En la pasada edición del ESET Security Day, se destacó la exposición sobre el mundo del cibercrimen, un panel de debate en donde se abordaron temas de seguridad informática desde un enfoque legal, así como también la charla sobre el valor que hoy en día posee la información y el rol de las empresas para protegerla debidamente.
Conceptos claves:
Criptojacking: se refiere al uso no autorizado de equipos para minar criptomonedas, mediante la visita a sitios web que han sido comprometidos. Este tipo de minado no se trata de malware propiamente, de hecho, existen herramientas de esta naturaleza diseñadas con el propósito de obtener una ganancia económica de manera legítima. El conflicto de este tipo de servicios radica en que los recursos de los equipos son utilizados para minar una criptomoneda sin la autorización del usuario, solamente al visitar determinado sitio.
Ransomware: es una de las amenazas más conocidas ya que es un código malicioso que le exige al usuario el pago de un rescate para recuperar información. Una vez que infectó el equipo, este malware utiliza diferentes mecanismos para dejar los datos inaccesibles para el usuario, con el objetivo de extorsionarlo y exigirle el pago de una cantidad de dinero.
Supply Chain Attack: un ciberataque del tipo Supply Chain Attack es un intento de comprometer la seguridad de una compañía o dañar su infraestructura a través de la explotación de vulnerabilidades de su cadena de suministros. Según una encuesta de 2016 realizada por Accenture, más del 60% de los ciberataques se originan desde la cadena de suministros de una misma empresa, o bien desde la explotación de vulnerabilidades de la cadena de sus proveedores externos.
Weaponization: una vez que se conoce cómo funciona una empresa, qué tecnologías utiliza y quienes trabajan allí, los atacantes deciden la forma en la que actuarán. Por ejemplo, utilizar un troyano que contenga un exploit para aprovechar una vulnerabilidad específica de los sistemas de la empresa. VBS, Autoit, JS, PwS son algunas de las herramientas usadas para tareas de gestión y que también son utilizadas para crear muchos de los códigos maliciosos que afectan a los usuarios en Latinoamérica.
Exploit Kits: es un conjunto de programas o códigos que se aprovechan de un agujero de seguridad (vulnerabilidad) en una aplicación o sistema, de forma que un atacante podría usarla en su beneficio. Por lo general este tipo de porciones de código tiene un comportamiento malicioso que permite que un atacante acceda al sistema de los usuarios.
Muchas organizaciones enfrentan violaciones de seguridad, y algunas veces no están al tanto de ellas hasta que es demasiado tarde. La mayoría considera la seguridad como una medida reactiva, en lugar de una solución proactiva con la que reducirían la superficie de ataques potenciales. Por ello, les presentamos algunas medidas proactivas que pueden tomar los usuarios para combatir las técnicas de ciberataque más comúnmente utilizadas.
Malware, ransomware, spyware y malware móvil
El malware es un código o archivo enviado a través de la red con el fin de infectar, robar información o interrumpir el funcionamiento de los dispositivos. Los diferentes tipos de malware incluyen virus, troyanos, gusanos, rootkits, herramientas de acceso remoto y spyware; y según un informe de Kaspersky Lab, entre agosto de 2015 y agosto de 2016, hubo más de 398 millones de ataques con malware registrados en Latinoamérica, un promedio de 12 ataques por segundo.
El ransomware asume el control de acceso del administrador e impide que los usuarios accedan a todos o algunos sistemas. Los atacantes fuerzan a sus víctimas a pagar una recompensa por medio de diversos métodos de pago en línea, antes de desbloquear sus sistemas. Algunas de las formas populares de ransomware incluyen CTB Locker, CryptoWall, CryptoDefense, CryptorBit, y Cryptolocker. Estas formas de malware infiltran los sistemas operativos por medio de mensajes de correo electrónico o de descargas falsas. De acuerdo con el mismo estudio de Kaspersky Lab, los ataques de ransomware aumentaron 60% en la región durante el mismo período.
El spyware viene como un paquete de código componente, escondido en las aplicaciones de freeware o shareware disponible para descarga desde internet. También puede propagarse por medio de archivos adjuntos infectados. El código recolecta información sobre direcciones de correo electrónico, contraseñas y números de tarjetas de crédito, así como monitorear la actividad en internet.
Y el malware móvil es malware que se propaga a través de aplicaciones móviles y mensajes de texto SMS. Muchas fuentes sugieren que una de las causas más comunes de malware en los dispositivos móviles es la descarga manual de software que dice ser para un reproductor de video desde sitios web diferentes a Google Play y la App Store de Apple.
Para protegerse contra el malware, ransomware, spyware y malware móvil, mantenga la configuración del control de cuentas de usuario (UAC) activada, ya que muchas operaciones realizadas por cripto-ransomware requieren privilegios de administrador.
También planifique respaldos regulares de sus datos. Guárdelos en la nube o utilice un disco duro externo. Revise las instancias compartidas de red y ubicaciones de respaldo. Es importante permitir el acceso o el cambio de permisos únicamente al administrador.
Según CERT, muchas infecciones con ransomware comienzan con un archivo “scr” adjunto en correo electrónico con extensión “zip” o “cab”. Es aconsejable bloquear archivos “scr” en el gateway y establecer políticas de control para ciertas aplicaciones y dispositivos.
Es importante implementar políticas de grupo a nivel de equipos, dominios y controles. Éstas pueden impedir que los ataques instalen malware en sus directorios favoritos.
Finalmente, sea precavido al navegar en internet y evite sitios web, SMS y opciones de descarga sospechosos. Recuerde instalar y mantener actualizado un programa antivirus.
Phishing
Phishing es la acción de enviar un correo electrónico a un usuario, en un intento de robar información privada afirmando provenir de una empresa conocida y legítima. El correo dirige al usuario hacia un sitio web falso para que actualice información personal, como nombre de usuario, contraseña o detalles de la tarjeta de crédito. En febrero de 2016, Snapchat sufrió un ataque de phishing, en el cual la información de nómina de sus empleados fue revelada.
Para protegerse contra los ataques de phishing, no haga clic en los enlaces de correos electrónicos de remitentes desconocidos. Además, escriba las direcciones directamente en el navegador o utilice marcadores personales.
Revise el certificado de seguridad del sitio web (SSL) antes de ingresar datos, absténgase de ingresar cualquier información personal o financiera en ventanas emergentes, y asegúrese de que el sistema operativo, el navegador y otro software crítico estén actualizados.
También puede incluir funcionalidades de sand boxing para detectar malware en correos con phishing.
Ataques de denegación de servicio (DoS) y ataques de denegación de servicio distribuido (DDoS):
Los ataques DoS y DDoS se aprovechan de la vulnerabilidad en los protocolos de aplicación y comunicación para hacer que la red, los sitios web y otros recursos en línea no estén disponibles para los usuarios. Son capaces de afectar la infraestructura de red y de servidores de una empresa. En los DoS, los atacantes usan una conexión a internet para saturar los sistemas con falsas solicitudes, hasta agotar los recursos del servidor como RAM y CPU. En el caso de los DDoS, los hackers inundan los sistemas con múltiples solicitudes de varios dispositivos conectados distribuidos a lo largo de la red. Éstos son más devastadores y difíciles de combatir. Aunque Europa y Estados Unidos sintieron los mayores efectos del potente ataque DDoS que tuvo lugar en octubre de 2016, según un estudio de Level 3, 12% de los ataques DDoS están dirigidos a Latinoamérica.
Para protegerse contra ataques DoS y DDoS, valide periódicamente el rendimiento de seguridad de su red. Este es un paso crítico para garantizar que sus soluciones de red resistirán durante los ataques. Igualmente, debe implementar herramientas de detección/prevención de intrusiones para protegerse de vulnerabilidades sin parches.
Además, utilice herramientas para el monitoreo de integridad de archivos y para inspección de logs para mejorar su conocimiento de comportamientos inusuales en la red.
Botnets basados en internet de las cosas (IoT)
Los bots basados en la internet de las cosas (IoT) se han convertido en las últimas herramientas para los criminales cibernéticos. Una botnet convencional se compone de computadoras a las que los hackers acceden remotamente sin el conocimiento del propietario. Una botnet IoT es un grupo de dispositivos hackeados que incluye cámaras digitales y reproductores de DVR, entre otras ‘cosas’, preparados para transferir datos ilícitamente desde los dispositivos de las víctimas. El ataque DDoS de octubre de 2016 fue llevado a cabo por una de estas nuevas armas, denominada Mirai botnet. Deloitte advierte que 2017 puede ser un año de crisis para los ataques DDoS debido a la proliferación de dispositivos IoT y kits de explotación.
Para protegerse de estos ataques, asegúrese que Windows y algunos programas tengan instaladas las últimas versiones; configure su software para actualizar automáticamente la seguridad en su navegador y no haga clic en archivos adjuntos de una fuente no verificada.
También puede instalar un analizador de firewall para bloquear puertos de red usados por controladores de botnet, e instalar herramientas y dispositivos de identificación y monitoreo, preferiblemente un sistema robusto de administración de identidad que valide credenciales de cuenta en intervalos apropiados.
A fin de cuentas, no existe una manera directa o sencilla de prevenir crímenes cibernéticos. Lo que se puede hacer es practicar e implementar medidas robustas de seguridad en computadoras y dispositivos, mantener la protección del firewall, y vigilar de cerca los logs de tráfico de red para cualquier actividad inusual. Los crímenes cibernéticos del pasado nos han enseñado que invertir antes de un ataque es mucho menos costoso que recuperarse de él.
En TuINGENIA te ayudamos ofreciéndole un Soporte Técnico especializado en mantener su infraestructura informática segura y protegida de ataques de cibercriminales y mucho Más.
¿Qué te pareció nuestro post de hoy? Déjanos tu respuesta en la caja de comentarios.