OSINT: Inteligencia de Fuentes Abiertas

La inteligencia de código abierto (OSINT) es el acto de recopilar y analizar datos disponibles públicamente con fines de inteligencia.

En el contexto de OSINT, la inteligencia se refiere a la extracción y el análisis de datos públicos para obtener conocimientos, que luego se utilizan para mejorar la toma de decisiones e informar la actividad. Tradicionalmente, OSINT era una técnica utilizada por las comunidades de seguridad nacional y aplicación de la ley. Sin embargo, en los últimos años también se ha convertido en una capacidad fundamental dentro de la ciberseguridad.

Si bien se accede a la mayoría de los datos a través de Internet abierto y se pueden indexar con la ayuda de un motor de búsqueda como Google, también se puede acceder a través de foros más cerrados que no están indexados por los motores de búsqueda. Aunque la mayoría del contenido de la web profunda es inaccesible para los usuarios generales porque vive detrás de un muro de pago o requiere un inicio de sesión para acceder, todavía se considera parte del dominio público.

Los datos de fuente abierta son cualquier información que esté fácilmente disponible para el público o que pueda estar disponible a pedido.

También es importante tener en cuenta que a menudo hay una gran cantidad de datos secundarios que se pueden aprovechar de cada fuente abierta de información. Por ejemplo, las cuentas de las redes sociales se pueden minar para obtener información personal, como el nombre del usuario, la fecha de nacimiento, los miembros de la familia y el lugar de residencia. Sin embargo, los metadatos del archivo de publicaciones específicas también pueden revelar información adicional, como dónde se realizó la publicación, el dispositivo utilizado para crear el archivo y el autor del archivo.

En el ámbito de la ciberseguridad, los investigadores y analistas de inteligencia aprovechan los datos de código abierto para comprender mejor el panorama de amenazas y ayudar a defender a las organizaciones y las personas de los riesgos conocidos dentro de su entorno de TI.

OSINT se utiliza en el campo financiero, tecnológico, policial, militar (dónde tiene su origen), entre otros. Si nos centramos en el ámbito tecnológico, y más en concreto en la ciberseguridad, encontraremos que OSINT tiene varias aplicaciones:

  • Se utiliza en la etapa de reconocimiento de un pentesting: Descubrir hosts en una organización, información de Whois, encontrar subdominios, información de DNS,encontrar ficheros de configuración, passwords, etc…
  • Se utiliza para tests de ingeniería social: Buscar toda la información sobre un usuario (en redes sociales, documentos, etc) y ser consciente de la información que hay disponible en abierto para evitar “picar” en un ataque de phishing.
  • Prevención de ciberataques: Obtener información que nos haga estar a alerta ante una amenaza o un potencial ciberataque que pueda sufrir nuestra organización.
  • Cualquier investigación que se pueda resolver mediante la aplicación de conocimientos “Ciber”.

Hay que tener en cuenta que los cibercriminales también hacen uso de estas técnicas, por tanto es interesante hacer tests de los datos que obtenemos con OSINT, para saber si nosotros (como persona o como empresa) estamos revelando más información de la que nos interesa, y eliminarla en caso de que fuera posible para cerrar posibles vectores de ataque.

Podemos obtener información valiosa de infinidad de recursos (Redes Sociales, blogs, foros, noticias, documentos,etc..)Si observamos la información correspondiente a la cantidad de información que tiene internet en total, la cantidad de info que se almacena en RRSS en un minuto, la cantidad de personas que acceden a Internet, las que tienen Redes Sociales,…etc.(Se puede consultar aquí) Nos damos cuenta de las múltiples maneras que tenemos de obtener información que esta disponible de manera pública (Que no sea secreta no la hace menos importante) , y del gran poder del conocimiento que podemos conseguir tratando dichos datos.

Quizás el mayor desafío asociado con OSINT es administrar la cantidad verdaderamente asombrosa de datos públicos, que crecen a diario. Debido a que los humanos no pueden administrar tanta información, las organizaciones deben automatizar la recopilación y el análisis de datos y aprovechar las herramientas de mapeo para ayudar a visualizar y conectar puntos de datos con mayor claridad.

Con la ayuda del aprendizaje automático y la inteligencia artificial, una herramienta OSINT puede ayudar a los profesionales de OSINT a recopilar y almacenar grandes cantidades de datos. Estas herramientas también pueden encontrar vínculos y patrones significativos entre diferentes piezas de información.

Además, las organizaciones deben desarrollar una estrategia subyacente clara para definir qué fuentes de datos desean recopilar. Esto ayudará a evitar sobrecargar el sistema con información de valor limitado o confiabilidad cuestionable. Con ese fin, las organizaciones deben definir claramente sus metas y objetivos en lo que respecta a la inteligencia de fuente abierta.

Técnicas de recopilación OSINT

En términos generales, la recopilación de inteligencia de fuente abierta se divide en dos categorías: recopilación pasiva y recopilación activa .

  1. La recopilación pasiva combina todos los datos disponibles en una ubicación de fácil acceso. Con la ayuda del aprendizaje automático (ML) y la inteligencia artificial (IA), las plataformas de inteligencia de amenazas pueden ayudar a administrar y priorizar estos datos, así como a descartar algunos puntos de datos según las reglas definidas por la organización.
  2. La recopilación activa utiliza una variedad de técnicas de investigación para identificar información específica. La recopilación activa de datos se puede utilizar ad-hoc para complementar los perfiles de amenazas cibernéticas identificados por las herramientas de datos pasivos o para respaldar una investigación específica. Las herramientas de recopilación OSINT comúnmente conocidas incluyen búsquedas de registros de dominios o certificados para identificar al propietario de ciertos dominios. El sandboxing de malware público para escanear aplicaciones es otro ejemplo de recopilación de OSINT.

Dentro de la ciberseguridad, hay dos casos de uso comunes para OSINT:

  1. Medición del riesgo para su propia organización
  2. Entendiendo al actor, tácticas y objetivos

Medir su propio riesgo

Las pruebas de penetración o pentesting son la simulación de un ciberataque del mundo real para probar las capacidades de ciberseguridad de una organización y exponer vulnerabilidades. El propósito de las pruebas de penetración es identificar debilidades y vulnerabilidades dentro del entorno de TI y remediarlas antes de que sean descubiertas y explotadas por un actor de amenazas.

Si bien existen muchos tipos diferentes de pruebas de penetración, los dos más comunes dentro del contexto de OSINT son:

  • Prueba de penetración externa: evalúa sus sistemas orientados a Internet para determinar si existen vulnerabilidades explotables que exponen datos o acceso no autorizado al mundo exterior. La prueba incluye identificación del sistema, enumeración, descubrimiento y explotación de vulnerabilidades.
  • Evaluación de la superficie de amenazas: también conocido como análisis de superficie de ataque, se trata de mapear qué partes de un sistema deben revisarse y probarse para detectar vulnerabilidades de seguridad. El objetivo del análisis de la superficie de ataque es comprender las áreas de riesgo en una aplicación, hacer que los desarrolladores y especialistas en seguridad sepan qué partes de la aplicación están abiertas a ataques, encontrar formas de minimizar esto y notar cuándo y cómo la superficie de ataque. cambios y lo que esto significa desde una perspectiva de riesgo.
  • Prueba de penetración de aplicaciones web: evalúa su aplicación web mediante un proceso de tres fases: reconocimiento, en el que el equipo de seguridad descubre información como el sistema operativo, los servicios y los recursos en uso; descubrimiento, en el que los analistas de seguridad intentan identificar vulnerabilidades, como credenciales débiles, puertos abiertos o software sin parches; y explotación, en la que el equipo aprovecha las vulnerabilidades descubiertas para obtener acceso no autorizado a datos confidenciales.

Si bien hay una gran cantidad de información disponible públicamente que los profesionales de la seguridad cibernética pueden aprovechar, el gran volumen de datos OSINT, que se encuentran dispersos en muchas fuentes diferentes, puede dificultar que los equipos de seguridad extraigan puntos de datos clave. Además, es importante que la información relevante y de alto valor recopilada a través de la actividad OSINT se integre luego con las herramientas y los sistemas de ciberseguridad.

El marco OSINT es una metodología que integra datos, procesos, métodos, herramientas y técnicas para ayudar al equipo de seguridad a identificar información sobre un adversario o sus acciones de forma rápida y precisa.

Un marco OSINT se puede utilizar para:

  • Establecer la huella digital de una amenaza conocida
  • Reúna toda la inteligencia de disponibilidad sobre la actividad, los intereses, las técnicas, la motivación y los hábitos de un adversario
  • Clasifique los datos por fuente, herramienta, método u objetivo
  • Identificar oportunidades para mejorar la postura de seguridad existente a través de recomendaciones del sistema

OSINT consta de una serie de fases que permiten estructurar el trabajo de manera que se agilice la investigación. A continuación damos una breve descripción de estas fases:

  • Requisitos: Que problema queremos resolver? Que info necesitamos?
  • Identificación fuentes de información: Que fuentes nos pueden aportar información valiosa y veraz?
  • Adquisición: Etapa de obtención de la información
  • Procesamiento: Dar formato a toda la información “en bruto” obtenida en la anterior fase
  • Análisis: Generar inteligencia a partir de todos los datos obtenidos, encontrando relaciones entre estos que nos permitan llegar a conclusiones.
  • Presentación: Darle a la información un formato en el que se pueda comprender de manera eficaz y sencilla.

Consideremos una situación o escenario en el que necesitamos encontrar información relacionada con algunos temas en la web. Para esto, primero necesita buscar y hacer análisis hasta obtener los resultados exactos, esto consume mucho tiempo. Esta es la razón principal por la que necesitamos herramientas de inteligencia porque el proceso mencionado anteriormente se puede realizar en segundos utilizando estas herramientas.

Incluso podemos ejecutar múltiples herramientas para recopilar toda la información relacionada con el objetivo, que se puede correlacionar y utilizar más adelante.

Algunas de las mejores herramientas OSINT:

Shodan

Google es el motor de búsqueda más utilizado por todos, mientras que Shodan es un motor de búsqueda fantástico y de mina de oro para que los piratas informáticos vean activos expuestos.

En comparación con otros motores de búsqueda, Shodan le proporciona los resultados que tienen más sentido y están relacionados con los profesionales de la seguridad. Incluye principalmente información relacionada con activos que se están conectando a la red. Los dispositivos pueden variar desde computadoras portátiles, señales de tráfico, computadoras y varios otros dispositivos de IoT. Esta herramienta de código abierto ayuda principalmente al analista de seguridad a identificar el objetivo y probarlo en busca de diferentes vulnerabilidades, contraseñas, servicios, puertos, etc.

Además, proporciona a los usuarios las búsquedas más flexibles de la comunidad.

Por ejemplo, consideremos la situación en la que un solo usuario puede ver las netcams, webcams, semáforos, etc. conectados. Veremos algunos de los casos de uso de Shodan:

  • Prueba de “contraseñas predeterminadas”
  • Activos con visor VNC
  • Usando el puerto RDP abierto para probar los activos disponibles

Spyse

Spyse es un motor de búsqueda de ciberseguridad para obtener información técnica que suelen utilizar los piratas informáticos en el reconocimiento cibernético.

Spyse proporciona una gran cantidad de datos para explorar el objetivo a través de diferentes puntos de entrada. El usuario puede comenzar con un dominio y expandir el radio de investigación al verificar diferentes tipos de datos relacionados con el objetivo, como vulnerabilidades, IP, ASN, registros DNS, dominios en la misma IP, dominios con el mismo MX / NS y mucho más.

Todo esto es posible gracias a una enorme base de datos con datos almacenados e interconectados a los que los usuarios pueden acceder instantáneamente:

  • Dominios – 1.2 B
  • Hosts IP con puertos – 160M
  • SSL / TLS: 29 millones
  • Hosts IPv4: 3.6B
  • Sistemas autónomos – 67k
  • Vulnerabilidades – 140k
  • Registros DNS – 2.2B

Además, el motor de búsqueda ofrece a los usuarios oportunidades de búsqueda únicas que simplifican el proceso de obtención de los datos necesarios. Su característica distintiva es la posibilidad de aplicar 5 parámetros de búsqueda diferentes para una búsqueda precisa y detallada.

NexVision

NexVision es una solución OSINT avanzada impulsada por IA que proporciona inteligencia en tiempo real de toda la Web (Clear Web, Dark Web y Social Media). Brinda un acceso sin precedentes a las búsquedas en la web oscura a través de navegadores regulares como Chrome y Safari, sin el uso del navegador anónimo Tor.

Si está buscando realizar verificaciones de antecedentes, diligencia debida, cumplimiento de incorporación de clientes (KYC/AML/CFT), recopilar inteligencia de la organización, inteligencia de terceros, inteligencia de amenazas cibernéticas o incluso investigar direcciones de criptomonedas de una amenaza de ransomware, NexVision proporciona respuestas precisas en tiempo real.

NexVision es utilizado principalmente por el ejército y los gobiernos, pero desde 2020 ha estado disponible comercialmente y las empresas Fortune 500 y las pequeñas y medianas empresas (PYMES) confían en él para sus necesidades de inteligencia e investigación. Su servicio incluye una suscripción directa a su solución SaaS e informes de inteligencia de compras.

Cómo funciona:

En el primer paso, su motor impulsado por IA recopila datos continuamente, los analiza y los clasifica, proporcionando el lago de datos más grande disponible comercialmente. En el segundo paso, el motor utiliza el aprendizaje automático para reducir los falsos positivos y brindar resultados altamente precisos y contextualizados. Esto reduce en gran medida las horas de trabajo y el tiempo requerido en las investigaciones y la fatiga de alerta que enfrentan los analistas cuando se encuentran con grandes cantidades de datos irrelevantes. En el paso final, todos los resultados se reflejan en el tablero donde los usuarios pueden visualizar fácilmente y tomar decisiones informadas.

El tablero permite a los usuarios configurar alertas de palabras clave para monitorear objetivos en tiempo real, realizar investigaciones y analizar resultados mientras se mantiene anónimo.

El software tiene una interfaz simple que está diseñada para analistas de nivel de entrada. Los analistas pueden acceder y utilizar inteligencia integral y de grado militar sin depender de scripts o escribir una sola línea de código.

Su módulo de redes sociales monitorea datos de Meta (anteriormente Facebook), Instagram, LinkedIn, Discord, Twitter, Youtube, Telegram, etc., y viene equipado con tecnología de geolocalización para determinar la fuente y ubicación de la difusión de información.

Google Dorks

Google Dorks han llegado a existir en 2002, y da resultados efectivos con un rendimiento excelente. Esta herramienta de inteligencia de código abierto basada en consultas se desarrolla y crea principalmente para ayudar a los usuarios a orientar el índice o los resultados de búsqueda de manera adecuada y efectiva.

Google Dorks proporciona una forma flexible de buscar información mediante el uso de algunos operadores, y quizás también se llame Google Hacking. Estos operadores facilitan la búsqueda para extraer información. A continuación se muestran algunos de los operadores u opciones de indexación que proporciona Google Docker, y son:

  • Tipo de archivo: Este operador se utiliza principalmente para encontrar los tipos de archivos o para buscar una cadena en particular.
  • En el texto: Esta opción de indexación se utiliza para buscar un texto específico en una página específica.
  • Ext: Se utiliza para buscar una extensión específica en un archivo.
  • Inurl: Se utiliza para buscar la cadena o palabra específica en la URL.
  • Intitulo: Para buscar el título o las palabras mencionadas anteriormente en la URL

Maltego

Maltego está diseñado y desarrollado por Paterva, y es una de las herramientas integradas en Kali Linux. Esta herramienta de inteligencia de código abierto se utiliza principalmente para realizar una exploración significativa contra varios objetivos con la ayuda de varias transformaciones integradas (y también proporciona la capacidad de escribir otras personalizadas).

Un lenguaje de programación que utiliza en Maltego está escrito en Java y se muestra como un preempaquetado integrado en Kali Linux. Para utilizar esta herramienta, es necesario registrarse, el registro es gratuito y el usuario debe registrarse en el sitio paterva. Una vez que se realiza el proceso de registro, los usuarios pueden utilizar esta herramienta para crear y desarrollar huellas digitales efectivas del objetivo en particular en Internet.

Los resultados esperados pueden ocurrir con la conversión de IP, se identifica el número AS, también se identifica Netblock, incluso se identifican también las frases y ubicaciones. Estos son todos los íconos en Maltego que brindan una vista detallada e información sobre todos los íconos.

Incluso puede obtener más información sobre el objetivo profundizando más en el proceso. Finalmente, puedo decir que es una excelente herramienta para rastrear las huellas de todas y cada una de las entidades a través de Internet. Maltego está disponible en todos los sistemas operativos populares.

TheHarvester

¿¿The Harvester es una herramienta increíble para encontrar correos electrónicos, subdominios, direcciones IP, etc. a partir de varios datos públicos.

Recon-Ng

Recon-Ng es una herramienta eficaz para realizar reconocimientos en el objetivo.

Todo el poder de esta herramienta radica completamente en el enfoque modular. El poder de las herramientas modulares puede entenderse para aquellos que utilizan Metasploit. Recon-ng tiene varios módulos integrados que se utilizan para apuntar principalmente mientras se extrae información según las necesidades del usuario. Podemos usar los módulos Recon-ng simplemente agregando los dominios en el espacio de trabajo.

Los espacios de trabajo se crean principalmente para realizar las operaciones dentro de él. Los usuarios serán redirigidos al espacio de trabajo tan pronto como se cree. Dentro del espacio de trabajo, el dominio se puede especificar particularmente usando agregar dominio . Los módulos de Recon-ng se utilizan para obtener información sobre el dominio específico después de que (dominios) se agregan al reconocimiento.

Algunos de los excelentes módulos, como google-site-web y bing-domain-web, se utilizan para encontrar más dominios relacionados con el primer dominio de destino inicial. El resultado de estos dominios serán todos los dominios indexados a los motores de búsqueda. Otro módulo atractivo es bing_linkedin_cache, que se utiliza principalmente para obtener los detalles de las direcciones de correo electrónico relacionadas con el dominio. Este módulo también se puede utilizar para aprovechar la realización de ingeniería social.

Además, al usar otros módulos, podemos obtener información adicional o adicional sobre los objetivos. Entonces, finalmente, esta herramienta de inteligencia de código abierto es una herramienta fantástica y también debe incluirse en el conjunto de herramientas de los investigadores.

SpiderFoot

SpiderFoot es una herramienta de reconocimiento de código abierto disponible para Linux y Windows. Se ha desarrollado utilizando lenguaje Python con alta configuración y se ejecuta prácticamente en cualquier plataforma. Se integra con una GUI fácil e interactiva con una poderosa interfaz de línea de comandos.

Nos ha permitido automáticamente utilizar consultas en más de 100 fuentes OSINT para obtener información sobre correos electrónicos, nombres, direcciones IP, nombres de dominio, etc. Recopila una amplia gama de información sobre un objetivo, como bloques de red, correos electrónicos, sitios web. servidores y muchos más. Al usar Spiderfoot, puede apuntar según sus requisitos porque recopilará los datos al comprender cómo se relacionan entre sí.

Los datos recopilados de SpiderFoot proporcionarán una amplia gama de información sobre su objetivo específico. Proporciona información clara sobre posibles amenazas de piratería que conducen a vulnerabilidades, fugas de datos y otra información vital. Por lo tanto, estos conocimientos ayudarán a aprovechar pruebas de penetración  y mejorar la inteligencia de amenazas para alertar antes de que sea atacada o robada.

Creepy

Creepy es una herramienta de inteligencia de geolocalización de código abierto. Recopila información sobre la geolocalización mediante el uso de varias plataformas de redes sociales y servicios de alojamiento de imágenes que ya están publicados en otro lugar. Creepy presenta los informes en el mapa, utilizando un filtro de búsqueda basado en la ubicación y fecha exactas. Estos informes están disponibles en formato CSV o KML para exportar y realizar análisis adicionales.

La funcionalidad principal de Creepy se divide en dos pestañas principales, a saber. Pestañas “Objetivos” y “Vista de mapa”.

Creepy está escrito en Python y también viene con un binario empaquetado para distribuciones de Linux como Debian, Backtrack, Ubuntu y Microsoft Windows.

¿Errar es de humanos?: Más del 80% de incidencias de ciberseguridad se deben al factor humano.

El 99% de los ciberataques requieren de una interacción humana para tener éxito, es por esto que la mayor vulnerabilidad de una organización en términos de ciberseguridad es su propio personal. Por esta razón, para protegerse necesario conocer y entender todas las amenazas a las que las empresas se pueden enfrentar, además de implementar buenas prácticas de ciberseguridad.

A lo largo de los últimos años, los ciberdelincuentes perfeccionan sus técnicas e incrementan el uso de la ingeniería social confiando en la interacción humana, a diferencia del uso de exploits automatizados, con el objetivo de instalar malware, realizar transacciones fraudulentas, robar información y demás ciberdelitos.

En 2021, más del 80% de los ciberataques aprovecharon el factor humano: la facilidad de engañar a los usuarios para que reciban enlaces, hagan clic, descarguen, instalen, abran archivos y envíen datos o dinero, es el nuevo enfoque de ciberataques, pues la importancia de sus roles dentro de una organización, los datos a los que tienen acceso, y su probabilidad de hacer clic los vuelven un blanco fácil para cualquier intento y ejecución de ataque.

Además, se ha establecido que 1 de cada 5 brechas de seguridad tienen como origen un error, directo o indirecto, de un empleado, siendo en la mayoría de los casos de manera inconsciente y el costo de estos errores va en creciente aumento. Según IBM, el costo promedio de las violaciones de datos por error humano es de $3.33 millones . Ese es un gran gasto que la mayoría de las PYME no pueden permitirse.

El correo electrónico sigue siendo el principal punto de entrada de los ciberdelincuentes a través del envío de todo tipo de señuelos de phishing, payload y demás contenidos maliciosos y tácticas de ingeniería social. Sin embargo, pese a la magnitud de estas amenazas, muchos usuarios siguen sin estar preparados para identificarlas y prevenir cualquier ataque.

El ransomware se convirtió en el vector que más amenazó las empresas de todo el mundo el año pasado, con un incremento de hasta el 700% en 2021, afectando a más de 2.452 empresas.

Durante el 2021 se pagó un total acumulado de casi US$50millones en todo el mundo en concepto de rescate ante ransomwares. Los grupos de ransomware que mayores ingresos registraron hasta la fecha son Conti, con más de U$S 14 millones, y REvil/Sodinokibi, con más de U$S 11 millones. El aumento de ataques se produce a partir de que el pago promedio, a comparación del 2020, aumentara un 171%, superando los US$312.000 por rescate.

Para los usuarios, el correo electrónico fue el punto de entrada de estos ataques. Generalmente el se entrega por correo electrónico que inicia una descarga con los archivos maliciosos cuando se activa mediante RDP o una VPN comprometida.

El robo de credenciales por medio de campañas de Phishing, también ha tenido un gran impacto en relación a vulnerar a las organizaciones por medio de sus empleados. Más de la mitad de todas las amenazas por correo electrónico fueron de este tipo, superando a todos los demás vectores de ataque combinados.

Un compromiso de credenciales exitoso puede permitir al ciberdelincuente cometer desde fraudes online hasta robos de identidad.

El robo de credenciales también contribuye directamente a uno de los incidentes más costosos a los que se enfrentan los equipos de ciberseguridad: el fraude del CEO o BEC. Se calcula que el año pasado los ataques BEC costaron a las empresas casi USD$2000 millones, causando casi la mitad de las pérdidas por ciberdelincuencia.

En cuanto a las novedades del panorama actual de las amenazas, se usan numerosos señuelos relacionados con la pandemia y con el conflicto en Europa del Este.

Fuente: Proofpoint Inc.
  • Los usuarios ‘target’ de los ciberdelincuentes no son generalmente los ejecutivos y directivos de las organizaciones sino aquellos con información más expuesta en internet y redes sociales.
  • La obtención de credenciales mediante técnicas de ingeniería social es la principal fuente de captura de información para posteriores ciberataques.
  • Los ataques en organizaciones están evolucionando hacia ciberataques desde varias identidades suplantadas a varios individuos de la misma organización por sus mejores ratios de efectividad.
  • Los sectores preferidos por los ciberdelincuentes son las entidades financieras, industrias, tecnología, salud y distribución (en este orden descendente).

Para poder definir los riesgos a los que se enfrenta una organización, hay que saber con precisión a qué tipo de información podrían acceder los ciberdelincuentes en caso de comprometer la seguridad de algún usuario. Generalmente se utiliza la estafa BEC (business email compromise), donde un empleado de cierto nivel, con acceso a datos sensibles y credenciales para acceder a las cuentas de la empresa, recibe un mensaje o un correo del CEO. En él, de “forma personal” y confidencial, le pide una transferencia urgente o una serie de datos importantes que puedan contener información sensible de la empresa como contraseñas, claves, entre otros.

El impacto de estos ataques dependerá en gran medida del nivel de privilegios del usuario o los usuarios atacados. Comprometer la seguridad de un usuario con mayores privilegios dará al atacante acceso a información más valiosa exponiendo a la empresa a graves consecuencias desde financieras hasta reputacionales.

Para supervisar, gestionar y proteger a los usuarios con privilegios, primero se debe identificar quiénes son los empleados más susceptibles (y si es el caso amenazados) y el nivel de acceso que tengan a datos y redes, para así establecer las regulaciones y recomendaciones adecuadas.

El error humano como tal no es tan fácil de resolver. Siempre hay una razón por la cual los usuarios en las organizaciones cometen algún error, por ello, la importancia de la Ciberseguridad Centrada en el Usuario para así comprender por qué se cometieron los errores y encontrar formas de evitar situaciones similares en el futuro.

La ciberseguridad debería hacer parte de la cultura empresarial. Por ello, es importante generar estrategias de ciberseguridad con el liderazgo de figuras relacionadas con la seguridad tales como el CISO. Puede tener en cuenta los siguientes factores para trabajar en su estrategia de ciberseguridad:

ERRARESDEHUMANOSSLIDES-01
ERRARESDEHUMANOSSLIDES-02
ERRARESDEHUMANOSSLIDES-03
ERRARESDEHUMANOSSLIDES-04
PlayPause
previous arrow
next arrow

Doble Factor de Autenticación (2FA)

En la ciberseguridad, la autenticación es aquella acción mediante la cual se demuestra en un sistema físico o digital que somos quien realmente decimos ser. Existen diferentes mecanismos para autenticarnos, como las contraseñas, con biometría o con otros dispositivos o aplicaciones, que se han convertido en pilares primordiales para la ciberseguridad de cualquier negocio. De esta manera, la autenticación permite el acceso a nuestros sistemas de manera segura, sin embargo no está exenta de riesgos que pueden comprometer la información y los procesos a los que dan acceso.

Así, siempre que sea posible para tus cuentas personales y/o las de su empresa, elija mecanismos de autenticación de doble factor. En la autenticación de doble factor, el primer factor suele ser la contraseña y el segundo un código aleatorio generado por el usuario.

El primero factor son las contraseñas: para lograr una contraseña segura, procure mezclar mayúsculas con minúsculas, números y diferentes caracteres.

El segundo factor es una clave generada para cada inicio de sesión: esta funciona por medio de una operación criptográfica cuando ingresa o se conecta utilizando un protocolo estándar para generar una clave de un solo uso OTP (One-Time Password). La mejor manera para obtener este segundo factor es por medio de software que genere contraseñas de un solo uso OTP como los que utilizan una app en el móvil o una aplicación en el ordenador de sobremesa. Algunos de estos son:

  • Google Authenticator (Android y iPhone) 
  • Amazon AWS MFA (Android)
  • Microsoft (Windows Phone)
  • Duo Mobile (Android e iPhone)
  • Authy (móviles y sobremesa)
  • Si los servicios que utiliza no le permiten activar el doble factor de autenticación, puede utilizar un gestor de contraseñas que soporte el doble factor.
Créditos: Este vídeo forma parte de la campaña “¡Contraseñas seguras!” (https://www.osi.es/es/campanas/contra…). Oficina de Seguridad del Internauta – OSI

El objetivo de los ciberdelincuentes al obtener las contraseñas personales u organizacionales, es acceder a los servicios, robar datos, extorsionar, etc. La doble autenticación mitiga en gran medida estos y otros ataques, pues el ciberdelincuente tendría como obstáculo el segundo factor. 

C2USER recomienda utilizar SIEMPRE doble factor en servicios críticos, como la administración de sistemas, sus cuentas del banco o la gestión de su comercio virtual. De igual manera es importante activar la doble autenticación para acceder a los aplicativos de su empresa.

Pentesting

Pentesting o “test de penetración” consiste en atacar un sistema informático para identificar sus fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir posibles ataques externos.

Un pentesting es un conjunto de ataques simulados dirigidos a un sistema informático con el objetivo de detectar posibles fallos o vulnerabilidades para que sean corregidas y no puedan ser explotadas. Estos ataques simulados permiten saber si el sistema informático es vulnerable o no, evaluar si las defensas con las que cuenta son suficientes y eficaces, y valorar la repercusión de los fallos de seguridad que se detecten.

Tipos de Pentesting:

  • Pentesting de caja blanca: se reconoce todo a cerca del sistema, la aplicación o la arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.
  • Pentesting de caja negra: no se dispone de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.
  • Pentesting de caja gris: se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado.

¿Cómo funciona?:

Las auditorías de pentesting inician con una recolección de información sobre la empresa, los empleados, usuarios, sistemas y equipamientos. Después de esto, se realiza un análisis de vulnerabilidades que se intentarán explotar, atacando a los sistemas hasta conseguir sus objetivos. Finalmente, se realiza un informe que indica si los ataques tendrían éxito, y en caso afirmativo porqué y qué información o acceso obtendrían.

Herramientas de Pentesting:

  • WIRESHARK: Analiza protocolos y tráfico de red, reconociendo y analizando en tiempo real los movimientos de la red .
  • NESSUS: Es un software de análisis de vulnerabilidades. Este tiene módulos para hacer el análisis a cualquier sistema.
  • NMAP (Network Mapper): Es un scanner de puertos que es capaz de detectar protocolos de servicios y las versiones de los sistemas que se encuentran detrás de cada puerto o acceder al ID de cualquier dispositivo.
  • SQLMAP: Detecta y explota fallos y brechas de seguridad en servidores de bases de datos basados en SQL.
  • METASPLOIT: Realiza la explotación y post explotación a cualquier sistema, sometiéndolo a mas de 900 exploits.

En esta prueba, quién realice el pentesting va a intentar traspasar las medidas de seguridad de los equipos informáticos, es por esto que realizar accesos a estos equipos y a su información, incurriría en conducta delictiva, de esta manera C2USER recomienda realizar esos test con su debida autorización, autorizando la vulneración de las medias de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión.

COMPRAS EN INTERNET

RECOMENDACIONES DE SEGURIDAD PARA LAS COMPRAS EN INTERNET

La temporada navideña y de cierre de año generan un incremento en el número de transacciones en portales de comercio electrónico. Durante el 2021 y particularmente en los meses de noviembre y diciembre se desarrollaron tres jornadas de día sin IVA, que se valieron de las tiendas en línea como impulsores económicos dado el importante número de usuarios que accedieron a estos portales.

Sin embargo, los defraudadores virtuales y estafadores en internet reconocen las debilidades en algunos procesos de validación y autentificación de usuarios en las plataformas virtuales, los errores y fallos en la configuración segura de los portales, que además abren la oportunidad para instalar programas maliciosos mediante inyección de código en las páginas mal desarrolladas y finalmente los ataques de ingeniería social para sustraer información personal de los usuarios, dando inicio a la cadena múltiples modalidades de ciberataques y defraudaciones virtuales en estas plataformas de comercio electrónico.

Se destacan las siguientes modalidades:

  • Exigencia de pago previo y no entrega del producto adquirido.
  • Pagos de la compra mediante cheques (chequeras robadas o sin fondos).
  • Entrega de productos de baja calidad o de características distintas a las condiciones pactadas en la transacción.
  • Entrega de productos tipo ‘dummie’ o piezas de imitación elaboradas en materiales como jabón o madera para simular forma y peso de un teléfono celular o una tableta, que son enviados en cajas de cajas de apariencia “original”.
  • Robo de datos bancarios en sitios infectados o mal configurados.

Para no caer en este tipo de estafas es muy importante inicialmente considerar el decálogo de seguridad para las transacciones seguras en plataformas de comercio electrónico durante la temporada navideña y de fin de año:

Esta modalidad consiste nuevamente en acceder a sitios de compra y venta a través de enlaces maliciosos en los cuales los anuncios de una promoción son acompañados de hipervínculos o enlaces que direccionan la navegación hacia la página donde se va a realizar la supuesta compra. En ocasiones estos sitios utilizan certificados de seguridad y de transferencia segura de datos bajo protocolos HTTPS y SSL con los que buscan dar una apariencia segura del sitio comprometido. Sin embargo, como ya se ha dicho en este informe es muy importante mantener el estado de alerta y poder revisar los enlaces antes de dar clic sobre ellos.
En caso de tener dudas sobre la oferta anunciada en el sitio web promocionado es necesario buscar otros canales y medios alternativos de comunicación con la empresa suplantada para poder salir de dudas y validar la legalidad de la oferta expuesta en la red.
Recuerde que, aunque la tienda online se encuentre en una red social debe siempre tener una sección específica con información: “Aviso legal”, “Política de Privacidad”, “Quiénes somos”, “Contacto”, etc.
Es muy importante que antes de realizar una compra se verifique los comentarios o se indague respecto al nivel de reputación de la tienda y del vendedor, puesto que en caso de que haya ocurrido alguna novedad en el proceso de compra o entrega del producto a adquirir suele ser común encontrar comentarios negativos o advertencias respecto a las prácticas fraudulentas presentadas, información que ayuda a advertir o prevenir a futuros compradores.

En el mismo sentido un atacante podría vulnerar la seguridad de estas conexiones gratuitas a internet (man in the middle) y apoderarse de datos sensibles como información personal y financiera del usuario que realiza una transacción de compra o de venta de productos en línea. Es necesario entonces que al realizar una transacción electrónica hagamos uso de una conexión segura (por ej: plan de datos)  a través de un dispositivo de confianza (computador, Tablet o teléfono móvil) que haya sido previamente analizado mediante la utilización de un programa de antivirus y la utilización de otros mecanismos seguros de transmisión de información como las conexiones privadas virtuales (VPN) que garantizan que la información que estamos intercambiando con el portal transaccional viaje segura y no pueda ser interceptada por los cibercriminales.
Se recomienda verificar que en el momento de realizar el pago el sitio web o tienda en línea ofrezca alguna plataforma de las ya ampliamente conocidas en Colombia tales como: PayU, Mercado Pago, En línea Pagos, Pagos Inteligentes, ePayco, Interpagos, Pago Digital, Recaudo Express, Dicmax, Shopify, Kushki, Mercado Libre. Estas pasarelas de pago son vigiladas por SUPERSOCIEDADES lo que garantiza que en el caso de alguna contingencia o fraude se pueda acudir hacia las instancias de Gobierno que regulan a estas plataformas. De igual manera, es muy importante implementar mecanismos de seguridad como soluciones de antivirus y escaneo permanente de su dispositivo móvil en aras de garantizar la protección de su información y contraseñas almacenadas.
Es recomendable definir con anterioridad la necesidad del producto a adquirir estableciendo buenas pautas como una búsqueda de las tiendas oficiales donde se puede encontrar este producto, canales autorizados y conocer precios de referencia, información muy útil para el proceso de decisión antes de realizar la compra de manera segura en el portal o tienda de interés Además valide antes el domicilio fiscal de la tienda, qué datos recopilan de los usuarios y con qué fin, las formas de pago que permiten y las  políticas de envío.
Sospeche tiendas con precios muy por debajo del precio de mercado, o si todos los productos se venden al mismo precio, independientemente del modelo. Al final si se tiene alguna duda es mejor buscar otra alternativa.  
En caso de conocer un fraude de este tipo, denuncie y reporte

Ante la ocurrencia de un hecho fraudulento en Internet es importante que el usuario disponga y conozca de los mecanismos de denuncia virtual, es así que la utilización del portal web de la Fiscalía General de la Nación y de la Policía Nacional en particular del aplicativo A DENUNCIAR, permite los usuarios víctimas de fraude en internet reportar a las autoridades estos hechos delictivos y de esta manera dar inicio a las investigaciones para establecer los presuntos responsables, unificar los casos de estafas virtuales en la red e identificar nuevas modalidades o incluso alertar sobre la utilización de sofisticados programas maliciosos para el robo de información personal y financiera.

Las redes sociales de la Policía Nacional, también se han constituido en una importante herramienta de contacto con los ciudadanos.  A través de la página web caivirtual.policia.gov.co y de las redes sociales Twitter y Facebook la cuenta oficial @Caivirtual facilita la interacción de los ciudadanos con las autoridades e implementa estrategias encaminadas hacia la prevención de los delitos y el uso seguro de internet.