GCCVIEWS

Etiqueta: penetration test

  • Ciberataque al sistema de salud irlandés, golpeado dos veces en una semana

    El Departamento de Salud de Irlanda reveló este domingo un ciberataque contra el sistema de salud, en medio del temor de que se pudieran filtrar datos confidenciales de pacientes en línea. El ciberataque afectó a la mayoría de los servicios de salud del país, incluidas las pruebas de coronavirus, los servicios de atención materna, la atención del cáncer, el seguimiento de COVID-19 y las derivaciones de rutina para atención secundaria. Un ministro del gobierno lo llamó «el delito cibernético más importante en el estado irlandés».

    El Departamento de Salud ha sido blanco de un ciberataque similar al de los últimos días contra el Ejecutivo de Servicios de Salud (HSE), lo que provocó el cierre de gran parte de su infraestructura de TI. Se sospecha que ambos ataques al HSE y al Departamento de Salud son del mismo grupo. El ataque tomó la forma de ransomware, que ocurre cuando los ciberdelincuentes utilizan una forma de malware para cifrar redes y luego exigen un pago a cambio de la clave de descifrado.

    En respuesta, el HSE apagó inmediatamente todos sus sistemas informáticos, una medida de precaución para proteger las redes de la organización de nuevos ciberataques. Esto ha afectado inevitablemente la prestación de servicios clave en todo el país. En su última actualización, el HSE dijo que los pacientes deben esperar que las citas de los servicios ambulatorios, rayos X y servicios de laboratorio, en particular, sigan estando gravemente afectados. Los pacientes también verán retrasos en la obtención de los resultados de la prueba COVID-19, y el rastreo de contactos, aunque sigue funcionando normalmente, llevará más tiempo de lo habitual.

    Las consecuencias del ciberataque de la semana pasada al HSE continúan con el director ejecutivo del Hospital Universitario de Limerick, Colette Cowan, diciendo que el personal está revisando físicamente los gráficos por todo el hospital para compensar la falta de sistemas de correo electrónico e intranet. Cowan declaró que los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. “Ahora hay una gran cantidad de personal corriendo entre los departamentos, llevando los resultados de sangre, eso es realmente limitante en lo que podemos hacer”, afirmó. «Los servicios que incluyen radiografías y resonancias magnéticas se han visto afectados. Incluso las cirugías se ven afectadas por el acceso limitado a la radiología. Tenemos que tener en cuenta todos estos riesgos y gestionarlos con cuidado».

    El HSE ha confirmado ahora  que los atacantes han solicitado un rescate, aunque la cantidad exacta aún no se ha aclarado. «Tras una evaluación inicial, sabemos que se trata de una variante del virus Conti que nuestros proveedores de seguridad no habían visto antes. Se ha solicitado un rescate y no se pagará de acuerdo con la política estatal», dijo el HSE.

    Conti opera sobre la base de ciberataques de «doble extorsión», lo que significa que los atacantes amenazan con revelar información robada a las víctimas si se niegan a pagar el rescate. La idea es impulsar la amenaza de la exposición de datos a más víctimas de chantaje para que satisfagan las demandas de los piratas informáticos. La organización ha estado trabajando con el Centro Nacional de Seguridad Cibernética (NCSC) y expertos en ciberseguridad de terceros como McAfee para investigar el incidente.

    El NCSC recomendó una estrategia de remediación que implica contener el ataque aislando los sistemas que fueron pirateados, antes de limpiar, reconstruir y actualizar todos los dispositivos infectados. El HSE debe asegurarse de que el antivirus esté actualizado en todos los sistemas, antes de utilizar copias de seguridad externas para restaurar los sistemas de forma segura.

    Hay 80,000 dispositivos HSE que deben revisarse antes de que puedan volver a estar en línea, dando prioridad a los sistemas clave de atención al paciente, incluidas las imágenes de diagnóstico, los sistemas de laboratorio y la oncología de radiación, y algunos sistemas que ya se han recuperado. Si bien está claro que los datos en algunos servidores se han cifrado, la organización admitió que se desconoce el alcance total del problema en este momento.

    El ciberataque sigue a ataques similares a los servicios de atención médica en otras partes de Europa, incluido el Reino Unido, Finlandia y Francia, y solo unos días después de que uno de los operadores de oleoductos más grandes de los EE. UU.  pagara cerca de $ 5 millones a un grupo de ransomware que tenía sistemas de claves cifrado, lo que obligó al gigante del combustible a cerrar temporalmente sus operaciones de TI y afectó enormemente al suministro del país.

    Los ataques cibernéticos a los sistemas de salud han aumentado significativamente desde que comenzó la pandemia el año pasado. Group-IB, una empresa de ciberseguridad, dijo que los ataques de ransomware crecieron un 150% en 2020.

    Pero los expertos en ciberseguridad dijeron que lo peor aún está por llegar para los servicios críticos de Europa. «Está empeorando y empeorando más rápido», dijo Mikko Hyppönen, director de investigación de F-Secure. Si bien no está claro qué vulnerabilidades específicas se explotaron en el caso de Irlanda, Hyppönen dijo que los sistemas de atención médica son particularmente vulnerables a tales ataques.

    «La causa principal de las mayores interrupciones de los sistemas médicos es el uso de sistemas heredados. En general, existe una falta de presupuesto para reemplazar las máquinas viejas por otras nuevas. Las viejas son demasiado lentas para ejecutar nuevos sistemas operativos, por lo que siguen funcionando versiones antiguas «, agregó.

    «El ciberataque al sistema de salud irlandés es otro indicio de cómo los operadores de ransomware están siempre en movimiento: mejorando, automatizando y volviéndose más efectivos para dirigirse a organizaciones cada vez más grandes», dice Paul Donegan, director nacional para Irlanda de la empresa de ciberseguridad Palo Alto Networks.

    En esta línea, la UE está tratando de imponer una reforma. La Comisión Europea propuso en diciembre una actualización de sus reglas de seguridad cibernética, conocida como la directiva de Seguridad de la Red y la Información, que requeriría que muchas industrias, incluida la atención médica, refuercen sus defensas cibernéticas o enfrenten multas millonarias. Pero el proyecto de ley está a meses, si no años, de ser finalizado, incluso cuando los propios ataques se vuelven cada vez más sofisticados y audaces.

    Hyppönen dijo que se necesitarán más ataques como el irlandés para que la gente responda a la amenaza. «La mayor diferencia surge cuando las empresas y organizaciones ven lo que sucede con sus propios ojos. Parece que necesitamos que ocurran desastres a nuestro alrededor para que las organizaciones hagan un cambio real», dijo.

    Si aún no la ha hecho, solicite su revisión de vulnerabilidad y riesgo cibernético a Goethals Consulting, probablemente le sorprenderá su nivel de indefensión.

  • Los agujeros de seguridad de Zoom podrían permitir a piratas informáticos controlar su PC

    Dos hackers éticos, Daan Keuper and Thijs Alkemade, empleados de la empresa de ciberseguridad Computest, han descubierto una vulnerabilidad de día cero (una brecha en la seguridad del software que puede estar en un navegador o aplicación) en la plataforma de videoconferencia Zoom que podrían utilizar los ciberdelincuentes para lanzar ataques de ejecución remota de código (RCE).

    La vulnerabilidad fue descubierta como parte de un concurso, Pwn2Own, organizado por Zero Day Initiative (ZDI) de la firma de ciberseguridad Trend Micro, y diseñado para profesionales de ciberseguridad de sombrero blanco que compiten en el descubrimiento de vulnerabilidades en software y servicios populares.

    Las empresas ofrecen voluntariamente su software y servicios para que los participantes pirateen, y ofrecen recompensas por hacerlo. Todos ganan en Pwn2Own: los piratas informáticos ganan dinero legalmente por sus habilidades y los desarrolladores pueden hacer que su software sea más seguro. En este caso, la recompensa fue la friolera de $ 200,000USD.

    De momento, no hay mucho de lo que los usuarios de Zoom tengan que preocuparse, aunque el equipo de desarrollo de la compañía tiene 90 días antes de que el exploit se haga público. Como Zoom aún no ha tenido tiempo de reparar el problema crítico de seguridad, los detalles técnicos específicos de la vulnerabilidad se mantienen en secreto.

    Lo que sí se sabe es que los investigadores de Computest demostraron una cadena de ataque de tres errores que causó una falla de ejecución remota de código (RCE) como una clase de fallas de seguridad de software que permiten a un actor malintencionado ejecutar el código de su elección en una máquina remota a través de una LAN, WAN o Internet.

    También sabemos que el método funciona en la versión de Windows y Mac del software Zoom, pero no afecta la versión del navegador. No está claro si las aplicaciones de iOS y Android son vulnerables, ya que Keuper y Alkemade no las investigaron.

    Sin embargo, lo más alarmante es el hecho de que pudieron tomar el control del sistema remoto ejecutando el cliente Zoom sin la participación de la víctima. La explotación no requería que la víctima hiciera clic en ningún enlace ni abriera ningún archivo adjunto, teniendo la pareja un control casi completo sobre la computadora remota.

    Los hackers demostraron varias acciones, como la alteración de la Cámara web y el micrófono, mirando el escritorio, leyendo correos electrónicos y descargando el historial del navegador de la víctima.

    La organización Pwn2Own ha tuiteado un gif que demuestra la vulnerabilidad en acción. Se puede ver al atacante abrir la calculadora en el sistema que ejecuta Zoom:

    “Nos tomamos la seguridad muy en serio y apreciamos enormemente la investigación de Computest. Estamos trabajando para mitigar este problema con respecto a Zoom Chat, nuestro producto de mensajería grupal», dijo un portavoz de Zoom en un comunicado.»El chat en sesión en Zoom Meetings y Zoom Video Webinars no se ve afectado por el problema. Como práctica recomendada, Zoom recomienda que los usuarios acepten solo solicitudes de contacto de personas que conocen y en las que confían.»

    Unos 23 equipos participaron en el concurso y también consiguieron infiltrarse en otros sistemas. Durante la competencia destacaron que Windows 10 y Chrome fueron vulnerados. Con respecto al sistema operativo de Microsoft, los competidores lograron fácilmente introducir un malware al sistema, con la posibilidad de controlarlo. Los errores por los cuales los hackers fueron reconocidos fueron: una cadena de dos errores en Microsoft Teams que condujo a la ejecución del código; y el segundo por una omisión de autenticación y escalada de privilegios para tomar el control de Microsoft Exchange. A su vez, la falla de Chrome consistió en hackear la seguridad del navegador de internet de Google. Se trata de un error tipo Type Mismatch, que, por ser descubierto, ha hecho ganar a los hackers $100.000USD.

    Este evento, y los procedimientos y protocolos que lo rodean, demuestran muy bien cómo funcionan los piratas informáticos de sombrero blanco y qué significa la divulgación responsable. La eliminación de estos errores y vulnerabilidades potenciales es crucial para lograr una ciberseguridad de confianza.

  • Tendencias y perspectivas en ciberseguridad para 2021

    2020 ha hecho de la ciberseguridad una de las prioridades de la mayoría de las organizaciones. Los tiempos difíciles que trajo la pandemia de COVID demostraron que ninguna empresa es inmune a los ataques cibernéticos. Incluso las empresas más grandes y aparentemente seguras sufrieron vulnerabilidades y fallos de seguridad al intentar adoptar varias soluciones de comunicación y colaboración para mantenerse conectadas durante los primeros meses de trabajo remoto. Dicho esto, las empresas que buscan navegar por el nuevo panorama laboral deben considerar las siguientes tendencias y predicciones importantes de ciberseguridad.

    • Los costos de las infracciones cibernéticas superarán a la economía mundial

    La pandemia derrumbó significativamente la economía. Según los análisis actuales, el crecimiento de la economía mundial se reducirá a un crecimiento de un solo dígito, y los países minimizarán las actividades para minimizar la propagación de la segunda ola del virus. Por otro lado, el trabajo remoto y las prácticas laborales inseguras aumentarán a medida que más organizaciones adopten el trabajo remoto.

    Con tal desequilibrio, se espera que el costo de una violación cibernética alcance los dos dígitos en todas las industrias. Esto sucederá a menos que las organizaciones y agencias gubernamentales implementen medidas para mitigar estos riesgos, como emplear personal de ciberseguridad.

    • Los grupos de video reemplazarán las videollamadas a gran escala

    En esta línea, la pandemia hizo que las organizaciones y las empresas adoptaran el uso de videollamadas, algunas de las cuales convergieron hasta cientos de participantes. Aunque las videollamadas mejoraron la comunicación y las colaboraciones, la convergencia de muchos participantes no fue tan buena idea, ya que abrió posibles vulnerabilidades de infiltración. Los malos actores podrían acceder fácilmente a reuniones importantes e interrumpirlas.

    Dicho esto, las organizaciones deberían pasar de las videollamadas a gran escala a las salas separadas y los grupos de video para mejorar la productividad. Los empleados deben enfocarse en videollamadas privadas pero altamente enfocadas, centradas en mejorar la eficiencia en una organización, lograr objetivos específicos y mejores interacciones.

    • Aumento de las amenazas internas

    El aumento de las necesidades de personal y la dependencia de modelos de trabajo remoto presentan oportunidades para los ciberdelincuentes que buscan explotar a las empresas desde adentro. Como su nombre indica, las amenazas internas son violaciones de datos vinculadas que se originan en los empleados de una empresa. Si bien el 25% de las filtraciones de datos del año pasado estuvieron relacionadas con amenazas internas, los expertos en TI predicen que esta cifra puede aumentar al 33% en 2021.

    Según algunas empresas de software, se espera un crecimiento de los modelos de ciberataques «internos como servicio». Estos son infiltrados organizados que actúan como agentes encubiertos. Estas personas pasan por el proceso de entrevista y contratación de una organización, superando todos los obstáculos de recursos humanos y seguridad para convertirse en empleados de confianza.

    • Nueva arquitectura para una colaboración segura

    La mayoría de las organizaciones han avanzado hacia la adopción de modelos de trabajo remoto permanente. Por lo tanto, las empresas de tecnología deben desarrollar una arquitectura segura para adaptarse a este modelo de trabajo en rápido crecimiento.

    Si bien algunos proveedores de tecnología ya han incorporado el cifrado de extremo a extremo como reacción instintiva primaria durante los primeros días del trabajo remoto, otras empresas deberían integrar dicha arquitectura en todas las herramientas de comunicación y colaboración para promover la seguridad y la privacidad de los datos.

    • Las contraseñas estarán en segundo plano

    Las tecnologías avanzadas han minimizado el uso de contraseñas. Si bien esto no significa que las contraseñas estén desapareciendo, se están convirtiendo en una técnica de autenticación en segundo plano. Las contraseñas iniciales se han reemplazado con PIN, autenticación de dos factores, biometría y análisis de comportamiento.

    Aunque el uso de contraseñas continuará, se ocultarán a los usuarios con autenticación detrás de escena. Con esto, los empleados no tendrán que elegir contraseñas largas y complejas. En cambio, los administradores de contraseñas y los equipos de seguridad manejarán los inicios de sesión de los empleados de forma segura. La adopción de esta estrategia elimina una de las causas comunes de los ataques cibernéticos: la piratería de contraseñas.

    • La automatización aumentará los ataques de phishing

    Los ataques de phishing implican el uso de correos electrónicos maliciosos altamente dirigidos con información específica y precisa sobre un individuo o un rol específico en una empresa. Tradicionalmente, los ataques de phishing eran una gran inversión que consumía mucho tiempo para los ciberdelincuentes, ya que tenían que enviar los correos electrónicos manualmente.

    Los ciberdelincuentes han creado herramientas que automatizan el spear phishing. La integración de estas herramientas con los datos de los sitios web de la empresa y las plataformas de redes sociales permite a los piratas enviar cientos o miles de correos electrónicos de phishing con datos detallados personalizados para cada víctima, lo que aumenta significativamente las tasas de éxito. Afortunadamente, a diferencia de los correos electrónicos de phishing generados manualmente, las campañas automatizadas son menos sofisticadas y fáciles de detectar.

    Independientemente, las organizaciones deben esperar un aumento en las campañas de phishing en 2021. Desafortunadamente, los piratas informáticos saben que la incertidumbre y la ansiedad que conlleva el trabajo remoto facilitan la explotación de las víctimas. La mayoría de los ataques de phishing se centrarán principalmente en la pandemia, la economía global y la política.

    En conclusion, en este año los ciberdelincuentes encontrarán formas innovadoras de infiltrarse en redes individuales, domésticas y empresariales. Con las tendencias de ciberseguridad que surgen constantemente, las organizaciones deben adoptar medidas de seguridad de TI proactivas para mantener sus datos seguros. Los empleados también deben operar dentro de la protección de los firewalls de las organizaciones para evitar tales amenazas.