REVISTA DIGITAL ESPECIALIZADA EN CIBERSEGURIDAD www.ciberseguridadmx.com
www.ciberseguridadmx.com
Alerta:
Timpdoor, nuevo malware oculto en SMS
S21sec, compañía española de seguridad digital, analizó y detectó muestras de un malware llamado Timpdoor distribuido a través de una campaña de phishing SMS que redirige a la descarga de una aplicación que infecta el dispositivo y permite utilizarlo como proxy.
E
l malware es transmitido por medio de una aplicación que te muestra dos supuestas notas de voz y una vez que es instalada y ejecutada, el malware se activa en segundo plano, lo cual permite que el malware obtenga toda la información posible sobre el dispositivo infectado. Timpdoor redirecciona todo el tráfico cifrado a un servidor de un tercero; de esa forma se saltan mecanismos de seguridad como firewalls e IDS. Estos permisos, además, permiten a la aplicación tener acceso a Internet.
En los mensajes SMS utilizados para esta campaña se informa a las víctimas potenciales de la existencia de dos mensajes en su buzón de voz. Para poder acceder a estos mensajes debían acceder a un link adjunto en el mensaje. Este link redirige a una página fraudulenta en la que se incluyen unas instrucciones para descargar una supuesta aplicación de mensajería. Las instrucciones muestran cómo descargar la aplicación, además de cómo acceder a los ajustes para permitir la opción de “fuentes desconocidas”. Cuando la víctima da clic en el icono de “Descarga Voice App” el archivo VoiceApp.apk es descargado de un servidor remoto. Cuando la víctima escucha los mensajes de audio y cierra la aplicación, el icono de ésta se elimina de la pantalla principal, lo que dificulta su eliminación, aunque ésta continúa ejecutándose. Tras el análisis de las muestras obtenidas de TimpDoor, S21sec detectó que se trata de un malware todavía en desarrollo, por lo que es posible que durante los próximos meses se lleven a
2 ■ www.xtremsecure.com.mx
cabo nuevas variantes del mismo. TimpDoor es un ejemplo más de cómo un malware de Android puede convertir los dispositivos móviles en puertas traseras con los que acceder a las redes internas, lo que puede suponer un gran riesgo para las empresas. Por lo cual se recomienda: ► No acceder sospechoso.
a
ningún
enlace
► No confiar en SMS ni emails que provengan de desconocidos. ► Evitar la instalación de aplicaciones de terceros y confiar únicamente en las descargadas e instaladas desde GooglePlay. Es importante señalar, que un aspecto curioso de TimpDoor es la forma en la cual ha sido distribuido, ya que a diferencia de otros malwares encontrados en aplicaciones de Android, éste se ha distribuido a través de SMS y no fue encontrado dentro de Google Play, abriendo camino a diferentes formas de infección e incrementando la vulnerabilidad de los usuarios.
www.ciberseguridadmx.com
Predicciones de seguridad de la información para 2019 WatchGuard Technologies líder en soluciones de seguridad avanzadas de redes, emitió una serie de predicciones de la industria de seguridad de la información para 2019. Incluyen la aparición de “Vaporworms”, una nueva generación de malware sin archivos con propiedades que les permite propagarse a sí mismo a través de sistemas vulnerables, junto con un derribo de la propia Internet y un ransomware que apunta a servicios públicos y sistemas de control industrial.
E
l equipo de investigación de WatchGuard desarrolló estas predicciones basadas en un análisis de seguridad y tendencias de amenazas en el último año. “Los delincuentes cibernéticos continúan modificando el panorama de amenazas a medida que actualizan sus tácticas e intensifican sus ataques contra empresas, gobiernos e incluso la infraestructura de Internet”, dijo Corey Nachreiner, Director de Tecnología de WatchGuard Technologies. Las predicciones de Threat Lab para 2019 van desde muy probables a audaces amenazas, pero consistentes en las ocho es que hay esperanza para prevenirlas. Las organizaciones de todos los tamaños deben mirar hacia el futuro las nuevas amenazas que pueden estar a la vuelta de la esquina, prepararse para los ataques en evolución y asegurarse de que para enfrentarlos están equipadas con defensas de seguridad en capas”. Las predicciones de seguridad 2019 de WatchGuard Threat Lab son:
► Predicción N°1: Los chatbots dirigidos por IA se vuelven maliciosos: Descripción: En 2019, los delincuentes cibernéticos y los hackers de sombrero negro crearán salas de chat maliciosas en
3 ■ www.xtremsecure.com.mx
sitios legítimos para dirigir socialmente a las víctimas desconocidas para que hagan clic en enlaces maliciosos, descarguen archivos que contengan malware o compartan información privada. Pero los chatbots de la vida real también ofrecen a los hackers nuevos vectores de ataque. Un chatbot hackeado podría desviar a las víctimas a enlaces maliciosos en lugar de legítimos. Los atacantes también podrían aprovechar las fallas de las aplicaciones web en sitios web legítimos para insertar un chatbot malicioso en un sitio que no tiene uno. Por ejemplo, un hacker podría forzar la aparición de un chatbot falso mientras la víctima está viendo un sitio web bancario, preguntándole si necesita ayuda para encontrar algo. El chatbot podría entonces recomendar que la víctima haga click en enlaces maliciosos a recursos bancarios falsos en lugar de linkear a los reales. Esos enlaces podrían permitirle al atacante hacer cualquier cosa, desde la instalación de malware hasta el secuestro virtual de la conexión del sitio del banco. En resumen, el próximo año los atacantes comenzarán a experimentar con chatbots maliciosos para diseñar víctimas sociales. Comenzarán con robots básicos basados en texto, pero en el futuro podrían utilizar bots con voz humana como Google Dúplex para diseñar socialmente a las víctimas por teléfono u otras conexiones de voz.
www.ciberseguridadmx.com
Corea del Norte, mientras tanto, supuestamente ha atacado a organizaciones e infraestructuras públicas y civiles, se ha dirigido a Sony Pictures y aparentemente ha causado miles de millones en daños en el ataque WannaCry. Muchos gobiernos han culpado a China de varios ataques cibernéticos centrados en la propiedad intelectual, pero el “straw on the camel’s back” más reciente es el ataque a la cadena de suministro de Supermicro, donde el Ejército Popular de Liberación (EPL) ha sido acusado de escabullirse por las puertas traseras de los servidores enviados en todo el mundo (aunque muchos disputan esta historia).
► Predicción N°2: Utilidades y sistemas de control industrial dirigidos con ransomware Descripción: El próximo año, las campañas de ransomware dirigidas, se centrarán en los servicios públicos y los sistemas de control industrial (ICS). La demanda de pago promedio aumentará en un 6500 por ciento, desde un promedio de $300 a $20,000 por pago. Estos ataques causarán consecuencias en el mundo real, como apagones y pérdida de acceso a los servicios públicos. Ransomware ha plagado Internet en los últimos cinco años, comenzando con CryptoLocker, el primer cryptoransomware verdaderamente exitoso, que culmina con WannaCry, el primer gusano de rescate de rápida propagación. Durante estos últimos años, los delincuentes cibernéticos han lanzado una amplia campaña de ransomware a todos, buscando infectar a tantas víctimas como sea posible y pidiendo a cada uno un ransom relativamente escaso. Sin embargo, durante el año pasado, los piratas informáticos han cambiado a ataques dirigidos que vienen con pagos más grandes. El lanzamiento de ransomware contra organizaciones que ofrecen servicios críticos aumenta la probabilidad de que se pague el rescate. Cuarenta y cinco por ciento de todos los ataques de ransomware apuntaron a organizaciones de salud, como el NHS en el Reino Unido. En 2016, el Hollywood Presbyterian Medicare Center pagó un rescate de $17,000 para recuperar el control de sus sistemas informáticos, y otros ataques de ransomware importantes afectaron a MedStar Health y Alvarado Hospital Medical Center, entre docenas de otros. Muchas
ciudades de los Estados Unidos también fueron golpeadas con ransomware en 2017 y 2018, incluyendo Baltimore y Atlanta. En 2019, los delincuentes cibernéticos se dirigirán a los servicios públicos y los ICS. Estos son servicios vitales que aún no han sido atacados por ransomware generalizados y, por tanto, no están debidamente preparados para este tipo de ataque. Los ciberdelincuentes saben que cualquier ransomware que pueda causar un tiempo de inactividad en estos servicios recibirá una atención rápida, lo que les permitirá solicitar un dinero considerablemente mayor a cambio. Esto tiene el potencial de causar apagones y brechas en los servicios de agua y energía si estos ataques tienen éxito. Para resumir, se esperan menos ataques de ransomware el próximo año, pero más enfocados y específicamente dirigidos a servicios públicos e ICS, con demandas de rescate que aumentan en un 6500 por ciento.
► Predicción N° 3: las Naciones Unidas proponen un tratado de seguridad cibernética Descripción: En 2019, las Naciones Unidas abordarán el tema de los ataques cibernéticos patrocinados por el Estado mediante la promulgación de un Tratado de Seguridad Cibernética Multinacional. Hay muchos ejemplos de supuestos y confirmados ataques cibernéticos lanzados por Estados-nación. Estados Unidos e Israel supuestamente lanzaron el ataque de Stuxnet. El gobierno ruso ha sido acusado de todo, desde ataques DDoS contra Estonia, apagar el poder en Ucrania hasta la elección y la piratería política en los Estados Unidos.
4 ■ www.xtremsecure.com.mx
Estos supuestos ataques cuestan miles de millones en daños que ponen en riesgo las cadenas de suministro responsables del 90 por ciento de los dispositivos informáticos, demostrando que los ataques cibernéticos a menudo causan enormes daños económicos fuera de sus objetivos previstos. El creciente número de víctimas civiles afectadas por estos ataques hará que las Naciones Unidas gestionen de manera más agresiva un tratado multinacional de seguridad cibernética que establezca reglas de participación y consecuencias impactantes en torno a las campañas cibernéticas de los estados nacionales. Ellos han hablado y discutido sobre este tema en el pasado, pero los incidentes más recientes, así como otros nuevos que seguramente surgirán en 2019, finalmente forzarán a la ONU a llegar a un consenso.
www.ciberseguridadmx.com
► Predicción N° 4: Un estado-nación para llevar los ataques de “Fire Sale” Descripción: Tal vez recuerde el concepto ficticio de un ataque de “Fire Sale” de la cuarta versión de la película Die Hard, en el que un grupo terrorista planificó un ciberataque coordinado contra el transporte, los servicios financieros, los servicios públicos y los sistemas de comunicación de Estados Unidos. Los terroristas intentaron usar el miedo y la confusión causados por el ataque para desviar enormes sumas de dinero y desaparecer sin dejar rastro. En 2019, veremos una versión de este ataque ficticio convertido en realidad. Por muy improbable que parezca este ataque a fines de la década del 2000, muchos incidentes de seguridad cibernética modernos sugieren que los estados-nación y los terroristas han desarrollado estas capacidades. Los ciberdelincuentes y los estados-nación han lanzado enormes ataques distribuidos de denegación de servicio (DDoS) que pueden destruir la infraestructura de los países y pueden obstaculizar los sistemas de comunicaciones. El gobierno de Estados Unidos reclama actores extranjeros. Ya han estado apuntando y probando las defensas de los servicios públicos y los sistemas de energía. Hemos visto estos ataques patrocinados por Naciones dirigidos a sistemas financieros como SWIFT para robar millones. Los estados nacionales también han usado los medios sociales y otros
sistemas de comunicación para envenenar la percepción pública con noticias falsas. En resumen, cada uno de estos tipos de ataques individuales ya son posibles. Es solo cuestión de tiempo antes de que un país combine muchos ataques como una cortina de humo para una operación más grande.
► Predicción N° 5: Ataque de “VaporWorms” autopropulsados y sin archivos Descripción: En 2019, surgirá una nueva generación de malware sin archivos, con propiedades similares a gusanos que le permiten propagarse a través de sistemas vulnerables y evitar la detección. Han pasado más de 15 años desde que el gusano informático Code Red se propagó a través de cientos de miles de servidores web vulnerables de Microsoft IIS en un ejemplo temprano de un gusano sin archivos. Desde entonces, tanto los gusanos como el malware sin archivos han afectado a las redes de todo el mundo individualmente, pero rara vez como un ataque combinado. El malware sin archivos, que se ejecuta completamente en la memoria sin dejar caer nunca un archivo en el sistema infectado, continúa creciendo en popularidad. Los atacantes sofisticados prefieren este método porque, sin un archivo malicioso para escanear, los controles antivirus tradicionales de punto final tienen dificultades para
detectar y bloquear amenazas sin archivos. Esto resulta en tasas de infección más altas. Si se combina esto con los sistemas que ejecutan software sin parches y vulnerable que está listo para que estalle el gusano, usted tiene una receta para el desastre. El año pasado, un grupo de hackers conocido como Shadow Brokers causó un daño significativo al lanzar varias vulnerabilidades de día cero en Microsoft Windows. Los atacantes solo tardaron un mes en agregar estas vulnerabilidades al ransomware, lo que llevó a dos de los ataques cibernéticos más dañinos hasta la fecha en WannaCry y NotPetya. Esta no es la primera vez que las nuevas vulnerabilidades de día cero en Windows impulsaron la proliferación de un gusano, y no será la última. El próximo año, surgirán “Vapor Worms”; malware sin archivos que se propaga a sí mismo explotando vulnerabilidades.
► Predicción N° 6: WPA3 evitado por un vector de amenaza de capa 2 Descripción: En 2019, una de las seis categorías de amenazas Wi-Fi definidas por el framework Entorno Inalámbrico de Confianza (TWE Trusted Wireless Environment) se utilizará para comprometer una red Wi-Fi WPA3 a pesar de las mejoras en el nuevo estándar de cifrado WPA3. A menos que que se incorpore una seguridad más completa en la infraestructura de Wi-Fi, los usuarios recibirán una falsa sensación de seguridad con WPA3, mientras que seguirán siendo susceptibles a amenazas como Puntos de Acceso de modo “Evil Twin AP”. WPA3 es la próxima evolución del protocolo de cifrado Wi-Fi. Ha sufrido mejoras significativas con respecto a WPA2, pero aún no proporciona protección de las seis conocidas categorías de amenazas de WiFi. Estas amenazas operan principalmente en la Capa 2 e incluyen: puntos de acceso no autorizados, clientes maliciosos, puntos de acceso gemelos malvados, puntos de acceso vecinos, redes ad-hoc y puntos de acceso mal configurados. El Evil Twin AP, por ejemplo, es muy probable que se use en redes Wi-Fi abiertas mejoradas, ya que el cifrado inalámbrico oportunista (OWE) aún puede tener lugar entre un cliente víctima y el Evil Twin AP de un atacante que transmite el mismo SSID y posiblemente el mismo BSSID que un AP legítimo cercano. Aunque OWE mantendría a la sesión a salvo de escuchas ilegales, el tráfico de Wi-Fi de la víctima fluirá a través del Evil Twin AP y en las manos de un hombre en el medio (MitM) que puede interceptar credenciales y plantar malware y puertas traseras remotas.
5 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Es muy probable que veamos al menos una de las categorías de amenazas utilizadas para comprometer una red WPA3 en 2019, y nuestro dinero está en el Evil Twin AP.
► Predicción N° 7: la biometría como autenticación de un solo factor explotada por atacantes Descripción: A medida que los inicios de sesión biométricos se vuelven más comunes, los piratas informáticos aprovecharán su uso como un método de autenticación de un solo factor para llevar a cabo un ataque importante en 2019. Los métodos biométricos de inicio de sesión, como los lectores faciales y de huellas dactilares en dispositivos de consumo como teléfonos inteligentes y consolas de juegos, representan un objetivo tentador para los piratas informáticos. Si bien la biometría es más conveniente que recordar muchas contraseñas complejas, y son más seguras que las contraseñas pobres, aún son solo un método único de autenticación. Si las personas no agregan una segunda forma de autenticación, los ciberdelincuentes que piratean con éxito la biometría pueden acceder fácilmente a sus datos personales y financieros. ¿Pero no son los biométricos mucho más difíciles de descifrar? Bueno, un investigador
engañó a un escáner de huellas dactilares con gomas de dulce en 2002, y un grupo de hackers aficionados derrotó el TouchID del iPhone en 2013. En 2017, un grupo de seguridad vietnamita afirma haber creado una máscara que puede engañar a FaceID de Apple. Es solo cuestión de tiempo hasta que los hackers perfeccionen estos métodos y exploten la tendencia creciente de la biometría como la única forma de autenticación. Por supuesto, los usuarios pueden evitar estos hacks mediante el uso de autenticación multifactor. Creemos que una cantidad suficiente de público continuará utilizando la autenticación biométrica de un solo factor en 2019 para que los piratas informáticos aprovechen su ingenuidad y logren un gran ataque biométrico.
► Predicción N°8: los atacantes mantienen el rehén de Internet Descripción: El próximo año, una organización hacktivista o nación-estado lanzará un ataque coordinado contra la infraestructura de Internet. La industria ya vio el impacto de un ataque contra una pieza crítica de la infraestructura de Internet cuando un ataque DDoS contra el proveedor de alojamiento de DNS, Dyn, derribó a muchos populares sitios web como Twitter, Reddit y Amazon.com. Casi al mismo tiempo, el experto en seguridad Bruce Schneier observó que los atacantes estaban
investigando varios nombres sin identificar. Compañías que proveen servicios críticos de internet similares para debilidades potenciales. Un ataque DDoS de esta magnitud contra un registrador importante como Verisign podría derribar un total de dominios de nivel superior (TLD) de sitios web. Imagine el impacto si cada una de las direcciones .com ya no se puede resolver. Incluso el protocolo que impulsa Internet en sí, Border Gateway Protocol (BGP) opera en gran medida en el sistema de honor. Solo el 10 por ciento de las direcciones de Internet tienen registros válidos de la infraestructura de clave pública de recursos (RPKI) para proteger contra el secuestro de rutas. Peor aún, solo el 0,1 por ciento de los sistemas autónomos de internet los números han habilitado la Validación de Origen de Ruta, lo que significa que el otro 99.9 por ciento está completamente abierto para la toma de control hostil por el secuestro de ruta.
La conclusión es que Internet en sí está listo para que alguien con los recursos pueda realizar DDoS en varios puntos críticos en internet o abusar de los protocolos subyacentes. Con los ataques de estado-nación y hacktivismo que aumentaron recientemente, pudimos ver que los cibercriminales realmente eliminan internet en 2019.
¿Tienes una cuenta de Outlook?
¿
¡Cuidado! ¡Ataque de Phishing!
Tienes una cuenta de correo electrónico de Outlook (antiguo Hotmail)? ¡Mucho cuidado porque puedes sufrir un ataque de phishing! Si has recibido un email de este tipo, lo mejor que puedes hacer es eliminarlo inmediatamente y, por supuesto, no enviar ninguno de tus datos personales. Si nos fijamos, la dirección desde la que nos envían el correo electrónico, assistencial@naver.com, no tiene nada que ver con Outlook. Pero, no contentos con pedirnos toda la información de nuestra cuenta, también nos solicitan que les enviemos nuestro número de teléfono e incluso aseguran que “cualquier negativa a cooperar tendrá como resultado la cancelación de su cuenta de manera instantánea”.
Cómo reconocer un mensaje de phishing •
El campo De: del mensaje muestra una dirección de la compañía en cuestión. Es sencillo para el estafador modificar la dirección de origen.
•
El mensaje de correo electrónico presenta logotipos o imágenes que han sido recogidas del sitio web real.
•
El enlace que se muestra parece apuntar al sitio web original pero, en realidad, lleva a una página web fraudulenta, en la que se solicitarán datos de usuarios, contraseñas, etc.
•
Estos mensajes de correo electrónico suelen presentan errores gramaticales o palabras cambiadas, que no son usuales en las comunicaciones de la entidad por la que se están intentando hacer pasar.
Además, tenemos que tener en cuenta que es cierto que el phishing ha actuado, tradicionalmente, a través de correos electrónicos pero el uso de smartphones y redes sociales ha multiplicado las vías de ataque. Casi siempre que hablamos de phishing lo hacemos de entidades bancarias pero, en realidad, los ciberdelincuentes pueden utilizar cualquier otra web popular como gancho para robar datos personales (Ebay, Facebook, Pay Pal, etc). Recuerda: ninguna empresa solicitará que les envíes tus datos personales a través de un correo electrónico. Si lo hacen, ¡desconfía!
6 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Aumentan los problemas por violaciones de los datos del consumidor Por Josh Shaul
Este es un gran problema porque los atacantes y los estafadores son inteligentes, astutos, organizados y automatizados. Las grandes violaciones de datos son su materia prima.
E
s un problema enorme las violaciones de datos al consumidor. Hemos visto más de mil millones de discos robados en lo que va de año, lo cual no tiene precedentes. En los grandes ataques que aparecen en las noticias, por ejemplo, en los principales minoristas, los piratas informáticos suelen robar nombres de usuario y contraseñas. El propósito final es ganar dinero, la mayoría de las veces mediante la compra fraudulenta de bienes que pueden venderse en el mercado negro. Y el fraude potencial no se limita a la empresa violada, sino que se extiende a otras empresas en línea. Así es como se desarrolla: los hackers no roban contraseñas reales. Obtienen versiones criptográficas, o hash, de ellas, representadas como un grupo de 1s y 0s. No pueden trabajar al revés para determinar la contraseña real, pero los algoritmos de hash que usan las organizaciones para proteger sus contraseñas son bien conocidos. Así que pueden adivinar las contraseñas (y qué información adicional puede haberse agregado a la contraseña antes de incluirla) y luego ejecutarlas con el mismo algoritmo, y algunas veces obtienen una coincidencia, el mismo grupo de 1s y 0s. A continuación, aprovechan el hecho de que la mayoría de nosotros reutilizamos los nombres de usuario o las contraseñas (o pequeñas variaciones en ellos) en todas las cuentas. Los atacantes
comienzan con un gran número de nombres de usuario y contraseñas. Van de un sitio Web a otro, de forma sigilosa y distribuida, con la intención de validar las credenciales. Van al sitio de un minorista importante y encuentran una docena de cuentas que funcionan allí, luego a un sitio bancario y encuentran las cuentas que funcionan allí. Luego a un sitio de comercio electrónico, y así sucesivamente. Estas credenciales validadas son valiosas. Los estafadores reales, generalmente personas diferentes, compran las credenciales y acceden a las cuentas para ganar dinero. En los casos más dañinos para los individuos, los estafadores acceden no solo a cuentas minoristas, sino también a cuentas bancarias en línea o personales. Las cuentas de correo electrónico pueden ser las claves del reino porque, porque las contraseñas en línea de varias cuentas generalmente se pueden restablecer por correo electrónico.
¿Qué hay de diferente en la brecha de Equifax? Los datos robados en la violación de la empresa Equifax pueden alimentar el proceso que acabo de describir, pero eso es solo el comienzo del problema. Se robó información personal profunda, no sólo nombres de usuario y contraseñas, sino también nombres, direcciones y fechas de nacimiento y, lo más importante, números
7 ■ www.xtremsecure.com.mx
de seguridad social. Con ese nivel de información, los estafadores pueden ir directamente a intentar registrarse para obtener nuevas cuentas: una nueva cuenta bancaria, un nuevo préstamo, un nuevo servicio de préstamo de día de pago, así como nuevas cuentas para comprar bienes y servicios. Hay potencial para una ola de robo de identidad como nunca hemos visto. La brecha mayor más análoga fue probablemente la de la Oficina de Administración de Personal hace unos años. La información personal profunda sobre 21.5 millones de empleados federales y contratistas fue robada. Curiosamente, no sabemos mucho sobre el alcance del robo de identidad que se produjo. No veo estadísticas al respecto porque es el tipo de cosas que las organizaciones comprometidas no están obligadas a publicar. Pero muchas de las personas afectadas probablemente se inscribieron en los servicios de monitoreo de crédito, incluido Equifax, para reducir sus riesgos. Ahora muchos han completado el círculo y han visto cómo roban sus datos nuevamente.
¿Cuáles son las implicaciones para las empresas? Todas las organizaciones que prestan servicios a los consumidores en línea desean proteger a esos clientes y evitar ser parte, sin quererlo, de transacciones fraudulentas. Esas transacciones tienen
www.ciberseguridadmx.com
costos directos en términos de bienes, servicios y dinero robados, además de costos administrativos para eliminar el daño y restaurar las cuentas de los clientes. La exposición financiera es enorme. A raíz de la violación de Equifax, las empresas enfrentan un nuevo nivel de preocupaciones de seguridad específicamente en relación con el robo de identidad. ¿Cómo protege a su empresa y a sus clientes cuando su información personal ya no es privada? ¿Y cuándo los delincuentes conocen los puntos de datos que ha estado utilizando para validar las identidades de los clientes? Los estafadores pueden escribir software que intente abrir millones de cuentas nuevas en miles de empresas diferentes. Si solo un pequeño porcentaje tiene éxito, todavía están tomando mucho dinero. También pueden intentar abrir o cambiar cuentas a la antigua usanza, llamando al centro de llamadas de la compañía y proporcionando toda la información correcta. Ese es un problema más difícil de resolver y requiere más autenticación, pero también es una propuesta mucho más costosa para los atacantes. Aun así, donde el pago parece lo suficientemente alto, se tomarán la molestia de poner a las personas que suenan auténticas en el teléfono. ¿Cuántas personas de atención al
cliente están en sintonía con las pequeñas señales de que pueden estar hablando con un estafador, o incluso se les ha pedido que lo piensen? Los CEO y CIO en organizaciones que brindan servicios basados en Internet que pueden afectar las finanzas de las personas realmente necesitan estar pensando mucho en cómo pueden asegurarse de que los datos que se filtraron no se estén utilizando para convertir a sus organizaciones en vehículos de robo de identidad mediante préstamos originarios, proporcionar beneficios o reembolsos de impuestos, o realizar ventas a personas que no deberían obtener esas cosas.
¿Qué deben hacer las empresas para protegerse y proteger a sus clientes? Desde la violación de Equifax, cualquier empresa orientada al consumidor en línea debe ser más cautelosa con respecto a las nuevas cuentas y los cambios de cuenta y contraseña, incluso los iniciados por personas por teléfono. Los pasos de autenticación adicionales pueden estar en orden, y los consumidores inteligentes los reconocerán más como precaución que como inconveniente. La mayoría de las empresas deberían saber cuándo están siendo atacadas
por piratas informáticos que intentan adivinar nombres de usuario y contraseñas. Incluso a pequeña escala, puede observarlos si sabe lo que está buscando. También deberían mejorar en distinguir a los humanos de los robots. ¿Es el fallo de inicio de sesión un error de escritura humana o un bot? ¿La entidad que se está registrando para una nueva cuenta en línea es una persona real o un bot con la información robada de alguien? Si es un bot, ¿se está comportando correctamente? Algunos bots que quieras en tu sitio Web. Por ejemplo, los clientes usan Mint o Yodlee como agregadores de información financiera y les otorgan permiso a esos servicios para acceder a sus cuentas. Y si el bot no se comporta correctamente, ¿puede mostrarle rápidamente la puerta o conducirlo a un laberinto en el que se confunde y su personal de seguridad puede diagnosticar lo que está haciendo? Más fundamentalmente, muchas empresas necesitan una capa adicional de seguridad que envuelva sus entornos en línea. Esta envoltura no necesita saber cuáles son todos sus activos. Debe ser minucioso para ver quién llega a su dirección y para reconocer las amenazas más recientes.
Campaña de phishing busca robar accesos de cuentas de Spotify
A
principios de noviembre se detectó una campaña de phishing que intentaba robar las credenciales de acceso a usuarios de la plataforma de streaming Spotify, publicó threatpost. La campaña se propaga a través del correo y busca engañar a los usuarios para que pinchen en un enlace que dirige a un sitio fraudulento donde se solicita que ingrese su nombre de usuario y contraseña, la cual obviamente quedará en manos de los ciberdelincuentes. Si bien el sitio al que redirecciona el enlace parece bastante convincente, hay aspectos clave que permiten corroborar que se trata de un engaño. De acuerdo a investigadores de AppRiver, que analizaron la campaña, al revisar la dirección de correo del remitente podemos ver que no es un correo proveniente de Spotify: Otra clave para corroborar que se trata de una campaña maliciosa es analizar el enlace en el cuerpo del correo. Este enlace está detrás del botón verde que dice “confirm account”, que al pincharlo redirige al usuario al falso sitio donde solicitará los datos que serán robados.
Sin embargo, como se puede apreciar en la captura, si se coloca el puntero del ratón sobre el botón verde se puede apreciar que abajo a la izquierda de la pantalla aparece la URL detrás del botón, y podemos corroborar que la URL no es de una página oficial de Spotify. Para finalizar, si recibes un correo en nombre de Spotify pero sospechas de su legitimidad, la compañía de streaming elaboró una guía con algunas recomendaciones para que puedas corroborar si es o no un correo oficial. Por otra parte, en una actualización realizada a mediados de octubre del 2018 la compañía comunicó que está considerando la implementación del doble factor de autenticación y que está investigando distintas soluciones para brindar mayor seguridad a las cuentas de los usuarios. En caso de que tu cuenta de Spotify haya sido vulnerada, sigue los pasos recomendados por el sitio oficial.
8 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
E-book: El estado de la ciberseguridad en 2018
Desde que se celebró por primera vez en 1988, instituido por la Association for Computing Machinery (ACM), han ocurrido numerosos avances tecnológicos que han revolucionado la manera en la que las empresas hacen negocios y se relacionan entre sí y con sus clientes. Desde Panda Security, también hemos sido testigos y participes de ellos, desde el nacimiento de la World Wide Web o la popularización del correo electrónico, hasta el auge del Internet de las Cosas o de los últimos desarrollos en inteligencia artificial.
S
in embargo, con estos desarrollos tecnológicos también han surgido nuevas amenazas que han puesto en jaque a muchas compañías, sin importar su tamaño o sector al que pertenecen. Por eso, consideramos fundamental que las empresas puedan contar con los consejos y buenas prácticas de los mejores profesionales en ciberseguridad. Con este objetivo, hemos elaborado nuestro último e-book: “El estado de la ciberseguridad en 2018”. En él recopilamos los testimonios de 11 especialistas en la materia.
¿Qué opinan los expertos? El año 2018 ha estado marcado por numerosos desafíos que han puesto a prueba la ciberseguridad de las empresas y los expertos que hemos seleccionado han abordado estas cuestiones. Uno de los hechos más destacados ha sido la entrada en vigor de la normativa GDPR, por cómo ha afectado a la manera en la que las empresas protegen los datos de los clientes y usuarios. En este sentido, en el e-book se podrán encontrar recomendaciones de los expertos para mejorar la protección de los datos. Sin embargo, es importante señalar que los expertos también insisten en que la inversión en seguridad
para las empresas debe ser estratégica y no venir marcada solo por el cumplimiento de la normativa. En este e-book “The Cybersecurity Experts Talk” encontrarás algunas recomendaciones para que la ciberseguridad sea un elemento primordial del negocio de tu compañía.
¿Qué papel deben tener las instituciones públicas? Además, también damos un papel muy relevante a las instituciones públicas entre cuyas competencias se encuentra la ciberseguridad. Nuestro e-book cuenta con el análisis de expertos de varias de ellas, tanto de ámbito nacional -como la Policía, el Centro Criptológico Nacional (CCN-CERT) o el Centro Nacional de Excelencia en Ciberseguridad- pero también de referencia mundial, como el Lawrence Berkeley National Laboratory. Los expertos en el ámbito público señalan aspectos muy interesantes: destacan la importancia de que exista una adecuada colaboración público-privada y subrayan que la ciberseguridad es una prioridad de seguridad nacional para los estados, por cómo puede afectar a sus infraestructuras críticas, a sus servicios y a su funcionamiento.
Descubre los ciberataques más impresionantes Los expertos seleccionados en el ámbito privado inciden en que los ciberataques son cada vez más rentables para los cibercriminales. Para ilustrarlo, nos explican famosos ejemplos de ataques de ransomware o destacan el hecho de la facilidad cada vez mayor para alquilar bots maliciosos. Además, ya se han ejecutado ataques menos conocidos pero impresionantes por su complejidad y eficacia, como el cryptojacking. Nuestros expertos te explican al detalle cómo funcionan y, sobre todo, qué puedes hacer frente a ello.
Averigua las claves para prevenir los ciberataques Por último, en lo que todos los expertos coinciden es en la importancia de la prevención en ciberseguridad. Tu empresa debe contar siempre con una solución de ciberseguridad avanzada pero es imprescindible tener en cuenta que la prevención supone el 90% del combate frente al cibercrimen y solo el 10% supone reacción, aseguran. En “The Cybersecurity Experts Talk”, los expertos develan varias de las claves imprescindibles que todas las empresas deben llevar a cabo para adelantarse a los cibercriminales: los simulacros de phishing entre los empleados, los programas de bug bounty o el pentesting son solo algunos de los métodos que recomiendan. Develamos las mejores técnicas de prevención para tu empresa y cómo poder implementarlas de la forma más eficiente posible.
9 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Cultura de ciberseguridad en las empresas es necesaria: Adriana García
Por Alberto Molina
Adriana García, directora general de Symantec dijo que la ciberseguridad es primordial y debe ser una de las bases de construcción de las estrategias comerciales de cada empresa.
D
urante la Cumbre de las 1,000 empresas más importantes de México, Adriana García, directora general de Symantec aseguró que el mercado del cibercrimen es más grande, incluso, que el de las drogas o el de los secuestros, además de que México es el octavo país a nivel mundial afectado por este tema, pues para los ciberdelincuentes, este es un país atractivo. Para Adriana García la ciberseguridad es primordial y debe ser una de las bases de construcción de las estrategias comerciales de cada empresa. “Cada vez hay más ataques, hay muchos
dispositivos conectados (...) Y todo este mundo interconectado nos da mayores riesgos”. Añadió que así como los empresarios venden sus propios productos o servicios, “hay personas o grupos que se dedican a atacar, que su negocio es robar datos”. Por ello insistió en que se requiere hacer conciencia para evitar riesgos cibernéticos más grandes, especialmente a nivel financiero y comercial, ya que resulta 70% más costoso resolver estos problemas que implementar medidas para prevenirlos.
de las compañías. Para esto, apuntó que los tres elementos esenciales a considerar son la tecnología, el proceso y el factor humano. Sobre esto, añadió que hay una brecha muy amplia de talento en la materia, por lo que pidió que se establezcan programas de educación al personal en ciberseguridad, con el objetivo de afrontar estos retos y adelantarse a la actuación de los criminales. La directora general de Symantec reiteró que pese a que hay más conciencia sobre esto, aún falta mucho por hacer especialmente a nivel corporativo.
García destacó la necesidad de atender el problema en áreas como las de marketing, pues estas se enfocan en el diseño, la venta y el fácil acceso de los clientes al producto o servicio, lo que lleva a descuidar la seguridad y provoca pérdidas de datos de los clientes, fuga de información robo de datos bancarios de los clientes, e incluso puede poner en peligro la integridad física de las personas.
Adriana García señaló que hay la necesidad de tener en México una policía informática especializada en ciberseguridad, que haga investigaciones a fondo. Asimismo acusó que hay mucha laxitud en las leyes mexicanas. “Hay países donde meten a la cárcel a funcionarios por fraudes electrónicos, o las empresas son multadas con millones de dólares” .
Ante esto, llamó a los empresarios del país a atender el tema con responsabilidad y forjar una cultura de ciberseguridad con bases sólidas y campañas activas dentro
Dijo finalmente que, sobre las medidas que el próximo gobierno federal tome en relación con este tema, habrá que esperar a que se conozcan y entren en vigor.
10 ■ www.xtremsecure.com.mx
www.ciberseguridadmx.com
Ciberseguridad para toda la familia
E "Además de consejos y valores que como padres hay que transmitir, hay que enseñarles a configurar su privacidad, a detectar páginas fraudulentas, a tener un antivirus…"
n cada estancia del Polo Digital, en todos los espacios del Museo del Automóvil y también en el exterior, en el recinto central del antiguo edificio de Tabacalera, se aprende, se juega y se habla de ciberseguridad. Se celebra en este enclave malagueño el Cybercamp, una iniciativa del Instituto Nacional de Ciberseguridad que pretende sacar a la calle –esta es su quinta edición– un evento con tres enfoques principales. El más participativo es el que está destinado a las familias. Con más de 22 actividades interactivas se pretende que tanto los menores como sus padres y profesores tengan los recursos suficientes para vivir con responsabilidad y disfrutar con garantías el entorno digital. También hay charlas y talleres destinados a expertos y profesionales de la ciberseguridad y un apartado especial destinado a la captación del talento.
“Hay muchísima falta de estos perfiles profesionales” , explica Ana Santos, responsable de los servicios de Incibe que atañen a ciudadanos, familias y menores. Además de unas olimpiadas de ciberseguridad orientadas a centros educativos de Secundaria, Bachillerato y FP en la que los diez mejores centros se batirán en la final, también se ha organizado un Hackathon.
Equipos participantes en el Hackathon “Es una competición en la que participan desarrolladores y expertos para hacer herramientas y soluciones que ayuden a mejorar la seguridad, están durante tres días desarrollando unas propuestas que ya enviaron para ser seleccionados y el jurado les orienta y le pone hitos que tienen que ir superando”, explica Óscar García, responsable del Hackathon. Y subraya que en los 14 grupos y 43 personas que participan hay mucha variedad de propuestas. “En definitiva se trata de crear una herramienta que pueda ser usada por la comunidad de ciberseguridad”, agrega el responsable del concurso.
11 ■ www.xtremsecure.com.mx
Aunque en este tipo de campamentos los escolares son las estrellas. “Con este tipo de actividades lúdicas y educativas, con teatros, gymkana, talleres dinámicos, juegos por equipos […] queremos hacer que los niños se interesen por estos temas, que interioricen más esas vivencias y que los adultos que los acompañan tengan herramientas, recursos, para ponerse al día. Esta transformación digital nos ha venido muy rápida y tenemos bastantes carencias”, considera Ana Santos. La técnico de Incibe señala que “utilizamos mucho la tecnología” pero realmente no tenemos muchos conocimientos en cuanto a su uso seguro, los riesgos que existen y las herramientas que tenemos a nuestro alcance para prevenir que se materialice, es muy importante saber usarla bien, conocer las configuraciones que se pueden hacer, las cosas que pueden ocurrir y el sentido común con el que hay que usarlas”. Si bien los valores de comportamiento son los lógicos que se transmiten a los hijos en cualquier entorno, “Internet nos añade una complejidad técnica que en la calle no existe, en la calle todo es transparente pero en internet no. Así que, además de esos consejos y valores que como padres hay que transmitir a los hijos, hay que enseñarles también a configurar la privacidad de su dispositivo, a detectar páginas fraudulentas, amenazas, a tener una higiene en el smartphone, a actualizar los sistemas operativos, algo muy importante en cuanto a las amenazas de seguridad, a tener antivirus...”, añade Santos. Y subraya que hay que formar en todo esto a los niños.
“Los padres en muchos casos no tienen estos conocimientos técnicos y se ven abrumados, no saben cómo ni qué hacer. Nosotros ayudamos a padres y educadores a que tengan recursos, como el control parental con el límite de tiempo de uso o la restricción de ciertas aplicaciones”, apunta esta responsable de Incibe. Y acompañarles en ese camino con conocimiento de causa es esencial.
www.ciberseguridadmx.com
Para 2022 harán falta más de dos millones de profesionales en ciberseguridad Por Jeanette Leyva
Se prevé que para el 2022 hagan falta más de dos millones de profesionales especialistas en ciberseguridad, aseguraron expertos durante la presentación del primer Hub de Ciberseguridad en América Latina.
P
ese a las inversiones que realizan las empresas en materia de ciberseguridad, la demanda de personal especializado es de más de 20 veces actualmente, de acuerdo con expertos. En la presentación del primer Hub de Ciberseguridad en América Latina, directores de diversas empresas coincidieron de la necesidad de incrementar las medidas de seguridad en ese tema para estar prevenidos ante ataques cibernéticos. El director general de IBM México, afirmó que en su comando detectan un billón de incidentes cibernéticos mensuales. Mientas que Ernesto Torres Cantú, director general de Citibanamex, reconoció que el tema de los ataques cibernéticos: "es el de mayor riesgo que hoy enfrentan empresas y personas físicas, siendo el mayor riesgo en las próximas dos décadas y eso es lo que más preocupa". En el caso del sistema financiero, invierten alrededor de 7 a 8 por ciento de sus ingresos, nivel que consideró en el futuro irá en aumento y con ello el requerimiento de personal que sepa manejar esos temas.
Según Kaspersky Lab, compañía internacional dedicada a la seguridad informática, en 2017 se registraron más de 700 millones de amenazas cibernéticas en América Latina, un alza de 59 por ciento comparado con 2016, en donde Brasil representó el 53 por ciento del total, México el 17 por ciento, seguido por Colombia con 9 por ciento.
Sin embargo, se estima que el 71 por ciento de las empresas en el país no encuentran el perfil de expertos en ciberseguridad. Entrevistado al final, Torres Cantú, indicó que “todos tenemos que estar mucho más conscientes del riesgo de ciberseguridad, en todas las empresas en todos los ámbitos”. Los futuros empleados de la banca ya son más digitales, pero lo serán aún más: “las universidades como el Tecnológico de Monterrey cada vez tendrán que formar más alumnos y alumnas en el tema digital y los riesgos que implican, por eso se requerirán más ingenieros con perfiles digitales, pero también economistas o administradores”. El rector del Tecnológico de Monterrey, David Garza consideró que falta capital humano para hacer frente a los ciberataques, y con este primer Hub en el que participarán CISCO México, Deloitte, IBM México, Thales México, Citibanamex, el ITESM y la Universidad de Texas de San Antonio buscarán compartir sus mejores experiencias con los universitarios para diseñar planes y estrategias en conjunto en materia de ciberseguridad. Este Hub de Ciberseguridad tendrá servicios integrales en México y Latinoamérica, y tiene también como objetivo impulsar el desarrollo del primer ecosistema de ciberseguridad en México y Latinoamérica para el avance de tecnologías y capacidades para sistemas informáticos, biométricos, forenses y de comunicación, con el propósito de que sean más seguros, accesibles y confiables ante las crecientes amenazas cibernéticas.
12 ■ www.xtremsecure.com.mx