jueves, 27 de enero de 2022

Detectadas nuevas tácticas en los ataques a equipos industriales

 Karpesky

Porcentaje de ordenadores ICS en los que se bloqueó spyware en el primer semestre de 2021. FOTO: Kaspersky

Los expertos de Kaspersky han descubierto una nueva serie de campañas de spyware de rápida evolución que ha atacado a más de 2.000 empresas industriales de todo el mundo. A diferencia de otras campañas de spyware convencionales, estos ataques se diferencian por el número limitado de objetivos en cada uno de ellos y por la brevísima vida útil de cada muestra maliciosa. El estudio identificó más de 25 mercados donde se están vendiendo los datos robados. Estos y otros hallazgos han sido publicados en el nuevo informe de Kaspersky ICS CERT.


Durante la primera mitad de 2021, los expertos observaron una curiosa anomalía en las estadísticas sobre amenazas de spyware bloqueadas en ordenadores industriales. Aunque el malware utilizado pertenecía a conocidas familias de spyware como Agent Tesla/Origin Logger, HawkEye y otros, estos ataques destacan debido al limitado número de objetivos en cada uno (desde uno a pocas decenas), así como la corta vida de cada muestra maliciosa.


Un análisis más detallado de las 58.586 muestras de spyware bloqueadas en ordenadores ICS en el primer semestre de 2021 reveló que alrededor del 21,2% de ellas formaban parte de esta nueva serie de ataques de alcance limitado y corta duración. Su ciclo de vida se limita a unos 25 días, lo que es mucho menos que la vida útil de una campaña de spyware ‘tradicional’.

Aunque cada una de estas muestras de spyware "anómalo" es de corta duración y no se distribuye ampliamente, supone una parte desproporcionadamente grande del total de ataques de spyware. En Asia, por ejemplo, uno de cada seis ordenadores atacados con programas espía fue afectado por una de las muestras de programas espía 'anómalos' (2,1% del 11,9%).


En concreto, la mayoría de estas campañas se propagan de una empresa industrial a otra a través de correos electrónicos de phishing bien elaborados. Una vez que ha penetrado en el sistema de la víctima, el atacante utiliza el dispositivo como servidor C2 (comando y control) del siguiente ataque. Con el acceso al listado de contactos de la víctima, los delincuentes pueden utilizar el correo electrónico corporativo para seguir propagando el software espía.


Según la telemetría del CERT de Kaspersky ICS, más de 2.000 organizaciones industriales de todo el mundo han sido incorporadas a la infraestructura maliciosa y utilizadas por las bandas de cibercriminales para ampliar el ataque a sus organizaciones de contacto y socios comerciales. Según las estimaciones, el número total de cuentas corporativas comprometidas o robadas como resultado de estos ataques supera las 7.000.


Los datos sensibles obtenidos de los ordenadores ICS suelen acabar en varios mercados. Los expertos de Kaspersky identificaron más de 25 mercados diferentes donde se vendían las credenciales robadas de estas campañas industriales. El análisis de estos mercados mostró una gran demanda de credenciales de cuentas corporativas, especialmente de cuentas de escritorio remoto (RDP). Más del 46% de todas las cuentas RDP vendidas en los mercados analizados pertenecen a empresas de Estados Unidos, mientras que el resto proceden de Asia, Europa y América Latina. Casi el 4% (unas 2.000 cuentas) de todas las cuentas RDP que se venden pertenecen a empresas industriales.


Otro mercado en crecimiento es el del spyware como servicio. Desde que se han hecho públicos los códigos fuente de los programas espía más populares, es habitual encontrarlos a la venta en las tiendas online en forma de servicio: los desarrolladores venden no sólo el malware como producto, sino también una licencia para un constructor de malware y el acceso a la infraestructura preconfigurada para construir el malware.


“A lo largo de 2021, los ciberdelincuentes utilizaron programas espía para atacar ordenadores industriales. Hoy somos testigos de una nueva tendencia que evoluciona rápidamente en el panorama de las amenazas industriales y es que, para evitar la detección, los delincuentes reducen el tamaño de cada ataque y limitan el uso de cada muestra de malware obligándose a sustituirla rápidamente por otra recién construida. Otras tácticas incluyen el uso de la infraestructura del correo electrónico corporativo para propagar el malware. Esto es diferente a todo lo que hemos observado antes en materia de programas espía y prevemos que este tipo de ataques continuarán ganando terreno el año que viene", comenta Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT.


Fuente: https://www.automaticaeinstrumentacion.com/texto-diario/mostrar/3419793/detectadas-nuevas-tacticas-ataques-equipos-industriales

Latinoamericanos se preocupan por su seguridad en línea, pero no saben cómo proteger sus datos personales


La mayoría de los latinoamericanos (67%) se preocupa por su seguridad en línea, pero este interés aún no se ha convertido en un conocimiento efectivo que les permita proteger la información personal que se recopila en el entorno digital. Esta es la conclusión del nuevo estudio de Kaspersky “Las huellas digitales y su relación con las personas y las empresas”, y amplifica la discusión al centro del Día Internacional de la Protección de Datos Personales, que se celebra este viernes 28 de enero.

Existe una tendencia mundial hacia una mayor responsabilidad en la recolección, uso y almacenamiento de datos personales. Por ejemplo, países como Brasil y México, ya cuentan con leyes federales de Protección de Datos Personales. Para conocer el nivel de comprensión de los internautas latinoamericanos, Kaspersky realizó la campaña “Las huellas digitales y su relación con las personas y las empresas”, el cual establece un paralelismo entre los datos y nuestras huellas digitales (únicas y utilizadas para diferenciarnos) para reforzar tanto la importancia de la privacidad de las personas, su información, así como la práctica de buenos hábitos al navegar en Internet.

A pesar de que la seguridad en línea ha pasado a ser una mayor preocupación para los usuarios de la región, ese interés aún no se ha convertido en un conocimiento efectivo, ya que el 35% desconoce cómo se realiza la recopilación de datos en la red y más de un tercio (35%) cree que sus datos solo pueden ser consultados mientras utilizan un dispositivo; es decir, una buena parte de las personas aún no entiende que puede dejar su “huella digital” en Internet y que son susceptibles a técnicas que permiten que los sitios web recopilen información sobre sus actividades.

La información registrada en el entorno digital es un activo cada vez más valorado en el mercado. Estos datos se utilizan para conocer el perfil de los consumidores, haciendo más rápida y eficiente la oferta de productos y servicios para mejorar la calidad de vida de las personas. Diariamente, los internautas ingresan datos en Internet a través de acciones que tal vez no sean tan obvias como, por ejemplo, al asociar perfiles de redes sociales con comercios electrónicos. Cada sitio web recopila información sobre las actividades de los usuarios y almacena la información en sus dispositivos en forma de pequeños archivos llamados cookies que hacen un rastreo de las actividades de los internautas.

“Hoy todos somos ciudadanos digitales y debemos entender que ya no existe esa separación entre el mundo online y el ‘real’, prueba de ello es que todo lo que hacemos queda grabado en las páginas que visitamos y hasta en nuestros dispositivos. Es necesario ser consciente y entender que de la misma forma que nuestros datos pueden ser utilizados para mejorar nuestro día a día, en manos de los ciberdelincuentes puede resultar en suplantación de identidad o estafa”, comenta Roberto Martínez, analista senior de seguridad en Kaspersky, y recuerda: “en el mundo real, cuidamos en extremo documentos personales como el pasaporte, la licencia de conducir o nuestros certificados de nacimiento; en el mundo en línea, debemos ser igual de cuidadosos con nuestra información”.

Esto, porque, si los datos caen en manos de los ciberdelincuentes, nuestras huellas digitales se pueden utilizar para dar más credibilidad a algún fraude, como en el caso del smishing, ya que otorgan a los criminales información valiosa sobre nuestros principales hábitos de navegación y consumo. Como consecuencia, los ciberdelincuentes buscan fuentes que ofrezcan una gran cantidad de información, como aplicaciones de compras, y utilizan tales datos para crear estafas que parecen legítimas atrayendo a múltiples víctimas.

Para cuidar nuestra privacidad en línea y tener una navegación segura, Kaspersky recomienda:

  • Compruebe siempre los enlaces antes de hacer clic en ellos. A veces, los correos electrónicos y los sitios web parecen reales, pero una indicación de fraude son las faltas de ortografía o las direcciones diferentes de los canales oficiales. Deslice el mouse para ver la URL y busque errores ortográficos u otras irregularidades.
  •  Evite abrir archivos en sitios web no oficiales. Pueden ser programas maliciosos que intentarán robar datos personales o financieros.
  •  Para evitar el seguimiento de correos electrónicos, deshabilite la descarga automática de imágenes en su correo electrónico y descargue imágenes solo de remitentes confiables.
  •  Utilice una VPN, como Kaspersky Secure Connection, que ayudará a ocultar su dirección IP real de los anunciantes.
  • Use soluciones de seguridad robustas y confiables para mantenerse seguro, como Kaspersky Internet Security o Kaspersky Security Cloud.
Fuente: https://newsinamerica.com/pdcc/tecnologia/2022/latinoamericanos-se-preocupan-por-su-seguridad-en-linea-pero-no-saben-como-proteger-sus-datos-personales/

Un grave fallo en Linux de hace 12 años permite ser root en cualquier distro


Obtener permisos de administrador en cualquier sistema operativo puede ser útil para hacer modificaciones importantes en el sistema. El problema viene cuando ese permiso puede ser adquirido por cualquier atacante en nuestro ordenador, pudiendo tomar el control de nuestro dispositivo.


Eso y mucho más es lo que permite una vulnerabilidad que lleva presente 12 años en Linux. Este fallo está presente en una herramienta del sistema llamada Polkit (previamente llamada PolicyKit), que da a los atacantes permisos de root en ordenadores que tengan cualquier distro de Linux.


Vulnerabilidad de hace 12 años para ser root en Linux


Polkit se encarga de gestionar los privilegios del sistema en sistemas operativos basados en Unix. Ofrece un mecanismo para procesos sin privilegios para que interactúen de manera segura con procesos que sí tienen los privilegios. Además, también permite a los usuarios ejecutar comandos con un alto nivel de privilegios usando un componente llamado pkexec.


La jerarquía de permisos en Unix permite al sistema determinar qué aplicaciones o usuarios pueden interactuar con partes sensibles del sistema, y cuándo pueden hacerlo. Así, si se instala una app maliciosa, o una es hackeada, se puede limitar el nivel de daños que puede causar.




El problema es que el elemento que se encarga de controlar eso ha tenido una vulnerabilidad de corrupción de memoria desde 2009 que permite a alguien con permisos limitados escalar privilegios hasta alcanzar permisos de root. Explotar la vulnerabilidad es muy fácil y 100% fiable, donde cualquier persona que tenga un acceso por mínimo que sea a una máquina puede ejecutar código malicioso o insertar malware más dañino con control total del sistema.

La vulnerabilidad requiere acceso local con autenticación a un dispositivo, y no se puede explotar de manera remota sin esa autenticación. Sin embargo, si se combina esta LPE con una RCE, cualquier atacante puede tomar el control de un ordenador de manera remota.

La vulnerabilidad ha sido llamada PwnKit, y puede explotarse incluso si Polkit no está ejecutándose. Los investigadores de Qualys la descubrieron en noviembre, y al estar ya parcheada en casi todas las distros de Linux, han decidido publicar la información. No obstante, todavía no van a lanzar la prueba de concepto que permite aprovecharla, ya que habrá muchos sistemas operativos que no la tengan parcheada. Además, afirman que los hackers van a empezar a aprovecharla con bastante rapidez.


Actualiza ya o ejecuta este comando

Es recomendable actualizar lo antes posible para evitar verse afectado por el ataque. En el caso de no poder parchear de manera inmediata, se puede utilizar el comando chmod 0755 /usr/bin/pkexec para eliminar la parte de SUID de pkexec.


Los investigadores afirman que la vulnerabilidad puede ser explotada sin dejar ni rastro en un ordenador. En el caso de que haya algún rastro, se puede comprobar el registro buscando el comando «The value for the SHELL variable was not found the /etc/shells file» o «The value for environment variable […] contains suspicious content«.


Además de las distros de Linux, también hay otros sistemas basados en Unix que podrían estar afectados, como Solaris y *BSD. No obstante, OpenBSD no es vulnerable porque su kernel rechaza execve() en un programa si el argc es cero. En el caso de Android, normalmente no se incluye pkexec, por lo que este escalado de privilegios no valdría para conseguir root en móviles que tengan el bootloader bloqueado o no tengan otra vía de ser rooteados actualmente.

Fuente: https://www.adslzone.net/noticias/seguridad/pwnkit-grave-fallo-linux-12-anos/

Estafadores colocaron falsos códigos QR en parquímetros para robar datos de pago



Ocurrió en distintas ciudades de Estados Unidos y las autoridades ya habían alertado el engaño en diciembre. El FBI lanzó un comunicado esta semana advirtiendo sobre las modalidades de engaño con códigos QR.

Delincuentes han estado cometiendo fraude mediante códigos QR en varias ciudades de Texas, como Austin, Houston o San Antonio. Al parecer, los estafadores han colocado en parquímetros calcomanías con falsos códigos QR que dirigían a los usuarios a un dominio falso de una supuesta plataforma de pagos para robar los datos financieros. Por otra parte, el FBI publicó este martes un comunicado advirtiendo a la población sobre el uso de códigos QR falsos por parte de cibercriminales con el objetivo de robar su dinero o llevar adelante otras acciones maliciosas.

La policía de la ciudad de San Antonio ya en diciembre de 2021 había alertado a través de su cuenta de Twitter, mientras que a comienzos de enero lo mismo hizo la policía de Austin. De hecho, en Austin se habían registrado 29 parquímetros con la calcomanía del falso QR, mientras que en diciembre se habían registrado más de 100 parquímetros intervenidos en San Antonio, explicó Arstechnica.

Según explicaron autoridades del departamento de transporte de la ciudad de Austin a medios locales, se revisaron más de 900 parquímetros para verificar que no hay ninguno con el código falso. Por otro lado, explicaron que no utilizan esta tecnología para realizar los pagos en los parquímetros por lo fácil que son de falsificar. La única manera de pagar es con monedas, tarjetas de crédito o débito en una estación de pago, o mediante la aplicación Park ATX.


El comunicado publicado este martes por el FBI advierte sobre esta modalidad de engaño y alerta sobre otras formas en que pueden ser aprovechados los códigos QR por cibercriminales para realizar distintas accions. Por otra parte, la investigadora de ESET, Cecilia Pastorino, explicó en un artículo 5 formas en que los códigos QR pueden ser aprovechados por cibercriminales.

Fuente: https://www.welivesecurity.com/la-es/2022/01/20/estafadores-colocaron-falsos-codigos-qr-en-parquimetros-para-robar-datos-de-pago/

Este es el estado del Zero Trust en las empresas


Fortinet ha hecho público su Informe Global sobre el Estado de Zero Trust. Este estudio revela que, aunque la mayoría de las organizaciones tienen una visión de confianza cero o están en proceso de implementar iniciativas de confianza cero, más de la mitad de ellas no pueden trasladar esta visión a las soluciones que están implementando porque carecen de algunos fundamentos básicos de confianza cero.

Como señala John Maddison, EVP de productos y CMO en Fortinet “con la evolución del panorama de las amenazas, la transición al teletrabajo y la necesidad de gestionar de forma segura las aplicaciones en la nube, el paso de la confianza implícita a la confianza cero es lo más importante para las organizaciones. Nuestro informe muestra que, si bien la mayoría de las organizaciones cuentan con alguna forma de estrategia de confianza cero, se quedan cortas en cuanto a una estrategia holística y tienen dificultades para aplicar algunos aspectos básicos de la seguridad de confianza cero. Una solución eficaz requiere un enfoque de plataforma de malla de ciberseguridad para abordar todos los fundamentos de la confianza cero en toda la infraestructura, incluidos los endpoints, la nube y las instalaciones propias, de lo contrario el resultado es una solución parcial y no integrada que carece de visibilidad amplia”.



Un reciente informe de FortiGuard Labs sobre el panorama de las amenazas mostraba un aumento en el volumen y la sofisticación de los ataques dirigidos a individuos, organizaciones e infraestructuras cada vez más críticas. Las organizaciones están buscando soluciones para protegerse contra estas amenazas en evolución y la confianza cero es lo más importante, pero por múltiples razones. Además, el teletrabajo ha puesto el foco en el acceso a la red de confianza cero (ZTNA) en particular, ya que las organizaciones necesitan proteger los activos importantes de los trabajadores que se conectan desde redes domésticas mal protegidas.

Confusión sobre la definición de las estrategias zero trust

El informe muestra cierta confusión sobre lo que comprende una estrategia completa de confianza cero. Los encuestados indicaron que entienden los conceptos de confianza cero (77%) y de ZTNA (75%) y más del 80% afirmaron tener ya una estrategia de confianza cero y/o ZTNA en marcha o en desarrollo. Sin embargo, más del 50% indicó no poder implementar las capacidades básicas de confianza cero. Casi el 60% confirmó que no tiene la capacidad de autenticar usuarios y dispositivos de forma continua y el 54% tiene problemas para supervisar a los usuarios después de la autenticación.


Las prioridades para zero trust son “minimizar el impacto de las brechas e intrusiones”, seguido de cerca por “asegurar el acceso remoto”

Esta brecha es preocupante porque estas funciones son principios críticos de la confianza cero y pone en duda cuál es la realidad de estas implementaciones en las organizaciones. Los términos “acceso de confianza cero” y “acceso a la red de confianza cero”, que a veces se utilizan indistintamente, aumentan la confusión.


Zero Trust es lo más importante y las prioridades son variadas

Las prioridades para zero trust son “minimizar el impacto de las brechas e intrusiones”, seguido de cerca por “asegurar el acceso remoto” y “garantizar la continuidad del negocio o la misión”. También fueron señaladas como prioridades “Mejorar las experiencias de los usuarios” y “ganar flexibilidad para proporcionar seguridad en cualquier lugar”.

“La seguridad en toda la superficie de ataque digital” fue el beneficio más importante citado por los encuestados, seguido de una “mejor experiencia de usuario para el trabajo remoto (VPN)”.

La gran mayoría de los encuestados considera vital que las soluciones de seguridad de confianza cero se integren en su infraestructura actual, funcionen en la nube y en los entornos locales, y sean seguras en la capa de aplicación. Sin embargo, más del 80% de los encuestados indicaron que es un reto implementar una estrategia de confianza cero en una red extensa. Para las organizaciones que no tienen una estrategia en marcha o en desarrollo, entre los obstáculos se encuentra la falta de recursos cualificados, y el 35% de las organizaciones utilizan otras estrategias de TI para abordar la confianza cero.

Fuente: https://revistabyte.es/ciberseguridad/estado-del-zero-trust/

Digital Footprint Intelligence, el nuevo servicio de Kaspersky que elimina los dominios maliciosos


Kaspersky ha anunciado Digital Footprint Intelligence, un servicio reforzado con Takedown Service para empresas, que elimina los dominios maliciosos. La herramienta ayuda a los analistas a descubrir la visión que tiene el atacante de los recursos de la empresa.


Cada semana, Google detecta alrededor de 46.000 nuevos sitios web maliciosos, y cada día Kaspersky bloquea más de 15.000 URL de phishing y estafa. Gestionar la eliminación de dominios maliciosos y de phishing es un proceso complejo que requiere experiencia, recursos y tiempo.

“Kaspersky Digital Footprint Intelligence, reforzado con Takedown Service, es un complemento importante de nuestra cartera de soluciones de TI, el servicio satisface las necesidades reales de los clientes y reduce la carga de los departamentos de ciberseguridad”, explica Vladimir Kuskov, jefe de exploración de amenazas de Kaspersky.


Protección eficaz de los servicios

Si una empresa no puede eliminar dominios maliciosos, sus clientes pueden acabar siendo víctimas de sitios web falsos que permitan que los atacantes accedan a su información personal y financiera.

Además, las empresas también pueden ser objeto de graves filtraciones de datos causadas por botnets controlados por los servidores de comando y control (C&C) de los ciberdelincuentes. Todo esto puede causar daño a la marca, así como una pérdida de ingresos y de confianza por parte del cliente.


Kaspersky Digital Footprint Intelligence elimina los dominios maliciosos

Gracias a la amplia experiencia de Kaspersky en la investigación de amenazas y su dilatada cooperación con organizaciones internacionales y organismos encargados de hacer cumplir la ley, incluidos INTERPOL y Europol, así como con equipos de respuesta a emergencias informáticas (CERT), el nuevo Kaspersky Takedown Service es capaz de garantizar la protección eficaz de los servicios online de las empresas y su reputación.


Kaspersky Digital Footprint Intelligence

El servicio se puede adquirir de forma independiente o como parte de la suscripción de Digital Footprint Intelligence (DFI).

En el primer caso, los clientes pueden enviar solicitudes para eliminar ciertos dominios no deseados que descubrieron a través de la cuenta de empresa de Kaspersky, y en el segundo, el servicio DFI se encargará de identificar los recursos maliciosos o de phishing que atacan al cliente.

Cada vez que se identifique contenido dañino el cliente recibirá una notificación y, a continuación, podrá iniciar el proceso de eliminación. El paquete estándar incluye diez eliminaciones al mes y puede personalizarse según las necesidades del cliente.

Fuente: https://revistabyte.es/ciberseguridad/digital-footprint-intelligence/

Sophos: Impacto de Log4Shell limitado, la amenaza persiste


El investigador de amenazas de Sophos, Chet Wisniewski, detalló el impacto inesperadamente limitado que tuvo Log4Shell en las organizaciones, pero advirtió sobre la explotación y los riesgos futuros.


Si bien Log4Shell experimentó una explotación masiva limitada, la amenaza sigue siendo una preocupación para el futuro, según una nueva investigación de Sophos.

La falla, rastreada como CVE-2021-44228, se descubrió en diciembre en el paquete de software de código abierto Log4j 2 desarrollado por Apache Software Foundation. Rápidamente llamó la atención debido a su amplio uso e inclusión en una gran cantidad de productos de software, servicios en la nube y aplicaciones web. Más alarmante aún, la falla permitió a los actores de amenazas ejecutar código malicioso de forma remota.


La investigación de varios proveedores de seguridad mostró un escaneo generalizado y un intento de explotación de Log4Shell, que pronto fue aprovechado por los actores del estado-nación .

En una publicación de blog el lunes, Chet Wisniewski, investigador principal de amenazas en Sophos, dijo que si bien el daño fue más limitado de lo anticipado, la falla "probablemente será un objetivo para la explotación en los próximos años". Podría estar enterrado profundamente en muchas aplicaciones y productos digitales, dijo.

"Sophos cree que la amenaza inmediata de que los atacantes explotaran masivamente Log4Shell se evitó porque la gravedad del error unió a las comunidades digital y de seguridad e impulsó a las personas a la acción", escribió Wisniewski.

Instancias anteriores de explotación masiva, como los ataques a la cadena de suministro de SolarWinds y las vulnerabilidades de ProxyLogon en Microsoft Exchange Server, revelaron que las organizaciones tardan en aplicar parches . También destacaron el peligro de las puertas traseras, que son difíciles de descubrir, y el impacto en objetivos de alto perfil. Esta vez, parece que los equipos de seguridad empresarial, los proveedores de seguridad informática y los servicios en la nube actuaron más rápido.

Sophos, que rastreó la falla desde el 9 de diciembre, revisó los escaneos en busca de instancias expuestas de Log4j y ataques observados. Wisniewski señaló que los patrones en los primeros días eran "típicos" para una vulnerabilidad recientemente informada. Sin embargo, hubo un aumento significativo en la actividad de escaneo en solo una semana. Los números alcanzaron su punto máximo entre el 20 y el 23 de diciembre, según el blog.

"Los números simplemente confirman que muchas personas, con buenas o malas intenciones, estaban tratando de medir qué tan vulnerables eran los demás a la amenaza al buscar la cantidad de sistemas potencialmente expuestos", escribió.

La publicación del blog también cubrió el impacto global de Log4Shell. Mientras examinaba las ubicaciones geográficas de los destinos de devolución de llamadas, Sophos descubrió que India encabezaba la lista, seguida de EE. UU., Turquía, Brasil y Australia. Lo atribuyó potencialmente a la gran cantidad de participantes de recompensas por errores en esos países.


El investigador principal de amenazas de Sophos, Chet Wisniewski, publicó un blog después de revisar los escaneos en instancias expuestas para Log4j.

Disminuyen los ataques, por ahora

Desde fines de diciembre hasta enero de este año, Wisniewski dijo que Sophos observó una disminución en los intentos de ataque, pero que los que ocurrieron tenían una mayor probabilidad de ser "ataques reales". Aún así, la investigación de Sophos determinó que "la cantidad total de ataques exitosos hasta la fecha sigue siendo más baja de lo esperado".

Lo atribuyó a dos factores. En primer lugar, dijo Wisniewski, en enero solo un puñado de clientes del Equipo de respuesta a amenazas administradas de Sophos experimentaron intentos de intrusión que usaron Log4Shell, y la mayoría eran criptomineros .

"Otra posible razón para la explotación masiva limitada podría ser la necesidad de personalizar el ataque para cada aplicación que incluye el código Apache Log4J vulnerable", escribió Wisniewski.

Aunque las consecuencias parecen limitadas ahora, puede que no sean un buen augurio para el futuro. Wisniewski señaló que, en el pasado, Sophos observó que los actores de amenazas de estados-nación de países como Irán y Corea del Norte instalaban puertas traseras antes de que los objetivos pudieran parchearse y luego esperaban meses antes de atacar. Además, dijo que "es posible que los sistemas vulnerables internos desconocidos nunca se conozcan o descubran, y seguirán siendo un riesgo para la seguridad".

Después de una revisión de los escaneos, patrones y detecciones de ataques, Sophos determinó que los riesgos asociados con la falla de Log4j "probablemente continuarán durante años".

"La urgencia de identificar dónde se usa en las aplicaciones y actualizar el software con el parche sigue siendo tan crítica como siempre", escribió.

Fuente: https://www.techtarget.com/searchsecurity/news/252512451/Sophos-Log4Shell-impact-limited-threat-remains

ZTNA, la nueva solución de confianza cero del ecosistema de Sophos


 

Sophos, empresa mundial especializada en ciberseguridad de última generación, presenta Sophos Zero Trust Network Access (ZTNA). Se trata de una solución de acceso a la red que se integra completamente con la tecnología para endpoints líder en la industria, Sophos Intercept X, misma que brinda protección avanzada para terminales y acceso a la red de confianza cero.

Sophos ZTNA presenta un modelo de seguridad transparente y escalable para conectar a usuarios y dispositivos con aplicaciones y datos, mejorando y simplificando la protección contra ransomware y otras amenazas avanzadas de ciberseguridad.

Sophos también publicó una nueva investigación llamada «Los servicios de Windows sientan las bases para el ransomware Midas«, que destaca la importancia de ZTNA. La investigación detalla cómo un grupo de atacantes pudieron pasar casi dos meses sin ser detectados en el entorno de un objetivo, aprovechando los controles de acceso limitados y la segregación de redes y aplicaciones, que habrían estado mejor protegidos con ZTNA.

Los atacantes aprovecharon aún más las herramientas de acceso remoto «fantasma» que ya no se utilizan para moverse lateralmente, apuntar y comprometer a otras máquinas, crear nuevas cuentas, instalar puertas traseras de acceso y filtrar datos, antes de lanzar el ransomware Midas.

A través de su integración única con Sophos Intercept X, que incluye Sophos Extended Detection and Response (XDR)Sophos Managed Threat Response y otras soluciones que utilizan su tecnología, Sophos ZTNA elimina las complejidades de administrar productos de múltiples proveedores, y proporciona protección para terminales, usuarios, sus identidades y redes a las que se conectan.

Como parte del Ecosistema de Ciberseguridad Adaptable (ACE) de SophosSophos ZTNA comparte información sobre amenazas en tiempo real con otras soluciones y responde automáticamente a ellas. Al trabajar juntas, las soluciones pueden identificar mejor los ataques activos y evaluar el estado del dispositivo, de modo que los equipos comprometidos se pueden aislar rápidamente.

Joe Levy, director de Tecnología y Producto en Sophos, comenta: ‘Muchas soluciones tradicionales de acceso remoto, como escritorios remotos e IPsec y SSL-VPN, brindan un cifrado sólido, pero son insuficientes como defensa contra las amenazas modernas. Vemos que los atacantes explotan cada vez más estas limitaciones, introducen credenciales en RDP y VPN para obtener acceso a las redes de las víctimas y luego se mueven libremente una vez dentro, lo que con demasiada frecuencia culmina en costosos incidentes de robo de datos y ransomware’.

Luego añade: ‘Las personas, las aplicaciones, los dispositivos y los datos ya no están limitados a las oficinas: están en todas partes y necesitamos formas más modernas de protegerlos. La confianza cero es un principio de seguridad cibernética muy efectivo, y ZTNA lo incorpora de una manera práctica y fácil de usar, lo que garantiza que los usuarios tengan acceso seguro solo a los recursos que necesitan’.

Sophos ZTNA autentica constantemente las identidades de los usuarios con múltiples factores y valida el estado del dispositivo, brindando controles de acceso más estrictos y menos puntos de apoyo para los ciberdelincuentes. A diferencia de las VPN que brindan un amplio acceso a la red, Sophos ZTNA elimina la confianza implícita y sólo autoriza el acceso de los usuarios a aplicaciones y sistemas específicos en la red. Al no confiar en nada y verificarlo todo, Sophos ZTNA mejora la protección, simplifica la gestión de la seguridad para los administradores de TI y crea una experiencia fluida para los trabajadores remotos.

Completa Christopher Rodríguez, director de investigación de Productos de Seguridad de Red en IDC: ‘El futuro del trabajo será híbrido, por lo que es imperativo que las organizaciones puedan proteger a los trabajadores, los datos y las aplicaciones remotas. Al integrar ZTNA con la protección de endpoints, Sophos ZTNA permite un acceso adecuado al riesgo a los recursos desde cualquier dispositivo, en cualquier momento y desde cualquier lugar. La confianza es un factor clave en los negocios de hoy en día, que requiere controles de seguridad críticos para protegerse contra eventos que impactan en el negocio, como ransomware y compromiso de datos’.

Fuente: https://prensariotila.com/ztna-la-nueva-solucion-de-confianza-cero-del-ecosistema-de-sophos/

miércoles, 26 de enero de 2022

NIST publica la guía final de evaluación de ciberseguridad



El documento revisa ampliamente las mejores prácticas en las evaluaciones de seguridad para las organizaciones.


El Instituto Nacional de Estándares y Tecnología emitió su copia más reciente y final de la guía para que las organizaciones evalúen sus sistemas de TI de seguridad interna, luego de una copia preliminar y un período de comentarios.

El documento, titulado "Evaluación de los controles de seguridad y privacidad en los sistemas de información y las organizaciones", se centra en ayudar a las entidades a gestionar los riesgos de ciberseguridad en sus redes individuales.

“La publicación actualizada proporciona un enfoque y procedimientos de evaluación, es decir, cómo determinar si las contramedidas se implementan y logran el efecto deseado”, dijo el NIST en un correo electrónico a Nextgov .

Las pautas incluidas en el borrador final enfatizan la mejora de las evaluaciones organizacionales de la infraestructura de seguridad cibernética actual, la promoción de una mejor conciencia de seguridad cibernética entre los usuarios, la habilitación de procedimientos de evaluación de seguridad y controles de privacidad rentables, y la creación de información de seguridad confiable para los ejecutivos.

Los funcionarios del NIST revisan minuciosamente las mejores prácticas en los procedimientos de evaluación para determinar la eficacia del software de defensa implementado. Tres fases están asociadas con esta prueba, que incluyen ampliamente: preparación, realización y análisis de los resultados de la evaluación para medir el riesgo.

“Realizar evaluaciones de control de seguridad y privacidad puede ser difícil, desafiante y requiere recursos.

Intensivo”, dice el documento. “Las evaluaciones de control de seguridad y privacidad pueden ser realizadas por diferentes entidades organizativas con distintas responsabilidades de supervisión. Sin embargo, el éxito requiere la cooperación y colaboración de todas las partes con un interés personal en la postura de seguridad o privacidad de la información de la organización”.

La guía concluye recomendando evaluaciones continuas de privacidad y seguridad dentro de una organización determinada.

Fuente: https://www.nextgov.com/cybersecurity/2022/01/nist-releases-final-cybersecurity-assessment-guidance/361165/

NIST actualiza el estándar de credenciales de identidad personal FIPS 201

 


La actualización 201-3, resultado de un ciclo de revisión regular, aún especifica que se pueden usar tarjetas PIV, pero ahora ofrece opciones adicionales.

Para garantizar que los empleados federales tengan un conjunto más amplio de opciones modernas para acceder a instalaciones y recursos electrónicos, el Instituto Nacional de Estándares y Tecnología (NIST) ha aumentado la cantidad de tipos de credenciales aceptables que las agencias federales pueden permitir como identidad digital oficial.

El aumento es parte de la última actualización del Estándar federal de procesamiento de información (FIPS) 201, que especifica las credenciales que pueden usar los empleados y contratistas federales para acceder a los sitios federales. La actualización, formalmente titulada  FIPS 201-3: Verificación de identidad personal (PIV) de empleados y contratistas federales ,  también permite la prueba y emisión de identidad remota, además de hacerlo en persona como se requería anteriormente.

“Hemos ampliado el conjunto de credenciales que se pueden usar para obtener acceso a instalaciones federales y también para iniciar sesión en estaciones de trabajo y otros recursos de TI”, dijo Hildegard Ferraiolo, científica informática del NIST. "Ya no se trata solo de tarjetas PIV".

El estándar FIPS anterior, la  versión 201-2 , apareció en 2013 y especificaba las credenciales integradas en las tarjetas PIV como el principal medio de autenticación, con excepciones limitadas para las credenciales diseñadas para dispositivos móviles que carecían de lectores de tarjetas PIV. Se han emitido millones de tarjetas PIV a empleados federales.

La actualización 201-3, resultado de un ciclo de revisión regular, aún especifica que se pueden usar tarjetas PIV, pero ahora ofrece opciones adicionales. Mantiene el estándar alineado con las políticas federales más recientes, incluido el  Memorando M-19-17 de la Oficina de Administración y Presupuesto sobre administración  de identidad, credenciales y acceso. También asegura que el estándar refleje las capacidades y necesidades tecnológicas actuales, dijo Ferraiolo.

“Se ha vuelto importante brindar más flexibilidad a las agencias en la elección de las credenciales que se usarán para la autenticación”, dijo. “No todas las computadoras portátiles están disponibles con ranuras para tarjetas PIV integradas, por ejemplo, y, a menudo, hay aplicaciones basadas en la nube que no utilizan la infraestructura de clave pública que proporcionan las tarjetas PIV. Para estas situaciones necesitamos alternativas”.

Las nuevas opciones son un subconjunto de credenciales que se especifican en  NIST SP 800-63-3 , una publicación de varios volúmenes sobre identidad digital. Las ramas del gobierno tendrán un conjunto más rico de credenciales multifactor para diferentes dispositivos, incluidos, por ejemplo,  tokens FIDO  (Fast ID Online) y contraseñas de un solo uso (OTP).

Ahora que se completó el hito de la revisión, el enfoque del NIST se ha desplazado a proporcionar pautas adicionales y detalles de implementación, dijo Ferraiolo. NIST se encuentra actualmente en el proceso de actualizar las pautas para el conjunto ampliado de credenciales PIV en la Revisión 1 de NIST SP 800-157. Además, para garantizar que las diferentes credenciales sean interoperables entre diferentes agencias, un concepto conocido como "federación", NIST proporcionará pautas en NIST SP 800-217.

Ferraiolo dijo que estas y otras publicaciones del NIST asociadas con FIPS 201-3 se actualizarán en los próximos meses.

Fuente: http://www.hstoday.us/subject-matter-areas/cybersecurity/nist-updates-fips-201-personal-identity-credential-standard/

Orientación gratuita de expertos: CISA y NIST desmitifican la gestión crítica de riesgos cibernéticos


 La creciente complejidad de la gestión del riesgo cibernético ha dejado a muchas organizaciones abrumadas e inseguras de por dónde empezar. De hecho, la etapa de planificación de un programa de gestión de riesgos cibernéticos puede ser la parte más desafiante del proceso. Esto no debería sorprendernos; si se hace correctamente, la planificación suele ser la parte más difícil de cualquier proyecto.

Tome la construcción de una casa, por ejemplo. La planificación arquitectónica es engorrosa y los planos son tremendamente caros. Pero sin el pensamiento adecuado y los recursos invertidos en la planificación de una casa, los cimientos podrían literalmente desmoronarse. Asimismo, el trabajo fundamental de un programa de gestión de riesgos cibernéticos es esencial y puede determinar la eficacia a largo plazo del programa.

Saber cómo priorizar las actividades de riesgo cibernético es un desafío y un área en la que muchas organizaciones necesitan orientación. Estas organizaciones deben hacerse la primera pregunta: "¿Qué puedo hacer ahora mismo que ofrezca la mayor inversión en seguridad?" Afortunadamente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) y el Instituto Nacional de Estándares y Tecnología (NIST) han surgido como fuentes de información valiosa, mejores prácticas, herramientas y marcos.

CISA está desarrollando una amplia gama de mejores prácticas de seguridad cibernética que las agencias federales deben seguir, en parte en respuesta a la reciente Orden Ejecutiva 14028 sobre seguridad cibernética.Aunque no es obligatorio para la industria, CISA sugiere que la industria considere adoptar esta guía para mejorar sus programas de seguridad cibernética y su postura de riesgo general. Este esfuerzo es un excelente ejemplo de una asociación público-privada donde el gobierno federal, en este caso, CISA, está ayudando a la industria a abordar problemas complejos de gestión de riesgos cibernéticos, de forma gratuita. La industria puede y debe hacer un uso completo de esta guía experta, ya que este es un recurso que de otro modo vendría en forma de un costoso servicio de asesoramiento de gestión de riesgos cibernéticos. Es como tener un maestro arquitecto que proporcione un plano completamente desarrollado para la casa de sus sueños de forma totalmente gratuita: sería una tontería no aprovecharlo.

Un gran ejemplo de esta guía emergente es la administración y parches de vulnerabilidades. Las organizaciones de todos los tamaños en todas las industrias están abrumadas por los resultados e informes del escáner de vulnerabilidades. Comprender en qué vulnerabilidades enfocarse y cuándo puede ser muy útil. CISA emitió recientemente una hoja de ruta de gestión de vulnerabilidades para ayudar a las organizaciones a comenzar. Si tiene un buen programa de parches y administración de vulnerabilidades, entonces puede usar esta guía para verificar su trabajo. También es importante tener en cuenta que este es solo el primer paso. CISA planea mantener y actualizar esta guía con el tiempo.

En el caso de una brecha cibernética, es posible que muchas organizaciones no sepan cómo responder. CISA también ha desarrollado valiosas guías y guías de respuesta a incidentes y vulnerabilidades . Este marco es un punto de partida sólido y se puede adaptar para abordar requisitos organizacionales específicos. Las organizaciones con planes de respuesta a incidentes existentes pueden usar esta guía para reevaluar y mejorar sus planes actuales, si corresponde. 

CISA y NIST también se han centrado recientemente en la plaga cibernética conocida como ransomware. De manera similar a otras pautas proporcionadas aquí, CISA ha desarrollado una lista de verificación de ransomware que las organizaciones deben usar para reducir la probabilidad de ataques de ransomware e incluye orientación sobre cómo responder a un ataque de ransomware. Esta información se puede utilizar para establecer un plan para abordar el ransomware o validar y mejorar las estrategias existentes.

Además, NIST está desarrollando un marco de gestión de riesgos de ransomware más extenso.basado en el ampliamente aclamado NIST Cybersecurity Framework (CSF). Esencialmente, NIST está creando un perfil basado en CSF que prioriza ciertos objetivos de seguridad cibernética entre las categorías y subcategorías de NIST CSF que son críticas para reducir la probabilidad de una violación de ransomware. La lista de verificación de ransomware CISA se puede asignar al marco de ransomware CSF para las organizaciones que desean implementar un proceso más extenso y formalizado. Aunque aún no está finalizado, el borrador del perfil de ransomware CSF es un buen punto de partida. Al igual que CISA, NIST también mantiene sus marcos a lo largo del tiempo, mejorando y mejorando continuamente la información para abordar la naturaleza en constante evolución del riesgo cibernético. A diferencia de muchos otros marcos de gestión de riesgos cibernéticos, tanto CISA como NIST ofrecen sus herramientas de gestión de riesgos cibernéticos de clase mundial (marcos, controles, estándares, etc.).

Está claro que CISA y NIST están haciendo un esfuerzo conjunto para ayudar a las organizaciones a abordar la abrumadora tarea de administrar el riesgo cibernético, y se espera una guía adicional y mejorada en los próximos meses.

El valor de esta información no puede exagerarse. Cada organización debe utilizar estos recursos para establecer un programa defendible de gestión de riesgos cibernéticos basado en las mejores prácticas y estándares reconocidos. Después de todo, así como no se puede construir una casa sin un plan, las organizaciones no tienen esperanzas de mantenerse un paso por delante de los piratas informáticos sin saber por dónde empezar. Ya es hora de que aprovechen el arquitecto gratuito que tienen al alcance de la mano.

Fuente: https://www.forbes.com/sites/forbestechcouncil/2022/01/24/free-expert-guidance-cisa-and-nist-demystify-critical-cyber-risk-management/

Uso del marco de ciberseguridad del NIST para abordar el riesgo organizacional


El CSF de NIST, utilizado con otra guía, puede ayudar a mapear el riesgo de las amenazas reales y cumplir mejor con los mandatos de seguridad, como la orden ejecutiva de seguridad cibernética de los EE. UU.


El gobierno federal de EE. UU. ha estado muy activo el año pasado, particularmente con la orden ejecutiva (EO) de seguridad cibernética y las tareas y objetivos asociados que surgieron de ella. Un marco y una fuente de la industria que ha recibido una mayor atención es el marco de seguridad cibernética (CSF, por sus siglas en inglés) del NIST.

El CSF surgió de otra EO, 13636, que es de 2013 y ordenó al NIST trabajar con las partes interesadas para desarrollar un marco voluntario para reducir el riesgo de la infraestructura crítica. Fue elaborado a través de esfuerzos coordinados con la industria y el gobierno, que han adoptado ampliamente el marco.

Así es como se compone el CSF, cómo algunos aspectos pueden ayudar a cumplir algunos de los objetivos recientes de EO de ciberseguridad y cómo cualquier organización puede usarlo para mapear mejor el riesgo de las amenazas.

¿Cuáles son los componentes del marco de ciberseguridad?

En su base, el CSF tiene tres componentes:
Core es esencialmente un conjunto de actividades y resultados de ciberseguridad deseados.
Los niveles de implementación son utilizados por las organizaciones adoptantes para brindar contexto cuando se trata de cómo las organizaciones ven la gestión de riesgos de seguridad cibernética.

Framework Profiles ayuda a proporcionar una alineación personalizada con los requisitos y objetivos de la organización cuando se trata de lograr resultados y reducir el riesgo organizacional e incluso en toda la industria.

Dentro de estos tres componentes hay áreas adicionales, como categorías y subcategorías dentro de las funciones, que se relacionan con los resultados de un programa de seguridad cibernética. NIST ya ha producido varios perfiles de marco de ejemplo , como para la fabricación, las elecciones y la red inteligente.

Uno de los aspectos más reconocibles de CSF son las funciones en las que divide las actividades: identificar, proteger, detectar, responder y recuperar. La razón por la que estas funciones son tan ampliamente reconocidas es porque son tanto prácticas como lógicas. Se alinean con las actividades y el ciclo de vida de la ciberseguridad y la gestión de riesgos dentro del programa de seguridad de una organización. Estas funciones también son aplicables a organizaciones en muchas industrias y verticales, lo que hace que CSF sea dinámico y adaptable.


Dado que CSF se basa en estándares, pautas y prácticas existentes, contiene actividades que son comunes entre otras guías líderes en la industria, como los controles críticos de CIS. Esto es evidente a través de actividades como "identificar procesos y activos empresariales críticos". Para aprovechar mejor los estándares, pautas y prácticas existentes, CSF también tiene lo que se denomina "Referencias informativas" que se alinean debajo de cada función y apuntan a los controles y referencias de seguridad del marco existente.

Cómo el marco de seguridad cibernética ayuda a habilitar el cumplimiento de EO

El CSF no se menciona explícitamente en la EO de seguridad cibernética reciente, pero se hace referencia extensa al NIST. Dado que CSF es su marco de gestión de riesgos insignia, estará vinculado a muchas de las actividades y tareas que NIST lleva a cabo como parte de la EO. Todas las tareas y actividades de ciberseguridad definidas en la EO se pueden mapear en las categorías funcionales de CSF como se discutió anteriormente.

Para promover una mayor adopción del CSF, el NIST ha publicado una guía que incluye NISTIR 8170 Enfoques para que las agencias federales usen el marco de ciberseguridad y NISTIR 8286 Integración de la ciberseguridad y la gestión de riesgos empresariales (ERM). Combinar esta guía con las tareas asociadas con la EO permitirá que las agencias federales aborden sus riesgos y deficiencias de seguridad existentes.

Un aspecto importante de la EO fue el impulso para que las agencias adoptaran la confianza cero (mencionado 11 veces). Aquí es donde las agencias, así como las organizaciones de la industria, pueden comenzar a ver sinergias reales entre CSF y los objetivos de EO. Por ejemplo, cuando se trata de confianza cero, el Centro Nacional de Excelencia en Seguridad Cibernética (NCCoE) del NIST ha proporcionado una guía que mapea los componentes de confianza cero aplicables a las funciones, categorías y subcategorías de CSF. Estos son componentes básicos de confianza cero, como motores de políticas, administradores, puntos de aplicación y componentes de seguridad más comunes, como SIEM.

Las agencias federales y las organizaciones de la industria pueden aprovechar el CSF como en el ejemplo anterior, para mapear los objetivos del programa de seguridad en las cinco funciones, categorías y subcategorías del CSF. Esto incluye herramientas de mapeo y aspectos de la pila tecnológica según los criterios de CSF. Un beneficio clave del CSF es su capacidad para ayudar a guiar las decisiones, independientemente del lugar que ocupe una persona dentro de la organización. Esto se aplica desde altos ejecutivos hasta negocios/procesos e implementación y operaciones.


Alineación de los objetivos del marco de ciberseguridad con las amenazas


Las organizaciones, el gobierno y la industria por igual pueden tomar medidas adicionales para alinear los objetivos de CSF con las amenazas reales. Una excelente manera de hacerlo es aprovechar las evaluaciones ATT&CK de MITRE , que emulan tácticas y técnicas antagónicas contra los principales productos de ciberseguridad. Luego, la información se pone a disposición de los usuarios finales de la industria para ver cómo se desempeñaron los productos y qué tan bien se alinean con los objetivos de seguridad de la organización. Otro recurso excelente de MITRE es el mapeo MITRE ATT&CK y NIST 800-53 del Center for Threat-Informed Defense. Mediante el uso de estos mapeos, las organizaciones podrían potencialmente cruzar la referencia del mapeo del Centro a las Referencias informativas en el CSF, que se relacionan con funciones y categorías específicas.

Con respecto a las amenazas reales, la autoevaluación y la medición a través del CSF también se pueden utilizar para mejorar la toma de decisiones sobre las prioridades de inversión. Un conjunto limitado de recursos y financiación es una realidad para todos los líderes de seguridad, independientemente de la industria. Identificar las brechas en el programa de seguridad y dirigir las inversiones a las áreas que presentan el riesgo más significativo puede brindar enormes beneficios. Por eso es importante que los líderes de seguridad se aseguren de que la implementación de los controles y las actividades de seguridad estén vinculados a los resultados de la organización y los objetivos comerciales. Hacerlo garantiza la alineación con el liderazgo empresarial, refuerza la aceptación de las iniciativas de seguridad y ayuda a que la empresa funcione de forma segura.


NIST CSF es un marco flexible para administrar el riesgo organizacional y la madurez del programa de seguridad. Sus casos de uso incluyen la gestión de requisitos cibernéticos, la notificación de riesgos de seguridad cibernética y la integración y alineación de procesos cibernéticos y de adquisición. Todos estos casos de uso son aplicables cuando se trata de cumplir con la gran cantidad de tareas y objetivos que surgieron en la EO de ciberseguridad de 2021.

Aprendiendo sobre el LCR

El CSF de NIST puede ser una herramienta valiosa para las organizaciones que mejoran la madurez de su programa de seguridad y buscan reducir el riesgo organizacional y cubrir funciones de seguridad críticas. Existen numerosos recursos para comenzar con CSF, sobre todo del propio NIST . Proporcionan aprendizaje en línea, presentaciones y documentación detallada del marco. Incluso hay un libro dedicado al NIST CSF. A medida que las organizaciones continúan mejorando su programa de seguridad, un marco dinámico y completo, mapeado a los estándares existentes es increíblemente valioso, y ese es el papel que desempeña el CSF de NIST.


Fuente: https://www.csoonline.com/article/3647874/using-the-nist-cybersecurity-framework-to-address-organizational-risk.html

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...