GCCVIEWS

Etiqueta: ciberataque

  • El Quijote o un gestor de contraseñas para crear claves complejas que podamos recordar

    La primera vez que se tenga constancia del uso o la invención de una contraseña es en el año 1961. Ese año, los científicos del MIT tuvieron que inventar un sistema para poder compartir un dispositivo al que se conectaban de manera compartida diferentes usuarios. Necesitaban poder diferenciar quién accedía en cada momento. Así surgieron los nombres de usuarios y las contraseñas.

    Su uso se fue popularizando con las diferentes aplicaciones que se iban desarrollando a medida que pasaban los años. El sistema permitía, y sigue siendo así, que las aplicaciones puedan saber quién es la persona con la que están interactuando y así guardar los datos personalizados para cada una.

    A principio de siglo, los bancos empezaron a operar masivamente en internet, y comenzaron a surgir problemas más serios con las contraseñas. Con el tiempo, los ciberdelincuentes se dieron cuenta de que esas claves eran fáciles de descubrir.

    Del 123456 a las preguntas de seguridad

    La gente se acostumbra a utilizar claves fáciles de recordar, como las más típicas de 123456, nombres de personas y años, nombres de mascotas, lugares conocidos que hemos visitado o donde vivimos y equipos de fútbol. Todas estas contraseñas son muy fáciles de recordar y de usar, pero los ciberdelincuentes pueden descubrirlas muy rápidamente buscando un poco de información sobre las personas.

    Además, como había problemas también de contraseñas que se olvidaban, se inventaron inicialmente una serie de preguntas fijas a las que el usuario debía responder con la misma información que había introducido en el momento de darse de alta. La más típica: el nombre de la mascota.

    Recordemos el ataque que sufrió hace años Paris Hilton. Los ciberdelincuentes pudieron entrar en los archivos que tenía guardados en el móvil simplemente respondiendo a la pregunta del nombre de su mascota (un chihuahua del que no se separaba). Respondiendo acertadamente, pudieron recuperar la contraseña de Hilton.

    Los primeros consejos para crear contraseñas

    En el año 2003, Bill Burr, gerente del Instituto Nacional de Estándares y Tecnología de Estados Unidos, redactó un documento en el que recopiló un conjunto de trucos para crear las contraseñas más seguras.

    Burr introdujo la pauta de mezclar letras, números, mayúsculas, minúsculas y caracteres especiales y de una longitud mínima para crear así contraseñas más complejas que las que usaba mayoritariamente la gente por aquel entonces. Pensaba que había realizado una buena obra y ayudado a las personas, pero fue todo lo contrario.

    Burr acabó pidiendo perdón por crear este documento y estos trucos. Había concebido un sistema que obligaba al usuario a recordar contraseñas muy complejas imposibles de retener. Podríamos acordarnos de una o incluso alguna persona de dos, pero con la cantidad de servicios que actualmente tenemos en internet, este sistema es precisamente lo contrario a lo que pretendía ser. Las contraseñas que no tienen ningún sentido para las personas son olvidadas rápidamente.

    Programas que encuentran contraseñas

    Partir de una palabra conocida (que suele ser una palabra común), cambiar números y algún signo no es una buena solución. Además de ser mucho más complejo de recordar, nos da la sensación de protección, de usar un sistema completamente seguro de contraseña, pero es todo lo contrario.

    Existen programas informáticos que generan contraseñas a partir de listas de palabras de un diccionario. Van cambiando números por letras o les añaden números delante o detrás o incluso caracteres especiales.

    Estas herramientas permiten así generar combinaciones completamente aleatorias de estas letras, números y caracteres, o permutaciones de letras y números a partir de unas cuantas palabras conocidas que pueden ser más o menos afines a las personas que se quiere atacar. Por ejemplo, para una persona muy fanática de un determinado equipo de fútbol, podría crear combinaciones de nombres relacionados con ese equipo, con deportistas, años, etc.

    En segundos, estos programas son capaces de crear un listado con millones de combinaciones posibles de letras y números que son probados en las webs que piden un usuario y contraseña hasta dar con la correcta.

    ¿Contraseñas seguras y que podamos recordar?

    De momento, no podemos dejar de usar las contraseñas. Hoy en día todos los sistemas se basan en esta manera de identificarse. Por eso, lo mejor es tener alguna manera de utilizar contraseñas complejas que sea fácil de manejar. Hemos visto que no pueden ser palabras conocidas directamente, ni combinaciones de letras y números sin sentido que no recordamos.

    Podemos utilizar dos estrategias que nos van a permitir tener buenas contraseñas fácilmente recordables.

    • La primera es acordarnos de alguna frase de un libro o algún refrán y personalizarla para cada uno de los servicios donde queremos usar una contraseña. Por ejemplo, podemos considerar el libro El ingenioso hidalgo don Quijote de la Mancha de Miguel de Cervantes, que empieza con la frase: “En un lugar de la mancha, de cuyo nombre no quiero acordarme, no hace mucho tiempo que vivía un hidalgo…”. Si cogemos solo las primeras letras y los signos podemos tener una contraseña muy larga que no tenga ningún sentido: E1ldlM,dc2nqa.Pero además podemos modificar esta clave para adaptarla a la web que queremos usar. Por ejemplo, para el banco, que son cinco letras, a partir de la quinta posición insertamos un concepto relacionado con el banco, como una caja fuerte, empleando un signo de separación como +, -, ¿, :, etc. Quedaría algo así como E1ldl+FuerT+M,dc2nqa. Así solo hemos de repetir la frase e ir poniendo las letras iniciales y la web a la que hace referencia. Seguro que es más fácil acordarnos de esta contraseña que no de una combinación aleatoria de 19 caracteres.
    • Otra opción posible es el uso de un gestor de contraseñas, una aplicación que podemos instalar en el móvil o el navegador en la que podemos guardar las diferentes contraseñas que vayamos creando. De esta manera solo tendremos que acordarnos de una que desbloqueará la aplicación y podremos buscar la contraseña que necesitemos.El problema de estas herramientas es que necesitaremos siempre el móvil para mirar qué contraseña usar en cada caso y acordarnos de apuntarla, así como los cambios de estas contraseñas.Además, hay que ir con mucho cuidado a la hora de instalar una aplicación como estas porque los ciberdelincuentes lo saben y crean apps similares para que las utilicemos y les enviemos directamente todas nuestras contraseñas, entre ellas las del banco o el correo electrónico. Antes de instalar, deberemos mirar bien los comentarios que tiene la aplicación y cuándo se creó, y aún así siempre debemos desconfiar un poco. Estas herramientas son útiles, pero al final estamos confiando en una aplicación hecha por terceras personas que no conocemos, y no en la capacidad de nuestra mente de retener una frase, por ejemplo.

    Lo ideal: la autenticación en dos pasos

    Existen tres métodos para poder autenticar a una persona en un servicio, ya sea web o presencial: lo que sabemos, lo que somos y lo que tenemos. Sabemos las contraseñas (las tenemos en la memoria). Somos las huellas dactilares o el iris, en general la biometría. Y tenemos un dispositivo al que enviar un código único, el teléfono por ejemplo.

    Desde hace ya un tiempo se sabe que utilizar únicamente un factor de autenticación es un problema grave de seguridad, por eso los bancos y otros servicios ya utilizan dos. Aparte de la contraseña, nos envían un código único para validar las acciones que hacemos. Además, los teléfonos de última generación ya disponen de la biometría para gestionar los accesos a las webs que queremos guardar.

    Con un buen uso de esos factores de autenticación, las contraseñas se van a quedar muchos años con nosotros. Es muy recomendable que en todos los sistemas que lo permitan activemos ese segundo factor de autenticación, sobre todo en las webs de compras o aquellas que tengan guardada la tarjeta de crédito para comprar, el correo electrónico, etc.

    Aunque los ciberdelicuentes consigan obtener la contraseña, no podrán tener el mismo dispositivo o la misma huella dactilar. Aunque haya problemas de ciberseguridad con estos últimos métodos, no son tan sencillos de manipular y, por lo tanto, podemos estar un poco más protegidos que únicamente con el nombre de nuestra mascota o de nuestro equipo de fútbol favorito.The Conversation

    Jordi Serra Ruiz, Profesor de Ciberseguridad, UOC – Universitat Oberta de Catalunya

    Este artículo fue publicado originalmente en The Conversation. Lea el original.

  • Advertencias del FBI revelan 10 prácticas a tener en cuenta para detener a los piratas informáticos

    El FBI, junto con la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA), así como las autoridades de seguridad cibernética de Canadá, Nueva Zelanda, los Países Bajos y el Reino Unido, han compilado una lista de los principales controles de seguridad, configuraciones y prácticas deficientes a tener en cuenta para evitar ciberataques. También contiene las mitigaciones colectivas recomendadas por las autoridades.

    «Los actores cibernéticos explotan de manera rutinaria las configuraciones de seguridad deficientes (ya sea que estén mal configuradas o no estén protegidas), los controles débiles y otras prácticas de higiene cibernética deficientes para obtener acceso inicial o como parte de otras tácticas para comprometer el sistema de una víctima», dice CISA.

    Ya sea que sea un usuario de Apple o Android o prefiera iniciar sesión en cuentas en una computadora portátil, estos grupos de seguridad en conjunto han revelado 10 consejos importantes que pueden mantenernos a salvo de los piratas informáticos a medida que el delito cibernético continúa aumentando:

    1. Configurar la autenticación
    El uso de autorizaciones de múltiples factores agrega más pasos al proceso de inicio de sesión, lo que dificulta que los piratas informáticos accedan a los registros de su teléfono. La mayoría de sus cuentas de redes sociales y banca en línea tendrán opciones de autenticación de múltiples factores en su sección de configuración.

    2. Evitar permisos incorrectos
    Este paso se aplica más a las empresas y es algo que puede señalar a su empleador. Los expertos en seguridad advierten contra tener largas listas de permisos de acceso a datos personales. Cuantas menos personas tengan acceso a datos privados e importantes, menos oportunidades tendrán los ciberdelincuentes para acceder al contenido.

    3. Actualizar su programa
    Esto puede parecer un punto obvio, pero muchas personas se olvidan de actualizar su software o posponen las actualizaciones del sistema. Las actualizaciones de software generalmente vienen con correcciones de errores, por lo que posponerlas puede permitir que un ciberdelincuente explote una falla en su dispositivo.

    4. No utilizar nombres de usuario y contraseñas predeterminados
    Cambiar las contraseñas con frecuencia y por algo que nadie pueda adivinar sobre usted, evitar los cumpleaños y los nombres de sus seres queridos. Nunca quedarse con un nombre de usuario o contraseña predeterminados porque son demasiado fáciles de adivinar para un hacker.

    5. Evitar las VPN innecesarias
    Las redes privadas virtuales pueden ser útiles para navegar por Internet como si estuviéramos en un país diferente, pero algunas pueden dejarnos expuestos a los estafadores. El FBI recomienda tener cuidado con la VPN que se elija usar, ya que algunas no tienen suficientes controles para evitar que los piratas informáticos accedan al contenido personal.

    6. Hacer que tu contraseña sea segura
    De manera similar a evitar una contraseña predeterminada, se recomienda asegurarse de que la que se elija sea segura. Los sitios generalmente recomiendan un nivel de seguridad medio a alto, lo que significa agregar números y símbolos adicionales.

    7. Ser precavidos con los servicios en la nube
    Cuando guardamos nuestros datos en servicios en la nube, asegurarse que están protegidos. Algunos servicios en la nube son más fuertes que otros, como iCloud de Apple, que es conocido por ser bastante seguro, pero hay algunas aplicaciones en la nube que podrían dejarlo vulnerable a los ataques, por lo que hay que tener cuidado con el contenido que se sube a la nube y a quién puede acceder a ella.

    8. Tener cuidado con los ‘servicios mal configurados’
    Este punto es más para los propios servicios, ya que tienen la responsabilidad de proteger sus datos. Investigaciones anteriores de IBM Security X-Force encontraron que dos tercios de los incidentes de seguridad en la nube podrían haberse evitado con las políticas de seguridad adecuadas.

    9. Estar alerta a las estafas de phishing
    Si se recibe un correo electrónico o mensaje de texto con un enlace sospechoso, debe evitarlo, incluso si el enlace es para algo aparentemente importante. Los estafadores confían en asustarlo o convencerlo de que obtendrá algo bueno.
    Las estafas de phishing pueden ser fáciles de detectar si se presta atención a por ejemplo errores de ortografía, uso incorrecto de nombres y direcciones de correo electrónico extrañas. Los estafadores intentarán comunicarse con usted a través de llamadas o mensajes de texto y tratarán de asustarlo para que proporcione información personal.

    10. Asegurarse de tener una protección adecuada
    El último consejo de seguridad se refiere a la detección de puntos finales. Este es un software que se supone que detecta una amenaza que ya ha superado algunas barreras para que pueda intentar bloquearla antes de que se propague. Asegurarse de tener un software de seguridad sólido o invertir en él.

  • Un nuevo ataque de retransmisión Bluetooth puede desbloquear de forma remota vehículos Tesla y cerraduras inteligentes.

    «Millones de candados digitales en todo el mundo, incluidos los de automóviles Tesla, pueden sufrir un ataque de retransmisión de bluetooth de forma remota por piratas informáticos que exploten una vulnerabilidad en esta tecnología», dijo el martes NCC Group, una firma de ciberseguridad.

    Los investigadores de seguridad de la compañía han desarrollado una herramienta para llevar a cabo un ataque de retransmisión Bluetooth Low Energy (BLE) que pasa por alto todas las protecciones existentes para autenticarse en los dispositivos de destino.

    Cuando usa su teléfono para desbloquear un Tesla, el dispositivo y el automóvil usan señales de Bluetooth para medir su proximidad entre sí. Si se aproxima al automóvil con el teléfono en la mano, la puerta se desbloqueará automáticamente, si se aleja, se bloquea. Esta autenticación de proximidad funciona asumiendo que la clave almacenada en el teléfono solo se puede transmitir cuando el dispositivo bloqueado está dentro del alcance del bluetooth.

    Ahora, un investigador ha ideado un truco que le permite desbloquear millones de Teslas, e innumerables otros dispositivos, incluso cuando el teléfono o el llavero de autenticación están a cientos de metros o millas de distancia. El truco, que explota las debilidades del estándar ‘Bluetooth Low Energy’ o BLE, al que se adhieren miles de fabricantes de dispositivos, puede usarse para desbloquear puertas, abrir y operar vehículos, y obtener acceso no autorizado a una gran cantidad de computadoras portátiles, teléfonos móviles, cerraduras inteligentes y sistemas de control de acceso a edificios y otros dispositivos sensibles a la seguridad.

    En general, es complicado implementar soluciones para este problema de seguridad, e incluso si la respuesta es inmediata y coordinada, las actualizaciones tardarían mucho en llegar a los productos afectados. Cualquier producto que dependa de la autenticación de proximidad BLE es vulnerable si no requiere la interacción del usuario en el teléfono o el llavero para aprobar el desbloqueo y no implementa un rango seguro con la medición del tiempo de vuelo o la comparación del teléfono/llavero, ubicación GPS o celular relativa a la ubicación del dispositivo que se está desbloqueando. La comparación de ubicación de GPS o celular también puede ser insuficiente para evitar ataques de retransmisión de corta distancia (como irrumpir en la puerta principal de una casa o robar un automóvil en el camino de entrada, cuando el teléfono o el llavero del propietario están dentro de la casa).

    «NCC Group pudo usar esta herramienta de ataque de retransmisión recientemente desarrollada para desbloquear y operar el vehículo mientras el iPhone estaba fuera del rango BLE del vehículo», dijo NCC Group

    Esta clase de pirateo se conoce como ataque de relevo. En su forma más simple, un ataque de relevo requiere dos atacantes. En el caso del Tesla bloqueado, el primer atacante, al que llamaremos Atacante 1, está muy cerca del automóvil mientras está fuera del alcance del teléfono de autenticación. Mientras tanto, el atacante 2 está muy cerca del teléfono legítimo utilizado para desbloquear el vehículo. El atacante 1 y el atacante 2 tienen una conexión a Internet abierta que les permite intercambiar datos.

    El atacante 1 utiliza su propio dispositivo habilitado para Bluetooth para hacerse pasar por el teléfono de autenticación y envía una señal al Tesla, lo que hace que el Tesla responda con una solicitud de autenticación. El atacante 1 captura la solicitud y la envía al atacante 2, quien a su vez reenvía la solicitud al teléfono de autenticación. El teléfono responde con una credencial, que el Atacante 2 captura y retransmite rápidamente al Atacante 1. El Atacante 1 luego envía la credencial al automóvil. Con eso, el Atacante 1 ahora ha desbloqueado el vehículo.

    Los ataques de retransmisión en el mundo real no necesitan tener dos atacantes reales. El dispositivo de transmisión se puede guardar en un jardín, guardarropa u otro lugar apartado en una casa, restaurante u oficina. Cuando el objetivo llega al destino y entra en el rango de Bluetooth del dispositivo escondido, recupera la credencial secreta y la transmite al dispositivo estacionado cerca del automóvil (operado por el Atacante 1).

    La susceptibilidad de BLE a los ataques de retransmisión es bien conocida, por lo que los fabricantes de dispositivos han confiado durante mucho tiempo en las contramedidas para evitar que ocurra el escenario anterior. Esto deja a los usuarios con pocas posibilidades, una de las cuales es desactivarlo, si es posible, y cambiar a un método de autenticación alternativo que requiera la interacción del usuario. Otra defensa para el fabricante sería medir el flujo de las solicitudes y respuestas y rechazar las autenticaciones cuando la latencia alcanza cierto umbral, ya que las comunicaciones retransmitidas generalmente tardan más en completarse que las legítimas. Otra protección es cifrar la credencial enviada por el teléfono o que los fabricantes adoptaran una solución de límite de distancia como la tecnología de radio UWB (banda ultraancha) en lugar de Bluetooth.

    Se recomienda a los usuarios de este tipo de tecnología que usen la función ‘PIN para conducir’, por lo que incluso si su automóvil está desbloqueado, al menos el atacante no podrá irse con él. Además, deshabilitar la funcionalidad de entrada pasiva en la aplicación móvil cuando el teléfono está parado haría que el ataque de retransmisión fuera imposible de llevar a cabo.

  • Costa Rica declara emergencia nacional tras hackeo masivo

    Si alguna vez hemos necesitado pruebas de que los ataques cibernéticos son algo real y devastador, ahora el país de Costa Rica ha declarado una emergencia nacional después de haber sido bombardeado con varios ataques digitales.

    El presidente del país, Rodrigo Chaves, que acaba de asumir el cargo este domingo pasado, ha anunciado oficialmente un estado de emergencia para la nación. Esto se produce después de un gran ataque del grupo de ransomware Conti, que tiene vínculos con el sindicato de delitos cibernéticos Wizard Spider, responsable de muchos ataques, incluido malware como Ryuk, que se dirige a los hospitales. La declaración de emergencia le otorga la autoridad para contratar expertos externos en seguridad cibernética sin esperar el permiso de la asamblea legislativa del país.

    Después del ataque inicial, el grupo infractor Conti exigió un rescate de 10 millones de dólares al Ministerio de Hacienda de Costa Rica, que no fue abonado. En respuesta, Conti habría liberado el 97% del total de 672 GB de datos robados al gobierno del país. La agencia de salud pública, la Caja Costarricense del Seguro Social (CCSS), había declarado anteriormente que «se está realizando una revisión de seguridad perimetral en el Conti Ransomware, para verificar y prevenir posibles ataques a nivel de la CCSS».

    El Ministerio de Finanzas aún debe confirmar por completo la amplitud exacta del ataque, incluyendo qué datos de los contribuyentes se pueden haber recopilado, ya que estos hackers podrían haber recopilado datos personales de muchos ciudadanos costarricenses. El organismo público que primero ha sufrido daños por el ciberataque es el Ministerio de Hacienda, que aún no ha evaluado completamente el alcance del incidente de seguridad o en qué medida se han visto afectados los sistemas de información, pagos y aduanas de los contribuyentes. Por lo pronto, desde el 18 de abril, los servicios digitales de Hacienda no están disponibles, lo que está afectando a todo el «sector productivo» debido a que se han interrumpido los trámites gubernamentales, las firmas y los sellos.

    «El ataque que está sufriendo Costa Rica por parte de ciberdelincuentes, ciberterroristas se declara emergencia nacional y estamos firmando un decreto, precisamente, para declarar estado de emergencia nacional en todo el sector público del Estado costarricense y permitir que nuestra sociedad responda a estos ataques como actos delictivos”, dijo el Presidente, acompañado de la Ministra de la Presidencia, Natalia Díaz, y el Ministro de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), Carlos Alvarado.

    Actualmente, solo un actor de amenazas individual conocido como UNC1756, ha asumido la responsabilidad del ataque. El grupo ha amenazado con ataques adicionales ya que los rescates no se han pagado y han declarado que estos serán más serios, por lo que aún hay más razones para que Costa Rica esté especialmente alerta en este momento.

    El gobierno de los Estados Unidos ofrece una recompensa de $10 millones de dólares por información que pueda ayudar a identificar o localizar a los responsables de los ataques. Se ofrecen otros $5 millones si esto conduce a un arresto o condena.

  • Adolescente de 16 años podría ser cabecilla de hackeos masivos de Lapsus$

    Lapsus$, un grupo de ciberdelincuentes relativamente nuevo, se ha convertido en una de las pandillas de hackers más comentadas y temidas, después de violar con éxito importantes empresas y luego alardear de ello en las redes sociales.

    El grupo apareció por primera vez en los titulares cuando lanzó un ataque de ransomware contra el Ministerio de Salud de Brasil en diciembre de 2021, comprometiendo los datos de vacunación contra el COVID-19 de millones de personas en el país. Desde entonces, se ha centrado en varias empresas de tecnología de alto perfil, robando datos de Nvidia, Samsung, Microsoft y Vodafone, entre otras. Lapsus$ también logró interrumpir algunos de los servicios de Ubisoft y también obtuvo acceso a la computadora portátil de un contratista de Okta, poniendo en riesgo los datos de miles de empresas que usan el servicio. También se sospecha que está detrás del ataque del año pasado a EA Games.

    Según los informes, un miembro del grupo es «tan hábil para piratear, y tan rápido» que los investigadores inicialmente pensaron que la actividad que estaban observando estaba automatizada”.

    El 24 de marzo, la policía de Londres realizó siete arrestos en relación con el grupo, todos ellos de adolescentes, cuyas edades oscilarían entre los 16 y los 21 años.  Se dice que el cabecilla de la pandilla es un joven con autismo de 16 años oriundo de Oxford, Inglaterra. El hacker, que usa el seudónimo de «White», podría amasar una fortuna de 14 millones de dólares (£ 10,6 millones) gracias a la piratería, y habría sido identificado por piratas informáticos e investigadores rivales. El grupo podría tener su sede en América del Sur.

    El padre del niño dijo a la BBC: «Nunca había oído hablar de nada de esto hasta hace poco. Nunca ha hablado de piratería informática, pero es muy bueno con las computadoras y pasa mucho tiempo en la computadora. Siempre pensé que estaba jugando»

    Los primeros informes sobre Lapsus$ intentaron categorizar al grupo como una “banda de ransomware”, en parte debido a su hábito de filtrar datos robados, como suelen hacer las bandas de ransomware. Superficialmente, podría haber parecido uno, pero Lapsus$ en realidad nunca usó ransomware. La pandilla ha operado puramente a través de un modelo extorsionador, evitando el malware por completo. En lugar de cifrar los datos de las víctimas, Lapsus$ simplemente los roba y luego amenaza con filtrarlos si no se paga el rescate. Es una variación extraña y «torpe» del modelo de doble extorsión de la industria del ransomware, que utiliza amenazas gemelas de cifrado y fuga de datos para incitar a las víctimas a pagar. En general, la mayoría de las pandillas de ransomware operan como versiones en la sombra de las corporaciones típicas, desplegando maquinaria digital bastante organizada y sofisticada para el robo y la extorsión.

    Por el contrario, Lapsus$ ha operado como una startup disfuncional. En algunos casos, ha carecido de la disciplina para incluso pedir un rescate, optando en cambio por omitir una demanda financiera y simplemente filtrar los datos pirateados por el placer de hacerlo. Los investigadores de seguridad de Microsoft se han referido a este estilo como un «modelo puro de extorsión y destrucción».

    «A diferencia de la mayoría de los grupos de actividad que pasan desapercibidos, Lapsus$ no parece cubrir sus huellas», dijeron los investigadores del Threat Intelligence Center de Microsoft, en una publicación de blog reciente. «Llegan al extremo de anunciar sus ataques en las redes sociales o publicitar su intención de comprar credenciales de empleados de organizaciones objetivo. La banda también usa varias tácticas que otros actores de amenazas rastreados por Microsoft usan con menos frecuencia». Sin embargo, son esas mismas tácticas las que hacen que la «pandilla» sea tan fascinante.

  • La mitad de los dispositivos conectados a Internet en los hospitales son vulnerables a ciberataques, según un informe.

    Históricamente, la seguridad cibernética no ha sido una prioridad para las organizaciones de atención médica. Pero los picos en los ataques de ransomware a hospitales en los últimos dos años, están empujando a los grupos a realizar cambios para prevenir estos ciberataques. Los hospitales de menor tamaño en particular, han expresado abiertamente los desafíos que enfrentan: ¿cómo expanden las capacidades de ciberseguridad en un momento en que la experiencia, el enfoque y el presupuesto no están disponibles o se desvían a otros lugares? Dado que los ataques de ransomware, aumentaron casi un 600 % en 2020, y el 21 % de esos ciberataques se centraron en dispositivos médicos o IoT, según Cynerio, empresa de ciberseguridad sanitaria.

    La amenaza más activa proviene de grupos que ingresan a los sistemas hospitalarios a través de un dispositivo vulnerable y bloquean las redes digitales del mismo, lo que podría dejar a los médicos y enfermeras sin acceso a registros médicos, dispositivos y otras herramientas digitales, exigiendo un rescate para desbloquearlos. Estos ciberataques se han intensificado en los últimos años y ralentizan las funciones de los hospital hasta el punto de repercutir en la salud de los pacientes.

    Además, más de la mitad de los dispositivos conectados a Internet que se utilizan en los hospitales tienen una vulnerabilidad que podría poner en riesgo la seguridad del paciente, los datos confidenciales o la usabilidad de un dispositivo, según el informe de Cynerio. El estudio analizó datos de más de 10 millones de dispositivos en más de 300 hospitales e instalaciones de atención médica en todo el mundo, que la empresa recopiló a través de conectores unidos a los dispositivos como parte de su plataforma de seguridad.

    El tipo más común de dispositivo conectado a Internet en los hospitales fue una bomba de infusión. Estos dispositivos pueden conectarse de forma remota a registros médicos electrónicos, extraer la dosis correcta de un medicamento u otro líquido y administrarlo al paciente. Las bombas de infusión también fueron los dispositivos con mayor probabilidad de tener vulnerabilidades, en concreto y segun el estudio un 73%, lo cual podría permitir cambiar la dosis de un medicamento, por ejemplo.

    Otros dispositivos comunes conectados a Internet son los monitores de pacientes, que pueden rastrear datos como la frecuencia cardíaca y la frecuencia respiratoria, y los ultrasonidos. Ambos tipos de dispositivos estaban en la lista de las 10 principales vulnerabilidades. Aunque aún no se ha registrado oficialmente un ataque de este tipo, los especialistas señalan que podrían ser un objetivo de ataque inminente.

    La buena noticia es que el informe de Cynerio señala que la mayoría de las vulnerabilidades en dispositivos médicos se pueden reparar fácilmente: se deben a contraseñas débiles o predeterminadas o a un aviso de recuperación sobre el que la organización no ha actuado.

    Pero informes como este, combinados con la creciente frecuencia de los ataques de ransomware, están empujando a más organizaciones de atención médica a invertir en ciberseguridad, dicen los expertos. “Creo que esto está alcanzando un nivel de criticidad que está llamando la atención de los directores ejecutivos y las salas de juntas”, dijo Ed Gaudet, director ejecutivo y fundador de la empresa de seguridad cibernética Censinet.

  • REvil acaba de realizar el ciberataque ransomware más grave de la historia

    El grupo de piratería de ransomware REvil puso de cabeza a las redes de al menos 200 empresas estadounidenses este viernes pasado y ahora exige 70 millones de dólares en bitcoins a cambio de un descifrador para las máquinas infectadas. Lleva activo desde 2019 y es capaz de permanecer en los servidores de la víctima durante meses hasta que encuentra la información sensible que le interesa explotar.

    El sábado, REvil se había dirigido al proveedor de software Kaseya y utilizó su paquete de administración de red para difundir el ransomware a través de la nube. Miles de organizaciones, en su mayoría empresas que administran de forma remota la infraestructura de TI de otros, se infectaron, más de 1 millón de máquinas según informes, en al menos 17 países.

    Los equipos de ciberseguridad trabajaron febrilmente el domingo para detener el impacto del ataque de ransomware mundial más grande que se haya registrado, y surgieron algunos detalles sobre cómo los hackers responsables vinculados a Rusia violaron la compañía cuyo software era el conducto.

    Las bandas sofisticadas de ransomware al nivel de REvil suelen examinar los registros financieros de la víctima y las pólizas de seguro, si pueden encontrarlas, de los archivos que roban antes de activar el malware de codificación de datos. Luego, los delincuentes amenazan con descargar los datos robados en línea a menos que se les pague. Sin embargo, no quedó claro de inmediato si este ataque involucró el robo de datos. El mecanismo de infección sugiere que no fue así.

    «Robar datos normalmente requiere tiempo y esfuerzo del atacante, lo que probablemente no sea factible en un escenario de ataque como este, donde hay tantas organizaciones de víctimas pequeñas y medianas», dijo Ross McKerchar, director de seguridad de la información de Sophos. «No hemos visto evidencia de robo de datos, pero aún es temprano y solo el tiempo dirá si los atacantes recurren a jugar esta carta en un esfuerzo por hacer que las víctimas paguen».

    Los virus de tipo ‘ransomware’, capaces de cifrar y robar información, se han convertido en uno de los negocios más lucrativos para el cibercrimen. Las ganancias que generan para aquellos grupos que los emplean cada vez son más grandes. Así lo demuestra el que, de acuerdo con un reciente informe de la firma Chainalasys, en 2020 se haya registrado un incremento en los rescates de más del 300% con respecto al año anterior. En concreto, los ciberdelincuentes consiguieron embolsarse más de 350 millones de euros, mientras que en 2019 esa cifra no alcanzó los 100 millones. Como muestra el siguiente gráfico, los ataques de ransomware no muestran signos de disminuir en 2021. En los primeros cinco meses del año, las víctimas ya transfirieron más de $ 80 millones a los ciberdelincuentes, casi igualando el total de todo el año 2019.

    Infographic: Crypto Ransom Payments Skyrocketed in 2020 | Statista  Statista

    En 2019, un ataque de ransomware que aprovechó los proveedores de servicios administradoslos delincuentes, obstaculizó las redes de 22 municipios de Texas a través de uno. Ese mismo año, 400 consultorios dentales estadounidenses quedaron paralizados en otro ataque.

    En mayo de este año, REvil atacó Colonial Pipeline y logró que la compañía pagara un rescate de $ 5 millones después de que se restringieran su funcionalidad y servicios, lo que provocó una crisis de gas en los EE. UU.
    JBS Holdings, la compañía cárnica más grande del mundo por ventas, también pagó un rescate de $ 11 millones en un ataque del 30 de mayo contra ella por el mismo grupo.

    Los expertos apuntan que no fue una coincidencia que REvil lanzara el ataque al comienzo del fin de semana festivo del 4 de julio, sabiendo que las oficinas de EE. UU. contarían con menos personal. Es posible que muchas víctimas no se enteraran hasta que regresaran al trabajo el lunes además de que la gran mayoría de clientes finales de los proveedores de servicios administrados desconocen qué tipo de software utilizan para mantener sus redes funcionando.

    El ataque actual a través del software Kaseya es algo especial, ya que se utiliza un exploit de día cero. Como puerta de enlace, utiliza un agujero de seguridad hasta ahora desconocido, contra el que todavía no hay una actualización protectora del fabricante.

    La recomendación sigue siendo desconectar todas las instalaciones de Kaseya VSA. Kaseya ahora proporciona al menos herramientas que pueden usarse para examinar los servidores VSA y los puntos finales administrados por ellos en busca de signos de infección.

    El presidente Joe Biden sugirió el sábado que Estados Unidos respondería si se determinaba que el Kremlin está involucrado. Dijo que había pedido a la comunidad de inteligencia una «inmersión profunda» sobre lo sucedido, y que tomaría medidas si Rusia estaba detrás de él.

    El FBI dijo en un comunicado el domingo que estaba investigando el ataque junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad federal, aunque «la escala de este incidente puede hacer que no podamos responder a cada víctima individualmente».

    Tanto los exploits de día cero como los ataques a través de la cadena de suministro se encuentran entre las técnicas de ataque avanzadas que suelen utilizar los atacantes controlados por el estado, pero REvil podría ser más crimen organizado que actividad de inteligencia.

    Su empresa o actividades podrían estar en peligro. Contáctenos y podremos programar una sesión gratuita online por 50 minutos y evaluar la mejor opción para la seguridad de su mayor activo empresarial: sus datos. Nuestros hackers éticos están para ayudarlo. Escríbanos a info@goethalsconsulting.com o llámenos al 302-2862/ 6229-2530.

  • Tendencias y perspectivas en ciberseguridad para 2021

    2020 ha hecho de la ciberseguridad una de las prioridades de la mayoría de las organizaciones. Los tiempos difíciles que trajo la pandemia de COVID demostraron que ninguna empresa es inmune a los ataques cibernéticos. Incluso las empresas más grandes y aparentemente seguras sufrieron vulnerabilidades y fallos de seguridad al intentar adoptar varias soluciones de comunicación y colaboración para mantenerse conectadas durante los primeros meses de trabajo remoto. Dicho esto, las empresas que buscan navegar por el nuevo panorama laboral deben considerar las siguientes tendencias y predicciones importantes de ciberseguridad.

    • Los costos de las infracciones cibernéticas superarán a la economía mundial

    La pandemia derrumbó significativamente la economía. Según los análisis actuales, el crecimiento de la economía mundial se reducirá a un crecimiento de un solo dígito, y los países minimizarán las actividades para minimizar la propagación de la segunda ola del virus. Por otro lado, el trabajo remoto y las prácticas laborales inseguras aumentarán a medida que más organizaciones adopten el trabajo remoto.

    Con tal desequilibrio, se espera que el costo de una violación cibernética alcance los dos dígitos en todas las industrias. Esto sucederá a menos que las organizaciones y agencias gubernamentales implementen medidas para mitigar estos riesgos, como emplear personal de ciberseguridad.

    • Los grupos de video reemplazarán las videollamadas a gran escala

    En esta línea, la pandemia hizo que las organizaciones y las empresas adoptaran el uso de videollamadas, algunas de las cuales convergieron hasta cientos de participantes. Aunque las videollamadas mejoraron la comunicación y las colaboraciones, la convergencia de muchos participantes no fue tan buena idea, ya que abrió posibles vulnerabilidades de infiltración. Los malos actores podrían acceder fácilmente a reuniones importantes e interrumpirlas.

    Dicho esto, las organizaciones deberían pasar de las videollamadas a gran escala a las salas separadas y los grupos de video para mejorar la productividad. Los empleados deben enfocarse en videollamadas privadas pero altamente enfocadas, centradas en mejorar la eficiencia en una organización, lograr objetivos específicos y mejores interacciones.

    • Aumento de las amenazas internas

    El aumento de las necesidades de personal y la dependencia de modelos de trabajo remoto presentan oportunidades para los ciberdelincuentes que buscan explotar a las empresas desde adentro. Como su nombre indica, las amenazas internas son violaciones de datos vinculadas que se originan en los empleados de una empresa. Si bien el 25% de las filtraciones de datos del año pasado estuvieron relacionadas con amenazas internas, los expertos en TI predicen que esta cifra puede aumentar al 33% en 2021.

    Según algunas empresas de software, se espera un crecimiento de los modelos de ciberataques «internos como servicio». Estos son infiltrados organizados que actúan como agentes encubiertos. Estas personas pasan por el proceso de entrevista y contratación de una organización, superando todos los obstáculos de recursos humanos y seguridad para convertirse en empleados de confianza.

    • Nueva arquitectura para una colaboración segura

    La mayoría de las organizaciones han avanzado hacia la adopción de modelos de trabajo remoto permanente. Por lo tanto, las empresas de tecnología deben desarrollar una arquitectura segura para adaptarse a este modelo de trabajo en rápido crecimiento.

    Si bien algunos proveedores de tecnología ya han incorporado el cifrado de extremo a extremo como reacción instintiva primaria durante los primeros días del trabajo remoto, otras empresas deberían integrar dicha arquitectura en todas las herramientas de comunicación y colaboración para promover la seguridad y la privacidad de los datos.

    • Las contraseñas estarán en segundo plano

    Las tecnologías avanzadas han minimizado el uso de contraseñas. Si bien esto no significa que las contraseñas estén desapareciendo, se están convirtiendo en una técnica de autenticación en segundo plano. Las contraseñas iniciales se han reemplazado con PIN, autenticación de dos factores, biometría y análisis de comportamiento.

    Aunque el uso de contraseñas continuará, se ocultarán a los usuarios con autenticación detrás de escena. Con esto, los empleados no tendrán que elegir contraseñas largas y complejas. En cambio, los administradores de contraseñas y los equipos de seguridad manejarán los inicios de sesión de los empleados de forma segura. La adopción de esta estrategia elimina una de las causas comunes de los ataques cibernéticos: la piratería de contraseñas.

    • La automatización aumentará los ataques de phishing

    Los ataques de phishing implican el uso de correos electrónicos maliciosos altamente dirigidos con información específica y precisa sobre un individuo o un rol específico en una empresa. Tradicionalmente, los ataques de phishing eran una gran inversión que consumía mucho tiempo para los ciberdelincuentes, ya que tenían que enviar los correos electrónicos manualmente.

    Los ciberdelincuentes han creado herramientas que automatizan el spear phishing. La integración de estas herramientas con los datos de los sitios web de la empresa y las plataformas de redes sociales permite a los piratas enviar cientos o miles de correos electrónicos de phishing con datos detallados personalizados para cada víctima, lo que aumenta significativamente las tasas de éxito. Afortunadamente, a diferencia de los correos electrónicos de phishing generados manualmente, las campañas automatizadas son menos sofisticadas y fáciles de detectar.

    Independientemente, las organizaciones deben esperar un aumento en las campañas de phishing en 2021. Desafortunadamente, los piratas informáticos saben que la incertidumbre y la ansiedad que conlleva el trabajo remoto facilitan la explotación de las víctimas. La mayoría de los ataques de phishing se centrarán principalmente en la pandemia, la economía global y la política.

    En conclusion, en este año los ciberdelincuentes encontrarán formas innovadoras de infiltrarse en redes individuales, domésticas y empresariales. Con las tendencias de ciberseguridad que surgen constantemente, las organizaciones deben adoptar medidas de seguridad de TI proactivas para mantener sus datos seguros. Los empleados también deben operar dentro de la protección de los firewalls de las organizaciones para evitar tales amenazas.