jueves, 10 de febrero de 2022

El youtuber Ice Poseidón estafa a sus seguidores 500.000 dólares y se compra un Tesla



El youtuber Paul Denino, conocido como Ice Poseidón, creó una criptomoneda con la que estafó a sus seguidores

El youtuber Paul Denino, conocido como Ice Poseidon, se la ha jugado bien a sus seguidores. Denino creó una criptodivisa llamada CXcoin para estafarles obteniendo 500.000 dólares de beneficio, que ha utilizado para comprarse un Tesla.

El youtuber, que ya había sido sancionado hace un tiempo por Twitch tras hacer una broma de amenaza de bomba en un avión en su canal, utilizó la estrategia del 'pump and dump', mediante la cual se busca inflar el precio de un activo o criptomoneda para que los demás traders inviertan.

Aprovechando su influencia, el youtuber hizo una campaña vendiendo esta moneda, creada para la estafa, en todas sus redes sociales de manera que su precio iba subiendo cada vez más (pump) para después, una vez que el precio subía y las criptomonedas almacenadas por el youtuber mantenían un valor altísimo, las vendió, provocando que las monedas de los seguidores descendieran de valor (dump).

Según el youtuber que denunció a Denino, llamado CoffeezillaIce Poseidon se embolsó 500.000 dólares. 200.000 de ellos fueron a parar a desarrolladores e informáticos y el resto los usó para comprarse un Tesla.

Sin embargo, una vez que fue descubierto, el youtuber no mostró ni un mínimo de crítico, sino todo lo contrario. Cargó contra los seguidores por haber caído en la trampa: Parte de la responsabilidad es de los propios fans también, por poner demasiada emoción en ello (...) Sí, podría devolver el dinero, está dentro de mis posibilidades, pero voy a mirar por mí mismo y no lo haré"

Fuente: https://www.elmundo.es/tecnologia/2022/02/03/61fb8da4fc6c839f038b45d5.html

Google Cloud agrega detección de amenazas sin agentes a las cargas de trabajo de las máquinas virtuales

La Detección de amenazas de máquinas virtuales al principio se centrará en los criptomineros que se ejecutan en servidores virtuales. Se acerca la detección de ransomware, troyanos y otro malware.

A medida que más cargas de trabajo informáticas empresariales se trasladan a la nube, también lo hacen los atacantes. Los servidores virtuales han sido el blanco de grupos de criptominería y ransomware en los últimos años y, por lo general, no se benefician de los mismos niveles de protección que los puntos finales. Google se ha propuesto cambiar eso con la detección de amenazas basada en VM para su plataforma de computación en la nube.

Cuando se trata de computación en la nube, la eficiencia y la flexibilidad son muy importantes. Los servidores se escalan en función de las cargas de trabajo que se espera que ejecuten. Cualquier escaneo y monitoreo de seguridad adicional que requiera que un agente de software se ejecute dentro de las máquinas virtuales agregaría una sobrecarga y consumiría ciclos de CPU y memoria.


Ese es el problema que Google intenta resolver con su nueva función de Detección de amenazas de máquinas virtuales (VMTD) que se ofrece como parte del Centro de comando de seguridad en su motor informático.

"Para Compute Engine, queríamos ver si podíamos recopilar señales para ayudar en la detección de amenazas sin requerir que nuestros clientes ejecuten software adicional", dijo Timothy Peacock, gerente de producto de Google Cloud en una publicación de blog . "No ejecutar un agente dentro de su instancia significa un menor impacto en el rendimiento, una menor carga operativa para la implementación y administración del agente, y una menor exposición a la superficie de ataque de posibles adversarios".


¿Cómo funciona VMTD?

VMTD se ejecuta a nivel de hipervisor y tiene acceso directo a la memoria de las máquinas virtuales instrumentadas por ese hipervisor. Esto le da a la tecnología otro beneficio: el malware que se ejecuta dentro de la VM no puede manipularla, incluso si el programa malicioso tiene privilegios administrativos. Muchos programas de malware tienen rutinas integradas que intentan desactivar los escáneres de seguridad conocidos que se ejecutan en el mismo sistema para evadir la detección.

VMTD funciona como un servicio administrado que ejecutará escaneos periódicos de los proyectos de Compute Engine y la memoria en vivo de las instancias de VM utilizando las reglas de detección de amenazas de Google. Durante la etapa de vista previa de la tecnología, la detección está dirigida principalmente a los programas de criptominería, que son una de las amenazas de malware más comunes implementadas por los atacantes en los servidores comprometidos. Según el último informe de amenazas del Equipo de Acción de Ciberseguridad de Google, se observaron programas de minería de criptomonedas en el 86 % de todas las instancias de la nube comprometidas.

VMTD analizará el software que se ejecuta dentro de las VM utilizando una lista de nombres de aplicaciones, uso de CPU por proceso, hash de páginas de memoria, contadores de rendimiento de hardware de CPU e información sobre el código de máquina ejecutado para encontrar coincidencias con firmas criptomineras conocidas. En el futuro, a medida que se acerque al lanzamiento de disponibilidad general, el servicio obtendrá nuevas capacidades de detección para otros tipos de amenazas, como ransomware y troyanos de exfiltración de datos, y se integrará con otras partes de Google Cloud.


Por ahora, VMTD está disponible como un servicio opcional para suscriptores de Security Command Center Premium. Los clientes pueden definir un alcance para los escaneos, pero la tecnología no procesa la memoria de los nodos informáticos confidenciales , que cifran la memoria para proteger las cargas de trabajo confidenciales.

"VMTD complementa las capacidades existentes de detección de amenazas habilitadas por los servicios integrados de detección de amenazas de eventos y detección de amenazas de contenedores en SCC Premium", dijo Peacock. "Juntas, estas tres capas de defensa avanzada brindan una protección holística para las cargas de trabajo que se ejecutan en Google Cloud".

Event Threat Detection es un servicio que monitorea los registros de Google Cloud y Google Workspace en busca de signos de amenazas maliciosas y Container Threat Detection permite a los usuarios detectar ataques en tiempo de ejecución dentro de contenedores en lugar de máquinas virtuales, como el contenido de scripts de shell ejecutados, indicadores de shells inversos , nuevos binarios y bibliotecas recién cargadas.

Fuente: https://www.csoonline.com/article/3649094/google-cloud-adds-agentless-threat-detection-to-virtual-machine-workloads.html

Malware mediante ficheros Excel, en el punto de mira de las bandas de ransomware


Las técnicas sigilosas y las crecientes campañas de malware mediante ficheros Excel, están poniendo a las víctimas de ciberataques en el punto de mira de las bandas de ransomware. Y es que, los equipos de seguridad no deben confiar únicamente en la detección y en la información que manejan para actualizar sus defensas.

Así lo desprende HP en su último informe, HP Wolf Security Threat Insights, donde se proporciona un análisis de los ataques de ciberseguridad que se están llevando a cabo actualmente en el mundo.

“Los atacantes innovan constantemente para encontrar nuevas técnicas que eviten la detección, por lo que es vital que las empresas planifiquen y ajusten sus medidas de defensa en función del panorama cambiante de las amenazas y de las necesidades empresariales de sus usuarios“, explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP Inc.

HP Wolf Security

HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes al aislar las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios.

El equipo de investigación identificó una ola de ataques que utilizan la función de complementos de Excel para propagar malware, ayudando a los delincuentes a obtener acceso a los objetivos y exponiendo a las empresas y a los usuarios a robos de datos y a destructivos ataques de ransomware.

En comparación con el trimestre anterior, se ha multiplicado por seis (+588%) el número de atacantes que utiliza la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el malware.

El equipo también encontró anuncios de kits de creación de malware basado en complementos de Excel (extensión .xll) y herramientas para su envío (conocidos como droppers) en mercados clandestinos, que facilitan a los hackers sin experiencia el lanzamiento de los ataques.

Malware mediante ficheros Excel, en el punto de mira de las bandas de ransomware

Amenazas destacadas

Otras amenazas destacadas aisladas por el equipo de análisis de amenazas de HP Wolf Security son:

  • ¿El regreso de TA505? HP identificó una campaña de phishing por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos (TTP) con TA505, un grupo de ciberdelincuentes motivados con un claro objetivo financiero y conocido por sus campañas masivas de malware y por monetizar mediante malware el acceso a los sistemas infectados . El ataque se dirigía a las organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.
  • Una falsa plataforma de juegos infecta a las víctimas con RedLine: se ha descubierto un sitio servidor falso de la plataforma Discord, que engaña a los usuarios para que descarguen el infostealer (método de intrusión que basa su comportamiento en un caballo de troya que roba información del sistema) RedLine y roba sus credenciales.
  • El cambio de tipos de archivos poco comunes sigue eludiendo la detección: el grupo de amenazas Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. El malware de PowerPoint es inusual, ya que representa el 1% del malware.

Otras conclusiones

Otras conclusiones importantes del informe son:

  • El 13% del malware aislado gracias a Wolf Security habría sido capaz de saltar al menos la solución de seguridad de correo electrónico.
  • Las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones.
  • El 77% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13%.
  • Los archivos adjuntos más utilizados para enviar programas maliciosos fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
  • Los engaños de phishing más comunes estaban relacionados con el Año Nuevo o las transacciones comerciales, como “Pedido”, “2021/2022”, “Pago”, “Compra”, “Solicitud” y “Factura”.
Fuente: https://revistabyte.es/ciberseguridad/excel-malware/

martes, 8 de febrero de 2022

Huella de la GPU, otro medio de rastreo



 Lo más probable es que al leer Huella de la GPU, hayas pensado en la huella del navegador, una seria amenaza a la privacidad de la que ya te hablamos hace algún tiempo, y que nos muestra la ingente cantidad de información que podemos llegar a proporcionar a un servidor web cuando establecemos una conexión con el mismo. Y este es un asunto al que debemos prestar mucha atención, puesto que apunta a convertirse en una importante amenaza para la privacidad.

Esto es así porque los medios «clásicos» de rastreo, es decir, las cookies, cuentan con regulaciones cada vez más estrictas, y el hecho de que se almacenen en el ordenador del usuario al que se le hace seguimiento facilita sustancialmente su localización y gestión. Dicho de otra manera, son visibles para el usuario, que sabe qué cookies emplea cada web, y si lo desea puede bloquearlas para evitar el seguimiento, una limitación que protege la privacidad del usuario, pero que va en contra de otros intereses.

Es en este contexto en el que se empieza a valorar el uso de otros sistemas que permitan identificar al usuario, empleando para tal fin la información que éste, o su navegador para ser más exactos, puede proporcionar. Un conjunto de datos que en teoría deberían emplearse exclusivamente para optimizar el contenido que el servidor entrega al cliente, pero que como ya te contamos al hablar de la huella del navegador, puede servir para afinar mucho en la identificación del usuario.

La huella de la GPU ya ha sido probada para este fin por varios investigadores y el resultado de su trabajo, no es nada tranquilizador. Más bien al contrario, visto el éxito de la técnica que han probado, llamada DrawnApart, y que consiste en que, cuando el navegador se conecta al servidor, éste se apoya en WebGL para llevar a cabo una pequeña cantidad de operaciones gráficas intensivas que, eso sí, no se muestran en pantalla. El rendimiento de la GPU es medido por el servidor, y el resultado de dicha medición es, aunque pueda parecer sorprendente, un buen identificador de usuario.

Con la huella de la GPU, de nuevo, nos encontramos con un sistema que puede abusar de WebGL, algo que ya vimos con la huella del navegador. En esta ocasión, eso sí, el grupo Kronos, desarrollador de la API de WebGL, a respondido al estudio de estos investigadores formando un grupo de estudio que analizará en profundidad este método de explotación de la huella de la GPU con el fin de buscar posibles soluciones, en un proceso en el que involucrará a otras partes interesadas.

Huella de la GPU, otro medio de rastreo

Conocedores de esta problemática, los reguladores ya han empezado a trabajar en la creación del marco legal que limite (o que incluso llegue a prohibir) el uso de los medios de seguimiento basados en la identificación del usuario por la información que proporcionan sus dispositivos, como ocurre con la huella de la GPU. Sin embargo, aquí nos encontramos por una parte con la complejidad técnica de dichas técnicas y cómo perseguirlas, sumada a los tiempos que se suelen tomar las partes involucradas para la articulación de normas de este tipo. En consecuencia, no podemos confiar en contar con una regulación efectiva a corto plazo.

La solución a este problema, ya sea la huella de la GPU, del navegador, etcétera, está principalmente en la mano de los desarrolladores de los navegadores. Dado que este es el software que proporciona toda esa información, debería contar con herramientas que permitan, de un modo sencillo, documentado y accesible, establecer limitaciones a la información que proporcionan a los servidores con los que se conectan. La huella de la GPU se obtiene por información que tiene su origen en el navegador, por lo que si éste no llega a entregarla, ahí se acabará el problema.

Esto no sería algo nuevo, en realidad. Como ya te contamos en su momento, Mozilla empezó a bloquear la huella de navegador que se puede obtener mediante los lienzos (canvas) de HTML 5, una señal clara de que los desarrolladores son conscientes de este tipo de amenazas. La reacción frente a la divulgación de este modo de «ataque» basado en la huella de la GPU confirma que todavía se puede hacer mucho en ese sentido.

Fuente: https://www.muyseguridad.net/2022/02/01/huella-de-la-gpu-rastreo/

3,47 terabits por segundo: así ha sido el mayor ataque DDoS de la historia

 


Frente a la sofisticación que pueden llegar a tener los ataques de ransomware, o la «belleza intrínseca» que pueden tener los ataques de phishing más complejos, los ataques DDoS (ataque de denegación de servicio) pueden parecer los más burdos: millones de peticiones que apuntan a una dirección IP para dejar a un servidor o grupo de servidores fuera de servicio.

Y pese a que la técnica puede parecer «rudimentaria» y sin un beneficio económico evidente (evidente es aquí la palabra clave), lo cierto es que los grupos que se organizan para llevar a cabo este tipo de ataques no son solo cada vez más grandes, sino que en los últimos meses están demostrando hasta qué punto sus acciones pueden afectar al conjunto de la Red.

Un buen ejemplo nos llega desde Microsoft. Su equipo Azure DDoS Protection acaba de compartir que el pasado mes de noviembre repelieron el que según los expertos del sector ha sido probablemente el mayor ataque DDoS de la historia: un torrente de datos basura con un «caudal» de 3,47 terabits por segundo. El ataque provenía desde 10.000 ubicaciones diferentes repartidas entre como mínimo, diez países. Los de Redmond han explicado que el ataque tenía como objetivo a una importante asiática y que tuvo una duración de dos minutos.

Ya en el mes de diciembre, la compañía volvió a detectar otros dos ataques masivos a algunos de sus clientes. El primero, que llegó en cuatro «oleadas» lo hizo con un caudal de datos de 3.25 TBps y se prolongó durante quince minutos. El segundo de ese mismo mes, llegó a un pico máximo de 2,54 TBps y tuvo una duración de cinco minutos.

Como explican desde la multinacional americana, estos ataques ya son un 35% mayores a los que se registraban en 2018, lo que nos habla de una tendencia que lejos de desaparecer va y va a seguir yendo a más, especialmente de este último tipo que se está detectando últimamente. Hay que tener en cuenta en este sentido que los DDoS de paquetes por segundo funcionan agotando los recursos informáticos de un servidor, mientras que los ataques volumétricos más tradicionales, por el contrario, consumen el ancho de banda disponible, ya sea dentro de la red o el servicio objetivo, o entre el objetivo y el resto de Internet. En el nuevo record del pasado mes de noviembre, los atacantes se las ingeniaron para entregar aproximadamente 340 millones de paquetes por segundo.

La lógica de un super ataque DDoS

¿De qué forma se están consiguiendo ataques DDoS tan masivos? Como explican en Ars Technica, uno de los métodos «tradicionales» es aumentar el número de ordenadores, routers y otros dispositivos conectados a Internet que hayan sido comprometidos y por lo tanto «reclutados» para formar parte de su «ejército». En esta categoría entran también grandes servidores infectados que ya tienen un mayor ancho de banda que pueden utilizar.

Otra forma de hacerlo es utilizando vectores de amplificación. En este tipo de ataque, los cibercriminales apuntan a dispositivos de conectados a Internet que estén mal configurados, para que estos a continuación redirijan un ataque que será mucho mayor, hacia el objetivo final. Es este último método el que está impulsando la reciente «carrera armamentística» en el mundo de los ataques DDoS.

Es conocido que los cibercriminales que utilizan este método, están constantemente buscando nuevos vectores de amplificación. En 2014 se puso de moda el ataque a través de NTP (Network Time Protocol), con lo que se consiguió tumbar servidores de compañías como Steam, Origin, o EA. Este método incrementaba el rendimiento del ataque en 206 veces, lo que significa que un gigabyte de datos entregado por un dispositivo vectorizado alcanza 206 gigabytes en el momento en que llega a su objetivo final.

En 2018 los atacantes comenzaron a utilizaron memcachd, un sistema de almacenamiento en caché de bases de datos para acelerar los sitios web y las redes y que permitía amplificar el ataque original hasta en 51.000 veces. Un año más tarde, los DDoS se apoyaban en dispositivos que utilizaban WS-Discovery, un protocolo que se encuentra en una amplia gama de cámaras conectadas a la red, DVR y otros dispositivos del Internet de las Cosas.

Más recientemente, los ataques DDoS se han aprovechado del RDP de Microsoft y han desconfigurado los servidores que ejecutan CLDAP (abreviatura de Connectionless Lightweight Directory Access Protocol) y el Plex Media Server cuando ejecuta el Simple Service Discovery Protocol (o SSDP).

Desafortunadamente, sigue habiendo millones de dispositivos conectados a Internet y que no están configurados de la manera apropiada, por lo que vamos a seguir siendo testigos de este tipo de ataques en los próximos meses y años, ocupando un lugar de especial importante en actos de sabotaje y ciberguerra.

Ingeniería social: detectada una campaña masiva con origen en Brasil

 


De las múltiples técnicas existentes en el ecosistema de la ciberseguridad, la ingeniería social siempre me ha parecido la más interesante, además de, muy probablemente, la más inteligente. ¿Por qué? Porque se basa en el paradigma de que, en muchas ocasiones, el eslabón más débil de la cadena es es el usuario. Igual que digo que me parece interesante también aclaro que me parece despreciable, claro, pero eso no le resta interés.

Y es que, en la mayoría de los casos, resulta bastante más sencillo engañar a un usuario que a un sistema. Al final, quienes abrieron las puertas de Troya fueron los oficiales de seguridad de la plaza. De haber permanecido éstas cerradas, la seguridad de la ciudad, que recordemos que estaba fortificada, se habría mantenido. ¿Fueron los aqueos los precursores de la ingeniería social? No lo sabemos, puesto que hay bastantes dudas sobre la veracidad de los relatos de Homero y Virgilio, pero sin duda, se trata de un ejemplo bastante inspirador, para bien y para mal.

Sea leyenda o realidad, la historia del ingenio mostrado por el ejército aqueo es fácilmente trasladable al contexto actual, en el que la puerta de entrada para gran cantidad de ataques es la ingeniería social con una de sus caras más reconocibles: el phishing. Ya sea con campañas masivas o con ataques mucho sofisticados que entran en la categoría de spearphishing, pasan los años y el engaño sigue siendo una de las principales puertas de entrada a las infraestructuras.

Securança Informática publicaba, hace unos días, un completo informe sobre una campaña masiva, que ha estado operativa durante los últimos dos años, en la que mediante la ingeniería social se ha estado suplantando la identidad de múltiples organizaciones bancarias de varios países, con el fin de hacerse con los datos de clientes particulares de las mismas. El origen del grupo responsable se ubica en Brasil,  los países más afectados han sido Brasil, Chile, España, Francia, México, Portugal y Reino Unido, y sus responsables se ha apoyado en smishing, phishing y spearphishing.

En las campañas basadas en smishing, los ciberdelincuentes se han apoyado en listados de teléfonos adquiridos a otros grupos especializados en la comercialización (obviamente ilegal) de este tipo de datos. Es importante tener en cuenta que algunos de los listados de este tipo que se pueden obtener en la dark web son bastante detallados, lo que permite afinar en las comunicaciones enviadas a las potenciales víctimas, con el fin de incrementar las posibilidades de que el mensaje parezca legítimo.

Ingeniería social: detectada una campaña masiva con origen en Brasil

Gráfico: Securança Informática

Algo similar ocurre en las campañas basadas en spearphishing. La organización responsable de las mismas no ha realiza envíos indiscriminados, en su lugar, realiza un análisis y filtrado previos, a lo que debemos sumar que la confección de los mensajes de suplantación esta por encima de la media a la que estamos acostumbrados, lo que arroja como resultado que los emails de suplantación resultan bastante creíbles. Pura ingeniería social.

Una vez que la víctima hace click en el enlace malicioso, el usuario descarga sin saberlo el troyano que también es bastante sofisticado, especialmente en lo referido a sus capacidades de ocultación, pues su objetivo en primera instancia es pasar totalmente desapercibido. En estas campañas el malware se ha empleado, principalmente, para el robo de datos bancarios, si bien la conexión del malware con una estructura de servidores de comando y control, permite la descarga de nuevas cargas útiles con los que mejorar su técnica y/o realizar otras acciones maliciosas.

En MuySeguridad no nos cansaremos nunca de repetirlo: la mejor manera de prevenir los ataques basados en la ingeniería social es la formación. Desgraciadamente, la parte más expuesta de la infraestructura se suele ubicar en la capa 8 del modelo OSI y, aunque parezca mentira, los pretextos empleados durante años siguen mostrándose plenamente efectivos. Por su propia seguridad, los usuarios y las empresas deben involucrarse de manera activa en planes de alfabetización en ciberseguridad, y deben hacerlo de manera urgente. Y es que en caso contrario, la ingenería social seguirá siendo el talón de Aquiles tanto para usuarios particulares como para empresas.

Hoy se celebra el Día de la Internet Segura 2022, con múltiples iniciativas precisamente en este sentido. Desde eventos hasta publicaciones informativas, cada día se divulga más y mejor sobre estas amenazas, y aprender a identificarlas (o por lo menos a sospechar por defecto) es una necesidad cada vez más imperante en este tiempo en el que nos ha tocado vivir.

Fuente: https://www.muyseguridad.net/2022/02/08/ingenieria-social-campana-masiva/

Aprovecha el Día de Internet Segura 2022 para mejorar tu seguridad


 

Hoy se celebra en todo el mundo el Día de Internet Segura 2022. Un evento anual establecido el segundo martes de la segunda semana de febrero que no solo tiene el objetivo de promover un uso seguro (especialmente entre niños y jóvenes) de las tecnologías digitales, si no construir una Internet «mejor», para convertirla en un espacio en el que todos hagamos uso de ella de manera responsable, respetuosa, crítica y creativa.

Bajo el lema «Juntos por una Internet mejor», el Safer Internet Day alcanza la decimonovena edición con eventos en todo el planeta. En España, el acto más importante lo promueve INSAFE/INHOPE dentro de la red paneuropea de Centros de Seguridad en Internet y se celebra hoy en el Auditorio Ciudad de León, retransmitido en directo por streaming para los que lo quieran seguir.

Como años anteriores, este #SID2022 se dirige a todos los públicos y nos piden una partición activa con acciones precisas que marquen las diferencias en una Internet que está amenazada y no solo por malware. Si los niños y jóvenes pueden ayudar siendo respetuosos con los demás, protegiendo su reputación en la Red y participando positivamente, a los padres y tutores se les exige que desempeñan un papel fundamental a la hora de motivar e inculcar a sus hijos un uso responsable, respetuoso, crítico y creativo de la tecnología.

Bajo el lema «Juntos por una Internet mejor», el Safer Internet Day alcanza la decimonovena edición con eventos en todo el planeta. En España, el acto más importante lo promueve INSAFE/INHOPE dentro de la red paneuropea de Centros de Seguridad en Internet y se celebra hoy en el Auditorio Ciudad de León, retransmitido en directo por streaming para los que lo quieran seguir.

Como años anteriores, este #SID2022 se dirige a todos los públicos y nos piden una partición activa con acciones precisas que marquen las diferencias en una Internet que está amenazada y no solo por malware. Si los niños y jóvenes pueden ayudar siendo respetuosos con los demás, protegiendo su reputación en la Red y participando positivamente, a los padres y tutores se les exige que desempeñan un papel fundamental a la hora de motivar e inculcar a sus hijos un uso responsable, respetuoso, crítico y creativo de la tecnología.

Otro grupo importante son los profesores, educadores y trabajadores sociales a los que se pide capacitar a sus alumnos y estudiantes con competencias informáticas y ayudándolos a desarrollar habilidades que fomenten el pensamiento crítico. Mientras, las empresas, pueden colaborar en la creación de una Internet mejor creando contenido positivo y promoviendo servicios seguros en la red. Y qué decir de nuestros gobernantes; mucho por hacer aquí para proporcionar un entorno adecuado para todos los demás grupos, establecer estrategias reales de protección infantil o aprobar planes educativos que incluyan formación en ciberseguridad.

Internet Segura 2022

Consejos de protección en el Día de Internet Segura 2022

Los internautas, cómo no, también podemos participar y la mejor manera es adquirir cultura en ciberseguridad, asegurar en lo posible equipos y redes para una navegación segura y contrarrestar las campañas de falsedades y desinformación que terminan repercutiendo también en la seguridad como un riesgo en línea.

Las amenazas están ahí y son cada vez peores. Exigen del usuario un comportamiento proactivo y mucho sentido común, entendiendo que la vida virtual hay que protegerla hoy tanto como la física y que las tareas domésticas se han mezclado peligrosamente con las profesionales. Entendiendo que garantizar la seguridad y privacidad al 100% no es posible en una red global, sí hay una serie de medidas que podemos adoptar para mejorarlas, que incluyen el fortalecimiento de las cuentas on-line, aplicaciones, equipos donde las usamos y las precauciones debidas en el uso de Internet y sus servicios. Te las sabes de memoria porque forman parte de cualquier guía de ciberseguridad, pero ahí van una vez más:

Sentido común

La prudencia es una barrera preferente contra el malware y por ello, debemos tener especial cuidado en el apartado de descargas e instalación de aplicaciones de sitios no seguros; en la navegación por determinadas páginas de Internet; en la apertura de correos electrónicos o archivos adjuntos no solicitados; en los que llegan de redes sociales o aplicaciones de mensajería o en el uso de sistemas operativos y aplicaciones sin actualizar, que contienen vulnerabilidades explotables por los ciberdelincuentes para las campañas de malware.

Cuidado con la desinformación

Internet ha favorecido la llegada de una serie de personajes de los que debemos prevenirnos. La desinformación, las medias verdades, las noticias directamente falsas (fake news) o las que tienen una intención clara de manipular, son el pan nuestro de cada día. Cada vez son más peligrosas y llegan en un mayor número. Seamos responsables. Consultemos varias fuentes. No ayudemos a difundir toda esta basura que se usa para distribuir malware y para cosas peores.

Protege los navegadores web

Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones que usamos para acceder a Internet y sus servicios. Además de revisar el cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros que muestran los navegadores. También revisar las extensiones instaladas porque algunas son una fuente frecuente de introducción de malware y valorar el uso del «Modo Privado» (o modo incógnito) para mejorar la privacidad.

Actualiza sistemas y aplicaciones

Todos los sistemas operativos cuentan con herramientas para mantener actualizados sus equipos. Y son de uso obligado porque incluyen actualizaciones de seguridad contra amenazas conocidas. Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa.

Aprovecha el Día de Internet Segura 2022 para mejorar tu seguridad 30

Valora el uso de soluciones de seguridad

Son múltiples los proveedores que ofrecen soluciones de seguridad tanto comerciales como gratuitas cuyo uso conviene valorar. Lo mismo con las aplicaciones nativas contra el malware que incluyen algunos sistemas operativos como el Microsoft Defender. Por muy prudentes que seamos, es difícil estar a salvo de todo el malware que llega a Internet. A nivel profesional, es obligatorio el uso de una suite de seguridad comercial integral que incluya herramientas como un firewall y herramientas especializadas contra ataques de Ransomware, Phishing, adware o spyware.

Cuida las contraseñas

El cuento de nunca acabar… Sí, son terribles en usabilidad, pero hasta que no tengamos una adopción masiva de técnicas avanzadas de identificación biométrica tendremos que usarlas con seguridad. Ya sabes, tienen que ser aleatorias, largas y complejas, y distintas  para cada sitio web, especialmente los destinados a banca en línea y comercio electrónico. Valorar el uso de gestores de contraseñas capaces de hacer el trabajo por nosotros, reduciendo los errores humanos en su manejo y automatizando el proceso de generación y administración.

Usa autenticación de dos factores

Destinado a reforzar el uso de contraseñas, 2FA es un método de control de accesos que conocerás como «autenticación de dos factores», «doble identificación» o «verificación en dos pasos», que se ha convertido en uno de los mecanismos de seguridad más importantes de la industria tecnológica a la hora de autentificar usuarios y proteger identidades. Esta característica ya está disponible en la mayoría de servicios importantes de Internet y conviene utilizarla siempre que podamos, utilizando un código de verificación servido mediante una aplicación móvil o SMS.

Valora el uso del cifrado

El cifrado de unidad BitLocker es una característica de protección de datos del sistema operativo, disponible entre otras, en las ediciones Profesional y Enterprise de Windows 10 y 11. BitLocker permite cifrar o “codificar” los datos de tu equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos, y en definitiva mejorando la seguridad en línea.

Cuidado con las redes inalámbricas gratuitas

Los puntos de acceso gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Investigadores de seguridad han demostrado la inseguridad intrínseca de las redes inalámbricas públicas. Por lo general, son fácilmente pirateables por lo que únicamente deberíamos utilizarlas para navegación ocasional.

Utiliza una llave de seguridad hardware para cuentas vitales

Para cuentas vitales, especialmente en entornos profesionales y empresariales, conviene hacer un esfuerzo adicional para protegerlas usando un mecanismo de seguridad por hardware. Generalmente es un dispositivo en formato pendrive que se conecta a un puerto USB y contiene un motor de cifrado de alta seguridad. Todo el proceso se realiza dentro del hardware aumentando enormemente la seguridad general frente a las soluciones por software.

Fuente: https://www.muycomputer.com/2022/02/08/internet-segura-2022/

Cuando el ransomware tiene más variantes que el Covid



En los últimos dos años nos hemos acostumbrado a escuchar cómo el virus del Covid evoluciona, sufre mutaciones y aparecen nuevas variantes. Algo que puede servir como ejemplo para entender como el virus tecnológico más preocupante de la actualidad, el ransomware, se comporta de la misma forma para poder evitar las barreras que se le ponen. Sin ir más lejos, sólo el año pasado se identificaron 32 nuevas familias de ransomware, elevando el total a 157, lo que representa un aumento del 26% respecto al 2020 según se desprende del informe Ransomeware Spotlight 2021 Year End Report realizado por Ivanti junto con Cyber Security Works, CNA y Cyware


Lo peor de todo es que las vacunas también funcionan de la misma forma que en el mundo real: ayudan, pero nada impide que un equipo o una red se contagie. La gran diferencia, quizá, es que el porcentaje de vacunación es mucho más alto en la vida real que en el mundo cibernético ya que el informe reveló que los ataques de ransomware siguen centrándose en las vulnerabilidades no parcheadas y utilizan como método de ataque las vulnerabilidades de “día cero” en un tiempo record, provocando ataques devastadores. Al mismo tiempo, amplían sus áreas de actuación y encuentran nuevas formas de vulnerar las infraestructuras de las empresas y desencadenar ataques de gran impacto.

El análisis detectó 65 nuevas vulnerabilidades relacionadas con el ransomware durante el 2020, lo que representa un crecimiento del 29 % en comparación con el año anterior, y eleva el número total de vulnerabilidades asociadas al ransomware a 288. Es alarmante que más de un tercio (37 %) de estas nuevas vulnerabilidades fueran tendencia en la web oscura (Deep Web) y fueran explotadas repetidamente. En paralelo, el 56 % de las 223 vulnerabilidades más antiguas identificadas antes del 2021, siguieron siendo explotadas por grupos de ransomware. Esto confirma que las empresas deben priorizar y parchear las vulnerabilidades que son el objetivo de los grupos de ransomware, tanto si se trata de vulnerabilidades de identificación reciente como de otras más antiguas.


Grupos de ransomware

Los grupos de ransomware siguen encontrando y aprovechando las vulnerabilidades de “día cero”, incluso antes de que los CVE se incorporen a la base de datos nacional de vulnerabilidades y se publiquen los parches. Las vulnerabilidades de QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116) y, más recientemente, Apache Log4j (CVE-2021-44228) fueron explotadas incluso antes de llegar a la National Vulnerability Database (NVD). Esta tendencia alarmante pone de manifiesto la necesidad de agilizar, por parte de los proveedores, el momento de desvelar las vulnerabilidades y publicar los parches en función de su prioridad. También, destaca que es necesario que las empresas pongan su foco más allá del NVD y estén atentas a las tendencias de las vulnerabilidades, los casos de explotación, los avisos de los proveedores y las alertas de las agencias de seguridad, mientras priorizan las vulnerabilidades a parchear.

La cadena de suministro

Y por supuesto, los ataques de moda se centran de forma cada vez más creciente a las redes de la cadena de suministro para infligir grandes daños y causar un caos generalizado. Un solo virus en la cadena de suministro puede suponer la puerta de acceso para que los ciberdelincuentes secuestren distribuciones completas de sistemas en cientos de redes de víctimas. El año pasado, los ciberdelincuentes atacaron las redes de la cadena de suministro a través de aplicaciones de terceros, productos específicos de proveedores y bibliotecas de código abierto. Una de las claves de este auge de ciberataques a la cadena de suministro se debe, entre otros aspectos, porque los grupos de ransomware comparten cada vez más sus servicios, al igual que las ofertas legítimas de SaaS. El “ransomware como servicio” es un modelo de negocio en el que los desarrolladores de este tipo de malware ofrecen sus servicios, versiones, kits o código a otros actores maliciosos, a cambio de una remuneración. Las soluciones de explotación como servicio permiten a los actores de las amenazas alquilar explotaciones de “día cero” a los desarrolladores. Además, el Dropper-as-a-Service (DaaS) permite a los ciberdelicuentes inexpertos distribuir malware a través de programas que, cuando se ejecutan, pueden poner en marcha una carga útil maliciosa en el ordenador de la víctima. Y el Trojan-as-a-Service (“troyano como servicio”), también llamado “malware como servicio”, permite a cualquier persona con una conexión a Internet obtener y desplegar malware personalizado en la nube, sin necesidad de instalación.

Sólo el año pasado se identificaron 32 nuevas familias de ransomware, elevando el total a 157, lo que representa un aumento del 26%

Ataques masivos

El informe señala que con un total de 157 variantes de ransomware que explotan 288 vulnerabilidades, los grupos de ransomware pueden estar capacitados para realizar ataques masivos en los próximos años. Además, según Coveware, las empresas pagan en la actualidad una media de 220.298 dólares y se someten a 23 días de inactividad tras un ataque de ransomware.

Con todos estos datos Srinivas Mukkamala, vicepresidente senior de Productos de Seguridad de Ivanti, cree que ” ya que los grupos de ransomware son cada vez más numerosos y sus ataques más impactantes y viendo que aprovechan los kits de herramientas automatizadas para explotar las vulnerabilidades y penetrar más profundamente en las redes afectadas ampliando sus objetivos es necesario priorizar las vulnerabilidades basadas en el riesgo y la aplicación de una estrategia de parches automatizada, para identificar y anteponer los puntos débiles de las vulnerabilidades, para posteriormente acelerar su corrección.”

Fuente: https://revistabyte.es/ciberseguridad/ransomware-variantes-que-el-covid/

domingo, 6 de febrero de 2022

Sophos ofrece protección para el endpoint y acceso Zero Trust a la red con un único agente



Lanza al mercado Sophos ZTNA, una solución Zero Trust Network Access que se integra con Sophos Intercept X.

Sophos lanza al mercado una nueva solución de seguridad. Bautizada directamente como Sophos ZTNA, consiste en una herramienta Zero Trust Network Access que se integra con el producto para endpoints Sophos Intercept X.

De este modo, Sophos entrega ahora protección avanzada para endpoints y acceso a la red de confianza cero con un único agente de cliente.

Esta integración incluye a Sophos Extended Detection and Response y Sophos Managed Threat Response. Como parte del Ecosistema de Ciberseguridad Adaptativo de Sophos, Sophos ZTNA comparte información sobre amenazas con otras soluciones en tiempo real y ofrece respuestas automáticas.

A la hora de actuar, microsegmenta las redes para protegerlas de intrusiones, movimientos laterales y el robo de datos. También autentifica la identidad de los usuarios constantemente con múltiples factores y valida la salud de los dispositivos, blindando el acceso al máximo.

Como Sophos ZTNA solamente concede autorización a ciertos usuarios para aplicaciones y sistemas específicos de la red, elimina los riesgos de la confianza implícita.

“Muchas soluciones tradicionales de acceso remoto, como los escritorios remotos”, compara Joe Levy, CTO de Sophos, o “las redes IPsec y SSL-VPN, proporcionan un cifrado potente, pero muy poco más en cuanto a la defensa contra las amenazas modernas”.

“Las personas, las aplicaciones, los dispositivos y los datos ya no se limitan a las oficinas: están en todas partes, y necesitamos formas más modernas de protegerlos”, indica Levy. “Zero Trust es un principio de ciberseguridad muy eficaz y ZTNA lo encarna de forma práctica y fácil de usar, garantizando que los usuarios tengan acceso seguro sólo a los recursos que necesitan“.

Fuente: https://www.silicon.es/sophos-ofrece-proteccion-para-el-endpoint-y-acceso-zero-trust-a-la-red-con-un-unico-agente-2451372

Sophos lanza serie Switch para fortalecer la seguridad en redes locales

 Con esta nueva oferta, se agrega otro componente a la cartera de acceso seguro de Sophos, que también incluye Sophos Firewall y Sophos Wireless.

Sophos presentó la serie de conmutadores Sophos Switch, solución que protege la capa de acceso a una red de área local (LAN) para así conectar, alimentar y controlar la seguridad de los dispositivos dentro de la misma.

“Sophos Switch se integra a la perfección con el ecosistema de ciberseguridad adaptable de Sophos para ampliar la conectividad a través de las LAN de las oficinas”, dijo Joe Levy, director de tecnología de Sophos.

“Estamos eliminando las complejidades de las implementaciones de múltiples proveedores al proporcionar a las organizaciones y socios de canal una única fuente de administración, monitoreo y solución de problemas”.

Los conmutadores se gestionan de forma remota en la plataforma Sophos Central basada en la nube. Esto permite a los socios supervisar todas las instalaciones de los clientes, responder a las alertas y realizar un seguimiento de las licencias y las próximas fechas de renovación a través de una interfaz única e intuitiva.

Sophos Switch complementa a la perfección la cartera existente de Sophos: era la pieza que faltaba en nuestra oferta de seguridad de TI y ahora le da a nuestro negocio aún más influencia. Ya tuvimos mucho éxito con Sophos Firewall y, gracias a Sophos Switch, ahora podemos liberar toda la potencia de los productos y servicios de Sophos. Nuestra experiencia con el programa de acceso anticipado demostró que Sophos Switch es un punto de inflexión para nosotros y nos sorprendió muy positivamente lo bien que funcionó el producto desde el primer día”, dijo Patrizio Perret, director de tecnología de Avanet.

“Si bien un conmutador es prácticamente un producto básico en estos días, Sophos está agregando las capacidades necesarias para complementarse con el software. El ecosistema de ciberseguridad adaptable de Sophos es el ingrediente crucial que hará de Sophos Switch algo realmente especial al permitir que las empresas lo integren con otros componentes de seguridad de Sophos en su red”, añadió.

Los conmutadores de Sophos Switch con 8, 24 y 48 puertos están disponibles para compra inmediata exclusivamente a través del canal global de socios y proveedores de servicios gestionados (MSP) de la compañía. Estos son ideales para pequeñas y medianas empresas, oficinas remotas y en el hogar, minoristas, sucursales y más.

Fuente: https://www.itseller.cl/2022/01/12/sophos-lanza-serie-switch-para-fortalecer-la-seguridad-en-redes-locales/

Cymulate lanza servicio para aumentar los equipos de seguridad internos

Cymulate , el líder del mercado de gestión de postura de seguridad extendida, anunció hoy el lanzamiento de Amplify, una oferta impulsada por humanos diseñada para acelerar la implementación y optimización de su seguridad continua. garantía. Al proporcionar un asesor disponible, Amplify aumenta los equipos de seguridad internos para aprovechar mejor la plataforma de Cymulate y administrar la optimización de la postura de seguridad cibernética de una red, de extremo a extremo en todo el marco MITRE ATT&CK®.

"Amplify llega al mercado en el momento adecuado", dijo Eyal Wachsman, director ejecutivo y cofundador de Cymulate. "Con el aumento de los ciberataques, la creciente preocupación por  las amenazas de ransomware  a nivel de gestión y los recursos sobrecargados, entendimos por parte de nuestros clientes que existe una necesidad real de crear una solución cogestionada que pueda utilizar nuestros procesos de garantía de seguridad y elimine las suposiciones que podrían resultar fatales".

Cymulate elimina los puntos ciegos al evaluar la postura de seguridad actual de una organización y establece una línea base de seguridad para la visibilidad y el control. Para los clientes de Cymulate con equipos de seguridad sobrecargados, Amplify los ayuda a cerrar las brechas de seguridad de manera rápida y eficiente, racionalizando la tecnología, ayudando a mejorar las habilidades del personal y mejorando los procesos.

Cymulate integra su conjunto estándar de gestión de postura de seguridad extendida (XSPM) con la infraestructura de un cliente, ofreciendo una solución personalizable que demuestra el rendimiento de seguridad de una organización. Al evaluar la superficie de ataque y la efectividad de los controles de seguridad, incluidos el punto final, la puerta de enlace de correo electrónico, la puerta de enlace web, DLP y WAF, los resultados se utilizan para evaluar la capacidad de la organización para detectar, alertar y bloquear comportamientos maliciosos y tomar decisiones informadas sobre qué acción tomar a continuación.

Acerca de Cymulate

Extended Security Posture Management (XSPM) basado en Cymulate SaaS se implementa en una hora, lo que permite a los profesionales de la seguridad desafiar, validar y optimizar continuamente su postura de seguridad cibernética de principio a fin, en todo el marco MITRE ATT&CK®.   

La plataforma proporciona evaluaciones de riesgo listas para usar, expertas y dirigidas por inteligencia de amenazas que son fáciles de implementar y usar para todos los niveles de madurez, y se actualizan constantemente. También proporciona un marco abierto para crear y automatizar equipos rojos y morados mediante la generación de escenarios de penetración y campañas de ataque avanzadas adaptadas a sus entornos y políticas de seguridad únicos. Cymulate permite a los profesionales gestionar, conocer y controlar su entorno dinámico. 

Fuente: https://www.darkreading.com/risk/cymulate-launches-service-to-augment-in-house-security-teams

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...