¿Estamos protegiendo lo más importante?

CCN-CERT: Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas). La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa.”

Llegó el día en que, nuevamente, el mundo se golpee con algo que no veía venir, una especie de Cisne negro para el cuál nadie esta lo suficientemente preparado. Las noticias del día Viernes 12 de Mayo seguro sorprendieron a muchos.

Sobre todo a directores y gerentes que no son TI o viven el mundo tecnológico.

Empresas como Telefónica y BBVA son imperios con alta visibilidad en gran parte del mundo. En términos tecnológicos pueden ser modelos a seguir. Hoy han sido expuestas, mostrando que le puede pasar a todos. Grandes inversiones en equipamiento, excelente consultores y referentes de la seguridad, parece no ser suficiente para contrarrestar esta ola de delincuencia cibernética.

La era de la seguridad informática como concepto medieval se terminó. No hay un mal afuera del cuál protegerse ya que hoy nuestros enemigos pueden estar dentro. Peor aún sin saber ellos que pueden ser enemigos de su propia empresa. En esta ciber-guerra los muros ya no alcanzan, las puertas de los grandes castillos tampoco. Hoy estos incidentes nos muestran que la necesidad no pasa únicamente por infraestructura y buenas prácticas TI.

La tecnología es parte de nuestro día a día corporativo y personal. Hacemos uso de ella a diario, sin embargo debemos preguntarnos ¿cuanto tiempo le dedicamos a la conciencia de mantener un nivel de seguridad responsable de estos dispositivos?. ¿Cuáles son las preguntas que debemos hacernos al hacer uso de estos equipos tecnológicos? Tal vez estos eventos recientes nos demuestren que si bien vamos por un buen camino hay preguntas que no estamos sabiendo como responder.

El factor humano en la seguridad hoy es la piedra angular. Necesitamos usuarios con conciencia, que hagan uso responsable del equipamiento personal y corporativo.

Desde VHGroup nosotros comenzamos a hacernos esas preguntas y aún siendo una empresa que implementa soluciones de Seguridad Informática entendimos que el cambio de paradigma es otro. Hoy nuestra mayor defensa son nuestros usuarios, el nivel de conocimiento y conciencia que tengan del uso de la tecnología será el indicador que mueva nuestra aguja  y que deberá mostrar efectividad a la hora de evaluar la seguridad.

Es importante crear campañas de conciencia a  los diferentes equipos que trabajan en la empresa, poder medir el conocimiento antes y después, ofrecer a la alta gerencia nuevos KPI´s que determinen el nivel de conciencia acerca de la seguridad informática.

Este es un problema que interviene e interpela a todos los integrantes de cualquier organización.

La realización de un framework de Concientización es en donde hemos invertido en VHGroup en los últimos años porque creemos que la mejor manera de disminuir el riesgo es este. Creando conciencia, educando y facilitando información. Llevando el mundo de la seguridad, de una manera didáctica, a todas las areas y personas.

Estos eventos que suceden a grandes corporaciones deben servirnos de ejemplo para prepararnos sin asustarnos. Debemos desde el Directorio corporativo hasta la operación del día a día adoptar este nuevo lenguaje en donde cada uno tiene un rol importante.

Ponemos a disposición de Uds. un articulo de nuestra autoría en referencia a el Ransomware, en el mismo podrán encontrar distintos detalles y recomendaciones que si bien poseen más de 2 años hoy sigue totalmente vigente: Articulo Ransomware

El negocio debe estar acompañado de una cultura en Seguridad

LINKEDIN SUFRIO EL ROBO DE 167 MILLONES DE CONTRASEÑAS, LUEGO LAS MISMAS FUERON VENDIDAS EN EL MERCADO NEGRO DE INTERNET. AMY PASCAL PRODUCTORA Y EJECUTIVA DE SONY PICTURES TUVO QUE DEJAR SU PUESTO LUEGO DE UN CIBERATAQUE DONDE SE EXPUSIERON DATOS PRIVADOSQUE FUERON ENVIADOS VÍA MAIL ENTRE ELLA Y OTROS EJECUTIVOS DE LA INDUSTRIA DEL CINE.
La lista es larga y a veces sorprende, como si de una película se tratase
¿Cuál debería ser el rol de un director o CxO en base a este tipo de episodios? ¿Desde donde bajar una estrategia clara si la velocidad de lo que pasa es propia de esta época y no hay referencias?

Los directorios en sus estrategias tienen un lenguaje que adoptar y es el de la tecnología como pivote para fomentar sus modelos de negocios. ¿Como una empresa puede pasar “de ser un potencial Kodak a Netflix”?

Este nuevo “lenguaje” o regla de juego es a veces vertiginoso en algunas empresas donde la adopción de la tecnología es compleja por no ser compatible con sus modelos organizacionales. Hoy todas las empresas deben volverse digitales y al ingresar en este nuevo canal deben poder entender y conocer las nuevas reglas del juego.

Hay una regla oculta en la transformación digital, la misma tiene que ver con la confianza, transparencia y solvencia de una empresa en relación al cliente y la sociedad.

Podemos imaginar la parte de arriba de un iceberg como si fuera la tecnología, con sus aplicaciones, lenguajes y potencialidades exponenciales. Mientras que la parte de abajo representaría la seguridad informática, esa parte que nadie ve y que esta durmiendo a la espera de ser encontrada.

Una pregunta común respecto a la potencialidad de un problema como los comentados anteriormente (Linkedin y Sony) es: ¿Por que a mí empresa?, y lo interesante de este punto es que producto de la misma tecnología muchos de los ataques informáticos que generan grandes pérdidas y daños económicos a las empresas no están estratégicamente direccionados a las mismas, sino mas bien pensados como una gran red de pesca tirada al mar para ver que se puede encontrar de interesante.

Para responder a las primeras preguntas de este artículo, creo que debemos comenzar por generar una nueva conciencia de lo que la adopción de la tecnología trae bajo el agua y hacernos cargo de ello. Nuestros modelos organizacionales deben tener instalado un nuevo lenguaje devenido en una cultura enfocada en la seguridad de la información, abarcando todos sus ámbitos y espacios. Este nuevo lenguaje debe ser instalado desde la estrategia de la compañía, basándose en los pilares de la transparencia y confianza que debe generar con sus clientes y el entorno.

Hoy los CxO ́s también deben estar preparados para responder estas preguntas desde la tecnología, adoptando para ello las mejores prácticas disponibles en el mercado.

Es realmente importante aperturarse como compañía a la adopción de este nuevo paradigma tecnológico donde debemos ser responsables y tomar conciencia del riesgo suscrito en la implementación de tecnologías.

Crear una cultura segura dentro y fuera de la Empresa

Seguramente habrán escuchado frases como: “La cadena se rompe por el eslabón más débil”. Dentro del ámbito de la seguridad se utiliza mucho haciendo referencia al usuario, ya que podemos tener un entorno súper seguro y muchísimas herramientas de monitoreo, pero si el usuario no utiliza la tecnología en forma consciente y segura, es muy probable que tengamos una brecha de seguridad. De esta forma, nuestra empresa podría ser víctima de diferentes amenazas. Por ejemplo: un Ransomware que secuestre nuestros propios datos y no podamos acceder a ellos sin pagar un rescate; un engaño donde se le otorgue a un intruso acceso físico a lugares restringidos o se le entreguen datos sensibles a un ciberdelincuente; y así podríamos seguir y seguir. Es por todo ello que debemos crear una cultura segura tanto dentro como fuera de nuestra empresa.

POR DÓNDE EMPEZAR
Una muy buena forma de comenzar es incluir un programa de concientización dentro de nuestra estrategia de seguridad, y así poder alcanzar a todas y cada una de las personas que componen nuestra empresa. Ahora, muchos se preguntarán por qué hacemos tanto hincapié en “dentro y fuera de la empresa”. Bueno, es simple: a una persona se la puede entrenar para que utilice en forma segura y consciente las herramientas y recursos tecnológicos de su empresa, pero de nada sirve si no hace lo mismo con los propios.

Veamos un ejemplo:
Un usuario obtuvo un muy buen entrenamiento dentro de su empresa, donde tomó conciencia en el uso seguro de la tecnología y la detección de técnicas de ingeniería social. Al conocer las distintas amenazas y la forma de proceder de los ciberdelincuentes, él se encuentra más atento y es más cuidadoso en su trabajo. Pero a las 18:00 hs., cuando se retira (o todavía dentro de la empresa), recibe solicitudes de amistad en Facebook, aceptándolas sin preguntarse siquiera de quiénes proceden. Hace publica fotos en las redes sociales (hasta incluso tomadas desde dentro de la empresa), descarga cualquier tipo de aplicación (oficial y no oficial) en su celular sin chequear los permisos y el desarrollador antes de instalarla, mantiene las conexiones inalámbricas de sus dispositivos continuamente encendidas, se conecta a cuanta red inalámbrica encuentre y navega con su notebook por cualquier sitio dando aceptar a cuanto cartel se le presente.

Como se puede apreciar, este usuario tiene un proceder correcto al utilizar los recursos de la empresa, pero no es así con su vida personal. Si bien parece que en este caso exageramos un poco, deben creernos algo en base a nuestra experiencia en consultorías: existen muchas personas que actúan de esta manera. Muchas veces, esto es debido a que se instruyó al usuario en el uso seguro de las distintas herramientas de la empresa y no así en el uso de redes sociales, dispositivos personales, etc.

Aquí podemos apreciar una gran brecha de seguridad, ya que si el objetivo es claro, los ciberdelincuentes no solo se limitarán a atacar los recursos de la empresa, sino que también podrán enfocarse en los recursos personales de sus empleados o hasta incluso (dependiendo la magnitud del ataque) objetivos satélites como familiares o amigos.

PROGRAMA DE CONCIENTIZACIÓN
A continuación detallaremos algunas de las acciones que se pueden llevar adelante para cubrir distintos frentes y así lograr mayor visibilidad, sustentabilidad e interés por un programa de concientización.

Evaluación: como primera medida, es muy importante poder evaluar tanto el conocimiento o la percepción que los empleados poseen con respecto a la seguridad, como también realizar diferentes tests que nos ayuden a conocer cómo estamos parados frente a posibles ataques (campañas de phishing, engaños telefónicos, intentos de intrusión, etc.). La información resultante nos servirá para poder realizar una comparativa de estado a medida que avanzamos con las diferentes acciones.

Charlas y talleres: muy buenos resultados son los que podemos obtener al realizar charlas y talleres. Pueden ser segmentados en grupos específicos (gerentes, técnicos, etc.) o abiertos dependiendo los recursos y alcances de (la empresa), siempre intentando alcanzar a todos los usuarios.

Videos y material gráfico: nunca está de más contar videos y material gráfico para el apoyo de las diferentes acciones. Algo muy importante es que deben expresar de forma simple y clara lo que se quiere transmitir (tips, datos de referencia, infografías).
El material gráfico puede ser tanto digital (para ser distribuido a tra-vés de mailing, publicarlo en el sitio web de la empresa o la intranet), como también impreso (folletos, carteles).

Plataforma de e-learning: debido al ritmo de trabajo en las empresas, en general no se llega a exponer o profundizar sobre todos los temas en las charlas y talleres.
Es por eso que una muy buena práctica es disponer de una plataforma de e-learning que sirva a los usuarios como material de apoyo y consulta permanente. Es importante disponer de información clara y precisa. Y se pueden adoptar distintos formatos: videos, imágenes, audio, documentos, etc.

VOLVER A EMPEZAR
Es un error pensar en la seguridad como una solución que se implementa y funciona en forma desatendida. Diríamos que es todo lo contrario: cuando implementamos una solución, un programa de concientización o habilitamos un canal para la comunicación, estamos recién comenzando. Todas y cada una de las acciones que realicemos necesitan un seguimiento, ajuste o cambio.

La tecnología está en constante evolución, como también las amenazas, nada es estático y mucho menos debemos serlo nosotros.

CONCLUSIONES

Al finalizar nuestras charlas nos gustar hacer una analogía, que compartimos a continuación: Seguramente cuando éramos niños muchos de nosotros cruzábamos la calle sin prestar atención, nos daba lo mismo cruzar por la esquina que por mitad cuadra y que el semáforo estuviera en rojo o en verde. Esto sucedía porque no teníamos conciencia sobre las amenazas existentes (automóviles que pudieran atropellarnos) y no teníamos consciencia sobre nuestra integridad física. Por suerte, tuvimos a nuestros familiares o amigos que nos enseñaron a cruzar por la senda peatonal, pero antes esperar que el semáforo se pusiera en rojo y mirar hacia ambos lados.

Hoy en día, es impensable que una persona adulta cruce una calle o avenida por cualquier lugar, sin mirar y con el semáforo en habilitándolo. La persona no realiza un gran esfuerzo mental para poder cruzar en forma segura, ya que lo hace de una manera natural. Esto mismo debemos lograr con nuestra vida digital (tanto personal como laboral), incorporando de a poco hábitos seguros y utilizando la tecnología en forma consciente hasta lograr que estas acciones se vuelvan totalmente naturales.

(in)Seguridad Wi-Fi

Las redes inalámbricas son la manera de conectarse preferida por muchos usuarios. Sin embargo, son muy vulnerables a intrusiones y engaños.

Cuando dictamos nuestros cursos y seminarios de seguridad solemos hacer las siguientes preguntas: ¿cuántos de ustedes poseen uno o más smartphones?, ¿quiénes tienen la conexión Wi-Fi encendida o suelen mantenerla de este modo? En base a las respuestas obtenidas estamos en condiciones de afirmar que en la gran mayoría de los casos los asistentes poseen uno o más smartphones, de los cuales al menos la mitad mantiene la conexión Wi-Fi encendida casi en forma permanente.

En general esta acción se debe al olvido (conectarse en lugares específicos y luego retirarse sin desactivar la conexión) o quizás por tratar de “enganchar” alguna red Wi-Fi “libre” y así poder descargar más rápido los mails, mensajes de WhatsApp, Facebook, etc. (casi como que de una búsqueda del tesoro se tratase).

El objetivo de este artículo es conocer y analizar algunos de los riesgos y amenazas que conllevan las acciones del párrafo anterior. No solo nos enfocaremos en el uso de los dispositivos personales sino también en el cuidado y las precauciones que debemos tomar al implementar un punto de acceso inalámbrico, ya sea en nuestro hogar u oficina. Todo esto sin olvidar algunos consejos y recomendaciones que nos ayudarán a elevar nuestro umbral de seguridad de una forma notable.

A continuación vamos a detallar algunos riesgos y amenazas a los cuales estamos expuestos día a día. Si bien algunos ya los hemos compartido en nuestro artículo “El Fin de la Privacidad”, aquí trataremos detalles de cara a las redes que podemos tener en nuestro hogar u oficina.

Wardriving

figura1Si bien éste no conlleva un riesgo en sí, conociendo de qué se trata podemos apreciar que si no prestamos un mínimo de atención a la configuración de nuestro Access Point o Router Wi-Fi podremos quedar totalmente expuestos.

Veamos ahora qué es el Wardriving: una técnica que se utiliza para detectar redes Wi-Fi desde un vehículo en movimiento en una zona determinada. Para esto se utilizan computadoras, dispositivos Wi-Fi, antenas (externas o internas) y GPS. Como resultado se obtienen mapas donde puede apreciarse la posición geográfica de las redes detectadas junto a algunos detalles de las mismas (SSID – nombre de la red, dirección MAC, seguridad utilizada, etc.).

Ésta información suele compartirse en sitios como Wigle (uno de los más populares) para contribuir al desarrollo de mapas completos y actualizados.

Actualmente es muy común ver smartphones y tablets realizando este tipo de tareas, ya que poseen cada vez mayor capacidad de cómputo, Wi-Fi y GPS integrados, y aplicaciones desarrolladas específicamente para (Wigle, Wi-FiFoFum).

A partir del Wardriving han aparecido otras variantes que se identifican según el medio que se utilice para trasladarse. Por ejemplo: warwalking (caminando), wartraining (tren), warbiking (bicicleta) y bus wardriving (colectivo).

“Escucha” de redes conocidas

Al mantener nuestra conexión Wi-Fi activa, nuestros dispositivos se encuentran en constante búsqueda de las redes conocidas.

Básicamente, son las últimas redes a las cuales nos conectamos. Con esta información un atacante podría llegar a obtener nuestras “huellas”, ya que sabría exactamente qué redes usamos con frecuencia. Y al disponer de los datos obtenidos por Wardriving podría llegar a cruzar la información y saber nuestro recorrido cotidiano.

Suplantación

Existen algunos dispositivos que son capaces de “decir que sí” a todas las peticiones de nuestros dispositivos Wi-Fi (teléfonos, tablets, notebooks). Por ejemplo, como comentamos anteriormente, al mantener la conexión Wi-Fi encendida y no estar conectados a una red específica, en todo momento nuestros dispositivos se encuentran a la búsqueda de las redes que en algún momento se conectaron. Este tipo de dispositivos tienen la habilidad de engañar a nuestros móviles para hacerles creer que se encuentran conectados a “casa”, “trabajo”, etc. De esta manera se puede interceptar y obtener la información transmitida.

Access Points falsos

Además de las amenazas antes nombradas, existen muchos usuarios que van por la ciudad en busca de una red Wi-Fi “abierta”, sobre todo cuando las conexiones de datos móviles (3G, 4G) no funcionan muy bien que digamos (los atacantes agradecen esto a los proveedores). Esto implica un riesgo muy alto, ya que existen Access Points falsos a la espera de alguna víctima que intente conectarse a ellos.

figura2Un ejemplo muy claro podría ser un atacante que se encuentra cerca de una conexión abierta y concurrida (McDonald’s, Starbucks). Aprovechando esto, crearía un nuevo punto de acceso con un nombre similar al original (McDonald’s Free, Starbucks Coffee). A partir de allí los datos de los usuarios que se conecten a esa red podrán ser interceptados por el atacante (ver más abajo: “Man In The Middle”).

Man in The Middle

Como habíamos mencionado anteriormente, una vez que un atacante accede a una red, sis u intención fuese “husmear” o robar información, puede llegar a lanzar un tipo de ataque conocido como Man In The Middle (MiTM). Para ello generalmente se elige entre una o varias víctimas (servidores, estaciones de trabajo, smartphones, tablets, laptops, etc.) y se comienza a interceptar las comunicaciones que las mismas realicen entre sí o de cara a Internet. Así se pueden obtener datos sensibles de los distintos sitios y servicios que utilicen las víctimas. Por ejemplo: home banking, webmail, redes sociales, archivos transferidos, conversaciones, etc.

Deauthentication Attack

Este tipo de ataque puede traernos dolores de cabeza, ya que su objetivo es desconectar a los clientes del punto de acceso. Si bien generalmente se usa como una forma de conseguir el “handshake” (una secuencia de mensajes que se envían entre el punto de acceso inalámbrico y el dispositivo que se conecta a él), puede usarse como forma de potenciar un ataque de suplantación. En la suplantación, el atacante crea un AP (Access Point) falso con el mismo nombre que una red válida y luego envía una serie de paquetes de desasociación para que los dispositivos se desconecten de la red válida y se conecten a la red del atacante. El Deauthentication Attac también puede ser utilizado para generar un ataque de denegación de servicio (DoS Denial of Service), ya que es posible dejar sin conexión a uno o varios dispositivos por un buen tiempo.figura3

Dispositivos y herramientas de seguridad

Existen distintos dispositivos y herramientas que, si bien fueron concebidas para ser utilizadas por profesionales en seguridad IT, pueden caer en manos de personas con fines poco éticos para realizar alguno de los ataques antes mencionados (escucha de redes, suplantación, AP falso, Man In The Middle, etc.), entre otros.

Dichos dispositivos, al ser pequeños y alimentados por baterías, pueden ocultarse. Las herramientas de soft son aún más furtivas, ya que no podemos saber qué programa está utilizando tal o cual persona. De hecho hasta existen teléfonos y tablets (adaptados para este tipo de tareas) que poseen distintas herramientas de auditoría preinstaladas.

Protocolos de seguridad

Cuando comenzó a popularizarse el uso de redes Wi-Fi en hogares y oficinas, la mayoría encontraban abiertas (sin contraseña). Esto permitía a cualquier persona conectarse libremente y por consecuencia no sólo obtenía el beneficio de usar una conexión sin pagar, sino que también (dependiendo de sus intenciones) podía llegar a obtener distintos tipos de información (incluso privada o confidencial) de los dispositivos que se encontraban allí conectados. Hoy, para protegernos de esto dispone de algunas medidas de seguridad que se basan en diferentes protocolos y algoritmos de cifrado. En la práctica podemos apreciarlos cuando las redes nos solicitan una contraseña para poder conectarnos a ellas.

WEP (Wired Equivalent Protection, o Protección equivalente a una red cableada) fue uno de los primeros protocolos utilizados. Su adopción comenzó a decaer al descubrirse vulnerabilidades. Su seguridad se podía romper en muy poco tiempo, lo que en la práctica permitía acceder a la red sin necesidad de conocer la contraseña.

WPA (Wi-Fi Protected Access o Acceso Wi-Fi Protegido). Fue creado para subsanar las deficiencias de WEP. Ciertamente, es más seguro que su antecesor, pero también se le descubrieron distintas vulnerabilidades.

WPA2. Este es un protocolo totalmente nuevo en comparación con sus antecesores. Hoy se considera que WPA2 es tan seguro como la contraseña que le configuremos, ya que es posible “romper” WPA2 con un buen poder de cómputo (de ello dependerá el tiempo que se tarde en hacerlo y algo de suerte, ya que los ataques tratan de “adivinar” la contraseña mediante técnicas de fuerza bruta (probando todas las combinaciones de caracteres posibles) o diccionario (probando con una lista de palabras predefinidas).

WPS (Wi-Fi Protected Setup). Se creó como una forma de agilizar la conexión y mejorar la seguridad de las redes que utilizan el protocolo WPA2. Esta norma implementa diversos mecanismos para facilitar la configuración, pero prontamente se descubrió una vulnerabilidad que permite “pasar por arriba” la autenticación. Por eso ya no se recomienda utilizar WPS, porque es una posibilidad de debilitar la seguridad que provee WPA2.

Proteger nuestras redes

-Utilizar el protocolo WPA2 con algoritmo de cifrado AES.

-Utilizar contraseñas robustas y cambiarlas periódicamente.

-Al adquirir un punto de acceso inalámbrico nuevo es recomendable cambiar el nombre y la contraseña de la red Wi-Fi que trae por defecto.

-Habilitar la restricción por MAC Address. De esta manera podemos indicar qué dispositivos físicos están autorizados a conectarse a nuestra red.

-Si no vamos a utilizar la red Wi-Fi por mucho tiempo (vacaciones, viajes) es recomendable apagar el punto de acceso inalámbrico.

-Chequear periódicamente el registro de conexiones en búsqueda de accesos sospechosos.

Proteger nuestros dispositivos

-Mantener las conexiones inalámbricas desactivadas y sólo activarlas cuando sea necesario.

-Evitar el uso de redes públicas. En caso de utilizarlas, evitar el uso de sitios que contengan información sensible (mail, home banking, etc.).

-Observar que aparezcan las siglas “https” en la barra de direcciones de nuestro navegador cuando ingresemos a sitios que nos soliciten credenciales (usuario y contraseña). Generalmente, este tipo de sitios nos deberían proveer de una conexión segura y certificados válidos. Por ejemplo: https://www.facebook.com.

-Activar el doble factor de autenticación en los servicios que así lo permitan (Google Authenticator, SMS, etc.).

-Utilizar un servicio de VPN (Virtual Private Network o Red Privada Virtual) cuando nos conectamos desde redes “poco confiables” (bares, aeropuertos).

Conclusiones

Seguramente en los próximos artículos profundizaremos aún más sobre estos temas. Como se habrán dado cuenta, dan para mucho. De todas maneras y como pudimos apreciar, es conveniente tomar algunos recaudos, ya sea en el uso de nuestros teléfonos, tablets o computadoras. También requiere especial atención la configuración de nuestro router Wi-Fi o Access Point.

Phishing: ¡Peligro online! (Parte 2)

Para leer la parte 1 haga clic aquí.

¿Qué es el spear phishing?

Como pudimos apreciar hasta aquí, si bien es muy peligroso caer en este tipo de engaños, el porcentaje de usuarios que lo hace no es muy grande. Sobre todo, porque el Phishing tradicional se basa en estrategias de engaño más bien masivo, con poca diferenciación o particularización de las víctimas. Visto de otro modo, es como si en el Phishing los “pescadores” intentaran atraparnos con una (débil) red indiscriminada.

Pero qué pasaría si ese phishing fuese personalizado y el atacante nos investigara de antemano (gustos, relaciones, datos personales). ¿O si, por ejemplo, el objetivo fuese nuestra empresa y el atacante conociese a nuestros proveedores, clientes y datos sensibles del negocio?

A este tipo de ataque se lo conoce como Spear Phishing. Tal como lo indica la palabra Spear (arpón/lanza), hace una analogía a la pesca con arpón, la cual es dirigida a un objetivo concreto y no a cualquiera que “muerda el anzuelo”, como podría suceder en el phishing tradicional. Estos objetivos pueden ser desde una persona, grupo o hasta incluso una empresa entera.

Este es uno de los ataques más peligrosos para las organizaciones hoy en día, ya que si el atacante se toma su tiempo para realizar un relevamiento exhaustivo de la información y posee habilidades para elaborar un buen ataque, las posibilidades que la o las víctimas sean engañadas aumentan. Por supuesto, la preparación de este tipo de ataque exige más trabajo a los ciberdelincuentes.

Toda la empresa en riesgo

Veamos ahora cómo contando con información y utilizando el Spear Phishing un ciberdelincuente puede tener éxito con su engaño:

En una evaluación de seguridad para una empresa se encontró una impresora a la que se podía ingresar desde cualquier lugar del planeta sin ningún tipo de restricción, porque poseía una dirección IP pública (abierta al mundo). Además, los nombres de usuario y contraseña del administrador que trae por defecto no se habían cambiado. Así quedaban expuestas diferentes tipos de informaciones sobre sus usuarios:

-Nombres y apellidos.

-Nombres de usuarios.

-Documentos que se imprimían junto con su fecha y hora exacta.

-Software y versiones desde donde se enviaban las impresiones.

Cibercriminales en acción

Siguiendo con el ejemplo anterior, los datos recolectados sirvieron para elaborar un Spear Phishing. Como primer paso se identificó a uno de los usuarios que más utilizaban la impresora. Una vez seleccionado, se procedió a estudiar detalladamente los horarios para poder así dar con el momento apropiado en el que se le realizaría el ataque. Luego se identificó un documento en formato PDF que acababa de ser impreso y de esta manera se procedió a crear uno de idénticas descripciones, pero conteniendo dentro un código especialmente preparado para poder tomar el control de su equipo (aprovechando una vulnerabilidad conocida del software que estaba usando). Así fue que se redactó un mail supuestamente enviado desde el área de soporte de la empresa, donde se le indicaba al usuario que se había detectado malware en su computadora (el PDF que acababa de imprimir) y en pos de actuar proactivamente esto se había corregido. El usuario tenía que eliminar el archivo anterior y descargar el nuevo que se le había adjuntado junto a esta notificación. El usuario accedió sin ningún tipo de restricción a realizar todo lo solicitado y fue así que se pudo tomar el control total de su computadora comprometiendo a toda la empresa.

Las zonas turbias de la web

La compañía Blue Coat Systems (www.blue-coat.com), realizó una investigación que muestra las “zonas” o dominios de nivel superior (TLD) que tienen mayor relación con sitios web sospechosos. Uno de los hallazgos clave que presenta el informe es que más del 95 por ciento de los sitios web de 10 TLD diferentes se clasifican como sospechosos y que ese porcentaje llega al 100 por ciento para los TLD de los dos primeros puestos: .zip y .review.

Blue Coat analizó cientos de millones de solicitudes web provenientes de más de 15.000 empresas y 75 millones de usuarios para generar el informe “Las zonas más turbias de la Web”. A los fines de esta investigación, Blue Coat consideró que un dominio es “turbio” si está clasificado en su base de datos como:

Actividad maliciosa más frecuente: correo no deseado, estafa, sospechoso, software posiblemente no deseado (PUS).

Actividad maliciosa menos frecuente: Malware, Botnet, Phishing y suplantación de identidad.

figura 1 2Los dominios de la base de datos que no tienen alguna de estas categorías se consideraron “no turbios”. En los primeros días de Internet la mayoría de los consumidores y las empresas encontraban solo unos pocos TLD estándares, como .com, .net, .edu y .gov, además de algunos dominios de “código de país”, como .fr (Francia) y .jp (Japón). No obstante, desde el año 2013, la cantidad de TLD nuevos creció desmesuradamente. Hubo una explosión de zonas nuevas en la Web, muchas de las cuales no son ni seguras ni amigables en lo que respecta a seguridad web. Hasta junio de 2015, el conteo de TLD válidos emitidos era de más de mil. A medida que creció la cantidad de TLD también aumentaron las oportunidades para los atacantes.

¿Cómo podemos darnos cuenta?

Si bien no todos los mails de phishing son iguales y en algunos casos pueden resultar difíciles de reconocer, prestando atención a algunos detalles podemos llegar a identificarlos:

Spam: este tipo de mails generalmente ingresa a la carpeta Spam, por lo que recomendamos estar completamente seguros antes de abrir o restaurar a la bandeja de entrada un correo de esta carpeta.

Faltas de ortografía: la mayoría de los mails de phishing poseen faltas de ortografía y mala gramática, ya que muchos de ellos son traducidos en forma automática.

Links falsos: al posicionarse con el puntero del mouse sobre el link (sin hacer clic en él), se podrá observar dónde realmente este nos quiere dirigir. Generalmente esto lo podremos observar en la esquina inferior izquierda del navegador (dependiendo del navegador que estemos utilizando).

Urgencia: en muchos casos se apela a la “urgencia”. Por ejemplo: “Su cuenta ha sido bloqueada y es necesario el cambio de la misma en forma urgente!”, “Hemos detectado una actividad inusual en su cuenta del Banco y esto requiere de su intervención inmediata”. Este tipo de acciones busca que hagamos clic en el link malicioso cuanto antes, sin siquiera dejarnos pensar.

Mails sin nombre: en muchos casos podemos apreciar que el envío de phishing (a excepción del Spear Phishing) no es personalizado y no se incluye nuestro nombre. Por ejemplo, se dirigen a nosotros como: “Estimado Sr/Sra”.

¿Cómo podemos protegernos?

Lo más importante en este punto es usar nuestro sentido común y evitar así entrar en el “juego” que el ciberdelincuente nos propone. De todas maneras existen distintas herramientas y sitios que nos pueden ayudar a prevenir este tipo de ataques, aclararnos el panorama o poder denunciarlos en caso que nos topemos con alguno:

figura 2 2Virustotal: virustotal.com es un sitio que ofrece un servicio gratuito para el análisis de archivos y sitios. Puede comprobar en forma online si un archivo o sitio contiene algún tipo de malware, fue denunciado como phishing, etc. www.virustotal.com

FortiClient: la empresa Fortinet ofrece en forma gratuita este AntiVirus, AntiMalware y WebFiltering, tanto para nuestras computadoras como también para nuestros dispositivos móviles. www.forticlient.com

figura 3 2Alertas Google Chrome: ya hace un tiempo que el navegador Google Chrome incorpora en forma nativa la capacidad de alertar en caso de detectar un sitio sospechoso de contener software malicioso o que está siendo utilizad para realizar una suplantación de identidad.

Extensión de Chrome Netcraft: esta extensión para Google Chrome nos ofrece por un lado identificar en forma sencilla toda la información referente al sitio que estemos visitando y por otro una protección contra phishing. www.redusers.com/u/55d

Extensión de Chrome Pasword Alert: Google ofrece a través de esta extensión ayudarnos y protegernos contra ataques de phishing. Si introducimos nuestra contraseña de Gmail o de Google for Work en sitios diferentes a accounts.google.com, nos llegará una alerta para que estemos al tanto y decidamos si cambiarla o no, dependiendo de si creemos que ésta ha sido comprometida.

También intenta detectar páginas falsas de inicio de sesión de Google para poder alertarnos en caso que hayamos ingresado en alguna de ellas y así evitar el compromiso de nuestras credenciales. www.redusers.com/u/55e

Denunciar Phishing: el equipo de navegación segura de Google dispone de este sitio para que podamos colaborar a través de la realización de denuncias de los sitios de phishing que encontremos. ¡Colaboremos con seriedad! www.redusers.com/u/55f

Anti-Phishing Working Group: dentro de este sitio podremos encontrar infinidad de documentación referida a este tema, como también excelentes recursos que nos ayudarán a armar nuestras campañas de concientización dentro de nuestras empresas. www.antiphishing.org

Conclusiones

A lo largo de este artículo pudimos apreciar distintas artimañas que los ciberdelincuentes utilizan para poder llevar a cabo sus engaños. Si bien algunas de ellas se realizan aprovechando configuraciones deficientes o vulnerabilidades de software, la mayor parte apunta a explotar vulnerabilidades del sistema operativo más importante y este es al que denominamos como “Human OS”.

Solo a través de la educación y tomando conciencia podemos securizar nuestros Sistemas Operativos y así estar cada vez más fuertes para evitar ser víctimas de este tipo de amenazas.

Phishing: ¡Peligro online! (Parte 1)

El phishing es muy utilizado para cometer distintos tipos de fraudes y delitos. Si bien su uso data desde hace ya un tiempo, sus técnicas fueron evolucionando, haciendo que sea cada vez más difícil poder identificar estos engaños, causando así un sinfín de perjuicios a sus víctimas. El objetivo de este artículo es echar un poco de luz sobre este tema y concientizar así a los lectores.

¡No seas pescado!

Podemos definir al phishing como uno de los métodos comúnmente utilizados dentro de la Ingeniería Social, el cual tiene como objetivo engañar a las víctimas a través de la suplantación de identidad de una empresa o persona. El término hace referencia a “fishing” (pesca), porque –justamente- se trata de “pescar” víctimas digitales mediante diferentes métodos.

10 consejos para prevenir ataques

Hacemos un recorrido por diferentes acciones, actitudes y tácticas que podemos emplear para enfrentar el problema del phishing, gracias a un decálogo recomendado por Panda Security (www.pandasecurity.com).

1. Aprender a identificar los correos sospechosos. Existen algunos aspectos que, inequívocamente, identifican a los ataques de phishing a través de correo electrónico.

-Utilizan nombres y adoptan la imagen de empresas reales.

-Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.

-Incluyen webs que visualmente son iguales a las de empresas reales.

-Como gancho utilizan regalos o la pérdida de la propia cuenta existente.

2. Verificar con la fuente de información de los correos entrantes. Nuestro banco nunca nos pedirá que le enviemos claves o datos personales por correo. Nunca respondamos a este tipo de preguntas. Y si tenemos una mínima duda, debemos llamar directamente al banco para aclararlo.

3. Nunca entremos a la web de nuestro banco pulsando links incluidos en emails. No hagamos clic en los hipervínculos o enlaces que se adjunten en el correo, ya que de forma oculta nos podrían dirigir a una web fraudulenta. Escribamos directamente la dirección URL en el navegador o utilicemos marcadores/favoritos si queremos ir más rápido.

4. Reforzar la seguridad de la computadora. El sentido común y la prudencia son tan indispensables como mantener nuestro equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debemos tener actualizado nuestro sistema operativo y navegadores web.

5. Introduzcamos nuestros datos confidenciales únicamente en webs seguras. Las webs “seguras” han de empezar por https:// y debe aparecer en nuestro navegador el icono de un pequeño candado cerrado.

6. Revisar nuestras cuentas. Nunca está de más revisar nuestras cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en las transacciones online.

7. No solo ataca la banca online. La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: Ebay, Facebook, PayPal, etc.

8. El phishing sabe idiomas. El phishing no conoce fronteras y pueden llegarnos ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien. Si nunca entramos a la web en inglés de nuestro banco, ¿por qué ahora debe llegarte un comunicado suyo en este idioma?

9. Ser prudente y no arriesgarse. La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilitemos datos confidenciales. Eliminemos este tipo de correos y llamemos a nuestra entidad bancaria para aclarar cualquier duda.

10. Informarse sobre malware. Mantenernos al día sobre los últimos ataques de malware y consejos para evitar cualquier peligro en la red.

El delito y los objetivos

Uno de los medios más utilizados para contactar a las víctimas es el mail. De esta manera se busca engañarlas para que estas crean que están siendo contactadas por una persona o empresa verdadera. Por ejemplo “su banco”, pero en realidad las personas estarán en contacto con el ciberdelincuente. Éste, a través de distintas artimañas, buscará obtener claves de acceso, datos personales, datos de tarjetas de créditos, etc.

Si bien la mayor parte de los objetivos son usuarios de bancos, redes sociales o cuentas de mail, existen otros tipos de phishing donde se juega con los sentimientos y la avaricia, entre otras cosas.

Un caso típico es el del “Príncipe” o “Princesa” de África a quien se le han muerto sus padres, dejándole una herencia millonaria. Pero debido a restricciones de su país este personaje no puede hacerse con el dinero y es allí donde nos solicitan nuestra “ayuda”… y comienza la estafa.

Para poder graficarlo mejor nos gustaría compartir dos casos que hemos estudiado.

Caso 1

El Banco de Chile

figura 1No hace mucho tiempo nos llegó un correo proveniente del “Banco de Chile”, donde nos sugerían mantener la “seguridad” de nuestros datos ingresando al home banking. Para ello se nos ofrecía un link, el cual nos llevaría al sitio “sin escalas”. Una vez allí deberíamos ingresar nuestro usuario y contraseña y luego los datos que nuestro “digipass” (token) nos arrojara. Este mail nos llamó la atención por dos cuestiones: por un lado no teníamos cuenta en ese banco. Por otro, el mail llegó correctamente a nuestra bandeja de entrada y no a la de spam, como suele suceder en estos casos. Entonces decidimos estudiarlo. Aquí veremos los detalles.

Dominio emisor

Una de las primeras tareas fue investigar cómo un mail de este tipo entró sin problemas a nuestra bandeja de entrada. Para ello chequeamos el dominio del emisor y nos encontramos con que el mail había sido enviado desde una empresa irlandesa, la cual poseía en ese momento una vulnerabilidad en su servidor de correo. Esto había sido aprovechado por el ciberdelincuente para tomar control y así enviar mails desde un dominio válido.

Link al sitio del falso Banco

Figura 2Verificamos el destino del link donde se nos invitaba a hacer clic. Pudimos observar que nos dirigía a un sitio de otra empresa, más precisamente a un archivo con el nombre xx.php, el cual casi de inmediato nos llevaba a otro dominio en donde se encontraba alojado el sitio falso.

Generalmente los ciberdelincuentes vulneran distintos sitios webs antes de comenzar con su campaña de phishing, para poder alojar allí los sitios falsos y de esta manera dificultar la tarea de identificarlos en caso que se inicie una investigación. Pero al parecer este no era el caso, ya que como detallamos anteriormente el primer dominio donde apuntaba el link no contenía el sitio en falso en sí, sino solo un archivo que nos llevaría a otro dominio.

Fue así que decidimos visitar el primer sitio (donde se encontraba alojado el archivo en cuestión) y pudimos comprobar que había sido vulnerado aprovechando para ello la existencia de un plugin de WordPress llamado MailPoet (wysija-newsletter). Este plugin se encontraba desactualizado y gracias a esto el ciberdelincuente había podido alojar allí su archivo.

Una vez aclarado lo anterior procedimos a visitar el segundo sitio donde sí se encontraba alojado el sitio del falso banco bajo el subdominio “bancodechile”. Pensando que se trataba de otro sitio vulnerado visitamos el dominio y nos encontramos con la sorpresa que no existía ninguna página activa en él. Esto nos indicaba que era muy probable que este dominio hubiera sido adquirido por el ciberdelincuente. Esta actividad no es muy habitual en este tipo de ataques, ya que para poder registrar un dominio generalmente se requieren distintos tipos de datos, como también abonar con algún medio de pago desde el cual se pueden llegar a obtener datos del registrante.

Revisamos a nombre de quién se encontraba registrado el dominio para poder saber si realmente era como suponíamos. Resultó que eran datos falsos y la empresa registrante otorgaba dominios casi sin requisitos.

Reacción inmediata del hosting

Algo positivo en todo esto fue que en muy pocas horas el sitio dejó de estar activo, ya que debido a distintas denuncias el hosting que lo alojaba procedió a suspenderlo de forma inmediata y luego a eliminarlo.

Caso 2

La Mujer Sola

figura 3En el spam de una cuenta de correo vimos el mensaje de mujer francesa de 70 años de edad, llamada Marie. Ella nos comentaba que padecía una enfermedad terminal y había decidido donar una suma importante de dinero para realizar beneficencia, pero al no tener familia a quien dejarle esa tarea, nos había seleccionado a nosotros.

A investigar

Pusimos manos a la obra contestándole desde una cuenta de mail con un perfil ficticio que recién habíamos creado.

Ella nos comentó que nos había elegido tras haber realizado investigaciones en Internet y parecerle que éramos buenas personas (recordemos que nuestro perfil no tenía más de 24 horas). A esto le agregaba una copia de su pasaporte para que pudiéramos comprobar que realmente no se trataba de un engaño. Inmediatamente le contestamos poniéndonos a disposición. Horas después nos indicaba que a partir de ese momento deberíamos tratar con su notario para realizar el acto de donación.

El notario iba a necesitar de nosotros distintos datos y una copia de nuestro documento o pasaporte. Le contestamos que no solíamos enviar la copia de nuestro documento debido a un problema que habíamos tenido anteriormente. Pero que no teníamos problema con el resto de los datos y que quizás le servía nuestro acceso a algo llamado Home Banking, que no sabíamos cómo se usaba (contra Ingeniería Social).

El notario acusó recibo de toda la documentación (parece que no hizo falta el pasaporte), adjuntando un Acto de Donación para que firmemos y se la enviemos. Ya con este paso cumplido y el envío de 95 Euros en concepto de honorarios y distintos gastos se nos giraría el dinero.

Si bien ya se habrán dado cuenta por donde venía el engaño, repasemos algunos puntos importantes.

figura 4Cuando recibimos la copia del pasaporte comprobamos si el archivo no contenía algún tipo de malware. Una vez realizado este paso y ya estando seguros que era un archivo “inofensivo” procedimos a realizar una búsqueda por imágenes en Google. Así encontramos un pasaporte de idénticas características pero con otro nombre y apellido.

Acto de Donación

figura 5Cuando el “Notario” nos confirmó que estaba todo listo para realizar la transferencia nos adjuntó un archivo PDF con el título “Acto de Donación”, donde podíamos leer claramente cada detalle de la donación que nos estarían por realizar. Como primera medida y tal como lo hicimos con la copia del pasaporte, procedimos a verificar que el archivo no contuviera malware. Una vez seguros de esto pudimos apreciar que la firma de la Sra. Marie había sido copiada y cortada del pasaporte.

Transferencia a través de Western Union

Al pie del mail que contenía el Acto de Donación se nos solicitó dinero (95 Euros) en concepto de honorarios del Secretario, gastos de legalización del Acto de Donación, etc. Este detalle no hubiera levantado tantas sospechas sino no nos hubieran pedido que usemos los servicios de Western Union para realizar este pago. Lo interesante es que el pago debía hacerse a nombre del “contable de su gabinete”, quien seguramente era otra víctima a la cual se la estaba engañando para que hiciese de intermediario y así los delincuentes poder hacerse del efectivo sin dejar registros de sus datos.

 

El fin de la privacidad (Parte 4)

Seguramente hoy en día la mayoría de nosotros poseemos un teléfono inteligente, participamos en al menos una o más redes sociales y utilizamos algunos otros servicios online. También nos animaríamos a decir que a la mayoría de nosotros nos da pereza leer los “famosos” términos y condiciones cuando nos inscribimos en algún servicio, rellenamos varios formularios sin saber a dónde van a parar nuestros datos y no le prestamos mucha atención a los permisos que las aplicaciones móviles nos solicitan. El objetivo de este artículo es que podamos comprender cuán expuestos podemos estar si no tomamos al menos algunas medidas para protegernos.

 

Dispositivos móviles

Los smartphones y tablets son hoy nuestro principal medio de acceso a Internet y otras redes. Aquí, algunas cuestiones relevantes para tener en cuenta.

Muchas veces la funcionalidad es enemiga de la seguridad. A esto no escapan nuestros dispositivos móviles, ya que al ingresar en el mundo de las aplicaciones (apps) debemos tener algo más de cuidado y leer correctamente los permisos que éstas nos solicitan.

En nuestra experiencia, y en general, esto no se tiene en cuenta y es justamente allí donde ciberdelincuentes pueden aprovecharse de nuestra falta de control para apropiarse de nuestros datos.

Veamos a continuación las diferentes opciones que se nos presentan al querer instalar la aplicación de Facebook, tanto en iOS (sistema operativo de iPhone) como así también en Android.

Instalación de apps

Luego de lo expuesto hasta aquí es inevitable la siguiente pregunta: ¿Aplicaciones sí o aplicaciones no? Haga clic aquí para leer una nota sobre el tema.

figura1

figura2

Nuestros teléfonos hablan por nosotros

No solo debemos fijarnos en las aplicaciones, sino también en nuestra conectividad. El continuo avance de tantas apps “imprescindibles para nuestra supervivencia digital” y el no acompañamiento de las redes celulares (por lo menos en nuestra región) muchas veces nos llevan a la tentación de conectarnos a redes Wi-Fi abiertas para poder seguir conectados “al mundo”. Y es justamente allí donde nuevamente perdemos mucho más de lo que ganamos.

Haga clic aquí para ver algunos de los riesgos a los cuales estamos expuestos cuando dejamos nuestra conexión Wi-Fi encendida en el móvil sin ningún tipo de control o cuando nos conectamos a cuanto Wi-Fi abierto encontremos.

El desarrollador correcto

Existen infinidad de aplicaciones con nombres similares entre sí, por ejemplo: WhatsApp y WhatApp. Muchas veces este tipo de acciones (dar de alta aplicaciones con nombres similares) se realiza por puro marketing, ya que algún que otro distraído instalará estas aplicaciones, dándole así mayor rating, posicionándose en un mejor puesto y en muchos casos se dejará instalada y se usará. Antes de instalar cualquier aplicación es recomendable chequear el desarrollador, cantidad de descargas y comentarios. Con todos estos datos podemos asegurarnos que la aplicación que estamos por instalar es la correcta.

Cuando no depende de nosotros

“La vida es corta. Ten una aventura” son las frases que nos encontramos al ingresar en la llamada “Red social de Infieles”, la cual tiene como objetivo facilitar la comunicación y encuentro entre personas (las que en su gran mayoría desean cometer adulterio). Para poder darnos cuenta de esto basta con mirar las primeras opciones que se nos presentan al desplegar su menú de búsqueda.

Generalmente los usuarios que se registran en estos sitios confían que su información está resguardada y nunca será expuesta, pero en este caso no fue así: los datos personales de más de 37 millones de usuarios fueron expuestos en forma pública luego de que Ashley Madison sufriera un ataque, causando de esta manera distintos tipos de problemas: suicidios, separaciones, divorcios, empleados despedidos,  opresión en algunos países debido a la inclinación sexual de algunas personas, chantajes. Si bien este fue uno de los últimos casos conocidos, no fue ni va a ser el único.

Conclusiones

Con este artículo pudimos apreciar que si bien el cuidado de la privacidad no depende 100% de nosotros, sí lo hace en un gran porcentaje. Es allí donde debemos trabajar para elevar el umbral de nuestra seguridad lo más alto posible.

Por otro lado, debemos comenzar a leer las políticas de privacidad de los distintos sitios antes de aceptarlas y tener el debido cuidado al considerar en cuáles nos damos de alta. Así, armados de conocimiento, podremos transitar una vida digital un poco más segura.

 

Haga clic aquí para leer la primera parte.

Haga clic aquí para leer la segunda parte.

Haga clic aquí para leer la tercera parte.