Category: Blog

Un incidente de ciberseguridad reciente ha impactado a IFX Networks, una empresa de telecomunicaciones que ofrece servicios en la nube en varios países de América Latina. Este evento afectó la operación de ministerios en Colombia, así como empresas en Chile, durante el transcurso de la semana pasada. El ciberataque también tuvo repercusiones en un grupo de pequeñas y grandes empresas en Argentina que eran clientes de IFX y dependían de sus servicios para atender a sus clientes.

El ataque, según lo informado por la propia empresa, se trató de un ransomware, una forma de software malicioso que cifra los datos de las víctimas para exigir un rescate en criptomonedas a cambio de la clave de descifrado. Si la víctima se niega a pagar, los ciberdelincuentes amenazan con publicar los datos robados en la dark web como una segunda forma de extorsión, lo que podría dañar la reputación de la empresa afectada.

El problema principal radica en la amplia gama de servicios, tanto gubernamentales como privados, que están alojados en los servidores de IFX. La empresa se dedica a lo que se conoce como MSP (Proveedor de Servicios Gestionados), que implica la administración remota de infraestructura bajo un modelo de suscripción. En este momento, su sitio web está inaccesible, y solo se puede acceder a una página que actualiza información sobre el estado del incidente, donde el día de ayer (24 de septiembre) anunciaron que “todos sus clientes “informamos que todos nuestros clientes ya están en línea y estamos ahora trabajando con ciertos de ellos en últimos detalles“

En Colombia, se estima que alrededor de 65 entidades gubernamentales y ministerios han experimentado problemas en sus sistemas debido a este incidente, incluyendo el Consejo Superior de la Judicatura, el órgano encargado de la administración de la justicia en el país.

En Chile, sitios web importantes como Mercado Público y Chile Compra, que son similares a Mercado Libre en términos de comercio electrónico, siguen sin estar operativos hasta la fecha de esta publicación.

En Argentina, varias pequeñas y grandes empresas, que se dedican al desarrollo de software para terceros y dependen de los servicios de IFX, están enfrentando dificultades para operar debido a este ransomware que afectó a los sistemas de la empresa proveedora.

“El 12 de septiembre pasado, IFX Networks experimentó una incidencia en algunas de nuestras máquinas virtuales como resultado de un ciberataque externo conocido como ransomware”, explicó la compañía en un comunicado oficial.

Algunas empresas de la región utilizan sus soluciones de ERP y CRM en nubes tercerizadas. ¿Qué pasaría si tu sistema de facturación, gestión de clientes y ventas se viera afectado por algo similar?

Conclusión. Es importante tener mecanismos de seguridad en su infraestructura, pero también es importante que toda su data no esté en una misma canasta y disponer de planes de contingencia y de recuperación de desastres para que su operación no se vea afectada.

Agende una llamada para conocer como Network Secure puede ayudarle a desarrollar un plan de contingencia, recuperación de desastres y proteger sus datos e infraestructura.

Otro caso similar sucedió en Las Vegas.

Un grupo de atacantes que previamente había vulnerado la seguridad de Caesars Entertainment logró infiltrarse en MGM Resorts International, según información proporcionada por cuatro fuentes familiarizadas con el incidente.

De acuerdo con dos de las fuentes, los hackers exigieron un rescate a MGM, aunque no quedó claro de inmediato cuánto dinero solicitaron ni si utilizaron ransomware para cifrar los archivos de la empresa.

MGM optó por no responder preguntas sobre el ataque. En un comunicado emitido hace unas semanas, MGM declaró que la investigación sigue en curso. Además, la compañía afirmó su compromiso de implementar medidas adicionales de seguridad para proteger sus operaciones comerciales.

Hasta cuatro días después del inicio del ciberataque, MGM seguía trabajando para resolver el caos causado por el grupo de hackers conocido como Scattered Spider. Este ataque había perturbado los sitios web de la compañía, su sistema de reservas e incluso algunas máquinas tragamonedas en sus casinos en todo el país, según dos de las fuentes.

Es importante destacar que el mismo grupo de hackers, Scattered Spider, había atacado previamente a Caesars Entertainment en un ciberataque unas semanas antes. Según informantes que solicitaron el anonimato debido a la naturaleza delicada de la información, Caesars finalmente pagó un cuantioso rescate, que ascendió a decenas de millones de dólares, a los hackers. La primera brecha se produjo a través de un proveedor externo de tecnología de la información antes de que los hackers obtuvieran acceso a la red de la empresa, según fuentes y noticias publicadas.

Un devastador ataque de ransomware que tuvo lugar el 8 de febrero afectó gravemente a la Ciudad de Oakland, causando interrupciones en los sistemas de red de la ciudad. Como resultado, el administrador de la ciudad se vio obligado a declarar un estado de emergencia para acelerar el proceso de restauración de los sistemas.

Temporalmente, se cerró la línea de atención telefónica 311 de la municipalidad, encargada de coordinar las solicitudes de servicios municipales. Esta línea de llamadas es vital para contratar y financiar proveedores externos, gestionar los permisos para el desarrollo local y procesar los pagos de impuestos comerciales y tarifas de estacionamiento.

Desde la primera violación, el grupo de ransomware denominado Play ha estado filtrando en la web oscura archivos personales y financieros robados durante el ataque. Los funcionarios municipales han confirmado que este grupo de hackers, que ya había publicado información personal confidencial en febrero, también es responsable de una filtración de datos de 600 gigabytes en la web oscura. Entre los datos filtrados se encuentran números de seguridad social, direcciones de domicilio y registros médicos de miles de empleados actuales y anteriores de la municipalidad.

La Ciudad de Oakland no es el primer objetivo de este grupo de ransomware, también conocido como PlayCrypt, ya que ha atacado a varios gobiernos locales y empresas alrededor del mundo.

Medidas para prevenir este tipo de ataques

Existe una diferencia fundamental entre la detección y respuesta cibernética y la protección y eliminación. La detección y respuesta cibernética son medidas reactivas que se implementan después de que las amenazas ya han ingresado a la red para explotar los sistemas y filtrar datos.

Por otro lado, la protección y eliminación son medidas proactivas que buscan eliminar las vulnerabilidades antes de que los actores maliciosos las descubran y las aprovechen.

El ataque de ransomware a la Ciudad de Oakland podría haberse evitado si se hubieran seguido algunas prácticas básicas de ciberseguridad, tales como:

1. Realizar pruebas de penetración automatizadas.
2. Mantener actualizado el software.
3. Utilizar contraseñas fuertes y autenticación de dos factores.
4. Realizar copias de seguridad de los datos regularmente en un lugar externo.
5. Capacitar a los empleados para reconocer correos electrónicos de phishing y otras tácticas de ingeniería social.
6. Restringir el acceso a datos y sistemas sensibles.
7. Utilizar firewalls y software de seguridad de punto final.

Las pruebas de penetración automatizadas han demostrado ser bastante efectivas. Si bien no existe una solución definitiva para prevenir los ataques de ransomware, las pruebas de penetración automatizadas se han revelado como una medida proactiva de seguridad eficaz que permite a las agencias gubernamentales y a las empresas comerciales cambiar su rol de víctimas a cazadores.

Si tu empresa busca minimizar el riesgo y reducir la brecha de seguridad, en Network Secure podemos ayudarte con nuestro servicio de seguridad de Pentesting junto con herramientas de clase mundial bajo una modalidad de proyecto o como Servicio Administrado.

Agenda una llamada gratuita con uno de nuestros especialistas.

¡Cuidado con los cargadores públicos gratuitos! Recientemente, el FBI ha advertido a los consumidores sobre los peligros de utilizar estaciones de carga públicas gratuitas, ya que los delincuentes han logrado tomar el control de los cargadores públicos y pueden infectar tus dispositivos con malware o software que puede dar a los hackers acceso a tu teléfono, tableta o computadora.

El FBI de Denver dijo en un tweet: “Evita utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los malhechores han encontrado formas de utilizar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos. Lleva tu propio cargador y cable USB y utiliza un enchufe eléctrico en su lugar”.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

El FBI ofrece recomendaciones similares en su sitio web para evitar cargadores públicos. Aunque el boletín no mencionó ningún caso reciente de daño al consumidor por “juice jacking“, el FBI de Denver dijo que el mensaje estaba destinado como una advertencia general y que no hubo un caso específico que lo motivara.

La Comisión Federal de Comunicaciones también ha advertido sobre el “juice jacking” desde 2021. Los dispositivos de los consumidores con cables USB comprometidos pueden ser secuestrados a través del software, que puede entonces robar nombres de usuario y contraseñas, advirtió la comisión. Por lo tanto, se recomienda a los consumidores que eviten esas estaciones públicas.

En conclusión, la próxima vez que necesites cargar tus dispositivos mientras estás fuera de casa, es mejor llevar tu propio cargador y cable USB y utilizar un enchufe eléctrico. Mantener tus dispositivos seguros y protegidos es esencial en un mundo en el que los delincuentes están siempre buscando formas de aprovecharse de la tecnología.

De acuerdo a una reciente publicación de Trellix Advanced Research Center, Trellix Encontró una nueva clase de errores que permiten saltarse la firma de código para ejecutar código arbitrario en varios programas de la plataforma, lo que lleva a la escalada de privilegios y al escape de la sandbox en macOS e iOS. Esto significa que los hackers pueden acceder a información confidencial como mensajes, ubicación, historial de llamadas y fotos de un usuario.

Descubriendo una nueva clase de errores
En septiembre de 2021, Citizen Lab reveló FORCEDENTRY, un exploit de ejecución remota de código iOS sin clics que apuntaba a un activista saudí para infectar su iPhone con el malware Pegasus. Luego, colaboraron con Google Project Zero para analizar los exploits, lo que llevó a un par de publicaciones que detallaban los métodos utilizados en el ataque. La Parte 1 describió la explotación inicial del código de análisis de PDF y la Parte 2 expuso la evasión del sandbox.
Si bien se prestó mucha atención al primer exploit, nos interesó mucho más el segundo, ya que describía una manera de ejecutar dinámicamente código arbitrario en otro proceso que evitaba por completo la firma de código. Se utilizó NSPredicate, una clase que parece inocente y que permite a los desarrolladores filtrar listas de objetos arbitrarios. En realidad, la sintaxis de NSPredicate es un lenguaje de secuencias completo. La capacidad de generar y ejecutar código dinámicamente en iOS había sido una función oficial todo este tiempo.
Sin embargo, esto era solo el comienzo, ya que esta función reveló una clase completamente nueva de errores que rompe por completo la seguridad entre procesos en macOS e iOS.

El Sandbox Escape de FORCEDENTRY no fue la primera exploración de este comportamiento. CodeColorist, un prolífico investigador de seguridad del espacio de usuarios de iOS, diseñó un desafío para Real World CTF 2019 que involucraba la explotación de la mecánica de NSPredicate. Luego dio una charla y publicó el post de blog “See No Eval” en enero de 2021, que detallaba cómo usarlos para ejecutar código arbitrario. La esencia de esta investigación fue que los objetos NSExpression, los bloques de construcción de un NSPredicate, se podían usar para llamar a métodos arbitrarios en clases y objetos arbitrarios. Usando clases existentes en los marcos privados de Apple, era posible evitar la autenticación de punteros (PAC) y cualquier otra mitigación para llamar a cualquier función.

Sin embargo, el post también describe formas en que Apple ha mitigado la peligrosidad de estos objetos, a través de un protocolo llamado NSPredicateVisitor. Las clases que implementan este protocolo se pueden usar para verificar cada expresión y asegurarse de que sean seguras para evaluar. CodeColorist señala al final de su post que “Sin una validación adecuada, podría ser una superficie de ataque entre procesos para evitar TCC”.

Aunque se han implementado mitigaciones para evitar que se produzcan estas vulnerabilidades, se descubrió que estas medidas de seguridad pueden ser eludidas. La solución de seguridad más reciente de Apple, por ejemplo, utiliza una gran lista de denegación para prevenir el uso de clases y métodos específicos que podrían comprometer la seguridad.

Sin embargo, Trellix ha descubierto que estos nuevos mecanismos de seguridad pueden ser eludidos mediante el uso de métodos que aún no han sido restringidos. De este modo, se pueden eliminar todas las restricciones existentes, lo que permite el uso de los mismos métodos que antes. Este tipo de elusión fue asignado el número CVE-2023-23530 por Apple.

Además, se descubrió que casi todas las implementaciones de NSPredicateVisitor podían ser eludidas, lo que llegó a descubrir numerosas vulnerabilidades potenciales que aún se están explorando. Es importante tener en cuenta que estos problemas son graves, pero ya se están tomando medidas para solucionarlos.

Se encontraron varias vulnerabilidades en una nueva clase de errores de seguridad.
La primera de ellas se encuentra en coreduetd, un proceso que recopila datos sobre el comportamiento del dispositivo. Un atacante con ejecución de código en un proceso con los permisos adecuados, como Mensajes o Safari, puede enviar un NSPredicate malicioso y ejecutar código con los privilegios de ese proceso. Este proceso se ejecuta como root en macOS y da al atacante acceso al calendario, la libreta de direcciones y las fotos del usuario.

También se encontró un problema muy similar con impacto similar en contextstored, un proceso relacionado con CoreDuet. Este resultado es similar al de FORCEDENTRY, donde el atacante puede usar un servicio XPC vulnerable para ejecutar código desde un proceso con mayor acceso al dispositivo.

Los daemons appstored (y appstoreagent en macOS) también tienen servicios XPC vulnerables. Un atacante con control sobre un proceso que pueda comunicarse con estos daemons podría explotar estas vulnerabilidades para obtener la capacidad de instalar aplicaciones arbitrarias, potencialmente incluso aplicaciones del sistema.

También se detectaron vulnerabilidades de esta clase en servicios que pueden ser accedidos por cualquier aplicación, sin necesidad de permisos especiales. La primera está en OSLogService, un servicio XPC que puede usarse para leer información potencialmente sensible del syslog. Además, un atacante puede explotar una vulnerabilidad de NSPredicate en UIKitCore en el iPad. Al establecer reglas maliciosas de activación de escenas, una aplicación puede lograr la ejecución de código dentro de SpringBoard, una aplicación altamente privilegiada que puede acceder a datos de ubicación, la cámara y el micrófono, el historial de llamadas, fotos y otros datos sensibles, así como borrar el dispositivo.

Conclusión
Las vulnerabilidades mencionadas anteriormente representan una importante violación del modelo de seguridad de macOS y iOS, el cual se basa en que las aplicaciones individuales tengan acceso detallado a un subconjunto de recursos y que consulten servicios de mayor privilegio para obtener cualquier otra cosa.

Los servicios que aceptan argumentos NSPredicate y los verifican con insuficientes NSPredicateVisitors permiten que aplicaciones maliciosas y códigos de explotación derroten el aislamiento de procesos y accedan directamente a muchos más recursos de los que deberían permitirse. Estos problemas se abordaron en macOS 13.2 e iOS 16.3. Por lo tanto, sugerimos que todos los usuarios de iOS y macOS actualicen su software a las últimas versiones.

Trellix agradece a Apple por trabajar rápidamente con ellos para solucionar estos problemas.

Fuente: Trellix Advanced Research Center

Si desea asegurarse de que su empresa está protegida al máximo, le recomendamos agendar una llamada con uno de nuestros especialistas para conocer sobre nuestro servicio de consultoría de seguridad IT.

Nuestro equipo de expertos en seguridad informática estará encantado de ayudarlo a implementar las medidas necesarias para garantizar la seguridad de su negocio.

¡No dude en ponerse en contacto con nosotros hoy mismo para obtener más información sobre cómo podemos ayudarlo a proteger su empresa!

Toad es una herramienta de administración de bases de datos que ha existido desde hace más de una década. En este blog post, se mencionan las 10 razones principales por las que una empresa debería implementar Toad en su empresa.

1. Toad ofrece una amplia gama de características para los usuarios finales. Esto incluye el acceso a una amplia variedad de herramientas en línea y fuera de línea para realizar tareas como la administración de bases de datos, la administración de consultas y la masificación de datos.
   
   Esto significa que los usuarios finales pueden realizar una amplia gama de tareas sin tener que aprender un lenguaje de programación completo. Además, Toad ofrece una amplia gama de herramientas de automatización, lo que significa que los usuarios finales pueden realizar tareas repetitivas en un período de tiempo mucho más corto.
   

2. Toad ofrece una plataforma de administración de bases de datos altamente segura. Esto se debe a que la herramienta ofrece una amplia gama de características de seguridad, desde la autenticación de usuario hasta el cifrado de datos. Esto significa que los datos de la empresa estarán a salvo de cualquier intento de violación de seguridad.
   
   
3. Toad es una herramienta de administración de bases de datos altamente escalable. Esto significa que se puede implementar fácilmente en cualquier tamaño de empresa, desde pequeñas empresas hasta grandes corporaciones. Además, la herramienta ofrece una amplia gama de características de administración y escalabilidad, lo que significa que se puede escalar fácilmente para satisfacer las necesidades de la empresa.
   
   
4. Toad ofrece una amplia gama de características de soporte técnico. Esto incluye una amplia gama de documentación, tutoriales en línea, foros de usuarios y soporte telefónico. Esto significa que la empresa tendrá la capacidad de recibir un soporte técnico eficaz y oportuno en caso de que se presenten problemas con la herramienta.
   
   
5. Toad es una herramienta de administración de bases de datos altamente compatible. Esto significa que se puede utilizar con una amplia variedad de sistemas operativos, como Windows, Linux, Mac OS X y otros. Esto significa que la herramienta se puede implementar fácilmente en cualquier entorno de tecnología de la información.
   
   
6. Toad es una herramienta de administración de bases de datos altamente personalizable. Esto significa que se puede personalizar la herramienta para satisfacer las necesidades de la empresa. Esto incluye la capacidad de crear scripts personalizados, personalizar la interfaz de usuario y mucho más.
   
   
7. Toad ofrece una amplia gama de características de rendimiento. Esto incluye la capacidad de mejorar el rendimiento de las bases de datos, optimizar el uso de memoria y optimizar el uso de recursos. Esto significa que los usuarios finales pueden obtener un rendimiento óptimo de su base de datos con Toad.
   
   
8. Toad es una herramienta de administración de bases de datos altamente rentable. Esto se debe a que la herramienta ofrece una amplia gama de características y funciones a un precio competitivo. Además, la herramienta es fácilmente escalable y se puede implementar fácilmente en cualquier entorno, lo que significa que la empresa no tendrá que gastar de más en la implementación.
   
   
9. Toad es una herramienta de administración de bases de datos altamente eficiente. Esto significa que los usuarios finales pueden realizar tareas complejas y avanzadas en un período de tiempo mucho más corto. Esto significa que los usuarios finales pueden obtener resultados mucho más rápido y con menos esfuerzo.
   
   
10. Toad es una herramienta de administración de bases de datos altamente confiable. Esto significa que los usuarios finales pueden contar con la herramienta para realizar tareas complejas y avanzadas sin fallas. Esto significa que los usuarios finales pueden confiar en la herramienta para obtener resultados confiables y consistentes.
    

En conclusión, Toad es una herramienta de administración de bases de datos altamente potente y versátil. Esto significa que la empresa tendrá la capacidad de realizar una amplia gama de tareas con la herramienta sin tener que aprender un lenguaje de programación completo.

Además, la herramienta ofrece una amplia gama de características de seguridad, rendimiento, escalabilidad y soporte técnico que la hacen ideal para cualquier empresa.

Por lo tanto, implementar Toad en una empresa es una excelente forma de mejorar la administración de bases de datos.

Si estás interesado en mejorar la gestión de tus bases de datos, no dudes en contactarnos para agendar una llamada y demostración de Toad. Juntos podemos evaluar cómo Toad puede ayudar a tu empresa a lograr sus objetivos.

Si tu empresa está pensando adquirir o renovar licenciamiento de Toad®, contáctanos o conoce más sobre Toad en nuestra página de producto.

Con los desafíos a la seguridad de la información y un entorno tecnológico cambiante, surgen día a día nuevas vulnerabilidades y amenazas, y por supuesto el ransomware no es la excepción, desde una visión proactiva es importante tener medidas preventivas para minimizar el impacto que un ataque efectivo podría tener sobre las operaciones del negocio, sin embargo, no siempre esto ha sido factible, por lo cual también hay que considerar las medidas reactivas cuando el ataque se materialice.

Lo más importante es tomar medidas preventivas que ayuden a proteger toda la red.

Una de las medidas preventivas más significativas es el crear una cultura de la seguridad de la información, en donde todos los usuarios finales de la información tomen las medidas pertinentes para su resguardo, y la compartan únicamente con los interesados involucrados manteniendo las líneas de comunicación autorizadas dentro de la organización, reconocidos estos como los canales seguros; además, por supuesto, de contar con todas las medidas de protección como aseguramiento de endpoints a través de soluciones EDR, protección perimetral con firewalls de última generación, manejo de software actualizado, gestión de cuentas privilegias, backups seguros, entre otros.

En Network Secure, nuestro equipo de especialistas está dispuesto ayudarle a usted y a su organización, si cuentas con un problema de ataque de Ransomware o buscas estar protegido de ello, agenda una llamada con uno de nuestros especialistas para que podamos ayudarte con un assessment.

Haga un balance de todo el hardware y el software que utiliza actualmente su organización.

Conozca lo que tiene, cuánto cuesta su funcionamiento, qué recursos de la organización se utilizan para su funcionamiento y mantenimiento, y si hay o no planes para reemplazar el equipo existente en algún momento en el futuro.

Por ejemplo: Si tiene un servidor que ejecuta Windows Server 2003 pero se ha actualizado a Windows Server 2008 R2 (o posterior), esto podría indicar que debería preocuparse por los ataques de ransomware debido a la versión más antigua del sistema operativo que se utiliza en esta máquina específica.

También puede considerar la posibilidad de actualizar otros sistemas si no cumplen con los estándares técnicos actuales o si no se ejecutan en versiones más nuevas de sistemas operativos como Microsoft Office 2010/2013/2016, etc., que son más seguras que las versiones anteriores debido principalmente a que incluyen características como la arquitectura de 64 bits; sin embargo, todavía puede haber vulnerabilidades asociadas a esas versiones, por lo que es importante no sólo el tipo de ordenador que ejecuta cada dispositivo individual, sino también cuántas personas acceden a ellos diariamente frente a las semanales/mensuales, etc.

Para el control de su inventario de software y las versiones instaladas, recomendamos pueda utilizar una solución de Manage Engine que le permite realizar una gestióncentralizada.

Implantar políticas de seguridad sólidas.

Dentro de la organización, como parte del sistema de gestión de la seguridad de la información, debería de existir un equipo encargado de velar porque las políticas se cumplan y estén correctamente aplicadas, reconocido normalmente este como “comité de seguridad de la información”; dentro de sus funciones principales están el impulsar, velar y responder por la seguridad de la información de la organización, por tanto deben ser conscientes de la importancia de la protección contra ciberamenazas, en los endpoint, sistemas, equipos e infraestructura de red en general.

Es una labor de gran responsabilidad, dado que todo el proceso de validación de políticas, normas, procedimientos y relacionados deben estar alineados con los objetivos del negocio sin dejar de lado el salvaguardar la información, y esto a su vez, debe de ser de conocimiento general a todos los colaboradores de la organización.

Actualice regularmente todos los sistemas, el hardware y las aplicaciones con los últimos parches.

La actualización periódica de todos los sistemas, hardware y aplicaciones con los últimos parches es esencial para prevenir ataques como éste. Si desconoce cómo actualizar su sistema o no está seguro de si se ha actualizado, consulte con un asesor de seguridad o con el fabricante de su dispositivo.

Actualizar los sistemas operativos: Windows 10 incluye una protección integrada contra el ransomware por defecto; sin embargo, aún puede ser vulnerable si un atacante compromete su PC a través de una infección o una infección de malware en una unidad USB (como las que se utilizan para las memorias flash), a través de archivos recibidos por correo o descargados desde internet.

Actualice las aplicaciones de software: Muchos programas populares, como Adobe Acrobat Reader, se actualizan automáticamente cuando hay actualizaciones de seguridad disponibles; sin embargo, algunos pueden requerir la intervención manual de los usuarios que deseen comprobar las nuevas versiones antes de instalarlas en sus ordenadores.

Asimismo, como una buena práctica, el equipo de tecnología de la información deberá ser el responsable de mantener el software actualizado, ya que no es apropiado que los usuarios finales tengan privilegios sobre modificaciones sensibles en los sistemas, esto, por supuesto, establecido a través de los procedimientos otorgados por parte del comité de seguridad de la información.

Se recomienda apoyarse con soluciones que les permita gestionar las versiones y las actualizaciones de los Sistemas Operativos y Softwares de forma centralizada y orquestado con un plan de actualizaciones.

Manage Engine es uno de los fabricantes que cuenta con soluciones que le permiten realizar esta tarea de forma automática, controlada y programada. A su vez, le genera alertas para el control de versiones y un reporte para conocer las versiones y el licenciamiento activo de su inventario.

Formar a los empleados sobre cómo evitar los ataques de ransomware.

La formación es un componente crítico de cualquier estrategia de seguridad, pero es especialmente relevante cuando se trata de ransomware. La formación del usuario reduce en gran medida el riesgo de infección; un ataque de ransomware normalmente comienza con un email malicioso, los usuarios deben saber identificar las ciberamenazas, incluyendo el ransomware, el phishing y la ingeniería social; los usuarios formados para identificar mensajes maliciosos son menos propensos a abrir un archivo adjunto infectado. Adicionalmente, el usuario de la información deberá conocer las políticas y procedimientos respecto al resguardo de la información y cómo detectar comportamientos que hagan sospechar que están siendo víctimas de un ataque de cualquier tipo, especialmente ransomware, qué acciones inmediatas deben tomar y a quién deben notificar para recibir la asistencia oportuna ante el evento.

Si se produce un ataque de Ransomware, aisle (desconecte o apague) inmediatamente el sistema infectado de la red para evitar que se propague a otros sistemas.

No intente limpiar el sistema. Es importante que no utilice ninguna herramienta o método que pueda dañar su ordenador o sus datos una vez que se haya producido la infección.

Si no está seguro de si su equipo debe apagarse o dejarse en funcionamiento durante la respuesta a un incidente, ríjase por los procedimientos aprobados por el comité de seguridad de la información y póngase en contacto con los responsables en su organización que pueda ayudarle a tomar esta decisión.

Cuenta con un equipo de respuesta a incidentes lo antes posible.

Ponte en contacto con nuestro equipo de especialistas en Seguridad de la Información para contarles sobre tu caso y que así podamos asesorarte de la mejor manera para que tu negocio tenga la menor afectación posible.

Conclusión: Esté preparado y sepa qué puede hacer si se produce un ataque.

La conclusión es que debe estar preparado y saber qué hacer si se produce un ataque.

Es importante que deba:

1. Gestionar las políticas de los usuarios de forma correcta.
2. Actualizar regularmente sus sistemas con los últimos parches y opciones de seguridad.
3. Monitorear su red y los equipos permanentemente.
4. Disponer de un Firewall que proteja la red empresarial.
5. Contar con una solución de respaldos según las necesidades del negocio.
6. Disponer de un Plan de Recuperación de Desastres.
7. Realizar chequeos de Pentesting al menos 1 o 2 veces en el año.
8. Contar con el apoyo de un equipo especializado en Seguridad IT.

Si necesita ayuda para mejorar la seguridad de la información de su organización o implementar una solución que le permita gestionar, administrar y monitorear su infraestructura, agende una llamada de asesoría gratis con nuestro equipo.

Siendo el ransomware y el phishing, dos de las amenazas más grandes y con mayor crecimiento en el mundo, no dejan de ser la preocupación principal de los CSO, ya que constantemente, estas amenazas, se encuentran en evolución para evadir las soluciones de seguridad y lograr secuestrar los datos de sus víctimas.

Por ello, en Network Secure recomendamos que las empresas cuenten con soluciones de monitoreo, gestión, control y protección de la información para reducir la brecha de vulnerabilidad.

De acuerdo con análisis realizados por laboratorios especializados de los fabricantes más reconocidos de soluciones de seguridad, han detectado el incremento de una variante de “secuestro” (ransomware) con un impacto significativamente mayor dado que dificulta su detección, eliminación y prevención por su forma de operar: el cifrado intermitente.

A diferencia del método tradicional que, a través del cifrado completo de los archivos, se bloquea el acceso general a la información o a la unidad de almacenamiento, el cifrado intermitente (o cifrado segmentado) toma bloques de los archivos para cifrarlos y dejando inutilizable la información; este método permite que los operadores de ransomware logren evadir los sistemas de detección (prevención) y consigan cifrar los archivos más rápido; la aplicación de este tipo de cifrado permite que el malware tome porciones de bytes de un archivo, logrando un ataque efectivo en un 50% menos de tiempo que un cifrado completo, adicionalmente, este método no es detectado fácilmente en los monitoreos de seguridad que se basan en detección automatizada de signos y procesos, la huella de los archivos cifrados es prácticamente igual a la de los archivos originales, por lo que los sistemas de detección lo pueden determinar como “válido” y no disparan alertas de infección.

Podría interesarte: Catálogo de Soluciones de Seguridad de Network Secure

La primera variante fue detectada a mediados del 2021, en LockFile, esta tendencia está siendo adoptada por otros grupos de ransomware como Black Basta, ALPHV (BlackCat), PLAY, Agenda y Qyick; LockFile cifra en bloques alternos de 16 bytes, mientras que Black Basta, que apareció en abril de 2022, no brinda a los operadores la opción de elegir entre modos, y decide qué hacer en función del tamaño del archivo,  Para archivos pequeños de menos de 704 bytes de tamaño, cifra todo el contenido, para archivos entre 704 bytes y 4 KB, cifra 64 bytes y omite 192 bytes en el medio. Si el tamaño del archivo supera los 4 KB, el ransomware de Black Basta reduce el tamaño del espacio de los intervalos intactos a 128 bytes, mientras que el tamaño de la parte cifrada sigue siendo de 64 bytes.

Adicionalmente, en la forma de operación de esta variante en el ransomware, en la actualidad, algunos no necesitan ponerse en contacto con un servidor de comando y control (C2) en Internet para operar, esto significa que puede cifrar datos en máquinas que no tienen acceso a Internet; además, se dice que “no hay ransomware que eliminar” dado que, una vez que ha cifrado todos los documentos en la máquina, el ransomware se “auto elimina”, borrando sus binarios, dificultando así su identificación y reversión.

Conclusión y Recomendación

Los sistemas de detección se encuentran en constante evolución ante estas amenazas, sin embargo, dado que la seguridad de la información debería tener un enfoque en capas, siempre es recomendable contar con los métodos adicionales de prevención y recuperación ante desastres, contar con sistemas de backup seguros con una apropiada segmentación y aislamiento de los sistemas en producción, para que puedan estar resguardados de amenazas de este tipo, permitiendo la restauración de operaciones con el menor impacto posible; idealmente, dentro de la definición de políticas de seguridad de la información se debería contar con una solución de contingencia que entre en operación cuando la falla sea detectada.

En Network Secure contamos con más de 18 años de experiencia y +400 clientes en Latinoamérica a quienes asesoramos y ayudamos con nuestro servicio de consultoría de Seguridad de la Información y las diferentes soluciones de +25 marcas de clase mundial para reducir las brechas y vulnerabilidades de la Seguridad de la Información y disponer de métodos de prevención y recuperación de desastres. Agende una llamada con uno de nuestros especialistas.

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y antimalware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.