La nube impulsa a los negocios, pero la seguridad sigue siendo un reto para las empresas

La encuesta realizada por Fortinet y Cybersecurity Insiders a más de 800 profesionales de la ciberseguridad de todo el mundo revela las experiencias y planes de las organizaciones respecto a la nube.


Ciudad de México, 13 de julio de 2022

La adopción de la nube va en aumento, actualmente 30% de las empresas ejecutan ahí más de la mitad de sus cargas de trabajo, lo que representa un aumento de 6% respecto al año pasado, mientras que un 58% adicional espera alcanzar este nivel en los próximos 12 a 18 meses.

Esto de acuerdo con datos recopilados dentro del Informe de Seguridad en la Nube 2022, publicado por Fortinet, líder mundial en soluciones de ciberseguridad amplias, integradas y automatizadas, y la comunidad online Cybersecurity Insiders, a partir de una encuesta mundial realizada en marzo de este año a 823 profesionales de la ciberseguridad de organizaciones de diversos tamaños e industrias.

Según el estudio, entre los beneficios que obtienen las empresas al migrar a la nube se encuentran una mayor rapidez de comercialización (51%), una mayor capacidad de respuesta a las necesidades de los clientes (50%) y un ahorro dentro de los costos (39%). Además, los encuestados confirman que la nube está cumpliendo la promesa de capacidad y escalabilidad flexibles (53%), más agilidad (50%) y mayor disponibilidad y continuidad del negocio (45%). Los servicios y cargas de trabajo más implementados en la nube son los de seguridad (58%), seguidos de los de computación (56%), almacenamiento (55%) y virtualización (53%).

Por otro lado, los principales imprevistos que frenan o impiden la adopción de la nube son la falta de visibilidad (para el 49% de los encuestados), el elevado costo (43%), la falta de control (42%) y la falta de seguridad (22%). La encuesta también revela que los mayores retos a los que se enfrentan las organizaciones no están necesariamente relacionados con la tecnología, sino con las personas y los procesos. La falta de personal capacitado es el mayor obstáculo para una adopción más rápida, según el 40% de los encuestados (frente al 37% del año pasado), seguido del cumplimiento de la legislación y la normativa (33%) y los problemas de seguridad de los datos (31%).

“La nube ya ha demostrado ser un importante facilitador para las empresas de todos los tamaños e industrias, pero sigue siendo un reto para las empresas en varios aspectos. Abordar temas como la seguridad y la gestión es fundamental para acelerar el proceso de su adopción y aprovechar el negocio, así como invertir en la formación de profesionales para este segmento ya que esto puede representar un punto de inflexión en la búsqueda de los beneficios que la nube puede traer “, dice Rafael Venancio, director de Negocios de la Nube de Fortinet para América Latina y el Caribe.

Actualmente, el 76% de las organizaciones utilizan dos o más proveedores de nube. AWS y Microsoft Azure lideran la lista empatados, aunque Google y Oracle están aumentando rápidamente sus inversiones y su cuota de mercado.

Los proveedores de servicio de nube más utilizados, según la investigación.

El Informe de Seguridad en la Nube de este año se produce en un contexto de ataques de ransomware cada vez más audaces y costosos y de la revelación de una grave vulnerabilidad de día cero en la popular herramienta de registro Apache Log4j, utilizada en muchas aplicaciones empresariales y plataformas en la nube. No es de extrañar que el 95% de las organizaciones estén preocupadas por la seguridad.

Pero ¿Cuáles son las amenazas a la seguridad en la nube que más preocupan a las empresas? Según la encuesta, la desconfiguración de la plataforma en la nube sigue siendo el mayor riesgo para la seguridad (62%), seguido de las interfaces/API inseguras (52%, frente al 49% del año pasado), la exfiltración de datos confidenciales (51%) y el acceso no autorizado (50%).

El informe también revela que, para integrar servicios variados, proporcionar escalabilidad o garantizar la continuidad del negocio, el 39% de las organizaciones está optando por un enfoque de despliegue de nube híbrida -un 3% más que el año pasado- o multicloud (33%).

Por ello, no es de extrañarse que se enfrenten a una complejidad y unos retos de seguridad cada vez mayores. La falta de conocimientos en materia de seguridad está a la cabeza (61%, frente al 57% del año pasado), seguida de la protección de datos (53%), la comprensión de cómo encajan las distintas soluciones (51%) y la pérdida de visibilidad y control (47%). Por esta razón, el 78 % de los encuestados considera que es muy o extremadamente útil tener una única plataforma de seguridad en la nube para proteger los datos de manera uniforme y completa en todo su espacio.

“Nunca se insistirá lo suficiente en que la seguridad en la nube es una responsabilidad compartida entre la empresa y el proveedor, y que para lograr los objetivos de migración a este servicio, la seguridad es esencial. Precisamente por ofrecer una seguridad más eficiente y una menor complejidad, la gran tendencia del mercado se dirige hacia una plataforma de ciberseguridad en malla, como Fortinet Security Fabric, que agrupa la gestión, la visibilidad y la automatización, reduciendo drásticamente el tiempo de respuesta a las amenazas y el impacto que pueden causar las carencias de recursos”, señala Venancio.

El informe completo está disponible aquí.

Recursos adicionales

Vea cómo Fortinet hace posible un mundo digital en el que siempre se puede confiar y descubra cómo la plataforma Fortinet Security Fabric ofrece una protección completa, integrada y automatizada en toda la infraestructura digital de una organización.

– Lea más sobre cómo las empresas están protegiendo sus organizaciones con Fortinet.

– Obtenga más información sobre la inteligencia e investigación de amenazas de FortiGuard Labs o la cartera de servicios de seguridad FortiGuard de Fortinet con inteligencia artificial.

– Obtenga más información sobre la ciberseguridad y la formación gratuitas de Fortinet, una iniciativa de Fortinet Training Advancement Agenda (TAA) o el programa Fortinet Network Security Expert.

– Únase a la comunidad de usuarios de Fortinet (Fuse). Comparta ideas y comentarios, aprenda más sobre nuestros productos y tecnología, y conecte con sus colegas.

– Siga a Fortinet en Twitter, LinkedIn, Facebook, YouTube e Instagram.

Acerca de Fortinet 
Fortinet (NASDAQ: FTNT) hace posible un mundo digital en el que siempre podemos confiar a través de su misión de proteger a las personas, los dispositivos y los datos en todas partes. Esta es la razón por la que las empresas, proveedores de servicios y organizaciones gubernamentales más grandes del mundo eligen Fortinet para acelerar de forma segura su viaje digital. La plataforma Fortinet Security Fabric ofrece protecciones amplias, integradas y automatizadas en toda la superficie de ataque digital, asegurando dispositivos críticos, datos, aplicaciones y conexiones desde el centro de datos hasta la nube y la oficina en casa. Ocupando el puesto número 1 con la mayoría de los dispositivos de seguridad enviados en todo el mundo, más de 580.000 clientes confían en Fortinet para proteger sus negocios. Y el Fortinet NSE Training Institute, una iniciativa de la Agenda de Avance de la Capacitación (TAA) de Fortinet, ofrece uno de los programas de capacitación más grandes y amplios de la industria para hacer que la capacitación cibernética y las nuevas oportunidades de carrera estén disponibles para todos. Obtenga más información en https://www.fortinet.com, el blog de Fortinet o FortiGuard Labs

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet’s trademarks include, but are not limited to, the following: Fortinet, the Fortinet logo, FortiGate, FortiOS, FortiGuard, FortiCare, FortiAnalyzer, FortiManager, FortiASIC, FortiClient, FortiCloud, FortiCore, FortiMail, FortiSandbox, FortiADC, FortiAI, FortiAP, FortiAppEngine, FortiAppMonitor, FortiAuthenticator, FortiBalancer, FortiBIOS, FortiBridge, FortiCache, FortiCall, FortiCam, FortiCamera, FortiCarrier, FortiCASB, FortiCenter, FortiCentral, FortiConnect, FortiController, FortiConverter, FortiCWP, FortiDB, FortiDDoS, FortiDeceptor, FortiDirector, FortiDNS, FortiEDR, FortiExplorer, FortiExtender, FortiFirewall, FortiFone, FortiGSLB, FortiHypervisor, FortiInsight, FortiIsolator, FortiLocator, FortiLog, FortiMeter, FortiMoM, FortiMonitor, FortiNAC, FortiPartner, FortiPenTest, FortiPhish, FortiPortal, FortiPresence , FortiProtect, FortiProxy, FortiRecorder, FortiReporter, FortiSASE, FortiScan, FortiSDNConnector, FortiSIEM, FortiSDWAN, FortiSMS, FortiSOAR, FortiSwitch, FortiTester, FortiToken, FortiTrust, FortiVoice, FortiVoIP, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.

Wiper: la nueva modalidad de Malware que ‘limpia’ o causa una pérdida permanente de datos

El malware Wiper es una clase de software malicioso relativamente nuevo pero altamente destructivo, que se observó por primera vez en Oriente Medio en 2012. Durante el conflicto entre Rusia y Ucrania en 2022, Wiper surgió como un arma cibernética popular elegida por los actores de amenazas.

A primera vista, este malware de limpieza comparte algunas similitudes con los ataques de ransomware, de la misma manera o más graves. Ambos tipos de malware implican hacer que los archivos y los datos sean inaccesibles para la víctima. Algunas variantes de malware de limpieza también pueden disfrazarse deliberadamente como ransomware al exigir tarifas de “rescate” de sus víctimas. Sin embargo, a diferencia del ransomware, que encripta los datos de su víctima, negando temporalmente el acceso hasta que se paga el rescate, el malware de limpieza generalmente tiene como objetivo la destrucción o causar una pérdida permanente

Por lo tanto, el uso de Wiper generalmente no tiene una motivación financiera: los expertos creen que los actores de amenazas utilizan principalmente este malware de limpieza para cubrir sus huellas después de filtrar información de una red, o para causar una interrupción total.

¿COMO FUNCIONA?

El malware Wiper se encuentra entre una de las clases de software malicioso más destructivas que pueden emplear los piratas informáticos. Dichos ataques a los sistemas de tecnología de la información (TI) de una organización podrían interrumpir ampliamente las operaciones comerciales dependientes de TI y provocar pérdidas de datos e información valiosos. Los ataques a los sistemas de tecnología operativa (OT), como los que sustentan los sistemas de transporte o las redes de energía, podrían causar un daño aún mayor al interrumpir los sistemas y equipos industriales, lo que tendría efectos devastadores y pondría vidas en peligro.

Existen dos técnicas empleados por los autores del malware de limpieza:

  1. Sobrescribir componentes del sistema, como el Registro de arranque maestro (MBR) o la Tabla de archivos maestros (MFT). Esto paraliza la operatividad de la computadora de la víctima y evita que se acceda a la información, aunque el contenido del archivo permanece intacto y aún puede recuperarse.
  2. Sobrescribir o cifrar archivos, junto con cualquier copia de seguridad que se encuentre en la computadora, para eliminar de forma permanente los datos y la información de la víctima. 

Los actores de amenazas de hoy en día suelen incorporar una combinación entre los dos enfoques para lograr el mayor daño en el menor tiempo posible.

Algunos tipos de malware de limpieza están diseñados con la capacidad de propagarse de forma autónoma (o ‘gusano’) a través de una red comprometida mediante la propagación de copias de sí mismo de una computadora a otra sin interacción humana. Estas variantes son particularmente peligrosas, ya que son extremadamente difíciles de contener una vez que se sueltan y pueden tener efectos de gran alcance en todo el mundo.

Un ejemplo del potencial destructivo del malware de limpieza que se propaga a sí mismo se puede ver en NotPetya. En 2017, los investigadores comenzaron a notar que este malware de limpieza autopropagante se infiltraba en las redes de las organizaciones cranianas. NotPetya se había disfrazado de ransomware exigiendo tarifas de “rescate” a los usuarios, pero en realidad carecía de un mecanismo de recuperación de rescate. Con su capacidad para infiltrarse en diferentes sistemas a través de una vulnerabilidad en el sistema de Windows, NotPetya se extendió rápidamente más allá de sus objetivos originales y finalmente paralizó a algunas de las corporaciones más grandes del mundo, incluidos los gigantes del transporte internacional Maersk y FedEx, la compañía farmacéutica Merck y la empresa constructora Saint Gobain. Según estimaciones de la Casa Blanca, los daños totales deNotPetya en 2017 alcanzó los 10.000 millones de dólares, lo que lo convierte en el ataque cibernético más dañino desde el punto de vista financiero hasta la fecha .

Figura 2. Una captura de pantalla de la “nota de rescate” de NotPetya, que establece que los usuarios pueden recuperar sus datos después de realizar un pago de rescate. En realidad, esto no era cierto, ya que NotPetya era un malware de limpieza que carecía de un mecanismo de descifrado. (Fuente: CrowdStrike)

La creciente prevalencia de nuevas variantes de malware Wiper durante el conflicto entre Rusia y Ucrania representa una amenaza cibernética potencial para las organizaciones de todo el mundo. El malware Wiper es destructivo: puede causar estragos al paralizar los sistemas y destruir datos valiosos. Crea daños permanentes en los sistemas: los archivos dañados por el malware del limpiador no se pueden recuperar. También puede afectar a los sistemas de forma indiscriminada cuando el malware posee mecanismos de autopropagación. A medida que los piratas informáticos liberan más variantes nuevas de malware de limpieza en el ecosistema, existe el riesgo de que una de las variantes se propague fuera de control, dejando tras de sí un rastro global de destrucción devastadora (como en el caso de NotPetya).

Se alienta a las organizaciones a tomar las medidas de precaución necesarias para defenderse contra los ataques de malware de limpieza en medio de su uso intensivo. Estas medidas son similares a las de defensa contra el ransomware. Por ejemplo, las organizaciones pueden considerar:

  • Hacer cumplir las mejores prácticas, como la creación de copias de seguridad regulares fuera de línea y fuera del sitio; y
  • Imponer el monitoreo de la red y revisar los registros del sistema para garantizar la detección rápida de anomalías y evitar daños generalizados en caso de que ocurra una infracción.

DETECCIÓN Y RESPUESTA GESTIONADA (MDR): LA NUEVA CLAVE PARA DETENER EL RANSOMWARE

No hay duda de que el ransomware es una amenaza creciente. Los ataques de alto perfil han paralizado varias ciudades de Estados Unidos, interrumpido oleoductos y alterado las cadenas de suministro en 2020 y 2021. Sin embargo, esos ataques reflejan solo el lado público de una industria cibercriminal mucho más grande que innova constantemente sus capacidades.

¿Cómo podemos evitarlo y darle un mejor manejo?

Crowdstrike aliado estratégico de SAFE nos comparte el siguiente documento:

WhitepaperMDRRansomwareLATAMESDownload
Qrishing: El uso de códigos QR ha ampliado la superficie de ciberataques

En enero de este año, el FBI generó una alerta (I-011822-PSA) relacionada con la utilización de códigos QR por parte de los ciberdelincuentes, dirigiendo los escaneos de estos códigos a sitios maliciosos para robar datos de las víctimas, incorporando malware para obtener acceso al dispositivo de la víctima y redirigiendo el pago para uso de los ciberdelincuentes.

Un código QR se puede incrustar fácilmente en cualquier lugar donde se pueda colocar una imagen: en el cuerpo de un correo electrónico, como archivo adjunto, impreso en una etiqueta o en un sitio web. Y al igual que una URL maliciosa, están diseñados para mezclarse y no hacer que un usuario desprevenido lo piense dos veces antes de escanearlo.

Los ciberdelincuentes manipulan los códigos QR digitales y físicos para reemplazar los códigos legítimos con códigos maliciosos. Una víctima escanea lo que cree que es un código legítimo, pero el código manipulado dirige a las víctimas a un sitio malicioso, lo que les solicita que ingresen información financiera y de inicio de sesión. El acceso a esta información de la víctima le da al ciberdelincuente la posibilidad de robar fondos a través de las cuentas de las víctimas.

Qrishing: phishing de los códigos QR

El término QRishing deriva de Pishing, como se conoce a la técnica de phishing para estafas en la web. En este caso se trata de una suplantación de identidad, pero utilizando como canal los útiles códigos QR. 

Muchas aplicaciones que usan códigos QR no muestran específicamente la URL destino, especialmente cuando se usan pasarelas de pago. Al intentar abrir sitios, generalmente mostraría el hipervínculo, pero en las técnicas de qrishing, ¿los ciberdelincuentes usan acortadores de URL para ocultar el enlace final. Además, es posible que la URL que se muestra al escanear un código QR con un dispositivo móvil no se muestre completamente en el navegador móvil.

Es importante tener en cuenta que los navegadores móviles, ya sean iPhone o teléfonos Android, no emplean las mismas técnicas de navegación segura que los navegadores de escritorio, lo que hace que el riesgo sea mayor.

¿CUÁLES SON LOS RIESGOS?

Generalmente vulnerar un código QR real requiere cambiar los puntos pixelados en la matriz del código o simplemente incrustar software malicioso en códigos QR (que pueden generarse con herramientas gratuitas ampliamente disponibles en Internet). Para un usuario promedio, todos estos códigos tienen el mismo aspecto, pero un código QR malicioso puede dirigir al usuario a un sitio web falso, capturar datos personales o instalar software malicioso en un teléfono inteligente que inicia acciones como esta: 

  • Agregar una nueva lista de contactos en el teléfono del usuario y usarla para lanzar un ataque de phishing u otro ataque personalizado.
  • Iniciar una llamada telefónica para así exponer el número de teléfono a un mal actor.
  • Enviar un mensaje de texto a un destinatario malicioso o recibir un mensaje de texto malicioso de un estafador. 
  • Redactar un correo electrónico y completar el destinatario y las líneas de asunto. Los piratas informáticos podrían apuntar al correo electrónico del trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago y capturar los datos financieros personales del usuario. 
  • Revelar la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web. 
  • Las cuentas de redes sociales del usuario pueden ser dirigidas para seguir una cuenta maliciosa, que luego puede exponer la información personal y los contactos del usuario. 
  • Agregar una red Wi-Fi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red. 

MÉTODOS COMUNES DE QRISHING

QRishing utiliza cebos de ingeniería social para hacer que las víctimas potenciales escaneen el código. 

Para el mismo se han utilizado los siguientes métodos:

  1. Pegar un código QR malicioso encima de un código QR genuino: esto se observó por primera vez en bancos donde las personas estarían muy seguras de escanear el código QR y también deben estar en uso en otros lugares. La razón para creer en la autenticidad del código es la ubicación en la que se ha colocado. P.ej. Si un usuario se encuentra dentro de un banco de renombre o una oficina gubernamental, hay muchas posibilidades de que confíe en cualquier código QR en las instalaciones debido a la confianza en la marca. En tal situación, los ciberdelincuentes pegan el código QR malicioso sobre el genuino.
  2. Cambiar los detalles de la empresa sobre el código QR : para engañar a los usuarios haciéndoles creer que estarían escaneando un código QR genuino, el pirata informático usaría el código QR en un cartel que menciona una marca genuina. P.ej. Una pancarta, folleto o cartel en la calle que mencione un banco de renombre pediría a los usuarios escanear el código QR en él. El código QR sería, a su vez, un intento de phishing que la víctima podría no reconocer.
  3. Uso de códigos QR como vales de descuento : a la gente le encantan los descuentos y los ciberdelincuentes lo saben muy bien. El uso de códigos QR para generar un cupón de descuento para marcas líderes en línea como Amazon se usa mucho para QRishing. Más bien, un informe sobre problemas de seguridad QR muestra que es mucho más probable que los usuarios abran códigos QR que ofrecen descuentos.

¿CÓMO PROTEGERSE?


Como organización, es importante asegurarse de que los empleados estén capacitados para cuestionar los códigos QR antes de escanearlos es clave para prevenir estos ataques. En general, cualquier código QR en un correo electrónico, por ejemplo, debe considerarse sospechoso.

Un conjunto sólido de soluciones de seguridad de varias capas resistirá muchos tipos de amenazas cibernéticas, pero, como siempre, los usuarios finales son la última línea de defensa contra los ataques. La capacitación de concientización comienza enseñando a los usuarios finales que los códigos QR se pueden usar en estafas de phishing y luego les brinda las habilidades para identificar e informar cualquier cosa sospechosa a sus equipos de seguridad y TI. Esos equipos pueden ser fundamentales en la mitigación y recuperación tempranas, antes de que un problema se generalice.

En este mismo sentido, existen recomendaciones generales tales como:

  1. Cuidado con los códigos QR en superficies físicas: el peor tipo de ataques QRishing se realiza pegando un código QR malicioso en uno genuino. Una mirada cuidadosa podría ayudar a descubrirlo.
  2. No abra URL acortadas: se recomienda verificar una URL acortada expandiéndola usando algunas herramientas. Pero eso no siempre es posible cuando se usa un navegador móvil. Más bien, las URL que muestran los códigos QR en un navegador móvil generalmente no están completas. Es mejor evitar abrirlos.
  3. Tenga cuidado antes de ingresar sus credenciales: siempre debe ingresar las credenciales en un sitio seguro, cuya dirección web comience con ‘https://’. Nunca lo hagas con enlaces aleatorios a los que te dirijan a través de códigos QR.
  4. Instale aplicaciones de seguridad en su dispositivo móvil : los navegadores móviles aún no han aplicado listas negras y otras medidas de seguridad como los navegadores de escritorio. Ciertas aplicaciones de seguridad permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR: en estas apps, tras escanear el QR se abre una pestaña que permite observar el link completo antes de acceder en el URL.
  5. Evite los códigos QR : a pesar de que los códigos QR son una de las opciones más cómodas, es mejor evitar su uso hasta que se haya investigado lo suficiente para que sean seguros para el uso público.
Avances en Ciberseguridad para 2022

En 2022, de la mano de los CISOS, las prioridades deben estar orientadas a estabilizar y adecuar la infraestructura innovando e integrando talento con tecnología con vista a mejorar la ciberseguridad bajo la responsabilidad de los CISOS en las organizaciones.

En los últimos años, muchos países han creado regulaciones para poder garantizar la privacidad y evitar la vulnerabilidad de la información empresarial. De esta forma, se incentiva a los CISOs en la implementación de estrategias orientadas a garantizar la información y su privacidad.

Aunque es una responsabilidad del CISO que debe ser continua, Fortinet comparte Siete prioridades en 2022 para los CISOs de América Latina y el Caribe que se deberán consolidar dentro de un plan de trabajo estratégico muy cercano a la empresa, sus colaboradores y empleados:

Apoyar estrategias de velocidad y crecimiento del negocio

 Los CISOs deben tener un impacto significativo en la agilidad de la organización para prosperar económicamente en esta nueva realidad empresarial global asegurando activos, procesos, así como analizando riesgos y preparando planes de contingencia que ayuden al negocio a alcanzar sus metas.   

ECISO tiene el reto de incorporar estrategias que ayuden a incrementar el crecimiento del negocio a corto y mediano plazo. Entre estas medidas deberá estar incluido un proceso de transformación digital que abarque toda la organización, teniendo en cuenta una automatización de procesos e internet dedicado 100% fibra óptica para agilizar la organización y lograr un impacto positivo en el negocio.

Asegurar los activos de la empresa, preparar planes de contingencia, agilizar y optimizar los resultados finales del negocio ayudarán a alcanzar las metas de la empresa. 

Adaptar la confianza cero

Las estructuras empresariales bajo un correcto esquema de trabajo del CISO deben implementar estrategias de Confianza Cero (Zero Trust o ZTNA) para el acceso a las redes.

La arquitectura, los marcos y los modelos de ZTNA se basan en conceptos para validar la confianza y el acceso de usuarios y dispositivos. La actual expansión de la superficie de ataque corporativo requiere la adopción de una estrategia de confianza cero o ZTNA para para proteger las redes, los sistemas y los datos corporativos. Esto será un gran reto para los CISOs, ya que hoy día la mayoría de las empresas no cuentan con estrategias de cero confianza.

Será un proceso de educación general a todo el personal, pero con un fin único, adoptar una metodología de accesos para proteger redes, sistemas y los datos de la empresa.

Educar al equipo con herramientas actualizadas

Los CISOS que entienden que la educación en ciberseguridad es la mejor herramienta para mitigar los riesgos están un paso por delante de las prácticas de la industria.

Estos debieran enfocar sus esfuerzos de educación en ciberseguridad para incluir a socios comerciales y a clientes. La educación en ciberseguridad debe sumar esfuerzos sobre concientización y la adopción de conocimientos y procesos como mejores prácticas y estándares que ayuden a las organizaciones a prevenir y recuperarse de cualquier incidente o fuga de información.

Priorizar la seguridad en la nube

La adopción de servicios cloud sin una planificación estratégica de la gestión puede ocasionar más problemas que soluciones.

Los CISOS deberán impulsar el gasto en computación en la nube a un ritmo creciente, dejando a muchas organizaciones con lagunas en las habilidades de sus profesionales para abordar riesgos en la nube. No deben subestimar los riesgos de seguridad asociados a la adopción de la nube, ya que la seguridad es una responsabilidad compartida entre el cliente y el proveedor de nube.

Automatizar la seguridad

Automatizar la seguridad en la infraestructura ante ataques ransomware será la diferencia entre los CISOs como prioridad en este 2022.

Con la creciente proliferación de ciberataques llevados a cabo con automatización e inteligencia artificial, y el Ransomware-as-a-Service (RaaS), las organizaciones son más que nunca incapaces de responder en tiempo real a las ciberamenazas. Es imperativo acortar el tiempo necesario para defenderse de los ciberataques. La implementación de procesos y herramientas de automatización de ciberseguridad garantizará que su organización pueda responder ante una mayor cantidad de incidentes de manera ágil, haciéndola más resistente a los riesgos actuales y futuros.

Todos estos procesos y herramientas de automatización garantizarán que la empresa pueda responder más ágilmente ante una posible amenaza actual o futura.

Inversión en seguridad OT de inmediato

 Los CISOs necesitan abordar el impacto de la seguridad de la tecnología operativa (OT) dentro de sus organizaciones. La integración de la tecnología operativa en las infraestructuras de red, incluidas las tecnologías emergentes como la 5G, está convirtiendo rápidamente a la tecnología operativa en un vector de superficie de ataque crítico para las organizaciones.

Cybersecurity mesh

Las empresas buscan controlar su infraestructura fragmentada contra riesgos de ciberseguridad. Las organizaciones necesitan una plataforma de ciberseguridad amplia, integrada y automatizada, lo que Gartner llama “cybersecurity mesh”, que proporcione administración y visibilidad centralizadas, admita e interopere en un vasto ecosistema de soluciones y se adapte automáticamente a los cambios dinámicos en la red.

De esta forma el CISO podrá tener una visión centralizada del entorno, permitiendo operar de forma amplia en las múltiples plataformas o soluciones integradas en la empresa bajo un entorno de seguridad automatizada.

Centro Criptológico Nacional de España publica informe de Hacktivismo y Ciberyihadismo. Tendencias 2022-2023

En la actualidad, el Hacktivismo se convierte en subsidiario de ciberamenazas de propagación de malware.

El Centro Criptológico Nacional de España publicó el informe anual Hacktivismo y Ciberyihadismo 2021. Este importante documento de consulta reúne el panorama global de las estructuras hacktivistas, así como una relación de las campañas y ciberataques identificados durante el 2021. El informe describe la panorámica hacktivista en Iberoamérica y los marcos narrativos destacados en la región.

Respecto a las tendencias identificadas, se destacan las pautas seguidas por las estructuras de hacktivismo catalogándolas en dos niveles: por un lado, el vandálico, enfocado a la desfiguración de sitios web (Defacement), y por otro lado, ser subsidiario de ciberamenazas para la propagación de código informático dañino. Esta tendencia observada en 2021, se hizo evidente en ciberataques cometidos en el Reino Unido contra un portal de comercio electrónico OpenCart, en el cual además de la desfiguración del sitio, fue inyectado un código Javascript tipo Skimmer para la captura de datos de pago con tarjeta de clientes que realizaran compras en esa web.

Panorámica hacktivista en Colombia

En Colombia, el panorama de hacktivismo mantiene la tendencia de desfigurar webs, provistas de software desactualizado, de gobiernos locales y regionales, mencionando bajo la etiqueta #OpColombia campañas contra la Gobernación de Nariño, la Personería del municipio de Armenia, la Subdirección de Meteorología de la Fuerza Aérea y la Procuraduría General de la Nación, entre otras. Frente al evento de la PGN, se analiza el caso de una publicación en Vimeo de un montaje gráfico por parte del grupo EterSecque sugería la posible infección de un servidor con la cepa de ransomware Petya.

Tendencias más probables en 2022-2023

1. Derivación del hacktivismo ideológico hacia ciberataques vandálicos de baja/ moderada peligrosidad explotando fallos comunes de código informático en sitios web.

2. Los ciberataques por desfiguración de sitios web continuarán teniendo en la explotación de vulnerabilidades en sitios web provistos de software desactualizado su principal vector de ciberataque.

3. Aumento de la intersección entre los reductos vandálicos hacia los que ha desembocado el hacktivismo y la vulneración de sitios web como práctica instrumental para ciberamenazas de propagación de código informático malicioso.

4. La actividad de identidades individuales de peligrosidad moderada o alta, movidas por razones ideológicas antisistema continuará siendo muy esporádica y limitada a menos de media docena de atacantes en el mundo.

5. Se espera un declive de ‘Anonymous’ y del hacktivismo como fenómenos idealistas, ideológicamente motivados y podría darse un aumento paulatino en la instrumentación del hacktivismo y de ‘Anonymous’ como banderas de conveniencia en conflictos híbridos o en ciberataques donde confluyen varios intereses de parte por actores que pretenden una ganancia, ya sea geopolítica, militar, económica o de otra naturaleza.

Vea el informe completo aquí

© Centro Criptológico Nacional, 2022

Ciberseguridad empresarial: Continúan alertas en época electoral 

Las organizaciones del cibercrimen en Colombia han venido utilizando como vector de ataque el envío masivo de correos electrónicos con enlaces maliciosos, dirigidos a los ciudadanos votantes con la finalidad de conseguir que de manera desprevenida hagan clic o accedan a los enlaces que dirigen la navegación hacia sitios infectados o facilitan la descarga de programas maliciosos.

 Esta técnica ha sido identificada al menos desde el calendario electoral del 2018 cuando se detectaron múltiples correos que notificaron citaciones o sanciones a jurados de votación por incumplimiento o inasistencia al deber legal de ejercer las funciones del cargo de Jurado.

No hay ninguna descripción de la foto disponible.

La tendencia se ha mantenido y en 2022 no ha sido la excepción, la registraduría ha alertado RECIENTEMENTE sobre el envío masivo de información falsa respecto a la designación de jurados de votación para las próximas elecciones. El correo, que se ha enviado de forma masiva, está bajo el título “Designación jurados de votación 29 de Mayo” y el contenido del mismo incluye un enlace denominado “CITASION JURADO”.

La cuenta utilizada en ésta oportunidad para el envío masivo de los correos fraudulentos es jurados@registraduría.gov.co sin embargo en comunicación de prensa emitida por la entidad se desmintió la titularidad de dicha cuenta y se advirtió a los ciudadanos respecto a hacer caso omiso a la misma.

Imagen

Del análisis del contenido del mensaje se hacen evidentes errores de ortografía que permiten entrever la falsedad del correo (mezas- capacitación- CITASION).

En esta oportunidad los ciberatacantes buscan que el código malicioso descargado les permita controlar de forma remota la computadora infectada y realizar acciones como:

  • Enviar y recibir archivos.
  • Registrar pulsaciones de teclas.
  • Tomar capturas de pantalla.
  • Tomar fotografías con la cámara y grabar audio, etc.

Sin embargo, es importante realizar un análisis más detallado del malware para efectos de conocer potenciales indicadores de compromiso que se puedan identificar en el archivo o enlace adjunto al mensaje.

Además de disponer de un programa de sensibilización y concienciación dirigido a todos los roles de las organizaciones C2USER recomienda la implementación de soluciones avanzadas de nueva generación para la detección de malware y la utilización de servicios de sandbox que permitan un análisis especializado de los archivos sospechosos. 

CISA USCert publica #Top10 técnicas explotadas por atacantes a empresas y las mejores prácticas para mitigarlas.
Fuente oficial de esta publicación: https://www.cisa.gov/uscert/

Los actores cibernéticos explotan rutinariamente las configuraciones de seguridad deficientes (ya sea que estén mal configuradas o no estén protegidas), los controles débiles y otras prácticas de higiene cibernética deficientes para obtener acceso inicial o como parte de otras tácticas para comprometer el sistema de una víctima. Este aviso de seguridad cibernética conjunto identifica los controles y prácticas comúnmente explotados e incluye las mejores prácticas para mitigar los problemas. Este aviso fue redactado conjuntamente por las autoridades de ciberseguridad de los Estados Unidos, Canadá, Nueva Zelanda, los Países Bajos y el Reino Unido.

Detalles técnicos

Los actores malintencionados suelen utilizar las siguientes técnicas para obtener acceso inicial a las redes de las víctimas. [TA0001]

Los actores cibernéticos maliciosos a menudo explotan los siguientes controles de seguridad débiles, configuraciones deficientes y prácticas de seguridad deficientes para emplear las técnicas de acceso inicial.

  • No se aplica la autenticación multifactor (MFA). MFA, particularmente para el acceso a escritorio remoto, puede ayudar a prevenir la apropiación de cuentas. Con el Protocolo de escritorio remoto (RDP) como uno de los vectores de infección más comunes para el ransomware, MFA es una herramienta fundamental para mitigar la actividad cibernética maliciosa. No excluya a ningún usuario, en particular a los administradores, de un requisito de MFA. 
  • Privilegios o permisos aplicados incorrectamente y errores en las listas de control de acceso. Estos errores pueden impedir la aplicación de las reglas de control de acceso y permitir que los usuarios no autorizados o los procesos del sistema obtengan acceso a los objetos. 
  • El software no está actualizado. El software sin parches puede permitir que un atacante explote vulnerabilidades conocidas públicamente para obtener acceso a información confidencial, lanzar un ataque de denegación de servicio o tomar el control de un sistema. Esta es una de las malas prácticas de seguridad más comunes.
  • Uso de configuraciones predeterminadas proporcionadas por el proveedor o nombres de usuario y contraseñas de inicio de sesión predeterminados.Muchos productos de software y hardware vienen “listos para usar” con configuraciones predeterminadas de fábrica demasiado permisivas destinadas a hacer que los productos sean fáciles de usar y reducir el tiempo de resolución de problemas para el servicio al cliente. Sin embargo, dejar estas configuraciones predeterminadas de fábrica habilitadas después de la instalación puede proporcionar vías para que un atacante las explote. Los dispositivos de red también suelen estar preconfigurados con nombres de usuario y contraseñas de administrador predeterminados para simplificar la configuración. Estas credenciales predeterminadas no son seguras; pueden estar etiquetadas físicamente en el dispositivo o incluso disponibles en Internet. Dejar estas credenciales sin cambios crea oportunidades para actividades maliciosas, incluido el acceso no autorizado a la información y la instalación de software malicioso. Los defensores de la red también deben ser conscientes de que las mismas consideraciones se aplican a las opciones de software adicionales,
  • Los servicios remotos, como una red privada virtual (VPN), carecen de controles suficientes para evitar el acceso no autorizado. Durante los últimos años, se han observado actores de amenazas maliciosos apuntando a servicios remotos. Los defensores de la red pueden reducir el riesgo de compromiso del servicio remoto agregando mecanismos de control de acceso, como hacer cumplir MFA, implementar un firewall de límite frente a una VPN y aprovechar los sensores del sistema de detección de intrusiones/sistema de prevención de intrusiones para detectar actividad de red anómala.  
  • No se implementan políticas de contraseñas seguras. Los ciberdelincuentes malintencionados pueden utilizar una gran variedad de métodos para explotar contraseñas débiles, filtradas o comprometidas y obtener acceso no autorizado al sistema de una víctima. Los actores cibernéticos maliciosos han usado esta técnica en varios actos nefastos y de manera prominente en ataques dirigidos a RDP. 
  • Los servicios en la nube están desprotegidos. Los servicios en la nube mal configurados son objetivos comunes para los ciberactores. Las configuraciones deficientes pueden permitir el robo de datos confidenciales e incluso el cryptojacking.
  • Los puertos abiertos y los servicios mal configurados están expuestos a Internet. Este es uno de los hallazgos de vulnerabilidad más comunes. Los actores cibernéticos usan herramientas de escaneo para detectar puertos abiertos y, a menudo, los usan como un vector de ataque inicial. El compromiso exitoso de un servicio en un host podría permitir que los actores cibernéticos maliciosos obtengan acceso inicial y usen otras tácticas y procedimientos para comprometer las entidades expuestas y vulnerables. RDP, Server Message Block (SMB), Telnet y NetBIOS son servicios de alto riesgo. 
  • No detectar o bloquear los intentos de phishing. Los ciberdelincuentes envían correos electrónicos con macros maliciosas, principalmente en documentos de Microsoft Word o archivos de Excel, para infectar los sistemas informáticos. La infección inicial puede ocurrir de varias maneras, como cuando un usuario abre o hace clic en un enlace de descarga malicioso, PDF o documento de Microsoft Word habilitado para macros incluido en correos electrónicos de phishing. 
  • Detección y respuesta de punto final deficientes. Los actores cibernéticos usan scripts maliciosos ofuscados y ataques de PowerShell para eludir los controles de seguridad de puntos finales y lanzar ataques en los dispositivos de destino. Estas técnicas pueden ser difíciles de detectar y proteger. 

Mitigaciones

La aplicación de las siguientes prácticas puede ayudar a las organizaciones a fortalecer las defensas de su red contra prácticas y controles de seguridad débiles explotados comúnmente.

Controlar el acceso

  • Adopte un modelo de seguridad de confianza cero que elimine la confianza implícita en cualquier elemento, nodo o servicio y, en su lugar, requiera una verificación continua de la imagen operativa a través de información en tiempo real de múltiples fuentes para determinar el acceso y otras respuestas del sistema.[ 9 ], [ 10 ] La arquitectura de confianza cero permite la administración de acceso de privilegios granular y puede permitir que a los usuarios se les asignen solo los derechos necesarios para realizar las tareas asignadas.
  • Limite la capacidad de una cuenta de administrador local para iniciar sesión desde una sesión remota (p. ej., deniegue el acceso a esta computadora desde la red) y evite el acceso a través de una sesión RDP. Además, use estaciones de trabajo administrativas dedicadas para sesiones de usuarios privilegiados para ayudar a limitar la exposición a todas las amenazas asociadas con el dispositivo o el compromiso del usuario. 
  • Controla quién tiene acceso a tus datos y servicios. Otorgue acceso al personal solo a los datos, derechos y sistemas que necesitan para realizar su trabajo. Este control de acceso basado en roles, también conocido como el principio de privilegio mínimo, debe aplicarse tanto a las cuentas como al acceso físico. Si un actor cibernético malicioso obtiene acceso, el control de acceso puede limitar las acciones que pueden realizar los actores maliciosos y puede reducir el impacto de las configuraciones incorrectas y los errores del usuario. Los defensores de la red también deben usar este control de acceso basado en roles para limitar el acceso de cuentas funcionales, de máquinas y de servicios, así como el uso de privilegios de administración, a lo que sea necesario. Considere lo siguiente cuando implemente modelos de control de acceso:
    • Asegúrese de que el acceso a los datos y servicios se adapte específicamente a cada usuario, y que cada empleado tenga su propia cuenta de usuario. 
    • Otorgue a los empleados acceso solo a los recursos necesarios para realizar sus tareas.
    • Cambie las contraseñas predeterminadas de los equipos y sistemas al momento de la instalación o puesta en marcha. 
    • Asegurar que existan procesos para la entrada, salida y movimiento interno de los empleados. Elimine las cuentas no utilizadas y elimine inmediatamente el acceso a los datos y sistemas de las cuentas de los empleados que ya no necesitan acceso. Desactive las cuentas de servicio y actívelas solo cuando se realice el mantenimiento.
  • Refuerce las políticas de acceso condicional. Revise y optimice las reglas de VPN y control de acceso para administrar cómo los usuarios se conectan a la red y los servicios en la nube.
  • Verifique que todas las máquinas, incluidas las instancias de máquinas virtuales basadas en la nube, no tengan puertos RDP abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.

Implementar el endurecimiento de credenciales

  • Implementar MFA. En particular, aplique MFA en todas las conexiones VPN, servicios externos y cuentas privilegiadas. Requerir MFA resistente al phishing (como llaves de seguridad o tarjetas PIV) para servicios críticos. Cuando no se implemente MFA, aplique una política de contraseña segura junto con otra información basada en atributos, como información del dispositivo, hora de acceso, historial de usuario y datos de geolocalización. Consulte la Información de seguridad cibernética de la NSA sobre la selección de soluciones seguras de autenticación de múltiples factores , la Publicación especial 800-63B del Instituto Nacional de Estándares y Tecnología (NIST) : Directrices de identidad digital: Autenticación y gestión del ciclo de vida , y la Guía de seguridad de la tecnología de la información de CCCS : Guía de autenticación de usuarios para la información. Sistemas Tecnológicospara conocer los pasos adicionales a seguir para habilitar la seguridad de autenticación en profundidad.
  • Cambie o deshabilite los nombres de usuario y contraseñas predeterminados proporcionados por el proveedor. Hacer cumplir el uso de contraseñas seguras. (Consulte la guía del NIST).
  • Configure el monitoreo para detectar el uso de credenciales comprometidas en sus sistemas. Implemente controles para evitar el uso de contraseñas comprometidas o débiles en su red. 

Establezca una gestión de registros centralizada

  • Asegúrese de que cada aplicación y sistema genere suficiente información de registro. Los archivos de registro juegan un papel clave en la detección de ataques y el tratamiento de incidentes. Al implementar una sólida recopilación y retención de registros, las organizaciones pueden tener suficiente información para investigar incidentes y detectar el comportamiento de los actores de amenazas. Tenga en cuenta lo siguiente al implementar la recopilación y retención de registros: 
    • Determine qué archivos de registro son necesarios. Estos archivos pueden pertenecer al registro del sistema, registro de red, registro de aplicaciones y registro en la nube. 
    • Configure alertas cuando sea necesario. Estos deben incluir notificaciones de intentos de inicio de sesión sospechosos basados ​​en un análisis de los archivos de registro. 
    • Asegúrese de que sus sistemas almacenen los archivos de registro en un formato de archivo utilizable y que las marcas de tiempo registradas sean precisas y estén configuradas en la zona horaria correcta. 
    • Reenvíe los registros de los sistemas locales a un repositorio centralizado o herramientas de administración de eventos e información de seguridad (SIEM). Proteja de manera sólida las herramientas SIEM con protecciones arquitectónicas y de cuentas sólidas.
    • Tomar una decisión sobre el período de retención de los archivos de registro. Si guarda archivos de registro durante mucho tiempo, puede consultarlos para determinar los hechos mucho después de que ocurran los incidentes. Por otro lado, los archivos de registro pueden contener información sensible a la privacidad y ocupar espacio de almacenamiento. Limite el acceso a los archivos de registro y guárdelos en un segmento de red separado. La investigación de un incidente será casi imposible si los atacantes han podido modificar o eliminar los archivos de registro.

Emplear programas antivirus

  • Implemente una solución antimalware en las estaciones de trabajo para evitar spyware, adware y malware como parte de la línea base de seguridad del sistema operativo.
  • Supervise los resultados del análisis antivirus de forma rutinaria.

Emplear Herramientas de Detección y Búsqueda de Vulnerabilidades

  • Implementar herramientas de respuesta de punto final y detección. Estas herramientas permiten un alto grado de visibilidad del estado de seguridad de los puntos finales y pueden ayudar a proteger de manera efectiva contra los ciberagresores maliciosos.
  • Emplee un sistema de detección de intrusiones o un sistema de prevención de intrusiones para proteger la red y los dispositivos locales de la actividad maliciosa. Use firmas para ayudar a detectar actividad de red maliciosa asociada con actividad de amenaza conocida.
  • Realice pruebas de penetración para identificar errores de configuración. Consulte la sección Recursos adicionales a continuación para obtener más información sobre los servicios gratuitos de higiene cibernética de CISA, incluidas las pruebas de penetración remotas.
  • Realice un escaneo de vulnerabilidades para detectar y abordar las vulnerabilidades de las aplicaciones. 
  • Utilice las herramientas del proveedor de servicios en la nube para detectar el almacenamiento en la nube sobrecompartido y monitorear los accesos anormales.

Mantener programas rigurosos de gestión de la configuración

  • Opere siempre los servicios expuestos en hosts accesibles por Internet con configuraciones seguras. Nunca habilite el acceso externo sin controles de compensación, como firewalls de límite y segmentación de otros hosts internos más seguros, como controladores de dominio. Evalúe continuamente la necesidad comercial y de misión de los servicios orientados a Internet. Siga las mejores prácticas para las configuraciones de seguridad, especialmente el bloqueo de macros en documentos de Internet.[ 14 ]

Iniciar un programa de administración de software y parches 

  • Implemente procesos de gestión de activos y parches para mantener el software actualizado. Identifique y mitigue software y firmware no compatibles, al final de su vida útil y sin parches mediante la realización de actividades de análisis de vulnerabilidades y parches. Priorizar la aplicación de parches a las vulnerabilidades explotadas conocidas .

Recursos adicionales 

CLIC AQUÍ PARA VER PUBLICACIÓN DE CISA

BROWSER IN THE BROWSER (BITB): Nueva técnica de phishing que puede hacerlo indetectable

Una técnica de phishing que simula una ventana de navegador dentro de otro navegador para falsificar un dominio legítimo.

El pasado 15 de marzo de 2022 Mr.d0x compartió una nueva técnica que pretende hacer el phishing más difícil de detectar.

El Phishing, en la mayoría de los casos, utiliza como cebo ataques de ingeniería social mediante refinadas técnicas más eficaces y difíciles de detectar. Este es el caso de Browser in the Browser (Ataque de navegador en el navegador), una técnica novedosa de phishing, donde el atacante busca explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) integradas en diferentes sitios web.

Las opciones de inicio de sesión único las podemos ver como “Iniciar sesión con…” “Sign in with…”, …etc. Estas opción de SSO generan pop-ups para que los usuarios de manera rápida puedan iniciar sesión a través de su cuenta en plataformas terciarias.

Una vez se hace clic en el botón “iniciar sesión”, se abre una nueva ventana del navegador donde los usuarios pueden loguearse. Esta nueva ventana del navegador aísla el proceso de inicio de sesión para que el sitio web que usa OAuth nunca vea las credenciales de inicio de sesión de los usuarios. Aislar el proceso de inicio de sesión es una medida deseable de seguridad y privacidad, se demostró que los malos cibercriminales pueden imitar esta técnica de aislamiento particular para ocultar los ataques de phishing. 

¿Cómo funciona?

A menudo, cuando un usuario inicia sesión en un sitio web aparece una ventana emergente que pide que que se autentique. La siguiente imagen muestra la ventana que aparece cuando alguien intenta iniciar sesión en Canva con su cuenta de Google. Como se puede observar, en la pantalla de Canva, se ofrece la opción de continuar con diferentes servicios, y al elegir uno se desplegará una ventana emergente, en la que se procede a autenticarse.

Un ataque Browser in the Browser se realiza mediante una réplica de una ventana emergente similar a la que sale al iniciar sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, se roban las credenciales. La apariencia de estos pop-ups falsos puede ser exactamente idéntica a uno original e incluyendo la URL, lo que hace que este ataque sea más complicado de detectar. Generalmente, las réplicas de ventanas se crean de una manera muy sencilla para los atacantes usando HTML/CSS básico; estos simulan el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing. 

La imagen de abajo muestra la ventana falsa comparada con la ventana real, bastante creíble para quien no se fije en los mínimos detalles.

sitio real y de phishing

Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL para adaptarla.

Fuente: Keyur Talati Security Analyst – WeSecureApp

Esta técnica hace más complicado de detectar un caso de phishing, y por tanto hace que aumente su efectividad. Por ello, prácticas como el MFA o el 2FA ganan valor para evitar cualquier tipo de ataque para sus datos o los de su organización.

La única defensa contra este tipo de ataque de phishing moderno es la conciencia.

La evidencia durante los últimos años ha demostrado que la verdadera clave para la mitigación de incidentes de ciberseguridad, en este caso de Phishing, es la sensibilización y concientización. Tenga en cuenta algunas mitigaciones como:

  • Utilizar siempre uno de gestores de contraseñas y autenticación multifactor.
  • Instalar un antivirus robusto.
  • Supervisar frecuentemente los registros del sistema y de la red.
  • Revisar con detalle las ventanas emergentes para verificar su autenticidad.
  • Implementar las mejores prácticas de seguridad.
Noticias falsas en tiempos de crisis: Desinformación

En el 2022 el público occidental consumirá más noticias falsas que verdaderas y no habrá suficiente capacidad ni material ni tecnología para eliminarlas.

Gartner Inc.

Mucho se habla de la actual crisis en Europa del Este y de las ofensivas militares que se ven en las noticias durante los últimos días, sin embargo, estas podrían no ser la única amenaza, en realidad los ataques cibernéticos y la desinformación en línea están pasando a primer plano, pues se estima que desde la pandemia hasta el día de hoy donde el tema principal es la crisis Rusia-Ucrania, las fake news han aumentado en más de un 50%.

CONOZCA MÁS EN:

Pero, ¿Por qué se distribuyen las noticias falsas y cuál es su impacto a nivel mundial?

En la actualidad, miles de publicaciones relacionadas al conflicto Rusia-Ucrania han acumulado millones de visitas en las redes sociales, muchas de estas reales y verificadas, pero otras calificadas como fake news o noticias falsas. Estas noticias falsas se pueden clasificar como noticias erróneas y desinformación: las noticias erróneas son información falsa compartida por alguien que erróneamente cree que es un hecho; la desinformación, sin embargo, se difunde deliberadamente y siempre con un objetivo.

Por ejemplo, en días anteriores se publicó y viralizó un video que sugería que el presidente ucraniano Volodymyr Zelensky se había unido a las tropas para tomar un café, sin embargo, a pesar de que es un video real, es una grabación antigua, antes del conflicto actual.

La guerra contra la desinformación está en pleno apogeo. Varias empresas a nivel mundial se han puesto en la tarea de identificar y bloquear aquellos usuarios que tengan como propósito desinformar a otras personas que naveguen en internet. Tal como Google y Facebook, estas organizaciones han restringido sitios web que se hacían pasar por medios de noticias independientes y creaban personas falsas en las plataformas de redes sociales, incluidas Facebook, Instagram, Twitter, YouTube, Telegram, Russian Odnoklassniki y VK.

Muchas de estas noticias erróneas y falsas tienen como gancho videos o fotos antiguas que se muestran como actuales y atrapan a los usuarios por su parecido superficial con cualquier situación relevante. Un ejemplo claro es la siguiente imagen de una explosión de gas en Magnitogorsk (2018) que se relacionaron en la red con la destrucción de un edificio residencial en Járkiv (Ucrania) el pasado jueves.

A wounded woman stands outside a hospital after the bombing of the eastern Ukraine town of Chuguiv on February 24, 2022
Los encabezados tenían como descripción a una mujer que supuestamente resultó herida por bombardeos en Ucrania, generando afirmaciones falsas en internet.
Las afirmaciones de que las imágenes de esta mujer herida en Chugúyivson pertenecen a una explosión de gas en Rusia en 2018 son incorrectas.
En realidad, los fotógrafos de la imagen confirmaron que fue tomada el 24 de febrero de 2022 y no durante los últimos días en Ucrania, un hecho confirmado por los metadatos de las imágenes que muestran la misma fecha de creación (BBC, Reality Check).

¿A qué se debe el incremento de noticias falsas?

El crecimiento exponencial de la difusión de FAKE NEWS se debe, entre otros motivos, a su incorporación dentro de los discursos políticos en los últimos años, convirtiéndose en un fenómeno global que ya tiene una gran repercusión sobre procesos democráticos y sobre acontecimientos relevantes. Una noticia falsa está determinada por su objetivo: a través de ellas se puede ganar dinero o influir en el pensamiento de los demás usuarios en la red.

Los medios de comunicación han incrementado enormemente el potencial para que la información llegue a todos los usuarios, lo que ha permitido una proliferación de ‘fake news’, sin embargo, hay que tener en cuenta que no están limitadas a los medios informativos porque están presentes prioritariamente en los redes sociales, como Facebook o WhatsApp, el segundo siendo el canal de viralización más alto.

Según un estudio del Instituto Tecnológico de Massachusetts (MIT) las noticias falsas tienen hasta un 70% más de posibilidades de ser compartidas que las verdaderas, ya que este tipo de información utiliza las interacciones en las redes sociales y los algoritmos para alcanzar sectores ideológicos concretos.

Se presume que hay grupos y organizaciones detrás de esta red de fake news, que realizan pagos para que terceros creen y difundan información falsa utilizando las interacciones y algoritmos en redes sociales para diseminar contenidos a sectores concretos. Esta técnica, se complementa con el uso de ‘bots’, un ‘software’ automatizado que replica los mensajes haciéndose pasar por personas.

Oficina de Transferencia de Resultados de Investigación

¿Qué se está haciendo al respecto?

Un caso específico directamente relacionado con Colombia, tiene que ver con la compañía Meta, que reúne a las redes sociales Facebook, Instagram y WhatsApp. Meta anunció que durante el periodo electoral en Colombia de 2022, activará un equipo de respuesta rápida dedicado a identificar posibles violaciones a sus políticas, entre ellas, difusión de información falsa.

Así como Meta, empresas a nivel global se han encargado de desarrollar estrategias y campañas que les permitan mitigar los impactos de la difusión masiva de noticias falsas.

La estrategia de Meta abarca el reducir las noticias falsas eliminando las cuentas que las divulgan e interrumpiendo cualquier incentivo económico que estas puedan recibir. Si una página o un dominio crea o comparte reiteradamente información errónea, reducen de manera significativa su distribución.

  1. Desconfíe de los títulos. Las noticias falsas suelen tener títulos llamativos con todas las palabras en mayúsculas y signos de admiración. Si un título contiene afirmaciones sorprendentes y poco creíbles, es probable que se trate de información falsa.
  2. Observe con atención el enlace. Un enlace falso o que imita uno original puede ser una señal de advertencia que indica que se trata de una noticia falsa. Muchos sitios de noticias falsas realizan pequeños cambios en el enlace de fuentes de noticias auténticas para imitarlas. Puede visitar el sitio web para comparar el enlace con fuentes establecidas.
  3. Investigue las fuentes. La noticia debe estar escrita por una fuente en la que confíe y que tenga una reputación de ofrecer información verdadera. Si la noticia proviene de una organización desconocida, verifica la sección “Información” para obtener más detalles.
  4. Verifique si hay problemas con el formato. Muchos sitios de noticias falsas contienen errores ortográficos o diseños extraños.
  5. Preste atención a las fotos. Las noticias falsas suelen contener imágenes o videos manipulados. También puede ocurrir que la foto sea auténtica, pero esté fuera de contexto. Puede buscar la imagen para verificar de dónde proviene.
  6. Verifique las fechas. El orden cronológico de las noticias falsas puede resultar ilógico, o incluso pueden estar alteradas las fechas de los eventos.
  7. Compruebe la evidencia. Comprueba las fuentes del autor para confirmar que sean precisas. Si no se aportan pruebas o se confía en expertos cuya identidad no se menciona, es posible que la noticia sea falsa.
  8. Consulte otros informes periodísticos. Si ningún otro medio está reportando la noticia, es posible que sea falsa. Si aparece en varias fuentes de confianza, es más probable que sea verdadera.
  9. ¿La noticia es un engaño o una broma? En ocasiones, suele ser difícil distinguir una noticia falsa de una publicación humorística o satírica. Compruebe si la fuente de donde proviene suele realizar parodias y si los detalles y el tono de la noticia sugieren que puede tratarse de una broma.
  10. Algunas noticias son falsas de forma intencional. Reflexiona acerca de las noticias que lees y comparte solo las que sabes que son creíbles.