blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
noviembre 17, 2021

CVE: Vulnerabilidades y Fallas de Seguridad

CVE: vulnerabilidades noviembre

NextVision

0

CVE: Vulnerabilidades de noviembre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 16/09

• ACTUALIZACIÓN: 29/11

• RESUMEN: La vulnerabilidad contiene una uri-path de solicitud manipulada que puede hacer que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el usuario remoto.

• PRODUCTO AFECTADO: Apache HTTP Server, version 2.4.48 y versiones anteriores

• CAUSAS: Falsificación de solicitudes del lado del servidor. Elevación de privilegios.

• CONSECUENCIAS: Un atacante podría forzar al módulo mod_proxy (si está habilitado) a dirigir las conexiones a un servidor de origen que hayan elegido y hacer que parezca que el servidor está enviando la solicitud, posiblemente saltándose los controles de acceso como los cortafuegos que impiden a los atacantes acceder a las URLs directamente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Apache recomienda actualizar a la versión 2.4.49.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 25/08

• ACTUALIZACIÓN: 29/11

• RESUMEN: Esta vulnerabilidad permite a los atacantes locales escalar los privilegios en las instalaciones afectadas de Kaspersky Password Manager. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• PRODUCTO AFECTADO: Kaspersky Password Manager para Windows anterior a 9.0.2 Patch R.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios de integridad media y ejecutar código en el contexto del usuario actual con integridad alta.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Kaspersky ha solucionado dicha vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad se encuentra dentro del instalador del producto. El problema se debe a los permisos incorrectos configurados en una carpeta. El atacante puede hacer uso de dicha vulnerabilidad para elevar privilegios y ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Adobe Creative Cloud 5.5 y versión anterior.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante local podría elevar privilegios en el instalador de Adobe Creative Cloud. El atacante debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar dicha vulnerabilidad.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Adobe recomienda realizar las actualizaciónes correspondientes en su sitio web.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 12/11

• RESUMEN: Esta vulnerabilidad existe dentro del servicio de Windows Installer. Si se llegara a explotar se podría abusar del servicio para eliminar un archivo o directorio pudiendo ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Windows 7, 8.1, 10, 11.
Windows Server 2008, 2012, 2019, 2022

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría escalar privilegios en las versiones afectadas de Mirosoft Windows mediante la ejecución de código con pocos privilegios en el sistema destino.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft lo solucionó lanzando el parche en el Patch Tuesday.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.2

• CVES RELACIONADOS: CVE-2021-34415; CVE-2021-34416

• FECHA DIVULGACIÓN: 30/09

• ACTUALIZACIÓN: 22/11

• RESUMEN: Esta vulnerabilidad no valida la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en la imagen local por un administrador del portal web.

• PRODUCTO AFECTADO: Controlador de conector de reunión local de Zoom antes de la versión 4.6.348.20201217
Zoom MMR de Meeting Connector en las instalaciones antes de la versión 4.6.348.20201217
Conector de grabación local de Zoom antes de la versión 3.8.42.20200905
Zoom del conector de sala virtual en las instalaciones antes de la versión 4.4.6620.20201110
Balanceador de carga del conector de sala virtual en las instalaciones de Zoom antes de la versión 2.5.5495.20210326

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario en el servidor a través de privilegios de usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Bajo


• MITIGACIÓN: El fabricante recomienda actualizar a la última versión disponible que corrige esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 6.8

• CVES RELACIONADOS: CVE-2021-0158; CVE-2021-0157

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad permite al hardware la activación de la lógica de prueba o depuración en tiempo de ejecución para algunos procesadores Intel, esto permite que un usuario no autenticado pueda elevar privilegios a través del acceso físico.

• PRODUCTO AFECTADO: Intel CPU

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar un exploit para extraer la clave de cifrado de los dispositivos y obtener acceso a la información.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Intel recomienda que los usuarios de los procesadores Intel afectados se actualicen a la última versión proporcionada por el fabricante del sistema que resuelve estos problemas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/11

• ACTUALIZACIÓN: 17/11

• RESUMEN: La vulnerabilidad existe dentro del servicio UPnP, que escucha en el puerto TCP 5000 de forma predeterminada.
Al analizar el encabezado de la solicitud uuid, el proceso no valida correctamente la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija.

• PRODUCTO AFECTADO: NETGEAR versión R6400v2 1.0.4.106_10.0.80

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante adyacente a la red podría ejecutar código arbitrario en los dispositivos afectados. No se requiere autenticación para dicha explotación.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: NETGEAR publico correcciones para la vulnerabilidad y recomienda realizar la actualización.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 3/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: Esta vulnerabilidad existe por la debilidad en un subsistema SSH, una función desconocida del componente Key-based SSH Authentication Handler es afectada.

• PRODUCTO AFECTADO: Cisco Policy Suite con versiones anteriores a la 21.2.0.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: El atacante podría hacer uso de esta vulnerabilidad si logra conectarse a un dispositivo afectado a través de SSH. Con la creación de un exploit podría iniciar sesión remota sin autenticarse en un sistema con usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Cisco recomienda actualizar a la última versión lanzada teniendo en cuenta que si las versiones anteriores de Cisco Policy Suite se actualizan a la versión 21.2.0, las claves SSH predeterminadas aún deben cambiarse manualmente.
Por otra parte, las claves SSH predeterminadas deben cambiarse.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad de ejecución de código remoto (RCE) se produce, ya que existe un falla de una validación incorrecta en los argumentos command-let (cmdlet)

• PRODUCTO AFECTADO: Microsoft Exchange Server Exchange 2016 y 2019

• CAUSAS: Remote Code Execution (RCE)

• CONSECUENCIAS: Un atacante remoto y autenticado podría tomar el control total de Exchange Server mediante el envío de paquetes malintencionados al servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/10

• ACTUALIZACIÓN: 10/10

• RESUMEN: Se ha descubierto que, mediante la omisión de funciones de seguridad, los atacantes pueden instalar código malicioso para engañar a los usuarios al abrir un archivo de Excel.

• PRODUCTO AFECTADO: Microsoft Office 365 Apps para empresas / 2013 RT SP1 / 2013 SP1 / 2016/2019 / LTSC hasta 2021

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código si la victima abre un archivo malicioso especialmente diseñado y de esta forma escalar privilegios.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsft recomienda actualizar los parches disponibles a la fecha.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 10

• CVES RELACIONADOS: CVE-2021-22204

• FECHA DIVULGACIÓN: 23/04

• ACTUALIZACIÓN: 1/11

• RESUMEN: Se ha descubierto un problema en GitLab CE/ EE que afecta a todas las versiones a partir de la 11.9.
GitLab no estaba validando correctamente los archivos de imagen que se pasaron a un analizador de archivos, lo que resultó en la ejecución de comando remoto.
Esta vulnerabilidad se publicó el 14 de abril del 2021 y se categorizó con un CVSS 9,9, pero en la ultima revisión se aumentó a 10.0.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de la 11.9.

• CAUSAS: Invalidación de archivos de imagen que lleva a realizar un RCE.

• CONSECUENCIAS: Un atacante remoto podría ejecutar comandos arbitrarios como gitusuario debido al mal manejo de ExifTool de los archivos DjVu. El atacante, para explotar esta vulnerabilidad, no necesita una Autenticación, CSRF token o un endpoint HTTP válido.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: GitLab recomienda actualizar las versiones disponibles y se agregó una validación adicional.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 7/09

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad ManageEngine ADSelfService Plus es una solución de autoservicio de administración de contraseñas e inicio de sesión único para Active Directory y aplicaciones en la nube.
La misma se podría aprovechar para tomar el control de un sistema. Una campaña china de ciberespionaje recientemente fue descubierta explotando la vulnerabilidad de Zoho.

• PRODUCTO AFECTADO: ADSelfService Plus builds up to 6113

• CAUSAS: Ejecución de código remoto (RCE) y path traversal.

• CONSECUENCIAS: El atacante puede cargar un archivo .zip que contiene un Java Server Pages (JSP) WebShell hace pasar por un certificado X509: service.cer. Luego, se realizan solicitudes a diferentes puntos de la API para explotar aún más el sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar y restablecer contraseñas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 2/11

• ACTUALIZACIÓN: 06/11

• RESUMEN: La vulnerabilidad cuenta con un problema en net/tipc/crypto.c dentro del kernel de Linux en las versiones anteriores de 5.14.16.
La funcion Transparent Inter-Process Communication (TIPC) permite que un usuario malintencionado remoto se aproveche de la invalidación de los tamaños que proporciona el usuario para el tipo de mensaje MSG_CRYPTO.

• PRODUCTO AFECTADO: Linux Kernel hasta 5.14.15

• CAUSAS:Desbordamiento de memoria.

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario dentro del kernel, comprometiendo en su totalidad el sistema afectado ya que existe una falta de comprobación para el campo keylen del mensaje MSG_CRPPTO.
Esto causaría un desbordamiento de memoria y la escritura fuera del límite asignado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar a la versión 5.14.16, la cuál elimina esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de Actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 11/11

• RESUMEN: Esta vulenerabilidad de corrupción de memoria afecta al firewall de PAN que utiliza GlobalProtect portal VPN. Los investigadores de Randori crearon un exploit que es capaz de obtener shell en el objetivo y acceder a datos de configuración y robar credenciales.

• PRODUCTO AFECTADO: Palo Alto PAN-OS versiones posteriores a 8.1.17.

• CAUSAS: Buffer Overflow. Ejecución remota de código sin autenticación.

• CONSECUENCIAS: Un atacante no autenticado en la red podría generar interrupción y ejecutar código arbitrario con privilegios root y moverse lateralmente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Paloalto recomienda aplicar los parches lanzados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
noviembre 9, 2021

CVE: Vulnerabilidades y Fallas de Seguridad

CVE vulnerabilidades

NextVision

0

CVE: Vulnerabilidades de octubre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2021-37975, CVE-2021-37976

• FECHA DIVULGACIÓN: 1/10

• ACTUALIZACIÓN: 15/10

• RESUMEN: Una función desconocida del componente Safe Browsing es afectada por estas vulnerabilidades. Mediante la manipulación de un input se causa la vulnerabilidad de clase de desbordamiento de búfer.

• PRODUCTO AFECTADO: Navegador Google Chrome en Windows, MacOS y Linux

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante que explote con éxito esta vulnerabilidad puede causar daños en la memoria (Use After Free) en IV8 a través de una página HTML diseñada que podría ejecutar de forma remota código arbitrario y obtener el control total del sistema.
Por otra parte, el atacante también podría aprovechar una implementación inapropiada en la memoria para obtener de forma remota información confidencial de la memoria del proceso a través de una página HTML maliciosamente diseñada.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Google recomienda actualizar a la version estable 94.0.4606.71

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualizaciones.
• GRAVEDAD: 7.3

• CVES RELACIONADOS: CVE-2021-42013, CVE-2021-41524

• FECHA DIVULGACIÓN: 5/10

• ACTUALIZACIÓN: 11/10

• RESUMEN: Si los archivos, fuera de la raíz del documento, no están protegidos por "REQUIRE ALL DENIED", estas solicitudes pueden tener éxito. La vulnerabilidad también podría permitir a los atacantes filtrar la fuente de archivos interpretados como scripts CGI.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Servidor HTTP Apache versión 2.4.49

• CAUSAS: Path Traversal

• CONSECUENCIAS: Un atacante que explote con éxito la vulnerabilidad puede asignar una URL a archivos fuera de la raíz del documento pudiendo leer archivos arbitrarios del servidor web.
Por otra parte, se podría crear solicitudes especiales que causen problemas de DoS en el servidor web explotando con éxito el CVE-2021-41524.
Asimismo, si el atacante logra cargar archivos diseñados especialmente en el servidor HTTP Apache, podría obtener privilegios de administrador por completo dentro del servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a Apache HTTP Server versión 4.51

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2021-40450, CVE-2021-41357

• FECHA DIVULGACIÓN: 12/10

• ACTUALIZACIÓN: 19/10

• RESUMEN: Esta vulnerabilidad es de tipo use-after-free y se encuentra en el controlador Win32k y la misma puede ser explotada con una técnica para filtrar las direcciones base de los módulos del kernel.
A su vez, se parchea un total de 74 vulnerabilidades, que se sanitizan con la actualización de cada martes, llamada Patch Tuesday. Del total de vulnerabilidades, CVE-2021- 40449 es la que cuenta con mayor impacto.

• PRODUCTO AFECTADO: Microsoft Windows 7/ 8.1/ 10 /11 x64 x86 arm64, Windows Server 2008/ 2012/ 2016 /2019

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría explotar dicha vulnerabilidad mediante la escalación de privilegio y lanzar un troyano de acceso remoto, como MysterySnail, el cual les daría acceso al sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: La empresa recomienda actualizar los productos afectados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: 16/10

• RESUMEN: Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios de root.

• PRODUCTO AFECTADO: Software Cisco IOS XE SD-WAN

• CAUSAS: La vulnerabilidad se debe a una validación de entrada insuficiente por parte de la CLI del sistema.

• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviar una entrada diseñada a la CLI del sistema. Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: No existen soluciones alternativas que aborden esta vulnerabilidad.

• REFERENCIAS:
- Publicación en página del proveedor.
• GRAVEDAD: 7.1

• CVES RELACIONADOS: CVE-2018-20250, CVE-2018-20253

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: N/A

• RESUMEN: Esta vulnerabilidad se observa en un error de JavaScript generado por MSHTML. Al terminar el periodo de prueba, WinRAR da aviso al usuario a través de una notificación "notifier.rarlab [.] com”, que al interceptarse y modificarse se podría hacer uso para realizar una ejecución de código.

• PRODUCTO AFECTADO: WinRAR version 5.70

• CAUSAS: Ejecución de código remoto a través de un error por MSHTML.

• CONSECUENCIAS: Un atacante podría realizar una ejecución remota de código con archivos RAR en las versiones anteriores a la 5.7. Esto se puede llevar a cabo a través de un exploit conocido, como lo es el CVE-2018-20250. Si un atacante ya cuenta con el acceso al mismo dominio de red mediante esta vulnerabilidad también se podría realizar un ataque de suplantación de identidad, ARP Spoofing.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a la versión más reciente que el fabricante ha liberado.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
octubre 26, 2021

Los ataques ransomware crecieron más de 700% durante el 2021

Ataques Ransomware

NextVision

0

Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.

También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.

 

Los valores del Ataque de Ransomware

Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.

El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.

El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.

El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.

La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.

«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.

 

La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.

 

Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.

«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.

Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.

Desde el punto de vista de Kaspersky, los ataques de ransomware «Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan». Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo: «Causan y seguirán causando más trastornos que antes».

Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.

El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.

Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.

octubre 20, 2021

Ingeniería Social: qué es y cómo actuar ante estos ataques

NextVision

0

La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse. 

¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo y personal de los usuarios:

En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque. 

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.

  • Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo. 
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado. 

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador. 

Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización. 

¿Qué podemos hacer para prevenir estos ciberataques?

Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook
  • Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red. 

 

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

 

Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!

agosto 19, 2021

Buenas prácticas y consejos para protegerse del ramsomware

NextVision

0

El ransomware, también conocido como el malware de rescate lleva años siendo una de las amenazas más importantes para la seguridad de las empresas,  y continúa aumentando, utilizando técnicas que son cada vez más sofisticadas y específicas. Los líderes en seguridad y gestión de riesgos deben mirar más allá de los endpoints para ayudar a proteger a la organización del ransomware.

El ransomware continúa representando un riesgo significativo para las organizaciones.

Los ataques recientes han evolucionado: desde los ataques de propagación automática, como Wannacry y NotPetya a ejemplos más específicos, que atacan a una organización, en lugar de a puntos finales individuales. Las campañas de ransomware recientes, como REvil y Ryuk, se han convertido en «ransomware operado por humanos» , donde el ataque está bajo el control de un operador, en lugar de propagarse automáticamente. Estos ataques a menudo se aprovechan de debilidades de seguridad conocidas para obtener acceso. 

Según Gartner, en 2025 al menos el 75% de las organizaciones de TI se enfrentarán a uno o más ataques. Los investigadores documentaron un aumento dramático en los ataques de ransomware durante el año 2020 y esta cifra apunta a siete veces o mayores tasas de crecimiento. Las implicaciones de un ataque de ransomware pueden ser desde económicas, con costes de hasta 730.000 dólares de media a nivel mundial, hasta reputacionales y operacionales ( pérdida de datos, periodos largos de inactividad, archivos sensibles comprometidos…) para la compañía que lo sufre.

El avance de la tecnología y la modalidad reciente del teletrabajo está generando que cada vez los ataques sean mucho más inteligentes, sofisticados y por ende peligrosos. Por ello, es de suma importancia tener a disposición las soluciones y servicios necesarios para poder hacer frente a las ciberamenazas. 

Sugerimos a las organizaciones y líderes de ciberseguridad:

  • Prepararse para los ataques de ransomware construyendo una estrategia de preparación previa al incidente , que incluye respaldo, administración de activos y la restricción de privilegios de usuario.
  • Implementar medidas de detección mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.
  • Desarrollar y contar con servicios de respuesta a incidentes, con profesionales experimentados y programar simulacros regulares.

Desde NextVision con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo, recursos y know how,  contamos con NV CIBERDEFENSA una propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos. 

Nuestros expertos los acompañarán con consultoría especializada, servicios gestionados y tecnologías líderes en el mercado, que les permitirá tener visibilidad de la superficie de ataque así como predecir, prevenir, detectar a tiempo y responder inmediatamente en caso sea necesario.

Recomendaciones de nuestros expertos: 

Para administradores:

1. Mantener actualizados sus productos de seguridad.

2. Asegurarse de que sus endpoints estén bien protegidos.

3.Adoptar políticas de grupo con políticas de GPO.Comprobar regularmente las exclusiones.

4. Configurar Informes diarios y revisarlos periódicamente.

5. Contar con una protección de endpoints que incluya:

-Detección y Respuesta ante amenazas avanzadas (EDR)

-Protección ante amenazas desconocidas de día cero (Zero Day)

-Detección de comportamiento

-Protección de exploits

-Prevención de Intrusiones de Host (HIPS)

-Nube de inteligencia de amenazas

-Rollback de acciones maliciosas ante posible ataque de Ransomware

Para CISOs:

1. Implemente protección en capas, ante el considerable aumento de las extorsiones y ataques, utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible a través de tu entorno.

2. Combine expertos y tecnología anti-ransomware. Es clave disponer de una defensa en profundidad que integretecnología dedicada anti-ransomware y gestión a cargo de especialistas.

3. Implemente un proceso de gestión de vulnerabilidades basado en riesgos que incluya inteligencia de amenazas. El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral.

4. La conciencia de seguridad para los usuarios también es esencial…Eduque constantemente a los empleados para construir una cultura cibersegura en la organización.

5. Cuente con una estrategia o servicio de manejo de incidentes. Siempre hay que estar preparados.

6. Si su organización se infecta, no pague el rescate.

7. Cuente con un buen proceso y estrategia de copia de seguridad, es la principal línea de defensa contra el ransomware.

¡Contacta ya con nosotros y déjate asesorar por un equipo de consultores!

junio 9, 2021

Control y gestión de las superficies de ataque, un desafío impostergable

NextVision

0

Debido a todos los distintos actores que forman parte del ecosistema digital en el que vivimos, la superficie de ataque ha crecido de manera exponencial en los últimos años. Algunos de estos actores son: hardwares, aplicaciones, endpoints, bases de datos, documentos, DNSs y las terceras partes.

A causa de esta amplitud de participantes en la superficie digital, es difícil disponer de información actualizada para hacer frente a las amenazas, nuevas y antiguas. La nueva normalidad ocasionada por la pandemia ha generado una mayor dependencia a la tecnología, facilitando con la enorme cantidad de nuevos usuarios la explotación de las vulnerabilidades a los ciberatacantes. 

Los desafíos más importantes a los que nos enfrentamos son:

  • Iniciativas digitales sin planificación previa aumentando el impacto y frecuencia de los ciberataques.
  • Complejidad en la gestión de la cadena de suministros debido a los numerosos vendors. 
  • Crecimiento de la superficie de ataque como consecuencia a la alta cantidad de datos y dispositivos a monitorizar.
  • Interrupción en la continuidad del negocio a causa del aumento de ciberataques.
  • Limitación de presupuestos de IT y seguridad provocado por la desaceleración económica. 

Las empresas que poseen una visibilidad completa de su superficie de ataque incluyendo a la cadena de suministros son aquellas que mejor protegidas están frente a los ataques. 

Por otro lado, las organizaciones que planean trasladar sus datos compartimentados al interior del perímetro de la nube necesitan de liderazgo técnico así como de seguridad y requieren para que este cambio se desarrolle eficazmente la automatización para poder conseguir una correcta visibilidad de dicha superficie de ataque. 

Qué debe incluir un sistema adecuado de evaluación y monitorización:

Disponer de un sistema adecuado de evaluación y monitorización de terceras partes facilitará el conocimiento de los riesgos y por ende mejorará su gestión. Este sistema debe incluir: la identificación y priorización de activos expuestos a internet, la definición de umbrales de seguridad en forma de ratings que permitan monitorizar la salud del ecosistema de la red y el Threat Intelligence, una herramienta que proporciona información acerca del escenario de amenazas. 

Como hemos mencionado previamente, la automatización y la agilidad en los procesos son esenciales. Para conseguirlo, desde NextVision proponemos las siguientes recomendaciones: 

1.Implementación de herramientas para el análisis de riesgos: mecanismos que simplifiquen el estudio de las amenazas potenciales y permitan comunicar esta información a los stakeholders mediante un lenguaje más comprensible. Un ejemplo sería el de SecurityScorecard que informan con grados que van de la A a la F el nivel de riesgo potencial de una manera objetiva y posibilitando la unificación de los criterios de evaluación.

2. Optimización de los equipos de seguridad: gracias a herramientas de automatización de alertas y acciones a eventos de seguridad. 

3. Evaluación continua de la seguridad: mediante el empleo de herramientas de rating que monitoricen nuestra situación y la de los vendors. 

Funciones e importancia de las herramientas de rating o scoring:

Las herramientas de rating o scoring proporcionan una visibilidad 360º de la huella digital del ecosistema al que nuestra organización pertenece y establecen un lenguaje comprensible para especialistas y para el management general del negocio permitiendo establecer una comunicación estrecha con los proveedores o vendors a quienes evaluaremos y monitorizaremos bajo estos mismos estándares posibilitando también a su vez la creación de planes de acción conjuntos. Esta monitorización agilizará la gestión y comunicación entre áreas. Para lograrlo, recomiendo integrar herramientas de scoring transparentes a nuestro dashboard de seguridad.

Recientemente, la calificadora de riesgo Fitch utilizando la plataforma de scoring SecurityScorecard, ha publicado un trabajo donde relaciona el nivel de calificación de entidades crediticias con su performance en ratings de ciberseguridad. Aunque los grandes bancos suelen tener mejores calificaciones de riesgo crediticio, no pensemos que el tamaño de las compañías son un predictor de ciberhigiene. Aquellas que no lo abordan apropiadamente, sufren brechas que afectan su operatividad y calificación de riesgo.

Finalmente, podemos señalar como conclusión, la importancia fundamental de desarrollar una visibilidad continua de la superficie de ataque que concierne tanto a nuestra organización como a las terceras partes. Independientemente de la dimensión de la empresa y de su presupuesto en seguridad, únicamente aquellas compañías que saben analizar los riesgos y por ende el riesgo de la ciberseguridad de manera integral manifiestan una mejor postura en este ámbito de la ciberprotección. 

¿Quieres profundizar más acerca del  importante papel que juega la ciberseguridad en la transformación digital?

Te invitamos a acceder a la revista completa Revista del Foro de la Ciberseguridad de ISMS Forum.

 

mayo 6, 2021

Día Mundial de las contraseñas: ¿cuidamos nuestra identidad digital?

contraseña-internet

NextVision

0

Sabemos que las contraseñas son las llaves de nuestro mundo digital. Sin embargo, aún no somos tan conscientes de la importancia de protegerlas. 

En 2020 la empresa NordPass realizó una investigación de cuáles fueron las contraseñas más utilizadas del año y qué tan seguras fueron. Los resultados no sorprenden, pero síi son alarmantes. En el análisis de una base de datos que contenía 275.699.516  contraseñas en total, se comprobó que sólo 122.894.788 eran claves únicas, lo que supone tan solo el 44% del total. Esto nos muestra qué tan fácil es para ciberdelincuentes acceder a nuestra información sin tener que utilizar ningún tipo de herramienta de hacking. Las siguientes son las 20 principales contraseñas que nunca tendrías que usar:

 

  • 123456
  • 123456789
  • picture1
  • password
  • 12345678
  • 111111
  • 123123
  • 12345
  • 1234567890
  • senha (significa «contraseña» en portugués)
  • 1234567
  • qwerty
  • abc123
  • Million2
  • 000000
  • 1234
  • iloveyou
  • aaron431
  • password1
  • qqww1122

 

Pese a las recomendaciones y consejos que las empresas de ciberseguridad brindamos, podemos observar que los usuarios siguen empleando contraseñas simples, tras comparar la lista de las contraseñas más comunes de 2020 con la misma lista de 2019.

Por ejemplo, la contraseña que encabezaba la lista en 2020 era la segunda en 2019, y la segunda de 2020 fue la tercera en 2019. Solo menos de la mitad (78, para ser exactos) de las contraseñas eran nuevas en la lista de las 200 contraseñas más populares de 2020. En líneas generales,  los usuarios siguen usando contraseñas fáciles de adivinar por ciberdelincuentes, incluyendo sus propios nombres, equipos deportivos/ comidas favoritas, etcétera.

Si sos víctima de un robo de credenciales, no sólo podrías perder datos, información, tu cuenta y hasta dinero, también tu cuenta podría ser utilizada para realizar ataques de phishing a tu lugar de trabajo, familia y amig@s.

Qué te aconsejamos desde NV para utilizar contraseñas seguras y evitar el robo de las mismas:

  • Actualiza todas tus contraseñas y cámbialas por contraseñas complejas únicas para proteger tus cuentas. Siempre deben tener al menos ocho caracteres, deben ser alfanuméricas, con una mezcla de mayúsculas-minúsculas y con caracteres especiales. 
  • Usa la verificación en dos pasos siempre que sea posible. Ya se trate de una aplicación, de datos biométricos o de una llave de seguridad de hardware, tus cuentas estarán mucho más seguras si añades esa capa extra de protección.
  • Asegúrate de revisar todas tus cuentas regularmente en busca de actividad sospechosa. Si notas algo inusual, cambia tu contraseña de inmediato.
  • No repitas/compartas contraseña entre cuentas. Lamentablemente este es un hábito muy común. El grave problema de esto es que, si alguien logra acceder a una de nuestras cuentas, y tenemos esa misma contraseña en otras, al acceder a una pueden acceder a todas. 
  • Configura un gestor de contraseñas. Es una gran herramienta para generar y almacenar contraseñas robustas. Nosotros recomendamos el uso de Bitwarden. 

 

En NextVision hemos desarrollado  NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas. 

septiembre 8, 2020

CÓMO PROTEGERSE EN LA NUBE DE LAS AMENAZAS POR CORREO ELECTRÓNICO

NextVision

0

El correo electrónico sigue siendo la herramienta de comunicación más importante para las empresas. Desafortunadamente, eso también hace que el correo electrónico sea el principal vector de amenazas, con el volumen y la sofisticación de los ataques en constante aumento. ¿Qué sucede al mismo tiempo? las empresas se están trasladando cada vez más a proveedores de correo electrónico en la nube, como Microsoft 365 o Google G-Suite, y luchan por proteger su tráfico de correo electrónico. Las herramientas de seguridad nativas integradas disponibles en estas plataformas son por sí mismas insuficientes para protegerse contra ataques, cuidar datos valiosos y garantizar que se cumplan los objetivos de cumplimiento.

Los usuarios se enfrentan a una gran variedad de amenazas basadas en el correo electrónico entrante, que incluyen spam, ransomware, exploits avanzados y ataques día cero, además de amenazas salientes derivadas de fugas de datos y violaciones de cumplimiento.

Si bien las soluciones de proveedores en la nube cumplen con algunos filtros de antispam que incluyen en su suscripción, no cumplen con todo lo que requiere el escenario actual.

Por ejemplo, recientemente se descubrió una vulnerabilidad importante de Gmail que permite que ingresen correos electrónicos de suplantación de identidad:

Microsoft Office 365 Advanced Threat Protection (ATP) también tiene varias vulnerabilidades. Constantemente los phishers están encontrando formas de evitar la función de ATP de Office 365:

Un punto importante sobre estas soluciones es que ambos no han podido identificar y mitigar un tipo muy específico de suplantación de identidad de correo electrónico conocido como compromiso de correo electrónico empresarial (BEC), ataques de ingeniería social que se diseñan meticulosamente sin una carga útil maliciosa, como un archivo adjunto o un enlace, lo que hace que no sea posible identificar por soluciones de antispam. 

Los esquemas BEC comunes involucran facturas falsas de proveedores confiables, fraude de CEO, solicitudes de RR.HH. para información personal sobre empleados, solicitudes para completar formularios de impuestos y apelaciones para completar para transferencias electrónicas urgentes.

Hace unos días salió una noticia sobre una nueva estrategia para saltarse las medidas de seguridad usando phishing con texto invisible. Esta es una técnica se basa en un ataque conocido como «text direction deception». Los ataques están constantemente en evolución por lo que es necesario complementarlo con soluciones de Secure Email Gateway (SEG) que mejoren el nivel de protección.

Las soluciones de Secure email Gateway proporcionan una amplia gama de capacidades para proteger y asegurar todo el tráfico de correo electrónico entrante y saliente, esto sigue siendo importante incluso cuando las organizaciones pasan de servidores de correo electrónico locales a proveedores en la nube, como Microsoft 365 (M365) o G-Suite.

Lo importante de estas tecnologías es que proporcionan una línea base de análisis de contenido, capacidades anti-spam y anti-malware, boletines de marketing y clasificaciones de correo, así como controles personalizados para la gestión de mensajes del usuario final.

Las características avanzadas disponibles en muchos SEG incluyen capacidades para un análisis más profundo utilizando tecnología de espacio aislado o desarmado de contenido, y reconstrucción de archivos adjuntos de destino. Para abordar las amenazas basadas en URL, algunos SEG también ofrecen reescritura de URL y análisis de tiempo de clic o tecnología complementaria de aislamiento de navegador remoto. También es común que los SEG ofrezcan capacidades para abordar los intentos de suplantación de identidad y suplantación de correo electrónico.

CONTACTANOS PARA BRINDARTE EL MEJOR ASESORAMIENTO SOBRE SOLUCIONES SECURE MAIL GATEWAY EN LA NUBE.

abril 21, 2020

¿Usas Zoom? Lee estas recomendaciones

NextVision

0

El contexto del teletrabajo y la necesidad de realizar distintas actividades de manera remota “de un día para el otro” han despertado el interés de los cibercriminales, que pueden sacar rédito de las aplicaciones de videoconferencias que se hayan implementado sin recaudo alguno.  La adopción de estas herramientas por parte de usuarios inexpertos en empresas y entidades educativas generó algunos problemas.

El crecimiento exponencial que experimentó Zoom, que según datos de la propia compañía pasó de 10 a 200 millones de usuarios en pocos meses, ha venido acompañado por la difusión de fallos de seguridad que han sido explotados por no adoptarse las medidas de seguridad adecuadas.

Uno es el denominado Zoombombing, mediante el cual un Cibercriminal se mete en las videoconferencias grupales utilizando el ID de la reunión virtual (número identificador de reunión instantánea o programada), publicado en redes sociales u otras agendas compartidas.

También ha habido un crecimiento de dominios registrados por los cibercriminales utilizando el nombre de la herramienta Zoom con la intención de engañar vía Phishing a los usuarios, para infectarlos luego con malware, etc.

¿Qué recomendaciones hacemos desde NextVision para el uso correcto de Zoom?

Zoom es una herramienta muy poderosa y versátil de videoconferencia, pero por su facilidad de uso se recomienda utilizarla implementando estas recomendaciones:

  • Tener la aplicación siempre actualizada a la última versión. Zoom va liberando versiones que mejoran su funcionalidad y sobre todo, su seguridad. Descargar la aplicación de Zoom siempre de la página oficial, ya que existen falsas aplicaciones con códigos maliciosos.
  • No hacer uso del social login de zoom (Gmail, Facebook, SSO).  Esto evitará comprometer las credenciales de correo cuando además están asociadas a cuentas corporativas.
  • Siempre es recomendable establecer una contraseña para cada reunión y optar por utilizar ID de reuniones aleatorias, de manera de no repetirlas. Eliminar la opción de un solo clic y evitar que se incruste la contraseña en el enlace de la reunión. Esto significa que cada participante deberá ingresar la contraseña para unirse a la reunión.
  • Preferentemente no utilizar redes sociales para compartir enlaces de videoconferencias.
  • Activar la sala de espera, de esta manera el anfitrión puede aceptar a no a quién desee ingresar.
  • Configurar la pantalla compartida solo para el anfitrión si no es necesario que otros lo hagan, y así evitar que otros usuarios compartan contenido inadecuado.
  • Activar el alerta de ingreso a la sala de reunión de forma que podamos detectar la entrada de «intrusos» o, incluso, bloquear la reunión una vez que haya empezado, para evitar que alguien se una a ella.

Además, también siempre es importante tener en cuenta estas otras recomendaciones:

. Contraseñas de Cuentas y Doble Factor

Una cuenta de Zoom es conceptualmente como cualquier cuenta y al configurarla debemos adoptar los principios básicos de protección que se deben usar siempre. Usar una contraseña segura y única. Es importante también proteger la cuenta con la autenticación de dos factores, lo cual dificulta el hackeo de ésta y la protege mejor, incluso si los datos de la cuenta se ven filtrados (aunque hasta la fecha eso no ha sucedido).

Una vía posible para la autenticación de dos factores es utilizar Google Authenticator

·         Videos

Iniciar una reunión con la cámara apagada puede ayudar a evitar un momento incómodo. En este sentido, será mejor que los usuarios se vean obligados a encender la cámara durante la reunión si así lo necesitan o desean.

·         Compartir Pantalla

El anfitrión puede pasar el control de la reunión a otro participante y convertirlo en el anfitrión para que pueda hacerlo. Esta recomendación puede no ser la ideal para todos los escenarios. Por ejemplo, aquellos que utilicen la herramienta en el campo de la educación pueden no querer pasar el control de anfitrión a un estudiante. Por lo tanto, es importante considerar las consecuencias de permitir que todos los participantes puedan compartir la pantalla o si es mejor limitar esta opción solo para el anfitrión.

·         Dispositivos IOS

Evitar que se visualicen datos confidenciales en el conmutador de tareas, específicamente para los dispositivos iOS de Apple que realizan capturas de pantalla de las aplicaciones abiertas.

Fuente: Departamento de Tecnología de NextVision

abril 13, 2020

NextVision en el diario La Nación

NextVision

0

Frente a la crisis de público conocimiento, todos sabemos que el aislamiento aumenta las horas frente a la computadora y multiplica las posibilidades de ser víctimas de ataques online. 

NextVision estuvo presente en la edición del Diario La Nación del sábado 11 de abril. La nota abordó esta problemática y explicó de cómo cuidarse en el mundo digital, especialmente en tiempos de cuarentena. 

De la nota participa Roberto Heker, Director de NextVision, quien opina y nos acerca las mejores recomendaciones en prácticas de ciberseguridad.

×

Contacta con NextVision por WhatsApp

% %
# 

          
          

            
            
              
            
          

        

      

              
                  
                ×
                  ¿Cómo puedo ayudarte?