• Inicio

  • Esta es la página índice del foro

Bienvenido a Indetectables.net

Hay cambios que pueden parecer intrascendentes, pero no lo son. Y si hablamos de amenazas como el ransomware menos todavía. El más mínimo cambio debe ser detectado rápidamente y, en base a lo que suponga, adoptar las medidas adecuadas para hacerle frente.

Hace unos días, Proofpoint hablaba de un cambio de tendencia en la distribución del ransomware, y en los últimos días, en base a varias información, esta tendencia no ha hecho más que confirmarse. En estos tiempos, ante un ataque de este tipo, lo más común es que el malware consiga «colarse» en un sistema mediante phishing y, una vez allí, ya proceda a descargar el software de cifrado desde internet, ya sea de un servidor de comando y control, de algún servicio público de alojamiento de archivos o, incluso, de algún servidor operado por terceros y cuya seguridad se haya visto comprometida.

Es decir, lo común es que el payload del email malintencionado sea el que se encarga de descargar el ransomware, que en algunos casos intentará replicarse localmente, exfiltrará los archivos y, finalmente, procederá con el cifrado de los mismos. Sin embargo, es en este modelo donde se están produciendo cambios, ya que cada día se están viendo más ataques en los que el software de cifrado y secuestro se incluye directamente en el mensaje de correo electrónico malintencionado, eliminando así la necesidad de que la primera carga útil tenga, a su vez, que descargar las sucesivas.

No hablamos de un modelo nuevo, en realidad hace unos pocos años este era un modelo bastante común, pero que con el tiempo había decaído, en favor de ataques multifase, más complejos pero que ofrecen más posibilidades a los ciberdelincuentes. Por ejemplo, es común que la primera carga útil de un ataque de ransomware descargue componentes extra para analizar el entorno del sistema, con el fin de intentar replicarse en la red, para extraer la información de todos los sistemas comprometidos, etcétera. Un modelo que tiene todo el sentido cuando el principal objetivo son las redes corporativas.

Esto cambia sustancialmente si el objetivo son sistemas no conectados a una red o, en todo caso, a una red local privada. En este caso, lo que se persigue es realizar ataques lo más sencillos y rápidos posible. No tiene sentido dejar pasar una o dos semanas desde que el primer malware llega al PC hasta que se produce el secuestro de los datos y la petición del rescate. En este caso estaríamos hablando de lo que podemos llamar ransomware exprés.  Un modelo que, además, permite la realización de campañas masivas, algo que ya vivimos hace un par de años y que no presagia nada bueno.

¿Por qué esta vuelta al ransomware exprés? Tiene mucho que ver con las circunstancias que hemos pasado los últimos meses, y que en bastantes casos todavía se mantienen: el boom del teletrabajo como consecuencia del coronavirus. Una gran parte de la fuerza de trabajo ha dejado su mesa y su ordenador de la oficina para cambiarla por el escritorio de casa y su PC personal. Muchos de los objetivos que, hasta hace unos meses, acudían diariamente a su centro de trabajo, ahora desarrollan su actividad profesional desde casa.

Un entorno en el que, claro, el concepto de red corporativa se desdibuja por completo. Y un entorno en el que, como consecuencia de lo anterior, pierde todo el sentido reproducir modelos más complejos, que son los empleados para realizar ataques de ransomware a empresas. Esto es, sin duda, un indicador más de que las empresas deben poner especial atención a la seguridad de los dispositivos que utilizan sus empleados para teletrabajar, puesto que aunque la red corporativa esté blindada, en muchos casos no ocurre lo mismo con los endpoints que, en pocos meses, se han tenido que sumar a la infraestructura.

La entrada Ransomware: cambio de tendencia en su difusión es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Tue, 14 Jul 2020 08:46:55 +0000

Al leer el titular de esta noticia, lo más seguro es que se te hayan pasado dos preguntas por la cabeza: qué es Google Dunzo, y como ha podido Google caer también en la lista de empresas cuyos datos (es decir, los de sus clientes) se han visto expuestos. Es más, incluso es pofisible que te estés preguntando si tus datos se han podido ver comprometidos, si es que eres usuarios de Google. Y en tal caso lo primero es aclararte que no, a no ser que seas usuario de Google Dunzo, tus datos siguen igual de seguros que siempre en los servidores de la compañía del buscador.

Así que lo mejor será empezar por aclarar las dudas, empezando por saber de qué estamos hablando  exactamente, por qué en realidad es un poco tramposo, y qué deberían aprender algunas grandes compañías de casos como éste.

Cuando hablamos de Google Dunzo, en realidad estamos hablando de Dunzo Digital Private Limited, una startup india que ofrece servicios de reparto, así como de bicitaxi en nueve de las ciudades más importantes del subcontinente. Y sí, como puedes ver, en el nombre de la compañía no aparecen ni Google ni Alphabet por ninguna parte. ¿Por qué se pone entonces el nombre del buscador junto al de la compañía? Pues porque tres años después de su fundación, que se produjo en 2014, la tecnológica ha participado en varias rondas de financiación de la compañía, lo que para muchos ha asociado ambos nombres de manera indisoluble.

Y esta es la trampa a la que me refería anteriormente, y que no es la primera vez que veo. Un titular sobre una filtración de datos que afecta a Google suscita más interés que un titular sobre una filtración de datos que afecta a una startup india, por popular y exitosa que ésta pueda llegar a ser en su ámbito local. Dicho de otro modo, Google Dunzo no existe como tal, pero eso no impide que en algunos medios se esté mencionando este nombre (sí, de acuerdo, también en esta noticia, solo que en este caso las intenciones quedan claras).

En lo referido a la filtración de datos, según informa Cybersecurity Insiders, ésta se produjo el pasado sábado, cuando un atacante logró acceder a los servidores de uno de los centros de datos empleados por Dunzo para almacenar los datos de sus clientes. Según un comunicado de prensa emitido por la compañía, el tipo de datos que se habría visto expuesto serían direcciones de correo electrónico y números de teléfono. No así información de medios de pago, que no es guardada por la compañía, ni relativa a las credenciales de acceso

Dunzo ya ha informado a todos sus clientes sobre la filtración de datos, ha tomado las medidas necesarias para evitar que algo así se repita (o por lo menos eso han indicado) y además ha puesto en marcha una dirección de correo electrónico para todos los clientes que deseen ampliar información al respecto del ataque, sus consecuencias, y qué deberían hacer para evitar que esta filtración de datos les pueda ocasionar algún problema.

¿Y a qué me refería antes cuando hablaba de lo que pueden aprender las grandes empresas de casos como este? Vuelvo, por un momento, a referirme a Google Dunzo, para recordar que el ser humano es dado a establecer relaciones de este tipo. Si la empresa A ha financiado el servicio B, en el imaginario colectivo ahora estaremos hablando del servicio A B. Y esto, en circunstancias normales no tiene nada de malo, puede ser hasta positivo, en tanto que puede reforzar la imagen de ambas. Siempre que no ocurra nada malo relacionado con A o con B, claro. En ese caso, la mancha se extenderá a lo largo y ancho de ambas marcas.

¿Y qué se puede hacer en estos casos? Principalmente actuar de manera preventiva. Si una gran corporación, y especialmente una tecnológica, vincula su nombre al de un proyecto como Dunzo, debería imponer como condición que las políticas de seguridad se equiparen a las suyas. No es que los gigantes estén libres de riesgos (aún nos acordamos de Yahoo!, por poner solo un ejemplo), pero sí que es bastante probable que estén más avanzados en ese sentido. Y es que, en caso contrario, puede pasar que más de una persona se cuestione la seguridad que ofrece Google tras saber de la filtración de Google Dunzo. Que no existe, lo sé, pero en muchos casos eso es lo de menos.

La entrada Google Dunzo sufre una filtración de datos es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Tue, 14 Jul 2020 07:08:36 +0000

El Instituto Nacional de Ciberseguridad español, INCIBE, ha puesto en marcha la campaña divulgativa «Aprende Ciberseguridad», para familiarizar a ciudadanos y empresas con diversos términos relacionados con la seguridad en Internet y los dispositivos.

La multitud de ciberataques a equipos, usuarios y redes en todas las plataformas son cada vez más sofisticadas, masivas y peligrosas. Ello obliga a cualquier tipo de usuario a ponerse al día en los principales conceptos de seguridad informática.

Con el objetivo de incrementar la concienciación y acercar la ciberseguridad a todos los públicos, INCIBE ha puesto en marcha a través de redes sociales la campaña divulgativa #AprendeCiberseguridad.

Durante 15 semanas, se explicarán de manera sencilla 15 términos de uso común en ciberseguridad y conceptos generales sobre tipologías de incidentes a los que diariamente tenemos que enfrentarnos.

INCIBE, a través de sus perfiles corporativos en las redes sociales TwitterInstagramFacebook y LinkedIn, irá detallando cada semana, de forma visual y amena, estos conceptos, a través de diferentes mensajes y vídeos cortos. El punto de partida será siempre una encuesta para que los usuarios averigüen, mediante algunas pistas, cuál es el término protagonista de esa semana.

A partir de ahí se irán sucediendo cada día los mensajes en los que se definirá, se ofrecerán consejos para identificarlo y recomendaciones de actuación o información complementaria.

La campaña Aprende Ciberseguridad cuenta con una página de aterrizaje específica https://www.incibe.es/aprendeciberseguridad, en la que se alojarán los diferentes contenidos de forma actualizada. Muy interesante para todo tipo de público, los usuarios que desconocen estos términos y se acercan al gran género de la ciberseguridad o para reforzar conceptos a los que ya se han introducido en ello.

La entrada Ponte al día en Ciberseguridad con la nueva campaña divulgativa de INCIBE es original de MuySeguridad. Seguridad informática.

por Juan Ranchal Sun, 12 Jul 2020 22:03:32 +0000

ESET España ha alertado de una nueva campaña maliciosa que estaría extendiendo el troyano bancario Mispadu en España, México y Portugal utilizando como gancho cupones de descuento de Amazon.

La campaña maliciosa emplea una web preparada por los ciberdelincuentes que simula pertenecer a Amazon y que se promociona a través de anuncios mostrados en Facebook. En la web falsa se pueden ver auténticos ofertones accesibles simplemente pulsando un botón de «Generar cupón».

Si el usuario cae en la trampa será redirigido a un enlace externo desde donde se descargará un archivo comprimido de nombre “Cupón-02190.zip”. Este archivo contiene en su interior dos ejecutables. Un “Cup¢n-92190.msi” correspondiente al código malicioso encargado de iniciar la cadena de infección en el sistema de la víctima, mientras que el otro archivo se trata del instalador renombrado de Mozilla Firefox en portugués, similar al descubierto en la campaña que usaba contenido pornográfico como gancho el pasado mes de junio.

Esta cadena de infección se caracteriza por la ejecución de varios scripts de Visual Basic en varias fases, algunos de ellos ejecutados dentro de un mismo proceso. «Este proceso de infección hace que, con las soluciones de seguridad adecuadas, sea posible detectar varios de los procesos que componen el malware conforme se van ejecutando», explican desde ESET.

El resumen es que el usuario terminará infectado con Mispadu, un tipo de troyano bancario cuya finalidad es robar las credenciales de acceso a los servicios de banca on-line de varias entidades que operan en los países donde se está reproduciendo la campaña: España, México y Portugal.

Con Mispadu ya son varios los troyanos con origen en Latinoamérica que han dado el salto a otros países fuera de su región como es el Caso de España. El análisis de otras familias de malware similar como CasbaneiroGrandoreiro o Mekotio demuestran que los delincuentes hace meses que añadieron a usuarios Españoles y de otras nacionalidades entre sus principales objetivos.

Mispadu

Nadie da «duros a pesetas» y los «superdescuentos» de Amazon simplemente no existen salvo los que el gigante del comercio electrónico ofrece en su propio portal web y en promociones concretas que todo el mundo conoce como los Amazon Days o Black Friday. ¡Cuidado!

Más información | ESET

La entrada El troyano bancario Mispadu se extiende a través de cupones falsos de Amazon es original de MuySeguridad. Seguridad informática.

por Juan Ranchal Thu, 09 Jul 2020 22:03:47 +0000

Hay algunos nombres de amenzas, y Joker es un claro ejemplo de ello, que consiguen perdurar mucho más tiempo del que, en un primer momento, habría sido imaginable. Y es que, pese a los múltiples golpes que han ido recibiendo sus sucesivas versiones, y que lo han dejado aparentemente fuera de juego, sus creadores han sido capaces de evolucionarlo, cambiando incluso la técnica empleada, para mantenerlo en la picota y, desgraciadamente, también en la tienda de apps de Google para Android.

Hagamos un poco de historia: Joker fue detectado inicialmente en 2017, momento en el que se valía de las funciones de Android para el envío de mensajes SMS, con el fin de generar suscripciones a servicios premium que, posteriormente, eran facturados a la víctima en el cobro mensual de su operador de telefonía móvil. Una modalidad de robo que se popularizó mucho hace unos años, y que fue en gran medida responsable de que los usuarios comenzarán a revisar los permisos que concedían a las apps que instalaban en sus smartphones.

Además de eliminar este tipo de apps de Google Play cuando las detectaba, Google también optó por cambios relacionados con la función SEND_SMS, con el fin de impedir que malware como Joker pudiera generar suscripciones a este tipo de servicios sin que el usuario llegara a ser consciente de ello. Y, claro, en ese momento, todo apuntaba a que Joker había dejado de tener sentido y que, por lo tanto, terminaría por desaparecer. Desgraciadamente, tal y como informa Bleeping Computer, no ha sido así.

Técnicos de Google y de varias compañías de ciberseguridad han detectado una nueva versión de Joker que, acusando recibo de los cambios de seguridad de Android y Play Store, ha modificado sustancialmente su funcionamiento, con el fin de conseguir introducirla en la tienda de apps de Google, saltándose los controles de seguridad de la misma y que, como ya mencionaba anteriormente, analizan con lupa cualquier proceso relacionado con el envío y la recepción de mensajes SMS. Y lo cierto es que el método es ingenioso.

la técnica empleada por los responsables de Joker consiste en enmascarar el código malicioso en el manifiesto de la app, un archivo básico que tiene que acompañar a cualquier aplicación diseñada para este sistema operativo. Para tal fin el código malintencionado se cambia de base y se introduce en androidmanifest.xml. Un documento que, debido a su uso y funciones, no es analizado a la hora de chequear la seguridad de una app antes de autorizarla en Play Store.

De esta manera, además, la app con Joker no tiene necesidad de descargar su payload de algún servidor, otra acción que podría ser detectada en las pruebas de validación de Google. Se trata, sin duda, de una muy inteligente medida para enmascarar las funciones maliciosas dentro de la propia app, de modo que pasen desapercibidas para los controles de seguridad, y que desplieguen todo su potencial una vez que hayan llegado al dispositivo de la víctima.

La entrada Joker: de nuevo en la tienda de apps de Google es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Thu, 09 Jul 2020 15:34:27 +0000

Hablar del 915 CWB resulta singularmente interesante, porque nos muestra la evolución que ha experimentado el empleo de la tecnología en todo tipo de conflictos, medie en ellos una declaración formal de guerra o no. Y es que para la mayoría de la población, al hablar de ciberguerra lo primero que viene a la cabeza es una sala oscura llena de grandes mesas, llena de pantallas de todos los tamaños y con un grupo de «cerebritos» siguiendo las órdenes de un alto mando para provocar cortes de luz en algún lugar de oriente medio.

Y no es una imagen irreal, ni mucho menos, una parte importante de la operativa de la ciberguerra funciona exactamente así. Acciones como el ataque al puerto iraní en el estrecho de Ormuz, que presuntamente fue ejecutado por Israel, muy probablemente fue llevado a cabo en un entorno similar al descrito (aunque probablemente bastante menos cinematográfico, eso también hay que decirlo). Sin embargo, la otra cara de la ciberguerra la dan grupos como el batallón 915 CWB, con operaciones sobre el terreno.

Como indicaba anteriormente, el 915 CWB es un batallón, y las letras no son otra cosa que las siglas de Cyberspace Warfare Battalion, un batallón dependiente del U.S. Army Cyber Command, y su misión es llevar a cabo operaciones sobre el terreno, dirigidas a atacar todo tipo de dispositivos electrónicos, con el fin de inutilizarlos. Para tal fin pueden emplear sistemas de interceptación e infiltración digital, así como dispositivos para generar pulsos electromagnéticos.

Cambiar fusiles por mochilas

Uno de los elementos clave de este batallón, así como de unidades similares que puedan constituirse en otros ejércitos del mundo es, claro, la mochila. Y a este respecto, C4isrnet publica hoy una noticia en la que habla del concurso realizado recientemente para dotar al 915 CWB de todas las herramientas que pueden necesitar en sus operaciones, y que además debe ser modular, es decir, que su contenido y funciones deben poder adaptarse de manera dinámica a las diversas necesidades de cada acción en concreto.

Y no solo eso, un elemento clave, y que cualquier experto en seguridad sabe perfectamente, es que una solución de seguridad para todas las amenazas existentes a día de hoy, empieza a perder efectividad a partir de mañana, puesto que las amenazas se adaptan a las contramedidas y aprenden a evitarlas. Por lo tanto, un elemento fundamental de la equipación de unidades como el 915 CWB debe ser actualizable, ya sea mediante software o hardware. Y, claro, su velocidad para estas adaptaciones debe ser singularmente alta.

La entrada 915 CWB: la ciberguerra salta al campo de batalla es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Thu, 09 Jul 2020 12:32:31 +0000

A día de hoy si hablamos de COVID-19, piscinas y Ciberseguridad, parece que estamos hablando de temas de máxima actualidad pero inconexos entre sí. Sin embargo, el ámbito de la Ciberseguridad ilustra una realidad que se manifiesta en multitud de situaciones que cada vez preocupan más a organizaciones y ciudadanos.

El desarrollo de un software de forma rápida (time to market) que permita cubrir una necesidad acuciante –en este caso el acceso de forma organizada a un recinto en base a un aforo concreto- implica asumir muchos riesgos. Una mala gestión puede llevar a exponer datos de carácter personal de forma inadecuada, con todos los peligros que esto conlleva ¿Qué ocurre si alguien puede saber a la hora exacta en que voy a estar en la piscina en vez de en mi casa?

Es por tanto evidente, que todas las aplicaciones son críticas para la seguridad de la compañías y de las personas que las utilizan, tanto por el rol que tienen estas en las organizaciones como por los datos que albergan (información personal sensible). Así, las mayores amenazas alrededor de las aplicaciones y los procesos necesarios para minimizar el riesgo de las mismas son acotadas.

El go to market y los presupuestos ajustados, origen del problema

El desarrollo de aplicaciones es un proceso complejo y que debería ser correctamente estructurado siguiendo las mejoras prácticas definidas en la Ingeniería del Software. Pero en muchas ocasiones, no se siguen todos estos procesos definidos, por falta de tiempo (por el go to market, motivos comerciales o adaptaciones a normas, por ejemplo), y otras muchas veces por presupuestos escuetos que no permiten realizar los procesos esenciales para construir software de una manera profesional.

Es usual ver grandes empresas con aplicaciones normalmente no críticas para su negocio, con un nivel de calidad bajo. Por tanto, este es un problema que tiene una afectación extensa, y no solo restringido a organizaciones sin recursos.

Cuando no hay tiempo o presupuesto, la seguridad pasa a segundo plano

Uno de los aspectos más afectados por los tiempos de desarrollo y presupuestos ajustados es la seguridad. Muchos proyectos que parten de premisas  como: “Esta aplicación no contiene información sensible o no vende nada”,  para que alguien decida que por tanto, no es necesario incluir seguridad. Obviamente, esta actitud es un claro error ya que la seguridad, como el resto de aspectos del desarrollo, debe adaptarse a las necesidades del proyecto, lo cual no implica eliminarla.

Toda aplicación, crítica o no para la organización, debe partir desde una base sólida y segura que le permita avanzar en el proyecto sin retrocesos y estar protegida antes ataques que, en el mejor caso, manchen la reputación de esa compañía.

La seguridad, un cambio de cultura

En numerosas ocasiones pueden verse las tendencias de mercado en este ámbito. Sobresalen sistemas que permiten mitigar o detectar el riesgo de forma automática, evitando por tanto las temibles consecuencias de sufrir un ciberataque. Si bien estas herramientas permiten mejorar el estado de ciberseguridad, no solucionan los problemas de base. Además, introducen otros problemas adicionales derivados del mantenimiento de dichas soluciones (IAST o RASP).

Por tanto, para mitigar el problema, hay que ir a la raíz del mismo y realizar un cambio estratégico desde la base. Es importante pensar que la seguridad debería ser un elemento imprescindible desde el comienzo en cualquier proyecto de desarrollo y no solo la inclusión de un parche al final.

Para llevar a cabo este proceso es imprescindible convertir un SDLC (Software Development Life Cicle) en un SSDLC (Secure Software Development Life Cicle) Esto consiste en incluir aquellas tareas y procesos necesarios en cada una de las fases de desarrollo (siempre adaptado a la metodología de desarrollo elegida: Agile, Waterfall,…). En resumen, y de forma genérica, es imprescindible realizar las siguientes acciones y ubicarlas dentro de las fases del proyecto de desarrollo:

  • Requisitos de seguridad. Es imprescindible asociar estos a la función y tipos de datos que albergará la aplicación en producción. Por tanto, dependiendo del grado de criticidad de ciberseguridad, los requisitos serán más simples o más complejos.
  • Diseño seguro. La inclusión de los requisitos de seguridad en el diseño no puede hacerse de manera anárquica, debe respetar los principios de seguridad necesarios así como utilizar los componentes de software apropiados. Además, durante este proceso existen mecanismos que permiten realizar un análisis efectivo para comprobar que el nivel de seguridad de la aplicación será correcto una vez en producción, Threat Modelling.
  • Desarrollo seguro. Una de las partes más importantes en cuanto a la seguridad. Es imprescindible que el concepto de desarrollo seguro abandere cada una de las líneas de código. Para abordarlo, la fórmula más adecuada es la formación en desarrollo seguro para cada uno de los miembros del equipo. Además, analizar el código para detectar cualquier desviación de riesgo es conveniente para confirmar la no inclusión de vulnerabilidades en el código una vez que esté ha sido integrado.
  • En las fases finales, a parte de los procesos de testing habituales, realizar asssessments de seguridad para comprobar que la aplicación y todo lo que le rodea (sistemas, componente, comunicaciones…) es capaz de controlar y defenderse contra todos los casos de abuso identificados, ya sea técnicas de hacking o simplemente por fallos en la lógica de negocio.

Como resumen, es necesario cambiar la cultura en los proyectos de desarrollo. Evolucionar el modelo e involucrar a todos los miembros del equipo, ya que cada uno tiene su responsabilidad para asegurar el buen hacer de la aplicación en cuanto a seguridad una vez en producción. Para ello, es imprescindible la formación en desarrollo y diseño seguro para el equipo. Este cambio de cultura debe venir marcado y esponsorizado por la dirección del proyecto, que por tanto, debe dotarle de la importancia que se merece a la vista de los riesgos que se obtienen al no hacerlo.

Firmado: Miguel Ángel Thomas, Socio Responsable de Ciberseguridad en everis Aeroespacial y Defensa

La entrada Ciberseguridad, COVID-19 y piscinas es original de MuySeguridad. Seguridad informática.

por Rodolfo Thu, 09 Jul 2020 11:51:58 +0000

La del coronavirus no ha sido una pandemia, no, en realidad han sido una sucesión de las mismas. Y es que a la principal, a la provocada por el patógeno, se han sumado otras tantas que, sin ser tan nocivas, también han tenido (y siguen teniendo) un efecto muy negativo en la vida de muchas personas. Hablo de lo que en algunos círculos se califica ya como la ciberpandemia, que no es otra cosa que el uso malintencionado que se está haciendo, desde la ciberdelincuencia, de la pandemia y la desinformación alrededor de la misma.

Esto ha supuesto un importante desafío para muchas tecnológicas que, al tiempo, han tenido que adaptarse ellas mismas a las nuevas circunstancias, que ofrecer soluciones que se adaptaran a este nuevo contexto y, por si fuera poco, también involucrarse en la lucha contra el aluvión de intentos de emplear el coronavirus en todo tipo de scams. Ya te hablamos hace algún tiempo de las medidas adoptadas tanto por Microsoft como por Google para enfrentar este problema.

Y hoy hemos podido saber, por la propia empresa, que Microsoft ha logrado obtener una orden judicial que permite a la compañía tomar el control de algunos dominios que han cobrado gran importancia en los últimos meses, y que son empleados por ciberdelincuentes para llevar a cabo múltiples acciones relacionadas con el coronavirus. Esta decisión ha sido tomada por el Tribunal del Distrito Este de Virginia, y su decisión viene acompañada de documentación que detalla todas las operaciones llevadas a cabo por los de Redmond para combatir estas acciones.

En concreto, y es algo de lo que ya te hemos hablado anteriormente, la tecnológica lleva meses aplicando múltiples filtros de seguridad destinados a prevenir los intentos de estafa dirigidos a los usuarios de Office 365 y que se centran en el coronavirus, un tiempo en el que la plataforma ha detectado un desplazamiento, en el que los ataques BEC han quedado de lado, y el esfuerzo de los atacantes se ha centrado en intentar obtener las credenciales de los usuarios que sufren dichos ataques.

Para obtener ese objetivo, se parte de mensajes en los que se informa al usuario de cualquier asunto relacionado con el coronavirus: desde una reunión de trabajo hasta el posible cobro de una prestación, pasando por información de última hora proporcionada por alguna institución de gran prestigio, con el fin de que el usuario crea que el contenido del mensaje es legítimo y, en algún punto del proceso para obtener la información, conceda permisos a una aplicación web malintencionada.

Ante este tipo de ataques, y aunque los servicios ofrecidos por las tecnológicas como Microsoft ya frenan gran parte de este tipo de amenazas cuando todavía se encuentran en tránsito, los usuarios deben aplicar especial prevención ante cualquier comunicación no esperada, ya esté relacionada con el coronavirus o con cualquier otro asunto, no revelar nunca las credenciales, menos aún en servicios desconocidos y, sobre todo, activar siempre que sea posible la autenticación en dos pasos.

La entrada Microsoft contra los defraudadores del coronavirus es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Thu, 09 Jul 2020 06:45:40 +0000

Llevamos ya tanto tiempo hablando de la filtración de datos que, ante la más mínima señal de la mismo, cualquier responsable de una infraestructura se llevará el susto del mes, quizá incluso del año. Y es que el riesgo de que parte o la totalidad de nuestros activos digitales caigan en las manos incorrectas supone un riesgo con tantas y tan malas implicaciones, que es normal que en esas circunstancias haya bastantes personas que no sepan bien cómo reaccionar.

Los desarrollos tecnológicos subyacentes a una filtración de datos o un ataque de ransomware son complejos, particularmente aquellos que son capaces de analizar una red corporativa, difundirse a través de la misma y, llegado el momento, exfiltrar toda la información que han encontrado antes de cifrar los archivos. Eso hace que sea un tipo de ataque bastante tentador para los ciberdelincuentes, pero que bastantes de ellos no cuenten con el nivel técnico necesario para llevar a cabo una acción de este tipo.

¿Y con qué se puede suplir la carencia de pericia? Pues con ingenio, claro. Y de eso nos alerta hoy INCIBE en esta publicación, que nos habla, una vez más, de como el gen del Lazarillo de Tormes, tan arraigado en nuestra cultura, perdura hoy en día y, de vez en cuando, aflora para recordarnos que la picaresca nunca se pasa de moda. Muy al contrario, tiene una enorme capacidad de adaptación, y lo que en el siglo XVI era relatos con uvas, hoy se relaciona directamente con el cibercrimen, más concretamente con la filtración de datos.

Es evidente que el engaño es un elemento clave en muchas de las técnicas de ataque comunes en la actualidad, sin embargo, lo común es que este sea empleado como punto de entrada. Un ejemplo claro es el phishing,  cuyo objetivo es engañar al usuario para que, inconscientemente, revele datos o instale malware en un sistema, momento en el que se desarrollan las siguientes fases del ataque, generalmente basadas en medios tecnológicos. En este caso de la filtración de datos que en realidad no es un filtración de datos no es así.

Y es que, según la alerta publicada por INCIBE, un atacante está enviando correos electrónicos a empresas y profesionales con página web, y en dichos correos les informa de que dicha presencia online se ha visto comprometida por una vulnerabilidad sin identificar, y que el remitente del mensaje, que es el atacante, ha podido hacer una copia completa del sitio web y, claro, de su bases de datos. Información que ahora tiene guardada en un servidor propio, y que amenaza con filtrar en un plazo de cinco días, de no recibir el pago de un recate en bitcoin.

Nada que se salga de lo común en una filtración de datos… salvo que en realidad tal fuga no se ha producido. Es decir, el atacante en realidad solo ha visitado la página web en busca de una dirección de correo electrónico de contacto y, con ella, ha enviado el mensaje en el que lanza su intento de extorsión. La clave, claro, consiste en intentar que el miedo en la persona amenazada la lleve a pagar sin cuestionarse si, en realidad, tal ataque se ha producido.

De manera general, cuando se produce una filtración de datos que caen en manos de ciberdelincuentes, es común que estos aporten una prueba documental de que esta se ha producido realmente, si no en la primera comunicación, sí en caso de que la víctima la solicite. Este es, claro, el método más directo para comprobar si realmente hemos sido víctimas de ese ataque. No obstante, hay que recordar que ante una amenaza de este tipo, las recomendaciones del INCIBE pasan por no contactar con los delincuentes y, menos aún, pagar el rescate.

La entrada La filtración de datos que en realidad no lo es es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Wed, 08 Jul 2020 15:33:09 +0000

Que el principal problema al que se enfrenta nuestra sociedad actualmente es el coronavirus es algo que, a estas alturas, nadie puede ya negar. Y es que el problema no es ya el patógeno en sí, y sus peligrosas consecuencias exclusivamente en el ámbito de la salud. Es que la necesaria respuesta ante la pandemia tiene, ya está teniendo, otras muchas consecuencias que, sin ser equiparables a las pérdidas humanas, también suponen una plétora de problemas que, incluso a estas alturas, todavía no está totalmente claro cómo afrontar.

Así, administraciones públicas y organizaciones de todo tipo trabajan, día a día, intentando adaptar la respuesta a cada nueva noticia relacionada con el coronavirus, y que puede hacer que todas las estrategias trazadas hasta el momento puedan quedarse desfasadas en base al nuevo conocimiento adquirido. Personalmente no diré que unos y otros lo están haciendo bien o mal, lo único que puedo decir, egoístamente, es que me alegro de no estar en su pellejo.

Una de las respuestas ante el coronavirus, surgida de la colaboración entre administraciones públicas y empresas tecnológicas, son las apps de seguimiento, una solución empleada por países como Corea del Sur y que ha servido en ese país para ejercer un férreo control sobre la difusión del patógeno, reduciendo su incidencia de una manera realmente destacable. A este respecto, y sin entrar (de momento) en otras consideraciones, sin duda se trata de un modelo exitoso, a la vista de los números.

A la vista de dicho éxito, muchos gobiernos de todo el mundo han intentado reproducir esa estrategia, adaptándola eso sí al marco legal de cada estado. Y es que, y esta es una de las primeras consideraciones a tener en cuenta, la idiosincrasia legal de Corea del Sur dista en bastantes puntos del modelo al que estamos acostumbrados en occidente. Seúl puede adoptar medidas, como la obligatoriedad de usar la app de seguimiento, que aquí tienen un encaje legal particularmente difícil.

El esfuerzo, y esto es indiscutible, ha sido considerable. Desgraciadamente también lo han sido los problemas que han surgido por el camino, con ejemplos como los de las apps de segumiento del coronavirus de Países Bajos, las de Australia y Reino Unido o las falsas apps de seguimiento son solo un ejemplo de los problemas a los que se enfrentan tanto administraciones públicas y empresas tecnológicas como, por supuesto, para la ciudadanía que, con toda la lógica del mundo, recela ante tantos pasos en falso.

A eso se suman, claro, otros dos factores importantes. El primero es la importancia que nuestro modelo de sociedad concede a la privacidad. Somos conscientes del valor de la misma y, con el paso del tiempo, la defendemos cada día más y mejor. Y el segundo es que esta crisis también se ha empleado como elemento de confrontación política, con grupos llamando al desacato de las medidas marcadas por las administraciones públicas, un movimiento que ha sido secundado por parte de la ciudadanía.

En medio de este caos alrededor del coronavirus, Panda Security ha querido tomarle la temperatura a la sociedad española, realizando una encuesta para averiguar su opinión con respecto a una hipotética aplicación móvil que monitorizase la evolución del coronavirus entre los ciudadanos de España. Para el estudio se ha entrevistado a 1.500 personas y, en resumen, la principal conclusión es que la sociedad desconfía sobre el uso que daría el Gobierno a una solución tecnológica para controlar la evolución del coronavirus.

El principal resquemor viene dado por el uso que darían las administraciones públicas a la información obtenida mediante la app de seguimiento del coronavirus. Hasta un 35% de los encuestados piensan que se produciría un uso ilegítimo de los datos obtenidos, frente a solo un 19% que considera que los datos solo serían empleados para luchar contra la enfermedad. Como consecuencia, uno de cada tres españoles jamás se instalaría una aplicación de este estilo en su móvil. Y alrededor del 50% esperarían a que antes lo hicieran otras personas.

Peor aún es la valoración que hace la ciudadanía sobre las soluciones tecnológicas al servicio de la lucha contra el coronavirus. Tan solo un 10% de las personas encuestadas considera que una app para monitorizar la evolución del coronavirus y sus síntomas en la población es una solución óptima, frente a casi el 50% que cree que la mejor solución son los test masivos. Algo que, en realidad, resulta poco o nada útil a la hora de identificar los contactos que ha tenido una persona con otras, si se detecta que ha sido contagiado.

De ahí se entiende, claro, que alrededor de la tercera parte de las personas encuestadas no tengan claro cuál es la mejor solución para limitar la difusión del patógeno. Sí que señalan a que la solución debe venir dada por una suma de soluciones tecnológicas y medidas de carácter biológico. Y, personalmente comparto esa opinión. Los test son imprescindibles, al igual que lo son las cuarentenas, los controles de seguridad, etcétera, pero la integración de soluciones tecnológicas es un elemento clave para maximizar el seguimiento del coronavirus.

El problema de confianza de la sociedad reside en que la gran mayoría de las aplicaciones que se han generado durante estos meses para monitorizar la evolución del coronavirus vulnera gravemente el derecho a la protección de la información privada de millones de personas. Es cierto que estas herramientas tratan datos desestructurados, pero si se sabes observar el ‘Big Data’, es relativamente fácil monitorizar la vida de una persona o de un conjunto de ellas”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security.

La entrada Coronavirus: los españoles no se fían de las apps de seguimiento es original de MuySeguridad. Seguridad informática.

por David Salces Guillem Wed, 08 Jul 2020 12:51:12 +0000