Las operaciones de la MAYOR CENTRAL DE CIBERDELITOS descubierta en COLOMBIA

El Centro Cibernético de la Policía Nacional de Colombia realizó una de las operaciones más importantes para la seguridad cibernética del país en los últimos años. Fue desmantelada una red criminal de hackeo que logró intervenir más de 420 mil correos de entidades, funcionarios y ciudadanos.

Ciberdelincuentes obtenían información de manera ilegal para controlar datos y lucrarse mediante maniobras engañosas, suplantando a instituciones del Estado. Uno de los delincuentes de la organización fue capturado, judicializado y enviado a la cárcel.

Esta central de hackeo fue descubierta en Valledupar, en el departamento de Cesar, y tenía la capacidad de enviar por día cerca de 10.000 correos.
Foto: Policía Nacional

La Policía Nacional confirmó que en el mes de abril desmantelaron a una organización encargada de hackear a funcionarios públicos y particulares. Estos cibercriminales robaban la información enviando mensajes y correos falsos que servían de gancho para obtener acceso a computadores y celulares, para luego robar la mayor información de las víctimas.

Según la investigación, se enviaban mensajes con archivos adjuntos que simulaban citaciones de la Fiscalía, notificaciones de la Dian, actualización de datos de bancos, promociones de viajes, etcétera, con los cuales al abrir el documento adjunto que estaba en el correo electrónico, se descargaba un virus que daba acceso de los dispositivos a los criminales. Con el virus descargado en el computador o los dispositivos móviles, estos hackers podían ver en tiempo real todos los movimientos de sus víctimas. Tenían acceso a fotos, documentos, audios, contactos, a la cámara, al micrófono, con el cual podían manipular de manera remota los dispositivos sin que fueran detectados.

Esta central de hackeo fue descubierta en Valledupar, y tenía la capacidad de enviar por día cerca de 10.000 correos infectados con mensajes llamativos para que las víctimas hicieran clic en los enlaces y cayeran en la trampa. En el reporte que entregan de la Fiscalía junto con la Policía Nacional, los criminales accedieron a más de 400.000 correos y tenían perfiladas alrededor de 250 víctimas nuevas. Fue necesario realizar seguimiento durante varios meses y luego de 51 actividades investigativas, se capturó a uno de los cerebros del entramado criminal y la incautación de 22 dispositivos electrónicos.

La investigación arrancó siete meses antes de que la pandemia del coronavirus llegara a Colombia, a partir de la denuncia instaurada por una funcionaria de la Presidencia de la República, quien el 13 de agosto de 2019 recibió un correo malicioso que suplantaba a la Fiscalía General de la Nación alertando sobre una supuesta citación a un proceso penal.

Tras seguir las pistas, la entidad identificó el modus operadi: las pesquisas de los peritos informáticos llevaron a la Dirección de Investigación Criminal e Interpol (Dijín) hasta un inmueble ubicado en la ciudad de Valledupar, desde donde mediante técnicas de anonimato enviaban mensajes que inducían al error para descargar los archivos adjuntos contaminados (con virus) para tomar control de las cuentas y equipos de sus víctimas.

Desmantelan red de hackeo en Colombia
Foto: Policía Nacional

Esta modalidad de Herramienta de Acceso Remoto (RAT) les permitía acceder a todo tipo de contraseñas, correos, imágenes, capturas de pantalla, archivos y bases de datos de los dispositivos infectados.

Los hallazgos sorprendieron, porque en poder de los delincuentes encontraron información de correos electrónicos de centenares de personas adscritas a por lo menos cinco entidades del Estado y de particulares que se vieron afectados en aspectos como información confidencial e incluso recursos patrimoniales.

“Se identificaron alrededor de 420.000 correos a los que tuvieron acceso, de los cuales 2.717 corresponden a funcionarios de instituciones gubernamentales, entre ellos 116 de la Presidencia de la República”, informan las autoridades.

Durante los allanamientos realizados en Valledupar, los investigadores encontraron más de un millón de capturas de pantalla de diferentes víctimas y 1.500 muestras de formas de mensaje distintas una de la otra para capturar la información que querían secuestrar a lo que llaman los especialistas en sistemas como malware.

Como resultado final, la Policía confirmó que durante las diligencias fueron incautados 22 dispositivos electrónicos y se logró la captura de uno de los cerebros de este entramado delictivo, quien fue imputado y enviado a la cárcel por concierto para delinquir, uso de software malicioso, violación de datos personales y acceso abusivo a un sistema informático. Hay otra orden de captura expedida y el proceso continúa para identificar a posibles cómplices de estas personas que vulneraron la seguridad informática de muchos colombianos.

“Se logra la captura de Fabio Molina, quien ya está procesado con medida intramural. Con los elementos materiales probatorios y evidencia física recolectada en estos años, se decide que es un peligro para la sociedad”, resaltó el general Jorge Vargas, director de la Policía Nacional. Él aseguró que con Interpol se está investigando a nivel internacional los tentáculos que pueda tener.

Están tras los rastros que han dejado otras organizaciones que se dedican exactamente a la misma manera de robar información para sacar provecho económico, ideológico o múltiples intereses, por eso las autoridades recomiendan ser desconfiados a la hora de recibir correos o mensajes extraños, no darle clic a cualquier enlace, porque es abrir la puerta a sus datos más confidenciales para que personas inescrupulosas los exploten a su antojo.

¿Cómo crear CONTRASEÑAS SEGURAS?

Las contraseñas otorgan acceso a la mayoría de su información personal, y los riesgos que plantean las contraseñas perdidas y robadas son un problema que sigue empeorando día a día. La solución son las Contraseñas Indescifrables, para entenderlas debe comprender los métodos más comunes que se utilizan hoy en día para piratear sus contraseñas:

Los ciberdelincuentes tienen a su disposición varias tácticas para obtener (de manera irregular) contraseñas, pero la más fácil es simplemente comprar contraseñas en la dark web. Hay mucho dinero en la compra y venta de credenciales de inicio de sesión y contraseñas en el mercado negro, y si ha estado usando la misma contraseña durante muchos años, es probable que haya sido comprometida.

Pero si la contraseña que pretenden encontrar no está en la dark web, los ciberdelincuentes tienen que descifrarlasEstos ataques pueden estar dirigidos a sus cuentas reales o posiblemente a una base de datos filtrada de contraseñas cifradas. Para esto, utilizan alguno de los métodos a continuación:

El atacante intenta adivinar todas las combinaciones posibles de contraseñas hasta que da con la de su objetivo. El atacante automatiza un software para probar tantas combinaciones como sea posible en el menor tiempo posible, y ha habido algunos avances desafortunados en la evolución de esa tecnología. En 2012, un ciberdelincuente reveló un clúster de 25 GPU que había programado para descifrar cualquier contraseña de Windows de 8 caracteres que contuviera letras mayúsculas y minúsculas, números y símbolos en menos de seis horas. Tiene la capacidad de intentar 350 mil millones de conjeturas por segundo. 

En general, cualquier contraseña de menos de 12 caracteres es vulnerable a ser descifrada. Por lo menos, aprendemos de los ataques de fuerza bruta que la longitud de la contraseña es muy importante.

Este ataque es exactamente lo que parece: el atacante esencialmente lo está atacando con un diccionario. Mientras que un ataque de fuerza bruta prueba cada combinación de símbolos, números y letras, un ataque de diccionario prueba una lista preestablecida de palabras como las que encontraría en un diccionario.

Solo sobrevivirá a un ataque de diccionario una palabra muy poco común o frases de varias palabrasEstas contraseñas de frases de palabras múltiples son más astutas que un ataque de diccionario, lo que reduce la cantidad posible de variaciones que se puedan encontrar para acceder a las contraseñas.

El atacante pretende engañar, intimidar o presionar a través de ingeniería social para que, sin saberlo, la víctima disponga de la voluntad del delincuente. Un correo electrónico de phishing le indicará, por ejemplo, que haga clic en un enlace, que lo llevará a un sitio web falso creado para parecerse a un banco. Los estafadores esperan con gran expectación, con la esperanza de que el engaño funcione y que ahora la víctima ingrese sus credenciales de acceso. Una vez que lo hace, el atacante obtiene los datos.

Desconfíe de cualquier llamada automática que reciba que afirme ser sobre sus cuentas. Observe que el saludo grabado no especifica ciertos datos. Esto es una especie de prueba para ver si cuelga enseguida o si se ha “enganchado”. Si permanece en la línea, se conectará con una persona real que hará todo lo posible para sacarle la mayor cantidad posible de datos confidenciales, incluidas las contraseñas.

Si bien requiere dedicación el tener que crear una contraseña única repleta de letras mayúsculas, caracteres especiales y más, la importancia de tener una contraseña segura no se puede exagerar. En diciembre de 2021, la Agencia Nacional contra el Crimen del Reino Unido (NCA) y la Unidad Nacional contra el Crimen Cibernético (NCCU) descubrieron un caché de 225 millones de correos electrónicos y contraseñas robados almacenados en un servidor en la nube pirateado antes de entregar la información a HIBP o HaveIBeenPwned (un servicio gratuito para aquellos interesados ​​en saber si sus cuentas podrían verse comprometidas).

Dada la enorme cantidad de datos a disposición de los ciberdelincuentes, en los últimos años ha surgido una nueva técnica conocida como “relleno de credenciales”. Para aclarar, esta técnica implica que los ciberdelincuentes prueben compilaciones de combinaciones de nombre de usuario y contraseña filtradas, robadas y de uso frecuente contra las cuentas en línea de un individuo. Según un comunicado de prensa del FBI de 2020, “Desde 2017, el FBI ha recibido numerosos informes sobre ataques de relleno de credenciales contra instituciones financieras de EE. empresas de inversión”. En esencia, debe verificar regularmente si sus cuentas se han visto comprometidas y dejar de usar contraseñas comunes o filtradas.

Después de comprender cómo los delincuentes acceden a las contraseñas, puede aplicar algunas reglas para convertir sus contraseñas en indescifrables:

Manténgase alejado de lo obvio: Nunca use números o letras secuenciales. Cree contraseñas únicas que no incluyan ninguna información personal, como su nombre o fecha de nacimiento. Si está siendo atacado específicamente para un pirateo de contraseña, el pirata informático pondrá todo lo que sabe sobre usted en sus intentos de adivinar.

Para evitar ataques de fuerza bruta:

  • Contraseñas largas. Este es el factor más crítico. Cree contraseñas de mínimo 15 caracteres, más si es posible.
  • Mezcla de personajes. Cuanto más mezcle letras (mayúsculas y minúsculas), números y símbolos, más potente será su contraseña y más difícil será para un ataque de fuerza bruta descifrarla.
  • Evite las sustituciones comunes. Los crackers de contraseñas están a la altura de las sustituciones habituales. Ya sea que use CONTRASEÑA o C0NTR4S3Ñ4, el atacante de fuerza bruta lo descifrará con la misma facilidad. 
  • No utilice rutas de teclado memorables. Al igual que el consejo anterior de no usar letras y números secuenciales, tampoco use rutas de teclado secuenciales (como qwerty ). Estos están entre los primeros en ser adivinados.

Para evitar ataques de diccionario: La clave para evitar este tipo de ataque es asegurarse de que la contraseña no sea una sola palabra. Varias palabras confundirán esta táctica; recuerde, estos ataques reducen la cantidad posible de conjeturas a la cantidad de palabras que podríamos usar al poder exponencial de la cantidad de palabras que estamos usando.

Frase de contraseña revisado

Este es el método de frase de palabras múltiples con un giro: elija palabras extrañas y poco comunes. Usa nombres propios, los nombres de negocios locales, figuras históricas, cualquier palabra que conozca en otro idioma, etc. Un hacker podría adivinar Teusaquillo, pero le resultaría difícil tratar de adivinar una frase de contraseña como este:

TeusaquilloVentiGrandeCumbia

Si bien las palabras deben ser poco comunes, intente componer una frase que le dé una imagen mental. Esto lo ayudará a recordarla.

Además, puede agregar caracteres aleatorios en medio de sus palabras o entre las palabras. Simplemente evite los guiones bajos entre las palabras y cualquier sustitución común de *leetspeak: un lenguaje o código informal utilizado en Internet, en el que las letras estándar a menudo se reemplazan por números o caracteres especiales.

Oración

Este método también se describe como el “Método Bruce Schneier”. La idea es pensar en una oración al azar y transformarla en una contraseña usando una regla. Por ejemplo, tomar las dos primeras letras de cada palabra en “LaTiendaDeLaEsquinaEsLaMásBarata” te daría:

LaTiDeLaEsEsLaMaBa

La idea es que para usted, esta contraseña tenga mucho sentido, mientras que para un tercero, sea imposible adivinarla al azar. Asegúrese de que la oración que elija sea lo más personal e indescifrable posible.

Use un administrador de contraseñas y un generador de contraseñas aleatorias:

Un administrador de contraseñas realiza un seguimiento de todas sus contraseñas y las recuerda por usted, excepto por una cosa: la contraseña maestra que le otorga acceso a su administrador de contraseñas. 

Tenga cuidado en quien confía

Los sitios web conscientes de la seguridad codificarán las contraseñas de sus usuarios para que, incluso si los datos se filtran, las contraseñas reales estén encriptadas. Pero otros sitios web no se molestan con ese paso. Antes de iniciar cuentas, crear contraseñas y confiar información confidencial a un sitio web, tómese un momento para evaluar el sitio. ¿Tiene https en la barra de direcciones, lo que garantiza una conexión segura? ¿Tiene la sensación de que está al día con los estándares de seguridad más nuevos del día? Si no, piénselo dos veces antes de compartir cualquier dato personal con él.

Usar autenticación multifactor

La autenticación multifactor (MFA) o de doble factor (2FA) agrega una capa adicional de protección (que se convierte en su primera capa de protección en caso de que se filtren los detalles de su cuenta). Estos se han convertido en el nuevo estándar de la industria para una seguridad efectiva. 

Use una aplicación de teléfono inteligente de autenticación

El mejor método de MFA es usar una aplicación especializada para su teléfono inteligente. Google Authenticator y Authy son dos ejemplos y ambos son gratuitos. La aplicación genera un PIN único que ingresa como factor adicional durante su proceso de inicio de sesión. Los PIN cambian automáticamente cada 30 segundos. Deberá seguir las instrucciones para configurar MFA para su aplicación en particular y algunas aplicaciones aún no admiten este método MFA.

Llaves de seguridad
Las llaves de seguridad brindan protección más avanzada, estas funcionan como MFA o 2FA, otorgándole acceso a archivos solo si tiene físicamente la clave. Las llaves de seguridad están disponibles en versiones USB, NFC o Bluetooth y, por lo general, tienen el tamaño de una memoria USB. 

Para MFA y claves de seguridad: consulte la alianza FIDO , que está trabajando para crear estándares de autenticación sólidos para aplicaciones móviles y de escritorio. Los servicios compatibles son Microsoft, Google, PayPal, Bank of America, NTTDocomo y DropBox, por nombrar algunos. Cuando una determinada clave de seguridad, sitio web, aplicación móvil, etc. tiene la “certificación FIDO®”, cumple con el alto estándar de autenticación y protección de la alianza.

Proteja aún más su información de inicio de sesión con estos consejos de sentido común y alta seguridad:

  • Use una VPN cuando esté en Wi-Fi público. De esa manera, cuando inicie sesión en las cuentas, nadie interceptará su nombre de usuario y contraseña.
  • Nunca envíe un mensaje de texto o correo electrónico a nadie con su contraseña.
  • Al seleccionar preguntas de seguridad al crear una cuenta, elija opciones difíciles de adivinar para las que solo usted sabe la respuesta. Muchas preguntas tienen respuestas fáciles de encontrar en los canales sociales con una simple búsqueda, así que ten cuidado y elige con cuidado.  
  • Cuando haya terminado, tómese el tiempo para decirles a sus familiares y amigos que también se protejan. Las infracciones continúan ocurriendo, por lo que con solo compartir esta publicación de blog con amigos y familiares, estará ayudando a su círculo íntimo a protegerse.
  • Asegúrese de que su antivirus esté actualizado. 
ETAPAS DE UN CIBERATAQUE

Los ciberataques se pueden dividir en dos tipos: dirigidos y no dirigidos.

En los ataques no dirigidos, los atacantes se dirigen indiscriminadamente a tantos dispositivos, servicios o usuarios como sea posible. No les importa quién es la víctima, ya que habrá una serie de máquinas o servicios con vulnerabilidades. 

Para ello, los atacantes utilizan técnicas que aprovechan la apertura de Internet, entre las que se incluyen:

  • Phishing: Envío de correos electrónicos a un gran número de personas solicitando información confidencial (como datos bancarios) o alentándolos a visitar un sitio web falso.
  • WaterHoling: Configurar un sitio web falso o comprometer uno legítimo para explotar a los usuarios visitantes.
  • Ransomware: Difusión de malware de extorsión de cifrado de disco.
  • Escáner: Atacar amplias franjas de Internet al azar.

En un ataque dirigido, el atacante tiene un interés específico en una empresa/organización o se le ha pagado para atacarlo. El trabajo preliminar para el ataque podría llevar meses para que puedan encontrar la mejor ruta para entregar un exploit directamente a sus sistemas (o usuarios). 

Un ataque dirigido a menudo es más dañino que uno no dirigido porque se ha diseñado para atacar específica y puntualmente los sistemas, procesos o personal, en la oficina y, a veces, en el hogar. 

Los ataques dirigidos pueden incluir:

  • Spear-phishing: Envío de correos electrónicos a personas específicas que podrían contener un archivo adjunto con software malicioso o un enlace que descarga software malicioso.
  • Implementación de una botnet: Lanzamiento de un ataque DDOS (Distributed Denial of Service).
  • Subversión de la cadena de suministro: Para atacar el equipo o el software que se entrega a la organización.

Independientemente de si un ataque es dirigido o no, o si el atacante está utilizando herramientas básicas o personalizadas, los ataques cibernéticos tienen una serie de etapas en común

Un ataque, particularmente si lo lleva a cabo un adversario persistente, puede consistir en etapas repetidas. El atacante está sondeando efectivamente sus defensas en busca de debilidades que, si se pueden explotar, las acercarán a su objetivo final. 

Las cuatro etapas de un ciberataque son:

  1. Encuesta
  2. Entrega
  3. Violación
  4. Afectación

Los atacantes utilizarán todos los medios disponibles para encontrar vulnerabilidades técnicas, de procedimiento o físicas que puedan intentar explotar.

Usarán información de código abierto como LinkedIn y Facebook, servicios de gestión/búsqueda de nombres de dominio y redes sociales. Emplearán conjuntos de herramientas y técnicas básicas, y herramientas de escaneo de red estándar para recopilar y evaluar cualquier información sobre las computadoras, los sistemas de seguridad y el personal de su organización.

El error del usuario también puede revelar información que puede usarse en ataques. Los errores comunes incluyen:

  • publicar información sobre la red de la organización en un foro de soporte técnico.
  • no eliminar las propiedades ocultas de los documentos, como el autor, la versión del software y las ubicaciones para guardar archivos.

Los atacantes también utilizarán la ingeniería social (a menudo a través de las redes sociales) para explotar la ingenuidad y la buena voluntad de los usuarios para obtener más información disponible de forma menos abierta.

Durante la etapa de entrega, el atacante buscará llegar a una posición en la que pueda explotar una vulnerabilidad que haya identificado o que crea que podría existir. Ejemplos incluyen:

  • intentar acceder a los servicios en línea de una organización.
  • enviar un correo electrónico que contenga un enlace a un sitio web malicioso o un archivo adjunto que contenga código malicioso.
  • regalar una memoria USB infectada en una feria comercial.
  • crear un sitio web falso con la esperanza de que un usuario visite.

La decisión crucial para el atacante es seleccionar la mejor ruta de entrega para el software malicioso o los comandos que le permitirán romper sus defensas. En el caso de un ataque DDOS, puede ser suficiente que realicen múltiples conexiones a una computadora para evitar que otros accedan a ella.

En la etapa de violación o ruptura, el daño a la organización dependerá de la naturaleza de la vulnerabilidad y el método de explotación. Puede permitirles:

  • realizar cambios que afectan el funcionamiento del sistema
  • obtener acceso a cuentas en línea
  • lograr el control total de la computadora, tableta o teléfono inteligente de un usuario

Habiendo hecho esto, el atacante podría hacerse pasar por la víctima y usar sus derechos de acceso legítimos para obtener acceso a otros sistemas e información.

El atacante puede buscar explorar sus sistemas, ampliar su acceso y establecer una presencia persistente (un proceso que a veces se denomina “consolidación”). Tomar el control de la cuenta de un usuario generalmente garantiza una presencia persistente. Con acceso de administración a un solo sistema, pueden intentar instalar herramientas de escaneo automatizado para descubrir más sobre sus redes y tomar el control de más sistemas. Al hacerlo, tendrán mucho cuidado de no disparar los procesos de monitoreo del sistema e incluso pueden deshabilitarlos por un tiempo.

Los atacantes determinados y no detectados continúan hasta que logran sus objetivos finales, que pueden incluir:

  • recuperar información a la que de otro modo no podrían acceder, como propiedad intelectual o información comercialmente confidencial
  • hacer cambios para su propio beneficio, como crear pagos en una cuenta bancaria que controlan
  • interrumpir el funcionamiento comercial normal, como sobrecargar la conexión a Internet de la organización para que no se pueda comunicar con el exterior, o eliminar todo el sistema operativo de las computadoras de los usuarios

Después de lograr sus objetivos, el atacante saldrá, eliminando cuidadosamente cualquier evidencia de su presencia. O podrían crear una ruta de acceso para futuras visitas suyas o de otras personas a las que les hayan vendido el acceso. Del mismo modo, algunos atacantes querrán dañar seriamente su sistema o hacer el mayor “ruido” posible para anunciar su éxito.

El aumento de ciberdelitos en Colombia se relaciona con la brecha de habilidades de ciberseguridad y falta de capacitación de las organizaciones

Según el Informe de Brecha de Habilidades de Ciberseguridad de 2022, elaborado por Fortinet, se estima que en el último año el 87% de empresas en Latinoamérica sufrieron brechas de ciberseguridad.

Además, en Colombia se hace registro de un incremento de los ciberdelitos en aproximadamente un 20% para el presente año.

De acuerdo a los datos recolectados específicamente en América Latina, el 17% de las empresas dijo haber sufrido más de cinco brechas de ciberseguridad, lo que representó un costo de hasta más de USD 1 millón para las organizaciones.

La brecha de habilidades en ciberseguridad contribuye al aumento del riesgo cibernético de las organizaciones. El 80 % de las empresas considera como alternativa de seguridad aumentar la cantidad de empleados de IT y ciberseguridad, pues en Latinoamérica faltan aproximadamente 701.000 profesionales de ciberseguridad, según Fortinet.

En el reporte Cyber Workforce Report de 2021 de (ISC)2, se estima que los talentos en seguridad cibernética necesitan crecer en un 65% para proteger de manera efectiva a las organizaciones. Si bien la cantidad global de profesionales necesarios para llenar el vacío se redujo de 3,12 millones a 2,72 millones el año pasado, sigue siendo una brecha importante que deja a las empresas vulnerables. 

En este sentido, la contratación y la capacitación son estrategias esenciales para abordar la brecha de habilidades. Así, el 77 % de los líderes prefieren contratar personas con certificaciones, pero el 88% dice que es difícil encontrar profesionales con este diferencial. Por eso, el 95 % de los encuestados dice que está dispuesto a pagar para que un empleado reciba certificaciones en ciberseguridad. Una de las principales razones por las que las empresas valoran mucho las certificaciones es para aumentar la concienciación y realizar las tareas de manera más eficiente.

¿Cómo proteger a su empresa?

El informe de Fortinet demuestra que la capacitación y las certificaciones son formas esenciales de abordar la brecha de habilidades dentro de las organizaciones. Según el 98% de los líderes latinoamericanos, las certificaciones enfocadas en tecnología impactan positivamente su rol y el de su equipo.

El 77% de los líderes prefieren contratar personas con certificaciones, pero el 88% dice que es difícil encontrar profesionales con este diferencial. Además, el 95% de los encuestados dice que está dispuesto a pagar para que un empleado reciba certificaciones en ciberseguridad. Una de las principales razones por las que las empresas valoran mucho las certificaciones es para aumentar la concienciación y realizar las tareas de manera más eficiente.

En cuanto al personal en general, el 52% de los líderes cree que sus empleados no tienen los conocimientos necesarios en ciberseguridad. Aquí radica la importancia de la capacitación en cada nivel dentro de la organización.

Es importante capacitar al personal dentro de la organización, desde la alta gerencia hasta terceros, sobre las ciberamenazas, en especial aquellas que han incrementado en los últimos meses, como la suplantación de identidad, la ingeniería social y los ataques de ransomware. Una capacitación eficiente le permitirá disminuir las brechas de ciberseguridad en su organización al igual que los empleados podrán identificar intentos de ataque, métodos, motivaciones y las vulnerabilidades que los delincuentes buscan explotar. De igual manera tendrán mayor idea de cómo protegerse y cómo proteger la información a la cual tienen acceso.

Fortinet cuenta con un servicio gratuito de capacitación y concientización, al igual que la información que encuentra de manera sencilla dentro de c2usercisoslab.com con la que puede acompañar sus campañas de capacitación y concientización, además de compartir y aplicar con los empleados de su empresa y en su vida personal.

Colombia lidera el ranking de países con mayor número de ciberataques exitosos detectados

Según el informe 2022 Cyberthreat Defense Report de CyberEdge, aproximadamente el 53.1% de empresas en el país sufrieron intentos o ataques exitosos.

Un ciberataque exitoso puede permitir que los ciberdelincuentes o piratas informáticos roben, manipulen o destruyan datos críticos en la computadora de la víctima. Alternativamente, los ciberdelincuentes también pueden aprovechar un sistema comprometido para lanzar ataques contra otros equipos o entornos. Desde las ganancias financieras hasta la influencia de la opinión pública y la guerra cibernética, hay una multitud de objetivos que impulsan los ciberataques. A nivel mundial, seis de siete organizaciones (85.3%) han experimentado un ataque exitoso en los últimos doce meses. Las industrias más afectadas son la educación (90.5%), telecomunicaciones y tecnología (90.3%), finanzas (88.2%), manufactura (86.4) y organizaciones gubernamentales (68.2%).

Los países con porcentaje más alto de ataques exitosos a organizaciones son Colombia (con 93.9% de intentos de ataque), Turquía, España, México, Canadá y Francia. Esto indica que Colombia entró en el top 10 de países más atacados al tener más de 11 millones de amenazas (ransomware, cifrado, malware y cryptojacking) en el 2021.

La gran mayoría de estas amenazas están relacionados con ataques de ransomware de alto perfil que tuvieron como objetivo a empresas, gobiernos y sectores educativos, seguido por ataques tipo BEC (16%); ambos ciberataques se han multiplicado durante los últimos meses.

La manera en que los delincuentes abordan a las víctimas es mediante correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable dentro. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. La potencial víctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute. Estos ataques golpean las cadenas de suministro, causando un tiempo de inactividad generalizado del sistema, pérdidas económicas y daños a la reputación.

En países de Latinoamérica (Chile, Colombia, México, Brasil), USD 1.21 millones es el costo promedio en que incurren las organizaciones que han sido víctimas de ataques Ransonware para restaurar sus operaciones y remediar los daños sufridos.}

Normativas para la Ciberseguridad Empresarial

GESTIÓN DE RIESGOS RANSOMWARE: Protección de la información ante ataques ransomware para organizaciones e individuos.

El ransomware es un tipo de malware en el que los atacantes cifran los datos de una organización para exigir pagos para restablecer el acceso a la información. Este tipo de ataque registró mayor cantidad de grupos en actividad, mayor cantidad de ataques y pagos más elevados durante 2021.

El presente documento es una guía para la identificación, protección, detección, respuesta y recuperación durante riesgos durante eventos de ransomware definido en marco de la ciberseguridad del NIST en Ransomware Risk Management: A Cybersecurity Framework Profile 2022, en su versión en inglés.

Este perfil de ransomware puede ayudar a organizaciones e individuos a administrar el riesgo de eventos de ransomware.

ATAQUES DIRIGIDOS

Los ataques dirigidos tienen como objetivo a una persona o a un grupo específico. Los ciberdelincuentes están motivados en gran medida por motivos financieros y los ataques dirigidos están reemplazando los brotes de virus generalizados en todo el mundo.

En un ataque dirigido, se destaca a la organización porque el atacante tiene un interés específico en su esta o se le ha pagado para atacarlo. El trabajo preliminar para el ataque podría llevar meses para que puedan encontrar la mejor ruta para entregar el exploit directamente a sus sistemas (o usuarios). La tendencia hoy en día son ataques continuos y sofisticados dirigidos a ejecutivos corporativos y otros empleados de alto nivel en una variedad de empresas. 

Los ataques dirigidos a menudo tienen en mente una organización o una empresa, pero los ataques dirigidos a ciudadanos comunes también van en aumento.

 Un ataque dirigido a menudo es más dañino que uno no dirigido porque se ha diseñado específicamente para atacar sus sistemas, procesos o personal, en la oficina y, a veces, en el hogar. Los ataques dirigidos pueden incluir:

  • spear-phishing : envío de correos electrónicos a personas específicas que podrían contener un archivo adjunto con software malicioso o un enlace que descarga software malicioso
  • Implementación de una botnet : para lanzar un ataque DDOS (Distributed Denial of Service)
  • subvertir la cadena de suministro : para atacar el equipo o el software que se entrega a la organización

Las versiones dirigidas de phishing se han denominado “spear phishing” y se han vuelto cada vez más sofisticadas. Los correos electrónicos generalmente comienzan con nombres reales y referencias de empresas para que los mensajes parezcan reales. Para reducir aún más las sospechas, los mensajes están bien escritos y presentados profesionalmente. Dichos ataques son más difíciles de detectar que los ataques masivos de phishing y es más probable que se tomen medidas, dado que están personalizados para sus destinatarios. El auge de las redes sociales, como Facebook, y las redes profesionales, como Plaxo y LinkedIn, facilita a los atacantes la investigación de posibles víctimas.

SPOOFING: SUPLANTACIÓN DE INDENTIDAD

En ciberseguridad, la suplantación de identidad es cuando alguien se hace pasar por otra persona u organización en un intento de ganarse la confianza de la víctima, con el objetivo de acceder a sus sistemas, robar credenciales, dinero o propagar malware. El atacante se hace pasar por un contacto o una marca de confianza para acceder a información personal confidencial. Los ataques de suplantación de identidad copian y explotan la identidad y el aspecto de marcas conocidas o las direcciones de sitios web de confianza. Durante la pandemia, la suplantación de identidad creció a una tasa de 149 % en el mundo, pero 243% en Colombia.

Los atacantes disfrazan sus comunicaciones, como correos electrónicos o llamadas telefónicas, para que parezcan provenir de una persona u organización de confianza con el objetivo de que la víctima exponga información personal confidencial. Estos ataques también pueden ocurrir en un nivel más técnico, a través de la suplantación de direcciones IP o DNS.

El cibercriminal crea diferentes técnicas de engaño que pueden ser por correo electrónico, teléfono y SMS para que le entreguen información personal. Una vez que el atacante se gana la confianza de la víctima, el peligro es inminente, generalmente este es el primer paso para realizar estafas mucho más grandes, como un ataque de phishing. 

Todos los tipos de suplantación de identidad tienen como objetivo explotar vulnerabilidades y aprovechar la confianza de la víctima. 

Suplantación de identidad por correo electrónico

La suplantación de identidad por correo electrónico consiste en el envío de correos electrónicos con direcciones de remitentes falsas pero que la víctima reconocerá, como un banco o supermercado. En entornos corporativos, el atacante se puede hacer pasar como ejecutivo de alto rango o socio comerciales y solicitar información privilegiada a los empleados.

El correo electrónico es un sistema abierto que permite a las personas enviar y recibir mensajes fácilmente, esta apertura también hace que el correo electrónico sea vulnerable al abuso por parte de actores maliciosos como los falsificadores. Incluso hay sitios web de suplantación de correo electrónico que ayudan a los piratas informáticos a suplantar rápidamente los correos electrónicos en línea. 

Señales de advertencia comunes de suplantación de identidad por correo electrónico:

  • Dominio de correo electrónico genérico: los correos electrónicos de instituciones financieras y otras empresas se envían desde su dominio oficial. Si recibe un correo electrónico que parece real pero que proviene de una dirección de un proveedor de correo electrónico gratuito, como yourbankname [en] yahoo.com, podría ser un correo electrónico falso.
  • Solicitud de información personal: Las empresas y los empleadores deben tener toda su información que necesitan. No deberían enviarle un correo electrónico para solicitar cosas como credenciales de usuario o información de tarjeta de crédito. Si esto sucede, podría tratarse de una estafa de phishing que utiliza técnicas de suplantación de identidad.
  • Archivos adjuntos extraños: algunos suplantadores de identidad utilizan ataques de phishing para intentar atravesar los filtros de correo no deseado colocando contenido malicioso en un archivo adjunto. Esté atento a los archivos adjuntos HTML o EXE, ya que pueden instalar malware en su dispositivo. Nunca haga clic en archivos adjuntos o enlaces desconocidos cuando reciba correos electrónicos sospechosos .
  • Errores e incoherencias: ¿el nombre del remitente coincide con la dirección de correo electrónico que utilizó? ¿Hay errores ortográficos o gramaticales obvios? ¿Tu nombre está escrito correctamente? Las empresas legítimas no incluirán errores tipográficos por descuido (¡con suerte!) en los correos electrónicos que envían a los clientes.
  • Urgencia forzada: los falsificadores quieren que tomes decisiones rápidas antes de que hayas tenido tiempo de pensar bien las cosas. ¡Tu cuenta será cerrada! ¡Te van a multar! ¡El gobierno te va a demandar! Cuanto más miedo pueda inducir el hacker, mayores serán las posibilidades de que su víctima caiga en la estafa.
  • Trucos de ortografía: muchos falsificadores incluso intentan engañar a las víctimas para que visiten versiones falsificadas de sitios web completos. Intentarán hacer pasar su sitio como real usando algunos trucos de ortografía inteligentes, como reemplazar una L minúscula con una I mayúscula, o usando una extensión de dominio diferente.
  • Typosquatting: también conocido como secuestro de URL o brandjacking, el typosquatting se aprovecha de los errores tipográficos comunes que cometen las personas al ingresar direcciones web en sus navegadores. Entonces, si visita la dirección falsa, podría terminar en un sitio malicioso.

Suplantación de identidad del sitio web

Se trata de hacer que un sitio web malicioso parezca legítimo. El sitio falsificado se parecerá a la página de inicio de sesión de un sitio web que frecuenta, hasta la marca, la interfaz de usuario e incluso un nombre de dominio falsificado que se ve igual a primera vista. Los ciberdelincuentes usan sitios web falsificados para capturar su nombre de usuario y contraseña (también conocido como falsificación de inicio de sesión) o colocar malware en su computadora (una descarga oculta ). Un sitio web falsificado generalmente se utilizará junto con un correo electrónico falso, en el que el correo electrónico se vinculará al sitio web.

También vale la pena señalar que un sitio web falsificado no es lo mismo que un sitio web pirateado. En el caso de la piratería de un sitio web , el sitio web real ha sido comprometido y tomado por ciberdelincuentes, sin suplantación de identidad ni falsificación. Del mismo modo, la publicidad maliciosa es su propia marca de malware. En este caso, los ciberdelincuentes se han aprovechado de los canales publicitarios legítimos para mostrar anuncios maliciosos en sitios web de confianza. Estos anuncios cargan malware en secreto en la computadora de la víctima.

Suplantación de identidad de llamadas

La falsificación del identificador de llamadas ocurre cuando los estafadores engañan a su identificador de llamadas haciendo que parezca que la llamada proviene de un lugar donde no es. Los estafadores han aprendido que es más probable que usted conteste el teléfono si el identificador de llamadas muestra un código de área igual o similar al suyo. En algunos casos, los estafadores incluso suplantarán los primeros dígitos de su número de teléfono además del código de área para crear la impresión de que la llamada se origina en su vecindario (también conocido como suplantación de identidad de vecinos). 

Falsificación de mensajes de texto

La suplantación de identidad por mensaje de texto o la suplantación de identidad por SMS consiste en enviar un mensaje de texto con el número de teléfono o la identificación del remitente de otra persona. Si alguna vez envió un mensaje de texto desde su computadora portátil, falsificó su propio número de teléfono para enviar el texto, porque el texto en realidad no se originó en su teléfono. Con frecuencia, las empresas falsifican sus propios números, con fines comerciales y de comodidad para el consumidor, reemplazando el número largo con una identificación de remitente alfanumérica corta y fácil de recordar. Los estafadores hacen lo mismo: ocultan su verdadera identidad detrás de una identificación de remitente alfanumérica, a menudo haciéndose pasar por una empresa u organización legítima. Los textos falsificados a menudo incluirán enlaces a sitios de phishing de SMS ( smishing ) o descargas de malware.

Ataque Man-in-the-Middle (MitM)

Los ataques Man-in-the-Middle (MitM) pueden ocurrir cuando } los ciberdelincuentes pueden interceptar el tráfico web entre dos partes. La suplantación entra en juego cuando los delincuentes alteran la comunicación entre las partes para desviar fondos o solicitar información personal confidencial, como números de tarjetas de crédito o inicios de sesión.

Falsificación de extensiones

La suplantación de extensiones se produce cuando los ciberdelincuentes necesitan ocultar archivos de malware ejecutables. Un truco común de suplantación de extensiones que les gusta usar a los delincuentes es nombrar el archivo con algo parecido a “nombre de archivo.txt.exe”. Los delincuentes saben que las extensiones de archivo están ocultas de forma predeterminada en Windows, por lo que para el usuario promedio de Windows, este archivo ejecutable aparecerá como “nombre de archivo.txt”.

falsificación de IP

La suplantación de IP se utiliza cuando alguien quiere ocultar o disfrazar la ubicación desde la que envía o solicita datos en línea. Tal como se aplica a las ciberamenazas, la suplantación de direcciones IP se utiliza en los ataques de denegación de servicio distribuido (DDoS) para evitar que se filtre el tráfico malicioso y para ocultar la ubicación del atacante.

Suplantación de identidad facial

La suplantación de identidad facial podría ser la más personal, debido a las implicaciones que conlleva para el futuro de la tecnología y nuestras vidas personales. Tal como está, la tecnología de identificación facial es bastante limitada. Usamos nuestras caras para desbloquear nuestros dispositivos móviles y computadoras portátiles, y no mucho más. Sin embargo, muy pronto, es posible que nos encontremos haciendo pagos y firmando documentos con la cara. Imagine las ramificaciones cuando puede abrir una línea de crédito con su cara. Cosas de miedo. Los investigadores han demostrado cómo los modelos faciales en 3D creados a partir de sus imágenes en las redes sociales ya se pueden usar para piratear un dispositivo bloqueado a través de una identificación facial. Yendo un paso más allá, Malwarebytes Labs informó sobre la tecnología deepfakese utiliza para crear videos de noticias falsas y cintas de sexo falsas, con las voces y semejanzas de políticos y celebridades, respectivamente.

Existen diferentes técnicas para que los ciberdelincuentes puedan ocultar su verdadera identidad en una falsificación de correo electrónico. La opción más infalible es hackear un servidor de correo no seguro . En este caso, el correo electrónico proviene, desde un punto de vista técnico, del supuesto remitente:

La opción de baja tecnología es simplemente poner cualquier dirección en el campo “De”. El único problema es que si la víctima responde o el correo electrónico no se puede enviar por algún motivo, la respuesta irá a quien aparezca en el campo “De”, no al atacante. Esta técnica es comúnmente utilizada por los spammers para usar correos electrónicos legítimos para pasar los filtros de spam. Si alguna vez recibió respuestas a correos electrónicos que nunca envió, esta es una posible razón, además de que su cuenta de correo electrónico fue pirateada. Esto se llama retrodispersión o spam colateral .

Otra técnica es registrar un nombre de dominio similar al que están tratando de falsificar en lo que se denomina un ataque homógrafo. Por ejemplo, “cusercisoslab.com” en vez de c2usercisoslab.com. Tenga en cuenta la omisión del número “2”, o en “ernpresadevidrio.com” . También tenga en cuenta el uso de las letras “r” y “n” para falsificar la letra “m”. Esto tiene el beneficio adicional de darle al atacante un dominio que puede usar para crear un sitio web falsificado.

Una suplantación de identidad exitosa requiere una combinación de la suplantación de identidad y ingeniería social. Los ciberdelincuentes aprovechan la vulnerabilidad del ser humano para convencerlo y ser la entrada directa para los ataques. 

Suplantación de identidad del sitio web

  • Los sitios web seguros deben tener un certificado SSL , lo que significa que una autoridad de certificación externa ha verificado que la dirección web realmente pertenece a la organización que se está verificando. 
  • El sitio web no utiliza cifrado de archivos: HTTP , o Protocolo de transferencia de hipertexto. Si está en una página de inicio de sesión y ve “http” en lugar de “https” en la barra de direcciones de su navegador, debe sospechar.
  • Utilice un administrador de contraseñas . Un administrador de contraseñas autocompletará sus credenciales de inicio de sesión para cualquier sitio web legítimo que guarde en su bóveda de contraseñas. Sin embargo, si navega a un sitio web falsificado, su administrador de contraseñas no reconocerá el sitio y no completará los campos de nombre de usuario y contraseña por usted, una buena señal de que está siendo falsificado.

Suplantación de identidad por correo electrónico

  • Compruebe dos veces la dirección del remitente.
  • Los enlaces incrustados tienen direcciones URL inusuales. 
  • Errores tipográficos, mala gramática y sintaxis inusual. 
  • El contenido del correo electrónico es demasiado bueno para ser verdad.
  • Tenga cuidado con los archivos adjuntos, especialmente cuando provienen de un remitente desconocido.

Suplantación de identidad de llamadas

  • El identificador de llamadas se falsifica fácilmente. Deje que las llamadas al teléfono fijo de personas desconocidas vayan al buzón de voz o al contestador automático.

Active filtro de spam. Esto evitará que la mayoría de los correos electrónicos falsificados lleguen a su bandeja de entrada.

No haga clic en enlaces ni abra archivos adjuntos en correos electrónicos si el correo electrónico proviene de un remitente desconocido. 

Inicie sesión a través de una pestaña o ventana separada. Si recibe un correo electrónico o mensaje de texto sospechoso, solicitándole que inicie sesión en su cuenta y realice algún tipo de acción, por ejemplo, verificar su información, no haga clic en el enlace proporcionado. En su lugar, abra otra pestaña o ventana y navegue directamente al sitio. 

Mostrar extensiones de archivo en Windows. Windows no muestra las extensiones de archivo de forma predeterminada, pero puede cambiar esa configuración haciendo clic en la pestaña “Ver” en el Explorador de archivos y luego marcando la casilla para mostrar las extensiones de archivo. Si bien esto no evitará que los ciberdelincuentes falsifiquen las extensiones de los archivos, al menos podrá ver las extensiones falsificadas y evitar abrir esos archivos maliciosos.

Invierta en un buen programa antivirus. En el caso de que haga clic en un enlace o archivo adjunto incorrecto, no se preocupe, un buen programa antivirus podrá alertarlo sobre la amenaza, detener la descarga y evitar que el malware se afiance en su sistema o red. 

Impacto en industrias de TI durante el conflicto en Europa del Este, ¿Guerra Digital?

CISA publica una serie de recomendaciones dirigidas a organizaciones y CISOS para protegerse en medio de la crisis Rusia-Ucrania.

Si bien no existen amenazas cibernéticas específicas para Latinoamérica en este momento, el ataque no provocado de Rusia contra Ucrania, que ha implicado ataques cibernéticos contra el gobierno ucraniano y organizaciones de infraestructura crítica, puede afectar a organizaciones tanto dentro como fuera de la región, particularmente a raíz de las sanciones impuestas por los Estados Unidos. Todas las organizaciones, grandes y pequeñas, deben estar preparadas para responder a la actividad cibernética disruptiva.

Se ha culpado a Rusia de una serie de ataques cibernéticos contra el gobierno y el sistema bancario de Ucrania en las últimas semanas.

A medida que Rusia intensifica sus presuntos ciberataques contra Ucrania junto con una invasión militar , los gobiernos de occidente temen que la situación se extienda a otros países y se convierta en una ciberguerra total.

El jueves 24 de febrero, se identificó un malware que tiene como objetivo borrar datos de los sistemas a los que se dirige. Un día antes, los sitios web de varios departamentos gubernamentales y bancos de Ucrania quedaron desconectados por un ataque de denegación de servicio distribuido (DDoS), saturando un sitio web con tráfico hasta que colapsa.

Estos ataques se producen después de que un ataque separado, durante la última semana de febrero, afectara cuatro sitios web del gobierno ucraniano, que funcionarios estadounidenses y británicos atribuyeron al GRU, la agencia de inteligencia militar rusa. Además, según informes, los residentes de Ucrania también recibieron mensajes de texto falsos que decían que los cajeros automáticos en el país no funcionaban, lo que, encaja perfectamente en campañas de FAKE NEWS.

Por su parte, Rusia dice que “nunca ha realizado y no realiza ninguna operación ‘maliciosa’ en el ciberespacio”.

La avalancha de ataques ha generado temores de un conflicto digital más amplio, con los gobiernos occidentales preparándose para las presuntas ciberamenazas de Rusia y considerando cómo responder.

Desde Darktrace, líder mundial en CyberAI, se ha dicho que los ataques hasta ahora se han centrado en gran medida en apoyar la invasión física de Ucrania por parte de Rusia. “Es la tierra física y el territorio lo que Rusia parece buscar en lugar del apalancamiento económico, para lo cual una campaña cibernética primero puede ser más efectiva”, dijo a CNBC.

Investigadores dijeron que un tipo de malware detectado en Ucrania también afectó a los contratistas del gobierno ucraniano en Letonia y Lituania, lo que sugiere un posible ” derrame ” de las tácticas de esta “guerra cibernética” en otros países. Varios países de la Unión Europea, incluidos Lituania, Croacia y Polonia, están ofreciendo apoyo a Ucrania con el lanzamiento de un equipo de respuesta rápida cibernética.

Finalmente, se ha sugerido el país Ruso podría lanzar ciberataques de represalia en respuesta a las sanciones occidentales anunciadas a principios de marzo.

¿Qué está pasando?

La forma más probable en que se presencie el efecto de cualquier ataque cibernético sea a través de la guerra de información: videos manipulados, noticias falsas y fotografías que pretenden confundir o engañar a las personas en el ciberespacio. Se presume que el principal objetivo de desinformación es justificar la crisis en Europa del este ante sus respectivos ciudadanos y el mundo. Pero sus tácticas también podrían extenderse hacia el oeste creando sitios web falsos, campañas falsas de crowdfunding, hasta enlaces con archivos maliciosos.

¿Qué pasa después?

Rusia ha sido acusada durante mucho tiempo por gobiernos e investigadores de seguridad cibernética de perpetrar ataques cibernéticos y campañas de desinformación en un esfuerzo por perturbar las economías y “socavar la democracia”.

Ahora, los expertos dicen que durante este conflicto se podrían lanzar formas más sofisticadas de ataques cibernéticos, dirigidos a Ucrania y posiblemente también a otros países.

Por ejemplo, en 2017, un malware conocido como NotPetya infectó computadoras en todo el mundo. Inicialmente se dirigió a organizaciones ucranianas, pero pronto se extendió a nivel mundial y afectó a grandes corporaciones como Maersk , WPP y Merck . Los ataques fueron atribuidos a Sandworm, la unidad de piratería de GRU (Inteligencia Rusa), y causaron más de $10.000 millones en daños totales.

Si realmente enfocan este tipo de actividad contra Occidente, eso podría tener consecuencias económicas muy reales.

¿Cómo Protegerse?

escudos arriba

La Agencia de Defensa Cibernética de EEUU, CISA, compartió la campaña SHIELDS UP (Escudos Arriba), para ayudar a las organizaciones a prepararse, responder y mitigar el impacto de los ataques cibernéticos. El objetivo es usar información para brindar asistencia y como advertencia para evitar que otras organizaciones y entidades sean víctimas de un ataque.

Guía de Shields Up para todas las organizaciones

Guía de Shields Up para todas las organizaciones:

CISA recomienda que todas las organizaciones, independientemente de su tamaño, adopten una postura más estricta en lo que respecta a la seguridad cibernética y la protección de sus activos más críticos. Las acciones recomendadas incluyen:

Reducir la probabilidad de una intrusión cibernética dañina

  • Valide que todo acceso remoto a la red de la organización y acceso privilegiado o administrativo requiera autenticación multifactor.
  • Asegúrese de que el software esté actualizado, dando prioridad a las actualizaciones que aborden las vulnerabilidades explotadas conocidas.
  • Confirme que el personal de TI de la organización ha deshabilitado todos los puertos y protocolos que no son esenciales para fines comerciales.
  • Si la organización utiliza servicios en la nube, asegúrese de que el personal de TI haya revisado e implementado controles estrictos.

Tome medidas para detectar rápidamente una posible intrusión

  • Asegúrese de que el personal de ciberseguridad/TI se concentre en identificar y evaluar rápidamente cualquier comportamiento de red inesperado o inusual. Habilite el registro para investigar mejor los problemas o eventos.
  • Confirme que toda la red de la organización esté protegida por software antivirus/antimalware y que las firmas en estas herramientas estén actualizadas.
  • Si trabaja con organizaciones ucranianas, tenga mucho cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revise de cerca los controles de acceso para ese tráfico.

Asegúrese de que la organización esté preparada para responder si ocurre una intrusión

  • Designe un equipo de respuesta a crisis con los principales puntos de contacto para un supuesto incidente de seguridad cibernética y roles/responsabilidades dentro de la organización, incluida la tecnología, las comunicaciones, la continuidad legal y comercial.
  • Asegurar la disponibilidad del personal clave; identificar los medios para proporcionar apoyo de emergencia para responder a un incidente.
  • Realice un ejercicio de simulación para asegurarse de que todos los participantes entiendan sus roles durante un incidente.

Maximizar la resiliencia de la organización ante un ciberincidente destructivo

  • Pruebe los procedimientos de respaldo para garantizar que los datos críticos se puedan restaurar rápidamente si la organización se ve afectada por ransomware o un ataque cibernético destructivo; asegúrese de que las copias de seguridad estén aisladas de las conexiones de red.
  • Si utiliza sistemas de control industrial o tecnología operativa, realice una prueba de controles manuales para garantizar que las funciones críticas permanezcan operativas si la red de la organización no está disponible o no es de confianza.

CISA también recomienda a las organizaciones que visiten StopRansomware.gov , una página web centralizada para todo el gobierno que proporciona recursos y alertas de ransomware.

Recomendaciones para líderes corporativos y directores ejecutivos

Guía de Shields Up para líderes corporativos:

Los líderes corporativos tienen un papel importante que desempeñar para garantizar que su organización adopte una postura de seguridad reforzada. 

  • Empoderar a los directores de seguridad de la información (CISO): en casi todas las organizaciones, las mejoras de seguridad se sopesan frente a los costos y los riesgos operativos para el negocio. En este entorno de mayor amenaza, la alta dirección debe empoderar a los CISO incluyéndolos en el proceso de toma de decisiones sobre el riesgo para la empresa y garantizar que toda la organización comprenda que las inversiones en seguridad son una prioridad máxima en el plazo inmediato.  
  • Umbrales de informes más bajos: cada organización debe tener umbrales documentados para informar posibles incidentes cibernéticos a la alta dirección y al gobierno de los EE. UU. En este entorno de amenazas intensificadas, estos umbrales deberían ser significativamente más bajos de lo normal. La alta gerencia debe establecer la expectativa de que cualquier indicación de actividad cibernética maliciosa, incluso si está bloqueada por controles de seguridad, debe informarse, como se indica en el sitio web de Shields-Up, a CISA o al FBI. Reducir los umbrales garantizará que podamos identificar inmediatamente un problema y ayudar a protegernos contra más ataques o víctimas.  
  • Participe en una prueba de planes de respuesta: los planes de respuesta a incidentes cibernéticos deben incluir no solo a sus equipos de seguridad y TI, sino también a los líderes empresariales sénior y a los miembros de la junta. Si aún no lo ha hecho, la alta dirección debe participar en un ejercicio de simulación para asegurarse de familiarizarse con la forma en que su organización gestionará un incidente cibernético importante, no solo para su empresa sino también para las empresas dentro de su cadena de suministro.  
  • Centrarse en la continuidad: al reconocer los recursos finitos, las inversiones en seguridad y resiliencia deben centrarse en aquellos sistemas que respaldan las funciones comerciales críticas. La alta gerencia debe asegurarse de que dichos sistemas hayan sido identificados y que se hayan realizado pruebas de continuidad para garantizar que las funciones comerciales críticas puedan permanecer disponibles después de una intrusión cibernética.  
  • Planifique para lo peor: si bien el gobierno de los EE. UU. no tiene información creíble sobre amenazas específicas para el territorio nacional de los EE. UU., las organizaciones deben planificar para el peor de los casos. La alta gerencia debe asegurarse de que se puedan tomar las medidas necesarias para proteger los activos más críticos de su organización en caso de una intrusión, incluida la desconexión de partes de la red de alto impacto si es necesario.  

Pasos que los estadounidenses pueden tomar para protegerse

Guía de Shields Up para el día a día:

  • Implemente la autenticación multifactor en sus cuentas . Una contraseña no es suficiente para mantenerte seguro en línea. Al implementar una segunda capa de identificación, como un mensaje de texto o correo electrónico de confirmación, un código de una aplicación de autenticación, una huella digital o Face ID, le está dando a su banco, proveedor de correo electrónico o cualquier otro sitio que está iniciando sesión en la confianza de que realmente es usted. La autenticación multifactor puede hacer que sea un 99 % menos probable que te pirateen. Por lo tanto, habilite la autenticación multifactor en su correo electrónico, redes sociales, compras en línea, cuentas de servicios financieros. ¡Y no olvide sus servicios de entretenimiento de juegos y transmisión!   
  • Actualice su software. De hecho, activa las actualizaciones automáticas . Los malos actores explotarán las fallas en el sistema. Actualice el sistema operativo de sus teléfonos móviles, tabletas y portátiles. Y actualice sus aplicaciones, especialmente los navegadores web, también en todos sus dispositivos. Aproveche las actualizaciones automáticas para todos los dispositivos, aplicaciones y sistemas operativos. 
  • Piense antes de hacer clic . Más del 90% de los ciberataques exitosos comienzan con un correo electrónico de phishing. Un esquema de phishing es cuando un enlace o página web parece legítimo, pero es un truco diseñado por malos actores para que revele sus contraseñas, número de seguro social, números de tarjetas de crédito u otra información confidencial. Una vez que tienen esa información, pueden usarla en sitios legítimos. Y pueden intentar que ejecute software malicioso, también conocido como malware. Si es un enlace que no reconoce, confíe en su instinto y piense antes de hacer clic. 
  • Utilice contraseñas seguras e, idealmente, un administrador de contraseñas para generar y almacenar contraseñas únicas. Nuestro mundo es cada vez más digital y cada vez más interconectado. Entonces, si bien debemos protegernos a nosotros mismos, nos tomará a todos proteger realmente los sistemas en los que todos confiamos.