¿Ransomware por medio de un mail de Windows?

¿Ransomware por medio de un mail de Windows?

Se ha descubierto una nueva campaña de spam que pretende ser una “Actualización crítica de Microsoft Windows” que intenta entregar el Cyborg Ransomware, pero resulta ser un completo fracaso.

En un informe de Trustwave que se publicó hoy, los investigadores describen cómo un atacante está enviando un correo electrónico no deseado que pretende ser una actualización ‘crítica’ de Windows y solicita al destinatario que lo instale.

La supuesta actualización de Windows adjunta al correo electrónico es en realidad un descargador para el ejecutable Cyborg Ransomware que ha sido renombrado a un archivo de imagen jpg con nombre aleatorio. Esto se ve en la edición hexadecimal del archivo JPG que muestra claramente que es un ejecutable.

Si bien este archivo JPG es un ejecutable legítimo que, si se nombra correctamente, habría cifrado la computadora, los atacantes cometieron el error de distribuirlo como un archivo de imagen JPG.

Al hacerlo, no tuvieron en cuenta que cuando un usuario abre este archivo, Windows lo cargará automáticamente en el visor de fotos configurado y no ejecutará el malware. Esto solo mostrará un error que indica que “el archivo parece estar dañado, dañado o es demasiado grande”.

No se sabe por qué el ransomware se distribuyó de esta manera, pero finalmente habría evitado que cualquier destinatario que abrió la imagen se infecte. Esto obviamente es un buen error.

El correo electrónico enviado tiene como asunto “¡Instala la última actualización de Microsoft Windows ahora!”. Hay variantes que cambian un par de palabras, quedando como “Actualización crítica de Windows”. Esto de por sí debería ser un indicativo sospechoso, ya que Windows nunca envía actualizaciones por correo electrónico. Sí lo hacea través de Windows Update, su plataforma de actualizaciones integrada en el mismo sistema.

Con información de: bleepingcomputer.com

WhatsApp detecta un agujero

WhatsApp detecta un agujero de seguridad que obliga a actualizar la versión

Un simple archivo malicioso de vídeo MP4 ha permitido ejecutar un código en cualquier plataforma donde se usara WhatsApp. Facebook, la empresa propietaria de la app de mensajería, ya ha arreglado el agujero de seguridad, pero requiere que cada usuario de WhatsApp actualice su versión. En Android, afecta a todas las versiones previas a la 2.19.274 y en iOS de Apple a las anteriores a la 2.19.100.

La Oficina de Seguridad del Internauta ha publicado también su advertencia a todos los usuarios. La actualización en WhatsApp se encuentra en los “ajustes” o “ayuda”, según la versión, de cada plataforma.

Este agujero se suma a otros descubiertos este año. En octubre, un archivo GIF podía también provocar la instalación de un virus en un móvil. Hace unos meses encontró otra brecha, que ha dado varios titulares en las últimas semanas. Facebook ha denunciado a la empresa de ciberespionaje israelí NSO por haber comprometido su plataforma. Los presuntos objetivos de la compañía israelí eran escogidos entre políticos u otros perfiles para analizar ilícitamente sus móviles.

La encriptación de los mensajes en WhatsApp no impide la expansión de este tipo de virus que llegan escondidos dentro de archivos aparentemente inofensivos. Por el tipo de vulnerabilidades, es poco probable que se conviertan en ataques dirigidos a cualquier usuario de WhatsApp, sino más bien apuntan hacia perfiles concretos.

Con Información de El País: https://elpais.com/tecnologia/2019/11/18/actualidad/1574100798_518155.html

Hubo un ciberataque vs Pemex

¿Hubo un Ciberataque vs PEMEX?

Petróleos Mexicanos (Pemex) informó que este domingo 10 de noviembre afrontó intentos de ataques cibernéticos que afectaron el funcionamiento de menos del 5 por ciento de los equipos de cómputo. Sin embargo, ya “opera con normalidad”.

En un comunicado, Pemex indicó que el “funcionamiento de los sistemas de operación y producción de la empresa no están comprometidos, además de que se encuentran blindados“.

Y pese al ataque cibernético, la “producción, abastecimiento e inventarios de combustible están garantizados“, puntualizó.

La red interna de Pemex, al igual que todas las grandes empresas e instituciones gubernamentales y financieras, nacionales e internacionales, recibe con frecuencia amenazas y ataques cibernéticos que hasta ahora no han prosperado.

El comunicado tuvo el objetivo de desmentir los “rumores, comunicados apócrifos, notas y comentarios en redes sociales” sobre lo mencionado anteriormente.*

Más allá de eso te recordamos que actualmente existen diversas herramientas las cuales te permiten protegerte ante ataques como el Ransomware, BURÓ.MC te ofrecemos una demo gratis de Sophos Intercept X para combatir cualquier amenaza.

*Nota Original: Hackean a Pemex y afectan 5% de su equipo de cómputo; ya “opera con normalidad” https://aristeguinoticias.com/1111/mexico/hackean-a-pemex-y-afectan-5-de-su-equipo-de-computo-ya-opera-con-normalidad/

5 razones para una mejor ciberseguridad

5 consejos para una mejor ciberseguridad

Pensamos que es bueno ofrecer una lista de cinco consejos de seguridad principales. No importa qué edad, género o profesión que se tenga, los conceptos básicos importantes para todos

1. Ten cuidado con quién te comunicas

A veces, los ciberdelincuentes crearán perfiles de citas falsas o cuentas de redes sociales específicamente para atacar. El hecho de que parezca que tienen mucho en común contigo, no significa que realmente lo tengan.

2. Utiliza autenticación de dos factores

Puedes hacerlo con una aplicación como Google Authenticator, o desde códigos SMS enviados directamente a tu teléfono. Si deseas estar súper seguro, puedes hacerlo con una llave de hardware que conecte directamente a tu ordenador o portátil.

3. Piensa en lo que estás publicando en las redes sociales

Si compartes fotos personales como las de tu cumpleaños o tu nueva casa, podría estar regalando datos confidenciales como tu fecha de nacimiento o dirección a los ciberdelincuentes. Piensa dos veces acerca de quién te sigue y qué quieres que vean y sepan sobre ti.

4. Parche rápido, parche a menudo

Todavía hay millones de ordenadores en riesgo por WannaCry, ¡esto significa que no han sido parcheadas en más de dos años y medio! No seas una de esas personas. La mejor manera de mantenerse actualizado es tener actualizaciones automáticas para estar seguro que se está ejecutando el software más reciente.

5. Use un administrador de contraseñas

Los administradores de contraseñas crearán y recordarán contraseñas complejas, lo que le facilitará mantener contraseñas diferentes para cada sitio web. Todo lo que necesitas hacer es recordar una contraseña súper larga y complicada para el administrador en sí.

Con Información de Sophos: https://news.sophos.com/es-es/2019/10/28/5-consejos-para-una-mejor-ciberseguridad/

NOTIAS RANSOWARE_Mesa de trabajo 1

Así es Ryuk, el ransomware que estaría bloqueando ordenadores en España

Desde la pasada madrugada, Europa está sufriendo un ciberataque basado en ransomware, un tipo de malware especializado en “secuestrar” nuestros archivos.

Este caso es más llamativo de lo habitual por su rápida expansión y la cantidad de grandes empresas a las que afecta. Todo indica que se trata de un ataque bien planeado, y que no es coincidencia que tantas empresas hayan caído al mismo tiempo.

La lista completa aún no se conoce en el momento de escribir estas palabras, pero ya se ha confirmado que la cadena Ser y Everis se han visto afectadas. No serían las únicas, y las redes sociales se han llenado de rumores sobre las posibles afectadas.

Estas empresas han tenido que apagar todos los ordenadores y desconectar sus redes de Internet. Pasos necesarios para evitar que el ransomware se extienda y produzca más daños, pero que pueden ser muy costosos y afectar al servicio. Pero, ¿qué es lo que ha conseguido parar en seco a tantas empresas?

Ryuk, especializado contra empresas

Gracias a algunas capturas de pantalla publicadas en redes sociales, todo indica que se trata de un ransomware, concretamente, de uno relativamente nuevo llamado Ryuk.

Un ransomware es un programa malicioso que, una vez instalado en el ordenador, cifra nuestros archivos con una clave secreta. A continuación, muestra un mensaje en pantalla, en el que indica a la víctima que ingrese una cierta cantidad de dinero para recuperar sus archivos.

Ryuk es un ransomware que apareció en la red por primera vez en agosto de 2018; pero sólo ha sido en los últimos meses que realmente se ha expandido. La gran diferencia de Ryuk frente a otros ransomware es que está especializado en atacar entornos empresariales.

Por lo tanto, si algún usuario convencional acaba con Ryuk instalado en su ordenador, no sería más que una víctima colateral; el verdadero objetivo de sus creadores es ganar ingentes cantidades de dinero atacando directamente a las empresas.

Un golpe millonario

La cantidad exacta parece variar dependiendo de la empresa atacada. El mensaje que Ryuk muestra en pantalla cuando se activa en el ordenador objetivo no dice cuánto hay que pagar por la clave; esto es relativamente raro, ya que los atacantes normalmente quieren tratar con la víctima lo menos posible.

Es lo que ocurrió con el caso de ransomware más famoso de la historia, WannaCry. Este programa bloqueó cientos de miles de ordenadores sólo en mayo de 2017, cuando fue lanzado. Se calcula que los creadores de WannaCry recibían unos 360.000 dólares mensuales de esta manera.

En el caso de Ryuk, el mensaje no muestra sólo una dirección de cartera de Bitcoin para realizar el pago. Además, se presentan dos direcciones de correo electrónico para que la víctima contacte directamente con los atacantes, además de una clave de referencia.

La cantidad de Bitcoin a pagar varía enormemente, dependiendo del caso. Hasta ahora, la menor demanda ha sido de 1.7 BTC (14.000 €), y la mayor, de 99 BTC, unos 820.000 €. Estamos hablando de ataques a grandes empresas, que en teoría podrían costearse semejantes rescates.

Supuestamente, el proceso consistiría en realizar el pago y contactar con los atacantes por correo con la clave; estos comprobarían si hemos realizado el pago y responderían con la contraseña para descifrar los datos. Puede que los atacantes hayan decidido usar este proceso debido a la magnitud de las cifras que piden.

Cómo funciona Ryuk

Las sospechas de que estamos ante un ataque basado en Ryuk se basan en dos aspectos. Para empezar, el mensaje que aparece en el ordenador es similar al que suele mostrar este ransomware; sin embargo, hay que recordar que las únicas fotografías que tenemos de este ataque provienen de supuestos empleados de las empresas afectadas.

El otro detalle, más importante, es que Ryuk recibió una nueva versión hace apenas tres días. La gran novedad es que ahora Ryuk es capaz de distribuirse a si mismo por una red LAN privada, incluso si los ordenadores están apagados; lo consigue enviando paquetes WoL (Wake-on-LAN), que permiten “despertar” a un ordenador si recibe una órden a través de la red. Hasta ahora, Ryuk dependía de otros métodos para llegar a más ordenadores, como troyanos.

Esto explicaría cómo es posible que Ryuk haya infectado tantos ordenadores tan rápidamente, especialmente los que pertenecen a una misma red.

Un ataque centrado en España

Se sospecha que Ryuk fue creado por Grim Spider, un grupo de hackers especializados en atacar grandes objetivos para ganar grandes sumas de dinero. Forma parte de Wizard Spider, un grupo de cibercriminales que hasta el año pasado se centraban en el fraude electrónico. Para ello usaban TrikBot, un troyano, que era el que ayudaba a Ryuk a entrar en los ordenadores.

Sin embargo, aún se desconoce si Grim Spider está detrás de este ataque masivo, pero encajaría con su modus operandi

Este ataque con Ryuk se habría realizado pese a las limitaciones propias del programa; según ha explicado Breet Callow de Emsisoft a Omicrono, Ryuk tiene algunos fallos de programación, o “bugs”, que pueden hacer que no funcione correctamente. Emsisoft, como empresa de seguridad que forma parte del proyecto No More Ransom de la Europol, sabe muy bien los riesgos que conllevan estos bugs.

Y es que esto puede jugar a favor o en contra del usuario. Por ejemplo, gracias a estos bugs es posible descifrar los archivos incluso aunque no tengamos la clave. Sin embargo, esto es sólo posible en algunos casos.

Más catastrófico es que ocurra otro bug, que destruye los archivos cifrados. En concreto, se calcula que uno de cada ocho archivos cifrados por Ryuk no son recuperables.

Que el ataque tiene como objetivo empresas españolas es evidente cuando vemos que Ryuk ya fue usado a lo largo del último año en otros países; especialmente en EEUU, donde afectó a decenas de ayuntamientos, colegios y hospitales.

Nota tomada de : El Español https://www.elespanol.com/omicrono/software/20191104/ryuk-ransomware-bloqueando-ordenadores-espana/441956182_0.html

el Senado de la República aprobó declarar la primera semana del mes de octubre, como la “Semana Nacional de la Ciberseguridad”.

¿Sabías que? el Senado de la República ha establecido la Semana Nacional de Ciberseguridad

Con el propósito de concientizar a la ciudadanía sobre los riesgos del uso del ciberespacio y la cultura de la prevención ante el avance y alcance de las tecnologías de la información y comunicación (TIC), y para brindar mayor protección y seguridad a los usuarios de los aparatos cibernéticos, el Senado de la República aprobó declarar la primera semana del mes de octubre, como la “Semana Nacional de la Ciberseguridad”.

En la sesión ordinaria, la senadora Alejandra Lagunes Soto, del PVEM, promovente de la iniciativa, planteó cambiar la propuesta, ya que originalmente declaraba octubre como el mes de la Ciberseguridad, no obstante, se planteó el cambio a que se redujera a solo una semana.

El dictamen fue aprobado con 103 votos. Con cambios fue remitido a la Cámara de Diputados, para los efectos del artículo 72 constitucional. Prevé la realización de foros, mesas de trabajo, exposiciones, debates y actividades sobre el tema, para que todos los mexicanos estén plenamente informados e involucrados, añade el texto.

De acuerdo con el Informe ”Tendencias de seguridad cibernética en América Latina y el Caribe”, de 2014, diversos países han intensificado la concientización desde 2013, ya que conocer los riesgos que entraña el uso de las TIC y cómo minimizar y mitigar tales peligros, es la más valiosa herramienta que las autoridades nacionales pueden desarrollar y utilizar para mejorar la seguridad y combatir el delito cibernético.

Para ello, se implementaron iniciativas y campañas de divulgación de información, así como de concientización y programas educativos dirigidos a todas las partes interesadas: personal estatal, empresas, bancos y otras organizaciones privadas, estudiantes y público en general.

Agrega el informe que los datos proporcionados por las autoridades nacionales, y recopilados por la empresa Symantec, correspondientes a las Américas y el Caribe, muestran incrementos significativos del volumen de delitos cibernéticos, ataques y otros incidentes en casi todos los países del hemisferio.

Las comisiones dictaminadoras resaltan la importancia de establecer los alcances de la Ciberseguridad y la relevancia de ampliar la cultura de la prevención en torno a la misma. Asimismo, precisan que según un Informe de Ciberseguridad del Banco Interamericano de Desarrollo y la Organización de los Estados Americanos, cuantos más datos se intercambian con el uso de las TIC, más preocupaciones surgen de seguridad y privacidad cibernéticas.

Por lo tanto, las y los senadores subrayaron la urgencia de actualizarse y “unirnos a aquellos países que ya han emprendido acciones enfocadas a la seguridad cibernética y dedicado espacios y conocimiento a analizar el Internet de las Cosas, ciberdelitos, incidentes de seguridad informática, sistemas de comunicación seguros, etc”.

A nombre de la Comisión Seguridad Pública, el senador José Alejandro Peña Villa, apuntó que el objetivo es hacer visible el tema y avanzar en su regulación para contar con un acceso seguro a la tecnología global. Agregó que el cibercrimen tiene un costo de 0.5 por ciento del Producto Interno Mundial, equivalente a cuatro veces el monto anual de las donaciones para el desarrollo internacional.

Destacó que en México, el aumento de los cibernautas pasó de 40 a 71.3 millones de 2012 a 2018, por lo que es urgente aprobar la propuesta. Añadió que diversos países ya han establecido el mes de octubre para la concientización de la Ciberseguridad, para de promover la seguridad ante los riesgos cibernéticos y la protección, a través de la educación, intercambio de conocimiento, prácticas y estrategias.

La senadora Alejandra Lagunes, apuntó que se trata de un exhorto a las instancias de gobierno, organizaciones privadas, sociedad civil y comunidades académicas, a sumarse a la sensibilización sobre el impacto de la Ciberseguridad en el desarrollo social, político, humano y económico del país, así como la responsabilidad compartida de todos los actores en la reconstrucción de un ciberespacio libre, diverso y seguro.

La senadora Martha Lucía Micher Camarena, de Morena, dijo que octubre es el mes mundial del Cáncer de Mama, por lo que pidió no sea declarado como el de Ciberseguridad. “No podría votar a favor de que se suplante el cáncer de mama, una causa principal de muerte de las mujeres, por la ciberseguridad”, enfatizó.

La senadora Alejandra del Carmen León Gastélum, afirmó que en el Partido del Trabajo celebran que se haga visible en la agenda pública la ciberseguridad. Hacemos un llamado a todas las fuerzas políticas para que no perdamos de foco las necesidades de respetar los derechos de privacidad de los ciudadanos.

Por el PVEM, la senadora Verónica Noemí Camino Farjat, indicó que no es excluyente que se nombre a octubre como el mes de la ciberseguridad y al mismo tiempo, sea el mes del cáncer de mama. No es desplazar uno por el otro, se trata de construir, de unificarlos en esta lucha que es el bienestar y reconocimiento de los derechos de las mujeres, abundó.

Fuente: Senado de la República http://comunicacion.senado.gob.mx/index.php/informacion/boletines/46571-establece-senado-la-semana-nacional-de-la-ciberseguridad.html

Ataques a Pyme aumentaron 8% en lo que va de este 2019, en el que se contabilizaron 35 por ciento de empresas atacadas. BuróMC

Ataques a Pyme aumentaron 8% en lo que va de este 2019

Además de las dificultades para obtener financiamiento, deficiencias en su planeación y falta de indicadores de productividad, otra de las amenazas que deben enfrentar las pequeñas empresas tiene que ver con el tema de la protección de datos. Cifras de Kaspersky señalan que 43 por ciento de las pequeñas y medianas empresas (Pyme) en América Latina ha sido víctima de violación de datos en lo que va de 2019, lo que representa un incremento de 8 puntos porcentuales respecto al año pasado, en el que se contabilizaron 35 por ciento de empresas atacadas.  En México, las Pyme representan 72 por ciento de los empleos y registran 52 por ciento del Producto Interno Bruto, sin embargo, es uno de los países que mayor número de ciberataques sufre en Latinoamérica, siendo superado únicamente por Brasil. De acuerdo con una encuesta realizada por Kaspersky, 28 por ciento de las Pyme no cuentan con una opción de seguridad cibernética adecuada y 33 por ciento no tienen área de administración especializada en la materia. “Las Pyme necesitan de una estrategia para protegerse incluso más que las grandes empresas, ya que un ataque cibernético puede traerles repercusiones en reputación y clientes y llevarlas a la quiebra”, dijo a MILENIO París Valladares, director general de Kaspersky. De igual forma es importante que éstas no busquen ahorrar en el rubro puesto que una violación de sus datos puede costarles hasta 125 mil dólares.  Actualmente, más de 23 por ciento de las pymes utilizan herramientas de seguridad domésticas que si bien les proporcionan protección básica, no cuentan con los elementos especializados que tienen las opciones empresariales. Otro de los problemas en las pequeñas y medianas empresas es que al contratar empleados hacen que estos utilicen dispositivos propios para trabajar, con lo cual se comparte y compromete la infraestructura de la compañía y datos de clientes con equipos ajenos. En palabras del directivo, de las 4.1 millones de Pyme del país solo 40 por ciento están protegidas, por lo que los atacantes ven una oportunidad y el índice de acierto es muy alto.  “Hace falta una cultura de ciberseguridad dentro de las pequeñas y medianas empresas porque el personal de éstas debe estar consciente del manejo y protección en la información de los clientes”, indicó.  Hoy en día Kaspersky monitorea más de 120 grupos de ciberatacantes que se enfocan principalmente en los clientes que utilizan el sistema operativo Android, por lo que también es necesario aplicar medidas de seguridad en dispositivos móviles que estén ligados a datos de las compañías.  El método más común para violar los datos de las compañías sigue siendo el phishing, sin embargo, medidas como actualizar los software de los equipos que se utilizan puede reducir hasta 75 por ciento el riesgo de ataques cibernéticos. “La prevención es la clave y la pymes pueden gestionar su seguridad cibernética enseñando a sus empleados medidas básicas, además de utilizar un producto desarrollado especialmente para ésta”, afirmó.  Prevención Acciones como utilizar una contraseña segura, cambiar constantemente la clave del wifi de la empresa y contar con un plan de acción en caso de sufrir un ataque. Según Valladares, existen soluciones que permiten proteger los datos de una compañía a muy bajo costo, además, en día es fundamental que las pequeñas empresas se den cuenta de que la inversión en seguridad es mínima si se compara con la amenaza de un ciberataque.

Con Información de MILENIO: https://www.milenio.com/negocios/ataques-a-pyme-aumentaron-8-en-lo-que-va-de-este-2019

CIBERSEGURIDAD-COSA-DE-ABOGADOS

La ciberseguridad también es cosa de abogados

Tal vez las preguntas más recurrentes que se pueden escuchar cuando un abogado dice dedicarse a temas de ciberseguridad es “¿eres técnico?” “ese es un tema de técnicos” y (aunque usted no lo crea) “¿eso qué tiene que ver con las leyes?”. 

Las interrogantes anteriores parecen obedecer a una perspectiva tradicional, según la cual el profesional del derecho es una isla que a veces le manda señales de humo a otras islas y que aplica muy estrechamente el derecho positivo. Esa visión puede causar incomodidad al trabajar en entornos desregulados, poco regulados o autorregulados, pero, sobre todo, puede generar desinterés en conceptos básicos de la materia, cuya comprensión resulta muy importante para implementar y mantener seguridad de la información en las empresas. Ya no es tiempo de patear balón dejando la ciberseguridad restringida al departamento de sistemas, ni al mismo director de seguridad de la Información, pues se requiere de la participación activa de todas las áreas, incluyendo, por supuesto, al departamento legal.

Y a todo esto ¿qué es la ciberseguridad? En pocas palabras, podemos entender la ciberseguridad como las actividades y medidas destinadas a proteger la información que se produce, almacena y transfiere en el ciberespacio de cualquier uso, acceso, modificación, divulgación o destrucción no autorizados. El ciberespacio se refiere a un ambiente de información conformado por datos digitales que se crean, almacenan y comparten. No es puramente un espacio físico ni es puramente virtual ya que comprende la infraestructura que permite que la información fluya. Incluye al internet, intranet, celulares, cables de fibra óptica y comunicaciones espaciales.

 

Para darse cuenta de la importancia de la ciberseguridad, basta entender que actualmente generamos, almacenamos y transferimos toda la información a través de medios digitales. Internet y los dispositivos a su alrededor que permiten el flujo de la información no son únicamente medios de comunicación o herramientas para agilizar el comercio, ya que también soportan infraestructura crítica de empresas y gobiernos. Es necesario generar conciencia y educación acerca de los riesgos en materia de ciberseguridad y de los factores que intervienen: técnico y humano; propio y de terceros. 

Considerando que la tendencia mundial actual es digitalizar, los riesgos en materia de ciberseguridad se han convertido en una vulnerabilidad importante que, sin embargo, no debe desincentivar el uso de las tecnologías, ya que éstas resultan imprescindibles para mantener y elevar la competitividad, sino que también deben servir para crear conciencia de uso adecuado para minimizar las probabilidades de un ciberataque que tarde o temprano ocurrirá (o tal vez ha ocurrido y nadie se ha dado cuenta). Cuando tiene lugar un ciberataque, es preciso que se activen protocolos de actuación que permitan responder en forma oportuna para minimizar las consecuencias que pudieran ocurrir. Se debe llevar a cabo una revisión de las medidas de seguridad informática y un análisis de los posibles riesgos técnicos, legales e incluso reputacionales. La información comprometida puede referirse no sólo a secretos industriales, sino a datos personales de clientes o empleados, datos que en sí mismos pueden constituir un importante activo de las empresas. Los planes preventivo y reactivo idealmente deben formar parte de la estrategia de ciberseguridad de una empresa que, como ya hemos visto, deben involucrar al departamento legal. 

Un incidente de ciberseguridad no son sólo las vulneraciones enormes que llegan a las noticias como el ataque a SPEI ocurrido el año pasado o la vulneración de Cultura Colectiva que pasó este año. Un incidente de ciberseguridad es cualquier acceso, modificación o destrucción no autorizada a los sistemas y, si se trata de datos personales, el número de afectados puede ser mínimo o masivo, como aquella vulneración que sufrió Yahoo! en el 2016 cuando se vio afectada la totalidad de las cuentas activas e inactivas existentes. 

Por otra parte, no perdamos de vista que así como la administración pasada atendió la materia de ciberseguridad de dientes para afuera, esta administración tampoco parece tener intenciones reales de crear una estrategia nacional, aunque las esperanzas perdidas en el Plan Nacional de Desarrollo 2019 – 2024 podrían recuperarse en el programa sectorial de comunicaciones y transportes que se emita. Ante la orfandad gubernamental, no quedará de otra más que hacer esfuerzos desde la Iniciativa Privada. La tarea no será fácil considerando que México se encuentra en el top 10 mundial de los países que más ataques reciben (dependiendo del estudio se le menciona incluso en los tres primeros lugares), siendo phishing el ataque más común en nuestro país. 

Finalmente, hay que recordar que la ciberseguridad es un proceso, no sólo un resultado final. Que no se trata nada más de arquitectura de redes y emisión de políticas en papel, pues involucra al eslabón humano, el que todos los días toma (tomamos) decisiones de ciberseguridad. Es sobre todo una cultura en la que el abogado, con un papel proactivo y bien informado, es parte fundamental.

Nota Original: La ciberseguridad también es cosa de abogados, El economista, https://www.eleconomista.com.mx/gestion/La-ciberseguridad-tambien-es-cosa-de-abogados-20190925-0037.html

Hackers están infectando sitios WordPress a través de un plugin inactivo

Hackers están infectando sitios WordPress a través de un plugin inactivo

Si eres administrador de WordPress y utilizas un complemento llamado Rich Reviews, querrás desinstalarlo. El complemento ahora desaparecido tiene una vulnerabilidad importante que permite a “malvertisers” infectar sitios que ejecutan WordPress y redirigir a los visitantes a otras webs.

Rich Reviews es un complemento de WordPress que permite a los sitios administrar reseñas internamente en WordPress, y también muestra las reseñas de Google. La empresa de marketing Nuanced Media lo lanzó junto con el desarrollador de complementos Foxy Technology en enero de 2013.

Sin embargo, la luna de miel no duró mucho. Al actualizar una antigua publicación de blog a principios de este mes, Nuanced Media reafirmó que había descontinuado el complemento. Culpó a un cambio en las pautas de esquema de Google que impidió a los comerciantes mostrar calificaciones de estrellas de revisión en sus propias URL.

La última actualización de la empresa al repositorio de Rich Reviews en GitHub fue hace más de tres años. El complemento finalmente desapareció del sitio de WordPress en marzo de este año. Había acumulado 106.000 descargas en total.

El problema es, que al menos algunos de esas descargas (16.000 según algunas estimaciones) todavía lo están utilizando y sufren una vulnerabilidad importante. El error de seguridad permite a los atacantes inyectar código de publicidad maliciosa en las páginas de WordPress de las víctimas, llenándolas de anuncios emergentes o redirigiéndolas a otros sitios.

Wordfence, que vende un firewall de WordPress, reveló el error el martes.

Los atacantes se aprovechan de dos problemas en el plugin. El primero es la falta de controles de acceso para las solicitudes POST que modifican las opciones del complemento, lo que significa que los atacantes pueden realizar esas solicitudes sin autorización.

El segundo error es un problema de validación de entrada. Algunas de esas solicitudes de modificación pueden cambiar el texto que se muestra en el sitio, pero el complemento no valida el contenido de la solicitud.

Estos dos defectos combinados significan que los atacantes pueden inyectar código JavaScript directamente en la página del sitio web.

Los atacantes ya están explotando este error, según Wordfence. Se está utilizando como parte de una campaña de publicidad maliciosa de larga duración que la empresa ha informado anteriormente, en la que los atacantes redirigen a los visitantes a sitios farmacéuticos o atacan directamente a sus navegadores.

Algunos usuarios de WordPress confirmaron que ya están sufriendo ataques basados en esta vulnerabilidad.

El usuario de WordPress @the9mm advirtió, en un foro de soporte de WordPress,  que el complemento había permitido que el malware infectara tres de sus cuatro sitios, redirigiendo a los visitantes a sitios de malware y pornografía. Añadió:

Desactivar y eliminar el complemento solucionó el problema.

Nuanced Media respondió de inmediato en el mismo foro, explicando que estaba trabajando en una solución que estaría disponible en las próximas dos semanas:

Hemos estado trabajando en una reescritura general de este complemento durante un tiempo, pero aparentemente alguien por ahí quería que trabajáramos más rápido y decidieron explotar nuestro complemento para sacar algo de malware. Ahora lo haremos doblemente rápido y esperamos tener una nueva versión (mejor y segura) en las próximas dos semanas.

Sin embargo, esta respuesta no impresionó a Wordfence. La gente no puede actualizar el complemento a menos que Nuanced Media lo reintroduzca en el sitio de WordPress, dijo. También criticó la “vaga línea de tiempo” de Nuanced Media para una solución, por lo que decidió revelar el problema de inmediato para que los usuarios puedan deshacerse de él.

Una cosa está clara: Nuanced Media sabía que había un problema de seguridad en este plugin en marzo, ya que el motivo de la eliminación del plugin fue un problema de seguridad, aunque no está claro cuál era ese problema.

El CEO de Nuanced Media, Ryan Flannagan, nos dijo que fue WordPress el que eliminó el complemento en marzo, y agregó:

La eliminación de Rich Reviews del repositorio de plugins de WordPress también lo eliminó de nuestras prioridades.

Dijo que la empresa no apoyará Rich Reviews a largo plazo y concluyó:

Es angustioso saber que algo que creamos se está utilizando como un vector de ataque: perjudicando a las empresas, frustrando a los administradores de sitios web y beneficiando al peor tipo de spammers. Sin embargo, debido a la reciente actualización de Google Schema y el alcance del proyecto Nuanced Media no respaldará el desarrollo continuo de Rich Reviews.

La empresa está buscando desarrolladores que estén interesados ​​en hacerse cargo del desarrollo del complemento, agregó.

Esto plantea una pregunta interesante para la comunidad de WordPress. Si una empresa publica un complemento y miles de personas lo usan, ¿debería tener la obligación de corregir los errores de seguridad conocidos lo antes posible, incluso si se elimina el complemento?

Automattic, que hace WordPress, no respondió a nuestras preguntas. Sin embargo, Mikey Veenstra, el analista de amenazas de Wordfence que publicó el error, opina:

Afortunadamente, en la mayoría de los casos vemos desarrolladores receptivos que se toman en serio la seguridad y son rápidos resolviendo cualquier problema. Sin embargo, siempre hay excepciones como estas.

El objetivo principal de la comunidad es centrarse en educar a los desarrolladores sobre las mejores prácticas, concluyó.

Nota Original del Blog de Sophos: https://news.sophos.com/es-es/2019/09/30/hackers-estan-infectando-sitios-wordpress-a-traves-de-un-plugin-inactivo/

7 VERDADES ENDPOINT-min

7 verdades incómodas de Endpoint Security: un informe de Sophos

Un informe publicado por Sophos revela que los gerentes de TI tienen más probabilidades de atrapar a los ciberdelincuentes en los servidores y redes de su organización que en cualquier otro lugar.

El estudio, 7 Verdades incómodas de Endpoint Security, encuestó a más de 3,100 gerentes de TI en 12 países diferentes en sectores verticales de la industria y tamaños de organización, y fue realizado por el especialista en investigación independiente Vanson Bourne.

El informe revela que los gerentes de TI descubrieron el 37% de sus ataques cibernéticos más significativos en los servidores de su organización y el 37% en sus redes. Solo el 17% se descubrió en puntos finales y el 10% en dispositivos móviles.

Probablemente haya escuchado el dicho: “No es una cuestión de si, sino cuándo se atacará”, y los datos de la encuesta ciertamente lo respaldan, con la mayoría de las organizaciones que respondieron a esta encuesta (68% de promedio global) Ya ha sido violado.

Es por eso que hay un impulso creciente no solo para enfocarse en las tácticas y herramientas que evitan los ataques, sino también para impulsar los programas de respuesta a amenazas para encontrar más rápidamente a los intrusos que ya están en la red y para responder de manera más efectiva a los ataques que ya están en marcha.

En otras palabras, para la seguridad de la organización, ya no es suficiente pensar en las amenazas detenidas en el ‘perímetro’. Las empresas también deben centrarse en el tiempo de permanencia, que es el tiempo que lleva detectar un ataque en curso.

De los equipos que pudieron medir definitivamente el tiempo promedio de permanencia del atacante, respondieron que podían detectar a un atacante en tan solo 13 horas, con Australia, Brasil y Canadá informando 10 horas de tiempo de permanencia en un extremo del promedio, y Japón informa 17 horas por el otro.

Si no está familiarizado con la charla de la industria sobre el tiempo de permanencia, 13 horas pueden parecer una eternidad para que un atacante esté enraizando los activos de su organización, pero en comparación con otros puntos de referencia de la industria, como el Informe de investigaciones de violación de datos de Verizon (DBIR), cuyos encuestados en promedio el tiempo de permanencia del reloj en semanas o meses – 13 horas parece casi imposiblemente rápido.

Como el conjunto de encuestados y los tipos de amenazas que se evalúan en esta encuesta y los estudios DBIR de Verizon no son exactamente lo mismo, no podemos ni debemos hacer una comparación uno a uno entre los dos. En cambio, este informe profundiza en por qué hay una disparidad en los resultados, y por qué la brecha en los tiempos de detección de aquellos con equipos de seguridad dedicados frente a los que no tienen puede mantener tal variabilidad.

La falta de visibilidad sobre el comportamiento del atacante y la información sobre las rutas del atacante sigue siendo una barrera importante para detectar ataques y reducir el tiempo de permanencia. Según la encuesta, el 20% de los gerentes de TI que fueron víctimas de uno o más ataques cibernéticos el año pasado no pueden determinar cómo los atacantes lograron ingresar, y el 17% no sabe cuánto tiempo estuvo la amenaza en el medio ambiente antes de ser detectada.

Para mejorar esta falta de visibilidad, los gerentes de TI necesitan tecnología de detección y respuesta de punto final (EDR) que exponga dónde se originan las amenazas, así como las huellas digitales de los atacantes que se mueven lateralmente a través de una red. El 57% de los encuestados informaron que no tenían una solución EDR en este momento, pero que planeaban implementarla en los próximos 12 meses.

Chester Wisniewski, científico investigador principal de Sophos dijo:

Si los gerentes de TI no conocen el origen o el movimiento de un ataque, entonces no pueden minimizar el riesgo e interrumpir la cadena de ataque para evitar una mayor infiltración.

EDR ayuda a los gerentes de TI a identificar el riesgo y a implementar un proceso para las organizaciones en ambos extremos del modelo de madurez de seguridad. Si TI está más enfocado en la detección, EDR puede encontrar, bloquear y remediar más rápidamente; Si TI todavía está construyendo una base de seguridad, EDR es una pieza integral que proporciona inteligencia de amenazas muy necesaria.

En promedio, las organizaciones que investigan uno o más posibles incidentes de seguridad cada mes pasan 48 días al año (cuatro días al mes) investigándolos, según la encuesta. No sorprende que los gerentes de TI clasificaran la identificación de eventos sospechosos (27%), la gestión de alertas (18%) y la priorización de eventos sospechosos (13%) como las tres características principales que necesitan de las soluciones EDR para reducir el tiempo necesario para identificar y responder a alertas de seguridad.

Si los gerentes de TI tienen una defensa en profundidad con EDR, pueden investigar un incidente más rápidamente y utilizar la inteligencia de amenazas resultante para ayudar a encontrar la misma infección en un estado. Una vez que los cibercriminales saben que ciertos tipos de ataques funcionan, generalmente los replican dentro de las organizaciones. Descubrir y bloquear patrones de ataque ayudaría a reducir la cantidad de días que los gerentes de TI pasan investigando posibles incidentes.

Este informe profundiza en los detalles de las amenazas detectadas (de qué tipo y dónde), así como los recursos gastados en la investigación de incidentes. Al echar un vistazo más amplio a las industrias en todas las geografías y el tamaño de la organización, este informe arroja luz sobre los desafíos inesperados que enfrenta la seguridad empresarial en todo el mundo.

Abrir chat
1
Hola, soy Mónica, ¿te puedo apoyar con algo?