blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
enero 31, 2018

Symantec, líder del cuadrante mágico de Endpoint 2018

NextVision

0

Symantec, partner histórico de NextVision, se posicionó como Líder en el Cuadrante Mágico de Gartner para Plataformas de Protección de Endpoints por decimosexto año.

Symantec se ha posicionado en el cuadrante de líderes del informe desde su inicio en 2002. Para el informe de 2018, Gartner evaluó 21 proveedores en 15 criterios basados ​​en la visión completa y la capacidad de ejecución, y posicionó a cada proveedor dentro del Cuadrante Mágico.

Los puntos finales son un objetivo atractivo para los ciberdelincuentes debido a la gran cantidad de redes, dispositivos y sistemas operativos que los empleados utilizan para acceder a los activos corporativos todos los días. Symantec Endpoint Protection (SEP), una solución clave de la plataforma de defensa, protege 175 millones de puntos terminales en todo el mundo, detecta lo que las herramientas antivirus a menudo pasan por alto y proporciona información forense si un atacante ingresa.

Las capacidades integrales de punto final de Symantec están diseñadas para cumplir con los desafíos de la generación de la nube, permitiendo a los CISO y los equipos de TI monitorear, administrar y contener las amenazas a la vez que se reduce la complejidad operacional. La funcionalidad única en SEP 14.1 incluye: tecnología de engaño, defensa de amenazas móviles para dispositivos BYOD de propiedad corporativa y, detección y respuesta de punto final integrado, protección sin identificación a través de técnicas de aprendizaje automático y aislamiento de aplicaciones con endurecimiento SEP.

¡Felicitamos a nuestro partner por este nuevo logro y te invitamos a consultarnos si aun no tenés la nueva versión de Symantec Endpoint Protection 14.1!

 

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

enero 5, 2018

Información importante | Meltdown y Spectre

NextVision

0

Como probablemente ya estés al tanto, se han descubierto vulnerabilidades que afectan a muchos procesadores y sistemas operativos modernos, incluidos Intel, AMD y ARM.

Estos ataques se presentan en tres variantes distintas: CVE-2017-5715CVE-2017-5753, CVE-2017-5754, dos de ellas de Spectre, otra de Meltdown y están presentes en diversos sistemas: computadoras personales, dispositivos móviles y la nube.

Meltdown y Spectre son bugs de hardware importantes, ya que una explotación exitosa podría permitir a los atacantes obtener acceso no autorizado a datos confidenciales, incluidas las contraseñas.

Qué aconsejamos hacer desde NextVision:

  • Actualizar software de Antivirus que se utilice:
    • Symantec: hacer clic en este link.
    • Kaspersky: hacer clic en este link.
    • F-Secure: hacer clic en este link.

Aconsejamos seguir estos links que van actualizando de manera inmediata los updates de los fabricantes.

Comunicate con nosotros por cualquier inquietud!

diciembre 15, 2017

Todo sobre Fuga de Información y Clasificación de Datos

NextVision

0

Todo lo que tenés que saber para  proteger tu información crítica

La información es un activo crítico: los datos de clientes y empleados, proyectos, transacciones e innovaciones son el corazón de una empresa, son un recurso que da pie a mejoras y crecimiento del negocio, además de ser una de las insignias de credibilidad más importantes de vista a la clientela que confía información de diverso grado de sensibilidad.

Es por ello, que cuando se produce una fuga de información y estos datos caen en malas manos, las consecuencias van desde pérdidas económicas, daños a la reputación de la compañía o el cierre permanente de ésta. La creciente oleada de fugas de información por ataques perpetrados a empresas de todos los rubros y tamaños implica que la debida protección de los datos debe ser la prioridad número uno.

En este post, te daremos una guía en la que aprenderás en qué consiste una fuga de información, sus consecuencias, y las tecnologías existentes que pueden ayudarte a mantener la información de tu empresa segura.

ÍNDICE

– Qué es una fuga de información y cómo se produce

– ¿Cuáles son las consecuencias de una fuga de información?

– La protección de la información como estrategia

– ¿Cómo proteger la información?

– Solución DLP de Symantec

– En definitiva, ¿Debo encriptar mis datos?


Qué es una fuga de información y cómo se produce

Número de incidentes por fuga de información durante la primera mitad del 2017 (Fuente: Breach Level Index)

Una fuga de información es un incidente en el que información sensible o confidencial fue vista o robada por personas no autorizadas. Información como datos bancarios, registros clínicos, propiedad intelectual, secretos industriales o documentos del gobierno son las más propensas a ser objeto de estos ataques.

Una fuga de información suele ocurrir en varios escenarios internos y externos, intencionales o no, y que pueden ser consecuencia de protocolos de seguridad débiles, la negligencia o simplemente la mala suerte. Veamos algunos:

  • Un cibercriminal hackea los sistemas de una organización y extrae la información.
  • Una persona con acceso a las instalaciones de la organización (un empleado o alguien que recibe ayuda interna) accede a los servidores para llevarse información.
  • Comportamiento negligente de los empleados como la apertura, click y descarga de archivos de origen dudoso, visitas a sitios web inapropiados, publicación de información inadecuada en redes sociales, uso incorrecto o pérdida de los dispositivos (USB, Notebooks, discos rígidos, o CD/DVD) con información de la empresa.
  • Uso inapropiado de la información por parte de los empleados cuando trabajan desde casa, ya que suelen romper los procesos de seguridad definidos para el ambiente corporativo.
  • Empleados malintencionados o ex empleados que guardan información sensible de para venderla, o utilizarla en contra de la empresa.
  • Uso de aplicaciones de comunicación y transferencia de archivos que no son controladas por la empresa, como Whatsapp, Dropbox o Google Drive, para realizar las tareas diarias entre los empleados.
  • Si se produce la infección del sistema por un malware diseñado para el robo de información, como el muy utilizado Ransomware, los troyanos, keyloggers y spyware.

Más allá de las fugas de información por negligencia interna, los usos de la información robada son diversos: los criminales roban información para perpetrar ataques más dañinos a la organización más adelante, para lucrar vendiendo los documentos a competidores, para robar secretos por espionaje industrial o gubernamental, o para filtrarla y dañar la reputación de la organización.


¿Cuáles son las consecuencias de una fuga de información?

El impacto de una fuga de información es tan diverso como las razones por las que se produce. Algunas de las consecuencias a las que se enfrenta una organización si sus datos son robados pueden ser:

    • Problemas legales: cuando se produce una fuga de información, las empresas suelen enfrentarse a sanciones, multas o juicios por el incumplimiento de leyes y normativas que buscan proteger la privacidad de los clientes.
    • Pérdidas financieras: las empresas pueden verse obligadas a indemnizar económicamente a clientes afectados, si se trata del caso de robo de información de sus clientes, o podrían perder su competitividad, si se fugó información asociada al core del negocio.
    • Suspensión de las operaciones: este caso puede darse cuando información sensible sobre el funcionamiento del negocio se ve comprometida, y se produce un segundo ataque una vez que los cibercriminales saben cómo interrumpir procesos o dar de baja servicios que son clave para la operatividad de la empresa.
    • Pérdida de credibilidad: esta es una de las consecuencias más difíciles de reparar, ya que cuando una empresa es víctima de este tipo de incidentes, queda ante sus clientes como una organización descuidada en la que no se puede confiar para brindar información sensible como datos médicos o financieros. Casos recientes de empresas que tuvieron fugas de información y sufrieron daños en su reputación son Forever 21 y Uber. La marca de ropa sufrió el robo de los datos de las tarjetas de crédito de los clientes que hicieron compras en esta tienda entre marzo y octubre de este año. Por su parte, Uber ocultó la fuga de los datos de 57 millones de usuarios y ahora se a enfrenta procesos judiciales en países como Estados Unidos, Australia, Reino Unido y Filipinas.


La protección de la información como estrategia

Es clave pensar en las políticas de protección de datos como integral de la operatividad del negocio

Si todavía tenés dudas respecto de si para tu empresa, por muy chica que sea, es necesario adoptar protocolos y sistemas de protección de datos, la respuesta es sí. La protección de la información debe tomarse como parte clave de la estrategia de supervivencia del negocio, ya que las consecuencias anteriormente expuestas pueden llevar a su cierre definitivo.

Y es que el riesgo de que tu empresa sea víctima de una fuga de información es cada vez mayor, ya que este tipo de incidentes va en aumento: de acuerdo al Internet Security Threat Report de Symantec, más de 7 billones de identidades han sido robadas en los últimos 8 años, y la tendencia continúa al alza.

Además, no proteger tus datos implica un riesgo de gastos y pérdidas mucho mayor que si se implementara una solución de cifrado de datos enterprise en el negocio. Entre los problemas a las que se expone tu empresa si decidís no tomar medidas de protección de datos están:

Problemas de reputación:

Como mencionamos antes, una fuga de información puede dañar seriamente la credibilidad de tu empresa ante tus clientes y su confianza en tus servicios, algo muy difícil de recuperar. En el caso de las empresas grandes, la dimensión de los daños son mayores, ya que suele involucrarse la prensa en la cobertura de la fuga de información.

Problemas financieros:

Una fuga de información implica que la empresa tenga que asumir gastos por efectos de demandas judiciales e indemnizaciones, sin tomar en cuenta la posible pérdida de tiempo productivo y competitividad que pueden producirse si la información robada afecta procesos operativos del negocio.

Problemas por incumplimiento de normativas:

La información de los clientes está amparada por regulaciones y normativas propias de cada industria y cada país. En el caso de Argentina, la industria bancaria es la más regulada, y todo banco que desee operar en el país debe cumplir con un mínimo de protocolos de seguridad para las distintas operaciones y transacciones. Además, debe pasar por varias auditorías para que el BCRA verifique los estándares mínimos de seguridad; de lo contrario, se expone a multas o a la suspensión de sus operaciones.

Otra ley que protege la información sensible de los clientes es la Ley de Protección de Datos, de la Dirección Nacional de Protección de Datos Personales, que da la potestad a los usuarios de hacer una denuncia en caso de que considere que sus datos personales están siendo violados por alguna organización, para que dicho organismo proceda a la auditoría de la misma.

Cuando una organización falla en el cumplimiento de normativas, se expone a multas y sanciones que implican gastos, y hasta el cese definitivo de sus operaciones, por lo que cumplir las normativas de protección de datos tiene que ser considerada una prioridad para las empresas de todos los rubros en la actualidad.


¿Cómo proteger la información?

La primera y más eficaz barrera de protección de datos sensibles es la encriptación o cifrado de información. Encriptar implica proteger información y documentos con técnicas y algoritmos que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. Solo implementando una solución de cifrado para proteger la información sensible, se previenen la mitad de los intentos de robo de información, e inclusive si la extracción de los datos es exitosa, es posible resguardar la información porque:

  • Protege los datos de dispositivos perdidos por negligencia o por accidente.
  • Reduce la potencia de los ciberataques, ya que los criminales tienen que encontrar la clave de descifrado, y los datos mismos, para apoderarse de ellos.

Otra barrera fundamental para la defensa de datos es la tecnología DLP (Data Loss Prevention), que es una herramienta que se instala en las estaciones de trabajo y detecta usos de la información potencialmente perjudiciales. Implementar esta tecnología consta de 5 fases:

  • Clasificación de la información: en esta etapa se busca hacer una auditoría de la información sensible de la empresa y el nivel de riesgo que implicaría para ésta la fuga de datos. Un ejemplo de clasificación de la información puede ser:
  1. Información altamente confidencial.
  2. Información confidencial.
  3. Información restringida.
  4. Información pública.

Con esta clasificación se busca establecer un control en los accesos y distintos grados de protección dentro de la solución DLP.

  • Definición de los módulos a implementar: los módulos se definen luego de hacer un análisis de los posibles canales de fuga de información.

 

  • Instalación e integración de DLP con distintos sistemas: estos sistemas son los servidores de correo electrónico, servidores web, files servers, aplicaciones en la nube y todos aquellos por los que se envíe/reciba o almacene información del negocio.

 

  • Creación de políticas y procedimientos de DLP: se definen políticas y procedimientos para mantener la clasificación de la información, y el proceso que permita el mantenimiento y actualización de las reglas de seguridad en la herramienta.

 

  • Administración de la herramienta DLP: la correcta administración de DLP incluye la detección y análisis de incidentes, alertas de información sensible fuera de los canales autorizados, eliminación de falsos positivos y la realización de ajustes de los controles. Este trabajo puede realizarlo un agente interno de la empresa, o un recurso contratado que se encargue de la administración, como NextVision con su servicio de Administración consultiva y administrativa, que contempla los puntos anteriormente expuestos.


Solución Data Loss Prevention (DLP) de Symantec

La solución DLP de Symantec es una de las más completas del mercado, ya que brinda una protección de datos que se adapta al escenario actual, plagado de amenazas, y a las expectativas y necesidades de las organizaciones, cada día más centradas en la nube y la movilidad.

Con DLP de Symantec, podés:

  • Descubrir dónde están almacenados tus datos en aplicaciones de la nube, dispositivos móviles, sistemas de red y de almacenamiento.
  • Monitorear cómo se utilizan tus datos, dentro y fuera de tu red.
  • Proteger los datos contra la fuga, sin importar su uso o forma de almacenamiento.

Symantec DLP combina la conveniencia de la protección de tus datos dentro y fuera de la red de la organización, con tecnologías de detección de datos avanzadas, capaces de detectar que tus datos estén en uso, en reposo o en movimiento.

Implementar Symantec DLP en tu organización permite:

  • Una cobertura de protección amplia y visión directa de tus datos en más de 60 aplicaciones cloud, incluyendo las populares Office 365, Dropbox, Google Apps y Salesforce.
  • Supervisión continua de cambios en la información: adición de contenido, cambios y derechos de acceso.
  • Gestión de extremo a extremo en una única consola basada en la web, donde podrás: definir políticas de prevención pérdida de datos, detectar falsos positivos, revisar y corregir incidentes.
  • Contar con capacidades de flujo de trabajo robustas que permiten desarrollar una respuesta a incidentes ágil.
  • Realizar análisis y reporting ad-hoc con la ayuda de una herramienta de analítica avanzada que permite extraer datos en cubos multidimensionales para crear reportes a la medida de los intereses de los involucrados en la organización.

Con su extensión a la nube, Symantec DLP mantiene su posición como líder del Cuadrante Mágico de Gartner de soluciones de prevención de pérdida de datos, y se perfila como una solución dinámica y flexible que te permite tener una mirada atenta a todos los datos de la organización, en cualquier momento y lugar.


En definitiva, ¿Debo encriptar mis datos?

La información se ha convertido en uno de los bienes más valiosos, y es por ello que es un objetivo tan atractivo para el cibercrimen: información sensible en manos inapropiadas puede traducirse en robos, estafas, accidentes industriales y hasta el inicio de una guerra. Por lo que no debe escatimarse en sistemas que mantengan los datos de tu organización a buen resguardo.

Un buen ejemplo de lo sencillo que resulta para los cibercriminales vulnerar sistemas que no tienen una política adecuada de protección de datos se puede observar en esta escena de la serie Mr. Robot:

En este ejemplo, Elliot manipula su propia información. Pero, ¿Qué pasaría si en un ataque masivo se alterara la información de otros pacientes? ¿Cuántas vidas se pondrían en riesgo? Es desde esta perspectiva que debe contemplarse la importancia de resguardar y encriptar apropiadamente los datos, sin importar el rubro o el tamaño de tu empresa.

Si querés saber más sobre la encriptación de datos, los sistemas más utilizados y cómo implementar un protocolo de cifrado correctamente, te invitamos a visitar esta Guía de encriptación para empresas que hemos preparado para vos.

noviembre 13, 2017

Evitá que tu empresa sea víctima de Phishing y Ransomware por descuido de los empleados

NextVision

0

Argentina, el séptimo país del mundo que más ataques de phishing recibe (Clarín 7/11/17)

El mail es el principal vector de los ataques de phishing y malware. Los cibercriminales trabajan 24×7 en nuevas técnicas de ataque para entrar a las organizaciones a través de su eslabón más débil: sus empleados.

¿Sabías que podés evitar el clic impulsivo en tu organización?

Symantec Messaging Gateway (SMG) ofrece una capa adicional de seguridad para la protección de correos electrónicos deshabilitando las URL. ¿Qué significa esto?  Si un empleado hace clic en un enlace que recibe por mail, SMG deshabilita el hipervínculo y evita que sea redirigido a un potencial sitio malicioso.

Si ya sos cliente de SMG contactanos ahora para migrar a la versión 10.6.2 y contar con esta nueva funcionalidad.

El mejor producto de mensajería del mercado

Symantec fue nombrada empresa líder en IDC MarketScape: Worldwide Email Security 2016 Vendor Assessment, y Top Player (la máxima categoría) en el informe Secure Email Gateway Market Quadrant de Radicati Group (2016)

Protegete de ataques dirigidos y amenazas desconocidas

SMG utiliza Disarm, una tecnología de Symantec, que elimina el contenido vulnerable de archivos adjuntos de Microsoft Office y PDF. El documento limpio se reconstruye, se vuelve a adjuntar en el correo electrónico y se envía a su destinatario.

Evitá la pérdida de datos en el correo electrónico 


Esta solución ofrece tecnologías avanzadas de filtrado de contenido y prevención contra la pérdida de datos para garantizar el cumplimiento regulatorio y evitar la pérdida de datos gracias a su tecnología sofisticada de búsqueda de coincidencias de datos estructurados.

Reducí costos con una gestión sencilla

Consola unificada para gestionar varios appliances, rastrear mensajes y ver tendencias, estadísticas de ataques e incidentes de falta de cumplimiento. Todo en un solo lugar y sin costos altos de infraestructura.

Escribinos a info@nextvision.com para recibir asesoramiento de un experto de NextVision

Búsqueda de Ejecutivo/a Comercial

NextVision

0

Descripción del puesto:

La búsqueda está orientada a un/a Ejecutivo/a Comercial de soluciones y servicios de Tecnología. Deberá contar con experiencia en procesos comerciales, en fidelización de clientes y atención de cuentas corporativas y de gobierno (mayores a 1000 puestos de trabajo). Deberá trabajar en equipo y orientado a resultados.

Tareas Principales:

  • Planeamiento de ventas de cuentas (desarrollo e identificación de oportunidades).
  • Cumplimiento de objetivos comerciales.
  • Gestión comercial con “vendors”.
  • Generación y cierre de negocios en proyectos asignados.
  • Gestión de la renovación de contratos.
  • Atención y contención comercial a los clientes/proyecto asignados.
  • Seguimiento y resolución de casos críticos, ya sean administrativos o comerciales, y facilitador para los casos técnicos.
  • Informes de actividades, pronósticos y resultados semanales, mensuales y trimestrales.
  • Informes al Gerente del Área sobre novedades de mercado, competencia, necesidades, etc.
  • Generación y confección de propuestas comerciales.
  • Conocimiento de productos propios y de la competencia.
  • Relevamiento de información de mercado y clientes.

Se ofrecen muy buenas condiciones de contratación y excelente clima laboral.

Lugar de trabajo: Tribunales, de lunes a viernes de 9 a 18hs.

Envianos tu CV y remuneración pretendida a cv@nextvision.com 

Asunto del mail: Búsqueda Ejecutivo/a Comercial

octubre 18, 2017

6 claves para entender el ataque KRACK

NextVision

0

1. ¿Qué pasó?

Se encontraron nuevas vulnerabilidades en los protocolos WPA/WPA2, utilizados para proteger la seguridad de todas las redes WiFi modernas.

El ataque se inicia en la etapa de negociación del protocolo, que es ejecutado cuando un cliente quiere unirse a una red WiFi protegida. Este mecanismo se usa para confirmar que tanto el cliente como el punto de acceso WiFi poseen las credenciales correctas. Por otro lado, también se encarga de negociar la clave para cifrar el tráfico producido mediante WiFi.

2. ¿Qué significa KRACK?

KRACK (Key Reinstallation Attacks) es el acrónimo con el que se llama a los ataques de reinstalación de clave que se utilizan para explotar las debilidades de WPA/WPA2.

3. ¿Cómo actúa? 

El ataque funciona sobre las dos versiones de WPA e incluso aquellas que emplean AES para cifrar. Cuando un cliente se une a una red inalámbrica, ejecuta una negociación de autenticación conocida como handshake de 4 vías. En la tercera fase de dicha negociación, la clave de cifrado se instala y es usada para cifrar los datos mediante un protocolo.

Sin embargo, debido a que los mensajes pueden perderse, el sistema WiFi retransmite el tercer mensaje en caso de no recibir una respuesta apropiada de su llegada por parte del cliente, abriendo la posibilidad de retransmitirlo varias veces. Cada vez que se recibe este mensaje se reinstalará la misma clave de cifrado, por lo tanto se reinicia el número incremental de paquete transmitido (nonce) y se recibe un contador de repetición utilizado por el protocolo de cifrado.

 4. ¿Qué vulnerabilidades pudieron ser explotadas?

CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088

Es importante tener en cuenta que cada ID de CVE describe una vulnerabilidad de protocolo específica y, por lo tanto, muchos proveedores se ven afectados por cada ID de CVE individual.

Los invitamos a leer la nota de vulnerabilidad VU # 228519 de CERT / CC para obtener detalles adicionales sobre qué productos han sido afectados.

5. ¿Cuáles son los posibles daños?

A través de su ejecución los ciber delincuentes podrían leer toda la información que no esté cifrada mediante una comunicación establecida por WPA/WPA2: números de tarjetas de crédito, contraseñas, mensajes de chat, emails y, en definitiva, cualquier dato que pase por la red WiFi y se encuentre en sitios poco protegidos.

6. ¿Qué podemos hacer ante esta amenaza?

Al estar hablando de un protocolo, serán los organismos IEE y Wifi Alliance los que deberá trabajar en encontrar un workaround a la versión actual o diseñar un nuevo estándar para que luego los fabricantes puedan desarrollar el nuevo código que permita reestablecer conexiones seguras en entornos wifi.

Hoy más que nunca, resulta FUNDAMENTAL para las empresas trabajar en capas de encriptación, para proteger la información crítica (almacenada y en tránsito) que pueda llegar a manos de delincuentes.

Desde NextVision, les facilitamos los siguientes materiales para una buena estrategia de Encriptación:

Siempre es importante poder conocer los posibles riesgos a los que nos enfrentamos, haciendo un análisis de nuestra propia infraestructura. Para eso, contamos con el Cybersecurity Health Check, un servicio de NextVision pensado para responder a ciberamenazas. Conocelo.

Fuentes:

  • Departamento Técnico de NextVision
  • KracksAttacks
septiembre 4, 2017

Webinar | Encriptación Efectiva

NextVision

0

¿Estás protegiendo los datos sensibles de tu organización?

El miércoles 30 de agosto realizamos un webinar junto a Symantec para hablar sobre estrategias de Encriptación y soluciones de cifrado recomendadas para diferentes dispositivos y aplicaciones.

El webinar estuvo a cargo de Raúl Bazan (Support Service Manager de NextVision) y Patricio Villacura (Territory Sales Engineer de Symantec).

Raúl explicó los motivos por los cuales una organización necesita proteger su información:

  • Evitar fugas de datos
  • Cumplir con normativas y legislaciones

Patricio mostró estadísticas actuales y afirmó que el 50% de las fugas de datos podrían ser prevenidas con una estrategia de encriptación de datos.

El webinar contó con más de 70 inscriptos y los asistentes pudieron realizar consultas en vivo y conocer las últimas novedades en materia de cifrado.

Reviví el webinar:

Te interesaría que tratemos un tema en particular en nuestros próximos webinars? Escribinos a marketing@nextvision.com y contanos.

agosto 30, 2017

Defray: Nueva Amenaza de Ransomware

NextVision

0

En las últimas horas, se ha descubierto una nueva amenaza llamada Defray.

Este Ransomware está atacando principalmente a instituciones educativas y empresas de salud, minería, banca y finanzas de varios países de Europa por el momento.

Se distribuye mediante Scripts PowerShell y a través de documentos de Microsoft Word adjuntados en correos electrónicos. Se indica a las víctimas que en el interior del documento se encuentran detalles sobre una factura pendiente o sobre un requerimiento judicial. Al abrir el archivo se solicita la activación de las macros.

Desde NextVision, aconsejamos leer NUESTRA GUÍA ESPECÍFICA con el paso a paso para prevenir, responder y actuar ante un ataque de Ransomware.

Pueden descargarla aquí.

Mensaje enviado a las víctimas

agosto 24, 2017

Todo sobre encriptación de datos para empresas

NextVision

0

La encriptación o cifrado de información sensible es de suma importancia para preservar la seguridad de datos que forman parte del core operativo de una empresa. Una fuga de datos puede implicar pérdidas económicas, comprometer la reputación de la empresa y poner en riesgo su permanencia en el mercado, por lo que proteger la información a través de sistemas de cifrado es esencial.

En esta nota, te ofrecemos una guía en la que te explicamos qué es la encriptación de datos desde sus orígenes, y porqué es tan importante manejar un protocolo de cifrado adecuado para garantizar la seguridad de tus datos.

¿Qué es la encriptación?

La encriptación (traducción de la palabra en inglés encryption), también conocida como criptografía, es la acción de proteger información y documentos con técnicas que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. A pesar de ser un aspecto inherentemente a la informática, el cifrado de información (y la necesidad de proteger data de ojos extraños) se remonta a los inicios de la escritura.

A lo largo de la historia, distintas culturas han creado sus propios sistemas de encriptación que eran empleados especialmente para enviar mensajes en tiempos de guerra, pero que sentaron las bases de la encriptación que conocemos hoy en día. Veamos algunos de los sistemas más conocidos.

Métodos de encriptación famosos

Escítala (Esparta, siglo V a.C)

Los guerreros espartanos enviaban mensajes codificados enrollando una cinta de cuero en una vara, llamada escítala, para luego escribir en forma longitudinal, para luego desenrollar la cinta y terminar con un conjunto de letras sin sentido que, en teoría, solo podía descifrarse enrollando la cinta de nuevo en una vara con el mismo diámetro que la original. A pesar de que es un método rudimentario en el que cuadrando las letras, sin necesidad de una escítala, se puede descifrar el mensaje, era efectivo para su tiempo ya que poca gente sabía leer.

Cifrado de Polybios (Grecia, siglo a.C)

Creado por el historiador Polybios, este sistema usa el principio de sustitución colocando las letras en una tabla y, en los encabezados de las filas y las columnas se asignan números que sustituyen las letras que conforman el mensaje original: se encripta el mensaje buscando los números que corresponden a cada letra en el cuadrante que se encuentren en la tabla. Para descifrar el mensaje, es necesario separar el código en pares e ir buscando los cruces de cada par de números en la tabla.

El Cifrado de Polybios es conocido por el método de comunicación cifrada más usado por prisioneros nihilistas de la Rusia zarista.

Cifrado César (siglo I, a.C)

Este sistema, nombrado así por el famoso dictador romano, es también un cifrado por sustitución en la que la letra a ser encriptada es sustituida por la letra que le siga 3 posiciones más adelante en el alfabeto. Es un método muy sencillo que el mismo Julio César usaba para comunicarse con los generales de su ejército durante sus campañas militares.

Máquina Enigma

La máquina Enigma, utilizada por los nazis para encriptar sus comunicaciones, era un dispositivo electromecánico inventado por Arthur Scherbius, que se componía de unas teclas que representaban las letras del alfabeto, y que al tipear el mensaje activaban el mecanismo electrónico que hacía mover los rotores conectados al teclado que iluminaba las letras que conformaban el mensaje cifrado.

Aunque a simple vista parece un mecanismo sencillo, la máquina Enigma tenía la particularidad de que uno de sus rotores giraba un veintiseisavo más de vuelta cada vez que el usuario tecleaba, por lo que la posición de las conexiones cambiaba con cada pulsación de las teclas y daba como resultado una encriptación polialfabética que siempre variaba, lo que hizo tan complicado para los aliados hallar la clave que pudiera descifrar los mensajes cifrados con Enigma. Además, para hacerla más robusta, la máquina contaba con la capacidad de intercambiar los cilindros y las conexiones, permitiendo usar 105.456 alfabetos y una cantidad enorme de posibilidades de cifrado.

Los mensajes de Enigma, luego de varios años, fueron descifrados en 1942 por un grupo de criptoanalistas liderados por Alan Turing y Joan Clarke. Se estima que el descifrado del código Enigma le ahorró al mundo 4 años más de guerra.

La encriptación moderna

Algoritmos

Las soluciones de encriptación como las conocemos en la actualidad se originaron en 1970, con la aparición del algoritmo DES (Data Encryption Standard), desarrollado por el gobierno estadounidense. El DES se basaba en el cifrado de sustitución por bloques, que consta de transformar un texto de una longitud de bits fija en un texto cifrado de igual longitud, que era de 56 bits, lo que se convirtió en su principal desventaja, ya que al tener un código tan corto podía ser descifrado en 24 horas.

Unos años más tarde, sustituyó DES por el Advanced Encryption Standard (AES) un sistema por bloques con claves mucho más seguras, que usan un estándar de 128 bits, pero que pueden llegar a ser de hasta 256 bits. Actualmente AES se mantiene como uno de los sistemas de cifrado más populares en Internet.

Otro de los algoritmos que actualmente se utilizan es el RSA (Las siglas de Rivest, Shamir y Adleman, sus desarrolladores), que es el que usa el cifrado asimétrico y, a diferencia del algoritmo DES utiliza 2 claves, una pública y otra privada que conserva el propietario del archivo. Actualmente el RSA es el algoritmo de encriptación más usado en en sistemas de autenticación online.

Sistemas de encriptación

Actualmente, existen 3 sistemas de encriptación afianzados en el mundo digital para la protección de datos, veamos en detalles cuáles son y cómo funcionan:

Encriptación simétrica

Este sistema usa la misma clave para cifrar y descifrar la información entre el emisor y receptor, quiénes se ponen de acuerdo sobre la clave a utilizar de antemano. El sistema simétrico es el más inseguro, ya que en la comunicación de la clave entre los involucrados es fácil de interceptar; además, cómo la seguridad de un sistema de cifrado debe colocarse en la fuerza de la clave, esta podría ser demasiado larga, lo que lo hace poco práctico.

Encriptación asimétrica

También conocida como encriptación de clave pública, utiliza 2 claves diferentes entre el emisor y receptor, una pública que es transmitida a todos los que necesiten enviar información cifrada, y otra privada que es secreta. Ambas claves se generan simultáneamente y están vinculadas, pero la relación entre ellas debe ser lo suficientemente compleja para que no sea posible obtener la privada a partir de la pública. Este sistema La usa como base el algoritmo RSA.

De acuerdo al portal Redes Zone, las claves cumplen estas funciones:

  • Encriptar la información.
  • Asegurar la integridad del mensaje cifrado.
  • Certificar la autenticidad del emisor.

Si bien la distribución de las claves es más segura porque la privada no es revelada, su principal desventaja recae en la lentitud del proceso, por varios factores que incluyen:

  • Tiempo de procesamiento para obtener un par de claves y un mensaje de la misma longitud.
  • Las claves deben ser 5 veces o más largas que las usadas en el cifrado simétrico.
  • El mensaje cifrado es más largo que el original.

Encriptación híbrida

Uno lo mejor de los sistemas encriptación anteriores y solventa los problemas de seguridad y lentitud del cifrado de los datos. La encriptación híbrida funciona de la siguiente manera:

  • Se genera una clave privada y una pública (desde el receptor)
  • Se encripta el archivo al mismo tiempo en el que se generan las claves.
  • El receptor envía su clave pública.
  • Se encripta el archivo con la clave pública recibida.
  • Se envía el archivo cifrado de forma síncrona y la clave de forma asíncrona.

Además de solventar los problemas que presentan la encriptación simétrica y asimétrica, el sistema híbrido es especialmente útil cuando se tiene que enviar información cifrada a varios destinatarios simultáneamente.

¿Por qué es importante encriptar la información?

En el mundo actual, la información es poder y dinero, y los cibercriminales lo saben: es por ello que la fuga de datos es uno de los principales ciberataques del que son víctimas las empresas, y el que más dinero les cuesta: según un estudio patrocinado por IBM, una fuga de datos puede llegar a costarle a una empresa grande 4 millones de dólares en promedio. El caso de las Pymes es más preocupante, ya que suelen ser las víctimas predilectas de este tipo de ataques (hasta un 90%), principalmente porque no suelen tener cuidado en el manejo y preservación de sus datos, llegando a perder un promedio de 36 mil dólares por ataque, de acuerdo al estudio realizado por First Data.

A las pérdidas económicas se le suma el deterioro de la reputación ante los ojos del público. Esto es especialmente perjudicial cuando la empresa usa información personal de sus clientes para operar. Un caso en los que una fuga de datos significó una mayor pérdida de credibilidad que de dinero fue el del sitio web de citas Ashley Madison, en el que se filtró la información personal de más de 37 millones de usuarios y fue expuesta en Internet. Si bien el ataque se produjo en 2015, las consecuencias para la compañía persisten hasta hoy: en julio de 2017 Ruby Corp., casa matriz del portal, accedió a pagar una multa de 11,2 millones de dólares para poner fin a los litigios en su contra; además, ha perdido más del tercio de sus ganancias desde que se dió a conocer la fuga.

Para evitar este tipo de situaciones que pueden significar costos inesperados o la quiebra de un negocio, la mejor apuesta es invertir en una solución de encriptación para los datos sensibles de tu empresa.

El sistema de encriptación: ¿Pago o gratuito?

Ya que hemos explicado porqué es importante encriptar la información valiosa que tu empresa maneja, te estarás preguntando qué tipo de solución es la más conveniente. Si bien sabrás que existen infinidad de herramientas gratuitas en Internet que cifran documentos, éstas no son las más adecuadas para un entorno corporativo. Aquí te explicamos las razones por las que una solución de encriptación con licencia es la mejor opción para las empresas:

Múltiples niveles de seguridad

Los softwares de encriptación pagos hacen uso de los algoritmos de cifrado más avanzados y seguros, como el AES; además, hacen uso de claves de hasta 256 bits, tamaño que se considera ideal por su seguridad y su desempeño al momento de la comunicación. Por último, la gran mayoría de las soluciones sin licencia emplean encriptación simétrica o asimétrica; en cambio, las herramientas pagas utilizan la encriptación híbrida que, como mencionamos antes, es la más segura y rápida.

Administración centralizada

Con las herramientas pagas cuentas con una interfaz de administración centralizada en la que podés:

  • Definir grupos de encriptación con clave privada.
  • Usar containers separados de llave para uso específico.
  • Sincronizar en grupos AD.
  • Establecer la fecha de vencimiento de una clave específica para mayor control.
  • Hacer uso de mecanismos de recuperación de claves.

Cumplimiento de normativas

Hay industrias, como la bancaria, que tienen unos estándares de seguridad en el manejo de la información que deben cumplirse para poder operar. Es fundamental que las empresas cuenten con sistemas de encriptación robustos que garanticen el cifrado de la información según a los estándares nacionales e internacionales.

Además de estas ventajas, la inversión para adquirir una solución de encriptación paga es mínima, si se compara con los problemas que puede evitar: dependiendo del tamaño de la organización y su industria, los costos pueden ir desde los 232 hasta los 331 dólares por año, según los resultados de un estudio realizado por el Ponemon Institute. Aunado a esto, siempre podrás acudir al desarrollador de la herramienta ante cualquier inconveniente.

¿Qué buscar en una solución de encriptación?

Ahora que ya sabés porque adquirir una solución de encriptación paga es la mejor opción para preservar la información de tu empresa, es momento de buscar el software que mejor se adapte a las necesidades de tu empresa. Te damos algunos puntos clave que debes tomar en cuenta a la hora de seleccionar un sistema de encriptación que cumpla su trabajo sin afectar la productividad del usuario final:

Flexibilidad

Si tenés una empresa en pleno proceso de crecimiento, lo más probable es que la cantidad de información sensible que debas almacenar y la cantidad de formatos en los que manejes tus archivos incremente, por lo que al momento de buscar una solución de encriptación, debes buscar una que tenga capacidad para generar y almacenar múltiples claves.

Versatilidad

En el entorno empresarial de hoy, pensar en cifrar archivos solamente en los equipos que los empleados usan durante su jornada en las oficinas no es lo más conveniente. Hoy en día el trabajo se traslada más allá de las paredes de la sede de la empresa, por lo que adquirir una solución que se puede trasladar a archivos alojados en la nube, y estaciones de trabajo como dispositivos USB, discos extraíbles y notebooks, es la mejor opción para proteger la información a donde quiera que vayan los colaboradores.

Administración centralizada

Una solución adecuada para empresas debe dar la posibilidad de administrar de forma centralizada las políticas y claves de protección de datos. Este control va más allá de la administración y distribución de claves: también es importante contar con la capacidad de saber qué usuario ha hecho una determinada acción dentro de su sistema, y aplicar restricciones de accesos de acuerdo a los roles desempeñados.

Reporting

El control de la solución de encriptación ideal va más allá de la administración centralizada, debe proporcionar una visión del estado del cifrado actual, de todos los usuarios y dispositivos que hacen vida en la organización, desde la consola del administrador. Esto permitirá optimizar la protección de los datos conforme tu empresa vaya creciendo y evolucionando.

Ya que conocés de qué trata la encriptación y su importancia para el funcionamiento adecuado y seguro de una empresa, te invitamos a comunicarte con nosotros: tenemos la solución de encriptación que se adapta a tus necesidades.

julio 19, 2017

Todo lo que tenés que saber sobre Ransomware

NextVision

0

El Ransomware ha afectado a miles de empresas y particulares desde hace más de 20 años; sin embargo, su amenaza no ha hecho sino crecer y hacerse más complicada de contener por la sofisticación que este tipo de ataques ha desarrollado a lo largo de su historia.

Para que tu empresa se pueda defender, la información es vital. En esta nota cubriremos todos los aspectos del Ransomware: desde su historia, hasta el protocolo a seguir ante ataques y el futuro de esta amenaza, para que tu negocio no sea víctima del crimen cibernético más prominente en la actualidad.

¿Qué es el Ransomware?

El Ransomware, palabra que surgió de la unión de “Ransom” (rescate) y “Ware” (software) es un tipo de programa malicioso que encripta datos y restringe el acceso a programas de la computadora que infecta, y pide un rescate a los afectados para recuperar el acceso. El rescate suele ser una suma de dinero (que normalmente parte desde los 500 USD) que los cibercriminales piden que se envíe por medios como la criptomoneda Bitcoin, a cambio de una clave de decriptación para poder recuperar el acceso completo a la máquina. Normalmente el tiempo para pagar el rescate es limitado: si la víctima no paga a tiempo, se lo amenaza con aumentar la suma de rescate o con la destrucción de sus archivos.

A pesar de pedir un rescate relativamente bajo por víctima, los cibercriminales han logrado hacer ataques de mayor alcance, llegando a infectar cientos de miles de máquinas de una sola vez, incrementando sus posibilidades de recaudación, aunque no todas las víctimas paguen el rescate: según el portal Digital Guardian, sólo la variante CryptoLocker ha generado 320 millones de dólares en ganancias por rescates.

Desde el primer ataque registrado, los cibercriminales han ido desarrollando programas cada vez más sofisticados: difíciles de detectar o crackear, y cada vez más fáciles de lanzar. Estas son algunas de las variantes de Ransomware famosas por los estragos que han causado en los últimos años:

Locky

Nota de rescate generada en ataques con Locky. Fuente: Heimdal Security

Lanzado en 2016, este Ransomware normalmente es enviado con un correo que se hace pasar como una factura en un archivo adjunto de Microsoft Word, usualmente llamado “_Locky_recover_instructions.txt”. Para infectar un equipo, Locky usa una macro maliciosa y se vale de una técnica de ingeniería social al insertar la frase: “Habilitar macro para visualizar la factura”: si el usuario ejecuta la macro, el equipo es infectado.

Locky encripta archivos como videos, imágenes, documentos de Office y código fuente, y cambia sus extensiones por .locky. Además de archivos guardados, también restringe el acceso a copias automáticas hechas por el sistema operativo, lo que hace muy difícil recuperar la información secuestrada sino se cuenta con un buen backup.

Desde sus inicios, Locky ha sido actualizado para evadir el origen del correo en el que se envía el archivo malicioso y puede encriptar archivos con extensiones como: .zepto, .odin, .shit, .thor, .aesir, and .zzzzz. La última versión, lanzada en diciembre 2016, usa la extensión .odin.

Actualmente las infecciones por Locky han disminuido porque los cibercriminales comenzaron a dejarlo de lado desde junio de 2016.

Cerber

Nota de rescate de Cerber. Fuente: Bleeping Computer

Este Ransomware, al igual que Locky, se propaga a través de correo spam con un archivo adjunto de extensión .docx en el que se manipula al usuario para habilitar las macros maliciosas que infectan el equipo. Uno de los aspectos más notables de Cerber es que no afecta equipos localizados en estos países: Azerbaiyán, Armenia, Georgia, Bielorrusia, Kyrgyzstan, Kazajistán, Moldavia, Turkmenistán, Tajikistán, Rusia, Uzbekistán y Ucrania.

Cuando el equipo es infectado, Cerber deja notas de rescate en las carpetas de los archivos encriptados, una de estas notas puede ser un mensaje de audio. En estas notas se le deja a  la víctima instrucciones para descargar el navegador anónimo Tor y un enlace a una página alojada en la web profunda para recibir más instrucciones sobre el pago.

Por lo que se conoce, Cerber puede ser una de las primeras cepas de Ransomware ofrecida como servicio, esta modalidad se denomina Ransomware as a Service (RaaS): los desarrolladores han puesto a disposición de los demás usuarios el acceso a Cerber mediante una suscripción, y estos se quedan con una parte de lo recaudado por los ataques.

TeslaCrypt

Nota de rescate de TeslaCrypt. Fuente: Los Virus

Actualmente en desuso, TeslaCrypt inició sus ataques en febrero de 2015, encriptando data de determinados videojuegos como mapas, perfiles de personajes, partidas guardadas, etc.; no obstante, en versiones posteriores comenzó a afectar otro tipo de archivos. Infectaba los equipos usando exploits como Angler, Sweet Orange y Nuclear, que afectaban Adobe Flash: de acuerdo al blog portal segu-info, un exploit es un programa o código que se aprovecha de alguna vulnerabilidad encontrada en un programa para entrar en un sistema y realizar ataques. Siguiendo la definición, TeslaCrypt se aprovechaba de está vulnerabilidad para ingresar en un equipo e infectarlo.

La infección se producía cuando la víctima visitaba un sitio web comprometido y el exploit descargaba el Ransomware en la carpeta de archivos temporales del equipo, aprovechando vulnerabilidades del plugin desactualizado de Adobe Flash del navegador usado. Una vez instalado, TeslaCrypt comienza a ejecutar varias operaciones en segundo plano para iniciar la encriptación en el próximo reinicio del equipo, Cuando se reinicia el sistema, el Ransomware encripta los archivos y deja notas de rescate en las carpetas que contienen estos archivos.

A mediados de 2016, sus desarrolladores lo dieron de baja y publicaron la clave maestra para desencriptar los archivos infectados en el sitio web que usaban para los pagos.

El sitio de pagos de TeslaCrypt muestra la clave maestra para el desbloqueo de archivos. Fuente: Bleeping Computer

CTB-Locker

Nota de rescate de CTB-Locker. Fuente: GFOS Seguridad Informática

Operando desde 2015, CTB-Locker se propaga principalmente por 2 vías: a través de correo electrónico adjuntos como faxes, facturas vencidas, y avisos de suspensión de cuenta, o con anuncios de antivirus falsos. Una vez que el equipo está infectado y los archivos cifrados, CTB-Locker despliega en la pantalla la correspondiente nota de rescate y una demostración de cómo la víctima podrá recuperar sus datos si accede a pagar el rescate.

Las siglas en inglés CTB revelan mucho de la naturaleza de este Ransomware, aquí te las explicamos:

  • C (Curva): se refiere al uso del cifrado de curva elíptica para cifrar los archivos de los afectados, mucho más complicado de desencriptar.

 

  • T (Tor): se refiere al servidor malicioso C2, alojado en el dominio .onion del navegador Tor, muy difícil de detectar y de dar de baja.

 

 

  • B (Bitcoin): evidentemente, se refiere a la criptomoneda que los cibercriminales suelen usar para cobrar los rescates.

 

CTB-Locker es otra de las variantes de Ransomware ofrecida por los desarrolladores bajo la modalidad RaaS, en este caso, el monto pedido en los rescates es escogido por el usuario del Ransomware.

Cryptolocker

Nota de Rescate usada por CryptoLocker. Fuente: Genbeta

Esta variante comenzó a extenderse a finales de 2013 y finalizó su actividad en mayo de 2014. Su creador es el ruso Evgeniy Bogachev, el hacker más buscado del mundo en la actualidad.

Cryptolocker usaba un cifrado asimétrico RSA, lo que quiere decir que tiene 2 claves para su desencriptación, una pública y otra privada, en este caso la privada se alojaba en los servidores del Ransomware. Al igual que otras variantes, CryptoLocker infectaba equipos a través de correo malicioso, y amenazaba a las víctimas con destruir la clave privada si no pagaban el rescate, lo que dejaría los archivos encriptados permanentemente.

La particularidad de Cryptolocker radicaba en la longitud de la clave pública que usaba como parte del cifrado, los expertos que analizaron el Ransomware en su momento determinaron que era tan larga que era imposible usar un ataque de fuerza bruta, esto es, probar con varias claves hasta dar con la correcta.

Después de recaudar cientos de millones de dólares en rescates, el Ransomware fue dado de baja el 2 de junio de 2014 durante la Operación Tovar: una iniciativa que unió al FBI, la Interpol, varios proveedores de ciberseguridad y universidades que buscaba acabar con Gameover ZeuS, el botnet desde que el se distribuía Cryptolocker.

WannaCry

Nota de rescate de WannaCry. Fuente: Viral4Real

Los ataques con la variante WannaCry (también conocida como Wana Decrypt0r 2.0, Wanna Decryptor o WannaCrypt) comenzaron el 12 de mayo de 2017 y se ha convertido en el ataque de Ransomware más amplio y nocivo que se ha realizado: hasta el momento, ha infectado a más de 230.000 equipos en 150 países, teniendo como víctimas más prominentes empresas como Telefónica, la ferroviaria alemana Deutsche Bahn, FedEx, la Red de Servicios de Salud de Reino Unido y la aerolínea LATAM.

Historia del Ransomware

Aunque los ataques de Ransomware comenzaron a hacerse notorios a partir de 2005, su historia se remonta a mucho antes. Acá hacemos una cronología en la que abarcamos el primer ataque de Ransomware conocido, y los ataques que le han dado a este Cibercrimen la notoriedad que actualmente tiene.

El primer ataque de Ransomware

El Ransomware comenzó sus andadas hace casi 30 años, concretamente en 1989, y la industria de la salud fue su primera víctima. De acuerdo a Becker’s Hospital Review, el ataque llegó a las computadoras de 20.000 investigadores del VIH ubicados en 90 países porque el Dr. Joseph Popp, también investigador de esta enfermedad, infectó con un Ransomware unos diskettes que contenían material de investigación. Los equipos se infectaron después de reiniciarse 90 veces y al aparecer una nota en las pantallas en la que pedía hasta 378 dólares por “alquiler de software”. Desde entonces, la industria de la salud ha sido una de las víctimas predilectas de los cibercriminales para ejecutar ataques con Ransomware.

Si bien los expertos declaran que el virus del Dr. Popp tenía muchos defectos, sentó las bases de lo que terminaría siendo un negocio muy lucrativo para el cibercrimen.

Los ataques de Ransomware más famosos

A pesar de ser un problema constante, no todos los ataques de Ransomware llegan a los titulares. Solo los más grandes y los que más estragos causan acaparan la atención del mundo, aquí les presentamos un recuento de los ataques de Ransomware que más resonancia han tenido en la opinión pública hasta la fecha:

Hollywood Presbyterian Medical Center (HPMC)

Fuente: Healthcare IT News

Este hospital de Los Ángeles fue víctima de una ataque en 2016, los cibercriminales bloquearon el acceso a la red del hospital, los correos electrónicos y las historias clínicas de los pacientes por varios días. Finalmente, el hospital optó por pagar el rescate exigido de 17.000 USD (40 Bitcoins) para poder recuperar acceso a sus datos. Unos días después, el Departamento de Salud del Condado de Los Ángeles reportó que fue infectado con un virus similar, pero fue capaz de aislar los equipos infectados a tiempo.

Kentucky Methodist Hospital, Chino Valley Medical Center y Desert Valley Hospital

En marzo el 18 de marzo de 2016, estos 3 centros descubrieron que sus sistemas habían sido infectados con la variante Locky. A pesar de que pudieron recuperar todos sus datos sin pagar el rescate 6 días después, sufrieron disrupciones no solo los hospitales directamente infectados, sino otros hospitales con los que compartían archivos.

WannaCry

Como mencionamos arriba, el ataque masivo perpetrado con el ransomware WannaCry es uno de los más letales hasta la fecha. WannaCry se expandió usando Eternal Blue, un exploit que se cree ha sido desarrollado por la Agencia Nacional de Seguridad de Estados Unidos (NSA) y fue filtrado por el grupo de hackers “Shadow Brokers”, en abril de 2017. Este exploit se aprovecha de una vulnerabilidad encontrada en la seguridad de las versiones de Windows actualmente mantenidas por Microsoft, que permitía a los atacantes ejecutar programas en remoto. La compañía creó un parche para solventar el problema en marzo de 2017, pero no fue instalado en muchos equipos antes de que el ataque de WannaCry ocurriese.

Que las grandes compañías afectadas no hayan instalado el parche se atribuye a lo engorroso que resulta actualizar el sistema operativo de todos los equipos que operan en una compañía como Telefónica, por ejemplo, que cuenta con poco más de 120 mil empleados: “Con 120.000 usuarios podría realizarse en un plazo de 3 a 4 horas. Pero como algunas estaciones de trabajo pueden estar apagadas al intentar la actualización, que además suele demandar un reinicio de la máquina, la instalación exitosa del parche a 120.000 usuarios en un escenario productivo normal, puede llegar a demorar días o incluso semanas.” explicó Pablo Verdina, director de tecnología de NextVision, en declaraciones al diario La Nación.

La infección pudo ser contenida por un golpe de suerte de Marcus Hutchins, autor del blog MalwareTech, quien descubrió cómo mitigar la propagación del Ransomware al registrar un dominio sin registrar escondido dentro del código, al hacer esto, se dió cuenta de que WannaCry solo encriptaba los archivos si las víctimas se conectaban a este dominio: al tomar el control del dominio detuvo el daño. Gracias a Hutchins, el mundo pudo respirar y comenzar a pensar en medidas de seguridad para contrarrestar la expansión del Ransomware.

Los responsables del ya denominado “Cibercrimen del siglo” aún se desconocen. En un principio se sospechó del gobierno de Corea del Norte; sin embargo, la firma de seguridad de datos Flashpoint analizó la nota de rescate generada por el Ransomware y declararon estar casi seguros de que al menos uno de los perpetradores es chino o al menos maneja el idioma con fluidez, ya que parece ser que la nota escrita en chino sirvió como base para traducir las notas en otros idiomas.

Petya

Nota de rescate de Petya. Fuente: The Verge

El 28 de junio de 2017 grandes compañías en países como Rusia, Ucrania, España, Dinamarca, Reino Unido y Estados Unidos fueron afectadas por el Ransomware de la variante Petya, también llamado NotPetya, que usó la misma vulnerabilidad en Windows de la que se aprovechó WannaCry en su momento. A pesar de tener similitudes, Petya es un virus más sofisticado que WannaCry porque no tiene una vulnerabilidad tan evidente como la que usó Marcus Hutchins para detener la infección causada por este último.

Los estragos que causó Petya saltan a la vista: Con más de 20.000 equipos infectados entre las empresas afectadas, todas las líneas de negocio en 130 países de la gigante de transporte y energía danesa Moller-Maersk se vieron comprometidas, las operaciones de decenas de bancos ucranianos se vieron afectadas, e inclusive el tablero de entradas y salidas de vuelos del aeropuerto más grande de Kiev sufrió fallas.

Actualmente el método de pago de Petya se encuentra deshabilitado; en este sentido, el 6 de julio de 2017, el creador de este Ransomware se pronunció a través de una página de la deep web solicitando 250.000 dólares (100 Bitcoins) a cambio de la clave universal para desbloquear los equipos infectados. Aunque en un principio se pensó que el ataque de Petya tenía la finalidad de lucro de un Ransomware común, expertos han coincidido en que podría tratarse de un arma de ciberguerra, ya que los atacantes hicieron especial énfasis en hacer daño a empresas ucranianas y, más allá de secuestrar archivos, afecta el sistema de arranque y daña el disco rígido de las máquinas, lo que le da más atributos de gusano destructivo que de Ransomware.

¿Cómo se produce un ataque de Ransomware?

Infección

Ahora, veamos cómo es posible que un Ransomware infecte un equipo. Los virus de Ransomware normalmente se propagan mediante estos canales:

    • Email (Phishing): es quizás la vía por la que más víctimas caen. El Phishing es una técnica de ingeniería social que busca engañar al usuario haciéndose pasar por una comunicación legítima. Normalmente engañan a las personas para que ingresen a sitios web comprometidos o descarguen archivos que contienen el código malicioso. De acuerdo a un reporte de PhishMe para el primer trimestre de 2016, 93% de los correos de phishing contenían Ransomware.

 

  • Anuncios maliciosos: el Ransomware infecta el equipo una vez que el usuario hace click a uno de estos anuncios.
  • Dispositivos USB
  • Programas desactualizados, mediante Exploit Kits.

 

Post-Infección

Una vez que el virus está en el equipo, su actuación específica depende mucho de la variante, pero generalmente escanea los archivos y los bloquea cambiándoles la extensión. Luego genera la nota de rescate, ya sea cambiando el fondo de pantalla o colocando notas en las carpetas de los archivos secuestrados.

¿Cómo actuar ante un ataque de Ransomware?

Si sos víctima de Ransomware, esto es lo que tenés que hacer para combatir la infección y salvar tus datos:

  1. Aislá el equipo: esto evita que afecte a otros equipos conectados a la red.
  2. Analizá la nota de rescate: cada variante de Ransomware tiene una impronta que lo distingue de las demás. Como mostramos en las imágenes de las notas de rescate de las variantes que analizamos arriba, las notas no son iguales. Analizar la nota te puede dar una idea de a qué variedad de Ransomware te estás enfrentando. Otra forma de saber cuál variante de Ransomware infectó tu equipo es ver bajo cuál extensión fueron bloqueados tus archivos.

Si no podés analizar la nota, enviala a tu proveedor de ciberseguridad.

 

  • Desinfectá la máquina: Los tipos de Ransomware más sencillos pueden ser eliminados corriendo un antivirus. Si no podés ingresar al sistema operativo o ejecutar programas, probá restaurando el sistema desde el arranque, si aún así no podés entrar a Windows, podés correr un antivirus desde un disco ejecutable o un USB.

 

Si, a pesar de estos intentos no logras ingresar a tu sistema, tendrás que reinstalar el sistema operativo.

  1.      Restaurá tus archivos: con la ayuda de tu backup, recuperá tus archivos. Se recomienda contar con un respaldo offline y actualizarlo constantemente, si solo se cuenta con un backup online, se corre el riesgo de que el Ransomware lo infecte.
  2. Pero… ¿Y si no tenés backup? En este caso, se tiene que evaluar si se puede continuar la operación del negocio sin esos archivos, o pagar el rescate. Aunque pagar el rescate nunca es recomendable, ya que no hay garantía de que podrás recuperar tus archivos; por ejemplo, durante la época de ataques con Cryptolocker, muchos afectados declararon nunca haber recuperado sus archivos a pesar de haber pagado el rescate.

¿Cómo protegerse de ataques de Ransomware?

Si bien no existe forma de blindarse totalmente, la mejor defensa contra el Ransomware es la prevención. Es por eso que te damos una guía para que evites que tu empresa sea una víctima más:

    • Hacer un backup regular de los datos de las máquinas y el servidor.
    • Tener un backup offline.
    • Mantener actualizados los parches de los programas y sistemas operativos para evitar ser víctima de vulnerabilidades.
    • Mantener el antivirus actualizado.
    • Usar un bloqueador de anuncios.
    • Usar un programa anti-spam para proteger los correos.
    • Aplicar directivas de restricción de software para limitar la ejecución y descarga de archivos.

 

  • Educación y concientización: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa para que sepan cómo actuar mientras trabajan y navegan por Internet. En líneas generales, estos son algunos consejos que pueden seguir:
  • Leer los mensajes antes de aceptar la descarga de cualquier archivo.

 

    • Desconfiar de anuncios online de antivirus que dicen detectar infecciones en el equipo.
    • No ingresar a URLs que vengan dentro de correos que no son esperados o son sospechosos.

El futuro del Ransomware

El Ransomware es un problema que está lejos de desaparecer, ya que a pesar de que muchos logran recuperar sus archivos sin pagar rescate, hay otros tantos que sí lo hacen, lo que ha provocado que los ataques de Ransomware se hayan convertido en un negocio muy lucrativo para los cibercriminales: solo Cryptolocker acumuló más de 300 millones de dólares y, como mencionamos arriba, muchos de los que pagaron nunca recuperaron sus archivos. Actualmente, los atacantes apuntan cada vez más a grandes corporaciones y de forma masiva, por lo que se espera que veamos variantes de Ransomware más letales y más difíciles de tratar en el futuro.

Además, los cibercriminales están expandiendo su “modelo de negocio” con el ofrecimiento de Ransomware como un servicio, poniendo a disposición de cualquier persona (sin necesidad de tener grandes conocimientos técnicos) los códigos de Ransomware para lanzar ataques a cambio de un porcentaje de los rescates. CTB-Server, Cerber y Petya son pioneros en esta modalidad de distribución que comienza a hacerse popular.

En definitiva, podemos afirmar que tendremos más noticias de Ransomware en el futuro cercano. Mientras tanto, queda como tarea para las empresas reforzar su protocolo de ciberseguridad para que no sean sorprendidas por un ataque que, si bien no es posible evitar completamente, pueden mitigarse sus efectos para tener una recuperación rápida y continuar sus operaciones como si nada hubiera pasado.

¿Querés conocer más detalles? Podés mirar nuestros webinars: uno dedicado a profundizar más en el Ransomware y otro enfocado en las enseñanzas que nos dejó el ataque de WannaCry.