Empresa fuerte con ciberseguridad: abril 2022

Conoce como opera el terrible ransomware y que opciones tienes para resolverlo

En esta entrada vamos a revisar como opera el ransomware y las opciones que tenemos para tratar este terrible flagelo.

Empecemos por definir lo que es el ransomware:

Ransomware, es una técnica de ataque dañina que encripta o cifra los archivos de un computador pidiendo un rescate en moneda digital, preferiblemente bitcoins, a cambio de liberar los archivos secuestrados.

El ransomware es uno de los ataques más utilizados en la actualidad, cerca del 80% de los ciberataques usan ransomware como vector de ataque. El 23% de las víctimas de esta técnica termina pagando el rescate para recuperar sus datos.

A continuación describiré cada una de las fases que componen esta clase de ataques:

1. Infección: El usuario recibe un correo electrónico con un enlace o un archivo adjunto, el cual es activado cuando se da clic en el enlace o se abre el archivo. El ransomware se ejecuta y estableciendo persistencia en el equipo infectado.

2. Comando y Control: El ransomware se conecta aún servidor externo propiedad del atacante para entregar información sobre el equipo al cual está infectando y descargar una clave para cifrar la información.

3. Cifrado o encriptado: El ransomware utiliza la clave para cifrar el medio de almacenamiento principal, ya sea un disco duro, una SSD o una llave USB, adicionalmente, cifra todos los dispositivos de almacenamiento a los cuales tenga acceso.

4. Extorsión: El ciberdelincuente deja un mensaje de contacto para que la víctima se comunique antes de cierto tiempo y pague la extorsión o perderá todos los archivos que han sido cifrados. Ten en cuenta que estas extorsiones no son baratas.

En este punto quedan tres caminos:

5a. Pago: Para recuperar la información se debe realizar el pago, que generalmente es realizado en bitcoins o alguna otra moneda digital. Esto no garantiza que la información va a ser recuperada.

5b. Recuperación de backup: Puede recuperar la información a partir de una copia de respaldo, evitando el pago de la extorsión.

5c. Asumir la pérdida: Si la información cifrada no es importante, se puede recuperar la operación reinstalando los sistemas operativos afectados.

Lamentablemente, la mayoría del ransomware no tiene vacuna y es casi imposible la recuperación de la información. Los ciberdelincuentes son difíciles de rastrear, al igual que las operaciones en criptomonedas.

La mejor manera de prevenir esta clase de ataques es la seguridad preventiva mediante la capacitación al usuario final y el uso de software anti-ransomware.

Conoce el misterio de la superficie de ataque y lo que debes de hacer para protegerla

Hace algún tiempo se viene acuñando un nuevo término: "superficie de ataque", en este artículo vamos a revisar cuál es su definición, que la compone y que podemos hacer para reducir su nivel de exposición.

Empecemos por definir el término:

Superficie de ataque: todo dispositivo o servicio físico, virtual o digital conectado a la red de la organización que puede llegar a ser comprometido por un atacante para afectar la confidencialidad, integridad o disponibilidad de la información.

En el siguiente listado podrás encontrar los principales componentes de la superficie de ataque, dependiendo de cada organización podrá tener más o menos componentes:

Estaciones de trabajo y equipos portátiles (desktop/laptop)
Servidores físicos y virtuales
Equipos de red y perisféricos
Infraestructura en la nube
Aplicaciones y código desarrollado
Dispositivos de almacenamiento
Servicios propios y de terceros
empleados directos e indirectos
Equipos IoT

Podemos decir que cualquier dispositivo o servicio dentro de la red es un posible blanco para un atacante, por ende se debes de supervisar frecuentemente su nivel de exposición mediante la gestión de vulnerabilidades.

Estas son las tres tareas básicas que deberás desarrollar para reducir el nivel de exposición o por lo menos mantenerlo controlado:

Identificar la superficie de ataque: haz un inventario completo de todo equipo, dispositivo, software, aplicación y servicio dentro de la red de la organización. No olvides la nube.
Evaluar nivel de exposición: deberás ejecutar un análisis de vulnerabilidades para verificar el nivel de exposición de cada objeto dentro de la superficie de ataque.
Tratar las vulnerabilidades detectadas: Cuando tengas identificadas las vulnerabilidades, deberás tratarlas de acuerdo con la criticidad del activo y con la criticidad de la vulnerabilidad hallada.

Si quieres llegar al siguiente nivel, lo más acertado es que implementes un plan de gestión de vulnerabilidades en la organización, esto te permitirá evaluar y atender organizadamente las vulnerabilidades en los activos críticos.

Recomendación:

Identifique y reduzca el nivel de exposición de la superficie de ataque mediante la implantación de un plan de gestión de vulnerabilidades en TODOS los equipos, software y servicios de la organización.

Aquí les dejo un link acerca de como un casino fue atacado por un hacker, donde se supone que los casinos tienen los mejores controles anti hackers debido a que mueven millones de dólares:

Los verdaderos peligros de suministrarle un equipo al empleado o dejar que el empleado use su propio equipo para conectarse a la red de la organización

En este post vamos a revisar los principales peligros con los cuales se ve relacionada la seguridad de los datos de la organización cuando un usuario se conecta de forma remota con equipo propio o con equipo de la empresa y como se pueden tratar estos riesgos.

Empecemos por comentar que una de las principales diferencias entre teletrabajo y trabajo remoto es que en el primero, es muy posible que el equipo del empleado sea suministrado por la organización, esto le da control completo a la organización sobre el hardware y el software donde sea almacena los datos. (Debe tener una política de uso de recursos informáticos suministrados por la organización).

Cuando la organización tiene el control de los equipos, locales y remotos, le es posible implementar software de protección contra virus, troyanos, malware, ransomware, phishing, páginas peligrosas, entre otras cosas. Esto se logra con un buen software de antivirus comercial moderno, adicionalmente, puede implementar políticas de backup automatizado de información con almacenamiento fuera del equipo.

Ahora, cuando el usuario está en trabajo remoto y tiene su propio equipo para conectarse a la red de la organización, se presenta un riesgo crítico debido a que no se tiene el control del equipo conectado, por lo tanto, el acceso a los datos de la organización deberá ser más controlado y restringido.

Acceso no autorizado a información por posibles equipos infectados, fuga de información por copias no autorizadas, acceso no autorizado a información por parte de miembros de la familia o amigos del usuario, pérdida de información por almacenamiento local sin réplica en equipos de la organización, estos son solo algunos de los riesgos en los cuales se ve envuelta la organización cuando no se controla el acceso de los equipos no controlados.

Dependiendo del nivel de criticidad de la información que maneje el usuario, debe contemplar la posibilidad de suministrar equipos propios de la organización donde tenga el control completo del hardware y el software que maneja información crítica.

Valoré que es más costoso, suministrar equipo o exponerse a una posible pérdida de información por un equipo suministrado por el usuario, adicional, la organización puede verse infectada por alguna clase de virus informático.

Como siempre, este tema es muy particular a cada organización y depende de los niveles de acceso, tipos de usuarios, nivel de confianza, protección de datos y otras variables que deberán de ser evaluadas de acuerdo al nivel de riesgo que la organización desee asumir.

Descubre los peligros de permitir el uso del correo corporativo para beneficio personal

El uso de cuentas de correo corporativas para beneficio personal es una práctica que ha venido creciendo con el tiempo y sobre lo cual, la organización deberá ponerle la lupa para evitar posibles riesgos en lo cuales se vea inmersa.

Las cuentas de correo corporativas se usan para representar a la organización desde la cual sale el correo electrónico. Por ejemplo, se recibe un email de alguien que pregunta por precios de servicios y el correo del remitente es sistemas@ministerio.gov.co, el destinatario asumirá que el correo viene desde esa entidad, por lo que posiblemente le dará un trato como si viniera de una entidad gubernamental.

Se ha presentado el caso de que algunos empleados envían solicitudes desde sus cuentas corporativas para presionar a una organización para obtener algún beneficio que no tendría si el email hubiese salido desde un correo personal.

Otro ejemplo de esto se da cuando se solicitan servicios que son de pago excepto para entidades educativas, alguien que tiene un correo educativo solicita el servicio gratuito para uso personal o peor aún, para uso corporativo, esto se constituye en un fraude.

Se pueden llegar a citar un gran número de casos en donde el empleo de correos corporativos para beneficio personal le puede dar ventaja competitiva al empleado, ventajas que no hubiese tenido si el email hubiese salido desde un correo personal.

Los riesgos de permitir que los empleados usen las cuentas corporativas para resolver sus asuntos personales son altos debido a que cada email que sale de un correo corporativo es tomado como una actuación de la organización.

Para cerrar el tema, que piensas de este caso ficticio: trabajas para la empresa nutrigamba.com y tu compañero de trabajo es Carlos Rodriguez. Un día ingresas en el sitio web del periódico local y lees la noticia acerca de un gran número de estafas en el sitio de compras www.micarrito.com. Los correos de los presuntos estafadores son publicados en Internet y justo ahí, en el tercer reglón, aparece la dirección de correo "crodriguez@nutrigamba.com".

Es por ello que el uso de correos corporativos para uso personal deberá estar prohibido. Cada email que sale de una cuenta corporativa es una comunicación empresarial, por ello, el empleado deberá ser responsable de la comunicación que se tenga por intermedio de su correo electrónico.

Para mejor entendimiento del tema, te recomiendo la siguiente lectura:

Acceso al correo electrónico corporativo del empleado por parte del empleador

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario