blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

La importancia de la protección de datos personales en una empresa

NextVision

0

No podemos negar que la protección de datos personales ha sido una temática en auge durante los últimos años, potenciada además por la pandemia. Ahora bien, si es tan importante como muestra la realidad, ¿por qué es uno de los últimos temas del orden del día de una empresa? 

Sabemos que, en el día a día, una compañía se enfrenta a diversos problemas pero la protección de datos personales de sus clientes no debería ser un tema menor. 

Las consecuencias negativas que acarrea la falta de cuidado y prevención en el tratamiento de los datos de cualquier organización puede llegar a ser difícil de reparar.

En un estudio presentado en Dell Technologies Forum 2021, los resultados demuestran que, en muchos casos, los datos dejan de ser una utilidad para pasar a ser un problema y una de las causas de este fenómeno está en las debilidades de seguridad y privacidad de los datos.

Llegada del RGPD a España:

A nivel Europeo la llegada del RGPD ha llevado a las empresas a implementar mejoras en sus sistemas de protección de datos personales. Sabemos que las sanciones por incumplimiento de RGPD pueden llegar a afectar gravemente, no solo a la economía de una empresa si no también a su reputación. 

Sin embargo, para algunas empresas, la protección de datos no es un tema “tan importante”. Esto lo podemos atribuir a distintos motivos como: las bajas cantidades de las multas por incumplimiento, la falta de actualización de nuestra Ley de Protección de datos Personales o incluso a una cultura reactiva y no preventiva. 

Por otro lado, también encontramos un camino esperanzador donde empresas de diversas industrias invierten en una cultura de protección de datos, capacitan a su personal, adoptan medidas técnicas y organizativas para luchar por una mejor gestión y cuidado de sus datos. También, implementando programas de cumplimiento de la legislación vigente. 

Estas compañías saben que cuidar de sus datos, lejos de suponer un gasto supone una inversión. Algunas de las consecuencias positivas de esta cultura en protección de datos personales en las compañías son:

Beneficios de una Cultura en Protección de Datos:

  • Tener siempre identificados los riesgos asociados a los tratamientos de datos que se lleven a cabo dentro de la compañía.
  • Identificar proveedores que garanticen una adecuada protección de datos.
  • Adaptarse fácilmente a cambios regulatorios de protección de datos.
  • Saber cómo responder ante brechas de seguridad que afecten a datos personales.
  • Evitar sanciones, fuga de datos y pérdida de imagen.

 

Desde NextVision creemos que es fundamental implementar una cultura en protección de datos personales en las compañías como respuesta ante incidentes que afecten a nuestros datos personales y como prevención y protección de lo que, hoy en día, se considera el activo más valioso de un negocio, sus datos.

Por ello, gracias a nuestro servicio NV Protección de Datos Personales, podrás desarrollar una Cultura en Protección de Datos  en tu organización e implementar las herramientas y sistemas necesarios para proteger todos tus datos sensibles y los de tus clientes.

Mari

Abogada Consultora

Legal IT en NextVision

Terceros: el eslabón débil de la cadena

NextVision

0

La interdependencia de nuestras empresas con aquellas que integran la cadena de suministros es cada vez más alta.

La cantidad de productos y servicios que se contratan a terceros hacen que no podamos ignorar a nuestros proveedores en el análisis de ciberriesgos que realizamos para nuestra organización. Precisamente, en 2020 el Foro Económico Mundial destaca la importancia de la ciberseguridad en este ámbito, el de la cadena de suministros. Entre sus recomendaciones se encuentra:

“el uso de herramientas de ciberinteligencia para poder enfrentar el escenario de amenazas que tienen las organizaciones en la actualidad”.

La Gestión del Riesgo de Terceras Partes (TPRM) o Vendor Risk Management (VRM) es una preocupación que cada vez estará más presente entre las prioridades del CISO. No se trata ya de regulaciones, que hay que cumplirlas, sino de una necesidad de negocio que se ha disparado debido a la transformación digital y la digitalización acelerada por la pandemia. Los incidentes originados en ataques a terceros son cada vez más frecuentes y resonantes, como SolarWinds, Kayesa, Pulse.  Según Gartner, para 2025, el 60 % de las organizaciones utilizarán el riesgo de ciberseguridad como un factor determinante en la realización de transacciones de terceros.

La falta de medidas específicas para prevenir el riesgo de terceros es considerable en la mayoría de las empresas. Como sabemos, la superficie de ataque está integrada no solo por aplicaciones y dispositivos propios, sino que la integración de los terceros en esta superficie tiene un impacto directo en nuestra seguridad. De hecho, no solo son los terceros el problema, sino también las cuartas partes, es decir, sus proveedores, a los que ellos delegan servicios. Esto es también fuente de vulnerabilidades que afectan a nuestra red.

En consecuencia, los CISO tienen desafíos para TPRM:

> Mejorar el análisis de terceros que actualmente se ejecuta a través de hojas de cálculo, correos electrónicos o procesadores de texto.

> La Transformación Digital que ha expandido la superficie de ataque de modo exponencial.

> Digitalización acelerada.

> Acceso remoto, tanto de propios como de terceros.

> Compliance.

> Los boards, particularmente aquellos donde los Fondos de Inversión tienen un peso significativo. Estos pueden exigir un buen nivel de ciberseguridad y un reporting adecuado.

> Los ciberseguros que hacen una evaluación de la postura de ciberseguridad de la empresa y de su cadena de suministros.

Los equipos de trabajo están desbordados de tareas, problema que se agudiza con los frecuentes incidentes. En consecuencia, el team de seguridad no tiene otra opción que enfocarse en lo urgente, es decir, los problemas a corto plazo y el mediano o largo plazo quedan pospuestos hasta próximo aviso. 

Sin embargo, es posible agilizar la mejora en TPRM. Esta mejora debe tener una perspectiva 360º. Esto se logra obteniendo información consistente de todo el ecosistema del proveedor. La mirada es tanto desde afuera, evaluando la huella digital, como interna mediante formularios de requisitos de seguridad. 

Son ampliamente conocidas las plataformas de scoring que miden la postura de ciberseguridad con información pública. Las mejores lo hacen detallando en forma transparente su proceso de análisis. Pero como el análisis de terceros también debe contemplar los procesos internos, estas plataformas ofrecen formularios que valoren las prácticas internas de la organización a estudiar. Se potencia este trabajo cuando a su vez se integran a herramientas de gestión y de seguridad como SIEM, Ticketing, Análisis de Vulnerabilidades, etc. 

Es decir, que las herramientas que permiten la gestión del riesgo de terceros utilizan tanto fuentes de información externas como internas y así determinan indicadores muy útiles, que no pretenden ser perfectos, sino óptimos. 

Es claro que en estos momentos más que nunca, tenemos un grado de exposición considerable. Y para disponer de una visibilidad completa de esta exposición, es indispensable que seamos capaces de reconocer a una parte vital de nuestra superficie de ataque como son los terceros, y en consecuencia, los ciberriesgos que estos nos generan. Por lo tanto, la implementación de un buen Plan de Gestión de Riesgos de Terceros hace posible mitigar estos riesgos. Y dentro de ese plan, la utilización de una potente solución de scoring y formularios de requisitos de seguridad,  son clave para la homologación y monitorización continua de la cadena de suministros.

“El eslabón que no podemos permitir que se rompa”.

 

NextVision y SecurityScorecard juntos en ISMS Forum

NextVision

0

¡Sí! Estuvimos presente en el III Foro Regional de ISMS Forum, en Barcelona, junto a nuestro partner SecurityScorecard, aliado estratégico de nuestra solución Vendor Risk Management.

El jueves 17 de marzo, nuestro equipo se presentó en la mesa redonda organizada en Casa Convalescéncia UAB Campus.

Nos presentamos ante más de 200 profesionales del sector de la ciberseguridad, reunidos en este evento centrado en novedades del gobierno de la ciberseguridad, ciberamenazas, el nuevo marco de certificación para los profesionales de la ciberseguridad, entre otras temáticas.

Como representante de NextVision, nuestro director Roberto Heker presentó su exposición en relación a la Gestión del Riesgo de Terceras Partes (TPRM) o Vendor Risk Management (VRM).

Presentó los principales desafíos que tienen los CISO entorno al TPRM:

> Mejorar el análisis de terceros que actualmente se ejecuta a través de hojas de cálculo, correos electrónicos o procesadores de texto.

La Transformación Digital que ha expandido la superficie de ataque de modo exponencial.

Digitalización acelerada.

Acceso remoto, tanto de propios como de terceros.

Compliance.

Los boards, particularmente aquellos donde los Fondos de Inversión tienen un peso significativo. Estos pueden exigir un buen nivel de ciberseguridad y un reporting adecuado.

Los ciberseguros que hacen una evaluación de la postura de ciberseguridad de la empresa y de su cadena de suministros.

 

• Conoce más acerca de VRM en el artículo de Roberto Heker “Terceros: el eslabón débil de la cadenahaciendo click aquí.

MALWARE: 3 campañas que debes conocer y cómo protegerte

NextVision

0

En este artículo, vamos a hablar sobre Zloader, Elephant-beetle y Avoslocker-ransomware, campañas de malware que han tenido miles de víctimas y gran perjuicio económico para sus afectados.

A continuación, podrás encontrar una descripción detallada de en qué consisten estas campañas de malware además de recomendaciones para evitar caer en ataques de estas características. 

Si requieres más información sobre nuestros excelentes planes y servicios de Awareness para concientizarte en ciberseguridad junto a tu equipo y evitar caer en ataques, no dudes en comunicarte con nosotros haciendo  click aquí.[/vc_column_text]

Zloader, un malware bancario diseñado para robar credenciales de usuario e información privada. Las campañas anteriores de Zloader, que se vieron en 2020, usaron documentos maliciosos, sitios para adultos y anuncios de Google para infectar sistemas.

La evidencia de la nueva campaña se anunció por primera vez a principios de noviembre de 2021. Dicha campaña se cobró 2170 víctimas en 111 países al 2 de enero de 2022, con la mayoría de las partes afectadas ubicadas en los EE.UU, Canadá, India, Indonesia y Australia.

Las técnicas incorporadas en la cadena de infección incluyen el uso de software de administración remota (RMM) legítimo para obtener acceso inicial a la máquina objetivo.

El malware explota el método de verificación de firma digital de Microsoft para inyectar su carga útil en una DLL firmada del sistema para evadir aún más las defensas del sistema.

CADENA DE INFECCIÓN:

La infección comienza con la instalación del software Atera en la máquina de la víctima.

malware zloader

Atera es un software de administración y monitoreo remoto empresarial legítimo, diseñado para uso de TI. Los autores de la campaña crearon este instalador (b9d403d17c1919ee5ac6f1475b645677a4c03fe9) con una dirección de correo electrónico temporal: ‘ Antik.Corp@mailto.plus ‘. El archivo imita una instalación de Java, al igual que en campañas anteriores de Zloader.

malware

Una vez que el agente está instalado en la máquina, el atacante tiene acceso completo al sistema y puede cargar/descargar archivos, ejecutar scripts, etc. Atera ofrece una prueba gratuita de 30 días para nuevos usuarios, tiempo suficiente para el atacante para obtener sigilosamente el acceso inicial.

Después de la instalación del agente, el atacante carga y ejecuta dos archivos .bat en el dispositivo mediante la función “Ejecutar script“:

  • defenderr.bat se utiliza para modificar las preferencias de Windows Defender.
  • load.bat se utiliza para cargar el resto del malware.

El resto de archivos están alojados en el dominio teamworks455[.]com y se descargan desde allí.

El script load.bat descarga y ejecuta new.bat, que verifica los privilegios de administrador y los solicita mediante el script BatchGotAdmin . Luego continúa descargando otro archivo bat (new1.bat).

Este nuevo script agrega más exclusiones a Windows Defender para diferentes carpetas, deshabilita diferentes herramientas en la máquina que podrían usarse para detección e investigación, como cmd.exe y el administrador de tareas. También descarga otros archivos en la carpeta %appdata%:

  • 9092.dll: la carga útil principal, Zloader.
  • adminpriv.exe – Nsudo.exe. Habilita la ejecución de programas con privilegios elevados.
  • appContast.dll: se usa para ejecutar 9092.dll y new2.bat.
  • reboot.dll: también se usa para ejecutar 9092.dll.
  • new2.bat: desactiva el “Modo de aprobación del administrador” y apaga la computadora.
  • auto.bat: se coloca en la carpeta de inicio para la persistencia del arranque.

RECOMENDACIONES:

  1. Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
  2. No instalar programas de fuentes o sitios desconocidos.
  3. Impedir el uso de Atera o, de lo contrario, monitorearlo y restringirlo.
  4. Utilizar el monitoreo de aplicaciones para controlar la ejecución de archivos .bat y el lanzamiento de cualquier .msi.

 

AteraAgent Scripts:

  1. Defenderr.bat – 1CA89010E866FB97047383A7F6C83C00C3F31961
  2. Load.bat – F3D73BE3F4F5393BE1BC1CF81F3041AAD8BE4F8D
  3. www.teamworks455[.]com

ARCHIVOS:

  1. Java.msi – B9D403D17C1919EE5AC6F1475B645677A4C03FE9
  2. nuevo.bat – 0926F8DF5A40B58C6574189FFB5C170528A6A34D
  3. nuevo1.bat – 9F1C72D2617B13E591A866196A662FEA590D5677
  4. nuevo2.bat – DE0FA1529BC652FF3C10FF16871D88F2D39901A0
  5. 9092.dll – A25D33F3F8C2DA6DC35A64B16229D5F0692FB5C5, 7A57118EE3122C9BDB45CF7A9B2EFD72FE258771, 2C0BC274BC2FD9DAB82330B837711355170FC606
  6. Adminpriv.exe – 3A80A49EFAAC5D839400E4FB8F803243FB39A513
  7. appContast.dll – 117318262E521A66ABA4605262FA2F8552903217
  8. reiniciar.dll – F3B3CF03801527C24F9059F475A9D87E5392DAE9
  9. auto.bat – 3EA3B79834C2C2DBCE0D24C73B022A2FF706B4C6

URL:

  1. www.teamworks455[.]com
  2. hxxps://asdfghdsajkl[.]com/gate.php
  3. hxxps://iasudjghnasd[.]com/gate.php
  4. hxxps://kdjwhqejqwij[.]com/gate.php
  5. hxxps://kjdhsasghjds[.]com/gate.php
  6. hxxps://dkisuaggdjhna[.]com/gate.php
  7. hxxps://dquggwjhdmq[.]com/gate.php
  8. hxxps://lkjhgfgsdshja[.]com/gate.php
  9. hxxps://daksjuggdhwa[.]com/gate.php
  10. hxxps://eiqwuggejqw[.]com/gate.php
  11. hxxps://djshggadasj[.]com/gate.php

El ataque se basa en la simplicidad para ocultarse a simple vista, sin necesidad de desarrollar herramientas sofisticadas o exploits.

Utilizan más de 80 herramientas y scripts únicos, el grupo ejecuta sus ataques durante largos períodos de tiempo, mezclándose con el entorno del objetivo y pasando completamente desapercibido mientras libera silenciosamente a las organizaciones de grandes cantidades de dinero. 

Elephant Beetle parece enfocarse principalmente en objetivos latinoamericanos.

El grupo es muy competente con los ataques basados ​​en Java y, en muchos casos, tiene como objetivo aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial al entorno. Más allá de eso, el grupo incluso implementa su propia aplicación web Java completa en las máquinas de las víctimas para cumplir sus órdenes mientras la máquina también ejecuta aplicaciones legítimas.

Elephant Beetle opera en un patrón sigiloso y bien organizado, realizando de manera eficiente cada fase de su plan de ataque una vez dentro de un entorno comprometido:

Durante la primera fase, que puede durar hasta un mes, el grupo se enfoca en desarrollar capacidades cibernéticas operativas dentro de la organización infectada . El grupo estudia el panorama digital y planta backdoors mientras personaliza sus herramientas para trabajar dentro de la red de la víctima.

En una segunda fase, el grupo pasa varios meses estudiando este entorno, enfocándose en la operación financiera e identificando cualquier falla. Durante esta etapa, observan el software y la infraestructura para comprender el proceso técnico de las transacciones financieras legítimas.

El grupo crea transacciones fraudulentas en el medio ambiente durante la tercera fase. Estas transacciones imitan el comportamiento legítimo y extraen cantidades incrementales de dinero de la víctima. Aunque la cantidad de dinero robado en una sola transacción puede parecer insignificante, el grupo acumula numerosas transacciones por lo que asciende a millones de dólares.

Si durante sus esfuerzos se descubre y bloquea cualquier actividad de robo, el grupo simplemente permanece oculto durante unos meses solo para regresar y apuntar a un sistema diferente.

Una vez que el servidor web se ha visto comprometido, el atacante utiliza un escáner Java personalizado que obtiene una lista de direcciones IP para un puerto específico o una interfaz HTTP.

Habiendo identificado posibles puntos de pivote del servidor interno, los actores usan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos en la red.

sygnia

Los investigadores de Sygnia han observado al grupo durante dos años y pueden confirmar que los actores de la amenaza explotan las siguientes fallas:

  • Inyección de lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486)
  • Explotación de deserialización SOAP de WebSphere Application Server (CVE-2015-7450)
  • Explotación de servlet de invocador de SAP NetWeaver (CVE-2010-5326)
  • Ejecución remota de código de SAP NetWeaver ConfigServlet (EDB-ID-24963)

Las cuatro vulnerabilidades anteriores permiten a los actores ejecutar código arbitrario de forma remota a través de un shell web ofuscado y especialmente diseñado.

 

RECOMENDACIONES:

‘Elephant Beetle’ usa variables de código y nombres de archivos en español, y la mayoría de las direcciones IP C2 que usan están basadas en México.

Además, el escáner de red escrito en Java se cargó a Virus Total desde Argentina, probablemente durante la fase inicial de desarrollo y prueba.

  • Mantener los parches de actualización al día.
  • Evite usar el procedimiento ‘xp_cmdshell’ y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de ‘xp_cmdshell’.
  • Supervise las implementaciones de WAR y valide que la funcionalidad de implementación de paquetes esté incluida en la política de registro de las aplicaciones relevantes.
  • Busque y supervise la presencia y creación de un archivo .class sospechoso en las carpetas temporales de las aplicaciones de WebSphere.
  • Supervise los procesos que fueron ejecutados por procesos de servicios primarios del servidor web (es decir, ‘w3wp.exe’, ‘tomcat6.exe’) o por procesos relacionados con la base de datos (es decir, ‘sqlservr.exe’).
  • Implemente y verifique la segregación entre la DMZ y los servidores internos.

 

HASHES:

  1. md5 d1337b9e8bac0ee285492b89f895cadb
  2. sha1 93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3
  3. sha256 b20f667c2539954744ddcb7f1d673c2a6dc0c4a934df45a3cca15a203a661c88
  4. sha256 b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917
  5. sha1 4bed038c66e7fdbbfb0365669923a73fbc9bb8f4
  6. sha256 9f5f3a9ce156213445d08d1a9ea99356d2136924dc28a8ceca6d528f9dbd718b
  7. md5 a92669ec8852230a10256ac23bbf4489
  8. md5 6a09bc6c19c4236c0bd8a01953371a29
  9. sha256 05732e84de58a3cc142535431b3aa04efbe034cc96e837f93c360a6387d8faad
  10. sha256 16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5
  11. sha256 674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd
  12. sha1 d1387f3c94464d81f1a64207315b13bf578fd10c
  13. md5 ac3b4ecacfaac834da24fa8dd380606c
  14. md5 4489e8cb847cccf4d2d87ee3372e8235
  15. md5 0b26021f37f01f00cc6cf880bd3d7f68
  16. md5 33c22962e43cef8627cbc63535f33fce
  17. md5 9e484e32505758a6d991c33652ad1b14
  18. md5 b130215dd140fa47d06f6e1d5ad8e941
  19. md5 f4b56e8b6c0710f1e8a18dc4f11a4edc
  20. sha1 16a71f2ffc1bb24b2862295072831b698ae38f3a
  21. sha1 2e309fa21194a069feb02ff0cd9cafe06d84f94d
  22. sha1 4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6
  23. sha1 72906cec6bc424f8a9db5ca28ece2d2d2200dba2
  24. sha256 61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf
  25. sha256 84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5
  26. md5 05355b74ca15b230e64a419c1f97e99e
  27. md5 089542d815fbb1bfd7ffc962131f82be
  28. md5 096d652310c3b248015242db427acded
  29. md5 0d7a08e7f58bfe020c59d739911ee519
  30. md5 0f14fad6fcadc250f1e8873da22143e2
  31. md5 154a6bfe1b651582f77341561fdc68a4
  32. md5 254d3286f92cdf2377b452231d03c0c0
  33. md5 274a9bf3f78bdfc3fbb63520b2c0a9bd
  34. md5 27c9e13c9d82935d1b199e2e0bbd262b
  35. md5 2b3211adfa73e2508e98a09a54fe9755
  36. md5 2dcb13e75e9b58b9546154e00a0b9665
  37. md5 37a6d23b84a9477888678060ed4a3ef8
  38. md5 4701909f47bba7b0eb33a3de944a9f04
  39. md5 481fff46383b00b534ef53fe87579435
  40. md5 4926d1b5d792793cccb46feaf17e72ae
  41. md5 4bed9c8d06a3ba7215c49f139ca0dd16
  42. md5 5045679706eb31a0989e49cce1dde5e0
  43. md5 562f0570530c7f7ddf844a7eb88a0d43
  44. md5 56cfcd709b5bea9f7eb49e959ee15a7e
  45. md5 572fdd23399eb5612c62a0906ad50c06
  46. md5 577e181ec1d59bccbf181391944d66e2
  47. md5 590852c116da7e63d806dc6843846f31
  48. md5 591d4df7a83856b49158dc8d34f16c3b
  49. md5 5b306430ed7f9db91c94ca6a9b065efe
  50. md5 5e83f542f729f7ae77982826e6bfaa0c
  51. md5 6251920d4f0d6e9c176790f0757d4761
  52. md5 6b7a67204c6369623e449d1c476e3273
  53. md5 6e0bd9113d86e8b0baca936fc508ae73
  54. md5 6f7a2c1d59fb896b42b8116fc1330fcc

Para más información ingresar al link.

Una familia de ransomware emergente que se autodenomina Avos Locker ha estado intensificando los ataques al mismo tiempo que realiza un esfuerzo significativo para deshabilitar los productos de seguridad de endpoints.

malware

Sophos Rapid Response descubrió que los atacantes habían iniciado sus computadoras de destino en modo seguro para ejecutar el ransomware, como lo habían hecho los operadores de las ahora desaparecidas familias de ransomware Snatch , REvil y BlackMatter.

La razón de esto es que muchos, si no la mayoría, de los productos de seguridad de endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y el software de terceros, y puede hacer que las máquinas protegidas no sean seguras.

Los atacantes de Avos Locker no solo reinician las máquinas en modo seguro para las etapas finales del ataque. También, modifican la configuración de inicio del modo seguro para poder instalar y usar la herramienta comercial de administración de TI AnyDesk mientras las computadoras con Windows aún se ejecutaban en modo seguro. 

Los atacantes también parecen haber aprovechado otra herramienta comercial de administración de TI conocida como PDQ Deploy para enviar scripts por lotes de Windows a las máquinas que planeaban atacar.

 

RECOMENDACIONES:

Trabajar en Modo seguro hace que proteger las computadoras sea aún más difícil, porque Microsoft no permite que las herramientas de seguridad de endpoints se ejecuten en Modo seguro.

Los productos de Sophos detectan, por comportamiento, el uso de varias claves de registro Run y ​​RunOnce para hacer cosas como por ejemplo reiniciar en modo seguro o ejecutar archivos después de un reinicio. 

  • Mantén el software actualizado y active las actualizaciones automáticas siempre que sea posible
  • Aplicar políticas de contraseñas seguras y autenticación multifactor (MFA)
  • Realice copias de seguridad y pruebe periódicamente su restauración.
  • Reduzca la superficie de ataque mediante la eliminación de servicios y software no utilizados o innecesarios
  • Mitigar los ataques de fuerza bruta.
  • Habilite la protección contra manipulaciones para evitar que los atacantes desinstalen su software de seguridad.

HASHES:

  1. MD5 e09183041930f37a38d0a776a63aa673
  2. MD5 27fc2796210dc3bfdede6a69ac8fa3dd
  3. MD5 825d6049ba8600ee5fefd817ac5444b4
  4. MD5 377676b06b8a28e60d638ab67df2bdb0
  5. MD5 40f2238875fcbd2a92cfefc4846a15a8
  6. MD5 b76d1d3d2d40366569da67620cf78a87
  7. SHA-1 05c63ce49129f768d31c4bdb62ef5fb53eb41b54
  8. SHA-1 b86ece05d5adbd421b0e50709ce95d25a79ea46e
  9. SHA-1 31c4dfbf7029c5ca8334042faaf906477be1ec17
  10. SHA-1 c8ef1f4a8cba7f04497a1b83011b4945d5274bbc
  11. SHA-1 06dce6a5df6ee0099602863a47e2cdeea4e34764
  12. SHA-1 ae23c0227afc973f11d6d08d898a6bb7516418e2
  13. SHA-256 7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1
  14. SHA-256 f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f
  15. SHA-256 c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02
  16. SHA-256 84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d
  17. SHA-256 6cc510a772d7718c95216eb56a84a96201241b264755f28875e685f06e95e1a2
  18. SHA-256 718810b8eeb682fc70df602d952c0c83e028c5a5bfa44c506756980caf2edebb

Ciberseguridad 2022: Tendencias y nuevos ciberataques

NextVision

0

La ciberseguridad se ha convertido en una de las mayores preocupaciones de las juntas directivas de las organizaciones. Debido a la pandemia ocasionada por el Covid-19, y a la acelerada transformación digital que trajo aparejada, nuevos riesgos y brechas de seguridad han surgido. 

El nuevo paradigma establecido por la actual normalidad de “teletrabajo” o “trabajo híbrido” ha ocasionado que todas las organizaciones deban desarrollar o establecer una postura defensiva en ciberseguridad para evitar o minimizar los ciberataques que pueda sufrir su organización.

 

¿Cuáles son algunas de las tendencias en ciberseguridad para este 2022?

 

1- Red/malla de ciberseguridad: una red de ciberseguridad permitirá desplegar las herramientas de ciberseguridad donde más se necesiten. 

Debido a la acelerada digitalización de los negocios, la ciberseguridad de las empresas necesita estar en constante transformación y adaptación a las nuevas tecnologías. Esto requiere soluciones de ciberseguridad flexibles y ágiles que permitan a la organización avanzar hacia el futuro de manera segura. 

 

2- Intensificación de las medidas de seguridad en las empresas: 

Debido al aumento de ataques, a las nuevas brechas de ciberseguridad a partir del traspaso de las oficinas a las casas, y a la cada vez más frecuente paralización de la actividad en las organizaciones por motivos de ciberseguridad, los directivos al mando de las organizaciones están desarrollando estrategias a través de expertos y especialistas en la materia. Esto produce que los controles de seguridad sean intensificados. La detección de los riesgos, su análisis y posterior estrategia de mitigación, mediante la incorporación de un servicio como NV Plan Director de Seguridad , incentivará a tu organización a llegar a una situación ideal de control de la ciberseguridad. 

 

3- Autenticación como medida de ciberseguridad: 

El teletrabajo o trabajo híbrido y la migración a aplicaciones en la nube han consolidado la tendencia en ciberseguridad actual de  autenticación y establecimiento de usuario y contraseña como medida principal de seguridad. La verificación de la identidad no es una medida nueva pero adquiere especial importancia  a partir de que los atacantes comienzan a apuntar con sus ataques a estos procesos y herramientas de acceso. El servicio de NV Awareness nos permite inculcar en los empleados de nuestra organización una concienciación y formación técnica en el cuidado de la información sensible y el uso de sus habituales herramientas digitales para evitar que caigan en este tipo de ciberfraudes. 

 

4- Las contraseñas inseguras son actualmente la principal brecha explotada en los ataques

Los ciberdelincuentes están atacando directamente las infraestructuras de identidad de las instituciones y organizaciones públicas/estatales para el robo de información sensible. La multi-verificación de identidad está creciendo como una solución a esta brecha de seguridad pero no debería ser la única medida a establecer.  Los factores de autenticación deben estar debidamente configurados, mantenidos y monitorizados para que sean totalmente efectivos. 

 

5- Análisis y gestión del ciberriesgo de terceras partes y proveedores:

La consolidación de la estrategia de seguridad en nuestros vendors es una pieza clave en el sistema de ciberseguridad de cualquier empresa. Cada vez se conocen más noticias de grandes empresas que han sido vulneradas a través de brechas de seguridad de sus vendors. Saber si las terceras partes que conforman nuestra cadena de valor son seguras es sumamente importante, ya que forman parte de nuestra superficie de ataque. Disponer de un servicio en tu organización como NV Vendor Risk Management, te permitirá automatizar procesos de manera segura con tus proveedores y gestionarlos eficientemente. Además, detectará brechas de seguridad en vuestras relaciones. 

 

6- La gestión de identidad de las máquinas

A medida que avanza la transformación digital, crece exponencialmente la incorporación de entidades artificiales que componen las aplicaciones modernas. Por lo tanto, la gestión de identidad de las máquinas se ha convertido en una parte crucial de las operaciones de ciberseguridad. 

Todas las aplicaciones modernas se componen de servicios que están conectados por API. Los atacantes pueden usar el acceso API de sus proveedores a datos sensibles. Las herramientas y técnicas para la administración de identidades de máquinas en toda la empresa aún están en pleno desarrollo. Sin embargo, una estrategia para administrar las identidades, los certificados y la información contenida en estas máquinas, permitirá que su organización asegure eficazmente su transformación digital.

 

7- Simulación de brechas y ataques: un método para validar el nivel de seguridad de las organizaciones. 

El continuo testeo y validación de los controles de seguridad ayudará a verificar el sistema de seguridad de una empresa frente a los potenciales ciberataques. Los ataques de ingeniería social como el phishing y el ransomware ponen en constante riesgo los datos e información sensible de las empresas por lo que deben ser un foco de constante verificación de los sistemas de ciberseguridad frente a ellos ya que los cibercriminales aprovechan que es más fácil vulnerar a las personas para obtener información de las empresas que intentando atacar los sistemas o tecnologías. Un servicio de Awareness con un programa único e integral que guía a la organización con estrategias que incluyan la educación y transformación de los hábitos de los empleados es fundamental para combatirlos.

 

8- Técnicas de privacidad y protección de datos en uso: 

Las técnicas informáticas que mejoran la privacidad y que protegen los datos mientras se utilizan, a diferencia de cuando están en reposo, permiten el procesamiento seguro de datos, el intercambio, las transferencias transfronterizas y el análisis, incluso en entornos no confiables.

Esta tecnología se está transformando rápidamente de la investigación académica a proyectos reales, lo que permite nuevas formas de uso compartido de datos e información sensible con un riesgo reducido de filtraciones.

 

Pero, ¿cuáles son exactamente estos ataques a los que nos enfrentamos?

 

Según FortiGuard Labs, en 2022 los ciberdelincuentes estarán más activos que nunca con los ataques ransomware.

Las  amenazas continuarán apuntando hacia toda la superficie de ataque de manera que los equipos de seguridad deberán luchar y asegurar todas las vías de entrada  posibles, especialmente a medida que estas mismas organizaciones hagan la transición a los entornos de trabajo híbridos, es decir, al teletrabajo.

 

Nuevos ataques:

 

  • Estrategias de planificación, desarrollo y armamentismo: se cree que los ciberatacantes dedicarán mayor esfuerzo al estudio, al reconocimiento y al descubrimiento de brechas de seguridad y nuevas herramientas mediante las cuales atacar. 
  • Nuevos vectores de ataque: Afectan a plataformas como Linux, que hasta ahora no habían sido un blanco de ataque principal para los ciberdelincuentes pero que han empezado a sufrir ciberataques como Vermilion Strike,que ataca con capacidades de acceso remoto sin ser detectado. 
  • Ataques dirigidos a sistemas de tecnología operativa (OT): debido a la convergencia de las redes IT y OT se han producido nuevos ataques dirigidos a estas a través de redes domésticas comprometidas y de los dispositivos de los trabajadores en remoto. Anteriormente se trataban de ataques llevados a cabo por ciberdelincuentes muy especializados pero  actualmente existen kits de ataque disponibles para utilizarlos en la web oscura. 
  • Nuevos ataques “Living off the hand”: se trata de ataques que no necesitan desarrollar archivos maliciosos desde cero. Por el contrario, aprovechan las puertas de entrada que ya existen en los sistemas informáticos a través de la infraestructura  de las organizaciones, accediendo a programas confiables, que no  despertarían ninguna sospecha, introduciendo en ellos códigos maliciosos. Este malware conseguirá eludir los sistemas de protección tradicional y luego robará sistemas, aplicaciones e información crítica mientras evita la detección.

 

En consideración de todas estas cuestiones, recomendamos  un enfoque holístico e integrado de los sistemas de ciberseguridad para protegerse ante esta nueva oleada de ataques. Es fundamental implementar una  estrategia unificada de  seguimiento en las organizaciones para proteger los datos, la información y las transacciones de principio a fin. 

Una administración centralizada de la ciberseguridad permitirá garantizar la aplicación de las políticas de seguridad, que las configuraciones y actualizaciones de los sistemas se lleven a cabo en los plazos establecidos y por último, que los eventos sospechosos que puedan surgir en cualquier parte de la red de la organización se detecten y recopilen de manera organizada y centralizada. 

Las ciberamenazas parecen estar en plena aceleración por lo que, si los sistemas y herramientas de ciberseguridad no están actualizados y listos para proteger a su organización de las próximas generaciones de amenazas que surgen constantemente, puede ser demasiado tarde para implementar una solución. 

 

Como hemos visto a lo largo de este artículo, en NextVision, un servicio de Awareness te permitirá una organización cibersegura y protegida mediante la educación de tus empleados en el uso de la tecnología y el cuidado de la información para evitar estos nuevos métodos de ciberataques; un servicio de VRM (Vendor Risk Management) ayudará a consolidar tu sistema de ciberseguridad mediante el control de tus proveedores/vendor y además, con tu servicio de Plan Director de Seguridad podrás desarrollar planes estratégicos de ciberseguridad creados en función de los objetivos de tu organización, que te permitan definir y priorizar los proyectos de seguridad a fin de anticipar y reducir los riesgos a los que tu empresa está expuesta. Para más información contacta con nosotros: info@nextvision.com

 

Fuentes: Gartner, Fortinet

Fraudes en la red: qué hacer y cómo evitarlos

NextVision

0

Hoy en día la sociedad invierte gran parte de su tiempo en el mundo online, no solo por ocio, trabajo y entretenimiento, sino que busca soluciones a problemas concretos en la red. Es por ello, que los delitos también se han adaptado a esta nueva actualidad. 

 

Los fraudes online más populares en 2021

Los fraudes, estafas o engaños por internet representan más del 80% de los ciberdelitos cometidos en 2021. Por esta razón, vamos a realizar un listado para detectar los fraudes online más comunes que usan los ciberdelincuentes para robar dinero y/o datos personales.  

 

  • Correos electrónicos o SMS que se hacen pasar por Correos y/u otras empresas de mensajería.

El comercio online ha aumentado, por ello, los estafadores han aprovechado este incremento de tráfico para la sustracción de datos haciéndose pasar por entidades de envío.

 

 

  •  Falsos emails de la Agencia Tributaria y otros organismos oficiales.

¡Cuidado con este tipo de emails! Suelen vincular una página web falsa para que introduzcas tu información personal. Asegúrate de que son páginas y correos oficiales.

 

 

  • Códigos falsos de verificación de WhatsApp.

En este tipo de fraude el estafador busca configurar en su teléfono cuentas de WhatsApp ajenas. Es recomendable no proporcionar códigos de confirmación a números desconocidos.

 

 

  • Comunicados falsos sobre el Covid.

Los estafadores aprovechan la angustia de la población para difundir links o enlaces a páginas web fraudulentas y de este modo robar o sustraer datos personales. Para informarse sobre la vacunación y la actualidad de la pandemia, es recomendable visitar webs oficiales.

 

 

  • Confirmaciones de compra de plataformas e-commerce.

Puedes encontrar emails sobre confirmación de pedido y/o incluso emails donde aseguran que ha habido problemas o intentos de inicio con tu cuenta de Amazon, Mercado Libre. ¡Evítalos! Revisa directamente el estado de tu cuenta desde la web o App oficial.

 

 

  • Phishing de bancos y servicios de pago.

Correos electrónicos donde se hacen pasar por bancos o servicios de pagos como PayPal. Para evitar este tipo de fraudes, accede a tu cuenta bancaria siempre siempre desde la aplicación o página web oficial.

 

 

  • Robo de cuentas en Instagram y/u otras RRSS.

Correos electrónicos donde los ciberdelincuentes declaran que tu cuenta de Instagram y/u otras RRSS va a ser eliminada, ha sido denunciada o ha habido un intento de sustracción. Encontraríamos un enlace a una web que simula la RRSS para dejar nuestros datos personales.

 

 

  • Estafas con criptomonedas.

Anuncios fraudulentos donde se ofrecen servicios de inversión de monedas.

.

 

  • Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus).

Correos electrónicos fraudulentos para acceder a tus cuentas de plataformas de streaming. Simulan ser páginas oficiales para acceder a los datos personales.

 

 

  • Cupones de descuento de grandes empresas.

Cupones, sorteos, códigos de descuento… todo desde correos electrónicos o SMS que redirigen a una página web fraudulenta. Para confirmar estos sorteos o códigos, es conveniente dirigirse a la página oficial.

 

 

Tips y consejos generales para evitar este tipo de estafas

Como hemos podido comprobar, existen numerosas formas de cometer estafas online y es posible que sin darnos cuenta, hayamos caído en su trampa. ¿Cómo debemos reaccionar en el caso de que estemos afectados en uno de estos ciberdelitos?

Si has proporcionado tu número de teléfono en alguno de estos engaños o descargado alguna app, es conveniente vigilar la factura de teléfono y ver que todo está en orden. En numerosas ocasiones, te suscriben a servicios SMS premium.

La mayoría de estas estafas se hacen de manera involuntaria, para prevenir este tipo de situaciones lo ideal es ponerse en contacto con la compañía de telefónica, para desactivar la opción de suscribirse a servicios SMS premium.

De la misma manera, si has proporcionado sin ser consciente tu datos de cuenta bancaria en una página web fraudulenta, vigila los cargos posteriores y ponte en contacto con tu entidad bancaria. Es recomendable prevenir solicitando una nueva tarjeta y dar de baja la actual.

 

¿Qué podemos hacer para evitar estos ciberdelitos?

Principalmente, como usuario o empresa, debes evitar dar tu información personal en una llamada o mensaje no solicitado.

En el caso de realizar transferencias de dinero, procura enviar a alguien que conoces personalmente y en el caso de ser una gran suma, realizarlo de forma fraccionada

Del mismo modo, es conveniente usar servicios confiables que ofrecen protecciones de seguridad.

En el caso de pago a proveedores habituales, también estate atento a cualquier correo que pueda aparentar ser de dicho proveedor solicitando un cambio en el pago del servicio. Dicho proveedor pudo haber sido hackeado para cometer fraudes a terceros.

 

 

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones de fraude cibernético. Así mismo, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar de manera particular y empresarial y fomentar la construcción de una cultura cibersegura.

Los ataques ransomware crecieron más de 700% durante el 2021

NextVision

0

Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.

También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.

 

Los valores del Ataque de Ransomware

Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.

El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.

El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.

El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.

La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.

«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.

 

La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.

 

Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.

«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.

Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.

Desde el punto de vista de Kaspersky, los ataques de ransomware «Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan». Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo: «Causan y seguirán causando más trastornos que antes».

Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.

El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.

Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.

Ingeniería Social: qué es y cómo actuar ante estos ataques

NextVision

0

La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse. 

¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo y personal de los usuarios:

En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque. 

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.

  • Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo. 
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado. 

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador. 

Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización. 

¿Qué podemos hacer para prevenir estos ciberataques?

Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook
  • Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red. 

 

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

 

Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!

Buenas prácticas y consejos para protegerse del ramsomware

NextVision

0

El ransomware, también conocido como el malware de rescate lleva años siendo una de las amenazas más importantes para la seguridad de las empresas,  y continúa aumentando, utilizando técnicas que son cada vez más sofisticadas y específicas. Los líderes en seguridad y gestión de riesgos deben mirar más allá de los endpoints para ayudar a proteger a la organización del ransomware.

El ransomware continúa representando un riesgo significativo para las organizaciones.

Los ataques recientes han evolucionado: desde los ataques de propagación automática, como Wannacry y NotPetya a ejemplos más específicos, que atacan a una organización, en lugar de a puntos finales individuales. Las campañas de ransomware recientes, como REvil y Ryuk, se han convertido en “ransomware operado por humanos” , donde el ataque está bajo el control de un operador, en lugar de propagarse automáticamente. Estos ataques a menudo se aprovechan de debilidades de seguridad conocidas para obtener acceso. 

Según Gartner, en 2025 al menos el 75% de las organizaciones de TI se enfrentarán a uno o más ataques. Los investigadores documentaron un aumento dramático en los ataques de ransomware durante el año 2020 y esta cifra apunta a siete veces o mayores tasas de crecimiento. Las implicaciones de un ataque de ransomware pueden ser desde económicas, con costes de hasta 730.000 dólares de media a nivel mundial, hasta reputacionales y operacionales ( pérdida de datos, periodos largos de inactividad, archivos sensibles comprometidos…) para la compañía que lo sufre.

El avance de la tecnología y la modalidad reciente del teletrabajo está generando que cada vez los ataques sean mucho más inteligentes, sofisticados y por ende peligrosos. Por ello, es de suma importancia tener a disposición las soluciones y servicios necesarios para poder hacer frente a las ciberamenazas. 

Sugerimos a las organizaciones y líderes de ciberseguridad:

  • Prepararse para los ataques de ransomware construyendo una estrategia de preparación previa al incidente , que incluye respaldo, administración de activos y la restricción de privilegios de usuario.
  • Implementar medidas de detección mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.
  • Desarrollar y contar con servicios de respuesta a incidentes, con profesionales experimentados y programar simulacros regulares.

Desde NextVision con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo, recursos y know how,  contamos con NV CIBERDEFENSA una propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos. 

Nuestros expertos los acompañarán con consultoría especializada, servicios gestionados y tecnologías líderes en el mercado, que les permitirá tener visibilidad de la superficie de ataque así como predecir, prevenir, detectar a tiempo y responder inmediatamente en caso sea necesario.

Recomendaciones de nuestros expertos: 

Para administradores:

1. Mantener actualizados sus productos de seguridad.

2. Asegurarse de que sus endpoints estén bien protegidos.

3.Adoptar políticas de grupo con políticas de GPO.Comprobar regularmente las exclusiones.

4. Configurar Informes diarios y revisarlos periódicamente.

5. Contar con una protección de endpoints que incluya:

-Detección y Respuesta ante amenazas avanzadas (EDR)

-Protección ante amenazas desconocidas de día cero (Zero Day)

-Detección de comportamiento

-Protección de exploits

-Prevención de Intrusiones de Host (HIPS)

-Nube de inteligencia de amenazas

-Rollback de acciones maliciosas ante posible ataque de Ransomware

Para CISOs:

1. Implemente protección en capas, ante el considerable aumento de las extorsiones y ataques, utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible a través de tu entorno.

2. Combine expertos y tecnología anti-ransomware. Es clave disponer de una defensa en profundidad que integretecnología dedicada anti-ransomware y gestión a cargo de especialistas.

3. Implemente un proceso de gestión de vulnerabilidades basado en riesgos que incluya inteligencia de amenazas. El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral.

4. La conciencia de seguridad para los usuarios también es esencial…Eduque constantemente a los empleados para construir una cultura cibersegura en la organización.

5. Cuente con una estrategia o servicio de manejo de incidentes. Siempre hay que estar preparados.

6. Si su organización se infecta, no pague el rescate.

7. Cuente con un buen proceso y estrategia de copia de seguridad, es la principal línea de defensa contra el ransomware.

¡Contacta ya con nosotros y déjate asesorar por un equipo de consultores!