• +(34) 91 737 75 48
  • info@ithealth.es

Sin categoría

El falso técnico de Microsoft, al acecho

Se ha detectado en el último año un aumento de damnificados por un nuevo tipo de estafa: un falso técnico de Microsoft se pone en contacto informando de un problema o la infección de un virus, aunque en realidad se persigue defraudar a la víctima.

¿Cómo funciona este tipo de timo? Los Mossos d’Esquadra han elaborado un completo material para advertir a la ciudadanía sobre esta práctica.

Para empezar se recibe una llamada o un mensaje, de texto o por correo electrónico, de alguien que simula ser del servicio de soporte técnico de Microsoft o de una empresa de seguridad informática, e intentan engañar y hacer creer al usuario que solucionarán su problema si sigue las indicaciones.

Ello puede ir acompañado de un aviso del sistema en el navegador web u otra ventana emergente. El defraudador proporciona un número de teléfono para contactar con el falso servicio técnico de Microsoft, que le solucionará el problema; si es posible, intentarán conseguir su teléfono para contactar directamente. También le pueden indicar que visite una página web en concreto, le hacen introducir datos, un código que le proporcionan o le piden que descargue algún archivo o programa.

De este modo puede darse el caso de que consigan acceder en remoto a su PC y entonces instalan un programa espía (spyware) o cualquier otro tipo de software malicioso. También le pueden pedir un pago para el soporte técnico y que facilite sus datos bancarios o la tarjeta de crédito.

El objetivo final, como en otras prácticas asociadas del estilo phishing, es conseguir mediante la estafa dinero de las víctimas, o en su caso acceso a la información que hay almacena el ordenador, tales como documentos, fotografías, o las contraseñas almacenadas.

La policía catalana resume como claves para darse cuenta de que se está a punto de caer en las redes de los cacos digitales varios indicadores; entre ellos que se solicite una acción urgente, o se exija dinero para resolver el problema. Además, Microsoft precisa que sus mensajes de error y aviso jamás incluyen números de teléfono.

Si quieres saber más acerca de este tipo de prácticas fraudulentas, el Instituto Nacional de Ciberseguridad (INCIBE) aporta materiales útiles e interesantes para prevenir a los usuarios.

Fuente: Ultima Hora Mallorca

Tecnología 5G y riesgos de ciberseguridad

El progresivo e irreversible despliegue de la tecnología 5G nos acercará a Internet de una forma nunca conocida hasta ahora. Pero, como toda nueva tecnología, debemos estar atentos a los nuevos riesgos que conllevará. Empieza a familiarizarte con esta tecnología sin olvidar la ciberseguridad.

La decidida apuesta de España por posicionarse como uno de los países líderes en el despliegue de redes de comunicación de quinta generación (5G) supondrá una revolución en nuestra manera de acercarnos a Internet a través de nuestros dispositivos conectados (smartphoneswearables, IOT, etc.), ofreciéndonos nuevas experiencias de interacción con Internet y sus servicios. Esta hiperconectividad afectará a miles de millones de dispositivos y sistemas en el mundo, entre los que se encuentran sectores estratégicos como la energía, el transporte, la banca, la educación y la sanidad.

En definitiva, el 5G no implicará solo una nueva generación de redes comunicaciones, sino que se puede convertir en el catalizador definitivo de la transformación digital de la sociedad y la industria.

Ventajas del 5G

Toda la industria de las telecomunicaciones del 5G trabaja ya para conjugar estos factores en mejores contenidos, aplicaciones, soluciones y experiencias centradas no solo en el usuario, sino en las ciudades y la sociedad en general. Para hacernos una idea de la dimensión tecnológica de este cambio, el 5G conllevará, entre otras cosas:

  • Un aumento de la velocidad de transmisión de hasta 100 veces mayor con respecto a su predecesor, el 4G.
  • Una menor latencia, lo que implica un menor retraso en recibir respuestas desde otros sistemas, permitiendo aplicaciones más interactivas en tiempo real.
  • Mucha mayor flexibilidad, lo que significa que podrá gestionar mejor los dispositivos conectados al mismo tiempo.
  • Bajo consumo de esta tecnología, que permitirá su utilización en dispositivos pequeños y aislados.

Si quieres saber más sobre las ventajas que aportará el 5G y el impacto a nivel de ciberseguridad que tendrá, puedes llamar al teléfono gratuito y confidencial 017, la línea de ayuda en ciberseguridad de INCIBE.

Potenciales retos para la ciberseguridad

Hasta que se expanda de manera definitiva esta tecnología, quedan algunos retos para ir resolviendo, entre los que la ciberseguridad se presenta como uno de los más interesantes. En este sentido, la Comisión Europea publicó ya en 2019 un estudio de evaluación sobre los potenciales riesgos derivados de la implantación del 5G donde advierte acerca de un aumento de los riesgos de ciberseguridad para los usuarios.

Imagen 5g móvil grande

En concreto, la Comisión Europea prevé que el despliegue de las redes 5G aumente la exposición a ciberataques, ya que con unas redes 5G cada vez más basadas en programas informáticos, aparecerán más fallos de seguridad en los sistemas que podrán ser explotados. Por ejemplo, los derivados de un desarrollo deficiente del software usado por los proveedores para gestionar las comunicaciones de sus usuarios.

Por otro lado, la gran dependencia respecto a un conjunto muy limitado de operadores aumenta la exposición a una posible interrupción del suministro. Además, en el caso de empresas de fuera de la UE que operen en territorio comunitario, aumenta el riesgo o recelo sobre posibles vulnerabilidades que permitan espiar las comunicaciones de los usuarios.

Está claro que las mejoras en la tecnología no solo abrirán la puerta a fines legítimos, sino que también permitirá a los ciberdelincuentes construir ciberarmas más potentes con el objetivo de beneficiarse de la permeabilidad del nuevo 5G en nuestra sociedad. Por eso los grandes retos en ciberseguridad del 5G demandan revisar el marco actual de políticas aplicable al sector de las telecomunicaciones y a su ecosistema, lo que exige de todos los actores implicados, especialmente fabricantes y países, una respuesta a la altura de las circunstancias.

El rol del usuario

La posición del usuario final, aunque pudiera resultar irrelevante en el gran juego de cifras que se maneja, o en la toma de decisiones de grandes compañías o países, es en cambio vital en el despliegue práctico del 5G en la sociedad.

Un usuario ciberconcienciado que como consumidor se convierta en un cliente exigente con la seguridad de los productos que adquiera y servicios que consuma, es fundamental para elevar la seguridad del 5G al nivel que le corresponde.

Además, seguir buenas prácticas para asegurarse de disponer de la última actualización de los dispositivos, modificar siempre las contraseñas que vengan por defecto y conocer las últimas tendencias de los ciberdelincuentes en materia de ingeniería social para reconocerlas y evitarlas, nos ayudará como usuarios a minimizar los riesgos de ciberseguridad.

Las redes 5G constituirán la futura piedra angular de nuestra sociedad digital. Por lo tanto, es esencial garantizar su seguridad. Tanto las autoridades como las empresas están trabajando para impulsar la implementación del 5G sin perder de vista los riesgos. Sin embargo, la primera defensa, como en muchos otros casos, será el usuario y su capacidad para percibir los riesgos y amenazas a las que se expone. Como siempre ¡estar informados es nuestra mejor defensa!

¿Tienes más dudas sobre la seguridad de la futura red 5G? ¿Crees estar preparado para el gran salto? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Fuente: Oficina de Ciberseguridad Internauta.

Dropper, la amenaza silenciosa

Dropper es un tipo de malware que amenaza la seguridad de los equipos de tu negocio, ¿pero has oído hablar de él? Desde Protege tu Empresa os queremos explicar qué es un dropper, su funcionamiento y las pautas necesarias para evitar ser víctimas de este tipo de malware.

¿Qué es?

Un dropper es un tipo de malware que se caracteriza por contener un archivo ejecutable, como puede ser un .exe, .msi, .docm, etc. En ocasiones, únicamente está compuesto por un código inofensivo a simple vista que se activará cuando reciba la orden para descargar el malware que se encargará de infectar la máquina.

El principal propósito de los droppers es instalar otro malware en el equipo aprovechándose de las vulnerabilidades que pueda tener ese equipo, como por ejemplo, que se encuentre desactualizado o que use software que no ha sido parcheado. Los dropper también pueden llegar a realizar modificaciones en la configuración del equipo necesarias para instalar el malware que pasan desapercibidas para el software de protección.

Los dropper suelen ocultarse bajo un archivo comprimido aparentando ser un archivo inofensivo, como una imagen o un documento pdf. También puede suceder que se descargue en la máquina al visitar una página web infectada previamente, inyectando código malicioso.

Una vez se ejecuta el dropper en el equipo de la víctima, este se realizará en segundo plano y sin que el usuario se dé cuenta de todas las acciones maliciosas para las que esté diseñado. Una vez ha finalizado, se desinstala automáticamente eliminando cualquier rastro que haya podido dejar durante su ejecución en el equipo infectado.

Fuentes de infección

Los malware de tipo dropper se aprovechan de una serie de vulnerabilidades presentes en los equipos, así como de los despistes cometidos por los usuarios para infectar el equipo de la víctima. Entre estas fuentes destacan las siguientes:

  • Cuando la víctima visita una página web infectada por los ciberdelincuentes con contenido malicioso embebido o clica sobre un supuesto vídeo que, en realidad, descarga el malware en el equipo.
  • Al clicar en un enlace que simula ser legítimo, y que redirige al usuario afectado hacia contenido malicioso.
  • A clicar sobre una notificación o mensaje de advertencia falso que aparece en el sistema, y que en realidad sirve para descargar el dropper en el equipo.
  • Al abrir adjuntos de correos maliciosos que pueden contener malware de este tipo.
  • Al usar memorias USB u otro tipo de dispositivos que el empleado haya encontrado abandonados o que se encuentren infectados con malware.
  • Al descargar software desde mercados de aplicaciones no oficiales, es decir, que no han pasado los test de seguridad de las empresas responsables de dichos mercados, como Play Protect de Google o desde páginas web no oficiales.

Tipos

Hay una premisa principal respecto a los dropper y es que no hay dos que se comporten igual. Ahí radica la dificultad principal para detectarlos.

Puede ser de dos tipos:

  • Persistentes: se caracteriza por realizar modificaciones en el registro del equipo infectado. Hasta que no se detectan y eliminan las modificaciones provocadas en el registro, el malware se seguirá autodescargando en el equipo.
  • No persistentes: se caracterizan por ser la clase más numerosa de este tipo de malware. Aunque menos dañina que la anterior, se caracteriza por su autoeliminación cuando ha realizado su cometido.

Buenas prácticas para combatirlos

Para poder evitar esta amenaza para la seguridad del equipo y mitigar sus posibles riesgos, hay que mantener una serie de buenas prácticas que te ayudarán a evitar ser víctima de este malware:

  • Mantener actualizado, tanto el software instalado, como el sistema operativo a la última versión disponible.
  • Establecer listas negras de acceso a Internet para evitar que los empleados visiten páginas web de dudosa fiabilidad.
  • No abrir archivos adjuntos de remitentes desconocidos sin haberlos escaneado previamente con un antivirus.
  • Disponer de software de protección (antivirus, cortafuegos o herramientas antiphishing) en los dispositivos.
  • Realizar copias de seguridad de forma periódica.
  • Seguir una política de buenas prácticas, como pueden ser actualizaciones automáticas de software, registro de actividades, configuración proactiva del software de protección (configuración del cortafuegos, realización de escaneos automáticos, etc.), entre otros.
  • Realizar labores de formación y concienciación entre los empleados para evitar que pongan en riesgo la ciberseguridad de la empresa.

Fuente: INCIBE

Historias reales: DNS hijacking o cómo roban tu información sin que te des cuenta

Pedro es el gerente de una asesoría desde la que realiza las gestiones de sus clientes de manera telemática, una tarde mientras trabajaba, accedió a Internet para descargarse una aplicación necesaria para continuar con sus tareas, la instaló y continuó trabajando.

Al día siguiente, accedió a la banca online para comprobar el estado de sus cuentas, pero tras introducir su usuario, contraseña y el código necesario de autenticación, la página mostró un error que decía: ‘temporalmente no disponible’. Pedro pensó que debía tratarse de un error puntual y continuo trabajando. Esa misma tarde, intentó volver a acceder de nuevo a la banca online, pero el error continuaba apareciendo.

Al día siguiente, Pedro llamó a su banco para preguntar qué estaba ocurriendo con el acceso a su banca online, tras realizar las oportunas comprobaciones, su banco le confirmó que no existía, ni había existido ningún problema en las últimas horas y le aconsejó cambiar la contraseña de acceso a su servicio online.

No habían transcurrido ni 48 horas, cuando Pedro comenzó a recibir cargos bancarios y órdenes de transferencia internacionales que él no había realizado. Tras contactar nuevamente con su entidad bancaria, le confirmaron que posiblemente estaba siendo víctima de algún robo de credenciales.

En realidad, el protagonista de nuestro caso real, había sido víctima de un DNS hijacking (del inglés, secuestro de DNS o Domain Name System), una modalidad de ataque que trata de redirigir las consultas a Internet desde un dispositivo (ordenador, móvil, tableta, etc.) a un servidor fraudulento o que suplanta la identidad de otro.

Pero, ¿cómo ha sido posible?, se preguntaba Pedro

Pedro, sin darse cuenta, había descargado la herramienta necesaria para su trabajo, desde una página no oficial del fabricante, la cual contenía malware. Los ataques DNS hijacking, suelen ser empleados para robar credenciales, además de cualquier otra clase de información personal, existen 3 modalidades diferentes dependiendo del nivel de acceso a la red o privilegios que el atacante pueda obtener.

  • Secuestro local.
  • Secuestro del router.
  • Secuestro del servidor de nombres de dominio en Internet.

Clasificados de menor a mayor gravedad y de mayor a menor facilidad, según los privilegios conseguidos, podríamos decir que los dos primeros son responsabilidad del usuario y los más fáciles de realizar, mientras que el último depende de la seguridad de terceros y es complicado poder llevarlo a cabo.

Modalidades del ataque y causas

Si el ataque es local, quiere decir que solo afectará al dispositivo u ordenador cuya configuración de resolución de direcciones haya sido modificada, generalmente suele ocurrir a causa de infecciones de malware, troyanos y similares.

Recordemos que Pedro se descargó una aplicación desde una página no oficial, la cual podría contener el malware que produjo la modificación de sus equipos pudiendo haber afectado a su ordenador y a su rúter.

Si el ataque ha sido contra el rúter, todos los equipos de esa red que gestione el mismo estarán afectados. Generalmente el atacante hace que las peticiones que recibe el rúter hacia Internet, sean desviadas hacia un servidor controlado por el ciberdelincuente en el cual podrá redirigir el tráfico a páginas fraudulentas o especialmente diseñadas para obtener información personal del usuario.

Por lo general este tipo de ataques están relacionados con contraseñas establecidas por defecto en los rúters, y redes wifi sin seguridad (mayor comodidad implica menor seguridad) o con bajos niveles de seguridad (al menos WPA2-AES), siendo muy recomendable prestar especial atención a estos dispositivos que en realidad serian la ‘puerta de entrada’ a nuestra empresa.

Sin embargo, si el ataque ha sido contra el servidor de nombres de dominio que atiende peticiones en Internet a nivel global, ataque ‘Rogue Hijack’ (del inglés: secuestro deshonesto), los equipos locales no estarán directamente afectados pero podrían ser redirigidos a páginas fraudulentas como si fueran legítimas (phishing), o a páginas con alto contenido publicitario (pharming). Este tipo de ataques se centra en solicitudes más concretas y mejor elaboradas que generalmente no suelen suceder, ya que la seguridad de estos servidores es extremadamente alta y las penas legales son de gran importancia, disuadiendo a la mayoría de atacantes, aun así, siempre debemos estar atentos al comportamiento de nuestro navegador e implementar medidas adicionales con herramientas de terceros como veremos más adelante.

Cómo protegernos

Empezando de menos nivel de implicación de usuarios afectados a más, podríamos considerar las siguientes medidas de protección:

  • Instalar aplicaciones como antivirus, antimalware y antiphishing y mantenerlas actualizadas.
  • Tener el control de nuestro propio rúter o poner el rúter de nuestro proveedor en modo bridge (del inglés: puente) y utilizar nuestras propias DNS, podría evitar que el proveedor de Internet (ISP) nos haga DNS hijacking para redirigirnos a páginas con publicidad cuando la web solicitada no se encuentre o dé un error, sin olvidarnos de revisar de forma periódica que las DNS que está utilizando nuestro rúter no han sido modificadas
  • Actualizar el firmware o sistema operativo del rúter, evitando así posibles vulnerabilidades que pudieran ser explotadas por un atacante.
  • Cambiar los datos de acceso por defecto al rúter por otros personalizados, manteniendo una política de contraseñas seguras y robustas.
  • Utilizar servidores DNS (de nombres de dominio) seguros, es decir, sobre HTTPS o sobre TLS, los cuales mandan las peticiones cifradas, siendo más difícil suplantar la identidad.
  • Descargar aplicaciones solo desde las páginas oficiales, las cuales suelen contar con un certificado de seguridad HTTPS.
  • No hacer clic en enlaces extraños, ni acceder a páginas de dudosa reputación, así como tampoco abrir correos con publicidad ‘gancho’ o de remitentes desconocidos.

¿Puedo saber si estoy siendo víctima de este ataque?

Existen diversas formas con mayor o menor nivel de complejidad para saber si hemos sido atacados, a ‘grosso modo’ las dos más importantes serian:

  • Comprobar el archivo hosts de nuestro equipo y ver las entradas que contiene (si contiene alguna) y si la IP y el nombre del dominio guardan relación y son coherentes.
    • En Windows podemos encontrar el archivo hosts en: C:\Windows\System32\drivers\etc\hosts
    • En Mac se encuentra en: /private/etc/hosts
    • En Linux está en la ruta: /etc/hosts
    • *En Mac y Linux puede ser necesario asignar permisos desde la consola para poder editarlo con el comando: sudo nano + ruta
  • Comprobar en el rúter los ajustes DNS. Para ello accederemos a nuestro rúter y buscaremos generalmente el bajo el apartado WAN, donde podremos comprobar si las direcciones IP que figuran son las que nos ha proporcionado nuestro proveedor o las que hemos puesto nosotros, si no coinciden, podemos cambiarlas, sin olvidar también cambiar la contraseña del rúter para evitar que el mismo atacante las cambie de nuevo.

También existen en la red servicios de verificación de los nombres de dominio, que aunque no son siempre fiables, y en ocasiones sus resultados no son concluyentes, pueden ser de ayuda en algunos casos.

Aunque la mejor protección siempre es la experiencia y el sentido común, aplicar estas medidas, ayudaran a mantenerse alejado del perfil de usuario fácil de atacar, manteniendo los datos de nuestra empresa y clientes, ciberseguros.

Fuente: INCIBE

HTTPS y certificados digitales, ¿me debo fiar de todos?

El robo, la pérdida o la manipulación fraudulenta de la información son, a día de hoy, algunos de los riesgos de ciberseguridad que nos afectan como usuarios de Internet. Por ello, la digitalización y la ciberseguridad deben ir de la mano para todas aquellas organizaciones que desean ofrecernos sus servicios a través del ciberespacio.

Los certificados digitales son la base que ayuda a crear la confianza que los usuarios necesitan. Son ficheros electrónicos generados para las organizaciones por un prestador oficial de servicios de certificación que están autorizados para emitirlos. Por ejemplo, si tenemos una web y queremos que los usuarios tengan la tranquilidad y confianza que los datos que compartan a través de ella van a estar debidamente protegidos mediante un cifrado, podemos contratar a una empresa que se encargará de certificarlo y, si efectivamente la web cumple con los requisitos, le permitirán utilizar ese “sello de confianza” en forma de certificado digital.

En el contexto de la navegación web los certificados digitales son la base de los protocolo SSL y HTTPS. Pero ¿qué significan exactamente estas siglas y cómo afecta a la seguridad en una página web?

SSL/TLS y HTTPS

SSL (Secure Sockets Layer), traducido al español significa Capa de Conexiones Seguras, es un protocolo de cifrado que usa certificados digitales para establecer comunicaciones seguras a través de Internet y proteger la información que transita entre el servidor web y nuestro navegador. Ha sido remplazado por TLS (Transport Layer Security), un protocolo más seguro que está basado en SSL, lo cual los hace totalmente compatibles. Por eso, es muy normal referirse a este conjunto de protocolos directamente como SSL/TLS. El certificado que usa SSL/TLS garantiza que la comunicación no se podrá leer ni manipular y que la información personal no caerá en las manos equivocadas.

Para navegar en las páginas que tienen instalado en su dominio un certificado SSL/TLS, se utiliza el protocolo web HTTPS. Simplemente es una combinación del protocolo HTTP (usado tradicionalmente en cada consulta web) con el protocolo SSL/TLS usado para establecer comunicaciones cifradas en sitios web.

¿Cómo funcionan las conexiones seguras?

Imagen Certificado

Supongamos que intentas acceder al sitio de la OSI https://www.osi.es. Inmediatamente, aparecerá la página en pantalla y en alguna parte de tu navegador observarás un “candado”. Si no viste ningún mensaje de advertencia, generalmente en tonos rojos, es que el protocolo SSL/TLS funcionó correctamente y se estableció una relación de confianza entre el servidor web y tu navegador.

En este proceso, el navegador ha accedido al certificado del sitio web de la OSI, y ha realizado estas comprobaciones:

  • Integridad del certificado: verifica que el certificado es correcto, esto lo hace descifrando la firma digital incluida y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.
  • Vigencia del certificado: revisa el periodo de validez del certificado, es decir,  la fecha de emisión y la fecha de expiración incluidos en él.
  • Confianza en el emisor del certificado: usa la lista de Entidades Certificadoras de confianza almacenadas en tu dispositivo. Con base a esta lista, el navegador revisa que la autoridad emisora del certificado de una web sea de confianza. De no serlo, el navegador mostrará una advertencia indicando que el certificado fue emitido por una entidad en la cual no confía. Puedes acceder a esta lista desde las opciones avanzadas de tu navegador web (Mozilla, Chrome, Safari, Edge).

Los riesgos de la navegación insegura

Ahora que hemos visto cómo funciona la navegación segura basada en SSL/TLS y HTTPS, analizaremos los riesgos más importantes que podemos encontrarnos al visitar determinados sitios de Internet, y aprenderemos cómo reconocerlos:

  • Páginas sin certificado SSL/TLS: por defecto, son páginas en las que habría que desconfiar porque no protegen la navegación del usuario con HTTPS.

    Es común en las webs de venta online fraudulenta, cuyo único objetivo es captar la atención del usuario con precios muy bajos y promociones para terminar robando los datos bancarios y personales de los usuarios, dejando de lado los aspectos.

  • Páginas con certificado SSL/TLS expirado: un certificado SSL/TLS inválido genera un mensaje de advertencia en la ventana del navegador. No quiere decir directamente que la navegación sea insegura, pero con esto, el objetivo de transmitir confianza y seguridad al usuario se pierde completamente.

    Unido al riesgo del caso anterior, una web sin certificado SSL es más vulnerable a ataques informáticos. Al no estar la información encriptada, el cifrado de la web no es seguro y un atacante puede beneficiarse de esta brecha de seguridad.

  • Páginas con certificado SSL/TLS sin emisor de confianza: frente a la necesidad de adquirir un certificado SSL/TLS, a menudo algunas organizaciones eligen una alternativa gratuita: los certificados autofirmados, que son certificados firmados por la propia organización, en los que no se ha recurrido a emisores de certificados de confianza. Estos certificados muestran una notificación en el navegador de que el sitio no está protegido y, por consiguiente, no es seguro visitarlo sin realizar previamente las comprobaciones básicas, ya que son muy utilizados para fraudes online.

    El riesgo de que el certificado no sea validado por un tercero de confianza añade riesgo a la navegación, ya que puede tratarse de una web fraudulenta que busca ganarse la confianza de los usuarios más despistados que, con ver el icono del candado, se confíen y caigan en la trampa.

  • Páginas cuyo certificado SSL/TLS es correcto, pero no aparece en todas las páginas de un dominio: suele darse en sitios web que solo tienen instalado el certificado en secciones determinadas, por ejemplo la de inicio de sesión o en la pasarela de pago.

    El principal riesgo de estas webs es que fuera de las secciones que sí constan con certificado digital, los datos del usuario viajarán de forma insegura por Internet, al no cifrarse, y por tanto, un atacante podría monitorizar la actividad que circule en esas partes de la web y hacerse con la información.

  • Páginas con certificado SSL/TLS que usan algoritmos de cifrado vulnerables: este quizás sea el riesgo más difícil de percibir por el usuario. Aunque se puede identificar manualmente observando las propiedades de cifrado del algoritmo asociado al certificado, es una acción para usuarios avanzados. En la mayoría de los casos, los navegadores rechazarán la conexión si no satisface sus requerimientos mínimos de seguridad. Por eso es importante mantener actualizados los navegadores de Internet.

    A fecha de marzo 2020, los algoritmos SSL1, SSL2, SSL3, TLS1.0 y TLS1.1 son considerados vulnerables. Es decir, los mecanismos de cifrado que emplean estos algoritmos no protegen nuestros datos y, aunque la web cuente con un certificado digital, los mecanismos de protección de nuestra información son vulnerables al ataque de un ciberdelincuente

Desde INCIBE queremos recordar que no todos los sitios web usan certificados SSL/TLS de manera adecuada, por eso debemos ser cuidadosos y seguir los siguientes pasos:

  • Revisar que la URL comienza por HTTPS siempre que se vaya a intercambiar algún tipo de dato con la web, como datos bancarios o personales.
  • Hacer clic sobre el icono del candado de la web para asegurarnos que la URL corresponde con la empresa que afirma ser y que no se trata de una suplantación (spoofing).
  • Si tenemos dudas, podemos hacer una rápida búsqueda en Internet sobre la página y asegurarnos de que no se trata de una web fraudulenta.

Recuerda que tienes a tu disposición el teléfono gratuito y confidencial: 017 para cualquier duda o consulta relacionada con ciberseguridad. ¡Llámanos!

¿Tienes más dudas sobre la navegación segura con SSL/TLS y HTTPS? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Fuente: Oficina de Seguridad Informática.

Los secretos industriales en el punto de mira de los ciberataques

El sector industrial, que cuenta en Europa con más de 2.000 compañías especializadas en fabricación y da trabajo a más de 30 millones de persona de forma directa, es especialmente prolífico en cuanto a generación de patentes e I+D, y esto hace que exista un gran volumen de secretos industriales susceptibles de ser robados.

Para poder reducir e, incluso, atajar este problema, lo primero que debemos saber es cómo se produce la fuga de información crítica en las organizaciones. Según Forrester en su Global Business Technographics Security Survey, que analiza las formas más habituales de fuga de información de los últimos 12 meses, el 28% de dichas fugas ocurre mediante ataques externos dirigidos a las corporaciones, y el 19% surge por incidentes internos en un partner o proveedor externo que trabaja con la compañía. Por tanto, si nos fijamos en cómo se dan las fugas de datos en las empresas, vemos que una buena parte viene originada a través de terceros provocando que nuestra información pueda quedar desprotegida, a pesar de que dentro de nuestra organización hayamos puesto medidas para securizar nuestro entorno de trabajo.

Según el “Data Breach Investigations Report” publicado por Verizon, en el sector de fabricación/industria el principal actor detrás de una fuga de información es, en un 93% de los casos, un atacante que viene del exterior con la intención de sustraer datos, o bien un proveedor, un partner o un tercero (que mantiene relaciones comerciales con la empresa atacada) motivado por razones de espionaje en un 94% de los casos. De hecho, el tipo de datos más comúnmente robado en este sector –llegando a suponer el 91% de los datos sustraídos– son los asociados a la Propiedad Intelectual y los secretos industriales.

Pensemos que se trata de un sector complejo donde las empresas colaboran con una amplia variedad de proveedores y clientes, y la propiedad intelectual tiene que viajar fuera de la empresa. Podemos tener visibilidad sobre lo que sucede con los datos dentro de la organización, pero esto es mucho más complicado cuando se necesita trazar los accesos a nuestra información o protegerla a lo largo de toda la cadena de suministro.

Las fugas en el ámbito del propiedad intelectual están más de actualidad que nunca con acusaciones entre diferentes países de robos de propiedad intelectual. Según se indica en este artículo de Forbes, para el gobierno de los Estados Unidos, el robo de propiedad intelectual estadounidense cuesta entre 225 y 600 millones de dólares anuales, y parte de esto se deriva de ciberataques. Hemos visto también como en las últimas semanas se ha generado una enorme polémica a nivel global por el posible intento de robo de propiedad intelectual derivada de las investigaciones de las vacunas para el Covid-19, donde directamente USA, UK y Canadá apuntan a hackers rusos.

Proteger la propiedad intelectual contenida en formato digital, incluyendo ficheros CAD

Los avances en los procesos de fabricación y redes industriales están suponiendo una gran transformación del sector industrial, hasta el punto de que ha surgido el concepto de Industria 4.0. La base de la nueva Industria Inteligente implica una profunda automatización de las fábricas, digitalización de los procesos de producción y nuevos canales de comunicación. Esto incrementa la posibilidad de ataques dirigidos a la información crítica de las empresas, dado que antes los datos circulaban sólo dentro del “perímetro” de seguridad de la red, y ahora tienen que ser compartidos con diferentes sistemas y actores externos.

En este contexto, resulta crítico poder proteger la propiedad intelectual contenida en formato digital tanto dentro como fuera de la organización. La información sensible se encuentra en diferentes formatos, desde documentación en formato Word, Excel o PDF, imágenes y por supuesto, diseños de CAD. Una buena parte de la propiedad intelectual se encuentra en diseños de CAD 2D y 3D que es necesario compartir tanto internamente como con colaboradores externos. Es crítico mantener esta información protegida para evitar riesgos de fuga por amenazas internas o externas.

¿Qué tipo de información del ámbito industrial está en riesgo?

En empresas de fabricación, energía, automoción o ingeniería, por ejemplo, los datos gestionados que deben ser protegidos son de muchas clases: desde documentación de soporte con detalles de piezas, componentes que deben ser intercambiados con clientes, proveedores o partners de fabricación; pasando por resultados de investigaciones susceptibles de ser patentadas, que almacenamos en todo tipo de formatos digitales (o diseños de CAD; hasta datos de precios que tienen que intercambiarse con distribuidores en diferentes mercados, propuestas que se hacen a clientes donde se compite con otras empresas y que contienen información sensible; guías de calidad internas relacionadas con procesos de producción de la compañía y donde se recoge el know-how a nivel de procesos; o cumplimiento de auditorías y políticas de protección de sus clientes.

¿Qué podemos hacer para proteger nuestros diseños CAD y datos más sensibles?

SealPath, empresa especializada en la protección y control de información sensible, va más allá de la protección de información en formatos ofimáticos y acaba de lanzar una serie de actualizaciones en sus soluciones de protección de diseños de CAD, permitiendo a sus clientes securizar:

  • Diseños CAD en formato .DWG, .DWF, DWS, .DWF, o .DWT, gestionados en AutoDesk AutoCAD (Electrical Mechanical, Civil, LT, etc.) o en aplicaciones como TrueView.
  • Diseños 3D de AutoDesk Inventor en formato .IPT, .IAM, .IDW, .DWG o .IPN de forma que puedas limitar los permisos sobre el contenido (Ej. ver y modificar pero no extraer datos).
  • Propiedad Intelectual contenida en Siemens Solid Edge en formatos .ASM, .DFT, .PAR, .PSM o .PWD controlando si alguien puede imprimirla, exportarla modificarla auditando todos los accesos.

Fuente: Computing

Ataques ‘Watering hole’: en qué consisten y cómo protegerse

Los ataques ‘Watering hole’ o ataques de abrevadero, llamados así por la similitud de un depredador acechando a la presa en un abrevadero, son una de las técnicas más sofisticadas empleadas por los ciberatacantes. Su complejidad es directamente proporcional a su alta tasa de éxito y eficiencia, siendo uno de los ataques más difíciles de detectar y detener que acechan actualmente a las compañías.

¿En qué consiste?

Este tipo de ataques están enfocados a compañías, con altos niveles de seguridad, en las que los usuarios visitan asiduamente sitios web de confianza relacionados con el contenido de la organización. Estos sitios web, han sido previamente estudiados e infectados por los atacantes, quienes suelen realizar primero un perfil de las potenciales víctimas llevando a cabo un estudio de sus costumbres. Una vez el empleado de la compañía objetivo visite el sitio web infectado, como suele hacer a menudo, infectará su equipo con malware que permitirá a los atacantes tomar el control del equipo del empleado y poder así espiar y robar información de la compañía.

Fundamentos de éxito en el ataque

Estos ataques basan una gran parte de su éxito en la confianza, ya que los usuarios que visitan estos sitios asiduamente, bajan el nivel de atención en seguridad al ser sitios que visitan diariamente. Estas webs generalmente se encuentran incluidas, incluso en listas blancas de navegación por los equipos de seguridad informáticos de la empresa.

Para evitar la detección por los sistemas de seguridad corporativos, los ciberdelincuentes suelen emplear vulnerabilidades de día 0, es decir, que aún no se han comunicado a empresas de seguridad informática y fabricantes para poder crear herramientas de detección y mitigación.

Además, esperar a las potenciales víctimas en la web de terceros, les permite mantener un perfil bajo, sin hacer campañas de malware, lo que a su vez les hace más invisibles y difíciles de detectar y rastrear.

¿Cómo funciona?

Una vez que se ha fijado el objetivo del ataque, los ciberdelincuentes, centran sus esfuerzos en observar el tráfico de la compañía a atacar, haciendo especial hincapié en aquellos sitios visitados asiduamente y recogiendo la mayor información posible para crear un perfil concreto de la víctima.

Cuando el usuario seleccionado visita la web de confianza, los ciberatacantes, tratan de explotar las vulnerabilidades de su navegador y al mismo tiempo, le redirigen a un servidor malicioso donde podrán instalarle un malware que permita el control del equipo.

Medidas de protección

Para las compañías objetivo de estos ataques resulta especialmente complicado detectar y mitigar estas situaciones, pues dependen de webs de terceros sobre las que, en ocasiones, no tienen control. En otros casos donde las webs son corporativas, debe prestarse especial atención a las vulnerabilidades del sitio, realizando continuas auditorias, manteniendo el gestor de contenidos actualizado y creando las paginas mediante prácticas seguras de desarrollo.

Por la parte de los usuarios, los equipos de TI, deben prestar atención a la seguridad implementada en los distintos tipos de navegador empleados y en las continuas actualizaciones del software de sus equipos.

Por otro lado, tampoco debemos olvidar bloquear la ejecución automática de lenguajes de scripting en los navegadores.

Además, si la compañía implementa restricciones de navegación, es buena idea revisar las listas blancas de vez en cuando para comprobar que apunten a los sitios adecuados.

Y por último, no debemos olvidar la concienciación a los empleados y hacerles partícipes de este tipo de ataques. Esto hará que los usuarios estén alerta ante cualquier actividad sospechosa o fuera de lo común para que puedan notificarlo rápidamente a los departamentos informáticos y que puedan tomar medidas lo antes posible.

Chantaje a Adif: cibercriminales amenazan con difundir 800GB de información sensible

La empresa pública Adif, responsable de la construcción y gestión de líneas de ferrocarril, ha sufrido un ciberataque que ha desembocado en el robo de 800 gigas de información privada y sensible de la compañía. La acción ha sido ejecutada por REVil, un conocido grupo de ciberdelincuentes, que se ha puesto en contacto con Adif para informarles de la sustracción.

 

Parte de la información de Adif que REVil asegura tener en su poder.
Parte de la información de Adif que REVil asegura tener en su poder.

El grupo ha difundido este miércoles la información en Happy Blog, una página de la ‘dark web’ solo accesible mediante la red Tor. Según las imágenes compartidas en dicha web y en diversas redes sociales, los ciberdelincuentes tienen en su poder un amplio abanico de información: contratos, facturas, correspondencia privada, números de teléfono, datos de clientes, certificados, expedientes, tarifas e incluso informes internos.

Desde REVil se insta a Adif a ponerse en contacto con ellos. «Si no cumplís nuestras condiciones», asegura el grupo, «vuestra información será publicada. Seguiremos descargando vuestros datos hasta que contactéis con nosotros». Teknautas se ha puesto en contacto con Adif, que ha confirmado la existencia de dicho ataque y asegura que este «ha sido controlado por los servicios internos de seguridad. En ningún momento se ha visto afectada la infraestructura, garantizándose siempre el buen funcionamiento de todos sus servicios. Adif, consciente de ser el gestor de una infraestructura crítica como es la explotación de la red ferroviaria, considera la ciberseguridad como uno de los pilares de la seguridad integral».

Los criminales que ‘hackearon’ a Lady Gaga

Pero ¿qué es REVil y hasta qué punto son verdaderamente peligrosos? El colectivo no es demasiado conocido entre el ciudadano medio, pero sí dentro del sector de la ciberseguridad: se trata de un grupo de cibercriminales con un breve pero peligroso historial delictivo.

Su acción más conocida tuvo lugar hace apenas dos meses, en mayo de 2020. Fue entonces cuando entraron en los sistemas de la firma Grubman Shire Meiselas & Sacks, que representa a artistas como Lady Gaga, Madonna o Bruce Springsteen, y robaron 756 GB de material privado sobre la artista neoyorquina, además de, supuestamente, ingente material sobre Donald Trump.

El grupo pidió un rescate de 21 millones de dólares a cambio de no publicar la información sustraída, pero el despacho se negó a pagar, lo que hizo que REVil subiese aún más su petición de rescate: hasta los 42 millones de dólares. Ante la nueva negativa, publicaron parte de la información y subastaron el resto.

Lady Gaga. (Reuters)
Lady Gaga. (Reuters)

Un mes antes, en abril, la víctima de REVil fue la compañía de divisas Travelex, que vio infectados todos sus sistemas a través del ‘ransomware’ homónimo del grupo. En este caso, el más grave hasta la fecha, la compañía acabó sucumbiendo y pagó los 2,3 millones de dólares a modo de rescate de su información, frente a los 6 millones que exigieron los ciberdelincuentes.

La subasta de datos robados es práctica habitual de este grupo, según asegura a Teknautas Brett Callow, de Emsisoft, aunque en este caso «amenazan con publicar los datos en lugar de subastarlos. Eso podría ser porque no creen que los datos tengan un valor de mercado significativo… o porque sí que planean subastarlos pero han redactado su escrito de manera descuidada».

Respecto a las posibles identidades de los integrantes de REVil, Callow asegura que «la evidencia sugiere una posible conexión entre ellos y GandCrab [otro grupo de ciberdelincuentes, ahora presumiblemente retirados] y que podrían estar en Rusia o en otro país de la Comunidad de Estados Independientes» (Bielorrusia, Ucrania, Armenia, Azerbaiyán, Kazajistán, Kirguistán, Moldavia, Tayikistán, Turkmenistán o Uzbekistán).

«No hay que pagar rescates»

En cuanto a las posibles condiciones que REVil pudiera imponer a Adif para no hacer pública toda su información sensible, Callow es tajante: «Europol y otros organismos encargados de hacer cumplir la ley han aconsejado sistemáticamente que no se pague rescates, y ese es el mejor consejo. La única forma de detener los ataques de ‘ransomware’ es hacer que no sean rentables, y eso significa que las empresas deben dejar de pagarlos».

Así pues, en su opinión, «en casos de robo de datos, las compañías no tienen una buena opción: han sido violadas y pagar no cambia ese hecho. Incluso si pagan, simplemente recibirán una ‘promesa de meñique’ de que los delincuentes eliminarán su copia de los datos, y esa promesa, obviamente, no tiene mucho peso».

Fuente: El Confidencial.

Twitter sufre un incidente de seguridad que afecta a cuentas de usuarios

La red social, Twitter, ha hecho público un incidente de seguridad que ha afectado a numerosas cuentas de usuario, incluidas cuentas verificadas de empresas y personalidades conocidas a nivel mundial.  En dichas cuentas, se publicaron mensajes que invitaban a los usuarios a realizar cargos en una cartera de bitcoins bajo el pretexto de devolver al usuario el doble de dicha cantidad.

Recursos afectados

Usuarios que hayan visto publicaciones en sus cuentas de las características descritas en este aviso de seguridad y usuarios que se hayan creído los mensajes publicados en las cuentas afectadas y hayan procedido a realizar un pago en la cartera de bitcoins.

Solución

Ante este tipo de mensajes que puedan aparecen en perfiles de la red social en los que se anima a realizar un pago en una cartera de bitcoins bajo cualquier excusa, se recomienda no realizar un pago sin contrastar la información previamente con terceras fuentes de confianza.

De manera adicional, es importante seguir las pautas que Twitter proporciona a los usuarios afectados por este incidente de seguridad a través de  sus canales oficiales de información.

Te recomendamos que cambies la contraseña de acceso a la red social por si hubiese sido comprometida. Si dicha funcionalidad no está disponible, posiblemente sea debido a las medidas de seguridad implementadas por Twitter de manera temporal a raíz de este incidente. Además, es importante que actives la opción de doble verificación para añadir una capa extra de seguridad en tu cuenta, de tal forma que si alguien consigue tu contraseña, no podrá acceder a la misma al no disponer del código adicional que es necesario introducir al iniciar sesión en el servicio desde un dispositivo nuevo.

Si has sido víctima del fraude y has realizado un pago, es importante que recopiles todas las evidencias de las que dispongas y procedas a formalizar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.

Detalles

Muchas cuentas de usuario de Twitter de empresas y personalidades conocidas a nivel mundial, como son Bill Gates, Barak Obama o incluso Apple, han sido víctimas de este incidente de seguridad. En ellas se ha publicado un tuit fraudulento que invitaba a los usuarios a realizar un pago en una cartera de bitcoins.

Imagen mensaje 1

Imagen mensaje 2

Twitter reconoció a través de su cuenta oficial el incidente de seguridad, y está actualizando la información según avanzan sus investigaciones internamente. Además, ha hecho público que la raíz del problema está en un ataque de ingeniería social dirigido a empleados con acceso a herramientas y sistemas internos.

Una de las primeras medidas que tomó Twitter fue eliminar las publicaciones fraudulentas de los perfiles y bloquear el acceso a las mismas. En este momento siguen trabajando para evitar que esta situación vuelva a repetirse e investigando si el incidente puede tener un mayor alcance de seguridad. En cualquier caso, piden paciencia a los usuarios ya que están limitando las publicaciones en la red social, así como otras funcionalidades, como es el restablecimiento de la contraseña.

Fuente: Oficina de Seguridad Internauta

El ataque del “Man in the middle” en la empresa, riesgos y formas de evitarlo

El ataque MITM (Man in the middle), del inglés “Hombre en el medio”, es muy popular entre los ciberdelincuentes por la cantidad de información a la que pueden llegar a acceder en caso de que tengan éxito. Es un tipo de ataque basado en interceptar la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según lo requiera para ver la información y modificarla a su antojo, de tal forma que las respuestas recibidas en los extremos pueden estar dadas por el atacante y no por el interlocutor legítimo. Pero veamos exactamente en qué consiste para entenderlo mejor.

¿En qué consiste?

Básicamente, consiste en interceptar la comunicación entre 2 o más interlocutores. Para ello, alguien anónimo llamado “X” se sitúa entre ambos e intercepta los mensajes de A hacia B, conociendo la información y a su vez dejando que el mensaje continúe su camino.

Esquema Man In The Middle

Generalmente este tipo de ataques son muy peligrosos y difíciles de detectar, ya que precisamente uno de los objetivos del atacante es evitar ser descubierto, para ello emplean diversas técnicas que complican la detección.

Por si fuera poco con el sigilo, la comunicación entre A y B transcurre normal como si fuera legitima, sin embargo el atacante puede decidir si el mensaje interceptado continuará, si lo hará con la misma información o si lo hará con otro contenido modificado que pudiera suponerle una ventaja o beneficio.

Tipos de ataques

Los ataques MITM tienen diferentes modalidades que dependen de la técnica empleada, por lo tanto, más que hablar de los tipos de ataques vamos a hablar de los escenarios de ataque.

  • puntos de acceso wifi abiertos o con baja seguridad,
  • redes locales (LAN),
  • software de navegación anticuado.

Los puntos de acceso wifi públicos o con bajo nivel de seguridad pueden suponer un riesgo en el que un atacante de forma deliberada permite la conexión para poder efectuar un ataque de “Man in the middle”. Otra modalidad consiste en imitar el nombre de una red cercana (SSID) para crear confusión y que algunas personas conecten por error a ella, además muchos dispositivos están configurados por defecto para conectar sin preguntar, conectándose automáticamente a las redes abiertas más cercanas o cuyo nombre SSID es igual.

Las redes locales (Local Area Network LAN) de las empresas también son vulnerables a este tipo de ataques. El atacante deberá tener acceso a la red local corporativa, donde podrá lanzar un ataque que consistirá en engañar a los equipos de la red local haciéndoles creer que es un dispositivo legítimo de la misma y forzando a que todo el tráfico generado pase a través del dispositivo controlado por el ciberdelincuente. El acceso a las redes locales puede ser llevado a cabo de forma física, por ejemplo con un ordenador o mediante malware, infectando por ejemplo determinados servidores y pudiendo manipular sus respuestas.

Por otro lado, los atacantes también aprovechan las vulnerabilidades de los navegadores obsoletos o no actualizados, por lo que debemos prestar especial atención.

Prevención

Generalmente, es muy difícil detectar cuándo se está sufriendo un ataque de intermediario (Man In The Middle), por tanto, la prevención es la primera medida de protección. Para poder minimizar el riesgo de convertirse en blanco de un ataque de este tipo, podemos llevar a cabo algunas acciones específicas:

  • Acceso a sitios web seguros con certificado. (Aquellos que empiezan por HTTPS, comprobando que el certificado pertenece a la compañía o entidad que corresponde).
  • Proteger la red wifi de la empresa. Asegurando como mínimo la red en modo WPA2-AES con contraseñas robustas y no adivinables, así evitaremos que los atacantes puedan colarse en la red local. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.
  • Tener actualizado el software de nuestros equipos, especialmente el sistema operativo y el navegador.
  • Utilizar contraseñas robustas y siempre que sea posible habilitar la autenticación en dos pasos.
  • Evitar conectar a redes wifi abiertas (las que podemos encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios, etc.), en caso de conexión utilizar una red privada virtual o VPN.
  • En caso de conexión a través de redes públicas sin utilizar una VPN (centros comerciales, aeropuertos, etc.), evitar difundir información personal conectándose a redes sociales o banca online, entre otros ejemplos.
  • Evita usar redes VPN gratuitas, ya que se desconoce quién está detrás de ellas y el uso que puedan darle a la información.
  • Evitar abrir enlaces de correo procedentes de fuentes desconocidas.
  • Emplear software de seguridad como antivirus y antimalware en los equipos corporativos y mantenerlo actualizado, realizando escaneos frecuentemente. Además, también es aconsejable proteger la red LAN mediante el uso de hardware especifico de seguridad como Firewalls o mUTM’s con IPS/IDS (prevención y detección de intrusiones), mejorando así tanto la seguridad pasiva como la activa de la red corporativa.
  • Mantener el firewall por software activado en aquellos sistemas que lo permitan.
  • Proteger la página web corporativa mediante un certificado SSL.

Si además, recientemente hemos sufrido alguna infección en nuestros equipos o sospechamos que podamos tenerla a causa de comportamientos extraños, ventanas emergentes, publicidad, etc., debemos realizar una limpieza del equipo antes de transmitir cualquier información sensible.

Con estos consejos y navegando en sitios web seguros reducimos sustancialmente el riesgo de sufrir ataques de este tipo.

Fuente: INCIBE

123