
casos,
<b
>las vulnerabilidades tenían un <i>exploit</i> disponible el mismo día de su
publicación.</b
>
Esta acción inmediata representa un cambio en el modus operandi de los
atacantes, destacando su creciente eficiencia y la ventana cada vez menor para
la respuesta de los defensores.
</p>
<p>
<b
>El veinticinco por ciento de las CVE de alto riesgo se explotaron el día de
la publicación:</b
> estas vulnerabilidades de seguridad fueron inmediatamente objeto de
explotación, y el <i>exploit</i> se publicó el mismo día en que la
vulnerabilidad en sí se reveló públicamente. Esta estadística sirve como una
llamada de atención para que las organizaciones adopten una postura proactiva
hacia la gestión de parches y la inteligencia sobre amenazas.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="436"
data-original-width="800"
height="349"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Histogram-Days-to-Exploit-1536x838.png"
width="640"
/>
</div>
<p>
<b>Ventana de tres semanas:</b> el 75 por ciento de las vulnerabilidades
fueron explotadas dentro de los 19 días (aproximadamente tres semanas)
posteriores a su publicación. Este cronograma ofrece una ventana crucial para
que las organizaciones prioricen y aborden las vulnerabilidades más críticas.
</p>
<h3 style="text-align: left;">
Un tercio de las vulnerabilidades de alto riesgo encontradas en
infraestructura de red y aplicaciones web
</h3>
<p>
Un sustancial 32,5% de las 206 vulnerabilidades identificadas residen dentro
de la infraestructura de redes o dominios de aplicaciones web, sectores
tradicionalmente difíciles de salvaguardar por medios convencionales.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="720"
data-original-width="800"
height="576"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Fig_05.png"
width="640"
/>
</div>
<p>
Esto pone de relieve la necesidad de una estrategia integral de gestión de la
vulnerabilidad. Al implementar una variedad de métodos de gestión de
vulnerabilidades, incluidas técnicas basadas en agentes, sin agentes y basadas
en redes, las organizaciones pueden garantizar una protección amplia y
proactiva en todos los activos de TI.
</p>
<p>
Una estrategia de múltiples frentes de este tipo es esencial para detectar y
remediar amenazas de manera efectiva, reforzando así la seguridad y el
cumplimiento en áreas particularmente susceptibles a riesgos cibernéticos
sofisticados.
</p>
<h3 style="text-align: left;">
Más del 50 por ciento de las vulnerabilidades de alto riesgo explotadas por
actores de amenazas y grupos de ransomware
</h3>
<p>
De las 206 vulnerabilidades de alto riesgo,
<b
>más del 50 por ciento fueron aprovechadas por actores de amenazas,
ransomware o malware para comprometer los sistemas.
</b>
</p>
<p></p>
<ul style="text-align: left;">
<li>115 explotados por actores de amenazas nombrados.</li>
<li>20 explotados por ransomware.</li>
<li>15 explotados por malware y botnets.</li>
</ul>
<p></p>
<p>
Las vulnerabilidades identificadas abarcan un amplio conjunto de sistemas y
aplicaciones, incluidos, entre otros, PaperCut NG, MOVEit Transfer, varios
sistemas operativos Windows, Google Chrome, Atlassian Confluence y Apache
ActiveMQ. Esta amplitud demuestra que ninguna aplicación está fuera del
alcance de los atacantes, quienes están decididos a explotar cualquier
vulnerabilidad para comprometer los sistemas.
</p>
<p>
En particular, muchas de estas vulnerabilidades, como las que se encuentran en
MOVEit Transfer, Windows SmartScreen y Google Chrome, se pueden explotar de
forma remota, lo que evita la necesidad de acceso físico al sistema objetivo.
</p>
<p>
Ciertas vulnerabilidades permiten a los atacantes eludir los mecanismos de
autenticación, como se observa con las vulnerabilidades en PaperCut NG, o
escalar sus privilegios, como con las vulnerabilidades del controlador del
sistema de archivos de registro común de Windows. Este tipo de
vulnerabilidades son particularmente alarmantes debido a su potencial para
otorgar a los atacantes mayores niveles de acceso, simplificando así el
compromiso del sistema y los esfuerzos de filtración de datos.
</p>
<p>
Además, las vulnerabilidades encontradas en plataformas como Fortra GoAnywhere
MFT y Apache ActiveMQ son capaces de facilitar la ejecución remota de código o
la inyección de comandos. Estos permiten a los atacantes ejecutar comandos
arbitrarios, lo que podría llevar al control total del sistema.
</p>
<p>
Las amenazas a la ciberseguridad, que a menudo apuntan a versiones de software
específicas, como se ve en MOVEit Transfer, requieren una estrategia dinámica
e integral. Esto incluye actualizaciones periódicas, parches, evaluaciones de
vulnerabilidades y autenticación sólida. Las medidas proactivas y preventivas
son cruciales para una defensa eficaz contra estas amenazas complejas y en
evolución, en lugar de respuestas meramente reactivas.
</p>
<h3 style="text-align: left;">
Principales tácticas y técnicas de MITRE ATT&CK
</h3>
<p>
En 2023, las 206 vulnerabilidades del conjunto de datos se utilizaron como
armas, lo que ofrece una visión clara de las tácticas empleadas por los
ciberadversarios. Aquí, analizamos las principales técnicas y métodos de MITRE
ATT&CK utilizados en estos <i>exploits</i>, arrojando luz sobre las vías
más frecuentes de ataques cibernéticos:
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="384"
data-original-width="800"
height="307"
src="https://ik.imagekit.io/qualys/wp-content/uploads/2023/12/Fig_06-2048x982.png"
width="640"
/>
</div>
<ul>
<li>
<b>Explotación de servicios remotos (T1210 y T0866):</b> este es el método
observado con más frecuencia, con 72 ocurrencias en entornos empresariales y
24 en sistemas de control industrial (ICS). Esta técnica, utilizada para el
acceso inicial y el movimiento lateral, resalta la importancia de proteger
los protocolos de servicio remoto contra el acceso y la explotación no
autorizados.
</li>
<li>
<b> Explotación de aplicaciones públicas (T1190 y T0819):</b> esta técnica,
que ocurre 53 veces en dominios empresariales y 19 veces en ICS, se dirige a
aplicaciones accesibles desde Internet. Es una ruta de acceso inicial
favorita para los atacantes, lo que muestra la necesidad crítica de una
seguridad sólida de las aplicaciones externas.
</li>
<li>
<b> Explotación para escalada de privilegios (T1068):</b> Esta técnica,
mencionada 20 veces, implica que los atacantes exploten vulnerabilidades
para obtener mayores privilegios dentro de un sistema. Su aparición subraya
la necesidad de una gestión y supervisión de privilegios eficaces dentro de
las redes empresariales.
</li>
</ul>
<p>
Además de los métodos dominantes, en 2023 también se vieron otras tácticas que
contribuyeron a la diversa matriz de amenazas, como:
</p>
<p></p>
<ul style="text-align: left;">
<li>Explotación para ejecución de cliente (T1203)</li>
<li>Escalada de privilegios en dispositivos móviles (T1404)</li>
<li>Explotación de aplicaciones/sistemas (T1499.004)</li>
<li>Servicios remotos externos (T1133)</li>
<li>Compromiso de paso (T1189)</li>
<li>Escalada de privilegios en ICS (T0890)</li>
<li>Enlace malicioso (T1204.001)</li>
<li>Explotación de Servicios Remotos en Móvil (T1428)</li>
</ul>
<p></p>
<p>
Cada una de estas técnicas representa un desafío distinto en ciberseguridad y
ofrece información sobre las tácticas en evolución de los ciberadversarios.
Desde explotar aplicaciones públicas hasta aprovechar servicios remotos y
ejecutar escalada de privilegios, estos métodos describen un panorama de
amenazas sofisticado y multifacético. Comprender estas técnicas de ataque
predominantes es crucial para desarrollar estrategias de defensa más efectivas
y reforzar las medidas de ciberseguridad contra estas amenazas predominantes.
</p>
<h3 style="text-align: left;">Amenazas más activas</h3>
<p>
Este año, ciertas vulnerabilidades destacaron como las más explotadas. Éstas
incluyen:
</p>
<p>
CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880,
CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE- 2023-29059, CVE-2023-34362
</p>
<p>
El volumen de aprovechamientos de estas vulnerabilidades indica tendencias en
los vectores de ataque y enfatiza la necesidad de estrategias defensivas
específicas. Se puede <a
href="https://blog.qualys.com/qualys-insights/2023/09/26/qualys-survey-of-top-10-exploited-vulnerabilities-in-2023"
>consultar la publicación del blog de TRU</a
> para obtener una lista detallada de las vulnerabilidades más
explotadas.
</p>
<table
style="border-collapse: collapse; box-sizing: inherit; table-layout: fixed; word-break: break-word;"
>
<thead
style="border-bottom: 3px solid; box-sizing: inherit; word-break: break-word;"
>
<tr style="box-sizing: inherit; word-break: break-word;">
<th
style="border: 1px solid transparent; box-sizing: inherit; padding: 0.5em; word-break: normal;"
>
<span
style="box-sizing: inherit; font-weight: bolder; word-break: break-word;"
>CVE</span
>
</th>
<th
style="border: 1px solid transparent; box-sizing: inherit; padding: 0.5em; word-break: normal;"
>
<span
style="box-sizing: inherit; font-weight: bolder; word-break: break-word;"
>Title</span
>
</th>
<th
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 0.5em; text-align: center; word-break: normal;"
>
<span
style="box-sizing: inherit; font-weight: bolder; word-break: break-word;"
>Qualys Score (QVS)</span
>
</th>
</tr>
</thead>
<tbody style="box-sizing: inherit; word-break: break-word;">
<tr
style="background-color: #f0f0f0; box-sizing: inherit; word-break: break-word;"
>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-0669
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
Fortra GoAnywhere Managed File Transfer (MFT) RCE Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr style="box-sizing: inherit; word-break: break-word;">
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-20887
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
VMware Aria Operations for Networks Command Injection Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr
style="background-color: #f0f0f0; box-sizing: inherit; word-break: break-word;"
>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-22952
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
SugarCRM Remote Code Execution (RCE) Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr style="box-sizing: inherit; word-break: break-word;">
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-23397
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
Microsoft Outlook Elevation of Privilege Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr
style="background-color: #f0f0f0; box-sizing: inherit; word-break: break-word;"
>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-24880
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
Windows SmartScreen Security Feature Bypass Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr style="box-sizing: inherit; word-break: break-word;">
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-27350
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
PaperCut NG/MF Multiple Security Vulnerabilities
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
100
</td>
</tr>
<tr
style="background-color: #f0f0f0; box-sizing: inherit; word-break: break-word;"
>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-28252
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
Windows Common Log File System Driver Elevation of Privilege
Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr style="box-sizing: inherit; word-break: break-word;">
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-2868
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
Barracuda Email Security Gateway Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr
style="background-color: #f0f0f0; box-sizing: inherit; word-break: break-word;"
>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-29059
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
3CX Desktop Client Supply Chain Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
95
</td>
</tr>
<tr style="box-sizing: inherit; word-break: break-word;">
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
CVE-2023-34362
</td>
<td
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; vertical-align: top; word-break: normal;"
>
MOVEit Transfer Injection Vulnerability
</td>
<td
class="has-text-align-center"
data-align="center"
style="border: 1px solid transparent; box-sizing: inherit; padding: 10px; text-align: center; vertical-align: top; word-break: normal;"
>
100
</td>
</tr>
</tbody>
</table>
<p
style="background-color: white; box-sizing: inherit; color: #6a778b; font-family: Caecilia, sans-serif; font-size: 19px; line-height: 1.8; word-break: break-word;"
></p>
<h3 style="text-align: left;">Actores de amenazas más activos de 2023</h3>
<p>
En 2023, el panorama cibernético se vio sacudido por TA505, también conocido
como CL0P Ransomware Gang. Este grupo planeó un ciberataque de alto perfil
mediante la explotación de vulnerabilidades de día cero, y en particular
explotaron vulnerabilidades de día cero en plataformas clave como GoAnywhere
MFT, PaperCut, MOVEit y SysAid.
</p>
<p>
Su uso sofisticado de diversos tipos de malware para recopilar información y
facilitar ataques los marcó como una amenaza importante. La gravedad de sus
acciones provocó avisos de la Agencia de Seguridad de Infraestructura y
Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI),
destacando la necesidad de mejorar las medidas de ciberseguridad.
</p>
<h3 style="text-align: left;">El malware más activo de 2023</h3>
<p>
En 2023,
<a
href="https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a"
rel="nofollow"
target="_blank"
>LockBit</a
>
y Clop se han destacado en el ámbito del ransomware. LockBit, utilizando su
modelo avanzado de ransomware como servicio, se ha dirigido a una variedad de
organizaciones, incluso en los sectores de TI y finanzas. En particular,
LockBit aprovechó vulnerabilidades como CVE-2023-27350 en PaperCut NG y
CVE-2023-0699 en Google Chrome, lo que permitió a atacantes remotos eludir la
autenticación y explotar la corrupción del montón.
</p>
<p>
Clop, conocido por explotar vulnerabilidades, ha llevado a cabo extensos
ataques contra grandes empresas, especialmente en los sectores de finanzas, TI
y atención médica. Las actividades de Clop incluyeron la explotación de
CVE-2023-27350, CVE-2023-34362, CVE-2023-0669 y CVE-2023-35036. Estas
vulnerabilidades iban desde la inyección de SQL en MOVEit Transfer, que
permite el acceso a la base de datos, hasta una inyección de comando de
autenticación previa en GoAnywhere MFT y eludir la autenticación en PaperCut
NG.
</p>
<p>
El panorama de la ciberseguridad está evolucionando, con la proliferación de
herramientas y conocimientos de piratería que permiten a los piratas
informáticos menos capacitados explotar vulnerabilidades que antes solo eran
accesibles a atacantes altamente sofisticados. Esto amplía el espectro de
atacantes para incluir piratas informáticos avanzados, actores cibernéticos
maliciosos con menos experiencia y activistas digitales, lo que marca un
cambio significativo en la dinámica de las amenazas cibernéticas.
</p>
<p>
Estos casos resaltan la velocidad con la que las vulnerabilidades pueden pasar
de la publicación a la explotación armada y luego a la explotación e ilustran
la inmediatez con la que las amenazas cibernéticas evolucionan tras la
divulgación de las vulnerabilidades. Esta rápida evolución desde la
publicación hasta la explotación y el uso de armas enfatiza la necesidad
crítica de que las organizaciones monitoreen de cerca las divulgaciones e
implementen mecanismos de respuesta rápida para mitigar posibles ataques.
</p>
<h3 style="text-align: left;">Conclusión</h3>
<p>
Al concluir el análisis del panorama de amenazas en 2023, es evidente que el
rápido ritmo de utilización de vulnerabilidades como arma y la diversidad de
actores de amenazas plantean desafíos importantes para las organizaciones a
nivel mundial. Aquí hay algunas recomendaciones clave para reducir el riesgo:
</p>
<p></p>
<ul style="text-align: left;">
<li>
Para evaluar con precisión el riesgo genuino que presentan las
vulnerabilidades abiertas dentro de su organización, es esencial que las
empresas empleen un conjunto completo de sensores, que van desde agentes
hasta escáneres de red y escáneres externos.
</li>
<li>
Realice un inventario exhaustivo de todas las aplicaciones públicas y
servicios remotos para garantizar que no sean vulnerables a vulnerabilidades
de alto riesgo.
</li>
<li>
Emplear un enfoque multifacético para la priorización de vulnerabilidades.
Concéntrese en aquellos que se sabe que son explotados en la naturaleza
(comience con el CISA KEV), aquellos con una alta probabilidad de
explotación (indicada por una puntuación EPSS alta) y aquellos con código de
explotación disponible como arma.
</li>
</ul>
<p>
Estas recomendaciones ayudarán a reforzar la necesidad crítica de un enfoque
sólido y proactivo para la gestión de vulnerabilidades y riesgos,
especialmente en una era cada vez más sofisticada y generalizada de amenazas
cibernéticas.
</p>
<p>
Fuente:
<a
href="https://blog.qualys.com/vulnerabilities-threat-research/2023/12/19/2023-threat-landscape-year-in-review-part-one"
rel="nofollow"
target="_blank"
>Qualys</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-63967374345312455122023-12-11T09:12:00.002-03:002023-12-11T09:52:20.881-03:00"Usuarios internos malintencionados utilizan las vulnerabilidades conocidas contra sus organizaciones" [Crowdstrike]<p>
Las fallas de elevación de privilegios son la vulnerabilidad más común
aprovechada por personas internas corporativas cuando realizan actividades no
autorizadas en las redes, ya sea con fines maliciosos o descargando
herramientas riesgosas de manera peligrosa.
</p>
<p>
Un
<a href="https://www.crowdstrike.com/blog/how-malicious-insiders-use-known-vulnerabilities-against-organizations/" rel="nofollow" target="_blank">informe de Crowdstrike</a>
basado en datos recopilados entre enero de 2021 y abril de 2023 muestra que
las amenazas internas están aumentando y que el uso de fallas de escalamiento
de privilegios es un componente importante de la actividad no autorizada.
</p>
<p>
Según el informe, el 55% de las amenazas internas registradas por la empresa
se basan en exploits de escalamiento de privilegios, mientras que el 45%
restante introduce riesgos sin saberlo al descargar o hacer un mal uso de
herramientas ofensivas (informes <a href="https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats" rel="nofollow" target="_blank">I</a> y <a href="https://www.thesasig.com/resources/2020-cost-of-insider-threats-global-report/" rel="nofollow" target="_blank">II</a>).</p>
<p>
Los empleados deshonestos suelen volverse contra su empleador
<a href="https://www.bleepingcomputer.com/news/security/it-employee-impersonates-ransomware-gang-to-extort-employer/" rel="nofollow" target="_blank">porque les han dado</a>
<a href="https://www.bleepingcomputer.com/news/security/ransomware-gangs-increase-efforts-to-enlist-insiders-for-attacks/" rel="nofollow" target="_blank">incentivos financieros</a>, por despecho o por diferencias con sus supervisores. CrowdStrike también clasifica los incidentes como amenazas internas cuando no
son ataques maliciosos contra una empresa, como el uso de exploits para
instalar software o realizar pruebas de seguridad.</p><p>Un usuario interno que aumenta sus privilegios sin autorización está abusando de su acceso y, como mínimo, está intentando eludir el <a href="https://www.crowdstrike.com/cybersecurity-101/principle-of-least-privilege-polp/" rel="nofollow" target="_blank">Principio de Mínimo Privilegio (POLP)</a>. Según este principio, a los usuarios y procesos solo se les conceden los permisos mínimos necesarios para realizar las tareas asignadas. POLP es ampliamente considerado como una de las prácticas más efectivas para fortalecer la postura de ciberseguridad de una organización y les permite controlar y monitorear el acceso a la red y a los datos.2</p>
<p>
Sin embargo, en estos casos, aunque no se utilizan para atacar a la empresa,
comúnmente se utilizan de manera riesgosa, introduciendo potencialmente
amenazas o malware en la red que los actores de amenazas podrían abusar.
</p>
<p>
Crowdstrike ha descubierto que los ataques lanzados desde organizaciones
objetivo cuestan un promedio de 648.000 dólares por incidentes maliciosos y
485.000 dólares por incidentes no maliciosos. Estas cifras pueden ser incluso
mayores en 2023.
</p>
<p>
Además del importante coste financiero de las amenazas internas, Crowdstrike
destaca las repercusiones indirectas de los daños a la marca y la reputación.
</p>
<h3 style="text-align: left;">Un típico ataque interno</h3>
<p>
Crowdstrike explica que utilizar vulnerabilidades de escalamiento de privilegios
para obtener privilegios administrativos es fundamental para muchos ataques
internos, ya que en la mayoría de los casos, los infiltrados deshonestos
comienzan con acceso de bajo nivel a sus entornos de red.
</p>
<p>
Los privilegios más altos permiten a los atacantes realizar acciones como
descargar e instalar software no autorizado, borrar registros o incluso
diagnosticar problemas en su computadora utilizando herramientas que requieren
privilegios de administrador.
</p>
<p>
Las fallas más explotadas para la escalamiento de privilegios locales por parte de
personas internas deshonestas son las siguientes, según las observaciones de
CrowdStrike:
</p>
<ul style="text-align: left;">
<li>
CVE-2017-0213: Una falla de Windows permite elevar privilegios mediante la
explotación de la infraestructura COM.
</li>
<li>
CVE-2022-0847 (<a href="https://www.bleepingcomputer.com/news/security/new-linux-bug-gives-root-on-all-major-distros-exploit-released/" rel="nofollow" target="_blank">DirtyPipe</a>): falla en la gestión de operaciones de canalización del kernel de Linux.
</li>
<li>
CVE-2021-4034 (<a href="https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/" rel="nofollow" target="_blank">PwnKit</a>): falla de Linux que afecta el servicio del sistema Polkit.
</li>
<li>
CVE-2019-13272: Vulnerabilidad de Linux relacionada con el manejo inadecuado
de privilegios de usuario en procesos del kernel.
</li>
<li>
CVE-2015-1701: Error de Windows que involucra al controlador en modo kernel <i>"win32k.sys"</i> para la ejecución de código no autorizado.
</li>
<li>
CVE-2014-4113: también apunta a <i>"win32k.sys"</i> pero implica un método de
explotación diferente.
</li>
</ul>
<p>
Las fallas anteriores ya están enumeradas en el <a href="https://www.cisa.gov/known-exploited-vulnerabilities-catalog" rel="nofollow" target="_blank">Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA</a>, ya que históricamente han sido utilizadas
en ataques por parte de actores de amenazas. </p><p>
Incluso si un sistema ha sido parcheado para estas fallas, los usuarios
internos pueden obtener privilegios elevados a través de otros medios, como
fallas de secuestro de DLL en aplicaciones que se ejecutan con privilegios
elevados, permisos de sistemas de archivos o configuraciones de servicios
inseguros, o
<a href="https://www.bleepingcomputer.com/news/security/scattered-spider-hackers-use-old-intel-driver-to-bypass-security/" rel="nofollow" target="_blank">ataques <i>Bring Your Own Vulnerable Driver (BYOVD)</i></a>.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="403" data-original-width="800" height="322" src="https://www.bleepstatic.com/images/news/u/1220909/2023/Phishing/25/diagram.png" width="640" />
</div>
<p>
Crowdstrike ha visto múltiples casos de explotación de CVE-2017-0213 que
afectaron a una empresa minorista en Europa, donde un empleado descargó un
exploit a través de WhatsApp para instalar uTorrent y jugar. Otro caso se
refiere a un empleado despedido de una entidad de medios en los EE. UU.
</p>
<p>
La explotación de PwnKit fue observada por un empleado de una empresa de
tecnología australiana que intentó obtener derechos administrativos para
solucionar problemas informáticos.
</p>
<p>
Un ejemplo de explotación de CVE-2015-1701 se refiere a un empleado de una
empresa de tecnología estadounidense que intentó eludir los controles
existentes para instalar una máquina virtual Java no autorizada.
</p>
<p>
Si bien casi todos estos incidentes de amenazas internas no se considerarían
ataques maliciosos, introducen riesgos al modificar la forma en que debe
ejecutarse un dispositivo o al ejecutar potencialmente programas maliciosos o
inseguros en la red.
</p>
<h3 style="text-align: left;">Los errores internos introducen riesgos</h3>
<p>
Casi la mitad de los incidentes internos registrados por Crowdstrike se
refieren a percances no intencionales, como pruebas de exploits que se salen
de control, la ejecución de herramientas de seguridad ofensivas sin las
medidas de protección adecuadas y la descarga de código no examinado.
</p>
<p>
Por ejemplo, CrowdStrike dice que algunos incidentes fueron causados por
profesionales de seguridad que probaron exploits y kits de exploits
directamente en una estación de trabajo de producción en lugar de a través de
una máquina virtual segmentada del resto de la red.
</p>
<p>
Los analistas informan que la mayoría de los casos de este tipo involucran
herramientas como Metasploit Framework y ElevateKit, mientras que las
vulnerabilidades introducidas con mayor frecuencia como resultado de
actividades descuidadas son las siguientes:
</p>
<ul style="text-align: left;">
<li>
CVE-2021-42013: Vulnerabilidad de recorrido de ruta en Apache HTTP Server
2.4.49 y 2.4.50.
</li>
<li>
CVE-2021-4034 (PwnKit): Vulnerabilidad fuera de límites en el servicio del
sistema Polkit.
</li>
<li>
CVE-2020-0601: Vulnerabilidad de suplantación de identidad en Windows
CryptoAPI.
</li>
<li>
CVE-2016-3309: Problema de escalamiento de privilegios en el kernel de Windows.
</li>
<li>
CVE-2022-21999: Vulnerabilidad de elevación de privilegios en Windows Print
Spooler.
</li>
</ul>
<p></p>
<p>
La introducción de estas fallas en las redes corporativas puede aumentar el
riesgo de seguridad general al proporcionar a los actores de amenazas que ya
tienen un punto de apoyo en la red vectores adicionales para su explotación.
</p>
<p>
Sin embargo, lo que es aún más importante, no es raro que los actores de
amenazas creen exploits de prueba de concepto falsos o herramientas de
seguridad que instalen malware en los dispositivos.
</p>
<p>
Por ejemplo, en mayo, los actores de amenazas distribuyeron
<a href="https://www.bleepingcomputer.com/news/security/fake-windows-exploits-target-infosec-community-with-cobalt-strike/" rel="nofollow" target="_blank">exploits falsos de prueba de concepto de Windows</a>
que infectaron dispositivos con la puerta trasera Cobalt Strike. En otro ataque, Rapid7 descubrió que
<a href="https://www.bleepingcomputer.com/news/security/fake-zero-day-poc-exploits-on-github-push-windows-linux-malware/" rel="nofollow" target="_blank">los actores de amenazas estaban distribuyendo PoC falsos</a>
para exploits Zero-Day que instalaban malware en Windows y Linux.</p><p>En diciembre de 2022, Falcon Complete observó un incidente en el que un usuario interno descargaba y preparaba <a href="https://github.com/rsmudge/ElevateKit" rel="nofollow" target="_blank">ElevateKit</a>, un <i>framework</i> de escalamiento de privilegios comúnmente aprovechado junto con Cobalt Strike. Además de ElevateKit, el usuario también preparó <a href="https://github.com/gentilkiwi/mimikatz/" rel="nofollow" target="_blank">Mimikatz</a> y <a href="https://github.com/Sw4mpf0x/PowerLurk" rel="nofollow" target="_blank">PowerLurk</a>, dos herramientas que también se usan comúnmente en pruebas de penetración para volcar credenciales y establecer persistencia a través de Windows Instrumentación de Gestión (WMI). </p>
<p>
En ambos escenarios, instalar el exploit falso en una estación de trabajo
permitiría el acceso inicial a una red corporativa, lo que podría provocar
ciberespionaje, robo de datos o ataques de ransomware.
</p>
<p>
Fuente:
<a href="https://www.bleepingcomputer.com/news/security/privilege-elevation-exploits-used-in-over-50-percent-of-insider-attacks/" rel="nofollow" target="_blank">BC</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-78840335465342508422023-12-08T09:58:00.004-03:002023-12-08T09:58:57.526-03:00Cómo la IA puede ayudar a los equipos de seguridad<p>
Las actividades de los ciberdelincuentes son cada vez más oportunistas,
constituyendo un modelo de negocio en sí mismo. En el último año ha habido un
aumento del alcance global de los ciberataques en todo el mundo, que han
afectado a 120 países, alimentados por el espionaje promovido por gobiernos y
con operaciones de influencia también en aumento.
</p>
<p><b>
Más del 40% de estos ciberataques se llevaron a cabo contra organizaciones
gubernamentales, o también contra entidades privadas implicadas en la
construcción y mantenimiento de infraestructuras críticas.</b> Y aunque pueda
parecer lo contrario, la mayoría de ellos no son de ransomware, según los
datos del último informe
<a href="https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023">Digital Defense Report 2023 de Microsoft</a>, sino que tienen como fin el robo de información, el control de las
comunicaciones de manera encubierta o la manipulación de información.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="450" data-original-width="800" height="360" src="https://cdn-dynmedia-1.microsoft.com/is/image/microsoftcorp/mddr-2023-home-page?resMode=sharp2&op_usm=1.5,0.65,15,0&wid=1600&hei=900&qlt=85&fit=constrain" width="640" />
</div>
<p>
Entre las conclusiones más destacadas del informe, se encuentran que Estados
Unidos, Israel y Ucrania siguen siendo los países que registran mayor número
de ciberataques; que las agencias de inteligencia rusas han reorientado sus
ataques cibernéticos hacia la actividad de espionaje para apoyar su guerra
contra Ucrania; o que los esfuerzos iraníes, antes centrados en derribar las
redes de sus objetivos, también se inclinan ahora a amplificar mensajes
manipuladores para promover objetivos geopolíticos o aprovechar los datos que
fluyen a través de redes sensibles.
</p>
<p>
Este panorama ha llevado a que la ciberseguridad se haya convertido en una de
las principales preocupaciones de organizaciones y gobiernos de todo el
planeta.
</p>
<p>
Los ciberdelincuentes están avanzando en sus estrategias para eliminar
cualquier rastro de sus acciones, un 60% emplea para ello el cifrado remoto,
lo que reduce la mitigación de los ataques basada en procesos. Además, cada
vez
<b>hay más ciberatacantes que intentan acceder a dispositivos no
gestionados,</b>
o a los que los trabajadores de una empresa utilizan para trabajar, aunque
sean en principio de uso personal. Más de un 80% de los casos de ciberataques
que se observan tienen su origen en este tipo de equipos.
</p>
<p>
En un mundo donde hay 4.000 ataques de contraseñas por segundo, las
protecciones integradas en los productos y servicios de Microsoft han
bloqueado varias decenas de miles de millones de amenazas de malware.
</p>
<p>
Microsoft está haciendo grandes avances para proporcionar a las organizaciones
las herramientas más potentes del mercado, que incluyen IA para derrotar a
estos ciberdelincuentes y, al mismo tiempo, se están forjando alianzas sólidas
que trascienden las fronteras, las industrias y la división
público-privada.<br />IA: nuevas amenazas y nuevas oportunidades de defensa
</p>
<p>
<b>La Inteligencia Artificial (IA) está creando nuevas amenazas, pero al mismo
tiempo, emerge como una tecnología que ayuda a las compañías y organismos a
desplegar estrategias más innovadoras de defensa ante ciberataques.</b>
Por un lado, tenemos a atacantes que la usan para mejorar los mensajes de
phishing y mejorar las operaciones con imágenes sintéticas generadas con
Inteligencia Artificial, y por otro, a entidades y expertos en defensa que la
usan para automatizar y ampliar el alcance y la protección de diversos
aspectos de la ciberseguridad. Entre ellas la detección, respuesta, análisis y
predicción de las amenazas.
</p>
<p>
<b>También puede permitir que los modelos de lenguaje masivos (LLM)
desarrollen información y recomendaciones de seguridad en lenguaje natural,
partiendo de datos complejos.</b>
Esto lleva a una mayor eficiencia de los analistas, así como a una mejor
capacidad de respuesta ante ataques y amenazas.
</p>
<p>
Para detectar y responder rápidamente a las amenazas y comprender mejor el
panorama de las ciberamenazas en general, Microsoft está llevando la próxima
generación de Inteligencia Artificial a la ciberseguridad con
<a href="https://www.microsoft.com/es-es/security/business/ai-machine-learning/microsoft-security-copilot">Microsoft Security Copilot</a>. Esta herramienta se puede utilizar combinando la labor que realizan los
equipos de seguridad de las organizaciones. Estos reciben de ella una imagen
de lo que pasa en su entorno, y sus usuarios, además de estar protegidos,
pueden aprender de los informes de inteligencia que reciben, y relacionarlos
con la actividad de las amenazas. Todo esto además de conseguir más velocidad
de cara a la toma de decisiones, añade una mayor eficiencia.
</p>
<p>
Microsoft Security Copilot proporciona a los profesionales del mundo de la
seguridad más elementos para mejorar su nivel de detección. Esto es posible,
entre otras cosas, porque puede organizar incidentes en función de su
prioridad, resumir la información sobre ataques y recomendar cómo actuar y qué
pasos dar para solucionar distintos tipos de amenazas con agilidad.
</p>
<p>
Gracias a la integración de la Inteligencia Artificial, Microsoft Security
Copilot es capaz de aprender y mejorar continuamente, lo que es de gran
utilidad para los equipos de seguridad de empresas y organizaciones, que deben
estar permanentemente actualizados. Gracias a esta herramienta, podrán
trabajar con información real sobre los ciberatacantes, así como sobre sus
técnicas y procedimientos.
</p>
<p>
La alianza de Microsoft con OpenAI también tiene relevancia para esta
herramienta, puesto que da acceso continuo a los modelos más avanzados de la
compañía, con el objetivo de que los profesionales de la seguridad, y de TI,
puedan contar con soporte para tareas y aplicaciones de seguridad.
</p>
<p>
De esta manera, los equipos de seguridad pueden contar con las mismas
habilidades que hay en empresas y entidades con equipos de seguridad de gran
envergadura, eliminando las barreras que provocan la escasez de personal
especializado y la falta de formación en ciberseguridad.
</p>
<p>
Microsoft Security Copilot, para ello, rastrea activamente la actividad de
medio centenar de bandas de ciberdelincuentes dedicados al ransomware, y la de
más de 250 entidades y grupos respaldados por estados-nación. Además, recibe
diariamente unos 65.000 millones de señales de amenazas, e informa sobre
perfiles de atacantes e incidentes.
</p>
<h3 style="text-align: left;">
Formación y seguridad unificada, claves para mejorar la ciberseguridad.
</h3>
<p>
Esta herramienta no es la única dedicada a la seguridad de Microsoft, ya que
también ofrece la plataforma Unified Security Operations. Presentada
recientemente en el evento para desarrolladores
<a href="https://news.microsoft.com/es-es/2023/11/15/microsoft-ignite-2023-la-transformacion-de-la-ia-y-la-tecnologia-que-impulsa-el-cambio/">Microsoft Ignite 2023</a>, funciona como combinación de otras dos herramientas de seguridad de
Microsoft: Sentinel y Defender XDR (Evolución de 365 Defender).
</p>
<p>
Veamos el último
<a href="https://www.microsoft.com/en-us/worklab/work-trend-index/copilots-earliest-users-teach-us-about-generative-ai-at-work" rel="noopener" target="_blank">Work Trend Index</a>. Hace ocho meses, Microsoft presentó Copilot para Microsoft 365, con una
capacidad única para impulsar la digitalización y aumentar la productividad de
modo que los profesionales se puedan centrar en las tareas que son
genuinamente humanas. Lo que todo el mundo quiere saber ahora es: ¿De verdad
Copilot cambiará el trabajo? ¿Y cómo? La investigación de Microsoft, que
utiliza una combinación de encuestas y experimentos, muestra que los
beneficios en la productividad son reales
</p>
<ul>
<li>
El 70% de los usuarios de Copilot manifestó que su productividad creció; el
68% señaló que mejoró la calidad de su trabajo; y el 68% afirmó que le ayudó
a arrancar el proceso creativo.
</li>
<li>
En general, el 29% de los usuarios fue más rápido en tareas específicas,
como la búsqueda, la redacción o la creación de resúmenes.
</li>
<li>
Los usuarios se pusieron al día de reuniones perdidas 4 veces más rápido.
</li>
<li>
El 64% indicó que Copilot les ayudó a perder menos tiempo con el email.
</li>
<li>Al 87% Copilot les facilitó empezar con un primer borrador.</li>
<li>
El 75% consideró que Copilot “ahorra tiempo al encontrar cualquier cosa que
necesites en los archivos”.
</li>
<li>El 77% no quiere renunciar a Copilot una vez ha empezado a usarlo.</li>
</ul>
<p>
En la plataforma también se integrarán experiencias de Microsoft Security
Copilot, así como IA generativa. Está centrada en protección frente a amenazas
casi en tiempo real, y en facilitar su tarea a los especialistas en seguridad
y miembros de equipos de TI de todo tipo de organizaciones.
</p>
<p>
Ofrecer facilidades en su trabajo es precisamente uno de los pilares
identificados por Microsoft como base para que los equipos de TI mejoren en la
protección de datos y sistemas. Para ello es básico que cuenten con
información y apoyo. Por ejemplo, para prepararse de cara a la adopción de la
directiva
<a href="https://blog.segu-info.com.ar/2023/05/que-es-nis2-y-como-afecta-la.html" target="_blank">NIS2</a>, la legislación de la Unión Europea sobre ciberseguridad, que tiene como
objetivo con su implantación el aumento del nivel de seguridad online en el
seno de la UE.
</p>
<p>
Para ello,
<a href="https://info.microsoft.com/WE-PGSD-CNTNT-FY24-10Oct-04-Prepare-for-NIS2-SRGCM11068_LP01-Registration---Form-in-Body.html">Microsoft ha preparado una guía</a> [<a href="https://info.microsoft.com/rs/157-GQE-382/images/SRGCM11068.pdf?version=0" rel="nofollow" target="_blank">PDF</a>] para que empresas y organizaciones de todo tipo puedan preparar a sus equipos
y empleados de cara a NIS2, así como para contar con los datos que necesitan
para elaborar su estrategia de transformación en ciberseguridad según dicha
directiva.
</p>
<p>Fuente:</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-50398709204741484842023-12-05T11:34:00.012-03:002024-02-12T09:31:02.099-03:00"123456" y "admin", las dos contraseñas más comunes en 2023😭<div style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;">
<img height="106" src="https://news-cdn.softpedia.com/images/fitted/340x180/123456-is-2016-s-most-common-password.jpg" width="200" />
</div><p>
A lo largo de los años, hemos abordado la importancia de las contraseñas, subrayando su papel esencial en la protección de cuentas en línea. En el
continuo baile de bits que conforma nuestro mundo digital, la seguridad de
nuestras claves es una pieza fundamental para resguardar nuestra información
personal.
</p>
<p>
Sin embargo, el informe más reciente de <a href="https://nordpass.com/es/most-common-passwords-list/" rel="noopener" target="_blank">Nordpass</a> sobre las contraseñas más utilizadas en 2023 indica que, a pesar de la
creciente conciencia, los usuarios aún se aferran a contraseñas débiles y
predecibles.
</p><p><a href="https://blog.segu-info.com.ar/2020/07/123456-esto-es-porque-las-contrasenas.html" rel="nofollow" target="_blank"><b>Por esto las contraseñas DEBEN desaparecer.</b></a></p>
<p>
¿La contraseña "123456" suena familiar? Desafortunadamente, sigue encabezando
la lista de las más utilizadas a nivel global y subraya la necesidad urgente
de concientizar sobre prácticas de seguridad más robustas.</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="800" data-original-width="457" height="640" src="https://i.imgur.com/57xBum3.png" width="366" />
</div>
<p>
Si revisamos los resultados de
<a href="https://blog.segu-info.com.ar/search/?q=contrase%C3%B1as" rel="nofollow" target="_blank">ediciones anteriores</a> [<a href="https://s1.nordcdn.com/nord/misc/0.78.0/nordpass/top-200-2023/200-most-common-passwords-es.pdf" rel="nofollow" target="_blank">PDF</a>], notamos una constante en la popularidad de contraseñas extremadamente
débiles. Esta falta de variación en las elecciones de claves sugiere un
desafío continuo en la promoción de prácticas de seguridad más sólidas.
</p>
<p>
En la edición de 2023, el informe de Nordpass analizó una base de datos masiva
recopilada en colaboración con investigadores independientes de 35
países, especializados en incidentes de ciberseguridad. La situación en
América Latina refleja un escenario donde la falta de conciencia sobre la
seguridad cibernética se combina con el auge de ciberamenazas en la región.</p><p>NordPass analizó las contraseñas de una base de datos de 6.6 TB. Estas contraseñas fueron robadas por varios programas informáticos maliciosos y ladrones de contraseñas, como Redline, Vidar, Taurus, Raccoon, Azorult y Cryptbot. Los registros de malware no solo incluyen las contraseñas, sino también el sitio web de origen. Los investigadores clasificaron las contraseñas más populares por tipo de plataforma y compartieron los resultados estadísticos agregados con NordPass.
</p>
<p>Aunque algunos países de la región presentan variaciones en sus elecciones,
vemos que la preferencia por contraseñas numéricas sigue reinando como la
opción más común. También se destaca el uso de nombres propios, siendo los más
repetidos <i>"benjamin"</i>, <i>"antonio"</i> y <i>"santiago"</i>.</p>
<p>Fuente: <a href="https://www.welivesecurity.com/es/contrasenas/contrasenas-mas-utilizadas-2023-seguridad-digital-latinoamerica/" rel="nofollow" target="_blank">WeLiveSecurity</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com1tag:blogger.com,1999:blog-14423462.post-47420553285217370892023-12-01T11:57:00.000-03:002023-12-01T11:57:00.130-03:00Ransomware Black Basta recibió al menos 107 millones de dólares en pagos<p>
<b>Black Basta</b> es un ransomware vinculado a Rusia que surgió a principios
de 2022. Se ha utilizado para atacar a más de 329 organizaciones en todo el
mundo y ha crecido hasta convertirse en la cuarta cepa de ransomware más
activa por número de víctimas en 2022-2023. El grupo emplea tácticas de doble
extorsión mediante las cuales extorsionan a la víctima amenazándola con
publicar datos robados a menos que la víctima pague un rescate.
</p><p>El <a href="https://www.corvusinsurance.com/blog/black-basta-ransomware-has-extracted-over-100-million-from-its-victims" rel="nofollow" target="_blank">análisis de las empresas Elliptic and Corvus Insurance</a> sobre las transacciones de criptomonedas verificadas de Black Basta, ha descubierto patrones únicos en la actividad del grupo. Esto ha permitido identificar con gran confianza una gran cantidad de rescates en Bitcoin pagados al grupo.</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="515" data-original-width="800" height="412" src="https://www.corvusinsurance.com/hs-fs/hubfs/number%20of%20reported%20attacks.png?width=1600&height=1030&name=number%20of%20reported%20attacks.png" width="640" />
</div>
<p>
Los investigadores
<a href="https://twitter.com/malwrhunterteam/status/1519301421958578177" rel="nofollow" target="_blank">han sugerido</a>
que BlackBasta puede ser una rama de Conti Group, una de las bandas de
ransomware más prolíficas de los últimos años. Las filtraciones de los chats
en línea de Conti insinuaron sus vínculos con el gobierno ruso y su apoyo a la
invasión de Ucrania, antes de que el grupo se disolviera en mayo de 2022.
</p>
<p>
Black Basta se dirige a empresas de una amplia variedad de sectores, incluidos
la construcción (10% de las víctimas), el despacho de abogados (4%) y el
sector inmobiliario (3%). De hecho, la victimología de Black Basta se parece
mucho a la del grupo de ransomware Conti, ambos con un apetito superpuesto por
muchas de las mismas industrias.
</p>
<p>
Black Basta se ha centrado en gran medida en organizaciones con sede en
Estados Unidos, que representan el 61% de todas las víctimas, seguidas por
Alemania con el 15%.
</p>
<p>
Entre las víctimas de alto perfil de Black Basta se encuentran Capita, un
subcontratista de tecnología con miles de millones de dólares en contratos
gubernamentales del Reino Unido, y la empresa de automatización industrial
ABB, que tiene ingresos de más de 29 mil millones de dólares. Ninguna de las
empresas ha revelado públicamente si pagaron un rescate.
</p>
<h3 style="text-align: left;">
Identificación de pagos de rescate de Black Basta
</h3>
<p>
A pesar de la transparencia de las cadenas de bloques, puede resultar
complicado identificar los pagos de rescate realizados en criptomonedas. En
primer lugar, los grupos de ransomware rara vez utilizan una única billetera
para recibir pagos y las víctimas rara vez comparten detalles de la billetera
a la que pagaron el rescate. Esto puede dificultar el seguimiento de la
actividad de un grupo de ransomware a escala. En segundo lugar, estos grupos
también emplean complejas técnicas de lavado para cubrir sus pistas de
blockchain y ocultar la fuente ilícita de sus ganancias.
</p>
<p><b>El análisis sugiere que Black Basta ha recibido al menos 107 millones de
dólares en pagos de rescate desde principios de 2022, entre más de 90
víctimas.</b>
El mayor pago de rescate recibido fue de 9 millones de dólares, y al menos 18
de los rescates superaron el millón de dólares.
<b>El pago promedio del rescate fue de 1,2 millones de dólares.</b></p>
<p>
Cabe señalar que estas cifras son un límite inferior; es probable que se
realicen otros pagos de rescate a Black Basta que el análisis aún debe
identificar, particularmente en relación con las víctimas recientes. Debido a
la superposición entre los grupos, algunos de estos pagos también pueden estar
relacionados con ataques de ransomware Conti.
</p>
<p>
Según la cantidad de víctimas conocidas que figuran en el sitio de filtración
de Black Basta hasta el tercer trimestre de 2023, los datos indican que al
menos
<b>el 35% de las víctimas conocidas de Black Basta pagaron un rescate. Esto
concuerda con los informes de que el 41% de todas las víctimas de ransomware
pagaron un rescate en 2022.
</b>
</p>
<h3 style="text-align: left;">
Descubriendo los vínculos financieros de Black Basta
</h3>
<p>
El malware
<a href="https://blog.segu-info.com.ar/search/?q=Qakbot" rel="nofollow" target="_blank">Qakbot</a>, que infecta los ordenadores de las víctimas mediante ataques de phishing
por correo electrónico, se utilizaba habitualmente para implementar el
ransomware Black Basta. Este vínculo entre los grupos también es visible en la
cadena de bloques, con partes de los rescates de algunas víctimas enviadas a
las billeteras de Qakbot. Estas transacciones indican que aproximadamente el
10% del monto del rescate se envió a Qakbot, en los casos en que participaron
en brindar acceso a la víctima.
<a href="https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown" rel="nofollow" target="_blank">Qakbot fue interrumpido en agosto de 2023</a>
por una operación policial multinacional, lo que quizás explique una marcada
<a href="https://www.malwarebytes.com/blog/business/2023/02/ransomware-in-february-2023" rel="nofollow" target="_blank">reducción de los ataques de Black Basta en la segunda mitad de 2023</a>.
</p>
<p>
El operador Black Basta parece cobrar una media del 14% de los pagos de
rescate. Esto es típico del ransomware como servicio.
</p>
<p>
El análisis de las transacciones criptográficas de Black Basta también
proporciona nueva evidencia de sus vínculos con Conti Group. En particular,
los investigadores ha rastreado bitcoins por valor de varios millones de
dólares desde carteras vinculadas a Conti hasta aquellas asociadas con el
operador Black Basta. Esto refuerza aún más la teoría de que Black Basta es
una rama o un cambio de marca de Conti.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="430" data-original-width="800" height="344" src="https://www.corvusinsurance.com/hs-fs/hubfs/black%20basta.png?width=1600&height=860&name=black%20basta.png" width="640" />
</div>
<p>
Elliptic Investigator también proporciona información sobre cómo se blanquean
los pagos de rescate, y millones de dólares de las ganancias del grupo se
envían a Garantex, un intercambio de criptomonedas ruso.
<a href="https://home.treasury.gov/news/press-releases/jy0701" rel="nofollow" target="_blank">Garantex fue sancionado por el gobierno de EE.UU. en abril de 2022</a>
por su papel en el blanqueo de ingresos de mercados de la red oscura y bandas
de ransomware como Conti.
</p>
<h3 style="text-align: left;">Conclusión</h3>
<p>
Esta investigación conjunta realizada por Elliptic y Corvus Insurance ha
arrojado luz sobre el alcance del daño causado por el ransomware Black Basta.
El análisis de las transacciones blockchain ha revelado un vínculo claro entre
Black Basta y Conti Group, lo que respalda la posibilidad de que el primero
sea una rama del segundo. Black Basta ha demostrado resistencia a pesar del
derribo de Qakbot, por lo que los defensores no deberían descartar a Black
Basta como una amenaza insignificante.
</p>
<h4 style="text-align: left;">
Protección de correo electrónico y detección y respuesta de endpoints (EDR)
</h4>
<p>
Implemente una sólida protección de correo electrónico y EDR. Estos son
cruciales dada la dependencia del grupo de ladrones de información para
obtener acceso inicial.
</p>
<h4 style="text-align: left;">Autenticación multifactor (MFA)</h4>
<p>
Utilice MFA siempre que sea posible, especialmente para acceso remoto y
cuentas administrativas, para agregar una capa adicional de seguridad contra
el robo de credenciales.
</p>
<h4 style="text-align: left;">Gestión de parches</h4>
<p>
Mantenga todos los sistemas, software y aplicaciones actualizados con los
últimos parches de seguridad para reducir las vulnerabilidades.
</p>
<p>
Fuente:
<a href="https://www.corvusinsurance.com/blog/black-basta-ransomware-has-extracted-over-100-million-from-its-victims" rel="nofollow" target="_blank">Corvus Insurance</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-51126543407434036832023-11-22T12:37:00.005-03:002023-11-22T16:11:10.308-03:00Análisis técnico del ransomware Rhysida<p>
El equipo de FortiGuard IR ha realizado un <a href="https://www.fortinet.com/blog/threat-research/investigating-the-new-rhysida-ransomware" rel="nofollow" target="_blank">análisis exhaustivo de un incidente
que involucró al grupo de ransomware Rhysida</a>, arrojando luz sobre sus
operaciones, tácticas e impacto, incluida una técnica novedosa que involucra
ransomware basado en ESXi. <a href="https://blog.segu-info.com.ar/2023/08/ransomware-rhysida-activo-en-america.html" rel="nofollow" target="_blank">Este ransomware se encuentra activo en América Latina</a>.</p>
<p>
El grupo Rhysida fue identificado por primera vez en mayo de 2023, cuando
cobraron su primera víctima. Este grupo implementa una variante de ransomware
conocida como Rhysida y también la ofrece como Ransomware como servicio
(RaaS). El grupo ha enumerado alrededor de 50 víctimas en lo que va de 2023.
</p>
<p>
Los actores de amenazas abusan de software legítimo como PowerShell para
obtener información sobre usuarios y sistemas dentro de la red, PSExec para
programar tareas y realizar cambios en las claves de registro para mantener la
persistencia, AnyDesk para conexiones remotas y WinSCP para transferencias de
archivos. Los actores de amenazas también intentan extraer datos de varios
sistemas utilizando MegaSync.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="356" data-original-width="800" height="285" src="https://i.imgur.com/CAnnQjw.png" width="640" />
</div>
<p>
El informe también cubre el malware adicional que identificó el equipo
FortiGuard IR, junto con una técnica que no vemos a menudo cuando el grupo
implementó archivos binarios de Windows y Linux.
</p>
<p>
Restringir el acceso de Veeam solo a máquinas designadas impidió que los
actores de amenazas obtuvieran acceso a los archivos de respaldo. Además, la
gestión prudente de las contraseñas de vSphere fortaleció la defensa de la
víctima.
</p>
<p>
Se sabe que el grupo de ransomware Rhysida apunta a vSphere y busca
credenciales, por lo que las salvaguardas que implementó la víctima fueron
vitales para prevenir el ransomware generalizado de la infraestructura
virtual.
</p>
<p><b>
El informe completo de la investigación sobre Rhysida se puede leer
<a href="https://www.fortinet.com/content/dam/fortinet/assets/threat-reports/rhysida-ransomware-intrusion.pdf" rel="nofollow" target="_blank">aquí</a> [PDF].
</b></p>
<p>Fuente: <a href="https://www.fortinet.com/blog/threat-research/investigating-the-new-rhysida-ransomware" rel="nofollow" target="_blank">Fortinet</a></p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-59282492873835969332023-11-12T10:11:00.000-03:002023-11-17T15:07:06.026-03:00Ransomware se ha duplicado en los últimos dos años [Akamai]<p>
Se prevé que los costos globales de los daños causados por el ransomware
superarán los 265 mil millones de dólares anuales para 2031. El tiempo de
inactividad de la red, la pérdida de datos y los daños a la marca/reputación
fueron los problemas más comunes que afectan a las organizaciones después de
un ataque de ransomware. Descubra en este artículo más datos referentes a los
ataques ransomware en los últimos dos años.
</p>
<p>
Akamai publicó su nuevo informe
<a
href="https://www.akamai.com/resources/white-paper/2023-state-of-segmentation"
>El Estado de la Segmentación 2023</a
>
que destaca el aumento del ransomware; las organizaciones encuestadas
experimentaron un promedio de 86 ataques de ransomware en los últimos 12
meses, frente a un promedio de 43 ataques anuales hace dos años.
</p>
<p>
Este aumento del ransomware es alarmante si se consideran los costos globales
que esto implica. La revista Cybercrime informa que se prevé que los costos
globales de los daños causados por el ransomware superarán los 265 mil
millones de dólares anuales para 2031, y alcanzarán los 42 mil millones de
dólares anuales el próximo año, más del doble que hace dos años.
</p>
<p>
Asimismo, dicho informe de Akamai señala que las organizaciones de seguridad
han respondido al alarmante aumento de ataques implementando estrategias de
microsegmentación y Zero Trust. Casi todos (99%) de los encuestados que
informaron que habían implementado algún tipo de segmentación también
implementaron un marco de seguridad Zero Trust.
</p>
<p>
La segmentación es un enfoque arquitectónico que divide una red en segmentos
más pequeños para los fines de mejorar el rendimiento y la seguridad. Sin
embargo, la microsegmentación es mucho más eficiente ya que divide una red en
segmentos a nivel de carga de trabajo individual para que los controles de
seguridad y la entrega de servicios se puedan definir para cada segmento
único.
</p>
<p>
El informe se basa en las aportaciones de 1200 responsables de la toma de
decisiones en materia de TI y seguridad de todo el mundo. Los encuestados
coincidieron abrumadoramente en que la microsegmentación es una herramienta
eficaz para mantener los activos protegidos, pero la implementación fue menor
de lo esperado, con solo el 30% de las organizaciones segmentando en más de
dos áreas críticas para el negocio.
</p>
<p>
A nivel mundial, los principales obstáculos para implementar la
microsegmentación son la falta de habilidades/experiencia (39%), seguida de
mayores cuellos de botella en el desempeño (39%) y requisitos de cumplimiento
(38%). Casi todos los encuestados, sin importar el sector, industria o país,
reportaron los mismos obstáculos en grados ligeramente diferentes.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img
border="0"
data-original-height="800"
data-original-width="547"
height="640"
src="https://i.imgur.com/Dn0YXeT.png"
width="438"
/>
</div>
<p>
A pesar de los lentos despliegues, las organizaciones que perseveraron e
implementaron una estrategia de microsegmentación en seis áreas de misión
crítica informaron que se recuperaron de un ataque en un promedio de sólo
cuatro horas. Esto es 11 horas más rápido que las organizaciones que solo han
segmentado en un área crítica, lo que subraya la eficacia de una estrategia
Zero Trust que utiliza la microsegmentación.
</p>
<p>
Otros hallazgos del informe incluyen: De todos los encuestados, el 93 % afirmó
que la microsegmentación es fundamental para ayudar a frustrar los ataques de
ransomware.<br />El tiempo de inactividad de la red (44%), la pérdida de datos
(42%) y los daños a la marca/reputación (39%) fueron los problemas más comunes
que afectaron a las organizaciones después de un ataque de ransomware.
</p>
<p>
Estados Unidos y Alemania reportaron la mayor cantidad de ataques de
ransomware durante el año pasado, Estados Unidos con 115 y Alemania con 110.
India lidera la segmentación con un 58% de las organizaciones que reportan más
de dos activos/áreas segmentadas, seguida de México con un 48% y Japón con un
32%.
</p>
<p>
<i>
"El panorama de la ciberseguridad siempre está evolucionando y cambiando en
función de las últimas metodologías de amenazas desarrolladas por los
ciberdelincuentes. Ya sea defendiéndose contra ransomware, nuevos ataques de
día cero o sofisticados ataques de phishing, es vital que las organizaciones
reevalúen sus riesgos para proteger sus activos críticos"</i
>
, afirmó Steve Winterfeld, CISO asesor de Akamai. "<i
>Una de las formas clave de hacerlo es con una arquitectura Zero Trust. Eso
significa utilizar una combinación de acceso a la red Zero Trust y
microsegmentación integrada como parte de una estrategia de seguridad clara
respaldada por el acceso al personal y socios con las habilidades
necesarias"</i
>, concluyó Winterfeld.
</p>
<p>
Fuente:
<a
href="https://www.tecnoseguro.com/analisis/seguridad-informatica/ataques-ransomware-duplicado-ultimos-dos-anos-segun-investigacion-akamai"
rel="nofollow"
target="_blank"
>TecnoSeguro</a
>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-6904184225944973632023-10-30T08:15:00.003-03:002023-10-30T08:15:27.968-03:00HackerOne pagó más de 300 millones de dólares en recompensas por vulnerabilidades<p>
Fundada hace más de una década, HackerOne es una plataforma de recompensas por
errores que conecta a las organizaciones con una comunidad de hackers éticos
que identifican e informan vulnerabilidades y debilidades en el software a
cambio de una recompensa.
</p>
<p>
Básicamente, es una plataforma de coordinación de divulgación y alojamiento de
recompensas por errores que permite a las empresas gestionar informes y
resolver problemas identificados con prontitud, al tiempo que garantiza pagos
a los investigadores.
</p>
<p>
La empresa acaba de publicar su <a href="https://www.hackerone.com/press-release/hackers-surpass-300-million-all-time-earnings-hackerone-platform" rel="nofollow" target="_blank">Informe de seguridad Hacker-Power 2023</a>, compartiendo información sobre las tendencias de este año. En el informe menciona que sus programas han otorgado más de 300 millones de dólares en recompensas
a hackers éticos e investigadores de vulnerabilidades desde el inicio de la
plataforma.</p>
<p>
Treinta investigadores han ganado más de un millón de dólares por sus
envíos, y uno ha batido el récord,
<a href="https://twitter.com/Hacker0x01/status/1694394727506829395" rel="nofollow" target="_blank">recibiendo más de 4 millones de dólares </a>por sus informes de errores.
</p>
<p>
Este año, las organizaciones tardaron un promedio de 25,5 días en finalizar la
corrección de los errores reportados, una mejora del 28% con respecto al año
pasado.
</p>
<h3 style="text-align: left;">¿Cuánto por un error?</h3>
<p>
La compañía destacó que las entidades criptográficas y blockchain continúan
disfrutando de la mayor atención por parte de los
investigadores, impulsados por la promesa de los pagos más altos. Este
año, la mayor recompensa pagada fue de 100.050 dólares de una empresa de
cifrado.
</p>
<p>
El precio medio de un error en la plataforma es de 500 dólares y alcanza los
3.000 dólares en el percentil 90 (el 10% más alto). Para fallas críticas y de
alta gravedad, el pago promedio es de U$S 3.700 en todas las industrias y
llega hasta U$S 12-000 en el percentil 90.
</p>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="269" data-original-width="800" height="215" src="https://www.bleepstatic.com/images/news/u/1220909/2023/Security/34/payments.png" width="640" />
</div>
<p>
HackerOne dice que la búsqueda de errores tradicional no es la única actividad
en la plataforma, ya que los compromisos con las pruebas de penetración
aumentaron un 54% este año.
</p>
<p>
Más de la mitad de los hackers éticos que participan en los programas
HackerOne informan que utilizan IA generativa de alguna manera, incluida la
redacción de mejores informes, la redacción de códigos y la reducción de las
barreras del idioma.
</p>
<p>
El 61% de ellos informa que planea utilizar IA generativa para encontrar más
vulnerabilidades, y el 55% informa que espera que las propias herramientas de
IA se conviertan en un objetivo importante en los próximos años.
</p>
<p>
Los cazarrecompensas están divididos a la hora de predecir si la IA conducirá
a productos de software más seguros o a un aumento de las vulnerabilidades.
</p>
<p>
Otras opiniones registradas en el informe incluyen motivación y factores
desalentadores, donde las recompensas desempeñan el papel más importante (73%)
en la participación, seguidas de una gran cantidad de fallas (50%),
oportunidades de aprender (45%), alcance variado (46%) y pagos rápidos (42%).
</p>
<p>
Por otro lado, los factores que alejan a los investigadores de un
programa incluyen tiempos de respuesta lentos (60%), alcance limitado (58%),
comunicación deficiente (55%), recompensas bajas (48%) y críticas negativas
(44%).
</p>
<p>
Para aquellos interesados en participar en el programa de recompensas por
errores de HackerOne, pueden explorar el <a href="https://hackerone.com/directory/programs" rel="nofollow" target="_blank">directorio de empresas</a> para saber qué
posibilidades hay para encontrar errores.
</p>
<p>
Fuente:
<a href="https://www.bleepingcomputer.com/news/security/hackerone-paid-ethical-hackers-over-300-million-in-bug-bounties/" rel="nofollow" target="_blank">BC</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-61968020890904985522023-10-27T12:29:00.007-03:002023-10-27T12:48:25.214-03:00 Tiempo Medio de Detección vs Tiempo Medio de Respuesta de un incidente de seguridad<p>
Si bien hay docenas de métricas disponibles para determinar el éxito, existen
dos indicadores clave de desempeño en ciberseguridad que toda organización
debe monitorear.
</p>
<p>
Para que cualquier organización se proteja de los ciberataques y las
filtraciones de datos, es fundamental descubrir y responder a las
ciberamenazas lo más rápido posible. Cerrar rápidamente la ventana de
vulnerabilidades marca la diferencia entre un compromiso leve y una violación
de datos catastrófica. Comprender su capacidad para hacerlo le brinda a su
organización una manera poderosa de determinar los agujeros en sus defensas y
las áreas donde su equipo necesita mejorar.
</p>
<h3 style="text-align: left;">MTTD y MTTR explicados</h3>
<p>
Si bien hay docenas de métricas disponibles para determinar el éxito, aquí hay
dos indicadores clave de desempeño en ciberseguridad que toda organización
debería monitorear.
</p>
<p></p>
<ul style="text-align: left;">
<li>
<b><a href="https://www.emaint.com/es/blog-what-is-mean-time-to-detect-mttd/" rel="nofollow" target="_blank">Tiempo medio de detección (Mean Time to Detect - MTTD)</a>:</b>
el MTTD es el tiempo promedio que lleva descubrir una amenaza o incidente de
seguridad. Es una medida del tiempo medio transcurrido entre el momento en
que se produce un problema y el momento en que se detecta y notifica para su
resolución.
</li>
<li>
<b><a href="https://www.emaint.com/es/blog-what-is-mean-time-to-repair-mttr/?swcfpc=1" rel="nofollow" target="_blank">Tiempo medio de respuesta (Mean Time to Respond - MTTR)</a>:</b>
el MTTR mide el tiempo promedio que lleva controlar y remediar una amenaza.
</li>
</ul>
<p></p>
<p>
El MTTD y MTTR dependen de una serie de factores, incluido el tamaño y la
complejidad de la red, el tamaño y la experiencia del personal de TI, el tipo
de industria y otros. Y diferentes empresas miden las cosas de diferentes
maneras. No existen enfoques estándar en la industria para medir MTTD y MTTR,
por lo que las comparaciones granulares entre organizaciones pueden ser
problemas problemáticos de manzanas versus naranjas.
</p>
<p>
MTTD significa tiempo medio para detectar, aunque el tiempo medio para
descubrir también funciona. MTTD es un indicador imprescindible en el mundo de
la gestión de incidencias. Indica cuánto tiempo le toma a una organización
descubrir o detectar problemas. Tanto el nombre como la definición de esta
métrica dejan muy clara su importancia. Después de todo, todos queremos que
los incidentes se descubran lo antes posible, para poder solucionarlos lo
antes posible. Cuanto más tiempo pase desapercibido un problema, más tiempo
tendrá para causar estragos dentro de un sistema.
</p>
<p><b><a href="https://securityscorecard.com/blog/how-to-use-incident-response-metrics/" rel="nofollow" target="_blank">Otros tipos de métricas</a> incluyen:</b></p>
<p></p>
<ul style="text-align: left;">
<li>
El tiempo medio de detección (MTTD) es el tiempo que lleva identificar un
problema como que requiere atención;
</li>
<li>
El tiempo medio de reconocimiento (MTTA) es el tiempo promedio requerido
para que una alerta dé como resultado el inicio de una acción, generalmente
la emisión de un ticket de servicio, por parte del equipo de operaciones de
TI;
</li>
<li>
El tiempo medio de respuesta (MTTR) es el tiempo promedio que se necesita
para comenzar el trabajo asociado con un ticket de servicio;
</li>
<li>
El tiempo medio de reparación (MTTR) es el tiempo que transcurre desde el
punto de detección hasta que se repara el sistema;
</li>
<li>
El tiempo medio de resolución (MTTR) es el tiempo necesario para pasar desde
el punto de detección hasta que el sistema se repara y se prueba para
garantizar que el sistema asociado esté funcionando correctamente; y
</li>
<li>
El tiempo medio de recuperación (MTTR) es el tiempo necesario para pasar
desde el punto de detección hasta que el sistema asociado esté en pleno
funcionamiento.
</li>
</ul>
<div class="separator" style="clear: both; text-align: center;">
<img border="0" data-original-height="450" data-original-width="800" height="360" src="https://sciencelogic.com/wp-content/uploads/2021/04/MTTR-slide-1024x576.jpg" width="640" />
</div>
<p>
Según la
<a href="https://www.sans.org/reading-room/whitepapers/incident/paper/39070" rel="nofollow" target="_blank">encuesta SANS 2019 Incident Response</a>, el 52,6% de las organizaciones tenía un MTTD de menos de 24 horas, mientras
que el 81,4% tenía un MTTD de 30 días o menos.
</p>
<p>
Una vez que se detecta un incidente, el 67% de las organizaciones reportan un
MTTR de menos de 24 horas, y ese número aumenta al 95,8% cuando se mide un
MTTR de menos de 30 días. Sin embargo, según el
<a href="https://enterprise.verizon.com/resources/reports/dbir/" rel="nofollow" target="_blank">Informe de investigaciones de violaciones de datos de Verizon</a>, el 56% de las violaciones tardaron meses o más en descubrirse. Es una
cantidad de tiempo increíble para que los malos estén dentro de su perímetro
mientras se preparan para extraer sus datos.
</p>
<h3 style="text-align: left;">Cómo mejorar MTTD y MTTR</h3>
<p>
Medir y mejorar el MTTD y el MTTR es más fácil de decir que de hacer. El hecho
es que muchas empresas trabajan con equipos de TI que están al límite y a
menudo carecen de experiencia en ciberseguridad. Mientras tanto, enfrentan
ataques cada vez más sofisticados provenientes de redes criminales bien
financiadas o de actores maliciosos de estados-nación. Dicho esto, hay una
serie de cosas que toda organización puede hacer para reducir su MTTD y MTTR.
</p>
<ul style="text-align: left;">
<li>
Comience con un plan: cree un plan de respuesta a incidentes antes de
posibles ataques para identificar y definir las responsabilidades de las
partes interesadas, de modo que todo el equipo sepa qué hacer cuando ocurre
un ataque. Este plan puede definir sus procesos y servicios utilizados para
detectar estas amenazas. A medida que tenga algunos incidentes en su haber,
revise su plan para buscar áreas de mejora que puedan reducir el MTTD y el
MTTR.
</li>
<li>
Realice capacitaciones periódicas en ciberseguridad: la ciberseguridad no es
simplemente una cuestión de TI: las personas suelen ser el eslabón más
débil. Los empleados pueden facilitar un compromiso haciendo clic en correos
electrónicos maliciosos o enlaces que instalan ransomware, virus y otro
malware. Además, es posible que los líderes de empresas sin conocimientos
técnicos no comprendan el riesgo de los ciberataques, lo que les impide
proporcionar el presupuesto y los recursos suficientes que la TI necesita
para ser eficaz. Cuanto más educada esté toda la empresa sobre la
ciberseguridad, más preparada estará para prevenir y responder a los
ataques. Para ser eficaz, la educación es un proceso continuo y no "un
proceso único y hecho".
</li>
</ul>
<h3 style="text-align: left;">Subir de nivel para reducir MTTD y MTTR</h3>
<p>
Un centro de operaciones de seguridad (SOC) puede ampliar las capacidades del
equipo de TI al proporcionar monitoreo en tiempo real las 24 horas, los 7 días
de la semana, de los recursos locales y en la nube. Esto le ayudará a ver si
se produce un ataque, cuándo y dónde, lo que reducirá enormemente el MTTD.
</p>
<p>
En el informe
<a href="https://www.verizon.com/business/resources/reports/dbir/" rel="nofollow" target="_blank">DBIR de Verizon</a>, se ha observado históricamente que el tiempo promedio de detección de una
violación de datos es significativamente alto. Por ejemplo, el informe de 2021
indicó que el 45% de las violaciones de datos no se detectaron durante meses,
y <b>el tiempo promedio para detectar una violación fue de 287 días (9 meses y medio)</b>. Esto
sugiere que, en promedio, las organizaciones no se dieron cuenta de una
violación de datos en curso hasta casi un año después de que ocurriera.
</p>
<p>
Fuente:
<a href="https://threatpost.com/mttd-and-mttr-two-metrics-to-improve-your-cybersecurity/152149/" rel="nofollow" target="_blank">ThreatPost</a>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0tag:blogger.com,1999:blog-14423462.post-38451967437071285102023-10-26T21:49:00.004-03:002023-10-26T21:58:34.628-03:00#StopRansomware: la guía definitiva para combatir el #ransomware<div class="separator">
<div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" height="312" src="https://i.imgur.com/c7FtscQ.png" width="320" />
</div>
</div>
<p>
Esta guía es una actualización de la <b>"Guía de ransomware"</b> publicada en
2020 por Agencia de Ciberseguridad (CISA) y del Centro de análisis e
intercambio de información multiestatal (MS-ISAC), se desarrolló a través de
<a href="https://www.cisa.gov/joint-ransomware-task-force" title="Joint Ransomware Task Force">Joint Ransomware Task Force</a>
y forma parte del esfuerzo denominado
<a href="https://www.cisa.gov/stopransomware" rel="noreferrer noopener" target="_blank" title="#StopRansomware">#StopRansomware</a>.
</p>
<p>
El <b>ransomware</b> es una forma de malware diseñado para cifrar archivos en
un dispositivo, dejándolos inutilizables a ellos y a los sistemas que dependen
de ellos. Luego, los actores maliciosos exigen un rescate a cambio del
descifrado.
</p>
<p>
Con el tiempo, los actores maliciosos han ajustado sus tácticas de ransomware
para que sean más destructivas e impactantes y también han extraído datos de
las víctimas y las han presionado a pagar amenazándolas con revelar los datos
robados. La aplicación de ambas tácticas se conoce como "doble extorsión". En
algunos casos, los actores malintencionados pueden exfiltrar datos y amenazar
con divulgarlos como única forma de extorsión sin emplear ransomware.
</p>
<p>
Estos ransomware y los incidentes de violación de datos asociados pueden
afectar gravemente los procesos comerciales al dejar a las organizaciones
incapaces de acceder a los datos necesarios para operar y brindar servicios de
misión crítica.
</p>
<p>
Los impactos económicos y reputacionales del ransomware y la extorsión de
datos han demostrado ser desafiantes y costosos para organizaciones de todos
los tamaños durante la interrupción inicial y, en ocasiones, la recuperación
prolongada.
</p>
<p><b>Esta guía incluye dos recursos principales:</b></p>
<div class="separator">
<div class="separator" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em; text-align: center;">
<img border="0" data-original-height="140" data-original-width="177" height="158" src="https://www.cisa.gov/sites/default/files/srware/images/srware_top_logo.png" width="200" />
</div>
</div>
<ul style="text-align: left;">
<li>
Parte 1: Mejores prácticas de prevención de ransomware y extorsión de datos
</li>
<li>
Parte 2: Lista de verificación de respuesta a ransomware y extorsión de
datos
</li>
</ul>
<p>
La Parte 1 proporciona orientación para que todas las organizaciones reduzcan
el impacto y la probabilidad de incidentes de ransomware y extorsión de datos,
incluidas las mejores prácticas para prepararse, prevenir y mitigar estos
incidentes. Las mejores prácticas de prevención se agrupan por vectores de
acceso inicial comunes.
</p>
<p>
La Parte 2 incluye una lista de verificación de mejores prácticas para
responder a estos incidentes. Estas mejores prácticas y recomendaciones de
prevención y respuesta a la extorsión de datos y ransomware se basan en
conocimientos operativos de CISA, MS-ISAC, la Agencia de Seguridad Nacional
(NSA) y la Oficina Federal de Investigaciones (FBI).
</p>
<p>
La audiencia de esta guía incluye profesionales de tecnología de la
información (TI), así como otras personas dentro de una organización
involucradas en el desarrollo de políticas y procedimientos de respuesta a
incidentes cibernéticos.
</p>
<p style="text-align: center;">
<span face=""Source Sans Pro Web", "Helvetica Neue", Helvetica, Roboto, Arial, sans-serif" style="background-color: black; color: white; font-size: 20px;">
Leer la guía completa
<a href="https://www.cisa.gov/resources-tools/resources/stopransomware-guide" title="#StopRansomware Guide">#StopRansomware Guide (Octubre 2023)</a>
[<a href="https://www.cisa.gov/sites/default/files/2023-10/StopRansomware-Guide-508C-v3_1.pdf" rel="nofollow" target="_blank">PDF</a>].</span>
</p>
SeguInfohttp://www.blogger.com/profile/11759277836606336524noreply@blogger.com0