Blog

Los ataques de ransomware plantean graves riesgos de ciberseguridad para las empresas de la industria hotelera, que es un sector amplio que incluye hoteles, agencias de turismo, restaurantes y bares. A pesar de ser distintos estos negocios tienen en común las interacciones directas con los clientes que utilizan regularmente tarjetas de crédito / débito para realizar transacciones.

La necesidad de recopilar datos confidenciales y la cercanía de estas empresas a los clientes que pagan hace que el sector de la hostelería sea un objetivo principal de ataques de ransomware. Ya sea causando interrupciones operativas o exfiltrando datos confidenciales, los cibercriminales saben que los ataques exitosos pueden causar graves estragos en las organizaciones víctimas. Este entrada explora el estado del ransomware en este sector.

Peligros particulares de este sector

Las empresas de hostelería dependen en gran medida de las tecnologías digitales para manejar las operaciones críticas para el negocio, incluido el procesamiento de pagos, la contabilidad y la reserva de mesas / salas. En los hoteles, este uso de la tecnología se extiende incluso a proporcionar acceso con tarjeta de acceso a las habitaciones utilizando tecnología controlada por computadora.

Los sistemas informáticos utilizados en la hostelería, como los sistemas POS, y las redes a las que están conectados son vulnerables a los ataques de ransomware. El cibercrimen a menudo consideran a las empresas del ramo como una presa fácil para bloquear los sistemas con malware, lo cual conduce a grandes pagos de rescate.

Este sector todavía se está recuperando de las secuelas de la pandemia; los hoteles, bares y restaurantes experimentaron una fuerte disminución de clientes casi de la noche a la mañana durante varios meses. Una exposición grave de los datos de los clientes, con un costo promedio de 4,2 millones de dólares por incidente, podría llevar al límite a cualquier empresa hotelera.

Ataques recientes de ransomware en hotelería

El daño potencial de ransomware en el rubro se notó por primera vez en noticias de 2017, cuando el lujoso hotel austriaco Romantik Seehotel Jagwir se convirtió en víctima de un ataque dirigido a sus sistemas de tarjetas clave. Dependiendo de la ubicación de los invitados en ese momento, muchos quedaron encerrados o encerrados en sus habitaciones por hasta diez horas. Varios incidentes de ransomware en los últimos tiempos se han dirigido a empresas hoteleras y han ocupado los titulares de los medios: aquí hay cuatro de ellos de los que vale la pena aprender.

Techotel, junio de 2021

En junio de 2021, un interesante incidente de ransomware afectó al proveedor de software de gestión hotelera Techotel. La empresa con sede en Dinamarca ofrece soluciones de TI para hoteles, posadas, centros de conferencias, cadenas hoteleras y restaurantes. El ataque de ransomware afectó la capacidad de realizar operaciones normales de registro y salida en cientos de hoteles.

La intriga aquí proviene del hecho de que Techotel esencialmente publicó en su blog en vivo su respuesta al incidente, incluidos los detalles de las negociaciones de rescate con los perpetradores. Con 250 servidores y sus datos bloqueados, la compañía intentó pagar el rescate mediante transferencia bancaria, que fue rechazada porque los perpetradores querían el anonimato proporcionado por la criptomoneda.

Según el director general de Techotel, Klaus Ahrenkilde,  debido al tamaño de su empresa no dejaba más remedio que pagar: “No podemos romper el cifrado. Somos una empresa pequeña, con cientos de hoteles afectados ”. Sorprendentemente, todavía tomó hasta un mes para que la restauración de datos esté completa y para que el software de Techotel volviera a ser funcional.

Epsilon Red, mayo de 2021

Epsilon Red no es el nombre de una organización de hostelería atacada por ransomware, es una nueva cepa de ransomware descubierta al investigar un ciberataque en un hotel sin nombre. Según la investigación, esta nueva cepa de ransomware resultó en un pago de 4.29 Bitcoin el 15 de mayo de 2021, que en ese momento valía más de $ 200,000.

El descubrimiento de cualquier nueva cepa de ransomware siempre es motivo de preocupación. Este ataque en particular utilizó servidores de Microsoft Exchange como un punto de entrada inicial antes de ejecutar un script de PowerShell que permitió ejecutar el “payload” que infectó múltiples sistemas. Vale la pena estar atento a los titulares de las noticias durante los próximos meses por si hubiera más incidentes relacionados con esta nueva y peligrosa variedad de ransomware.

Edward Don, junio de 2021

Edward Don es un distribuidor líder de equipos y suministros para el servicio de alimentos. Este equipo incluye suministros de cocina, suministros de bar y vajilla de los que dependen muchas empresas hoteleras para atender a los clientes. El ataque de ransomware a Edward Don afectó los sistemas de telefonía y correo electrónico, lo que provocó que los empleados tuvieran que usar cuentas personales de Gmail para comunicarse con socios y proveedores sobre pedidos urgentes.

El ataque de Edward Don demuestra otra forma en que el ransomware puede afectar gravemente a las empresas hoteleras sin afectar directamente a sus sistemas de TI. Es posible que un nuevo restaurante que dependa de una entrega urgente de Edward Don ni siquiera haya podido abrir sus puertas si este ataque retrasó su pedido. Como ocurre con muchos otros sectores, la cadena de suministro también es un punto de vulnerabilidad que vale la pena considerar en sus planes operativos y de seguridad de TI.

CWT, julio de 2020

La empresa de gestión de viajes con sede en EE. UU. Carlson Wagonlit Travel (CWT) se convirtió en víctima de un devastador ataque de ransomware en julio de 2020 que dejó inutilizables mas de 30.000 computadoras.

La nota de rescate indicó que el tipo de ransomware era Ragnar Locker, que afecta a los dispositivos que ejecutan Windows, el sistema operativo más utilizado en el mundo. Ragnar Locker utiliza una técnica de doble extorsión en la que los atacantes exfiltran datos y amenazan con publicarlos en la dark web si la víctima no paga. El archivo de Ragnar Locker tiene solo 55 kilobytes de tamaño, pero su impacto es despiadado. Los informes de noticias posteriores a este ataque indicaron que CWT pagó $ 4.5 millones para recuperar los sistemas cifrados y evitar que se publicaran datos robados en línea.

Consejos para la prevención del ransomware

Adoptar un enfoque reactivo ante un ataque de ransomware es un riesgo que las empresas de este sector no pueden permitirse. Aparte de los costos de recuperación, el impacto directo en la reputación de una violación de datos personales sirve para influir en los clientes para que busquen empresas competidoras que consideren menos riesgosas. A continuación, se incluyen algunos consejos de prevención de ransomware que deben tener en cuenta las empresas hoteleras:

1.  Como prioridad, adopte una cultura de seguridad con todo su personal. Realice labores de concientización sobre las mejores prácticas básicas de ciberseguridad, la detección de diferentes tipos de ataques y la notificación de incidentes.
2.  Asegúrese de que todos estén al tanto de los peligros de correos electrónicos de phishing, que a menudo proporcionan un punto de entrada para los ataques de ransomware, al engañar a los destinatarios estos hacen clic en enlaces maliciosos o descargan archivos potencialmente dañinos. Protéjase contra estas amenazas utilizando soluciones de seguridad dedicadas que pueden filtrarlos.
3. Actualice todo el software y los sistemas operativos de manera oportuna, incluido el software POS (punto de venta). Muchos ataques de ransomware comienzan explotando las vulnerabilidades de software sin parchar, por lo que la administración adecuada de actualizaciones es una victoria rápida en sus defensa.
4. Implemente controles de acceso prudentes para que los empleados no tengan demasiado acceso a los diferentes sistemas de información. El principio de menor privilegio significa dar acceso solo a aquellos empleados que estrictamente y por su labor diaria deben tener acceso a ellos. Por ejemplo, no le dé a su barman acceso de administrador a un sistema POS.
5. Tenga cuidado con las amenazas de IoT (Internet of Things). Un número cada vez mayor de empresas de hostelería utiliza dispositivos conectados a Internet, como televisores inteligentes y cafeteras en hoteles, y sensores de temperatura en cocinas comerciales. Asegure estos dispositivos correctamente al no usar contraseñas predeterminadas y al aplicar actualizaciones cuando estén disponibles. Una reciente conferencia sobre ciberseguridad contó con una presentación de un investigador de seguridad que pirateó fácilmente un hotel cápsula (populares en Japón) explotando vulnerabilidades IoT.
6. Una estrategia integral de respaldo de datos y continuidad del negocio es tanto una defensa preventiva como reactiva. Si puede restaurar fácilmente sus datos y reanudar rápidamente las operaciones comerciales críticas mediante el uso temporal de la infraestructura en la nube es una gran ventaja en dado caso de que un ataque sea exitoso. Para las empresas de hostelería más pequeñas, la colaboración con un proveedor de servicios de seguridad de la información puede proporcionar la experiencia necesaria para desarrollar un plan de continuidad empresarial sólido.

Para terminar

Los grupos cibercriminales de ransomware seguirán intentando vulnerar las redes de las empresas de este ramo, en parte porque todavía prevalece la percepción de que este sector tiene menos conciencia en ciberseguridad que, por ejemplo, sector financiero o de retail. Es fundamental comenzar a prepararse hoy mismo para estos ataques y adoptar estrategias de prevención, ya sea que administre un hotel o una pequeña cadena de restaurantes locales. Incluso si no existiera una percepción de debilidad respecto a estas amenazas seguiría siendo un gran peligro debido al volumen de datos confidenciales que las empresas hoteleras almacenan en sus sistemas.

Fuente: Ian Thomas (IronScales)

Una “emprendedora” banda de ransomware está reclutando trabajadores, prometiendo millones en recompensas para las personas que deseen infectar la red de su empresa con el ransomware LockBit 2.0, cuyo resurgimiento en Australia y relevante por el reciente ataque a la transnacional Accenture,  ha generado preocupación y una advertencia de los expertos en ciberseguridad.

“Varias organizaciones australianas” en servicios profesionales, construcción, industria, venta minorista y alimentos han recibido demandas de rescate tras ser golpeadas por LockBit 2.0, dijo el Centro Australiano de Seguridad Cibernética (ACSC) en un aviso reciente que envió la organización advirtiendo de un ” fuerte y significativo aumento ”en las infecciones por esta amenaza.

LockBit 2.0 es una actualización importante del ransomware LockBit, que se detectó por primera vez en septiembre de 2019 y ha disfrutado de una sólida carrera explotando activamente las vulnerabilidades en Fortinet y otras herramientas de seguridad.

Al igual que su predecesor, LockBit 2.0 es una aplicación web de ransomware como servicio que maneja tanto el cifrado de archivos de la empresa como el robo de datos de la red atacada.

El paquete proporciona todo lo necesario para los ataques de ransomware de “doble extorsión”, en los que el malware descarga datos de la empresa mientras los cifra y amenaza con venderlos en la Dark Web o publicarlos si no se paga el rescate.

LockBit 2.0 se promueve activamente con un “programa de afiliados” para las personas a las que se les promete entre el 70 y el 80 por ciento de cualquier pago de rescate obtenido de su distribución.

Una página de marketing, descubierta por Kela, la firma israelí de inteligencia de amenazas en Dark Web (https://twitter.com/Intel_by_KELA/status/1406905385580118017), promete que los afiliados obtendrán acceso a StealBit, descrito como “el ladrón más rápido del mundo”, el cual posee mejor resultados de desempeño al robar información en comparación de otras herramientas usadas por otros grupos criminales.

Debido a que está alojado en la nube, el código se actualiza continuamente, con una versión reciente que agrega la capacidad de cifrar redes completas de Windows mediante políticas de grupo en Active Directory, tecnología usada para administrar el acceso de usuarios y dispositivos en la mayoría de las empresas.

“Lo único que tiene que hacer es acceder al servidor central, mientras que LockBit 2.0 hará todo el resto”, dice una página de información sobre el programa de afiliados.

Bundles y cibercrimen as a service

El ACSC ofrece una serie de estrategias de mitigación para que las empresas eviten el compromiso de LockBit y LockBit 2.0, sin embargo, a pesar de algunas victorias, las empresas de todos los sectores continúan cayendo en masa a medida que los autores de ransomware desarrollan y refinan continuamente sus métodos.

El uso explosivo de ataques de “doble extorsión” hizo que los pagos promedio de ransomware aumentaran un 82 por ciento interanual, a $ 775,000 ($ US570,000) solo en la primera mitad de este año, según un análisis reciente de Unit 42 de la firma de ciberseguridad Palo Alto Networks.

Gran parte de este crecimiento se debe al “empaquetado” automatizado de malware que se ha convertido en la nueva forma de operar de los ciberdelincuentes. Han logrado grandes avances no solo en el desarrollo de ofertas de malware y ransomware como servicio, sino también en el “empaquetando con una gran variedad de códigos para robar o dañar datos.

Las bandas de delincuentes cibernéticos están usando diversas tácticas para presionar a las empresas para que paguen rescates, advirtió Unit 42, señalando un número creciente de ataques de “extorsión cuádruple” que incluyen el cifrado de archivos; robar datos por amenaza de liberación; lanzar ataques de denegación de servicio (DDoS) que bloquean los sitios web de las víctimas; e incluso acoso, en el que los ciberdelincuentes se ponen en contacto de forma activa con clientes, socios comerciales, empleados y organizaciones de medios para dar a conocer la vulneración de la empresa.

Los pagos de ransomware se han convertido en un problema tan importante para las empresas australianas que el gobierno lanzó recientemente un grupo de trabajo de múltiples agencias, llamado Operación Orcus, que incluirá a 22 miembros de la unidad de investigaciones criminales cibernéticas dirigidos por la Policía Federal Australiana.

El grupo de trabajo es parte de una ofensiva más amplia contra la industria ciberdelincuente que ha hecho que el gobierno presione a las empresas para que no paguen rescates, amenazando con obligarlos a revelar los pagos que han realizado  y prohibiendo las indemnizaciones de ransomware por parte de las compañías de seguros.

Fuente: David Braue (Information Age)

Poco después de los informes acerca del escaneo que Apple comenzará a realizar en los iPhones en busca de imágenes de abuso infantil, la compañía confirmó su plan y proporcionó detalles en un comunicado de prensa y un resumen técnico.

“El método de Apple para detectar CSAM (material de abuso sexual infantil) conocido está diseñado teniendo en cuenta la privacidad del usuario”, dijo el anuncio de Apple. “En lugar de escanear imágenes en la nube, el sistema realiza una comparación en el dispositivo utilizando una base de datos de hashes de imágenes CSAM conocidas proporcionadas por el NCMEC (Centro Nacional para Niños Desaparecidos y Explotados) y otras organizaciones de seguridad infantil. Apple transforma aún más esta base de datos en un conjunto de hashes ilegibles que se almacenan de forma segura en los dispositivos de los usuarios “.

Apple brindó más detalles sobre el sistema de detección CSAM en un resumen técnico y dijo que su sistema usa un umbral “establecido para proporcionar un nivel extremadamente alto de precisión y asegura menos de uno en un billón de posibilidades por año de marcar incorrectamente una cuenta determinada”.

Los cambios se implementarán “a finales de este año en actualizaciones para iOS 15, iPadOS 15, watchOS 8 y macOS Monterey”, menciono el fabricante. También implementará un software que puede analizar imágenes en la aplicación “Messages” esto con el fin de ejecutar un nuevo sistema que “advertirá a los niños y sus padres cuando reciban o envíen fotos sexualmente explícitas”.

Apple acusado de construir “infraestructura para vigilancia”

A pesar de las garantías que el fabricante proporciona, los expertos en seguridad y defensores de la privacidad criticaron el plan.

“Apple está reemplazando su sistema de mensajería cifrada de extremo a extremo estándar de la industria con una infraestructura de vigilancia y censura, que será vulnerable al abuso y al alcance no solo en los EE. UU., Sino en todo el mundo”, dijo Greg Nojeim. codirector del Proyecto de Vigilancia y Seguridad del Centro para la Democracia y la Tecnología. “Apple debería abandonar estos cambios y restaurar la fe de sus usuarios en la seguridad e integridad de sus datos en los dispositivos y servicios de Apple”.

Durante años, Apple ha resistido la presión del gobierno de Estados Unidos para instalar una “puerta trasera” en sus sistemas de cifrado, diciendo que hacerlo socavaría la seguridad de todos los usuarios. Esta postura ha sido elogiada por los expertos en seguridad. Pero con su plan para implementar software que realiza escaneos en el dispositivo y compartir resultados seleccionados con las autoridades, Apple está peligrosamente cerca de actuar como una herramienta para la vigilancia gubernamental, sugirió el profesor de criptografía de la Universidad Johns Hopkins, Matthew Green, en Twitter.

El escaneo del lado del cliente que Apple anunció hoy podría eventualmente “ser un ingrediente clave para agregar vigilancia a los sistemas de mensajería cifrada”, escribió. “La capacidad de agregar sistemas de escaneo como este a los sistemas de mensajería E2E [cifrados de extremo a extremo] ha sido una importante ‘pregunta’ por parte de las fuerzas del orden en todo el mundo”.

Escaneo de mensajes e “intervención” de Siri

Además de escanear dispositivos en busca de imágenes que coincidan con la base de datos CSAM, Apple dijo que actualizará la aplicación “Messages” para “agregar nuevas herramientas que advertirán a los niños y a sus padres cuando reciban o envíen fotos sexualmente explícitas”.

“Messages utiliza “machine learning” en el dispositivo para analizar los archivos adjuntos de imágenes y determinar si una foto es sexualmente explícita. La función está diseñada para que no tengamos acceso a los mensajes”, dijo Apple.

Cuando se marca una imagen en “Messages”, “la foto se verá borrosa y se advertirá al niño, se le presentarán recursos útiles y se le asegurará que está bien si no quiere ver esta imagen”. El sistema permitirá que los padres reciban un mensaje si los niños ven una foto marcada, y “hay protecciones similares disponibles si un niño intenta enviar fotos sexualmente explícitas. Se advertirá al niño antes de que se envíe la foto y los padres pueden recibir un mensaje si el niño elige enviarla”, dijo Apple.

La gran manzana dijo que actualizará “Siri” y “Search” para “brindar a padres e hijos información ampliada y ayuda si se encuentran en situaciones inseguras”. Los sistemas “Siri” y “Search” “intervendrán cuando los usuarios realicen búsquedas de consultas relacionadas con CSAM” y “explicarán a los usuarios que el interés en este tema es dañino y problemático, además proporcionarán recursos de socios tecnológicos para obtener ayuda con este problema”.

El Centro para la Democracia y la Tecnología calificó el escaneo de fotos en “Messages” como una “puerta trasera”, escribiendo:

El mecanismo que permitirá a Apple escanear imágenes en “Messages” no es una alternativa a una puerta trasera, es una puerta trasera. El escaneo del lado del cliente en un “extremo” de la comunicación rompe la seguridad de la transmisión e informar a un tercero (el padre) sobre el contenido de la comunicación socava su privacidad. Las organizaciones de todo el mundo han advertido contra el escaneo del lado del cliente porque podría usarse como una forma para que los gobiernos y las empresas controlen el contenido de las comunicaciones privadas.

La tecnología de Apple para analizar imágenes

El resumen técnico de Apple sobre la detección de CSAM incluye pocas promesas de privacidad en la introducción. “Apple no aprende nada sobre las imágenes que no coinciden con la base de datos CSAM conocida”, dice. “Apple no puede acceder a metadatos o derivados visuales para imágenes CSAM coincidentes hasta que se exceda un umbral de coincidencias para una cuenta de iCloud Photos”.

La tecnología hash de Apple se llama NeuralHash y “analiza una imagen y la convierte en un número único específico para esa imagen. Solo otra imagen que parezca casi idéntica puede producir el mismo número; por ejemplo, las imágenes que difieren en tamaño o calidad trans codificada todavía tienen el mismo valor de NeuralHash “, escribió Apple.

Antes de que un iPhone u otro dispositivo Apple cargue una imagen en iCloud, el dispositivo crea un “voucher” de seguridad criptográfico que codifica el resultado de la coincidencia. También cifra el NeuralHash de la imagen y un derivado visual. Este “voucher” se carga en iCloud Photos junto con la imagen. ”

Utilizando el “umbral para compartir secretos”, el sistema de Apple asegura que el contenido de los “vouchers” de seguridad no pueda ser interpretado por Apple a menos que la cuenta de iCloud Photos cruce un umbral de contenido CSAM conocido “, dice el documento. “Sólo cuando se excede el umbral, la tecnología criptográfica permite a Apple interpretar el contenido de los “vouchers” de seguridad asociados con las imágenes CSAM coincidentes”.

Si bien señaló la probabilidad 1 en 1 billón de un falso positivo, Apple dijo que “revisa manualmente todos los informes hechos al NCMEC para garantizar la precisión de los informes”. Los usuarios pueden “presentar una apelación para que se restablezca su cuenta” si creen que su cuenta se marcó por error.

Dispositivos de usuario para almacenar la base de datos ciega de CSAM 

Los dispositivos de usuario almacenarán una “base de datos ciega” que le permite al dispositivo determinar cuándo una foto coincide con una imagen en la base de datos CSAM, explicó Apple:

Primero, Apple recibe los NeuralHashes correspondientes a CSAM conocido de las organizaciones de seguridad infantil mencionadas anteriormente. A continuación, estos NeuralHashes pasan por una serie de transformaciones que incluyen un paso de cegado final, impulsado por criptografía de curva elíptica. El cegado se realiza utilizando un secreto cegador del lado del servidor, conocido solo por Apple. Los hashes CSAM ciegos se colocan en una tabla hash, donde la posición en la tabla es puramente una función del NeuralHash de la imagen CSAM. Esta base de datos cegada se almacena de forma segura en los dispositivos de los usuarios. Las propiedades de la criptografía de curva elíptica garantizan que ningún dispositivo pueda inferir nada sobre los hashes de la imagen CSAM subyacente a partir de la base de datos cegada.

Un iPhone u otro dispositivo analizará las fotos de los usuarios, calculará un NeuralHash y buscará “la entrada en la tabla de hash cegada”. El dispositivo “también utiliza el hash ciego que el sistema buscó para obtener una clave de cifrado derivada” y utiliza esa clave de cifrado “para cifrar los datos de carga útil asociados”.

Combinado con otros pasos, esto asegura que solo se descifren las imágenes que coincidan con la base de datos CSAM, Apple escribió:

Si el hash de la imagen del usuario coincide con la entrada en la lista de hash CSAM conocida, entonces el NeuralHash de la imagen del usuario se transforma exactamente en el hash cegado si pasó por la serie de transformaciones realizadas en el momento de la configuración de la base de datos. Según esta propiedad, el servidor podrá utilizar el encabezado criptográfico (derivado del NeuralHash) y, utilizando el secreto del lado del servidor, podrá calcular la clave de cifrado derivada y descifrar con éxito los datos de carga útil asociados.

Si la imagen del usuario no coincide, el paso anterior no conducirá a la clave de cifrado derivada correcta y el servidor no podrá descifrar los datos de carga útil asociados. Por tanto, el servidor no aprende nada sobre las imágenes que no coinciden.

El dispositivo no aprende sobre el resultado de la coincidencia porque eso requiere conocimiento del secreto cegador del lado del servidor.

Finalmente, el cliente carga la imagen en el servidor junto con el comprobante que contiene los datos de carga útil cifrados y el encabezado criptográfico.

¿Qué opinas es o no un violación a tu privacidad el empleo de este algoritmo?

Fuente: John Brodkin (Ars Technica)

Una importante investigación periodística del Washington Post ha encontrado pruebas de que gobiernos de todo el mundo utilizan software espía malicioso, incluidas denuncias de vigilancia a personas destacadas.

De una lista de más de 50.000 números de teléfono, los periodistas identificaron a más de 1.000 personas en 50 países que, según los informes, estaban bajo vigilancia utilizando el software espía Pegasus. El software fue desarrollado por la empresa israelí NSO Group y vendido a clientes gubernamentales.

Entre los objetivos denunciados del software espía se encuentran periodistas, políticos, funcionarios gubernamentales, directores ejecutivos y activistas de derechos humanos.

Los informes hasta ahora aluden a un esfuerzo de vigilancia que recuerda a una pesadilla orwelliana, en la que el software espía puede capturar las pulsaciones del teclado, interceptar comunicaciones, rastrear el dispositivo, utilizar la cámara y el micrófono para espiar al usuario.

¿Cómo funciona?

El software espía Pegasus puede infectar los teléfonos de las víctimas a través de una amplia variedad de mecanismos. Algunos enfoques pueden involucrar un SMS o iMessage que proporcione un enlace a un sitio web. Si se hace clic, este vínculo entrega software malintencionado que compromete el dispositivo.

Otros utilizan el ataque de “clic cero”, más preocupante, donde las vulnerabilidades en el servicio iMessage en iPhone permiten la infección simplemente recibiendo un mensaje y no se requiere la interacción del usuario.

El objetivo es tomar el control total del sistema operativo del dispositivo móvil, ya sea mediante el “rooteo” (en dispositivos Android) o mediante “jailbreak” (en dispositivos Apple iOS).

Por lo general, el usuario realiza “root” en un dispositivo Android para instalar aplicaciones y juegos de tiendas de aplicaciones no admitidas, o para volver a habilitar funcionalidades deshabilitadas por los fabricantes de estos dispositivos.

De manera similar, se puede implementar un “jailbreak” en dispositivos Apple para permitir la instalación de aplicaciones que no están disponibles en la App Store de Apple, o para desbloquear el teléfono para su uso en redes celulares alternativas. Muchos enfoques de “jailbreak” requieren que el teléfono esté conectado a una computadora cada vez que se enciende (lo que se conoce como “tethered jailbreak”).

Tanto en “root” como en “jailbreak” se eliminan los controles de seguridad integrados en los sistemas operativos Android y iOS. Por lo general, son una combinación de cambios de configuración y un “hack” de elementos centrales del sistema operativo para ejecutar código modificado.

En el caso del software espía, una vez que se desbloquea un dispositivo, el atacante puede implementar más software para asegurar el acceso remoto a los datos y funciones del dispositivo. Es probable que este usuario no lo sepa por completo.

La mayoría de los informes de los medios sobre Pegasus se relacionan con el compromiso de los dispositivos Apple. El software espía también infecta los dispositivos Android, pero no es tan eficaz ya que se basa en una técnica de “root”que no es 100% confiable. Cuando el intento de infección inicial falla, el software espía supuestamente solicita al usuario que otorgue los permisos pertinentes para que pueda implementarse de manera efectiva.

¿No son los dispositivos de Apple más seguros?

Los dispositivos de Apple generalmente se consideran más seguros que sus equivalentes de Android, pero ningún tipo de dispositivo es 100% seguro.

Apple aplica un alto nivel de control al código de su sistema operativo, así como a las aplicaciones que ofrece a través de su tienda de aplicaciones. Esto crea un sistema cerrado a menudo denominado “seguridad por oscuridad”. Apple también ejerce un control completo sobre cuándo se implementan las actualizaciones, que luego son instaladas rápidamente por los usuarios.

Los dispositivos Apple se actualizan con frecuencia a la última versión de iOS mediante la instalación automática de parches. Esto ayuda a mejorar la seguridad y que la nueva se utilizará en una gran proporción de dispositivos a nivel mundial.

Por otro lado, los dispositivos Android se basan en conceptos de código abierto, por lo que los fabricantes de hardware pueden adaptar el sistema operativo para agregar funciones adicionales u optimizar el rendimiento.

Por lo general, vemos una gran cantidad de dispositivos Android que ejecutan una variedad de versiones, lo que inevitablemente resulta en algunos dispositivos inseguros y sin parches (lo cual es ventajoso para los ciberdelincuentes).

En última instancia, ambas plataformas son vulnerables al ataque. Los factores clave son la conveniencia y la motivación. Si bien el desarrollo de una herramienta de malware para iOS requiere una mayor inversión en tiempo, esfuerzo y dinero, tener muchos dispositivos ejecutando un entorno idéntico significa que hay una mayor probabilidad de éxito a una escala significativa. A pesar que muchos dispositivos Android sean vulnerables, la diversidad de hardware y software hace que sea más difícil implementar una sola herramienta maliciosa para una amplia base de usuarios.

¿Cómo puedo saber si me están monitoreando?

Si bien la filtración de más de 50,000 números de teléfono presuntamente monitoreados parece mucho, es poco probable que el software espía Pegasus se haya utilizado para monitorear a alguien que no es público prominente o políticamente activo.

Está en la propia naturaleza del software espía permanecer oculto y sin ser detectado en un dispositivo. Pero existen mecanismos para mostrar si su equipo está comprometido.

La forma (relativamente) fácil de determinar esto es utilizar el Kit de herramientas de verificación móvil (MVT) de Amnistía Internacional. Esta herramienta puede ejecutarse en Linux o MacOS, puede examinar los archivos y la configuración de su dispositivo móvil analizando una copia de seguridad tomada del teléfono.

Si bien el análisis no confirmará ni refutará si un dispositivo está comprometido, detecta “indicadores de compromiso” que pueden proporcionar evidencia de infección.

En particular, la herramienta puede detectar la presencia de software (procesos) específicos que se ejecutan en el dispositivo, así como una variedad de dominios utilizados como parte de la infraestructura global que respalda una red de software espía.

¿Qué puedo hacer para estar mejor protegido?

Desafortunadamente, no existe una solución actual para el ataque de “clic cero”. Sin embargo, existen pasos sencillos que puede seguir para minimizar su posible exposición, no solo a Pegasus sino también a otros ataques maliciosos.

1) Solo abra enlaces de contactos y fuentes conocidos y confiables cuando use su dispositivo. Pegasus se implementa en dispositivos Apple a través de un enlace de iMessage. Y esta es la misma técnica utilizada por muchos ciberdelincuentes tanto para la distribución de malware como para las estafas menos técnicas. El mismo consejo se aplica a los enlaces enviados por correo electrónico u otras aplicaciones de mensajería.

2) Asegúrese de que su dispositivo esté actualizado con los parches y actualizaciones relevantes. Si bien tener una versión estándar de un sistema operativo crea una base estable para que los atacantes apunten, sigue siendo su mejor defensa.

Si usa Android, no confíe en las notificaciones de nuevas versiones del sistema operativo. Busque la última versión usted mismo, ya que es posible que el fabricante de su dispositivo no esté proporcionando actualizaciones.

3) Aunque pueda parecer obvio, debe limitar el acceso físico a su teléfono. Para ello, habilite el bloqueo con pin, huella dactilar o bloqueo por reconocimiento facial. Consulte en la página del fabricante del dispositivo las instrucciones para habilitar estas funciones.

4) Evite los servicios WiFi públicos y gratuitos (incluidos los hoteles), especialmente al acceder a información sensible. El uso de una VPN es una buena solución cuando necesita utilizar dichas redes.

5) Cifre los datos de su dispositivo y habilite las funciones de borrado remoto cuando estén disponibles. Si pierde o le roban su dispositivo, tendrá la seguridad de que sus datos pueden permanecer seguros.

6) Utilice dispositivos móviles seguros, de propósito específico, que posean administración centralizada y funcionalidades de cifrado en comunicación, así como detección de amenazas.

Nektgroup posee una alianza importante con Communitake una solución de telefonía móvil segura la cual administra todos los equipos de manera centralizada, cifrando comunicaciones y detectando ciber amenazas.

Fuentes: Paul Haskell-Dowland – Roberto Musotto (Edith Cowan University – The Conversation)

La lucha para proteger su organización se vuelve más compleja cada día y las superficies de ataque continúan expandiéndose. Es bien sabido que el correo electrónico, y específicamente el phishing, sigue siendo uno de los métodos más efectivos para los atacantes. Como resultado, el cibercrimen desarrolla continuamente estrategias y tácticas innovadoras en este rubro.

Para contraatacar, debemos saber dónde enfocar nuestra atención. Por esta razón, aquí hay siete temas de atención relacionados con phishing a tener en cuenta en este año.

1) Mayor intensidad del phishing relacionado con la pandemia

Los atacantes continúan aprovechando COVID-19 como un tema clave en sus campañas de phishing. Una investigación reciente de OpenText muestra que más del 25% de los estadounidenses ya han recibido un correo electrónico de phishing relacionado con COVID-19 en lo que va de año. A medida que llegan noticias importantes, como brotes, aumentos repentinos o avances en la aplicación de vacunas, podemos esperar ataques de phishing dirigidos que aprovechen las noticias relacionadas con estos temas.

2) Phishing político aprovechando las elecciones en México

Las elecciones están en puerta, los ciber actores aprovecharán un clima político cada vez más polarizado para atacar a las víctimas utilizando mensajes cargados de emoción. Estos utilizan mensajes de texto, correo electrónico o llamadas telefónicas que simulan ser parte de la campaña de un candidato electo o de un grupo político para motivar a la persona a hacer clic en links maliciosos con el fin de comprometer su equipo o solicitarle datos personales que pueden ser utilizados con fines criminales o vendidos para su mal uso posteriormente.

Una técnica recurrente en época electoral es enviar correos electrónicos donde incluyen ligas a páginas que supuestamente poseen resultados anticipados sobre la elección, haciendo caer a muchas víctimas que están expectantes del proceso.

3) El resurgimiento del ransomware

Los casos del ataque por ransomware a la compañía estadounidense Colonial Pipeline, así como a la Lotería Nacional Mexicana han sido tendencia. Esto evidencia que a pesar de ser una amenaza conocida los usuarios aún son víctimas, si no se cuenta con una estrategia adecuada de concientización combinada con detección avanzada cualquier organización es vulnerable. Según ZDnet, el número de ataques de ransomware aumentó en más de 700% entre 2019 y 2020 y se espera que incremente aún más al finalizar 2021.

4) Robo de credenciales a través de páginas de inicio de sesión falsas

IronScales fabricante de soluciones para combatir phishing a través de concientización e inteligencia artificial identificó en 2020 más de 50.000 páginas de inicio de sesión falsas. Estas incluían páginas falsificadas de más de 200 de las marcas más destacadas del mundo. Encontraron casi 10,000 páginas tanto para sitios de PayPal como de Microsoft. Además, miles de estos sitios eran polimórficos, con múltiples cambios para frustrar los esfuerzos de los equipos de ciberseguridad para proteger a los usuarios de su organización. El éxito de estas páginas se debe a que las técnicas para realizarlas son sofisticadas y tan parecidas a las genuinas que aprovechan la falta de atención de los usuarios para hacerlos víctimas.

5) Mayor fraude financiero a través del compromiso de cuentas genuinas de correo electrónico

El ataque “Business Email compromiso” (BEC) es un ataque sofisticado que tiene como objetivo obtener acceso a una cuenta de correo electrónico interna legítima. Posteriormente, el atacante se mueve rápidamente para defraudar a colegas y socios para que envíen dinero o revelen datos confidenciales. Según TechRepublic, las campañas de BEC se dirigieron cada vez más a los empleados de finanzas en 2020, y los ataques que aprovecharon el fraude de pagos o facturas aumentaron en más del 150% y la tendencia es al alza.

6) Phishing dirigido por tiempo y calibrado geográficamente

El cibercrimen continuará apuntando a las víctimas de phishing en los momentos en que es más probable que reciban el mensaje en un dispositivo móvil, en lugar de en su computadora de escritorio o portátil. Esto significa que los ataques de phishing se calibrarán geográficamente y se programarán para salir fuera del horario laboral durante la semana o durante los fines de semana. Estadísticamente, los empleados están menos atentos durante estos momentos y es más probable que sean víctimas.

7) Las organizaciones se defienden utilizando tecnología innovadora.

Para remediar las amenazas de seguridad del correo electrónico cada vez más avanzadas, las organizaciones implementarán soluciones que van más allá de la búsqueda de contenido malicioso y avanzan hacia un análisis más sofisticado. En particular, las soluciones de seguridad del correo electrónico que aprovechan la protección a nivel de buzón basada en API, la detección de anomalías impulsada por la inteligencia artificial, la simulación de ataques de phishing y capacitación en ciberseguridad para los empleados se implementarán cada vez más dentro de organizaciones vigilantes y proactivas.



En NEKT Group podemos fortalecer su estrategia de ciberseguridad ante este tipo de ataques. Estas y otras tendencias las discutiremos en nuestro próximo webinar “Phishing vs IA, el futuro de los ataques sofisticados”, regístrate dando clic aquí.

Fuentes: Tristan Bishop (IronScales) y Miguel Torres (NEKT Group)

Combatir los ataques de phishing en las organizaciones es una labor retadora, si bien la formación de conciencia en ciberseguridad de los empleados siempre desempeñará un papel fundamental en mitigar estos ataques, nunca ha sido, ni será, una táctica eficaz por sí sola. Debemos combinar esfuerzos con los avances en inteligencia artificial (IA), machine learning y otras tecnologías emergentes para lograr un enfoque integral de protección de nuestro servicio de correo electrónico.

La pandemia ha evidenciado como los atacantes están ejecutando estafas inteligentes y sofisticadas a una escala masiva que incluso los empleados mejor capacitados tienen dificultades para identificar. Nuestros usuarios diariamente enfrentan una avalancha de correos “spear-phishing”, fraude del CEO (BEC) y mensajes de ingeniería social creados específicamente para eludir los controles tradicionales de protección. Esto hace prácticamente imposible tener cubiertos todos los flancos.

Los atacantes aprovechan la falta de atención y curiosidad

Entonces, ¿por qué las personas, incluso aquellas que han recibido capacitación en concientización sobre phishing, luchan por identificar los ataques de phishing? La verdad es que incluso los ojos más sofisticados, incluidas las personas que trabajan en ciberseguridad, suelen caer en las estafas de phishing.

Según un estudio de Microsoft, las personas generalmente pierden la concentración después de ocho segundos, lo que equivale a un período de atención más corto que un pez dorado. Con una gran cantidad de dispositivos inteligentes a nuestro alcance, el incremento de un estilo de vida cada vez más digital y un horario laboral ocupado son la evidencia de como los estímulos
modernos pueden dificultar la identificación de un correo electrónico sospechoso.

Además, la curiosidad es más fuerte que en sentido de seguridad. Según un informe anual de amenazas de ciberseguridad de Verizon, el 12% de los usuarios abren constantemente correos electrónicos de phishing y, el 4% hace clic en enlaces maliciosos a pesar de conocer los riesgos. La experiencia en seguridad de correo electrónico nos ha enseñado que la curiosidad y el interés son rasgos humanos naturales y, con el momento y el contexto adecuados, las personas harán clic en un enlace a pesar de su conciencia de seguridad.

Ian Baxter vicepresidente de ingeniería preventa en IronScales, solución de protección de correo electrónico que utiliza IA, menciona puntualmente, todo esto se suma a un fenómeno psicológico conocido como ceguera por falta de atención. Definida como una persona que no percibe un cambio inesperado a simple vista, la ceguera por falta de atención se convirtió en la sensación en Internet en 2012 cuando se publicó un video preguntando a los espectadores
cuántos jugadores con camisa blanca pasaban una pelota. Concentrándose intensamente en la tarea en cuestión, más del 50% de los espectadores no reconocieron a una mujer con un traje de gorila en el medio de la imagen. Gracias a la ceguera por falta de atención, la mayoría de las personas no ven de inmediato pistas de similitud visual, asumiendo erróneamente que una estafa de phishing o una página de inicio de sesión falsa es legítima.

Cómo las organizaciones deben complementar la capacitación en concientización sobre phishing

Desde la proliferación de páginas de inicio de sesión falsas hasta la notoria amenaza de ataques de ingeniería social, la seguridad de correo electrónico puede parecer que se encuentra pendiente de un hilo. El hecho es que las organizaciones que dependen únicamente de la capacitación en conciencia de seguridad y la tecnología de protección tradicional como “email gateways” ya sea “on premise” o nube tienen una gran área de oportunidad para identificar y remediar las amenazas al estilo 2021.

¿Por qué es esto necesario?

El panorama de las amenazas de correo electrónico ha cambiado. Los ataques de hoy en día están diseñados socialmente para hacer que las personas se comporten de manera errática, como transferir dinero, comprar tarjetas de regalo o cambiar registros de bases de datos.

Cuando los humanos fallan, la inteligencia artificial (IA) tiene la capacidad de ir más allá de la detección de firmas y de auto aprender dinámicamente del buzón y los hábitos de comunicación. Por lo tanto, el sistema puede detectar automáticamente cualquier anomalía en función de los datos y metadatos del correo electrónico, lo que mejora la confianza y la autenticidad de las comunicaciones por correo electrónico. Todo lo predecible será
automatizado por la IA, dejando al trabajador humano para tomar decisiones más fáciles y mucho más informadas.

Además, si el 4% de los usuarios hacen clic constantemente en los correos electrónicos de phishing, las empresas deben incorporar nuevas medidas de seguridad para evitar que esos correos electrónicos lleguen a las bandejas de entrada. La combinación de inteligencia humana y tecnología es la clave para prevenir y detectar mejor los ataques de phishing, recordemos que solo se necesita que una persona haga clic o realice cierta acción para enviar a una empresa en una espiral descendente.

Poseer una solución de protección con IA permite establecer una línea base automática del comportamiento humano y la actividad normal. Automáticamente puede comprender tanto el contenido como la intención (“qué”) de los mensajes sospechosos y, al mismo tiempo, validar la identidad del remitente y la autenticidad del dominio (“quién”), que es en lo que se centran las herramientas de seguridad de correo electrónico tradicionales y los protocolos de autenticación. Este análisis contextual agregado no solo ayuda a identificar la ingeniería social, sino que también permite emitir veredictos antes de que un correo electrónico llegue a la bandeja de entrada de un empleado.

Un enfoque integral para la seguridad del correo electrónico

Pero eso no es suficiente, hay un momento y un lugar para la formación de concienciación sobre phishing. Pero como siempre hemos dicho, las defensas humanas son solo una pequeña pieza del complejo rompecabezas anti-phishing.

Las pruebas periódicas de phishing son una excelente manera de aumentar el compromiso de los empleados con las iniciativas de seguridad y brindarles escenarios tangibles y reales para mejorar su comportamiento ante amenazas reales. Sin embargo, como hemos señalado, no es realista confiar a la fuerza laboral la enorme responsabilidad de detener el phishing por sí solo.

En NEKT Group creemos firmemente que la mejor seguridad del correo electrónico proviene de la síntesis de inteligencia artificial y humana pero queremos conocer tu opinión, asiste a nuestro webinar “Phishing vs IA, el futuro de los ataques sofisticados”, registrándote dando clic en este enlace, y tranquilo no es phishing.

Fuentes: Eyal Benishti (IronScales)

Con más empresas emergentes y profesionales de la tecnología per cápita que cualquier otro  país, no hay duda de que Israel es un centro de innovación en ciber-tecnología en auge. Pero,  ¿cómo un país con una población aproximadamente igual a la de la ciudad de Nueva York -y un  presupuesto limitado- logra competir con Estados Unidos en inversión en ciberseguridad? Hay  cuatro ingredientes en la receta del éxito de Israel que pueden ayudar a responder esta  pregunta: 

1. Presión para el desarrollo 

El estado israelí establecido en 1948 bajo condiciones políticas adversas, es un país pequeño  con recursos limitados y una historia turbulenta. La prolongada inestabilidad del país ha puesto  en el primer lugar de su agenda el desarrollo de tecnología militar superior y lo ha empujado a  sobresalir con escasos recursos. 

Desafortunadamente, la guerra ha sido el principal motor de Israel. Pero ahora, este impulso  para sobresalir e innovar está dando sus frutos en otros sectores de la sociedad, además del  militar, obteniendo altas calificaciones del foro económico mundial en su último Informe de  Competitividad Global para el riesgo empresarial y el crecimiento de empresas innovadoras,  siendo por excelencia la nación del “start up”. 

2. Pensamiento Innovador 

En 2010, el primer ministro Benjamín Netanyahu solicitó al profesor Isaac Ben-Israel que  elaborara un plan de 5 años para abordar las amenazas cibernéticas nacionales. El profesor,  entendiendo que era imposible predecir cinco años de desarrollos cibernéticos, propuso unir  al gobierno (incluido el ejército), empresas y universidades para colaborar en este desafío. Esto,  pensó, crearía un ecosistema que “sabrá qué hacer cuando lleguen amenazas imprevistas”  [Forbes]. 

Tradicionalmente, el enfoque global de la ciberseguridad ha sido reactivo y segmentado, con  unidades especializadas que actúan de forma independiente para identificar atacantes  potenciales y abordar diferentes desafíos. El enfoque de Israel, en cambio, es proactivo,  interdisciplinario y orientado a largo plazo. Como sugiere la respuesta del profesor, no  pretenden hacer frente a una amenaza. Su objetivo es hacer frente a la imprevisibilidad de las  amenazas.

3. Educación interdisciplinaria 

Aunque la ciberseguridad requiere soluciones tecnológicas, sus problemas no son de naturaleza  tecnológica, explica Ben-Israel. Se necesitan perspectivas diversas y un enfoque  interdisciplinario para dar cuenta de los diferentes dominios de las amenazas: legal, psicológico,  sociológico y económico. 

Un ejemplo de diversidad es la propia población de las Fuerzas de Defensa Israelitas (FDI), con  un flujo regular de reclutas de todos los rincones de país que se unen para colaborar en la lucha  contra los desafíos militares. Sus perspectivas distintivas generan soluciones innovadoras y son  activos valiosos. Aún más valioso si se considera que la ciberseguridad está en el radar de los  israelíes desde una edad temprana. 

Israel fue el primer país del mundo en ofrecer ciberseguridad como materia optativa en la  escuela secundaria, justo cuando los estudiantes están siendo evaluados para su servicio militar  obligatorio. Y cuando llega el momento de elegir un título académico, la ciberseguridad sigue  siendo una opción: las universidades israelíes son pioneras en los programas de ciberseguridad  como disciplinas independientes, no como una asignatura de informática. 

El estricto régimen de las FDI de fomentar el talento joven, combinado con la inversión del  gobierno en la educación en seguridad cibernética, rinde frutos para el Estado de Israel: es  posible que nunca tengan que preocuparse por escasez de talento en ciberseguridad, algo que  es una preocupación en el resto del mundo. 

4. Responsabilidad con libertad 

Adicional a la experiencia y educación, deben existir más razones por las que los israelíes  convirtieron a su país en una nación “start up” y en un líder mundial en ciberseguridad. Una  posible hipótesis sería: la responsabilidad repentina de trabajar en el ejército, junto con una  enorme libertad para innovar, dan como resultado empresarios confiados. 

En palabras de Richard Behar, “Forbes estima que la unidad 8200 (unidad perteneciente a los  Cuerpos de Inteligencia de las Fuerzas de Defensa de Israel cuya misión es la captación de  señales de inteligencia y descifrado de códigos) tiene aproximadamente 5,000 personas  asignadas, todas con el mandato de usar la última tecnología, a menudo en situaciones de vida  o muerte y sorprendentemente requieren de poca orientación en la implementación de la  misma”. 

Se podría argumentar que es peligroso e irresponsable poner demasiada responsabilidad  militar en manos de personas tan jóvenes que, en otros países, ni siquiera tienen permitido  beber alcohol. Los israelitas saben que esto es lo que construye su confianza para llevar sus  ideas innovadoras, experiencia y educación al mundo empresarial.

Gil Press, colaborador de Forbes, explica que “los jóvenes que prestan servicios en 8200 y  unidades similares de las FDI experimentan desafíos – soluciones de ciberseguridad de  vanguardia y de la vida real. Pero a medida que estas unidades funcionan como “start ups”, también pueden experimentar el trabajo en equipo, liderar a otras personas, tener la  responsabilidad de tomar decisiones importantes y sobrevivir al fracaso, toda una gran  preparación para la vida empresarial “. 

Al priorizar la seguridad y con ingredientes como innovación, educación en ciberseguridad,  experiencia en inteligencia militar y la confianza en sus capacidades empresariales, Israel ha  elaborado su propia receta para convertirse en la nación “start-up” y líder en ciberseguridad.  Su población puede ser aproximadamente la misma que la de la ciudad de Nueva York, pero en  términos de innovación, tecnología y competitividad … Israel es enorme y está en aumento. 

Fuentes: Paula Magal (Distillery)– Miguel Torres (Nektgroup)

Las cuentas de correo electrónico son objetivos comunes de ataques. Comprender en qué se diferencian los tipos de ataque es fundamental para una defensa exitosa.

El correo electrónico puede ser terrible, desde todas las variedades de spam que se escabullen a través de sus filtros hasta el riesgo de abrir algo que parece legítimo, pero nos hace dudar. Es la herramienta por excelencia y mucho más en trabajo remoto por esta pandemia y también es el vector preferido para una variedad de ataques que incluyen robo, fraude, ransomware y más.

Según el FBI, los ataques de compromiso de correo electrónico empresarial (BEC) fueron responsables de más de $ 26 mil millones en daños globales entre 2016 y 2019. BEC es una descripción amplia, utilizada por algunas organizaciones (como el FBI) para cubrir prácticamente todos los ataques que utilizan una dirección de correo electrónico de confianza. Otros, sin embargo, usan BEC como un término más específico y el compromiso de la cuenta de correo electrónico (EAC) para describir un tipo diferente de ataque.

Es importante saber la diferencia entre los dos ya que la forma de respuesta o tratamiento de un incidente cambia al conocerla.

BEC, alguien específico:

En el BEC “clásico”, se utilizan técnicas para convencer a un destinatario de correo electrónico de que el mensaje proviene de una fuente legítima y confiable cuando, de hecho, proviene de una cuenta fraudulenta. El mensaje “confiable” podría solicitar al destinatario que haga cualquier cantidad de cosas, asociadas a actos criminales.

El punto clave para recordar acerca de un BEC clásico es que su éxito se basa en mensajes que pretenden ser de una fuente confiable, alguien específico. Cuanto más convincente sea el lenguaje (o ingenua la víctima), más exitoso será el ataque.

EAC, el enemigo en casa:

Mientras que un BEC se basa en mensajes que parecen provenir de una fuente confiable, en un EAC los mensajes realmente provienen de una fuente confiable. Los atacantes utilizan diversas tácticas, como password spray, phishing, malware, con el fin de comprometer las cuentas de correo electrónico de las víctimas y obtener acceso a buzones de correo legítimos.

Una vez que un atacante ha obtenido acceso a las cuentas de correo electrónico, puede mal usarlas de múltiples maneras: extraer datos asociados con la cuenta, cambiar las reglas de reenvío o alias y lanzar campañas de fraude o robo. Lo anterior mencionado son acciones previas a malware, spyware o cual otro “ware” que afectará a un objetivo que aun no es parte del compromiso.

Una de las razones por las que un EAC puede ser tan peligroso es que el atacante es “el enemigo en casa”. Una vez que la cuenta se ve comprometida, muchos mecanismos de seguridad, incluidos los básicos como DMARC (Autenticación de mensajes, informes y conformidad basados en el dominio), nunca entran en juego.

¿Qué podemos hacer?

BEC y EAC son amenazas relacionadas, pero diferentes. El área de ciberseguridad de una organización debe contar con una estrategia de protección que pueda identificar y responder a ambos tipos de ataque basada en procesos efectivos y tecnología con algoritmos confiables de inteligencia artificial que identificarán, aislarán y remediarán tan pronto como se detecte un compromiso, no es posible confiar únicamente en tecnologías de legado basadas en firmas o análisis sandbox.

Las diferencias en el ataque deben reflejarse en las diferencias en la forma en que los defensores protegen los sistemas contra ellos. La protección contra BEC comienza con concientización, simulación de ataques y mucho escepticismo por parte de los empleados, así como una proceso y forma efectiva de reportar situaciones inusuales o extraordinarias. La defensa de EAC, por otro lado, comienza con la protección de las cuentas de correo electrónico contra la toma de control por cualquier método, es probable que estas medidas no siempre funcionarán, se deben robustecer los controles tanto tecnológicos como humanos para evitar “entregar” nuestro buzón de correo.

En NEKT Group podemos ayudarte a diseñar e implementar una estrategia de defensa adecuada para ambos tipos de ataque incluyendo consultoría en procesos y tecnología de nueva generación que utiliza inteligencia artificial para automatizar la respuesta a cualquier incidente.

Fuentes: Curtis Franklin Jr. (Dark Reading) – Miguel Torres (Nektgroup)

Muchas empresas han acelerado su proceso de transformación digital debido a la pandemia.

Internamente, el área responsable de la transición al mundo digital se esfuerza para que la experiencia del usuario sea fluida y alineada a su proceso de negocio, dando como resultado el crecimiento de ingresos para la organización. La proliferación de negocios en línea y aplicaciones de e-commerce ha incrementado el potencial de fraudes y el cibercrímen no ha perdido oportunidad de adaptar sus tácticas para generar ganancias en este rubro.

Debido a esto la convergencia con la ciberseguridad y la prevención de fraudes es inevitable. Muchas compañías no han puesto atención en este tópico enfocándose únicamente en la experiencia de sus clientes, es por eso que en NEKT Group hemos investigado cuatro puntos de vital importancia que ayudarán a robustecer su estrategia de seguridad en estos procesos.

1. Protección al abrir una cuenta

Con tanta información personal disponible en el mundo clandestino a un costo relativamente bajo, es bastante fácil para los ciber actores abrir nuevas cuentas utilizando las identidades de otros. Para combatir esta amenaza, se deben implementar tanto controles en procesos como tecnología para identificar cuándo se abren cuentas de manera fraudulenta, para este fin el trabajo conjunto entre lo digital, ciberseguridad y fraude es fundamental.

2. Protección de la cuenta

Ya sea debido a phishing (suplantación de identidad por correo electrónico), malware, ingeniería social u otros, las credenciales se roban a un ritmo alarmante, además evitar el robo de estas es prácticamente imposible aunado a que están disponibles para compra en el mercado negro. Por otro lado, detectar y prevenir el fraude que ocurre después del robo de credenciales conocido en sus siglas en inglés, ATO – Account takeover: toma de control de cuenta, es un desafío que las organizaciones pueden abordar mediante la colaboración entre equipos y entre tecnologías.

3. Protección de pago

Cuando los atacantes obtienen acceso a una cuenta, a menudo buscarán sacar provecho de ella. En muchos casos, esto implica generar pagos fraudulentos. Evidentemente, es preferible detectar y prevenir el fraude antes de que el defraudador llegue a esta etapa. No obstante, no hace falta decir que las organizaciones que logran que sus áreas involucradas hagan un trabajo de eficaz tienen más posibilidades de proteger los pagos que aquellas que no lo hacen

4. Reducción de la “fricción” en el mundo digital

La fricción durante la experiencia en línea aumenta la frustración del usuario, obstruye el flujo de los procesos comerciales deseados y en última instancia, conduce a la pérdida de ingresos y oportunidades. En una organización enfocada únicamente en la experiencia del usuario el abordar este tema con otras áreas involucradas (seguridad de la información o normatividad) puede darse de distintas formas, con intereses diferentes y a menudo en competencia. Afortunadamente, las nuevas tecnologías permiten reducir la fricción sin aumentar el riesgo de seguridad. Las organizaciones que hacen sinergia interna poseen una vista unificada tienen más posibilidades de poder aprovechar estas tecnologías como parte de un esfuerzo general de reducción del fraude y la fricción.

Una vez que las organizaciones reconocen que necesitan pasar a una visión única de las amenazas y los riesgos y trabajan de manera conjunta, el proceso de transformación digital se convierte en una experiencia menos disruptiva que ayuda a potenciar ingresos en la organización y posicionar a las áreas involucradas como facilitadoras de negocio.

Si deseas asesoría en integración de procesos y tecnología innovadora en ciberseguridad para prevención de fraudes y aseguramiento de tu proceso de transformación digital no dudes contactarnos.

Fuentes: Joshua Goldfarb (F5 Networks) – Miguel Torres (NEKT Group)