Gartner define el mercado de infraestructura de borde de red de área amplia (WAN) como Productos de borde WAN que brindan conectividad de red desde ubicaciones empresariales distribuidas para acceder a recursos en centros de datos públicos y privados, así como infraestructura como servicio (IaaS) y software como servicio (SaaS).
Las amenazas a las que están expuestas las organizaciones hoy en día están en constante evolución, por lo que las soluciones actuales antimalware basadas en firmas comienzan a ser insuficientes, ya que al existir una nueva variante los hashes de identificación del Malware han cambiado, y si no se tiene la firma lista, la protección no es del todo confiable. Bajo estas circunstancias, es indispensable contar con soluciones de ciberseguridad que permitan tener más y mejores mecanismos de protección e identificación de Malware.
Los ciberataques dentro de las empresas se encuentran a la orden del día, vigilando cada movimiento y encontrando los puntos vulnerables en seguridad para lanzar una serie de ataques que provocan grandes daños en la infraestructura TI e incluso en el robo de datos e información confidencial.
Esta vez un nuevo malware ha realizado su gran hazaña, atacando cajeros automáticos dentro del país con el objetivo de dispersar el dinero y probablemente vaciarlos.
La investigación a cargo de la empresa en ciberseguridad Kaspersky detectó la nueva amenaza de malware, la cual ha sido identificada en Colombia y México.
ATMJaDi, como fue nombrado el virus, comienza sus ataques bajo un conjunto especifico de ATMs, posiblemente creados por los propios empleados bancarios que se encargaron de estudiar a detalle la infraestructura informática del banco antes de programarlo.
Se plantea que el desarrollo de tan potente virus haya sido desarrollado por insiders con acceso al código fuente del banco en particular y a la red donde están conectados todos los cajeros automáticos.
A través de un análisis exhaustivo se manifestó que el programa malicioso no puede ser controlado por medio de teclado o pantalla táctil, pero si es capaz de enviar comandos específicos para realizar la dispersión de dinero de los cajeros.
De acuerdo al trabajo de investigación se indica que el malware está escrito en lenguaje Java, totalmente diferente al sistema estándar que se utiliza en los cajeros automáticos (XFS, JXFS o CSC).
Para lograr que la infección lleve a cabo su objetivo el malware en forma de archivo Java es instalado con el nombre INJX_PURE.jar, posteriormente se encarga de buscar y controlar el proceso del ATM, infestándolo de comandos legítimos.
Una vez completada la infección la pantalla muestra la frase “libertad y gloria” en ruso, portugués, español y chino. Muy probablemente este tipo de palabras y frases fueron elegidas para generar confusión y el desvió de atención hacía el origen real de salida del malware.
Dmitry Bestuzhev, director del equipo de investigación y análisis para América Latina en Kaspersky, señala que el mensaje en español y portugués es una alerta para los bancos de la región.
Una prueba más de las vulnerabilidades en ciberseguridad a las que se encuentran expuestas miles de empresas, todos los días.
Las amenazas y peligros hacia la seguridad de la información de las empresas crecen cada día más, es por eso por lo que, en los últimos años, se ha desarrollado en las empresas un nuevo puesto encargado de alinear las políticas e iniciativas de ciberseguridad con los objetivos de negocio de las organizaciones: El CISO (Chief Information Security Officer) o director de seguridad de la información, cuya tarea es garantizar que los bienes, la tecnología y la información estén 100 % protegidos.
Las responsabilidades del CISO van desde garantizar la seguridad de la información de las empresas hasta la identificación, desarrollo, implementación y mantenimiento de los procesos relacionados con la seguridad, con los cuales reducir los riesgos operativos de la organización.
La tarea del director de seguridad de la información no es sencilla, pues además de proteger la seguridad de la empresa, debe hacerse cargo de alinear sus estrategias a los objetivos y tácticas de crecimiento que las organizaciones tienen. Para lograrlo, un buen CISO debe combinar en su perfil conocimientos técnicos y de negocios, además, deben actualizar constantemente sus conocimientos para ser capaces dar una respuesta ágilmente a cualquier incidente afecte a la empresa.
Para dejar más claro los conocimientos que un CISO debe poseer, les compartimos el comentario del analista de ciberseguridad de Techco Security, Ignacio Rocamora:
"Debe tener como libros de referencia la ISO 270001, el estándar internacional para la seguridad de la información, y la Ley Orgánica de Protección de Datos (LOPD). Pero, además, y más importante, debe estar preparado para el nuevo Reglamento General de Protección de Datos (GDPR)”
¿Qué hace el CISO en una empresa?
Gestión, manejo y la vigilancia del control de acceso a la información de la compañía.
Fijar y controlar el presupuesto del departamento.
Generar y poner en marcha políticas de seguridad de la información, y supervisar su cumplimiento.
Garantizar la seguridad y privacidad de los datos.
Supervisar la administración del control de acceso a la información.
Dirigir al o los equipos de respuesta ante incidentes en la organización.
Supervisar la arquitectura de seguridad de la información de la empresa.
Supervisar la administración de identidades y acceso.
Llevar a cabo el descubrimiento electrónico y las investigaciones forenses digitales.
Establecer los planes de recuperación de desastres y continuidad del negocio.
Para terminar, queremos recalcar la importancia del CISO para proteger y asegurar la continuidad de las organizaciones ante cualquier ataque.
Un ataque informático se puede describir como una actividad hostil contra un sistema, un instrumento, una aplicación o un elemento que tenga un componente informático.
Un ataque informático tiene un objetivo, ¿Pero cómo llegan al objetivo? Creando estrategias casi invisibles para cualquier empresa o usuario, los atacantes son conscientes de ello, por lo que era de esperarse que desarrollaran una metodología con una serie de fases o pasos a seguir para que el ataque sea exitoso.
A continuación te presentamos las 5 fases o etapas de un ataque informático: ¡TOMA NOTA!
1. Reconocimiento:
Como su nombre lo indica, esta fase consiste en la recopilación de información del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de direccionamiento de red que manejan, Hostname, servidores y otros servicios disponibles (Impresoras, conmutadores, etc.)
2. Escaneo e investigación:
Una vez teniendo claro el objetivo, el atacante procede a escanear y a examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo, los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de los equipos.
3. Acceso:
Aquí es donde empieza la magia, porque el atacante empieza a explotar cada vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking), ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo.
{{cta('84f90223-9086-4b97-9ee6-243b7971c809')}}
4. Manteniendo el acceso:
La prioridad en esta etapa es la de mantener abierta la puerta para poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones que mantiene hacia el servidor maestro.
5. No dejar rastro:
En esta última fase, el atacante buscará el borrar toda la evidencia que pueda ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado.
La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento.
Como podemos ver, es de vital importancia conocer este tipo de fases de ataque, ya que con esto podemos darnos una idea del tipo de soluciones que debemos implementar como parte de nuestra estrategia de ciberseguridad, buscando siempre tener esa visibilidad de lo que acontece en nuestra red interna y en las comunicaciones que se hacen hacia el exterior.
Una reciente investigación de Kaspersky ha arrojado cifras alarmantes.
Durante los últimos meses del año 2017 se registraron hasta la fecha677 millones de amenazas cibernéticas en América Latina.
México se encuentra dentro de los más atacados, posicionándose en el segundo puesto, México recibe ataques al estar conectado a Internet y al estar fuera de conexión.
Aquí es donde se encuentra la contradicción con el reciente informe de la Unión Internacional de Telecomunicaciones (UIT) en donde público en julio de este mismo año que México era el país con el mejor uso de herramientas de ciberseguridad, un poco contradictorio ¿no creen?
Quizás lo que no se ha considerado son los ataques llamados “offline” los cuales se realizan en su mayoría al usar software pirata o bien por el simple uso de USB o DVD o cualquier otro disco infectado. Sin duda las Empresas Mexicanas debemos reforzar este tema y motivarlos a crear conciencia con directores, encargados y gerentes acerca de la importancia de proteger la información y comenzar a creer que las amenazas cibernéticas son un tema real.