Blog

Para citar a Peter Drucker: “La mejor manera de predecir el futuro es crearlo”. A medida que el futuro de la seguridad de los datos va tomando forma, los riesgos se han presentado de muchas formas.

Durante la última década, se han robado casi 4 millones de registros diariamente debido a filtraciones. Lamentablemente, estos incidentes siguen siendo rampantes y, con el crecimiento de la inteligencia artificial (IA), se espera que la dinámica se complique aún más en los próximos años.

Según el Foro Económico Mundial, “los ciberataques se consideran uno de los diez principales riesgos para la estabilidad global”. Por lo tanto, prepararse para lo que se avecina puede ayudarle a guiar sus estrategias de gestión de riesgos y proteger proactivamente sus datos y sistemas. Este artículo explorará las ocho principales predicciones de seguridad de datos para 2024 y más allá.

1. GOBERNANZA DE AI PARA MITIGAR LOS RIESGOS DE SEGURIDAD Y PRIVACIDAD

Las tecnologías de Inteligencia Artificial (IA) y Aprendizaje Automático (ML) están de moda hoy en día. La escritura ha estado en la pared desde el lanzamiento revolucionario de ChatGPT y, desde entonces, el mercado surgió con nuevas herramientas de inteligencia artificial. Y con OpenAI entregando recientemente a los usuarios las claves para construir sus modelos GPT personalizados, estamos al borde de una explosión de IA que involucra a organizaciones e individuos.

A medida que estas tecnologías de IA amplíen su huella en nuestros procesos, sistemas y productos diarios, habrá una mayor gobernanza sobre el uso responsable. Estas regulaciones de los sectores público y privado se centrarán en cómo se construyen y entrenan las tecnologías basadas en IA y ML, garantizando que cumplan con los estándares éticos y de privacidad.

Esperamos que estas regulaciones no sean un escenario único para todos, sino que varíen según la región. Sin embargo, las organizaciones deben cumplir con las leyes y marcos que rigen lo que pueden hacer sus modelos de IA y los datos a los que pueden acceder por ubicación.

2. INCORPORACIÓN DE IA PARA IDENTIFICAR RIESGOS DE SEGURIDAD

Los riesgos de seguridad están aumentando y las organizaciones todavía luchan por mitigar estas amenazas que ponen en peligro la continuidad del negocio. Según el Costo de una filtración de datos para 2023 de IBM, el tiempo promedio para detectar y contener una filtración de datos es de 277 días, ¡aproximadamente nueve meses!

Eso es demasiado tiempo. ¿Te imaginas cuántos datos recopilaron los piratas informáticos en ese tiempo?

En 2024, esperamos que las empresas aprovechen el auge de la IA para resolver los posibles riesgos de seguridad de los datos. Al incorporar IA, las organizaciones pueden automatizar la detección de anomalías, amenazas potenciales y vulnerabilidades en tiempo real, lo que permite un enfoque de seguridad más proactivo y receptivo.

La IA puede analizar grandes conjuntos de datos, detectar patrones y adaptarse a amenazas emergentes, lo que la convierte en una herramienta valiosa para identificar y mitigar riesgos de seguridad de manera más efectiva que los métodos tradicionales.

Obtenga más información sobre cómo navegar por el panorama de la IA y mejorar la postura de seguridad de los datos.

3. UNA PROGRESIÓN HACIA LA CONSOLIDACIÓN DE HERRAMIENTAS DE SEGURIDAD

¿Sabía que las organizaciones utilizan un promedio de 47 herramientas de ciberseguridad para identificar y contener amenazas?

No sorprende que el personal de TI a menudo tenga dificultades para rastrear y monitorear cada herramienta, lo que significa que los riesgos de seguridad pueden pasar desapercibidos. Además, mantener tantas herramientas requiere muchos recursos y aumenta los costos generales.

Por lo tanto, predecimos que las organizaciones adoptarán la consolidación de herramientas de seguridad en 2024. En lugar de utilizar muchas herramientas para diversas funciones de seguridad, anticipamos un cambio hacia la adopción de plataformas de seguridad integradas o unificadas que ofrezcan un enfoque más cohesivo y centralizado para gestionar la seguridad.

¿Por qué no? Es más simple y más efectivo.

Por ejemplo, Gartner introdujo un concepto llamado Cybersecurity Mesh Architecture (CSMA), que consolida las herramientas de seguridad, permitiéndoles interoperar a través de múltiples capas de soporte.

Incluso Gartner cree que para 2024, las organizaciones que consoliden sus sistemas de seguridad con este tipo de procesos reducirán el impacto financiero de los incidentes de seguridad en un 90%.

Las organizaciones pueden beneficiarse de una mejor coordinación, una gestión optimizada y una mejor visibilidad de su panorama de seguridad al tener un conjunto de herramientas de seguridad más integrado.

4. IMPLEMENTACIÓN DE UNA POSTURA DE SEGURIDAD DE DATOS EN LA NUBE

A medida que las empresas dependen cada vez más de los servicios en la nube para almacenar y procesar datos, la necesidad de salvaguardar la información confidencial nunca ha sido más crítica. Recuerde que también deben cumplir con la normativa de protección de datos y el cumplimiento de su industria o región.

Según IBM, las filtraciones de datos en 2023 costarán a las empresas una media de 4,45 millones de dólares, de los cuales el 82% implica datos almacenados en la nube. ¡Eso es suficiente para paralizar a la mayoría de las empresas! Se esperaría que las empresas hicieran todo lo posible para garantizar que eso no suceda. Y estamos de acuerdo.

En 2024, anticipamos un aumento en el establecimiento y mantenimiento de medidas de seguridad sólidas para los datos almacenados en entornos de nube. Esto representa un enfoque proactivo para abordar posibles vulnerabilidades de seguridad y acceso no autorizado.

A medida que más datos migren a la nube, la implementación de medidas integrales de seguridad en la nube será una prioridad clave para salvaguardar la información, las aplicaciones y los recursos confidenciales.

5. COMPUTACIÓN CUÁNTICA PARA ROMPER LOS MÉTODOS DE CIFRADO TRADICIONALES

El auge de la computación cuántica trae un arma de doble filo al panorama de la seguridad de los datos. Al igual que el crecimiento de la IA, esperamos que estos dos lados de la computación cuántica crezcan en 2024.

Por un lado, las computadoras cuánticas romperán los métodos de cifrado tradicionales, lo que impulsará a más organizaciones a adoptar un cifrado cuántico seguro para una protección sólida contra ataques.

Por otro lado, la computación cuántica se está volviendo más accesible para los actores de amenazas y los piratas informáticos. Anticipándonos a esto, predecimos que las organizaciones adoptarán cifrados de seguridad cuántica, como la criptografía basada en celosía y la criptografía basada en hash, para fortalecer sus defensas de datos de manera proactiva.

6. VISIBLIDAD AVANZADA DE AMENAZAS INTERNAS

la realidad es que cualquier organización puede tener información privilegiada maliciosa. Los datos del Informe sobre amenazas internas de 2023 muestran que el 74% de las organizaciones son vulnerables a amenazas internas. Esto pone de relieve una preocupación creciente para muchas empresas a medida que nos acercamos al año 2024.

Predecimos que las organizaciones irán más allá de los mecanismos básicos de monitoreo y adoptarán herramientas, tecnologías y procesos avanzados para detectar amenazas internas. Idealmente, estos procesos proporcionarán conocimientos más profundos sobre las actividades, comportamientos e interacciones de sus empleados dentro de sus redes.

Algunas estrategias efectivas que las organizaciones pueden adoptar incluyen políticas estrictas de intercambio de datos, el establecimiento de controles de acceso basados en roles (RBAC) y gestión de acceso privilegiado (PAM), así como la implementación de medidas de cifrado de datos.

7. AUMENTO DE LAS FILTRACIONES DE DATOS BASADAS EN IA

Anteriormente, mencionamos cuán efectivos son la IA y el ML para identificar riesgos de seguridad. Pero así como la IA puede ser una herramienta eficaz en manos de piratas informáticos éticos, también puede ser un aliado para los piratas informáticos.

Esta tendencia no es nueva. Los ciberataques basados en IA han planteado un desafío continuo para las organizaciones desde sus inicios. Es una tendencia que se intensificará en 2024, especialmente con el avance de las metodologías de IA.

Es probable que los piratas informáticos utilicen la IA para analizar grandes conjuntos de datos y estrategias de ataque, mejorando sus posibilidades de éxito. Incluso envenenar deliberadamente los datos de entrenamiento para introducir vulnerabilidades, puertas traseras o sesgos, socavando la seguridad, la eficacia o el comportamiento ético del modelo. También podrían utilizar la IA para mejorar la escala, el alcance y la velocidad de los ataques de ingeniería social o basados en malware.

Por lo tanto, fortalecer las medidas de seguridad de los datos se vuelve primordial para frustrar la creciente amenaza de violaciones de datos basadas en IA.

8. SE ACERCA UN FUTURO SIN CONTRASEÑAS

Para citar al CISO de BigID, Tyler Young, “Algo en la industria cambiará hacia la eliminación de las contraseñas por completo”.

Ese cambio se producirá potencialmente en 2024, cuando Apple, Microsoft, Google y otras empresas de tecnología estén trabajando con la Alianza FIDO para establecer “claves de acceso”. Las claves de acceso permiten a los usuarios iniciar sesión, de forma similar a desbloquear su teléfono, con un PIN o datos biométricos. La clave de acceso es un paso hacia el futuro, ya que se la denomina “contraseña 2.0”.

Dado que la mala higiene de las contraseñas, las estafas y el phishing representan constantemente un riesgo, las claves de acceso resuelven dos problemas importantes: el phishing y las violaciones de datos. A medida que la clave de acceso nos acerque al futuro sin contraseñas, puede abrir un mundo más seguro para las empresas y los consumidores.

Si deseas saber si tu organización esta bien protegida con IA, agenda tu sesión gratuita por correo electrónico: miguel@nektgroup.com

Fuentes: 2024 Data Security Predictions and Beyond-Big Id https://bigid.com/blog/2024-data-security-predictions-and-beyond/

Te invitamos a nuestro evento de Gobierno de Datos el día jueves 16 de mayo a las 18:00 hrs, por favor reserva tú lugar dando click en el botón de registro. Gracias.

NUEVO PANORAMA DE AMENAZAS QUE USAN INTELIGENCIA ARTIFICIAL (IA VS IA)

La introducción de ChatGPT el año pasado marcó la primera vez que un motor de inteligencia artificial que usa una red neuronal estuvo disponible gratuitamente para las masas. Esta poderosa y versátil herramienta se puede usar para todo, desde responder preguntas simples hasta redactar trabajos escritos al instante y desarrollar programas de software originales, incluido el malware, el último de los cuales presenta el potencial de una nueva y peligrosa generación de ciberamenazas.

Las soluciones de seguridad tradicionales, como los EDR, aprovechan los sistemas de inteligencia artificial de datos multicapa para combatir algunas de las amenazas más sofisticadas de la actualidad, y la mayoría de los controles automatizados pretenden prevenir patrones de comportamiento novedosos o irregulares, pero la posibilidad de usar esta tecnología para crear amenazas avanzadas con capacidades polimórficas haciendolas difíciles de detectar es una realidad. Además, la velocidad a la que se pueden ejecutar estos ataques hace que la amenaza sea exponencialmente peor.

CREANDO BLACKMAMBA 

En una investigación realizada por Jeff Sims en HYAS, empresa dedicada a la detección de amenazas, crearon “Blackmamba”, un “keylogger polimórfico sintetizado por IA” que usa Python para modificar su programa aleatoriamente. Esto con el fin demostrar de lo que es capaz el malware basado en IA, crearon una prueba de concepto (PoC) simple que utiliza un ejecutable benigno que llega a una API de alta reputación (OpenAI) en tiempo de ejecución, por lo que puede devolver el código malicioso sintetizado necesario para robar las pulsaciones de teclas de un usuario infectado.

Posteriormente ejecuta el código generado dinámicamente dentro del contexto del programa benigno usando la función exec() de Python. Cada vez que BlackMamba se ejecuta, vuelve a sintetizar su capacidad de registrar las pulsaciones del teclado, lo que la convierte en una amenaza polimórfica siendo difícil de detectar.  La pruebas hechas por HYAS indican que BlackMamba se probó contra un EDR líder en la industria del cual no se menciona su nombre pero el resultado fue cero alertas o detecciones.

USANDO MICROSOFT TEAMS PARA EXTRAER INFORMACIÓN SENSIBLE Y CONFIDENCIAL

HYAS menciona “Una vez que un dispositivo estaba infectado, necesitábamos una forma de recuperar los datos. Decidimos usar MS Teams, que, al igual que otras herramientas de comunicación y colaboración, puede ser explotado como un canal de exfiltración. En este contexto, un canal de exfiltración se refiere al método mediante el cual un atacante elimina o extrae datos de un sistema comprometido y los envía a una ubicación externa, como un canal de Teams controlado por el atacante a través de un webhook. Usando su capacidad de registro de teclas incorporada, BlackMamba puede recopilar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales o confidenciales que un usuario ingresa en su dispositivo. Una vez que se capturan estos datos, el malware utiliza el webhook de MS Teams para enviar los datos recopilados al canal malicioso de Teams, donde se pueden analizar, vender en la dark web o utilizar para otros fines  de lucro”.

¿POR QUE DEBE PREOCUPARNOS?

En esencia, BlackMamba es un registrador de pulsaciones de teclas que utiliza técnicas impulsadas por IA para permanecer oculto de las soluciones de seguridad EDR. Lo que lo hace tan difícil de detectar es que se puede personalizar sobre la marcha sin tocar el disco duro donde reside. Esto permite a los ciber criminales adaptar rápidamente sus ataques para evadir mejor la detección.

Otra forma en que BlackMamba se destaca de otros keyloggers es su capacidad para identificar qué aplicaciones se están ejecutando en el sistema y adaptar su comportamiento en consecuencia. Por ejemplo, si un usuario está ejecutando una aplicación de oficina como Microsoft Word o Excel, BlackMamba capturará datos más rápidamente para obtener acceso a documentos confidenciales u hojas de cálculo almacenadas en la computadora.

Es una amenaza sofisticada que emplea varios métodos de ofuscación (incluido el empaquetado de código) para evitar ser detectado por el software antivirus y otras medidas de seguridad. También utiliza canales de comunicación cifrados para exfiltrar datos robados y comunicarse con servidores de comando y control, lo que dificulta aún más que los defensores detecten e interrumpan el ataque antes de que se produzcan daños.

Si deseas conocer si tu organización es vulnerable a ataques polimórficos que usan IA agenda tu sesión gratuita por correo electrónico: miguel@nektgroup.com

Fuentes: Estudio hecho por HYAS “Blackmamba: AI-Synthesized, Polymorphic Keylogger with On- the Fly program modification” : https://www.hyas.com/hubfs/Downloadable%20Content/HYAS-AI-Augmented-Cyber-Attack-WP-1.1.pdf

Un cambio tecnológico acelerado por la pandemia de COVID-19 es el resurgimiento de los códigos QR. A medida que se generaliza su uso, las posibilidades de explotarlos crecen exponencialmente. Este artículo confirma el uso de los códigos QR en los ataques de phishing.

Los atacantes adaptan y perfeccionan constantemente sus tácticas en un intento de eludir la detección o de ser más eficaces en lograr sus objetivos maliciosos. A menudo, estos ajustes tácticos se aprovechan de los cambios sociales; un ejemplo reciente fue el aumento de correos electrónicos de phishing dirigidos a empleados en trabajo remoto.

¿Qué son los códigos QR?

Los códigos de respuesta rápida (QR) son códigos de barras que almacenan información de forma bidimensional, lo que significa que la información que contienen puede leerse de arriba abajo y de izquierda a derecha. Los dispositivos digitales, incluidos los smartphones, pueden leer fácilmente la información contenida en la imagen.

Cada código tiene una capacidad máxima de datos de 4.296 caracteres alfanuméricos. El origen de esta tecnología se remonta a 1994, cuando unos ingenieros japoneses empezaron a utilizar los códigos de barras para hacer un seguimiento de las piezas de una fábrica de automóviles. Cada código QR contiene patrones de detección de posición, que facilitan una lectura precisa y rápida por parte de los dispositivos de escaneado.

Después de limitarse principalmente a casos de uso industrial, los códigos QR empezaron a extenderse a una serie de aplicaciones orientadas al consumidor en 2011, como empresas que los colocaban en anuncios de eventos, descuentos y promociones. Sin embargo, su adopción fue lenta y se especuló su desaparición en 2014, debido a una combinación de mala implementación por parte de las empresas y de usuarios que no estaban lo suficientemente motivados como para instalar la aplicación específica necesaria para escanearlos.

A medida que los teléfonos inteligentes se hicieron más avanzados, los fabricantes añadieron escáneres QR a las cámaras de sus teléfonos inteligentes, de modo que los usuarios no necesitaban una aplicación dedicada. El resultado fue un aumento gradual del número de personas que escaneaban códigos QR para descargar aplicaciones, visitar sitios web o acceder a un punto de acceso Wi-Fi, en comparación con los métodos habituales.

El resurgimiento de los códigos QR

Entre los muchos cambios tecnológicos influidos por COVID-19 se encuentra el enorme resurgimiento de los códigos QR. Con el distanciamiento social obligatorio en los entornos minoristas, negocios como restaurantes y cafeterías tuvieron que idear formas de mantener a salvo al personal y a los clientes mientras intentaban ganar dinero y sobrevivir.

Los códigos QR ofrecieron una solución al permitir a los clientes escanear un código de barras, ver los menús y hacer pedidos, todo ello manteniendo una distancia de seguridad. La renuncia a los menús físicos tenía por objeto ayudar a reducir la propagación del coronavirus a través de las gotitas de los menús mal desinfectados.

Otro uso fue para confirmar el estado de vacunación de las personas. En lugares en los que la entrada estaba limitada únicamente a personas totalmente vacunadas, escanear un código ayudaba a las empresas a asegurarse de que cumplían estos protocolos de seguridad.

¿Cómo funciona un ataque de phishing con código QR?

Ahora que los códigos QR son omnipresentes, los ciberdelincuentes tienen la oportunidad de aprovecharse de su popularidad y estafar a la gente. Incrustar enlaces a sitios web maliciosos dentro de un código QR puede dar buenos resultados, ya que la gente tiende a confiar automáticamente en ellos.

Mientras que las URL sospechosas son detectables por los humanos en texto plano, enmascararlas dentro de códigos QR significa que la gente no puede leerlas y verificar que la URL parece sospechosa.

El potencial de que los ciberdelincuentes se aprovechen de los códigos QR llevó a los analistas de seguridad a acuñar un nuevo tipo de ataque de phishing conocido como “quishing”. A continuación te explicamos cómo funciona según Ankush Johar: 

Paso 1: Recibes un correo electrónico con un código QR, que parece venir como un “Archivo Compartido” a través de sharepoint, onedrive o de Google drive. (Ejemplo a continuación de la demostración de HumanFirewall)

Paso 2: Sacas tu teléfono y escaneas el código en tu cámara, y ¡listo! Has sido víctima de phishing. (Imagen de muestra de cómo se ve en los dispositivos Apple/iOS y Android).

Paso 3: El código QR te lleva a un enlace malicioso. Llegó a tu buzón de correo porque no fue detectado por las Secure Email Gateways y sus analizadores de enlaces, pero a partir de este punto el peligro es que el enlace puede robar credenciales o descargar malware en el teléfono y desencadenar riesgos, que no solo afectarán al dispositivo, sino también a la red y la seguridad corporativa.

Ejemplos de ataques reales de phishing con códigos QR

Ya no es mera especulación, se han producido algunos ejemplos de incidentes que se aprovechan directamente de la creciente dependencia de las personas y las empresas del uso de códigos QR.

Estafas en San Antonio y Austin

En diciembre de 2021, las fuerzas de seguridad de San Antonio y Austin advirtieron a los tejanos de una estafa con códigos QR en la que los ciberdelincuentes colocaban pegatinas con códigos QR maliciosos en los parquímetros. Ambas ciudades sólo permiten pagar el aparcamiento con monedas o con una app específica. Aprovechando el uso generalizado de los códigos QR, los autores de la amenaza esperaban que los incautos escanearan el código e intentaran pagar el aparcamiento en la página web a la que se les enviaba. Esta URL era, de hecho, un enlace falso que engañaba a la gente para que revelara los datos de su tarjeta de pago.

Robo de credenciales de Microsoft 365

En otoño de 2021, los atacantes llevaron a cabo una campaña de robo de credenciales mediante el uso de cuentas de correo electrónico previamente comprometidas para enviar mensajes de correo electrónico desde las cuentas reales utilizadas por los compañeros de trabajo, que pasan correctamente por los email security gateways (SEG) tradicionales, y parecen reales y seguras para los destinatarios.

Estos correos electrónicos de phishing decían incluir un mensaje de voz importante, pero requerían que la víctima escaneara un código QR para poder escuchar el mensaje. Los usuarios que escaneaban el código QR eran enviados a un sitio web de phishing que les pedía sus credenciales de Microsoft O365 antes de darles acceso al archivo de audio inexistente.

No está claro si alguien cayó en esta estafa, pero los atacantes consideran que las credenciales de inicio de sesión de Microsoft Office 365 son especialmente útiles para lograr otros objetivos, como robar datos confidenciales o introducirse en la red de una empresa.

Consejos para utilizar los códigos QR de forma segura

Hoy en día los códigos QR parecen estar en todas partes y se utilizan para muchas aplicaciones diferentes de cara al cliente, ¿Qué puedes hacer para utilizarlos de forma segura?

1. En los códigos QR que te llevan a una URL, examina la dirección para asegurarte de que es auténtica y no contiene errores tipográficos.
2. Ten cuidado al escanear códigos URL físicos, que no hayan sido manipulados, y mucho cuidado si ves un código QR adhesivo en cualquier lugar.
3. No descargues aplicaciones escaneando directamente; en su lugar, anota el nombre de la aplicación, búscala en la tienda de aplicaciones que utilices y descárgala desde allí.
4. Si alguna vez recibes un correo electrónico en el que se te informa que tienes que completar una transacción con un código QR, llama al banco o a la entidad financiera para verificar esta información y/o navega hasta el sitio web sin escanear el código para asegurarte de que estás visitando una URL de confianza.
5. Desconfía de cualquier código QR que te informe de la posibilidad de ganar algún tipo de premio si escaneas el código.
6. En general, no confíes en los códigos QR de los correos electrónicos, ya que sería más fácil y tendría más sentido que un remitente legítimo insertará un enlace real en el texto del correo electrónico.

La amenaza de las estafas con códigos QR actualmente es tan alta que el FBI ha publicado una alerta en la que explica cómo los ciberdelincuentes manipulan estos códigos para robar dinero.

 Ahora que conoces los riesgos potenciales y las medidas de mitigación que debes tomar, tendrás más posibilidades de mantenerte a salvo durante el resurgimiento de los códigos QR.

Los ataques de phishing están aumentando. Como resultado, los cibercriminales están evolucionando rápidamente sus tácticas para eludir los sistemas heredados y engañar a los objetivos vulnerables, lo que hace que los equipos de TI y seguridad dediquen más tiempo y dinero a responder a las amenazas en nuevas superficies de ataque. Desafortunadamente, según el informe de Osterman Research, The Business Cost of Phishing, “la mayoría de las organizaciones anticipan que las amenazas de phishing generarán mucho trabajo de respuesta a incidentes , y a muchas les gustaría estar mejor equipadas para lidiar con ellas”.

Esta publicación revela algunas de las plataformas de ataque que son usadas por los ciberdelincuentes para llevar a cabo sus ataques de phishing.

4 Mecanismos de entrega emergentes para ataques de phishing

1.  Aplicaciones de mensajería

En agosto de 2022, se informó de que un ataque conocido como la estafa de “mamá y papá” estaba costando a los residentes australianos más de 2 millones de dólares. En la estafa, el atacante envía mensajes a la víctima en la popular aplicación de mensajería, WhatsApp, fingiendo ser el hijo de la víctima que necesita dinero.

Con más de 2 mil millones de usuarios activos en todo el mundo, es probable que los ciberdelincuentes aumenten su uso de aplicaciones de mensajería como WhatsApp para ofrecer amenazas de phishing. Según Osterman Research, el 57 % de los encuestados ya están viendo ataques que llegan a los usuarios finales en aplicaciones de mensajería.

2. Plataformas de intercambio de archivos basadas en la nube

Los atacantes se han hecho pasar por plataformas populares de intercambio de archivos para robar credenciales desde hace un tiempo, y no parece que eso termine pronto. El 50 % de los recientes encuestados por  Osterman indicaron que están viendo ataques entregados desde plataformas de intercambio de archivos basadas en la nube.

Una estrategia común incluye la suplantación de un correo electrónico de intercambio de archivos y una página de inicio de sesión para obtener credenciales. Sin embargo, ha surgido una nueva tendencia en la que los actores de amenazas utilizan la función de comentarios en Google Docs para entregar enlaces maliciosos a la bandeja de entrada del objetivo.

3. Servicios de mensajería de texto (SMS)

Otro mecanismo de entrega popular para ataques de phishing (o smishing en este caso) es a través de servicios de mensajería de texto (SMS). El costo comercial del phishing informa que el 49 % de los equipos de TI y seguridad están viendo este tipo de ataques.

Una adaptación recientemente efectiva de un ataque de smishing es el “nag attack” en el que el atacante, generalmente bajo el disfraz de TI, envía repetidamente al mismo mensaje a la víctima prevista con la esperanza de que el objetivo responda o haga clic en un enlace que le dará al atacante acceso a datos confidenciales. Los atacantes ya han vulnerado con éxito empresas como Uber con este tipo de ataques. Con altas recompensas y crecientes tasas de éxito, los equipos de TI y seguridad deben estar al tanto de estos ataques e incluirlos en sus campañas de pruebas de simulación de phishing.

4. Plataformas de colaboración empresarial

A medida que más y más empresas confían en plataformas de colaboración, como Microsoft Teams y Slack para comunicarse con su fuerza laboral distribuida globalmente y remota, los ciberactores están explorando estas oportunidades para atacarlos a través de estas plataformas. En el estudio “The Business Cost of Phishing”, el 40 % de los encuestados indican que están viendo ataques a Teams y Slack.

Proteger a su organización contra los ataques a Microsoft Teams se convertirá en un componente crítico de su estrategia de seguridad.

ataques, cibercriminales, phishing

¿QUÉ ES AUN ATAQUE DE PHISHING  “POLIMÓRFICO”?

Es un tipo de ataque avanzado en el que los cibercriminales realizan pequeños cambios en el mismo correo electrónico que se envía a diferentes destinatarios dentro de la organización objetivo, por ejemplo, en la línea de asunto o el nombre del remitente, mientras investigan los sistemas de seguridad para ver qué podría pasar.

Los ataques polimórficos normalmente comienzan con una campaña dirigida, diseñada para obtener las credenciales de los usuarios. Cuando los primeros muerden el anzuelo, el atacante usa sus credenciales para apuntar a otros usuarios. De esta manera el cambio dinámico en el ataque evita que los controles tradicionales (normalmente, gateways de protección de correo electrónico (SEG)) filtren los mensajes.

¿POR QUÉ SON TAN EXITOSOS?

Una campaña que carece de uniformidad o patrón no parece una campaña y dificulta que los operadores de seguridad mantengan las reglas actualizadas en la soluciones tradicionales de gateway. Para muchos equipos de ciberseguridad que carecen de disponibilidad o herramientas que permitan encontrar el alcance completo de un ataque polimórfico y posteriormente poner en cuarentena los correos es un desafío y requiere mucho tiempo.

Peor aún, los ataques polimórficos no solo son efectivos, sino que son muy fáciles de lanzar gracias a kits automatizados y económicos que se venden en el mercado negro.

Es por esto que una estrategia de defensa que conjunta inteligencia artificial y concientización en ciberseguridad a nuestros usuarios se vuelve crucial.

1.LOS ATAQUES DE PHISHING NO SE DETIENEN SOLAMENTE CON TECNOLOGÍA

Los controles perimetrales detendrán la mayoría de los correos electrónicos de phishing. Después de todo, la tecnología de seguridad está diseñada para detener las amenazas en volumen.
Pero, ¿qué sucede cuando los atacantes usan la tecnología para engañar a su tecnología? Aquí hay un ejemplo. El laboratorio del Instituto Nacional de Tecnología de EE. UU. (NIST) emitió un aviso sobre la amenaza que describiremos a continuación.

Los investigadores desarrollaron un ataque de prueba de concepto llamado ProofPudding para mostrar cómo se podría usar un algoritmo de aprendizaje automático para encontrar debilidades en el Security EMail Gateway (SEG) de Proofpoint.

Proofpoint agregó encabezados de correo electrónico que contenían información confidencial sobre sus algoritmos. Mediante el envío selectivo de variaciones de correos electrónicos al gateway, los investigadores pudieron determinar qué modificaciones y/o palabras clave específicas se bloquearían o permitirían a través de este. En otras palabras, aunque el SEG detuvo la mayoría de los miles de correos electrónicos de phishing que vio, carecía de la información necesaria para saber que un atacante había realizado ajustes. Hizo el trabajo para el que estaba programado, una y otra vez, pero no recibió instrucciones de buscar otros indicadores problemáticos.

2. LA INTUICIÓN HUMANA ES UN INGREDIENTE CLAVE

A diferencia de las máquinas, los humanos, tanto usuarios bien capacitados como profesionales equipos de seguridad vienen “equipados” con intuición. Saben o pueden ser entrenados para confiar en su instinto cuando miran correos electrónicos. La intuición humana es crucial al enfrentar especialmente ataques de phishing polimórficos sobre todo es necesario reportarlo al equipo de seguridad para tomar las medidas pertinentes.

Una cadena de ciberataque normalmente tendrá varios eslabones, desde el reconocimiento del atacante hasta la actuación sobre los objetivos. Los usuarios  bien entrenados funcionarán como capa adicional de protección pero si por alguna razón el humano no se percata de la amenaza, como sucede inevitablemente con algunos, los equipos de seguridad necesitan visibilidad y automatización para poder responder rápidamente.

3. EL MEJOR ENTRENAMIENTO ES EL QUE IMITA A LOS ATAQUES QUE RECIBE LA ORGANIZACIÓN (NO TE PUEDES DEFENDER DE LO QUE NO PUEDES VER)

En un mundo de amenazas infinitas, ¿ en cuáles debe capacitar a los usuarios para que detecten?.

La respuesta es en aquellos que realmente recibe la compañía, para esto necesitamos una herramienta que a través de inteligencia artificial pueda contener y aislar de manera automática los ataques que nuestro gateway no puede detener. Conociendo el panorama de amenazas que acechan podemos diseñar campañas de simulación y entrenamiento,  si esos correos electrónicos maliciosos cambiaron de forma modificando asuntos, remitentes o cualquier otro elemento, la simulación ayudará a detener el próximo ataque polimórfico.

4. LA DETECCIÓN A TRAVÉS DE USUARIOS ES BUENA PERO SI SE REPORTA EN TIEMPO REAL MUCHO MEJOR 

“Crear una cultura en la que los usuarios puedan denunciar los intentos de phishing le brinda información vital sobre qué tipos de ataques de phishing se están utilizando”, esta frase fue tomada del  Centro Nacional de Ciberseguridad del Reino Unido. La idea es simple: con práctica frecuente, cualquier usuario puede aprender a detectar un phishing y denunciarlo para su investigación. Reportar las amenazas  son una parte importante entre la concienciación y la respuesta, es realmente un comportamiento aprendido, una especie de condicionamiento, que desarrolla “memoria muscular” para que los usuarios no lo piensen dos veces antes de levantar la mano.

5. EL FACTOR HUMANO ES IMPORTANTE PERO LOS PILARES SON LA DETECCIÓN Y RESPUESTA AUTOMATIZADA.

Cuando los correos electrónicos de phishing llegan a la bandeja de entrada, el tiempo corre. En promedio, los usuarios solo tardan 82 segundos en comenzar a hacer clic en una campaña de phishing (dato de CyberDB – Anti-Phishing Simulation and awareness market overview). ¿Se imagina las implicaciones cuando la campaña es polimórfica?, para detener el ataque, necesita automatización para acelerar su respuesta a la amenaza.

Análisis de correo electrónico, búsqueda y cuarentena

Cuando los equipos de seguridad intentan responder manualmente a los informes de phishing generalmente se quedan atrás. Simplemente hay demasiados correos electrónicos, la mayoría de ellos inofensivos y ¿quién más recibió el phish? es como buscar una aguja en un pajar. La automatización a través de inteligencia artificial puede eliminar el ruido , identificar amenazas reales y ponerlas en cuarentena evitando la materialización de un incidente que pueda poner en peligro a su organización.

Si deseas conocer si tu actual solución es efectiva contra ataques polimórficos da click en la liga y agenda tu sesión gratuita.

Nekt-Auditoría EMail  Ataques Avanzados

¡Contáctanos! (miguel@nektgroup.com)

¿QUÉ ES “ACCOUNT TAKEOVER” (SECUESTRO DE CUENTA CORPORATIVA)?

Este término es utilizado cuando un atacante obtiene acceso y controla las credenciales de la cuenta de un usuario y después utiliza esta cuenta comprometida para ejecutar una amplia variedad de ataques. Por lo general, comienzan haciendo cambios en la cuenta para que al propietario real le resulte más difícil recuperar el control. Una vez que se que la cuenta de correo electrónico esta totalmente comprometida pueden acceder a administradores de contraseñas con credenciales de inicio de sesión legítimas en cuentas bancarias de la empresa, recursos que incluyen datos personales de otros empleados o clientes y moverse lateralmente dentro de la red de la organización para establecer puntos de apoyo adicionales para lanzar otros tipos de ataques.

Una de las primeras cosas que los cibercriminales suelen hacer con las credenciales robadas es enviar correos electrónicos de phishing a otros empleados para ampliar su capacidad de control dentro de la organización; este tipo de actividad puede ser difícil de detectar ya que el atacante parece un empleado real para la mayoría de las herramientas de seguridad.

DETECCIÓN

Detectar el secuestro de una cuenta o una dirección de correo electrónico comprometida no es tan fácil como buscar cambios de contraseña desde una nueva dirección IP o dispositivo. Ese tipo de cosas suceden todo el tiempo, como cuando un empleado recibe un nuevo teléfono inteligente. La detección precisa requiere un análisis avanzado de múltiples puntos donde encontraremos datos relevantes:

• Datos de eventos de administración de acceso e identidad (IAM), como eventos de Microsoft Active Directory.
• Datos de eventos a nivel de cuenta de correo electrónico, como reglas de manejo de correo electrónico nuevas e inusuales.
• Comportamiento y patrones de usuarios, como mensajes de correo electrónico enviados a múltiples destinatarios internos que nunca antes se habían contactado.

La cantidad de combinaciones de eventos en estas fuentes de datos es enorme y encontrar indicadores válidos de apropiación de cuentas es extremadamente desafiante. Para evitar alertas de falsos positivos, nuestra solución de detección de amenazas en correo electrónico a través de inteligencia artificial (IRONSCALES) analiza en tiempo real múltiples tipos de datos, no solo eventos de Active Directory,  esto para identificar actividades sospechosas de usuarios y patrones de comportamiento. Por ejemplo, varios intentos fallidos de inicio de sesión en una aplicación podrían significar que el usuario olvidó su contraseña. Pero al combinar los intentos fallidos de inicio de sesión + nuevas reglas de reenvío y eliminación de correo electrónico + actividad de viajes imposible (donde la distancia entre su última ubicación de inicio de sesión y la nueva no podría ser recorrida por un avión) se obtienen todos los signos de que estamos ante un incidente de secuestro de cuenta.

REMEDIACIÓN

Los ataques de “account takeover” (ATO), como Business Email Compromise (BEC), tienen el potencial de propagarse a través de una organización como reguero de pólvora. Un ataque exitoso puede provocar brechas de datos y el compromiso de otras cuentas muy rápidamente.

Como tal, IRONSCALES no clasifica automáticamente dichos incidentes, sino que proporciona de inmediato a los analistas de SOC toda la información necesaria para remediar con precisión y evitar una mayor propagación, lo que se realiza con dos simples clics.

IRONSCALES es una solución integral que se implementa sencilla y rápidamente en Microsoft 365 y Google Workspace, cuenta con características de protección y detección de alto valor:

• Análisis en tiempo real de datos de eventos a través de inteligencia artificial donde otras soluciones buscan amenazas solo por reputación, adjuntos maliciosos o listas negras sin tener éxito.
• Correlación y análisis de múltiples fuentes de datos en lugar de solo eventos de Active Directory
• Remediación simple e intuitiva con 2 clics

En NEKT podemos ayudarte con un diagnóstico integral sin costo sobre las amenazas que ha permitido tu actual solución de protección de correo así como la capacidad de entregar una “fotografía” 90 días previos a la activación de la prueba (Microsoft 365) así como 60 días posteriores incluyendo protección con inteligencia artificial y simulación de ataques de phishing

¡Contáctanos! (miguel@nektgroup.com)

IronScales Blog -Marzo 2022

Prepararse para las últimas amenazas de phishing y seguridad del correo electrónico requiere anticipar lo que se avecina durante el próximo año.

La primera parte de esta serie de predicciones cubrió la posible aparición de phishing profundo, la evolución de las pandillas de ransomware y más. Esto es lo que 2022 puede tener reservado desde la perspectiva de la seguridad del correo electrónico y phishing.

ACCEDIENDO DESDE UN CORREO ELECTRÓNICO PERSONAL A ENTORNOS CORPORATIVOS

Con las campañas de phishing creciendo en volumen y sofisticación, la mayoría de las empresas reconocen la necesidad de promover la concientización sobre el phishing entre sus empleados como parte de su estrategia de seguridad.

Por lo general, se indica a los empleados que busquen señales de correos electrónicos maliciosos que lleguen a las cuentas de correo electrónico de su empresa, pero eso no mitiga totalmente las amenazas. Los emails con un blanco específico son más difíciles de detectar sin una solución específica que use inteligencia artificial para este fin. Más preocupante aún,  es la difuminada frontera que se genera al trabajar remotamente o desde casa al combinar el uso de  correo electrónico personal, corporativo y ambientes o aplicaciones de colaboración.

En 2022, se espera ver que los ciber criminales comiencen a centrar su atención en acceder a las direcciones de correo electrónico personales, computadoras portátiles y teléfonos inteligentes de los empleados que comparten acceso directo o indirecto a las redes, servicios y activos corporativos. Es  muy probable que puedan lanzar ataques de ransomware o malware dirigido a direcciones de correo personal, que cuando se instala en el dispositivo de un usuario, brinda capacidades de control remoto y acceso eventual a la infraestructura dentro de los entornos corporativos.

MOVER EL “QUESO” A LA NUBE

La adopción del computo en la nube por parte de las empresas continuará en 2022,  las posibles reducciones de costos y una mayor flexibilidad en la infraestructura de TI son las principales motivaciones para la adopción de  esquemas de nube.

Ahora, sin embargo, las preocupaciones de seguridad están empujando a las organizaciones a reemplazar la infraestructura local con servicios basados ​​en la nube más allá de los beneficios mencionados. Los ataques de ingeniería social aumentaron 270% en 2021, y las campañas de phishing representaron la mayor parte de ese aumento, se espera que esta tendencia continúe durante 2022, ya que los cibercriminales reconocen cada vez más el poder del phishing  como punto de entrada a las redes empresariales.

Al mover más servicios empresariales clave a la nube, los equipos de seguridad cibernética creen que pueden reducir el daño potencial infligido por los ataques de phishing. La naturaleza interconectada de la infraestructura local a menudo permite a los atacantes tener rienda suelta sobre un entorno completo e instalar malware fácilmente. La esperanza es que incluso si los ataques de phishing exitosos comprometen un servicio, ejecutar todo en la nube como un ambiente aislado ayuda a evitar los peores impactos de estos ataques que permiten la infiltración a entornos locales completos.

PAGO POR CREDENCIALES DE ACCESO

Un artículo interesante e igualmente impactante apareció en Vice el año pasado describiendo cómo una empresa ofreció 500 dólares a empleados en los Estados Unidos a cambio de detalles de inicio de sesión en cuentas corporativas.

La empresa también prometió acceso a una plataforma propietaria en la que los empleados podrían comparar sus ingresos con otros trabajadores de nivel similar en diferentes organizaciones. Los investigadores de seguridad descubrieron una gran cantidad de otros dominios sospechosos que atraían a los empleados con ofertas similares.

Si bien existen consecuencias legales por compartir las credenciales de inicio de sesión corporativas, algunos empleados podrían sentirse atraídos por las recompensas monetarias y considerarlo de bajo riesgo. Después de todo, con tantas violaciones de datos en los últimos años, sus credenciales de inicio de sesión en al menos una cuenta probablemente estén en la dark web.

Fingir ignorancia sería relativamente trivial a menos que las autoridades lograran rastrear los pagos y las comunicaciones entre los empleados y quienes pagan por el acceso. Se espera ver este tipo de campañas de phishing cada vez más frecuentes en 2022. Las recompensas monetarias y el acceso a información valiosa amplifican la oferta a través de mensajes maliciosos, siendo una combinación que a algunas personas les resultará difícil no caer.

Desafortunadamente, el resultado probable es que aquellos que revelan sus credenciales no obtengan nada en absoluto y los ciber actores utilizarán sus datos de inicio de sesión para lanzar ataques en la red corporativa de su empleador.

PHISHING BASADO EN MÁQUINAS EN VARIAS FASES

Las noticias sobre una evolución preocupante en phishing surgieron a principios de 2022 cuando Microsoft descubrió una campaña de varias etapas utilizando un truco de registro legítimo de dispositivos. El ataque en cuestión utiliza credenciales comprometidas de inicio de sesión de los empleados a través de mensajes de phishing tradicionales.

La siguiente fase involucró phishing basado en máquinas que engaña a la red de destino para que acepte un dispositivo controlado por hackers. Gracias a las políticas BYOD pudieron registrar su dispositivo en la red utilizando credenciales robadas aparentemente legítimas y el  servicio de Azure Active Directory asumió que el dispositivo era legítimo. Una vez dentro de la red, los cibercriminales enviaron un conjunto de mensajes de phishing dirigidos a destinatarios internos específicos.

Las organizaciones y/o usuarios que no implementaron autenticación multifactorial para el registro de nuevos dispositivos se convirtieron en víctimas de este ataque de varias fases. Estos ataques se incrementaran a medida que se desarrolle 2022.

PHISHING COMO HERRAMIENTA GEOPOLÍTICA

Por último, el phishing como herramienta de influencia geopolítica seguirá desplegándose como una forma de influir en las elecciones de otros países. La intervención rusa en la carrera presidencial estadounidense de 2016 está bien documentada. En ella se usaron mensajes de phishing dirigido para apuntar a cuentas de correo electrónico pertenecientes a miembros de la campaña presidencial de Hillary Clinton y revelar detalles de esas cuentas.

Aparentemente, se utilizaron tácticas de interferencia similares con campañas de phishing en la carrera presidencial de Estados Unidos de 2020. Otros países han tomado nota del potencial del phishing como herramienta geopolítica. El Equipo de Respuesta a Emergencias Informáticas de Singapur emitió un aviso sobre la posibilidad de que el phishing interfiera con elecciones importantes.

CONCLUSIONES FINALES

Otras cosas significativas y sorprendentes sucederán en la seguridad del correo electrónico y phishing durante 2022. La realidad es que los actores de amenazas siempre buscan innovar sus tácticas y encontrar formas de eludir los controles existentes. Es por eso que las organizaciones necesitan más que un “gateway” de seguridad para correo electrónico (SEG), necesitan una solución de seguridad de correo electrónico dedicada y de autoaprendizaje y con detección a través de inteligencia artificial que se adapte continuamente a las últimas tácticas y evite que estos mensajes dañinos lleguen a los empleados.

En NEKT podemos ayudarte a estar preparado para enfrentar estos retos, contamos con tecnología de punta para detectarlas y mitigarlas. ¡Contáctanos!

IronScales Blog – Febrero 2022

La pandemia del coronavirus (COVID-19) aceleró la adopción y el crecimiento de las herramientas de colaboración en equipo. Una encuesta de Gartner de 2021 encontró que 80% de los empleados usaban herramientas como Slack y Microsoft Teams para mantener la productividad y comunicarse rápidamente sobre problemas laborales urgentes.

Estas plataformas de colaboración en equipo resultaron invaluables para las fuerzas de trabajo remotas e híbridas durante los últimos dos años, y están aquí para quedarse.

Se espera en 2022 un gran ataque de ransomware que comience realizando una campaña de phishing a través de una de estas plataformas de colaboración. El phishing es una de las formas más comunes de obtener acceso inicial a una red en ataques de ransomware. Debido a que estas aplicaciones son parte de las actividades diarias de los empleados es muy probable que los hackers intenten atraparlos con la guardia baja a través de mensajes engañosos en estas plataformas.

En Slack, por ejemplo, los intrusos pueden enviar mensajes falsos con enlaces, archivos maliciosos o solicitudes de información privada si obtienen acceso a la URL de webhook única del canal. Si un usuario hace clic en el enlace incorrecto o sin saberlo abre un archivo sospechoso y el daño está hecho. Una vez obtenido el acceso intentarán moverse lateralmente dentro de una red corporativa y aumentar los privilegios para que finalmente puedan cifrar servidores y estaciones de trabajo.

USO DE “DEEP LEARNING” PARA CREAR MENSAJES DE PHISHING CONVINCENTES

Investigadores en seguridad se pusieron a trabajar y se dieron cuenta del poder del “deep learning” (aprendizaje profundo) en 2021, cuando las pruebas demostraron que la inteligencia artificial podía escribir mejores correos electrónicos de phishing que los humanos. Spear phishing es un ataque más específico centrado en un individuo o grupo en particular dentro de una organización. Si bien los mensajes de phishing genéricos son más fáciles de detectar, la naturaleza altamente específica del phishing selectivo hace que sea más difícil de descubrir. Estos correos electrónicos suelen hacer referencia a nombres específicos y sus roles dentro de la organización, además de hacerse pasar por ejecutivos de alto nivel de la empresa o socios proveedores de confianza.

Los experimentos involucraron a investigadores de seguridad que enviaron mensajes de phishing a 200 colegas. Los mensajes fueron elaborados tanto por humanos como por modelos de deep learning. Los resultados mostraron que los mensajes escritos con GPT-3 (modelo de lenguaje de OpenAI, que es capaz de programar, diseñar y hasta conversar como humano) fueron más efectivos que los humanos para persuadir a los destinatarios de hacer clic en los enlaces que contenían.

El deep learning es un campo de la IA (Inteligencia Artificial) que utiliza redes neuronales para extraer características de alto nivel de los datos. Los ciber atacantes podrán usar plataformas de deep learning para obtener información personal de las redes sociales y otras fuentes para generar correos electrónicos de phishing aún más personalizados.

LA APARICIÓN DE LOS DEEPFAKES EN EL PHISHING

Los deepfakes son archivos de audio o video sintéticos generados mediante algoritmos de deep learning. La mayoría de las personas reconoce el uso  de esta tecnología de forma inofensiva para crear videos divertidos, a menudo reemplazando la cara de una persona con otra en un video existente. Sin embargo, hay usos mucho más peligrosos de esta tecnología.

Una posibilidad en 2022 es la aparición del phishing profundo (deep phishing). El cibercrimen creará audio o video haciéndose pasar por un CEO, propietario u otro empleado de alto nivel de la empresa para que las personas divulguen información confidencial o tomen otra acción deseada que podría conducir a la extorsión, la apropiación de cuentas o la extracción de datos.

La probabilidad de ser engañado por un mensaje de correo de voz que suena exactamente como un líder de la empresa es muy alta. El mismo destino le depara al video, dado que los directores ejecutivos y los propietarios suelen tener una fuerte presencia pública esto proporciona gran cantidad de datos que pueden usar a favor los atacantes.

Las apariciones en video de seminarios web, los podcasts y otros medios se pueden usar como entradas para ayudar a algoritmos de deep learning a generar videos o audio con mayor precisión haciéndose pasar por alguien.

SUPLANTACIÓN DE IDENTIDAD EN LA CADENA DE SUMINISTRO

Varios ataques cibernéticos recientes destacan por buscar explotar eslabones débiles en las cadenas de suministro para comprometer objetivos altamente lucrativos.

Las campañas de phishing se están dirigiendo cada vez más a terceros, incluidos socios, vendedores y proveedores en 2022. Vulnerar una cuenta de correo electrónico en ellos puede comenzar el aprovechamiento de las relaciones de confianza en terceros para enviar correos electrónicos maliciosos a objetivos atractivos o de alto nivel en las organizaciones con las que interactúan.

El dominio del socio o proveedor a menudo será de confianza de forma predeterminada en la empresa objetivo, lo que hace que sea mucho más difícil para una puerta de enlace de correo electrónico segura marcar o detectar una dirección de correo electrónico falsificada o correos electrónicos de phishing.

El phishing en la cadena de suministro es una posibilidad incluso sin el compromiso de la cuenta de un tercero. Simplemente falsificar a un socio puede ser suficiente para engañar a alguien y obtener acceso a la red o información adicional como un número de cuenta bancaria u otra información personal que se puede usar en un ataque de phishing selectivo.

GRUPOS DE RANSOMWARE EN EVOLUCIÓN

El vínculo entre el phishing y el ransomware es tan fuerte que es importante intentar predecir cómo se desarrollarán estos ataques en los próximos meses. La aparición de BlackCat a fines de 2021 sirvió como la primera señal de advertencia de qué esperar.

El ransomware siempre se ha centrado en la extorsión: en su forma más temprana, las tácticas se centraron en aprovechar el miedo que se genera al cifrar servidores, archivos y estaciones de trabajo, ocasionando que las víctimas paguen. En los últimos dos años se agrego una doble extorsión amenazando con la publicación de los datos obtenidos.

En 2022, se espera que los grupos de ransomware agreguen otra capa a sus tácticas de extorsión para presionar aún más a las víctimas para que realicen pagos. La triple extorsión agrega la amenaza de un ataque DDoS en la infraestructura de red de las víctimas. En un mundo donde el tiempo de inactividad es increíblemente costoso, muchas organizaciones considerarán pagar para evitar esta consecuencia.

Otra evolución a esperar es que el cibercrimen se desplace cada vez más hacia otras criptomonedas para recibir pagos de rescate. Bitcoin se puede rastrear, y las fuerzas del orden emplean varias técnicas analíticas para asociar direcciones Bitcoin a direcciones IP. Teniendo en cuenta la naturaleza dominante de esta criptomoneda y sus vulnerabilidades de privacidad, espere ver más ciber actores exigiendo pagos a través de monedas con fuertes capacidades de privacidad como Monero y Zcash.

MÁS POR VENIR…

Eso concluye la primera parte de esta serie de dos partes sobre ataques en correo electrónico y predicciones de phishing para 2022. Si hay algo que aprender aquí, es que el phishing evolucionará para convertirse en una amenaza aún más sofisticada. Confiar solo en empleados conscientes de la seguridad no será suficiente.

Las empresas necesitarán una solución de seguridad de correo electrónico avanzada y de nueva generación como parte de su estrategia de seguridad para ayudar a combatir las amenazas modernas.

En NEKT podemos ayudarte a estar preparado para enfrentar este reto, contamos con tecnología de punta que utiliza inteligencia artificial para detectarlas y mitigarlas. ¡Contáctanos!

IronScales Blog – Febrero 2022

NUEVO PANORAMA DE AMENAZAS QUE USAN INTELIGENCIA ARTIFICIAL (IA VS IA)

La introducción de ChatGPT el año pasado marcó la primera vez que un motor de inteligencia artificial que usa una red neuronal estuvo disponible gratuitamente para las masas. Esta poderosa y versátil herramienta se puede usar para todo, desde responder preguntas simples hasta redactar trabajos escritos al instante y desarrollar programas de software originales, incluido el malware, el último de los cuales presenta el potencial de una nueva y peligrosa generación de ciberamenazas.

Las soluciones de seguridad tradicionales, como los EDR, aprovechan los sistemas de inteligencia artificial de datos multicapa para combatir algunas de las amenazas más sofisticadas de la actualidad, y la mayoría de los controles automatizados pretenden prevenir patrones de comportamiento novedosos o irregulares, pero la posibilidad de usar esta tecnología para crear amenazas avanzadas con capacidades polimórficas haciendolas difíciles de detectar es una realidad. Además, la velocidad a la que se pueden ejecutar estos ataques hace que la amenaza sea exponencialmente peor.

CREANDO BLACKMAMBA 

En una investigación realizada por Jeff Sims en HYAS, empresa dedicada a la detección de amenazas, crearon “Blackmamba”, un “keylogger polimórfico sintetizado por IA” que usa Python para modificar su programa aleatoriamente. Esto con el fin demostrar de lo que es capaz el malware basado en IA, crearon una prueba de concepto (PoC) simple que utiliza un ejecutable benigno que llega a una API de alta reputación (OpenAI) en tiempo de ejecución, por lo que puede devolver el código malicioso sintetizado necesario para robar las pulsaciones de teclas de un usuario infectado.

Posteriormente ejecuta el código generado dinámicamente dentro del contexto del programa benigno usando la función exec() de Python. Cada vez que BlackMamba se ejecuta, vuelve a sintetizar su capacidad de registrar las pulsaciones del teclado, lo que la convierte en una amenaza polimórfica siendo difícil de detectar.  La pruebas hechas por HYAS indican que BlackMamba se probó contra un EDR líder en la industria del cual no se menciona su nombre pero el resultado fue cero alertas o detecciones.

USANDO MICROSOFT TEAMS PARA EXTRAER INFORMACIÓN SENSIBLE Y CONFIDENCIAL

HYAS menciona “Una vez que un dispositivo estaba infectado, necesitábamos una forma de recuperar los datos. Decidimos usar MS Teams, que, al igual que otras herramientas de comunicación y colaboración, puede ser explotado como un canal de exfiltración. En este contexto, un canal de exfiltración se refiere al método mediante el cual un atacante elimina o extrae datos de un sistema comprometido y los envía a una ubicación externa, como un canal de Teams controlado por el atacante a través de un webhook. Usando su capacidad de registro de teclas incorporada, BlackMamba puede recopilar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales o confidenciales que un usuario ingresa en su dispositivo. Una vez que se capturan estos datos, el malware utiliza el webhook de MS Teams para enviar los datos recopilados al canal malicioso de Teams, donde se pueden analizar, vender en la dark web o utilizar para otros fines  de lucro”.

¿POR QUE DEBE PREOCUPARNOS?

En esencia, BlackMamba es un registrador de pulsaciones de teclas que utiliza técnicas impulsadas por IA para permanecer oculto de las soluciones de seguridad EDR. Lo que lo hace tan difícil de detectar es que se puede personalizar sobre la marcha sin tocar el disco duro donde reside. Esto permite a los ciber criminales adaptar rápidamente sus ataques para evadir mejor la detección.

Otra forma en que BlackMamba se destaca de otros keyloggers es su capacidad para identificar qué aplicaciones se están ejecutando en el sistema y adaptar su comportamiento en consecuencia. Por ejemplo, si un usuario está ejecutando una aplicación de oficina como Microsoft Word o Excel, BlackMamba capturará datos más rápidamente para obtener acceso a documentos confidenciales u hojas de cálculo almacenadas en la computadora.

Es una amenaza sofisticada que emplea varios métodos de ofuscación (incluido el empaquetado de código) para evitar ser detectado por el software antivirus y otras medidas de seguridad. También utiliza canales de comunicación cifrados para exfiltrar datos robados y comunicarse con servidores de comando y control, lo que dificulta aún más que los defensores detecten e interrumpan el ataque antes de que se produzcan daños.

Si deseas conocer si tu organización es vulnerable a ataques polimórficos que usan IA agenda tu sesión gratuita por correo electrónico: miguel@nektgroup.com

Fuentes: Estudio hecho por HYAS “Blackmamba: AI-Synthesized, Polymorphic Keylogger with On- the Fly program modification” : https://www.hyas.com/hubfs/Downloadable%20Content/HYAS-AI-Augmented-Cyber-Attack-WP-1.1.pdf

Mercado Libre, la empresa multinacional de comercio electrónico, confirmó que un ciber actor no autorizado tuvo acceso a parte de su código fuente y a datos de aproximadamente 300,000 usuarios, el mismo día en que el grupo LAPSUS$ insinuó que tendría en su poder datos filtrados de la empresa.

LAPSUS$ es el mismo grupo detrás de recientes filtraciones de las corporaciones NVIDIA y Samsung. Desde su descubrimiento en diciembre de 2021, el grupo LAPSUS$ hackeó a varias organizaciones, incluyendo a los proveedores de telecomunicaciones sudamericanos Claro y Embratel.

En su postura oficial, Mercado Libre aseguró que se activaron los protocolos de seguridad y que se encuentra en proceso de análisis a profundidad. Además, afirma que el análisis inicial arrojó que no hay evidencia de que los sistemas de infraestructura hayan sido comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta o tarjetas de pago.

Este grupo comenzó a filtrar información en diciembre pasado, una de sus primeras víctimas fue el Ministerio de salud de Brasil. Estaban enfocados en víctimas sudamericanas, aunque fueron aumentando su alcance. Los ciber atacantes están realizando una votación en foros especializados para que sean los cibernautas los que determinen qué información debe ser publicada primero.
La fecha límite para votar es el 13 de marzo y es cuando se sabrá lo que ocurrirá con la información.

El comunicado textual de Mercado Libre es el siguiente: “Recientemente hemos detectado que parte del código fuente de Mercado Libre, Inc. ha sido objeto de acceso no autorizado. Hemos activado nuestros protocolos de seguridad y estamos realizando un análisis exhaustivo”

Aunque se accedió a los datos de aproximadamente 300,000 usuarios (de casi 140 millones de usuarios activos únicos), hasta el momento -y según nuestro análisis inicial- no hemos encontrado ninguna evidencia de que nuestros sistemas de infraestructura se hayan visto comprometidos o que se hayan obtenido contraseñas de usuarios, balances de cuenta, inversiones, información financiera o de tarjetas de pago. Estamos tomando medidas estrictas para evitar nuevos incidentes”.

MercadoLibre también posee un servicio llamado Mercado Pago, una plataforma de cobro a los compradores y pagos y abonos a los vendedores. Según The Nielsen Company más de 52,000 personas generan todo o la mayor parte de sus ingresos vendiendo a través de MercadoLibre y en 2009 más de tres millones de personas y empresas vendieron por lo menos un artículo a través de este medio.

Para 2016, Mercado Libre tenía 174 millones de usuarios en el continente y había vendido 181 millones de productos en dicho año.