blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

Ingeniería Social: qué es y cómo actuar ante estos ataques

NextVision

0

La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse. 

¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo y personal de los usuarios:

En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque. 

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.

  • Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo. 
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado. 

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador. 

Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización. 

¿Qué podemos hacer para prevenir estos ciberataques?

Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook
  • Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red. 

 

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

 

Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!

Buenas prácticas y consejos para protegerse del ramsomware

NextVision

0

El ransomware, también conocido como el malware de rescate lleva años siendo una de las amenazas más importantes para la seguridad de las empresas,  y continúa aumentando, utilizando técnicas que son cada vez más sofisticadas y específicas. Los líderes en seguridad y gestión de riesgos deben mirar más allá de los endpoints para ayudar a proteger a la organización del ransomware.

El ransomware continúa representando un riesgo significativo para las organizaciones.

Los ataques recientes han evolucionado: desde los ataques de propagación automática, como Wannacry y NotPetya a ejemplos más específicos, que atacan a una organización, en lugar de a puntos finales individuales. Las campañas de ransomware recientes, como REvil y Ryuk, se han convertido en “ransomware operado por humanos” , donde el ataque está bajo el control de un operador, en lugar de propagarse automáticamente. Estos ataques a menudo se aprovechan de debilidades de seguridad conocidas para obtener acceso. 

Según Gartner, en 2025 al menos el 75% de las organizaciones de TI se enfrentarán a uno o más ataques. Los investigadores documentaron un aumento dramático en los ataques de ransomware durante el año 2020 y esta cifra apunta a siete veces o mayores tasas de crecimiento. Las implicaciones de un ataque de ransomware pueden ser desde económicas, con costes de hasta 730.000 dólares de media a nivel mundial, hasta reputacionales y operacionales ( pérdida de datos, periodos largos de inactividad, archivos sensibles comprometidos…) para la compañía que lo sufre.

El avance de la tecnología y la modalidad reciente del teletrabajo está generando que cada vez los ataques sean mucho más inteligentes, sofisticados y por ende peligrosos. Por ello, es de suma importancia tener a disposición las soluciones y servicios necesarios para poder hacer frente a las ciberamenazas. 

Sugerimos a las organizaciones y líderes de ciberseguridad:

  • Prepararse para los ataques de ransomware construyendo una estrategia de preparación previa al incidente , que incluye respaldo, administración de activos y la restricción de privilegios de usuario.
  • Implementar medidas de detección mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.
  • Desarrollar y contar con servicios de respuesta a incidentes, con profesionales experimentados y programar simulacros regulares.

Desde NextVision con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo, recursos y know how,  contamos con NV CIBERDEFENSA una propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos. 

Nuestros expertos los acompañarán con consultoría especializada, servicios gestionados y tecnologías líderes en el mercado, que les permitirá tener visibilidad de la superficie de ataque así como predecir, prevenir, detectar a tiempo y responder inmediatamente en caso sea necesario.

Recomendaciones de nuestros expertos: 

Para administradores:

1. Mantener actualizados sus productos de seguridad.

2. Asegurarse de que sus endpoints estén bien protegidos.

3.Adoptar políticas de grupo con políticas de GPO.Comprobar regularmente las exclusiones.

4. Configurar Informes diarios y revisarlos periódicamente.

5. Contar con una protección de endpoints que incluya:

-Detección y Respuesta ante amenazas avanzadas (EDR)

-Protección ante amenazas desconocidas de día cero (Zero Day)

-Detección de comportamiento

-Protección de exploits

-Prevención de Intrusiones de Host (HIPS)

-Nube de inteligencia de amenazas

-Rollback de acciones maliciosas ante posible ataque de Ransomware

Para CISOs:

1. Implemente protección en capas, ante el considerable aumento de las extorsiones y ataques, utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible a través de tu entorno.

2. Combine expertos y tecnología anti-ransomware. Es clave disponer de una defensa en profundidad que integretecnología dedicada anti-ransomware y gestión a cargo de especialistas.

3. Implemente un proceso de gestión de vulnerabilidades basado en riesgos que incluya inteligencia de amenazas. El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral.

4. La conciencia de seguridad para los usuarios también es esencial…Eduque constantemente a los empleados para construir una cultura cibersegura en la organización.

5. Cuente con una estrategia o servicio de manejo de incidentes. Siempre hay que estar preparados.

6. Si su organización se infecta, no pague el rescate.

7. Cuente con un buen proceso y estrategia de copia de seguridad, es la principal línea de defensa contra el ransomware.

¡Contacta ya con nosotros y déjate asesorar por un equipo de consultores!

España y Argentina entre los países del mundo cuyas empresas más ciberataques sufren

NextVision

0

La llegada del Covid-19 ha ocasionado un estallido de ataques y extorsiones a través de la red. La transformación digital global desde el inicio de la pandemia y a lo largo de todo el 2020 ha derivado en un incremento evidente de los ciberataques con un aumento a final de año del 102% respecto a los primeros meses del 2020. El inicio del 2021 también ha estado marcado por un incremento exponencial de la ciberdelincuencia con datos recogidos que reflejan más de 1.000 organizaciones afectadas desde abril representando un 7% más que durante el primer trimestre del año. 

¿Cuál es el objetivo principal de estos ataques a empresas?

Los ciberataques causan un estado de alarma global pero por el contrario a lo esperable, las organizaciones no toman las suficientes medidas para protegerse y prevenirlos. Este tipo de ataques incluyen acciones como envíos de correos electrónicos con mensajes que impliquen una respuesta rápida ya sea para ganar un premio o para prevenir una consecuencia negativa. En otras ocasiones, los engaños van dirigidos a los usuarios con el objetivo de extraer sus datos bancarios personales mediante mensajes que comunican el bloqueo de la cuenta si no se procede a compartir información personal para “verificar una cuenta” o “actualizar la contraseña”. 

Por otro lado, cualquier organización puede sufrir graves consecuencias en su actividad a raíz de los ataques de ransomware sufridos por las empresas que integran la cadena de suministros. En este aspecto, se ha observado que más del 40% de familias de ransomware han evolucionado con fin de lograr la filtración de datos e información como parte de su proceso de ataque mejorando así su capacidad de extorsión.

¿Cuánto pagan las empresas a los ciberdelincuentes para rescatar su información?

En la mayoría de los casos, la solución más común pasa por el pago de rescates a cambio de recuperar el control de la organización. Esto ocurre principalmente en las medianas y pequeñas empresas ya que lo habitual es que no posean sistemas específicos de ciberseguridad al no considerarse a sí mismas un blanco de ataque. Por otra parte, de manera global la cantidad promedio de los rescates en las empresas más grandes ha aumentado un 171% en este último año llegando a rozar los 250.000 euros. Por el contrario, aquellas más de 1.000 empresas que tomaron la decisión de no pagar a los ciberdelincuentes, sufrieron filtraciones de información durante el 2020.

Dentro del continente europeo, España muestra cifras críticas aumentando el número de intentos de estos tipos de ciberataques respecto al pasado año del 160%, cifra que supera a países como Alemania (145%) y Reino Unido (80%). Junto con España, Argentina está entre los países que han sufrido un mayor aumento en el número de ataques de ransomware. Para profundizar en estos datos, la Ciudad de Buenos Aires experimentó un incremento en las denuncias por ataques de phishing recibiendo en el 2020 más de 190 consultas por este tipo de incidencias y 41 nuevos casos de ransomware fueron informados, ambos han supuesto un aumento del 143% y 173% respectivamente en relación con el año anterior. 

Nuestros servicios ofrecen soluciones tanto para pymes como grandes empresas: 

Como podemos comprobar, los ciberdelincuentes están aprovechando la falta de previsión y astucia de las empresas en cuestión de ciberseguridad y las atacan constantemente, no sólo a ellas sino a todo el entorno que las rodea e interactúa con ellas. 

Desde NextVision, creemos que actualmente es fundamental que las corporaciones desarrollen una cultura de la ciberseguridad implementando un programa único, integral y continuo centrado en las personas como el que llevamos a cabo a través de nuestro área de NV Awareness, y que tengan en consideración para protegerse en la red a todas las partes involucradas en su actividad empresarial, es decir, toda su superficie de ataque que incluye a clientes hasta su cadena de suministros.

Además, dada la importancia de contar con proveedores que no sean el eslabón débil de la ciberseguridad de nuestra organización, en NextVision hemos diseñado nuestro servicio NV Vendor Risk Management. Mediante este servicio, evaluamos la postura de ciberseguridad de proveedores mediante SecurityScorecard, la que provee una calificación o rating gracias a un profundo análisis de toda la huella digital de la empresa evaluada. 

 

Podemos concluir que, si diseñamos una estrategia sólida, con procesos y tecnologías bien implementados, una formación en ciberseguridad adecuada de los usuarios y un control eficaz de la cadena de suministros, el 97% de los ciberataques podrían tanto prevenirse como detectarse a tiempo.

 

Fuente: Departamento de Tecnología de NextVision.

 

 

Control y gestión de las superficies de ataque, un desafío impostergable

NextVision

0

Debido a todos los distintos actores que forman parte del ecosistema digital en el que vivimos, la superficie de ataque ha crecido de manera exponencial en los últimos años. Algunos de estos actores son: hardwares, aplicaciones, endpoints, bases de datos, documentos, DNSs y las terceras partes.

A causa de esta amplitud de participantes en la superficie digital, es difícil disponer de información actualizada para hacer frente a las amenazas, nuevas y antiguas. La nueva normalidad ocasionada por la pandemia ha generado una mayor dependencia a la tecnología, facilitando con la enorme cantidad de nuevos usuarios la explotación de las vulnerabilidades a los ciberatacantes. 

Los desafíos más importantes a los que nos enfrentamos son:

  • Iniciativas digitales sin planificación previa aumentando el impacto y frecuencia de los ciberataques.
  • Complejidad en la gestión de la cadena de suministros debido a los numerosos vendors. 
  • Crecimiento de la superficie de ataque como consecuencia a la alta cantidad de datos y dispositivos a monitorizar.
  • Interrupción en la continuidad del negocio a causa del aumento de ciberataques.
  • Limitación de presupuestos de IT y seguridad provocado por la desaceleración económica. 

Las empresas que poseen una visibilidad completa de su superficie de ataque incluyendo a la cadena de suministros son aquellas que mejor protegidas están frente a los ataques. 

Por otro lado, las organizaciones que planean trasladar sus datos compartimentados al interior del perímetro de la nube necesitan de liderazgo técnico así como de seguridad y requieren para que este cambio se desarrolle eficazmente la automatización para poder conseguir una correcta visibilidad de dicha superficie de ataque. 

Qué debe incluir un sistema adecuado de evaluación y monitorización:

Disponer de un sistema adecuado de evaluación y monitorización de terceras partes facilitará el conocimiento de los riesgos y por ende mejorará su gestión. Este sistema debe incluir: la identificación y priorización de activos expuestos a internet, la definición de umbrales de seguridad en forma de ratings que permitan monitorizar la salud del ecosistema de la red y el Threat Intelligence, una herramienta que proporciona información acerca del escenario de amenazas. 

Como hemos mencionado previamente, la automatización y la agilidad en los procesos son esenciales. Para conseguirlo, desde NextVision proponemos las siguientes recomendaciones: 

1.Implementación de herramientas para el análisis de riesgos: mecanismos que simplifiquen el estudio de las amenazas potenciales y permitan comunicar esta información a los stakeholders mediante un lenguaje más comprensible. Un ejemplo sería el de SecurityScorecard que informan con grados que van de la A a la F el nivel de riesgo potencial de una manera objetiva y posibilitando la unificación de los criterios de evaluación.

2. Optimización de los equipos de seguridad: gracias a herramientas de automatización de alertas y acciones a eventos de seguridad. 

3. Evaluación continua de la seguridad: mediante el empleo de herramientas de rating que monitoricen nuestra situación y la de los vendors. 

Funciones e importancia de las herramientas de rating o scoring:

Las herramientas de rating o scoring proporcionan una visibilidad 360º de la huella digital del ecosistema al que nuestra organización pertenece y establecen un lenguaje comprensible para especialistas y para el management general del negocio permitiendo establecer una comunicación estrecha con los proveedores o vendors a quienes evaluaremos y monitorizaremos bajo estos mismos estándares posibilitando también a su vez la creación de planes de acción conjuntos. Esta monitorización agilizará la gestión y comunicación entre áreas. Para lograrlo, recomiendo integrar herramientas de scoring transparentes a nuestro dashboard de seguridad.

Recientemente, la calificadora de riesgo Fitch utilizando la plataforma de scoring SecurityScorecard, ha publicado un trabajo donde relaciona el nivel de calificación de entidades crediticias con su performance en ratings de ciberseguridad. Aunque los grandes bancos suelen tener mejores calificaciones de riesgo crediticio, no pensemos que el tamaño de las compañías son un predictor de ciberhigiene. Aquellas que no lo abordan apropiadamente, sufren brechas que afectan su operatividad y calificación de riesgo.

Finalmente, podemos señalar como conclusión, la importancia fundamental de desarrollar una visibilidad continua de la superficie de ataque que concierne tanto a nuestra organización como a las terceras partes. Independientemente de la dimensión de la empresa y de su presupuesto en seguridad, únicamente aquellas compañías que saben analizar los riesgos y por ende el riesgo de la ciberseguridad de manera integral manifiestan una mejor postura en este ámbito de la ciberprotección. 

¿Quieres profundizar más acerca del  importante papel que juega la ciberseguridad en la transformación digital?

Te invitamos a acceder a la revista completa Revista del Foro de la Ciberseguridad de ISMS Forum.

 

Día Mundial de las contraseñas: ¿cuidamos nuestra identidad digital?

NextVision

0

Sabemos que las contraseñas son las llaves de nuestro mundo digital. Sin embargo, aún no somos tan conscientes de la importancia de protegerlas. 

En 2020 la empresa NordPass realizó una investigación de cuáles fueron las contraseñas más utilizadas del año y qué tan seguras fueron. Los resultados no sorprenden, pero síi son alarmantes. En el análisis de una base de datos que contenía 275.699.516  contraseñas en total, se comprobó que sólo 122.894.788 eran claves únicas, lo que supone tan solo el 44% del total. Esto nos muestra qué tan fácil es para ciberdelincuentes acceder a nuestra información sin tener que utilizar ningún tipo de herramienta de hacking. Las siguientes son las 20 principales contraseñas que nunca tendrías que usar:

 

  • 123456
  • 123456789
  • picture1
  • password
  • 12345678
  • 111111
  • 123123
  • 12345
  • 1234567890
  • senha (significa “contraseña” en portugués)
  • 1234567
  • qwerty
  • abc123
  • Million2
  • 000000
  • 1234
  • iloveyou
  • aaron431
  • password1
  • qqww1122

 

Pese a las recomendaciones y consejos que las empresas de ciberseguridad brindamos, podemos observar que los usuarios siguen empleando contraseñas simples, tras comparar la lista de las contraseñas más comunes de 2020 con la misma lista de 2019.

Por ejemplo, la contraseña que encabezaba la lista en 2020 era la segunda en 2019, y la segunda de 2020 fue la tercera en 2019. Solo menos de la mitad (78, para ser exactos) de las contraseñas eran nuevas en la lista de las 200 contraseñas más populares de 2020. En líneas generales,  los usuarios siguen usando contraseñas fáciles de adivinar por ciberdelincuentes, incluyendo sus propios nombres, equipos deportivos/ comidas favoritas, etcétera.

Si sos víctima de un robo de credenciales, no sólo podrías perder datos, información, tu cuenta y hasta dinero, también tu cuenta podría ser utilizada para realizar ataques de phishing a tu lugar de trabajo, familia y amig@s.

Qué te aconsejamos desde NV para utilizar contraseñas seguras y evitar el robo de las mismas:

  • Actualiza todas tus contraseñas y cámbialas por contraseñas complejas únicas para proteger tus cuentas. Siempre deben tener al menos ocho caracteres, deben ser alfanuméricas, con una mezcla de mayúsculas-minúsculas y con caracteres especiales. 
  • Usa la verificación en dos pasos siempre que sea posible. Ya se trate de una aplicación, de datos biométricos o de una llave de seguridad de hardware, tus cuentas estarán mucho más seguras si añades esa capa extra de protección.
  • Asegúrate de revisar todas tus cuentas regularmente en busca de actividad sospechosa. Si notas algo inusual, cambia tu contraseña de inmediato.
  • No repitas/compartas contraseña entre cuentas. Lamentablemente este es un hábito muy común. El grave problema de esto es que, si alguien logra acceder a una de nuestras cuentas, y tenemos esa misma contraseña en otras, al acceder a una pueden acceder a todas. 
  • Configura un gestor de contraseñas. Es una gran herramienta para generar y almacenar contraseñas robustas. Nosotros recomendamos el uso de Bitwarden. 

 

En NextVision hemos desarrollado  NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas. 

El camino hacia una gestión del Riesgo de Terceras Partes

NextVision

0

Hoy en día, ninguna organización puede realizar su trabajo y operar sin la colaboración de terceras partes, bien sean estos proveedores, consultores, socios, en general colaboradores de cualquier índole. Y aquí es precisamente dónde debemos poner especial atención. Por eso, ¿has valorado alguna vez el riesgo al que te pueden exponer estos terceros y cómo elaborar un programa eficaz de prevención? Te los contamos en este artículo redactado por nuestro director de NextVision: Roberto Heker, para nuestros compañeros de ISMS Forum.

Efectivamente, las empresas u organismos públicos y privados funcionan gracias a un cierto grado de dependencia en los servicios que se externalizan. La decisión de contratar los servicios se puede deber a diversas razones, pero conceptualmente esto se suele hacer para mejorar la eficiencia y/o coste de determinadas actividades que por sus características son susceptibles de ser subcontratadas. Esta situación de subcontratación o externalización no significa que la responsabilidad sobre los riesgos a los que están expuestas dichas actividades se transfieran de igual manera, la responsabilidad sobre los mismos sigue estando en la empresa, y en particular hablando de riesgos de seguridad de la información, la responsabilidad sobre los datos y sistemas gestionados por un tercero sigue siendo absolutamente nuestra.

La transformación digital ha acelerado la integración con proveedores, generando un desafío muy importante, ya que nos encontramos frente a potenciales brechas en organizaciones que no gestionamos pero que pueden, sin embargo, causarnos un impacto negativo como consecuencia de un incidente. Según Gartner más del 55% de los presupuestos de TI se los llevan los servicios y tecnologías contratados a terceras partes. No obstante, no parece ser que las organizaciones estén invirtiendo en la misma proporción en la gestión de los potenciales riesgos provenientes de los suministradores de servicios.

Y no debemos olvidar a los reguladores. Como es sabido, cada vez más están considerando a los terceros como un factor determinante en el ciberriesgo. Podríamos decir, sin temor a equivocarnos, que todas las regulaciones del ámbito de la seguridad de la información incluyen la gestión de riesgos de terceras partes como un requisito a cumplir por las entidades reguladas, de igual manera que ya lo venían haciendo los distintos estándares, guías, recomendaciones y marcos de control.

La cuestión, entonces, es dilucidar cómo instrumentar un programa eficaz de gestión de terceras partes. Y no es un desafío menor, dado que uno de los factores más relevantes es que las organizaciones aún no tienen un proceso coherente para identificar, monitorizar, y analizar los múltiples riesgos provenientes de terceros.

Efectivamente, encontramos que no hay un proceso de análisis para diferenciar los distintos niveles de riesgo entre proveedores de diferentes servicios, los que tienen diferente criticidad y potencial impacto sobre nuestra organización. En consecuencia, deberíamos determinar en primer lugar el riesgo inherente del servicio a contratar. Incluso es conveniente hacerlo antes de haberse lanzado el proceso de búsqueda de proveedores. Esto nos permitirá segmentar los distintos servicios, con criterios del estilo:

  • Sin acceso a datos y sistemas.
  • Con acceso a datos no sensibles.
  • Servicios importantes con accesos a los sistemas.
  • Servicios críticos para el negocio que pueden ocasionar su disrupción. 
  • Otros.

Cuando analizamos el servicio en el que involucraremos terceras partes (incluyendo a filiales de nuestra propia organización) debemos estipular qué tipo de daño podrían ocasionarnos, por ejemplo:

  • Filtración de Información Propietaria.
  • Información financiera de clientes.
  • Datos de carácter personal.
  • Información estratégica.
  • Otros datos.

Y entonces debemos pensar en las potenciales consecuencias para la organización: 

  • Daño reputacional.
  • Impacto económico o financiero.
  • Penalizaciones de los reguladores.
  • Interrupción del negocio.
  •  Otras

En función de todos estos factores podremos determinar los servicios que tienen mayor impacto en la ciberseguridad de nuestra organización y qué presupuesto se asignará a evaluar a los proveedores de cada una de las prestaciones, según su criticidad.

Una vez identificados los factores críticos y su relación con las terceras partes, podemos comenzar a evaluar los riesgos asociados a éstas. Actualmente, cuando se evalúan proveedores, en muchos casos se ejecuta de forma periódica (anual, semestral, cuatrimestral.) y en consecuencia la información obtenida queda rápidamente desactualizada. Sabemos muy bien que, en el ecosistema de nuestras terceras partes, al igual que en el nuestro, surgen continuamente nuevas amenazas y vulnerabilidades, así como cambios en su postura de seguridad. Si no realizamos análisis continuos no podremos nunca mantener actualizada nuestra valoración del riesgo asociado a estos terceros. De hecho, la mayoría de las veces no podremos enterarnos de un incidente hasta que el proveedor decide alertarnos o se ha hecho público y en ese intervalo, un ciberataque proveniente de dicho incidente podría haberse materializado en nuestra organización. Por el contrario, disponiendo de información adecuada, monitorizando a los proveedores críticos y evaluando en proporción a la criticidad del servicio prestado, tendremos la oportunidad de reaccionar y mitigar a tiempo potenciales incidentes.

Ante este escenario, consideramos que la monitorización continua es un proceso que debe incorporarse en la gestión del riesgo de terceros. De hecho, según diversas encuestas, es sabido que la mayoría de las grandes organizaciones carecen de un proceso que permita obtener información en tiempo real sobre problemas o incidentes críticos en nuestras terceras partes.

Yendo un paso más allá, disponer de procesos y recursos dedicados al Vendor Risk Management ha de ser el objetivo a cubrir por cualquier organización de un determinado tamaño. Y durante este proceso pueda evaluarse el impacto que tiene el servicio y el proveedor en la ciberseguridad.

A lo largo del camino hacia un modelo más maduro de gestión de proveedores, podemos incorporar medidas adicionales, tales como el diseño de los controles, métodos de reporting y monitorización de procesos específicos. Incluso, deberíamos exigir a nuestras terceras partes que hicieran esto mismo con sus propias subcontratas. Estos son potencialmente sujetos de los mismos riesgos.

A partir de este punto, establecer el proceso de seguimiento y colaboración con nuestros proveedores, definir KPIs, y pactar con ellos qué información deben suministrar. Y acordar cómo será la cooperación mutua durante el proceso de mitigación de riesgos o remediación de una eventual brecha. Asimismo, esta cooperación les pueda facilitar a nuestros proveedores la monitorización de las subcontratas o cuartas partes. 

Dentro de los procesos comentados, la utilización de plataformas va a facilitarnos una gestión mucho más óptima del riesgo de terceros. Podemos puntualizar como recomendable que el servicio disponga de:

  • Monitorización continua de proveedores con una plataforma de Scoring, potente y continuamente actualizada, con baja tasa de falsos positivos.
  • Segmentación por servicios, riesgo, grupos a los proveedores.
  • Evaluación del cumplimiento de las normativas.
  • Emisión de alertas ante brechas o amenazas emergentes.
  • Integración de los terceros para facilitarles su proceso de mejora.
  • Disposición de cuestionarios para agilizar el proceso de due diligence , permitiendo a nuestra organización el envío, gestión y revisión de cuestionarios a gran escala.
  • Integración entre scoring y cuestionarios, que permita utilizar la información de la huella digital del vendor como evidencia de que su respuesta a los cuestionarios es o no coherente con las vulnerabilidades detectadas.
  • Cibervigilancia de terceras partes que permita identificar potenciales amenazas contra estos o incluso incidentes no reportados.

Concluyendo, la criticidad de las terceras partes y su impacto en el ciberriesgo ya es un hecho que no puede soslayarse. Debemos coordinar acciones, procesos e implementar plataformas que nos lleven a disponer de un programa maduro de Gestión de Riesgos de Terceras Partes.

Roberto_3

Autor:
Roberto Heker
Director NextVision

Ciberataque Ransomware en despachos profesionales: pautas para protegernos

NextVision

0

En la sociedad hiperconectada en la que vivimos, se producen ciberataques todos los días. Varios de ellos son graves y pueden acabar con la infraestructura digital de una empresa. Es el caso del ataque de Ransomware que sufrieron multitud de despachos profesionales hace dos semanas en Lleida, España.

 

En dicho ciberataque se encriptaron valiosos datos de gestorías, asesorías y otras empresas. Es decir, se secuestraron miles de archivos de dichos negocios gracias a un ciberataque a Esofitec, distribuidora leridana de servidores cloud.

 

¿Qué significa esto? Que el ataque fue perpetrado a un proveedor de servidores, y trajo como consecuencia la afectación de cientos de clientes que hacen uso de ellos para el almacenamiento de información crítica. Hoy en día, son cada vez más crecientes los ciberataques que sufren las organizaciones a través de brechas de seguridad de sus terceras partes.

 

A pesar de que la empresa ya se ha puesto manos a la obra para recuperar los datos, los hackers responsables de este ciberataque han pedido una cuantiosa recompensa por devolverlos. Las empresas afectadas se han empezado a organizar para comenzar el proceso legal por los perjuicios sufridos.

 

¿En qué consiste un ciberataque Ransomware?

Un ransomware es un ciberataque cuyo objetivo es el de “secuestrar” un dispositivo. Es decir, el ciberdelincuente bloquea el acceso al dispositivo a su legítimo dueño, y pide un rescate por reestablecer dicho acceso.

 

Este tipo de ciberataques no son una novedad. De hecho, hace unos meses hablábamos del ransomware Sodinokibi, que tuvo un impacto global, aunque no afectó a servicios críticos. Y, como expertos, hemos desarrollado una guía ransomware que puedes descargarte para profundizar más en esta materia.

 

Lo que ha llamado mucho la atención del caso de Esofitec es que ha sido un ciberataque dentro de la nube. Ha sido un ataque enfocado en pymes y solo posible a través de una brecha en una tercera parte, en este caso el proveedor de servidores. Este tipo de incidentes ponen de relieve la necesidad de realizar un análisis de riesgos sobre el impacto que puede provocar también un tercero.

 

Desde hace años se utilizan los servidores cloud en multitud de empresas precisamente como una forma de evitar ataques a dispositivos físicos. Sin embargo, a principios del año pasado ya empezaban a salir a la luz investigaciones que mostraban una mayor sofisticación de este malware. Y también un nuevo objetivo: la nube. Atacar la nube significa una oportunidad de llegar a más víctimas.

 

¿Cómo protegernos de un ransomware?

El caso de leida ha dado mucho que hablar por las graves consecuencias que ha tenido. No obstante, noticias así nos hacen revisar y replantear la seguridad de nuestros archivos.

Hay algunas acciones que podemos llevar a cabo para estar preparados ante un ataque ransomware, incluso si se produce en la nube.

1.   Concienciación respecto a correos sospechosos

El principal medio por el que se producen este tipo de ataques es el correo electrónico. Lo primero es que todo el mundo tenga esta información para que se puedan prevenir los ataques. Monitorizar correos sospechosos y no ejecutar archivos contenidos en esos correos son acciones básicas que todo usuario ha de considerar.

2.   Copias de seguridad

Tener varios backups de datos siempre es una buena manera de estar prevenidos. Estas copias han de ser ubicadas en servidores distintos (incluyendo servidores locales para no depender enteramente de la nube), tener incorporadas distintos métodos de autenticación y en distintas localizaciones. Si el ataque se produce en uno de los servidores, podemos seguir accediendo a  los datos en las copias de seguridad.

3.   Autenticación en dos pasos

En cuanto a los métodos de autenticación, es más seguro usar aquellos que necesitan de dos pasos. Es decir, que no solo dependan de una contraseña para poder acceder a los datos. Mensajes SMS, métodos biométricos, aplicaciones específicas, etc.

4.   Protocolo de respuesta

La concienciación sobre este tipo de ataques no solo pasa por un conocimiento general. Las empresas que dependan de una infraestructura digital necesitan tener un protocolo específico para este tipo de situaciones. Un protocolo dedicado a detectar, paliar y compensar de alguna manera el ataque, si es que este no se puede evitar finalmente.

 

Hay una sofisticación de los ciberataques según evolucionan también los procesos de seguridad informática. Es importante que las empresas se mantengan al día con este tipo de noticias para poder actualizar sus protocolos de respuesta; y también que gestionen los riesgos a partir de una definición y priorización de proyectos. Incluyendo en estas consideraciones la monitorización de proveedores, pues, como hemos visto, pueden ser una fuente de brechas de seguridad.

 

Para alinear estas prioridades con las inversiones y con los objetivos estratégicos de las empresas, en NextVision ofrecemos un servicio de consultoría de Plan Director diseñado para cubrir estas necesidades. Por otra parte, ya que multitud de empresas no cuentan con un CISO (Chief Information Security Officer) dentro de su estructura, también contamos con el servicio de CISO as a service. Y por supuesto que es importante contar con una buena gestión del ciberriesgo de terceras partes. En este sentido, podemos colaborar con nuestro servicio NV Vendor Risk Management.

 

Contáctanos para saber más sobre estos servicios a medida y sobre cómo podemos ayudarte en la seguridad digital de tu empresa.

Los 10 Proyectos Principales de Seguridad de Gartner para 2021

NextVision

0

Según Gartner, la prioridad de los proyectos para este nuevo año debe estar definida por dos indicadores clave: el valor comercial que otorgarán y cómo ayudarán a reducir el ciberriesgo de la organización.

Los 10 principales proyectos de seguridad de este año, basados ​​en los pronósticos de Gartner y ajustados por el impacto de COVID-19, incluyen ocho nuevos proyectos, centrados principalmente en la gestión de riesgos y la comprensión de las fallas de procesos. Estos proyectos, que no se enumeran en orden de importancia, se pueden ejecutar de forma independiente.

Número 1: Asegurar su fuerza laboral remota
Concéntrese en los requisitos comerciales y comprenda cómo los usuarios y los grupos acceden a los datos y las aplicaciones. Ahora que han pasado unos meses desde el envío remoto inicial, es hora de realizar una evaluación de las necesidades y una revisión de lo que ha cambiado para determinar si los niveles de acceso son correctos y si alguna medida de seguridad realmente está impidiendo el trabajo.

Desde NV, elaboramos un Ebook para proteger el teletrabajo.

Número 2: Gestión de vulnerabilidades basada en riesgos
No intente arreglarlo todo; centrarse en las vulnerabilidades que son realmente explotables. Vaya más allá de una evaluación masiva de amenazas y utilice la inteligencia de amenazas, la actividad del atacante y la criticidad de los activos internos para proporcionar una mejor visión del riesgo organizacional real.

Podés conocer más acerca de Gestión de Vulnerabilidades, aquí.

Número 3: Detección y respuesta extendidas (XDR)
XDR es una plataforma unificada de seguridad y respuesta a incidentes que recopila y correlaciona datos de múltiples componentes patentados. La integración a nivel de plataforma se produce en el punto de implementación en lugar de agregarse más tarde. Esto consolida varios productos de seguridad en uno y puede ayudar a proporcionar mejores resultados generales de seguridad. Las organizaciones deben considerar el uso de esta tecnología para simplificar y optimizar la seguridad.

Número 4: Gestión de la postura de seguridad en la nube
Las organizaciones deben garantizar controles comunes en IaaS y PaaS, así como también admitir evaluaciones y remediaciones automatizadas. Las aplicaciones en la nube son extremadamente dinámicas y necesitan un estilo de seguridad DevSecOps automatizado. Puede resultar complicado proteger la nube pública sin un medio para garantizar la uniformidad de las políticas en todos los enfoques de seguridad de la nube.

Conocé más sobre Seguridad en la Nube.

Número 5: Simplifique los controles de acceso a la nube
Los controles de acceso a la nube generalmente se realizan a través de un CASB. Ofrecen cumplimiento en tiempo real a través de un proxy en línea que puede proporcionar cumplimiento de políticas y bloqueo activo. Los CASB también ofrecen flexibilidad, por ejemplo, comenzando en modo de monitoreo para garantizar mejor la fidelidad del tráfico y comprender el acceso de seguridad.

Conocé más sobre Seguridad en la Nube.

Número 6: DMARC
Las organizaciones utilizan el correo electrónico como la única fuente de verificación y los usuarios luchan por determinar los mensajes reales de las falsificaciones. DMARC, o autenticación, informes y conformidad de mensajes basados ​​en dominio, es una política de autenticación de correo electrónico. DMARC no es una solución total para la seguridad del correo electrónico y debería ser una pieza de un enfoque de seguridad integral. Sin embargo, puede ofrecer una capa adicional de confianza y verificación con el dominio del remitente. DMARC puede ayudar con la suplantación de dominio, pero no abordará todos los problemas de seguridad del correo electrónico.

Número 7: Autenticación sin contraseña
Si bien es posible que los empleados no lo piensen dos veces antes de usar la misma contraseña para su computadora de trabajo que para el correo electrónico personal, puede causar grandes problemas de seguridad. La autenticación sin contraseña, que puede funcionar funcionalmente de diferentes formas, ofrece una mejor solución para la seguridad. El objetivo debe ser aumentar la confianza y mejorar la experiencia del usuario.

También es importante concientizar a los empleados de la organización. Conoce como podes hacerlo aquí.

¿Quieres saber todo acerca de SPD? Haz clic acá

Número 8: Clasificación y protección de datos
No todos los datos son iguales. Un enfoque de seguridad único para todos creará áreas de demasiada seguridad y otras de muy poca, aumentando el riesgo para la organización. Comience con políticas y definiciones para hacer el proceso correcto antes de comenzar a incorporar las tecnologías de seguridad.

¿Quieres saber más sobre clasificación y protección de datos?

Número 9: Evaluación de competencias de la fuerza laboral
Instale a las personas adecuadas con las habilidades adecuadas en los roles adecuados. Es fundamental, pero desafiante, combinar habilidades técnicas sólidas con una experiencia de liderazgo más suave. No hay candidatos perfectos, pero puede identificar cinco o seis competencias imprescindibles para cada proyecto. Evalúe las competencias de diversas formas, incluidas las ciberesimulaciones y ciberesimulaciones y evaluaciones de habilidades más suaves.

Conoce más sobre simulaciones aquí.

Número 10: Automatización de evaluaciones de riesgos de seguridad
Esta es una forma de ayudar a los equipos de seguridad a comprender los riesgos relacionados con las operaciones de seguridad, los nuevos proyectos o el riesgo a nivel de programa. La evaluación de riesgos tiende a omitirse por completo o se hace de forma limitada. Estas evaluaciones permitirán una automatización limitada del riesgo y una visibilidad de dónde existen brechas de riesgo.

Conoce sobre gestión de riesgos aquí. También conoce como te puede afectar el riesgo de terceras partes aquí.

Fuente: https://www.gartner.com/smarterwithgartner/gartner-top-security-projects-for-2020-2021/

#Egregor ataca: Alerta de Seguridad

NextVision

0

¿Qué ocurrió?

Importante grupo de empresas de Retail habría sido afectado por una variante del Ransomware Egregor. Los sistemas de algunas tiendas del conglomerado del retail en la región de Valparaíso (Chile) y según se indica en redes sociales, también en el resto del país e incluso en Argentina fueron afectados. Al parecer las notas de rescate se imprimieron en varios supermercados de la cadena alrededor de las 20 hs del día viernes.

Resumen

Egregor, una escisión del Ransom Sekhmet, ha estado activo desde mediados de septiembre de este año, y en este tiempo, ha estado vinculado a presuntos ataques contra organizaciones como GEFCO, Barnes & Noble y a las empresas de videojuegos Crytek y Ubisoft.

Egregor también se ha asociado con el modelo Ransomware-as-a-Service (RaaS), en el que los clientes pueden suscribirse para acceder al malware. Egregor mantiene al menos un dominio .onion y dos dominios web tradicionales,  este utiliza una variedad de técnicas anti-ofuscación y empaquetamiento del payload para evitar su análisis. Se considera que la funcionalidad del ransomware es similar a la de Sekhmet. “En una de las etapas de ejecución, la carga útil de Egregor solo se puede descifrar si se proporciona la clave correcta a través de la línea de comando, lo que significa que el archivo no se puede analizar, ya sea manualmente o usando una sandbox”.

El ransomware Egregor suele ser distribuido por los delincuentes después de una violación de la red corporativa. La muestra de malware es un archivo DLL que debe iniciarse con la contraseña correcta proporcionada como argumento de línea de comando. La DLL generalmente se descarga de Internet. En ocasiones, los dominios utilizados para difundirlo explotan nombres o palabras utilizadas en la industria de la víctima.

Egregor es probablemente la familia de ransomware más agresiva en términos de negociación con las víctimas. Solo da 72 hs para contactar al actor de la amenaza. De lo contrario, los datos de la víctima se procesan para su publicación. El pago del ransomware se negocia y acuerda a través de un chat especial asignado a cada víctima y el pago se recibe en BTC.

Impacto

 Según muestras de notas de rescate, una vez que una víctima ha sido infectada y sus archivos cifrados, los operadores exigen que establezcan contacto a través de Tor o un sitio web dedicado para organizar el pago. Además, la nota amenaza con que si no se paga un rescate en tres días, los datos robados se harán públicos.  

Soluciones

Por ahora se está recomendando bloquear las siguientes IP relacionadas al ataque a la empresa de retail:

C&C

  • 185.82.126.8

IPs

  • 185.238.0[.]233
  • 45.153.242[.]129
  • 91.199. 212[.]52
  • 217.8.117[.]147

Dominios principales

www.egregor[eliminado].*

egregor[eliminado]*.onion

*egregor.top

sekhmet*.*

Otros dominios

  • ozcsgqmpjwromp[.]com
  • wsjlbbqemr23[.]com
  • xjkwkzdyfcabhr[.]com
  • fvkmmwlzvsqdod[.]com
  • dmvbdfblevxvx[.]com
  • tczzzlwpss[.]com
  • txvzmlfzlklhtf[.]com
  • xtngmptkcqk[.]biz
  • ihvxmjmdvbn[.]biz
  • qukqkdcjriz[.]ws
  • mtafdrvjmif[.]com
  • kcijbcqvdfv[.]org
  • tnlttlmxuhc[.]com
  • txmxffytum[.]biz
  • vjzwvzjmoc[.]com
  • ktmjqztagkm[.]org
  • saalzvhzgkk[.]cc
  • bvhtxgzwob[.]cc
  • vrfgwwcesy[.]org
  • uozwtmgpogg[.]info
  • qammsjskgkm[.]cc
  • jfbmnpxgpi[.]ws
  • hvwvrxpinnv[.]cn
  • mshrgnslzmqobm[.]com
  • twcdkhmttfeipv[.]com

Soporte

Contá con NextVIsion !

Si tenés contrato de soporte activo , envianos un mail a:

soporte@nextvision.com

Caso contrario podes contactar a nuestro equipo comercial a info@nextvision.com

Alerta de Seguridad | Vulnerabilidad descubierta en Fortinet

NextVision

0

Alerta 2 de octubre de 2020

¿De qué se trata la vulnerabilidad?

Algunas versiones de FortiOS son potencialmente vulnerables a un desbordamiento del buffer overflow.

Resumen

Una vulnerabilidad de desbordamiento de búfer basada en un alto número de procesamiento de mensajes del Protocolo de control de enlace en FortiOS puede permitir que un atacante remoto con credenciales VPN SSL válidas bloquee el demonio VPN SSL enviando un paquete LCP grande, cuando el modo túnel está habilitado. La ejecución de código arbitrario puede ser teóricamente posible, aunque prácticamente muy difícil de lograr en este contexto.

Impacto

Negación de servicio

Productos afectados

Versiones de FortiOS 5.6.12 y anteriores.

Versiones de FortiOS 6.0.10 y anteriores.

Versiones de FortiOS 6.2.4 y anteriores.

Versiones de FortiOS 6.4.1 y anteriores.

¿Cómo solucionamos el problema?

 Para versiones 6.0: Actualice a la versión 6.0.11 o superior de FortiOS.

 Para versiones 6.2: Actualice a la versión 6.2.5 o superior de FortiOS.

 Para versiones 6.4: Actualice a la versión 6.4.2 o superior de FortiOS.

 Workaround: Desactive el modo de túnel.

Soporte

Contá con nosotros!

Comunicate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitás actualizar tus equipos Fortinet.  

Si tenés contrato de soporte, envianos un mail a soporte@nextvision.com.

Caso contrario podes contactar a nuestro equipo comercial a info@nextvision.com