Publicado el

2 hospitales más afectados por la creciente ola de ataques de ransomware, como advertencia de los federales

Fuente: https://threatpost.com/hospitals-hit-by-ransomware/160695/

hospital ransomware nueva york oregon
Los hospitales en Nueva York y Oregón fueron atacados el martes por actores de amenazas que paralizaron los sistemas y obligaron a las ambulancias con pacientes enfermos a ser desviadas, en algunos casos.

Dos hospitales más se vieron afectados por ataques de ransomware esta semana, ya que un número creciente de delincuentes atacan las instalaciones de atención médica durante la pandemia de COVID-19. La preocupante tendencia llevó a las fuerzas del orden y los funcionarios de salud federales, el miércoles, a hacer sonar la alarma y emitir una advertencia terrible de más ataques por venir.

El martes, los sistemas informáticos de Sky Lakes Medical Center, con sede en Klamath Falls, Oregón, se vieron comprometidos por un ataque de ransomware. El mismo día, St. Lawrence Health System, con sede en Nueva York, dijo que las computadoras de tres de sus hospitales (en Canton-Potsdam, Massena y Gouverneur) fueron atacadas por la variante de ransomware Ryuk.

Los ataques de ransomware se han convertido en una realidad demasiado familiar para los hospitales, al igual que COVID-19 ha obligado a muchos a expandirse y a acelerar la adopción de la atención virtual. Este año, a medida que los hospitales se apresuran a salvar vidas, los ciberataques dirigidos a las empresas de atención médica han aumentado un 150 por ciento, según un informe de C5 Alliance .

El miércoles por la noche , una declaración conjunta de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., La Oficina Federal de Investigaciones y el Departamento de Salud y Servicios Humanos de EE. UU. Advirtió sobre «información creíble de una amenaza creciente e inminente de delitos cibernéticos para los hospitales y proveedores de atención médica de EE. UU.»

Sky Lakes Medical Center dijo que sus sistemas informáticos estaban «inactivos» y que los procedimientos programados que requieren servicios de imágenes deberán retrasarse. “La atención de emergencia y urgente sigue disponible”, dijo en un comunicado.

Mientras tanto, el Sistema de Salud de St. Lawrence dijo que pocas horas después del ataque inicial, su departamento de sistemas de información «desconectó todos los sistemas y cerró la red afectada para evitar una mayor propagación», según un comunicado.

El malware Ryuk, utilizado en el ataque de St. Lawrence, es un arma potente que los investigadores de ciberseguridad describen como altamente sofisticada. Es utilizado por grupos de amenazas como el Grupo Lazarus de Corea del Norte en ataques dirigidos . El malware activo es responsable de una serie de ataques exitosos recientes, incluido uno que cerró recientemente Universal Health Services , un propietario de Fortune-500 de una red nacional de hospitales.

En su advertencia del miércoles , la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijo que también estaba rastreando el uso del malware Trickbot contra las instalaciones de salud.

“A principios de 2019, el FBI comenzó a observar nuevos módulos de Trickbot llamados Anchor, que los actores cibernéticos suelen utilizar en ataques dirigidos a víctimas de alto perfil, como las grandes corporaciones. Estos ataques a menudo implicaban la exfiltración de datos de redes y dispositivos de punto de venta. Como parte del nuevo conjunto de herramientas Anchor, los desarrolladores de Trickbot crearon Anchor_DNS, una herramienta para enviar y recibir datos de las máquinas víctimas mediante la tunelización del Sistema de nombres de dominio (DNS) ”, señaló CISA.

Los ciberataques en general se han convertido en una realidad desgarradora, que amenaza la seguridad del paciente no solo por sus datos o una cita perdida. Se culpa a un ataque de ransomware contra el Hospital Universitario de Dusseldorf en Alemania por la muerte de un paciente. Según informes locales, los sistemas informáticos dañados obligaron a desviar una ambulancia a un hospital más distante, lo que provocó la muerte del paciente.

De manera similar a esa situación, las ambulancias también fueron desviadas del Hospital Canton-Potsdam por un corto período de tiempo. Y a partir del miércoles, el Hospital Gouverneur dijo que seguía desviando a las ambulancias fuera de su sala de emergencias.

Los ataques se producen tres meses después de que otro hospital con sede en Nueva York, el Samaritan Medical Center, fuera atacado con un ransomware el 25 de julio. Los trabajadores de TI tardaron 10 semanas en restaurar los sistemas, confirmó el hospital en un comunicado. El ataque «interrumpió» su suministro de medicamentos, radioterapia y servicios de imágenes médicas, y obligó a la nómina y la contabilidad a recurrir a registros en papel.

“Las organizaciones que brindan atención médica, como hospitales y clínicas, son organizaciones complejas donde una amplia gama de tecnología de la información, Internet de los elementos médicos, tecnología operativa y dispositivos de Internet de las cosas están cada vez más interconectados”, señaló Forescout (PDF) en informe reciente sobre el sector sanitario.

“El creciente número y diversidad de dispositivos en [las organizaciones que brindan atención médica] ha introducido nuevos riesgos de ciberseguridad”, según la firma. «La capacidad de comprometer dispositivos y redes, y la posibilidad de monetizar los datos de los pacientes, han llevado a un aumento en el número y la sofisticación de los ciberataques dirigidos a las organizaciones de atención médica en los últimos años».

El informe dice que los atacantes se sienten atraídos por los hospitales debido a la gran complejidad de sus redes. Forescout dijo que muchos luchan por administrar una gran cantidad de puntos finales, que van desde sistemas informáticos, equipos quirúrgicos, plataformas de telemedicina, sensores médicos y bombas de infusión. En total, el informe estimó que las organizaciones que brindan atención médica contienen un promedio de 20,000 dispositivos.

El informe instó a los hospitales a adoptar la segmentación de redes y dispositivos.

«La segmentación es un control fundamental para la mitigación de riesgos en redes con una diversidad de dispositivos de TI, IoT y OT», según los autores del informe. Sin embargo, advirtieron que la segmentación excesiva con zonas mal definidas solo aumenta la complejidad con pocos beneficios.

“Sin embargo, la segmentación requiere zonas de confianza bien definidas basadas en la identidad del dispositivo, los perfiles de riesgo y los requisitos de cumplimiento para que sea eficaz a la hora de reducir la superficie de ataque y minimizar el radio de explosión”, según el informe.

Los piratas informáticos ponen la diana en la atención médica: el 18 de noviembre a las 2 pm EDT,  descubra por qué los hospitales están siendo golpeados por ataques de ransomware en 2020. Guarde su lugar para este seminario web GRATUITO sobre las prioridades de ciberseguridad de la atención médica y escuche las voces líderes en seguridad sobre cómo la seguridad de los datos, el ransomware y la aplicación de parches debe ser una prioridad para todos los sectores y por qué. Únase a nosotros el miércoles 18 de noviembre de 2 a 3 pm EDT para este  seminario web EN VIVO y de participación limitada.

Publicado el

¡Cuidado! El nuevo troyano bancario Android roba 112 aplicaciones financieras

Fuente: https://thehackernews.com/2020/11/watch-out-new-android-banking-trojan.html?m=1

Malware de Android

Cuatro meses después de que los investigadores de seguridad descubrieron un » Tetrade » de cuatro troyanos bancarios brasileños dirigidos a instituciones financieras en Brasil, América Latina y Europa, nuevos hallazgos muestran que los delincuentes detrás de la operación han ampliado sus tácticas para infectar dispositivos móviles con software espía.

Según el equipo de análisis e investigación global de Kaspersky (GReAT), el grupo de amenazas con sede en Brasil Guildma ha implementado » Ghimob » , un troyano bancario de Android dirigido a aplicaciones financieras de bancos, empresas de tecnología financiera, intercambios y criptomonedas en Brasil, Paraguay, Perú y Portugal. , Alemania, Angola y Mozambique.

«Ghimob es un espía de pleno derecho en su bolsillo: una vez que se completa la infección, el pirata informático puede acceder al dispositivo infectado de forma remota, completando la transacción fraudulenta con el teléfono inteligente de la víctima, para evitar la identificación de la máquina, las medidas de seguridad implementadas por las instituciones financieras y todo sus sistemas de comportamiento antifraude «, dijo la firma de ciberseguridad en un análisis del lunes.

Además de compartir la misma infraestructura que Guildma, Ghimob continúa el modus operandi de usar correos electrónicos de phishing como un mecanismo para distribuir el malware, atrayendo a los usuarios desprevenidos a hacer clic en URL maliciosas que descargan el instalador de APK de Ghimob.

Malware de Android




El troyano, una vez instalado en el dispositivo, funciona de manera muy similar a otros RAT móviles en el sentido de que enmascara su presencia al ocultar el ícono del cajón de la aplicación y abusa de las funciones de accesibilidad de Android para ganar persistencia, deshabilitar la desinstalación manual y permitir que el troyano bancario capture pulsaciones de teclas, manipula el contenido de la pantalla y proporciona un control remoto completo al atacante.

«Incluso si el usuario tiene un patrón de bloqueo de pantalla, Ghimob puede grabarlo y luego reproducirlo para desbloquear el dispositivo», dijeron los investigadores.

«Cuando el ciberdelincuente está listo para realizar la transacción, puede insertar una pantalla negra como una superposición o abrir algún sitio web en pantalla completa, de modo que mientras el usuario mira esa pantalla, el delincuente realiza la transacción en segundo plano utilizando la aplicación financiera ejecutándose en el teléfono inteligente de la víctima que el usuario ha abierto o en el que ha iniciado sesión «.

Además, Ghimob apunta a 153 aplicaciones móviles, 112 de las cuales son instituciones financieras con sede en Brasil, y las aplicaciones bancarias y de criptomonedas en Alemania, Portugal, Perú, Paraguay, Angola y Mozambique representan el resto.

«Ghimob es el primer troyano bancario móvil brasileño listo para expandirse y apuntar a instituciones financieras y sus clientes que viven en otros países», concluyeron los investigadores de Kaspersky. «El troyano está bien preparado para robar credenciales de bancos, fintechs, intercambios, intercambios de cifrado y tarjetas de crédito de instituciones financieras que operan en muchos países».

Publicado el

Este grupo de empresas es el que recibe ataques con más frecuencia del planeta. Así les ayudamos

Fuente: https://www.microsoft.com/es-es/microsoft-365/blog/2019/12/11/businesses-most-attacked-on-earth-heres-how-we-helped/

Hay 79 millones de empresas en todo el mundo que encajan en la definición “pequeña o mediana empresa” (PYME), cuyo criterio es tener 300 o menos empleados, y esas empresas representan el 95 % de las compañías del planeta, lo que suma un impresionante 63 % de los trabajadores a nivel mundial. Por muy gigantescas que puedan parecer esas cifras, quedan ensombrecidas por otras que oscurecen el panorama del empleo a nivel mundial: El año pasado, el 55 % de las PYME sufrieron ciberataques, el 52 % de los cuales fueron causados por errores humanos y, en la cuarta parte de los casos, se vulneraron datos confidenciales de clientes. El ciberataque medio costará a una PYME 190 000 USD y, después de un ataque de ransomware, solo la tercera parte de las PYME puede seguir teniendo beneficios.

Estos números no harán más que crecer este año, ya que el 90 % de las PYME no cuenta con protecciones de datos.

En una era en la que prácticamente todas las compañías son compañías tecnológicas, la próxima finalización del soporte para Windows 7 el 14 de enero de 2020 no hace más que añadir presión a estas empresas.

Consideramos nuestra responsabilidad con esta comunidad

Durante mi conferencia en Microsoft Ignite, hablé largo y tendido sobre los retos asociados con la compatibilidad de aplicaciones y compartí cómo Microsoft ha asumido la responsabilidad de ofrecer compatibilidad. El razonamiento es simple: Entre otras razones, cuantas más organizaciones usen infraestructuras modernas, más simple será evitar que los ataques se expandan por el mundo. Así mismo, cuando mi equipo analizó las necesidades de la comunidad de PYME, consideramos nuestra responsabilidad con su postura de seguridad. Después de realizar algunos análisis, descubrimos una forma de ayudarles que no existía en nuestra oferta empresarial de Microsoft 365 (un producto que adaptamos a las necesidades de grandes empresas).

La respuesta fue Microsoft 365 Empresa, y creo que ofrece a las PYME la mejor oportunidad posible para lograr seguridad y productividad al menor coste posible. Microsoft 365 Empresa ofrece las mismas herramientas de seguridad que usan muchos bancos, gobiernos y corporaciones multinacionales, así como las mismas herramientas de productividad en Office 365.

Recientemente, hemos realizado un esfuerzo para pensar y hablar sobre este asunto de forma distinta.

Aunque muchas PYME no tienen los recursos para contratar a un Director de seguridad (CSO), creo que esta comunidad puede usar Microsoft 365 Empresa como su CSO. Te recomiendo que le dediques unos minutos a YourNewCSO para descubrir cómo usar estos recursos de inmediato. Da igual dónde te encuentres en tu viaje por la seguridad, el sitio y estos ocho vídeos rápidos (¿y divertidos?) te mostrarán los pasos para proteger mejor tu empresa.

Nuestros datos muestran claramente que combinar la seguridad con un gran impulso en la productividad es el tipo de innovación que diferenciará a una PYME en un entorno competitivo. Un estudio reciente de dos clientes realizado por Qualtrics descubrió que los empleados que usan herramientas modernas tienen un 50 % más de posibilidades de afirmar que podían ofrecer un mejor servicio a sus clientes y un 121 % más de posibilidades de sentirse valorados por su empresa, un sentimiento que está directamente relacionado con la productividad, la lealtad y una cultura de la organización positiva.

Usa por completo lo que ya tienes

En lugar de simplemente intentar vender algo mediante esta publicación, me gustaría indicar algunas formas en las que las PYME que ya tienen Office 365 pueden mejorar su seguridad sin coste adicional. Incluidos a continuación hay siete pasos para mejorar tu seguridad sin coste adicional; también puedes leer cómo hacerlo o ver este resumen rápido.

  1. Comprueba tu Puntuación de seguridad de Microsoft.
  2. Configurar la Autenticación multifactor (MFA). Configurar MFA evitará el 99 % de los ataques de identidad.
  3. Usa las herramientas de administración integradas en la aplicación móvil en Office 365.
  4. Configura una cuenta independiente para realizar tareas administrativas.
  5. Usa una solución antivirus que aproveche la nube para protegerte de los ataques más recientes. Microsoft Defender proporciona algunas funcionalidades de fábrica en Windows 10 que usan más del 50 % de las empresas.
  6. Almacena archivos en OneDrive para la Empresa y la nube se convertirá en tu copia de seguridad. Ya no es necesario realizar más copias de seguridad del PC, lo que te ahorrará tiempo y dinero. Y aún mejor, si eres víctima de un ataque y guardas tus documentos con frecuencia en OneDrive, podrás devolver los archivos a un estado anterior al ataque.
  7. Detén el reenvío automático de correo electrónico.

Tras hablar con cientos de PYME hemos descubierto que crear una cultura de seguridad es uno de los mayores pasos iniciales que puedes dar. Ahora es el momento de educar a tus empleados acerca de cómo identificar las amenazas de seguridad (p. ej., no hagas clic en ese vínculo sospechoso y, si lo haces, informa a alguien), y con la finalización del soporte de Windows 7 muy próxima, puedes usar esto como una oportunidad para pasarte a nuestra mejor y más segura plataforma disponible. Microsoft 365 Empresa puede ayudar.

Por qué pasar de Office 365 a Microsoft 365 Empresa

Office 365 ofrece el conjunto de herramientas de productividad que conoces y te gusta, incluyendo funcionalidades como Exchange Online, SharePoint Online y OneDrive para la Empresa. Pero cuando pasas a Microsoft 365 Empresa, obtienes el poder de Office 365 junto con una solución de seguridad completa basada en la nube que te permite defender tu empresa frente a amenazas avanzadas. Microsoft 365 te ayuda a protegerte frente a ciberamenazas con protección contra ransomware y suplantación de identidad sofisticada, te permite controlar el acceso a información confidencial mediante cifrado para evitar que se compartan datos accidentalmente con una persona no autorizada para verlos, y te permite proteger los dispositivos que se conectan con los datos, ya que te ayuda a mantener los dispositivos iOS, Android, Windows y Mac protegidos y actualizados. Microsoft 365 Empresa está totalmente integrado con Office 365, por lo que tienes un lugar para la administración, la facturación y la asistencia ininterrumpida.

Pasos siguientes

Además de visitar YourNewCSO, considera el valor de asegurarte frente a los ciberataques. Me complace anunciar que a partir de hoy iniciamos un nuevo programa en EE. UU. en colaboración con AXA XL (una aseguradora global) y Slice Labs (una plataforma de seguros bajo demanda), para ofrecer comprobaciones de estados de ciberseguridad gratuitas y ayudar a AXA XL a proporcionar ciberseguros para clientes aptos que usen Microsoft 365 Empresa, Office 365 Empresa y Office 365 Empresa Premium.

Con tu permiso, AXA XL evaluará la seguridad de tu organización y ofrecerá sus servicios a los clientes aptos, con la posibilidad de que tengan descuentos. Puedes encontrar más información sobre la colaboración en el comunicado de prensa de AXA XL y Slice Labs, y puedes leer más acerca de su oferta y comprar seguros.

Publicado el

Detectan una grave vulnerabilidad en Microsoft Outlook, actualiza ya

Fuente: https://as.com/meristation/2020/10/16/betech/1602885038_711499.html?omnil=resscrlltit

Con sólo abrir un documento manipulado, un atacante puede obtener el control de tu equipo sin que lo sepas.

Si tu cliente de correo electrónico es por ejemplo Gmail, entonces no tienes de qué preocuparte. Pero si usas Microsoft Outlook 2016, Microsoft Outlook 2019 y Microsoft 365 Apps para Empresas, entonces cuidado porque se ha hecho pública una vulnerabilidad catalogada como crítica en el software de Microsoft Outlook.

Vulnerabilidad en Microsoft Outlook

¿Cómo funciona? Un atacante podría aprovechar este problema de seguridad si consigue, por ejemplo, que simplemente abras un documento manipulado. La vulnerabilidad de Outlook le permitiría al hacker tomar el control de tu equipo sin que seas consciente de ello, simplemente porque has abierto ese documento tras haberte convencido usando técnicas de ingeniería social.

La buena noticia es que de momento según la OSI “no se conoce ningún vector de ataque que esté explotando la vulnerabilidad, no obstante, no se descarta que pueda estar utilizándose para tomar el control de los equipos de los usuarios engañados, por ejemplo, con algún fichero malicioso manipulado para tal fin”.

Por tanto, hay que tener cuidado con todos aquellos ficheros o documentos que recibamos, sobre todo si vienen por email y de usuarios desconocidos. Aunque incluso hay que tener cuidado si el correo es de un contacto conocido, máxime si no lo esperábamos o tiene algo que resulta sospechoso -errores gramaticales, frases y formas de dirigirse que no serían propias de uno de tus contactos, etc. 

Actualiza para arreglar el fallo

Lo bueno es que el error está ya solucionado, corregido gracias al parche de actualizaciones de seguridad de Microsoft de octubre, que solventa la vulnerabilidad, por lo que debes actualizar a la última versión. En la web de Microsoft tienes el enlace de descarga de la actualización para cada versión del software.

En cualquier caso, si tienes las actualizaciones automáticas activadas en el dispositivo Windows, el problema se corregirá sin necesidad de que tengas que hacer nada más. Puedes comprobarlo desde Configuración > Actualización y seguridad > Windows update.

Publicado el

¿Qué es la ciberinmunidad aplicada?

Fuente: https://latam.kaspersky.com/blog/applied-cyberimmunity/15495/

Qué significa la ciberinmunidad en la práctica y en un entorno de infraestructura industrial.

¿Qué significa en la práctica nuestro principio de ciberinmunidad? Dejando a un lado los abundantes debates sobre el futuro de la ciberseguridad como una industria y sobre las posibles formas en las que puede desarrollarse (la filosofía de la ciberseguridad), Eugene Kaspersky habló sobre la aplicación de la ciberinmunidad la semana pasada en la Kaspersky Industrial Cybersecurity Conference 2019.

La esencia de la ciberinmunidad es utilizar tal nivel de protección de modo que el costo de un ataque en una empresa exceda al de los posibles daños. En la actualidad, ningún experto serio en materia de ciberseguridad puede ofrecer una garantía de protección del 100 %. En el nivel en el que se encuentra el desarrollo de la tecnología de la información, todo se puede “hackear“, la única duda que surge es cuánto trabajo están dispuestos a dedicar los atacantes. Por tanto, la única forma de evitar un ataque consiste en hacer que este resulte poco rentable económicamente para los atacantes.

Esto, naturalmente, no es tarea fácil. La principal barrera es que los sistemas de información más modernos se construyeron sin tener en cuenta la ciberseguridad, por lo que contienen errores que se suelen cubrir con soluciones subóptimas. Este problema está especialmente generalizado en la ciberseguridad industrial. Esto no quiere decir que defendamos la idea de eliminar todo lo antiguo y diseñar nuevos sistemas desde cero, pero sí creemos que los nuevos sistemas deben basarse en los principios de “seguridad por diseño”.

La ciberinmunidad en entornos industriales

Como opción para la implementación práctica de la ciberinmunidad en servicios de infraestructura crítica, consideramos una puerta de enlace del IIdC basada en nuestro Kaspersky OS. Nuestro sistema operativo, basado en una arquitectura microkernel, opera en un espacio de direcciones protegido que sigue el concepto de “denegación predeterminada” y que te permite definir la lógica empresarial al detalle. Por consiguiente, cualquier acción que no permita esta lógica quedará bloqueada de forma automática.

El código fuente del sistema está disponible para que lo examine el cliente, al igual que la lógica, que queda prescrita por este mismo. Gracias a esto, la única posibilidad de ocasionar cualquier daño por medio de este dispositivo es sobornando al cliente e insertando en primer lugar un error en la lógica. Pero si los atacantes tuvieran esta oportunidad, ¿para qué iban a necesitar hackearlo?

Para más información sobre nuestro sistema operativo, puedes leer estas preguntas y respuestas en las cuales Eugene Kaspersky describe las funciones principales del sistema, y este otro artículo más técnico sobre los sistemas operativos seguros de Andrey Dukhvalov, director de nuestro departamento de Tecnología del futuro y responsable de la arquitectura de estrategia. Además, puedes encontrar más información sobre nuestro sistema operativo en su sitio web.

Publicado el

El 99% de las direcciones de Internet no tienen filtros que evitarían ciberataques

Un hacker español inicia un análisis masivo a los dominios de internet para comprobar si tienen unos filtros activados que evitarían la mayoría de suplantaciones y phishing: el 99% de la muestra analizada es vulnerable.

De momento ha podido analizar cerca de 40 millones de dominios, y menos de 50.000 de ellos tienen los filtros SPF, DKIM y DMARC activados.

Estos filtros son los que ayudan a que suplantar un dominio sea más difícil, una táctica muy empleada por los ciberdelincuentes para realizar ataques por correo aprovechándose del phishing o del spoofing y la inocencia de muchos trabajadores poco formados en seguridad informática.

El phishing es una de las puertas de entrada más comunes por la que los ciberdelincuentes son capaces de atacar empresas privadas y administraciones públicas. Los expertos insisten desde hace años en que los trabajadores son el eslabón «más débil» en la cadena de la ciberseguridad. Algunos profesionales del Instituto Nacional de Ciberseguridad prefieren plantear que los empleados son el eslabón más «importante».

Lo cierto es que, efectivamente, los profesionales son la primera línea de defensa de las organizaciones frente a ciberataques. Por más soluciones de seguridad informática que apliquen sus responsables —perimetrar sus sistemas, escalar y fragmentar privilegios, aplicar la doble autenticación—, si un usuario entrega su contraseña en un correo suplantado o si se descarga un malware pensando que es una carta de un superior, todo saltará igualmente por los aires.

Pero esta problemática no se puede zanjar descargando toda la responsabilidad únicamente en los empleados. Al menos eso piensa Marc Almeida, un profesional de la programación y un apasionado de la ciberseguridad que reside en Salou, Cataluña.

Almeida —Cibernicola, en redes sociales— ya llamó la atención de buena parte de la comunidad de la seguridad informática española hace unos meses cuando presentó los avances y las ambiciones que traían su proyecto Obelix Teh Honeypot, un sistema de ‘sondas’ capaces de detectar ataques en tiempo real en el ciberespacio. Estas sondas se camuflan en la red como si fuesen dispositivos o servidores abandonados, a expensas de los ataques de enjambres de bots.

Con Obelix, Marc Almeida pudo empezar a dibujar algunos famosos pew pew maps, una socarrona forma que tiene el argot de la ciberseguridad para referirse a los habituales mapas del mundo con el que las compañías de ciberseguridad tratan de impresionar a sus clientes. Pero sobre todo, y lo más importante: con Obelix, Almeida pudo empezar a hacerse nuevas preguntas.

Marc lleva 20 años trabajando en el sector técnico y siempre ha mantenido un perfil discreto. Quiere huir del vendehumismo y es consciente de que en el sector «todo es muy complicado». Pero dado que en los últimos meses se han registrado diversas suplantaciones con phishing —en las últimas semanas, al Ministerio de Trabajo o a Correos—, este especialista se plantea una cosa. «Hablemos de los problemas en su origen».

‘Spoofing’, el fenómeno detrás de muchas estafas e incidentes

Mientras que el phishing es un intento fraudulento de hacer creer a una víctima que está recibiendo y tratando un correo electrónico genuino, el spoofing va un paso más allá. Supone, de facto, la suplantación de una identidad en la red con fines espúreos.

El phishing, por un lado, puede ser un correo electrónico que recibas supuestamente de la Dirección General de Tráfico. La DGT no va a enviarte nunca un correo electrónico a altas horas de la noche recordándote ninguna supuesta multa impagada. Y menos te va a decir que para abrir la información sobre la penalización vas a tener que usar un sistema operativo Windows, como es el caso.

Este tipo de correos llegan además de emisores con direcciones de correo falsas. Por ejemplo, @interior.gov. Los correos del Gobierno de España usan los dominios .gob, con ‘b’.

Pero, ¿qué ocurre si un ciberdelincuente está enviando emails desde una dirección aparentemente real del Gobierno de España? Lo que está haciendo ese ciberdelincuente es aprovecharse de un dominio mal configurado.

Aquí, Marc Almeida pone el dedo en la llaga.

SPF, DKIM y DMARC: protocolos tan básicos como olvidados

Si has recibido un correo procedente de una dirección aparentemente legítima y estás seguro de que es falso, es muy probable que estés ante un caso por el cual los ciberdelincuentes han conseguido aprovecharse de la vulnerabilidad de un dominio. Un dominio por lo general «aparcado» —en desuso— pero que no se ha segurizado debidamente.

Esta vulnerabilidad existe cuando los propietarios de las direcciones web no han activado de forma efectiva tres filtros esenciales en la ciberseguridad: los filtros SPDF, DKIM y DMARC.

El Instituto Nacional de Ciberseguridad abunda en un artículo publicado en su página web que el SPF es un protocolo para autenticar correos electrónicos que permite al propietario de un dominio «especificar qué servidores usará para el envío del email». El DKIM es otro protocolo que «asocia un nombre de dominio a un mensaje mediante técnicas criptográficas». Y el DMARC es «un estándar de autenticación de correos que verifica tanto SPF como DKIM».

A pesar de que resulta una obviedad para los expertos del INCIBE, una investigación del proyecto personal de Marc Almeida demuestra que menos del 2% de los dominios que ha podido analizar tienen activados estos filtros. De una muestra provisional de cerca de 40 millones de dominios.

Todo esto lo está haciendo Marc acompañado de varios de sus colaboradores. Como detalla en su propia web, el proyecto se conoce como Domain Hunter DMARC Edition, y funciona mediante un pequeño script —un código ejecutable de una categoría inferior a un programa informático— que es capaz de leer la información que extrae de los dominios que analiza para saber si tienen convenientemente configurados estos filtros que el propio INCIBE recomienda.

Marc lleva semanas trabajando con este proyecto. Tiene una base de 250 millones de dominios que consiguió adquiriéndosela a una compañía estadounidense. Es muy difícil cuantificar cuántos dominios puede haber en la red. Algunas estimaciones los elevan a los 1.200 millones.

Un análisis masivo que revela importantes agujeros de seguridad

En una conversación con Business Insider España, Marc Almeida revela que solo ha estudiado hasta ahora algo menos del 10% de toda la muestra total con la que cuenta. Es decir, de cerca de 250 millones de dominios, solo ha podido acceder a casi 40 millones. De esos 40 millones de dominios analizados, menos de 53.000 tenían bien configurados estos filtros.

En otras palabras: el 1% de los dominios de la muestra analizada por Marc cuentan con los parámetros de seguridad informática que recomiendan los expertos del INCIBE. En otras palabras: el 99% de la muestra examinada es vulnerable a técnicas de spoofing y suplantación de identidad.

De todos los dominios investigados, casi 680.000 de ellos están ligados a España. Son los dominios cuyas terminaciones son .es, .cat, .com.es, .gob.es, .eus, o .gal. De la muestra analizada hasta ahora, menos de 850 dominios —solo 850 dominios— están segurizados con los filtros anteriormente mencionados.

Con este trabajo, del que el propio Marc irá informando paulatinamente, el especialista espera «hacer una fotografía global» de este problema. «La idea es manejar mucha información, muchos datos, generar nueva información y hacerse más preguntas», reconoce.

En el ámbito de la seguridad informática, reconoce, hay «millones de frentes». «Y todos ellos son importantes». «Lo que no entiendo, y me gustaría entenderlo de forma fehaciente, es por qué esto no se está haciendo ya en todos lados».

El filtro DMARC, precisamente, es uno de los proyectos a implantar en el ámbito de la seguridad informática para este 2020 y 2021, según la consultora Gartner. Y, a tenor de lo que reflejan los primeros resultados de Domain Hunter de Marc Almeida, su implantación es prácticamente nula.

Autor: Alberto R. Aguiar
Fuente: Businessinsider.es

Publicado el

Fortinet nombrado líder en el Cuadrante Mágico de Gartner 2020 para infraestructura Edge WAN

Fuente: Fortinet | 29 de septiembre de 2020

¡Somos líderes en el cuadrante mágico! En el Cuadrante Mágico 2020 publicado recientemente por Gartner para la infraestructura de Edge WAN, Fortinet ahora se ha posicionado en el cuadrante como líder. Creemos que nuestro compromiso con la innovación continua ayudó a Fortinet Secure SD-WAN a situarse más alto en capacidad de ejecución y más en integridad de visión.

Nuestro viaje SD-WAN comenzó hace años, liderado con un enfoque de red impulsado por la seguridad que nos permitió ofrecer la primera solución SD-WAN segura de la industria.

La rápida adopción de servicios en la nube y el cambio actual a la fuerza laboral remota ha acelerado la necesidad de transformación digital. Esto ha llevado a los clientes de todo el mundo a reconocer el valor de SD-WAN mientras trabajan para construir una infraestructura WAN más sólida. Si bien la reducción de costos, tanto en términos de gastos generales operativos como de gastos de capital, continúa influyendo en el proceso de toma de decisiones, los clientes también están muy centrados en el rendimiento de las aplicaciones. La prestación de servicios críticos para el negocio y recursos en la nube en tiempo real garantiza la mejor experiencia de usuario posible. Cuando se combina con la garantía de acceso seguro desde cualquier lugar, ya sea desde el hogar o sucursales, o en entornos de múltiples nubes, Fortinet Secure SD-WAN ofrece una solución completa digna de ser designada como líder de la industria.

La evolución de las aplicaciones en la nube plantea un desafío importante para dirigir las decisiones tomadas por las soluciones SD-WAN, que pueden tener efectos adversos en el rendimiento de las aplicaciones. Al combinar el mejor rendimiento de la industria con técnicas avanzadas de corrección, como la dirección dinámica del tráfico, la corrección de errores de reenvío y la duplicación de paquetes, Fortinet Secure SD-WAN puede reparar automáticamente problemas complejos de WAN que pueden socavar el rendimiento de la red. Combinado con el aprendizaje de aplicaciones impulsado por IA / ML de Fortinet, los clientes pueden establecer visibilidad y control avanzados en cada borde para mejorar el rendimiento, expandir la agilidad empresarial y lograr niveles más altos de productividad para ofrecer y mantener una mejor experiencia de aplicación e impulsar el crecimiento y los ingresos aún más y Más rápido.

Fortinet también proporciona una de las matrices más amplias de soluciones SD-WAN seguras, lo que nos permite lograr una presencia extensa en todos los segmentos del mercado, desde el pequeño comercio minorista hasta las complejas infraestructuras WAN globales. Parte de nuestra ventaja es que al hacer converger la seguridad y las redes avanzadas en una solución SD-WAN segura unificada, los clientes pueden eliminar productos puntuales en el borde de la WAN para reducir costos y lograr la consolidación, y para obtener el mejor TCO de la industria. La simplificación a través de la orquestación SD-WAN centralizada también permite a las organizaciones acelerar la implementación, reduciendo así la complejidad y las horas del personal asociado dedicadas a la administración y resolución de problemas complejos de la red. Y sus análisis e informes procesables permiten al personal de TI ajustar las políticas comerciales y de seguridad a escala, además de garantizar la facilidad de la administración de cambios porque permite que el personal de redes y seguridad trabaje como un equipo unificado.

Pero SD-WAN es mucho más que conectividad segura para sucursales. Con aplicaciones y cargas de trabajo moviéndose a modelos entregados en la nube, las empresas también necesitan un acceso confiable y seguro en el borde de la nube. La visión diferenciada de Fortinet también permite a los clientes preparar sus inversiones en transformación digital para el futuro al extender SD-WAN a múltiples nubes, proporcionando un acceso seguro y flexible para su fuerza de trabajo remota en cualquier momento y en cualquier lugar. Además, la proximidad a las aplicaciones también puede optimizar la conectividad SaaS y la computación en la nube. Y las innovaciones en el orquestador en la nube de Fortinet ayudan a las organizaciones a extender la visibilidad y el control de un extremo a otro a todos los bordes, ya sea que los dispositivos estén dentro o fuera de las instalaciones.

Durante 20 años, Fortinet, un reconocido experto de la industria, no solo se ha centrado en las soluciones de seguridad. También diseñamos y entregamos una cartera de dispositivos de acceso y red avanzados que abarcan toda la pila de redes. Estos años de experiencia en la construcción y entrega de funcionalidades de enrutamiento avanzadas son lo que nos llevó a evolucionar como el primer proveedor de SD-WAN seguro de la industria, proporcionando conectividad robusta y funcionalidad de enrutamiento combinada con un conjunto completo de seguridad avanzada.

Las innovaciones en seguridad y redes, la visión enfocada en el acceso seguro flexible desde y hacia cualquier lugar, y el reconocimiento continuo de la industria por parte de una variedad de organizaciones de terceros, han impulsado nuestra expansión en todas las verticales comerciales, y creemos que esto ha llevado a nuestra ubicación como líder en el Cuadrante Mágico 2020 de Gartner para la infraestructura de borde WAN. Creemos que nuestro historial comprobado de proporcionar agilidad empresarial en todas las verticales e industrias se ha vuelto mucho más sólido. Y no se detiene ahí. Tenemos varios anuncios próximos que garantizarán que nuestra solución Secure SD-WAN pueda abordar el conjunto más amplio de implementaciones de clientes, porque ser un líder nunca significa permanecer en un solo lugar.

Cuadrante mágico de Gartner para infraestructura de borde WAN, Jonathan Forest, Andrew Lerner, Naresh Singh, 23 de septiembre de 2020

Este gráfico fue publicado por Gartner, Inc. como parte de un documento de investigación más amplio y debe evaluarse en el contexto de todo el documento. El documento de Gartner está disponible a pedido en Fortinet.

GARTNER es una marca comercial registrada y una marca de servicio de Gartner, Inc. y / o sus afiliadas en los EE. UU. E internacionalmente, y se usa en este documento con permiso. Todos los derechos reservados.

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otras designaciones. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner niega todas las garantías, expresas o implícitas, con respecto a su investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.