10 Estrategias de Seguridad Cibernética para Pymes

10 Estrategias de ciberseguridad para pequeñas empresas

Ilustración de oficinista y ciber criminal

  • La gran mayoría de las empresas no están preparadas para un ciberataque
  • La ignorancia en este tema se refleja en el uso descuidado tanto de la información personal
  • Medidas simples de las empresas les pueden brindarles seguridad a largo plazo

Un estudio reciente (Link de descarga en PDF) sobre la ciberseguridad en América Latina y el Caribe publicado por la Organización de los Estados Americanos (OEA), indica que la infraestructura de cuidado y prevención de ciberataques es deficiente en la región. El estudio indica que 22 de los 32 países analizados no tienen estrategias de seguridad cibernética. Además, 18 de los países analizados aún no han identificado los “elementos clave” en su infraestructura crítica nacional. El estudio indica además que 24 de estos países no cuentan con mecanismos de planificación y coordinación en ciberataques.

Lo anterior es aún más preocupante dado el incremento en ataques cibernéticos a nivel mundial. El incremento se da sobre todo en los sectores más críticos u vulnerables. Además, ha aumentado tanto la sofisticación de los ciberataques como la frecuencia de los mismos. De la mano de una política de ciberseguridad nacional y empresarial, está una postura personal frente al tema.

No es necedad el insistir sobre la importancia de mantener un plan de contingencia cibernética así como de adoptar mejores prácticas de seguridad cibernética. Por eso te explicamos diez estrategias de seguridad cibernética para pequeñas y medianas empresas.

1. Definir y aplicar una política de ciberseguridad

Deberás definir y documentar una política corporativa de seguridad cibernética en base a un análisis de riesgos  que abarque tus activos, así como las posibles vulnerabilidades y amenazas. Incluye un plan de ciberseguridad que contemple siempre un presupuesto determinado. Tu política deberá contemplar los riesgos identificados y las medidas a adoptar en caso de siniestro.

La contratación de un seguro de riesgos cibernéticos es una opción cada vez más utilizada en los países más desarrollados. Finalmente, has un seguimiento periódico de la implantación de tu política plan y actualízalo conforme sea necesario.

2. Asegurar y proteger los datos y la información

Documenta y mantén operativo un plan de backup o de recuperación de activos de tu empresa. Esto incluye desde tu sitio web, hasta los sistemas más complejos como tus bases de datos o sistemas internos de control.

Debes tener una relación de los activos que deben respaldarse de forma obligada, además de indicar su presencia física o virtual. Tu plan debe incluir la frecuencia de tus respaldos, responsables y periodo de tiempo que deben conservarse las copias.

3. Utilizar las redes de forma segura

Prácticamente cualquier empresa con acceso libre a Internet se encuentra vulnerable de alguna u otra manera. Los riesgos cibernéticos evolucionan día con día y la educación al respecto debería evolucionar de la misma forma.

Una forma de mantener una red interna segura es mediante un firewall así como con políticas de acceso. Incluso limitar el acceso a sitios no autorizados puede ofrecerte una barrera ante los posibles ciberataques. Habla con tu proveedor de acceso a internet para que te indique las formas de mantener segura tu red así como de la administración del acceso a redes sociales.

4. Protegerse contra el malware

Un buen porcentaje de los casos de hackeos es porque los dispositivos vulnerados no cuentan con las licencias actualizadas. Lo mismo sucede con los dispositivos móviles. Mantener tus sistemas actualizados, por más redundante que parezca, te puede dar una ventaja frente a los miles de usuarios que no se protegen.

Además deberías tener sistemas antivirus y antispyware. Tus cuentas de correo también deben tener filtros anti spam. Aunque la mayoría de las cuentas de email gratuitas cuentan con esta opción, las cuentas de correo empresariales muchas veces carecen de esta barrera o configuración, por lo que el riesgo de recibir archivos maliciosos es grande y constante.

5. Utilizar el correo electrónico de manera segura

Es importante comunicar a los empleados la importancia de tener sentido común al manejar el correo. Los emails muchas veces pueden contener archivos malintencionados que podrían abrir las puertas de tu negocio a diversos tipos de amenezas cibernéticas.

Una política interna que claramente comunique qué hacer con los correos no deseados es básica. Así como las formas de actuar frente a correos sospechosos. La gran mayoría de los hackeos usan formas de “ingeniería social” avanzadas que están diseñadas para pasar como familiares. Sin embargo, hay diversas formas de asegurarse de la certeza de un mensaje información si se sospecha de su origen.

6. Asegurar el acceso remoto y físico a sistemas y equipos

Deberás definir los tipos de acceso físico y virtual a tus sistemas. Utiliza contraseñas o barreras, así como niveles de acceso a información y equipos. Integra un plan de cambio regular de contraseñas, o mejor aún, obtén un administrador de contraseñas empresarial.

Usar un administrador de contraseñas es mucho más seguro que permitir que las contraseñas se guarden en el equipo o navegador. Aunque hay una curva de aprendizaje al implementar este tipo de servicios, el beneficio y bienestar a corto y largo plazo justifican el esfuerzo.

7. Proteger los dispositivos móviles y la información que contienen

SI vas a integrar los dispositivos móviles de los usuarios con tus sistemas, asegúrate de limitar el tipo de acceso, así como de inventariar los usuarios y perfiles. Si vas a permitir que se conecten a la red, asegúrate de que todos cumplan con los requerimientos técnicos mínimamente necesarios para ello.

En caso de que creas necesario, contrata una segunda red para asuntos personales, y usa otra red para temas empresariales. En estos tiempos es muy complejo pedirle a las personas que estén desconectadas, o que no integren sus móviles con su trabajo. Las nuevas políticas BYOD (Bring Your Own Device) garantizan conectividad a expensas de aumentar el riesgo cibernético por exposición.

8. Mantener las aplicaciones actualizadas

Lo he dicho antes y lo repito. Asegúrate de que TODOS los equipos estén actualizados SIEMPRE. Existen muchos prejuicios o quejas respecto a la frecuencia de las actualizaciones. Incluso ha habido reportes de que las actualizaciones empeoran el desempeño de algunos equipos.

Aunque hay fundamentos que soportan estas teorías, las amenazas son reales y nunca se sabe cuando podrías ser víctima de ellas por un descuido o falta de actualización en el software. Has una política que incluya el inventario de tus sistemas y dispositivos, así como la última vez que se actualizó cada uno y los responsables de actualizarlo.

9. Trazar un plan de respuesta a incidentes

Diseña, aplica, mantén y pon a prueba un sistema de incidencias. Además de ataques, incluye contingencias para garantizar la continuidad de las operaciones del negocio. Identifica los activos críticos, especifica dueños y responsables de la información, prueba tus respaldos. Incluye datos de contacto, redes sociales, teléfonos, alarmas, así como entes oficiales y no oficiales a los cuales comunicar cualquier situación cibernética.

Incluye las formas de actuar frente a un ataque, interrupción de determinados servicios clave, hasta la pérdida de información.

10. Concienciar y formar a los empleados

Comunica los riesgos, medidas, políticas y demás soluciones y propuestas frente a los ataque cibernéticos. Insiste sobre la importancia de mantener una ciber higiene así como unas ciber barreras. Incluye temas de ciberseguridad en tus planes de capacitación.

Conoce y comparte mejores prácticas en el uso de contraseñas, email, redes sociales, e información personal. Mantente al tanto respecto a las últimas noticias y nuevas amenazas cibernéticas. Has conciencia sobre la ingeniería social, phishing, ransomware, etc.

No olvides que la seguridad es primero, y la ciberseguridad la hacemos todos.

 

Referencias: 

https://www.cepyme.es/wp-content/uploads/2018/10/ciberriesgos-su-impacto-en-las-pymes-pag-indiv.pdf

https://www.hosteltur.com/109260_los-hoteles-de-baleares-ante-el-cambio-de-ciclo.html

http://unespa-web.s3.amazonaws.com/main-files/uploads/2018/10/ciberriesgos-su-impacto-en-las-pymes-pag-indiv.pdf

 

leer más
Isaul Carballar10 Estrategias de Seguridad Cibernética para Pymes

Nuevo Hack de PS4 manda las consolas a configuración de fábrica

SONY ha emitido una advertencia a los jugadores que utilizan la PlayStation 4 sobre un exploit que puede mandar la consola de nuevo a la configuración de fábrica

  • Interfaz de mensajes PS4Glitch en PS4 puede mandar consola a configuración de fábrica
  • Se activa sólo con recibir un mensaje
  • Solución es cambiar estado de mensajería de pública a privada

Varios usuarios están reportando un glitch circulando por las redes que envía cierto mensaje que mandará tu consola a su configuración de fábrica.

Playstation ha confirmado el hackeo e indica que están trabajando en una solución.

Anteriormente el sistema de mensajería de la PS4 tuvo su dosis de controversia al verse involucrada con las comunicaciones de posibles terroristas.

El mensaje sólo puede afectar a los usuarios que tienen configurado sus mensajes como públicos. Sony al parecer está al tanto de esto y está realizando las actualizaciones necesarias.

¿Cómo protegerte del hack ‘destruye consolas’ PS4?

La forma de solucionar y prevenir este glitch es bastante simple. Tendrás que ir a la configuración, buscar las opciones de privacidad del PS4 y cambiar la configuración de recepción de mensajes para que solo tus amigos o conocidos pueda enviarte mensajes a través de la consola.

El sitio as.com brinda algunas soluciones:

  1. Restringir mensajes a tu PlayStation 4 desde Internet usando un link de PS4
  2. Restringir mensajes desde tu consola, en ajustes de privacidad
  3. Borrar el mensaje desde la app de PlayStation Messages (Android o iOS) antes de encender tu consola

¿Qué hacer si ya fuiste afectado?

Si fuiste afectado por el glitch deberás hacer un reseteo de fábrica. Aunque en teoría no perderás muchos datos, el proceso es lento e innecesario.

Para resetear de fábrica deberás acceder al PS4 en modo seguro (apaga tu consola, y luego presiona el botón de encendido por 7 segundos o hasta escuchar un pitido) y seleccionar la opción ‘Reconstruir base de datos’ con el controlador conectado.

El glitch de Playstation se suma a la reciente ola de hackeos que se activan sólo con recibir un mensaje.

leer más
Isaul CarballarNuevo Hack de PS4 manda las consolas a configuración de fábrica

Facebook corrige cantidad de usuarios afectados en mayor hackeo de su historia

El gigante de los medios sociales finalmente detalló la profundidad de la información personal a la que accedieron los hackers

  • El número final de hackeados se redujo a 30 millones de cuentas.
  • El robo de información del 50% de las cuentas incluyó: números de teléfono, direcciones de correo electrónico, género, estado de relación, últimos 10 lugares en los que se registraron y las 15 búsquedas más recientes.
  • La investigación sigue en curso y no se hace público aún quién realizó el hackeo.

Facebook Inc. indico que menos usuarios de los que inicialmente pensaban estaban expuestos a piratas informáticos. Hace dos semanas Facebook reconoció la brecha de seguridad más grande en el mundo de las redes sociales. Por primera vez la compañía detalló la cantidad de información personal a la que se accedió.

En un blog publicado el viernes, Facebook dijo que 30 millones de usuarios habían robado sus tokens de acceso, en comparación con la estimación original de 50 millones. Los tokens son claves digitales que mantienen a las personas conectadas al sitio de redes sociales.

La compañía dijo que los hackers “explotaron una vulnerabilidad” en su código de computadora entre julio de 2017 y septiembre de 2018. Facebook descubrió el ataque el 25 de septiembre y lo detuvo dos días después.

Ahora sabemos que menos personas se vieron afectadas de lo que pensábamos originalmente“, dijo Guy Rosen, vicepresidente de gestión de productos, en la publicación del blog.

De los 30 millones involucrados, Facebook dijo que 14 millones fueron los más afectados. Tuvieron acceso a sus nombres e información de contacto, incluidos los números de teléfono y las direcciones de correo electrónico, junto con datos como su género y estado de relación, así como los últimos 10 lugares en los que se registraron y las 15 búsquedas más recientes. Otros quince millones tuvieron acceso a sus nombres y contactos. Los atacantes no obtuvieron ninguna información de los millones de usuarios restantes que fueron vulnerables a la violación de la seguridad.

En algunos casos, es posible que los mensajes privados de los usuarios se vieran comprometidos si actuaran como administradores en cualquiera de las páginas dirigidas, dijo el Sr. Rosen. Dijo que la violación no afectó sus otras unidades negocio: WhatsApp, Instagram, Facebook Messenger, Workplace, Pages ni cuentas de pagos, apps de terceros (third-party apps), o cuentas de publicistas o desarrolladores.

En una llamada con reporteros el viernes, Rosen se negó a decir quién pudo haber estado detrás del ataque. Dijo que la compañía está trabajando con la Oficina Federal de Investigaciones (FBI por sus siglas en Inglés) y que la agencia ha pedido a Facebook que no discuta la identidad de los perpetradores.

Facebook también se negó a dar un desglose geográfico de los usuarios que fueron afectados.

¿Cómo saber si tu Facebook fue hackeado?

Mucha gente ha preguntado cómo saber si fuiste hackedo en Facebook. En realidad el problema parece más grande de lo que suena, pero por eso te explicaré que pasaría.

Si fuiste hackeado en Facebook, seguramente a estas alturas o en las próximas semanas recibirás un email de Facebook indicándote que debes cambiar tu contraseña. Adicionalmente, puedes verificarlo por ti mismo visitando su Help Center.

Verás una pantalla como esta.

Al final de la página deberías ver un mensaje similar.

Lo anterior quiere decir:

¿Mi cuenta de Facebook está afectada por este problema de seguridad?

Según lo que hemos aprendido hasta ahora, su cuenta de Facebook no se ha visto afectada por este incidente de seguridad. Si descubrimos que más cuentas de Facebook se vieron afectadas, restableceremos sus tokens de acceso y notificaremos esas cuentas.

leer más
Isaul CarballarFacebook corrige cantidad de usuarios afectados en mayor hackeo de su historia

Mastercard, Amex, WorldPay y otros celebran primeros juegos de guerra cibernética

Industria de procesadores de pago realiza sus primeros “juegos de guerra” cibernética

Tarjeta Mastercard frente a teclado de computadora

  • Simulación simultánea de guerra cibernética entre los principales entes bancarios internacionales
  • Los resultados muestran disfunciones conceptuales incluyendo la definición de una crisis e involucrar al gobierno
  • Las empresas buscarán una forma sistémica de compartir información sobre amenazas futuras

Las compañías de pagos globales celebraron sus primeros juegos de ciberguerra conjuntos para probar la preparación de sus sistemas frente a ataques simultáneos, demostrando las diferencias en sus niveles de defensa, incluyendo la forma de definir una crisis.

Mastercard, American Express,JPMorgan Chase, WorldPay y Fidelity National Information Services son unos de los 18 procesadores de pagos de EEUU y el Reino Unido que participaron en la simulación. Los juegos se llevaron a cabo el viernes en el centro de pruebas de IBM en Cambridge, Massachusetts. A continuación reportamos algunos de los hallazgos que fueron compartidos con Bloomberg News.

Las empresas financieras han liderado el gasto en seguridad cibernética, ya que los ataques de alto perfil que exponen los datos de los clientes y el robo de fondos aumentaron la presión sobre la industria. A los ejecutivos y reguladores les preocupa que un ataque sistémico a los sistemas informáticos del sistema financiero pueda perturbar la economía global, por lo que la cooperación entre la industria y las agencias gubernamentales está aumentando.

Pusimos a los competidores juntos en una misma sala, quienes inicialmente se rehusaban a hacerlo“, dijo Rob Johnston, ejecutivo de seguridad de la información y uno de los organizadores de los juegos. “Pero se dieron cuenta muy rápido de lo valioso que es estar juntos. Cuando hay múltiples brechas en un ataque organizado, es mejor coordinar una respuesta“.

Los participantes descubrieron que cada uno tenía diferentes definiciones de lo que es una crisis a raíz de violaciones de información, así como diferentes enfoques sobre cómo llegar a la aplicación de la ley. Acordar una definición común y la simplificación de la cooperación con las agencias gubernamentales serán los objetivos para la industria de pagos, según Johnston. También dijo que el sector buscará una forma más formal de compartir información sobre las amenazas.

Algunas de las firmas de pagos son miembros del Centro de Análisis e Intercambio de Información de Servicios Financieros, conocido como FS-ISAC, un foro para bancos, corredores de bolsa y compañías de seguros para compartir información sobre amenazas. Los bancos y firmas de corretaje han estado celebrando juegos de guerra cibernética regularmente desde 2011, probando la preparación de los mercados de capitales en los Estados Unidos frente a  los ciber ataques.

 

Crédito de imagen de portada: The Telegraph
leer más
Isaul CarballarMastercard, Amex, WorldPay y otros celebran primeros juegos de guerra cibernética

Google+ cierra tras vulnerabilidad en medio millón de cuentas

Google+ descubre vulnerabilidad en más de medio millón de cuentas afectadas, decidieron no revelarlo

  • La red social para individuos cerrará definitivamente por baja participación y fallas en seguridad.
  • Google no pudo verificar el mal uso de los datos de más de 500,000 cuentas.
  • Google mantendrá abierta una versión de Google+ para empresas.

Google ha anunciado que cerrará la versión para consumidores de Google+ debido a problemas de seguridad (distintos a los recientemente reportados en Facebook) así como la baja participación de los usuarios en su intento fallido del ‘Facebook’ de Google. Además, está anunciando la introducción de nuevos permisos de cuenta de Google más específicos, nuevos límites para aplicaciones de terceros que buscan permisos para acceder a los datos de los usuarios de Gmail y Android.

Ben Smith, miembro de Google y vicepresidente de ingeniería, mencionó que los “desafíos significativos para crear y mantener un Google+ exitoso que cumpla con las expectativas de los consumidores” así como el bajo uso y compromiso de los usuarios son la razón detrás de la decisión de cerrar Google+.

El 90 por ciento de las sesiones de usuario de Google+ son menos de cinco segundos“, añadió.

Al mismo tiempo, Smith compartió detalles sobre una vulnerabilidad de seguridad que encontraron en una de las APIs de Google+, que podría haber permitido a aplicaciones de terceros acceder a campos privados en el perfil de los usuarios.

Descubrimos e inmediatamente solucionamos este error en marzo de 2018. Creemos que ocurrió después del lanzamiento como resultado de la interacción de la API con un cambio posterior en el código de Google+“, dijo.

Como no encontraron pruebas de que ningún desarrollador estuviera al tanto de este error o abusara de la API, y era imposible saber cuántos o qué usuarios estaban potencialmente afectados, la Oficina de Protección de Datos y Privacidad de la compañía decidió no informar a los usuarios ni hacer pública la información al respecto, ya que, después de tomar en consideración todos los factores, sentían que no estaban obligados por ley.

Google indicó en su blog oficial que “…no podemos confirmar que usuarios fueron afectados por este error. Sin embargo, realizamos un análisis detallado durante las dos semanas previas a parchar el error y, a partir de ese análisis, detectamos los perfiles de hasta 500,000 cuentas de Google+ que se vieron potencialmente afectados. Nuestro análisis mostró que hasta 438 aplicaciones pueden haber utilizado esta API.”

Control de Daños

La publicación de Google se supo un día después de que el Wall Street Journal publicara un memorandum interno de Google. En dicho memorándum se habla sobre la no divulgación al público de dicho hallazgo, debido a que no se pudo comprobar el mal uso ni afectación de los usuarios.

La incapacidad para evaluar y cuantificar a los usuarios afectados no está exenta de divulgación. Aunque una vulnerabilidad de seguridad en sí misma no activa automáticamente la obligación de divulgarlo, en este caso parece que Google tiene dudas razonables de que la falla podría haber sido explotada. Una aclaración adicional de Google y los detalles técnicos del incidente sin duda serían útiles para restablecer la confianza entre los usuarios actualmente abandonados en la oscuridad.”, expresó Ilia Kolochenko, CEO de la empresa de seguridad web High-Tech Bridge.

“Es importante que los consumidores se den cuenta de que conectar aplicaciones mediante plataformas de redes sociales solo aumenta la cantidad de información importante que podría ser vulnerada, así como también incrementa los vectores de ataque que los hackers pueden aprovechar”, agregó.

A diferencia de lo que otros medios señalaron, Google+ no fue hackeado. Incluso, Google+ seguirá existiendo como una red social corporativa con nuevas características diseñadas específicamente para empresas. Informó la empresa. Google anunció de forma simultánea el lanzamiento del proyecto ‘Project Strobe’ con el cual busca proteger la privacidad de los usuarios.

 

leer más
Isaul CarballarGoogle+ cierra tras vulnerabilidad en medio millón de cuentas

Hackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica

Hackers Rusos están de regreso y con nuevas prioridades

Oso grizzly con máscara de AnnonymousAPT28, uno de los grupos de hackers y cibercriminales más activos en la historia reciente, está de regreso y con nuevas prioridades. El grupo está vinculado directamente con el gobierno Ruso según el Departamento de Seguridad Nacional (DHS). Al grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Grizzly Steppe, Sofacy Group, Sednit y STRONTIUM) se le atribuye el hackeo de las elecciones de 2016 en los Estados Unidos, en particular de las oficinas del Comité Nacional Demócrata (DNC por sus siglas en inglés Democratic National Commitee).

El foco de APT28 o Fancy Bear está ahora en la obtención de datos de inteligencia geopolítica y espionaje cibernético. Sus nuevos objetivos incluyen operaciones en Europa y Sudamérica. Según un informe recientemente publicado por la firma de ciberseguridad Symantec.

Breve Historia de APT28

APT28 ha estado activo por lo menos desde enero del 2007, pero recibió una gran atención pública durante 2016, cuando estuvo implicado en una serie de ataques cibernéticos en el período previo a la elección presidencial de EEUU.

Uno de los mayores ataques del grupo fue en la primavera de 2016, cuando el grupo APT28 envió correos electrónicos de phishing a objetivos políticos, incluidos miembros del Comité Nacional Demócrata (DNC). Estos correos electrónicos fueron diseñados para engañar a los destinatarios para que supuestamente cambien sus contraseñas de correo electrónico en un dominio de correo electrónico falso. El grupo de ataque luego usó estas credenciales robadas para obtener acceso a la red DNC, instalar malware, moverse a través de la red y robar datos, incluido un montón de correos electrónicos. La información comprometida se filtró más tarde en línea.

Estos ataques electorales señalaron un cambio de tácticas por parte de APT28, alejándose de su anterior recopilación de inteligencia de bajo perfil hacia una actividad más abierta, que aparentemente pretendía desestabilizar e interrumpir a las organizaciones y países víctimas. A partir de este momento, desviando el curso de las elecciones en los EEUU y posiblemente cambiando el curso de la historia.

El grupo también fue responsable del ataque de 2016 a la Agencia Mundial Antidopaje (WADA) y de la filtración de información confidencial sobre pruebas de drogas o antidoping. En consonancia con su cambio a tácticas más abiertas, el grupo pareció tomar el crédito público por el ataque, filtrando la información en un sitio web con el nombre de ‘Fancy Bears’, un nombre en clave de la industria que ya era ampliamente utilizado por el grupo.

Fancy Bear contraataca

Fancy Bear, o APT28, ha estado activo al menos desde 2007 y se ha enfocado en gobiernos, militares y organizaciones de seguridad en todo el mundo. Según los expertos de Symantec, desde el 2017 y continuando durante el 2018, el grupo APT28 está de regresó con objetivos de inteligencia secreta en Europa y América del Sur.

Algunos de los objetivos del grupo APT28 incluyen:

  • Una organización internacional muy conocida,
  • Objetivos militares en Europa,
  • Gobiernos en Europa,
  • Un gobierno de un país sudamericano,
  • Una embajada perteneciente a un país de Europa del Este.

¿Cuáles son las herramientas de ataque de Fancy Bear/APT28?

APT28 utiliza una serie de herramientas para comprometer a sus objetivos. El malware principal del grupo es Sofacy, que tiene dos componentes principales. Trojan.Sofacy (también conocido como Seduploader) realiza un reconocimiento básico en una computadora infectada y puede descargar más malware. Backdoor.SofacyX (también conocido como X-Agent) es un malware de segunda etapa, capaz de robar información de la computadora infectada. También existe una versión para Mac del troyano (OSX.Sofacy).

APT28 ha continuado desarrollando sus herramientas en los últimos dos años. Por ejemplo, Trojan.Shunnael (también conocido como X-Tunnel), el malware utilizado para mantener el acceso a las redes infectadas utilizando un túnel cifrado, se sometió a una reescritura en .NET.

Además de esto, el grupo también comenzó a usar un rootkit UEFI (Interfaz de firmware extensible unificada) conocido como Lojax. Debido a que el rootkit reside dentro de la memoria flash de una computadora, permite a los atacantes mantener una presencia persistente en una máquina comprometida incluso si se reemplaza el disco duro o se reinstala el sistema operativo. Los productos de Symantec bloquean los intentos de instalar Lojax con el nombre de detección Trojan.Lojax.

Vínculos con otros grupos

Los investigadores de Symantec también destacaron los posibles enlaces a otras operaciones de espionaje, incluido el Earworm que ha estado activo desde al menos mayo de 2016 y está involucrado en operaciones de recopilación de inteligencia contra objetivos militares en Europa, Asia Central y Asia Oriental.

El grupo Earworm llevó a cabo campañas de phishing dirigidas a entregar el descargador Trojan.Zekapab y el Backdoor.Zekapab.

Los expertos notaron cierta superposición con las infraestructuras de comando y control utilizadas por Earworm y APT28.

“Durante 2016, Symantec observó cierta superposición entre la infraestructura de comando y control (C&C) utilizada por Earworm y la infraestructura C&C utilizada por Grizzly Steppe (el nombre de código del gobierno de EEUU para denominar a APT28 y actores relacionados), lo que implica una posible conexión entre Earworm y APT28. Sin embargo, Earworm también parece realizar operaciones separadas de APT28 y, por lo tanto, Symantec las rastrea como un grupo distinto.” Indica el reporte

Sin Motivos Para Detenerse

Aunque las campañas recientes ven al grupo APT28 regresar a las operaciones de recopilación de inteligencia secreta en Europa y América del Sur, no son evidentes sus objetivos a largo plazo.

Ahora está claro que luego de haber estado implicado en los ataques a las elecciones presidenciales de EEUU a fines de 2016, la publicidad resultante no logró intimidar al grupo APT28 y continúan organizando nuevos ataques con sus herramientas existentes“, afirmó Symantec en su sitio.

La implicación es sorprendente: el mundo sabe quiénes son estos intrusos y cómo operan, pero seguirán enfocándose (y probablemente infiltrándose) en los sistemas de todo el mundo. Todavía no hay motivos evidentes que logren detener a estos grupos.

 

Crédito de la imagen de portada: NYMag
leer más
Isaul CarballarHackers vinculados a Rusia atacaron a los gobiernos de Europa y Sudamérica
Bloomberg-businesweek-cover.jpg

¿El Mayor Hackeo de Hardware de la Historia?

Cadena de suministro de Apple, Amazon y otras empresas posible víctimas del mayor hack de hardware en la historia

Si bien no hemos terminado de digerir el hackeo de Facebook y de las claves de sus 50 millones de usuarios, ahora nos enteremos de una operación con repercusiones de mucho mayor impacto entre China y Estados Unidos.

El pasado Jueves el importante medio Americano Bloomberg publicó un explosivo reporte detallando una operación de implante de microchips provenientes de China que data desde 2015. Los microchips (del tamaño de una punta de lápiz) eran implantados desde origen en una compañía encargada de maquillar tarjetas madre para fabricantes de servidores.

Supermicro es el fabricante de dichos servidores; basado en San José, California, y con contratos multimillonarios con cientos de empresas de tecnología en Estados Unidos, incluyendo Apple, Amazon y el gobierno de los Estados Unidos.

El reporte también indica que hasta el momento, ni Apple, Amazon, ni China o el gobierno de EEUU se han declarado conocedores del evento. Sin embargo, el reporte se originó por docenas de testigos que dieron fé y testimonio de los hechos, así como por subsecuentes acciones de seguimiento que evidencian las sospechas del hardware comprometido.

Más allá de un cambio de proveedores por las empresas involucradas, no se sabe si los hechos tendrán un impacto mayor en el corto plazo.

Tampoco se conoce si las empresas encargadas de maquillar esos chips estaban enteradas de esta operación.

Una Cadena de Suministro Comprometida

La fabricación de componentes para servidores es una industria multimillonaria que no tiene el glamour de muchas de las empresas de Silicon Valley, pero cuya existencia depende directamente de dicha región.

Millones de circuitos a la medida son producidos cada año en fabricas Chinas o del sureste de Asia. De forma similar a como se producen la mayoría de los productos de consumo como Nike, Under Armour, o incluso componentes automotrices. De los cientos o miles de componentes que conformar un producto final, hay docenas o centenas de proveedores involucrados en el maquinado de productos.

En este caso, el hackeo no se dio en el software de los equipos involucrados, ni en uno de los eslabones de la cadena de suministro, sino en el origen mismo de la cadena.

En cualquier caso, uno de los beneficiados indirectos de este posible hackeo es México, uno de los principales socios comerciales de los Estados Unidos, y un potencial nuevo proveedor de fabricación de microchips.

El Mayor Hackeo de Hardware de la Historia

Según uno de los entrevistados en dicho artículo, el grado de sofisticación de la operación es como lanzar una varita de madera por río Yang Tze, y esperar que esa misma varita sea recogida en un lago en Seattle.

Dicha acción, llevada a cabo hace tres años, evidencia el nivel de progreso que han conseguido los equipos de hackeo internacionales.

El chip implantado les permitía abrir (de forma casi indefectible) una puerta de acceso al chip central de cada tarjeta comprometida. Una versión posterior del mismo chip es menor que la punta de un lápiz.

Aunque no está claro que los chips hayan sido utilizados de forma regular, el medio aclara que los chips no estaban diseñados para el robo de datos de consumo.

Dado su impacto y alcance de largo plazo, este hackeo podría ser similar a las fallas en el diseño de chips mejor conocidas como Meltdown y Spectre y reportadas a comienzos del 2018.

Los principales involucrados en el reporte de Bloomberg han sustituido los servidores involucrados, sin aceptar públicamente el posible origen Chino de dicho implante de hardware como la causa del reemplazo.

El impacto de este hackeo es prácticamente nulo para los consumidores y pequeñas empresas. El impacto para las grandes empresas de tecnología y el propio gobierno de los EEUU es desconocido hasta el momento.

Su negativa ante este reportaje, y el hecho de que no haya salido a la luz tres años posteriores al momento en que fue detectado, es evidencia de que el grado de sofisticación de los adversarios de los EEUU es posiblemente mayor del que están dispuestos a aceptar. Y es también evidencia de que la ciberguerra ya comenzó hace varios años.

Parafraseando al grandísimo Gil-Scott Heron, la ciber guerra no será publicada. La ciber guerra será en tiempo real.

 

Crédito de la imagen de portada: Bloomberg
leer más
Isaul Carballar¿El Mayor Hackeo de Hardware de la Historia?

EEUU respalda el desconocimiento de Apple y Amazon de los chips espías chinos

Apple y Amazon niegan conocimiento de servidores comprometidos Chinos

Entrada del Departamento de Seguridad Nacional de EEUU

Departamento de Seguridad Nacional de EEUU

Luego del informe de Bloomberg Businessweek de la semana pasada que decía que los espías chinos se infiltraron en los servidores comerciales de Estados Unidos con microchips ocultos, el Departamento de Seguridad Nacional (DHS por sus siglas en inglés Department of Homeland Security) dice que “no hay razón para dudar de las declaraciones de las compañías nombradas en la historia“.

Declaraciones de las empresas involucradas

Es falso que AWS (Amazon Web Services, servicio de hospedaje en la nube de Amazon) supiera sobre una cadena de suministro comprometida, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental. También es falso que AWS supiera sobre los servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China, o que AWS trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso.

Hemos revisado nuevamente nuestros registros relacionados con la adquisición de Elemental para verificar cualquier problema relacionado con SuperMicro, incluyendo la revisión de una auditoría de seguridad de terceros que realizamos en 2015 como parte de nuestro proceso de ‘diligencia debida’ antes de la adquisición. No hemos encontrado pruebas que respalden las afirmaciones de chips maliciosos o modificaciones de hardware.” – Amazon

En el transcurso del año pasado, Bloomberg nos contactó varias veces con reclamos, a veces imprecisos y en ocasiones complejos, de un supuesto incidente de seguridad en Apple. En cada ocasión hemos realizado investigaciones internas rigurosas basadas en sus investigaciones y ninguna ocasión hemos encontrado alguna evidencia que respalde ninguno de sus reclamos. En el expediente, hemos ofrecido respuestas repetidas y sistemáticamente objetivas que refutan prácticamente todos los aspectos de la historia de Bloomberg relacionados con Apple.

. . .

En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, “manipulaciones de hardware” o vulnerabilidades plantadas a propósito en ningún servidor. Apple nunca tuvo contacto con el FBI ni con ninguna otra agencia sobre tal incidente. No tenemos conocimiento de ninguna investigación por parte del FBI, ni nuestros contactos en la aplicación de la ley.” – Apple

Si bien cooperaríamos con cualquier investigación gubernamental, no tenemos conocimiento de ninguna investigación relacionada con este tema ni ninguna agencia gubernamental nos ha contactado al respecto. No tenemos conocimiento de ningún cliente que haya eliminado a Supermicro como proveedor a partir de este problema.

. . .

Además, Supermicro no diseña ni fabrica chips de redes ni el firmware asociado, y nosotros, al igual que otras compañías líderes de servidores / almacenamiento, los adquirimos de las mismas compañías líderes de redes.” – Supermicro

La declaración coincide con lo que dijeron los funcionarios de ciberseguridad del Reino Unido el viernes: que estaban al tanto de los informes, pero no tenían ninguna razón para dudar de las enérgicas negativas de Amazon y Apple de que sus sistemas estaban comprometidos. El DHS señala que está al tanto del informe y dijo que recientemente lanzó varias “iniciativas gubernamentales e industriales para desarrollar soluciones a corto y largo plazo para administrar el riesgo que plantean los complejos desafíos de las cadenas de suministro cada vez más globales“.

La semana pasada, el informe de Bloomberg Businessweek citó a actuales y antiguos funcionarios de inteligencia de los Estados Unidos, quienes afirmaron que espías chinos trabajaron para colocar microchips en los servidores, permitiéndoles acceso a los sistemas. El informe afirma que Apple y Amazon descubrieron los microchips y los informaron a las autoridades estadounidenses. Pero ambas compañías han negado la historia. Los expertos en seguridad cibernética han advertido que tal amenaza existe y que podría ser difícil de contrarrestar. Pero a raíz de la publicación del informe, el escepticismo se ha ido acumulando a medida que las compañías involucradas y las agencias gubernamentales han rechazado sus acusaciones.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
Isaul CarballarEEUU respalda el desconocimiento de Apple y Amazon de los chips espías chinos

China insertaría microchips espía en Apple, Amazon y otros: Bloomberg

Portada Revista Bloomberg BusinessweekEspías chinos se han infiltrado en la cadena de suministro de servidores utilizados por cerca de 30 compañías estadounidenses, incluidos Apple, Amazon y algunos contratistas del gobierno de los EEUU, según un explosivo informe de Bloomberg Businessweek.

La operación es quizás el ejemplo más audaz de piratería informática realizada por un estado nación que se haya reportado públicamente, donde un brazo de las fuerzas armadas de China obliga a los fabricantes chinos a insertar microchips en servidores diseñados por EEUU. Los chips “no eran mucho más grandes que un grano de arroz“, informa Bloomberg, pero pueden subvertir el hardware en el que están instalados, desviando datos y permitiendo que ingresen nuevos códigos como un caballo de Troya.

Hackeo de Chips No es Reconocido

Según Bloomberg, Amazon y Apple descubrieron el hackeo a través de investigaciones internas y lo informaron a las autoridades estadounidenses. La publicación dice que no hay evidencia directa de que los datos de las empresas, o de los usuarios, hayan sido robados o manipulados, pero ambas empresas trabajaron en silencio para eliminar los servidores comprometidos de su infraestructura.

Tanto Amazon como Apple refutan fuertemente la historia. Amazon dice que es “falso” que hayan sabido de “servidores que contienen chips maliciosos o modificaciones en centros de datos con sede en China” o que “trabajó con el FBI para investigar o proporcionar datos sobre hardware malicioso“. Apple es igualmente definitivo indicando: “En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, ‘manipulaciones de hardware’ o vulnerabilidades plantadas a propósito en ningún servidor“.

Según los informes, el ataque se llevó a cabo a través de la compañía estadounidense Super Micro Computer Inc, comúnmente conocida como Supermicro. La firma es uno de los proveedores más grandes del mundo de tarjetas madre para servidores y subcontrata la fabricación a fábricas en China y en otros lugares.

Hardware Comprometido

Las tarjetas madre de Supermicro se utilizan en todo el mundo, tanto en productos especializados como las máquinas de IRM (imagen por resonancia magnética) y sistemas armamentistas, como para centros de datos utilizados por los gigantes tecnológicos. La compañía fabrica servidores para cientos de clientes, incluidos Elemental Technologies, una startup que se especializa en compresión de video y que fue adquirida por Amazon en 2015.

Piense en Supermicro como el Microsoft del mundo del hardware“, dijo un ex funcionario de inteligencia de Estados Unidos a Bloomberg. “Atacar a las tarjetas madre de Supermicro es como atacar a Windows. Es como atacar a todo el mundo“.

Según Bloomberg, fue Elemental (a través de Supermicro) el objetivo principal de los militares chinos. Los servidores de Elemental “se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada”, dice la publicación, con miles más utilizados por Apple y Amazon. En total, el ataque afectó a casi 30 empresas estadounidenses, incluidos contratistas gubernamentales y un importante banco.

Acciones Invisibles

Partes de la historia de Bloomberg han sido reportadas con anterioridad. Apple rompió su relación con Supermicro en 2016, pero el fabricante del iPhone afirmó que esto se debía a un incidente de seguridad menor y no relacionado. Se informó que Amazon se distanció de los servidores comprometidos de Supermicro al vender su infraestructura china a un rival, por razones desconocidas en ese momento. En una declaración a Bloomberg, Amazon admitió haber encontrado “vulnerabilidades” en los productos de Supermicro, pero dijo que estaban relacionados con el software, no con el hardware. Facebook, otro cliente potencial, también encontró problemas con los productos de Supermicro, identificando malware en el software de la compañía y eliminando los servidores de sus centros de datos.

Los informes de Bloomberg no han sido confirmados por fuentes oficiales de la comunidad de inteligencia de los Estados Unidos. El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, se negaron a comentar la historia. Sin embargo, es bien sabido que estas versiones modificadas de hardware son un gran trofeo para los equipos de inteligencia de una nación: la NSA ha sido sorprendida al realizar operaciones similares. Prometen enormes recompensas en términos de información robada, pero dejan rastros físicos, a diferencia de los programas informáticos.

Al igual que con otros hackeos a gran escala y fallas de seguridad, las repercusiones de la operación según lo informado por Bloomberg serán difíciles de juzgar. Según la publicación, la investigación de la comunidad de inteligencia de los Estados Unidos todavía está en curso, tres años después de su apertura.

 

Adaptación de un artículo publicado originalmente en: The Verge
leer más
Isaul CarballarChina insertaría microchips espía en Apple, Amazon y otros: Bloomberg

Ataque cibernético a Facebook expone a 50 millones de usuarios

Facebook anunció hoy que un ataque a su red informática provocó la exposición de información de casi 50 millones de sus usuarios.

La compañía descubrió la brecha a principios de esta semana y descubrió que los atacantes habían explotado una vulnerabilidad en el código de Facebook que les permitía hacerse cargo de las cuentas de los usuarios. Facebook corrigió la vulnerabilidad y notificó a los funcionarios encargados de hacer cumplir la ley.

Más de 90 millones de usuarios de Facebook se vieron obligados a cerrar sesión en sus cuentas el viernes por la mañana, una medida de seguridad estándar en cuentas comprometidas.

Facebook dijo que no sabía el origen o la identidad de los atacantes, ni había evaluado completamente el alcance del ataque. La compañía se encuentra en las etapas iniciales de su investigación.

Lo anterior se suma a la campaña de desprestigio que sufre la compañía desde que se descubrió su participación involuntaria en las elecciones presidenciales de EUA del 2016.

La historia aún se encuentra en desarrollo y te mantendremos informado.

leer más
Isaul CarballarAtaque cibernético a Facebook expone a 50 millones de usuarios