Actualizaciones en ciberseguridad
Información sobre los riesgos en el acceso a la información, medidas a adoptar y hábitos a conseguir.
En AERTEC somos conscientes de que la ciberseguridad es cosa de todos. Apenas sirve para nada poner todos los medios tecnológicos a nuestro alcance si después no desarrollamos en paralelo los hábitos de uso adecuados.
En esta página vamos a ir actualizando informaciones que aparecen sobre nuevas amenazas, los medios que se pueden utilizar para combatirlas y os vamos a proponer hábitos frente al ordenador para minimizar los riesgos. ¿Empezamos?
Actualización 24/febrero/2022
Ataques de ramsonware
Agencias gubernamentales de Estados Unidos (FBI, CISA y NSA), Australia (ACSC) y Reino Unido (NCSC) han emitido una alerta conjunta para advertir sobre el aumento de ataques de ransomware observado durante los últimos meses, en los que se observan las siguientes tendencias:
✓ Vectores empleados con más frecuencia: phishing, credenciales comprometidas, ataques de fuerza bruta y explotación de vulnerabilidades.
✓ Las organizaciones criminales intercambian y venden información entre ellas (víctimas, vulnerabilidades, técnicas de ataque, etc.) y se asocian para repartir los beneficios. Profesionalización y especialización de las organizaciones en actividades específicas dentro de la cadena de ataque.
✓ Implantación definitiva del ya conocido mercado de “services-for-hire”.
✓ Selección de objetivos con más impacto: servicios en la nube, proveedor de servicios gestionados, procesos industriales o a la cadena de suministro.
✓ Los ataques se realizan durante periodos festivos o de fin de semana para aprovechar la capacidad de respuesta limitada de la víctima.
Recomendaciones para mitigar los riesgos:
- PHISHING -> vigilancia de los correos electrónicos y mensajes de chat tanto en PC como en móvil.
- CREDENCIALES COMPROMETIDAS -> Utilizar herramientas de doble factor de autenticación siempre que sea posible. Si no es posible, utilizar contraseñas únicas en cada servicio y de complejidad suficiente (más de 16 caracteres y que no sea fácilmente deducible). Utilizar un gestor de contraseñas tipo Keepass.
- ATAQUES DE FUERZA BRUTA -> en las cuentas de O365 se producen diariamente. Utilizar las mismas precauciones que en el caso de las credenciales comprometidas.
- EXPLOTACIÓN DE VULNERABILIDADES -> Aplicar frecuentemente las actualizaciones y parches: sistema operativo, paquete ofimático, navegadores, etc.
Recomendaciones para evitar pérdidas de información:
- Hacer una copia de la información importante en la carpeta personal de red
- El correo electrónico no es un gestor documental. Eliminar la información importante o que no se usa, que puede ser robada en cualquier momento sólo con robar la contraseña.
Actualización 20/octubre/2021
Filtraciones de datos
Hay datos que pueden extraerse de los perfiles públicos de Linkedin, Twitter, Facebook y otras redes sociales de forma automática, y tratados y cruzados con otras redes sociales.
En realidad no se trata de una fuga o robo de datos, aunque sí ha sido monetizada por cibercriminales poniéndola a la venta en foros de hacking, ya que estos datos se pueden utilizar para obtener un perfilado más completo de las posibles víctimas y llevar a cabo campañas de phishing/vishing posteriores con una alta tasa de éxito.
Los datos que se suelen extraer de los perfiles públicos son: Correo electrónico, empleados de la empresa, localización geográfica, cualificación, empleos actual y anteriores, nombre, números de teléfono, otros perfiles conectados, etc.
¿Cómo saber si tu cuenta y tu perfil están comprometidos?
Haveibeenpwned.com es un sitio web que puso en marcha Troy Hunt, especialista en ciberseguridad, que permite consultar si una dirección de correo aparece en alguna filtración de datos o brecha de seguridad.
Recomendaciones de seguridad a seguir pos parte de cada usuario:
Verificar si nuestro correo electrónico, que usamos para una determinada red social, aparece en alguna fuga de datos de Haveibeenpwned.com
Si es así, seguir las siguientes directrices:
- No utilizar la cuenta corporativa para la suscripción a servicios personales.
- Tener en cuenta que Linkedin también es una red social de tipo personal; por tanto, se debe cambiar la cuenta de correo de Linkedin por una cuenta de correo personal.
- Cambiar la contraseña.
- Disponer de contraseñas distintas para cada servicio para evitar que la fuga o compromiso de un servicio afecte a los demás.
- También se recomienda poner una contraseña compleja, de más de 15 caracteres alfanuméricos.
- Habilitar la autenticación por doble factor en cada servicio, siempre que sea posible.
- Limitar al máximo nuestra información personal expuesta en internet.
- Configurar las opciones de privacidad para que la cuenta de correo y otros datos no sean visibles públicamente en nuestro perfil.
Con estas medidas no conseguiremos ser infalibles al 100%, pero se lo pondremos un poco más difícil a quienes quieran utilizar nuestros datos de forma fraudulenta.
Actualización 1/septiembre/2021
Campañas de desinformación
Todos nosotros utilizamos Internet como fuente de información, pero no somos conscientes de que algunas de las noticias que nos llegan no solo no son ciertas, sino que han sido deliberadamente manipuladas. Si esta información la utilizamos, además, como fuente para nuestra actividad profesional, entonces podría ser origen de un problema importante de reputación para la organización.
Lejos de tratarse de bromas de mal gusto, o mentiras aisladas, en muchas ocasiones las noticias falsas forman parte de complejas campañas de desinformación destinadas a influir en algunos colectivos. Se trata de un tipo de ciberataque pensado para debilitar a personas, empresas, organizaciones e incluso a países.
En el caso de las empresas, los responsables de los ataques pueden ser otras compañías o grupos de interés interesados en desprestigiar a la marca ante su eventual competencia por un mercado concreto o ante el desarrollo de un producto o servicio que le dará ventaja competitiva.
En el caso de los países, los responsables de los ataques suelen ser gobiernos o grupos subnacionales, que los utilizan como otra arma más para lograr sus objetivos geoestratégicos. Algunos países han reconocido que han llevando a cabo este tipo de acciones en el pasado. De hecho, se sabe que las realizan actualmente y seguirán haciéndolo en el futuro.
Plantéate a ti mismo un ejercicio: ante la actual coyuntura que está atravesando Afganistán, ¿podrías diferenciar sin dudarlo cuáles de las informaciones que recibes diariamente son fiables, dudosas o falsas?
Ante esta realidad, el Centro Criptológico Nacional (CCN) ha elaborado una guía dirigida a todos los ciudadanos que utilicen medios de comunicación digital, donde nos explica la metodología y consecuencias de las campañas de desinformación, sus elementos clave, y nos ofrece un decálogo de recomendaciones para evitar ser manipulados.
Podéis acceder a la siguiente información de interés:
- Decálogo de seguridad frente a las campañas de desinformación, publicado por el CCN-CERT (clic aquí)
- Guía sobre Buenas prácticas en el ámbito de la desinformación (PDF, 5,4 MB) (clic aquí)
Y, por supuesto, podéis consultar directamente vuestras dudas a nuestro departamento de ciberseguridad.
Actualización 12/junio/2021
Ataques a contraseñas
En un encuentro reciente del CCN, se advirtió que se ha detectado un aumento de los ataques a contraseñas en internet, principalmente a cuentas de Office365, Google. Esto es así por el éxito que los grupos de ciberdelincuentes han tenido recientemente al realizar ataques de este tipo a empresas críticas, como
Las principales tácticas que utilizan los atacantes son:
- Ataque por fuerza bruta, utilizando las filtraciones de contraseñas más recientes de otras empresas
- Tickets de autenticación (OAuth) o cookies, que permiten el acceso a las cuentas sin necesidad de utilizar la contraseña. Esto último es lo que le ha pasado a Electronic Arts, que ha sufrido un ataque recientemente con cookies robadas y adquiridas por sólo 10$.
Lo que buscan los atacantes principalmente es tener acceso al cloud del objetivo y permanecer un tiempo ahí para obtener información sensible: otras cuentas personales, contactos frecuentes, contraseñas, documentos e información sensible, etc.
Toda la información que se obtenga es analizada por los atacantes…
- para encontrar nuevas vías de ataque por medio de ingeniería social.
- para probar el acceso remoto a los servicios propios de la empresa (VPN, aplicaciones web) o de terceros con los que la víctima tenga relación.
La fase final de estos ataques, en la mayoría de los casos, consiste en el despliegue de ransomware (secuestro de datos) en la red de la empresa.
Por tanto, las recomendaciones que debemos seguir todos los usuarios son:
- utilizar contraseñas fuertes
- no reutilizar contraseñas
- cambiar las contraseñas periódicamente sin añadir un número al final o sin utilizar un patrón fácilmente identificable. Para esto, lo recomendable es utilizar un gestor de contraseñas
- limitar el número de dispositivos desde los que se accede a las cuentas
- procurar no utilizar dispositivos personales en los que se navega a internet de forma personal
- utilizar doble factor de autenticación siempre que sea posible
Si alguien tiene alguna duda o consulta, la puede tramitar a través de Soporte IT.
Actualización 22/abril/2021
Fugas de datos
Recientemente se han notificado incidentes relacionados con los datos, que han ocurrido en algunas grandes compañías, como son los casos de Facebook, Linkedin y The Phone House.
En los datos a los que se ha accedido figura información como nombre completo, fechas de nacimiento, DNI, cuenta bancaria, nº teléfono móvil, correo electrónico, domicilio o empresa en la que se trabaja. Todos estos datos son más que suficientes para realizar otros ataques de phishing o recopilar más datos con técnicas de ingeniería social, para acceder a datos más sensibles.
Las recomendaciones son las de siempre:
- Se puede revisar si nuestros datos de correo electrónico o teléfono están en alguna filtración en la web en la página Have I Been Pwned: Check if your email has been compromised in a data breach. Otra página para comprobar si nuestro email se ha filtrado es Firefox Monitor
- No utilizar la cuenta de trabajo en servicios externos siempre que no sea imprescindible, para evitar exponerla a ataques tras una filtración.
- Reforzar la seguridad de la contraseña de la cuenta de correo que se haya utilizado para estos servicios.
- Cambiar también la contraseña de la cuenta en estos servicios.
- Al cambiar, no repetir contraseñas en distintos servicios para evitar que una filtración en uno de ellos afecte a los demás.
- Habilitar el doble factor de autenticación en todos los servicios externos que lo permitan.
- No dar permisos excesivos a estos servicios. Por ejemplo, no dar permisos a la cuenta de Facebook para autenticarnos en otros servicios, ya que esto permitiría el acceso a un atacante a más servicios personales distintos de Facebook.
- Finalmente, hemos de ser conscientes de que es posible que se utilicen los datos filtrados para:
- Buscar nuestra actividad en internet y acceder a más información personal.
- Buscar relaciones personales o profesionales con otras personas.
- Utilizar todos estos datos para poder enviar phishing más creíble y dirigido, no sólo a través del correo sino también a través de llamadas o sms.