Cybersecurity News
Mostrando entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas
Mostrando entradas con la etiqueta vulnerabilidad. Mostrar todas las entradas

Predicciones sobre las principales amenazas de ciberseguridad para 2024



Y, como todos los años por esta época, es momento de analizar lo sucedido en materia de ciberseguridad durante 2023, ver tendencias, revisar el estado del arte de las tecnologías emergentes, estudiar datos, contrastar la información de analistas y empresas del sector y de hacer “cábalas” para tratar de averiguar cuáles serán las principales amenazas de seguridad con las que nos encontraremos en 2024.

Aunque aún no muchas organizaciones, empresas del sector y analistas han publicado sus predicciones para el año que viene, algunos de ellos ya lo están haciendo y, en breve, durante el mes de diciembre (máxime cuando nos estemos acercando al fin de año), veremos una avalancha de ellas.

Desgraciadamente, no tenemos la bola de cristal. Por ese motivo, éste es un artículo de opinión, no empírico ni científico, aunque sí basado en nuestra experiencia y en toda la información recabada y analizada de otras reconocidas fuentes como expertos, analistas y empresas del sector, con sus puntos en común, discrepancias y coincidencias.

A priori, las amenazas que los expertos apuntan se llevarán la palma en 2024, son los ataques a la Inteligencia Artificial (IA) y al Machine Learning (ML) o aprendizaje automatizado. En todas las previsiones consultadas hasta el momento, aparece en primer lugar, como la que más podrá ser explotada el año que viene.

Le siguen, a mucha distancia, pero en segunda posición, los ataques a la cadena de suministro y blockchain, de terceros (proveedores, socios, colaboradores, etc.). Este es un aspecto que se ha tratado mucho durante 2023 y en donde ha emergido una gran preocupación, tanto en materia de ciberseguridad como tal, como en los que a privacidad y cumplimiento normativo se refiere.

Finalmente, en tercera posición, aparece u bloque de amenazas 100% relacionadas con el factor humano, la debilidad humana y el ataque a las personas. Éstas son amenazas que pretenden lograr los objetivos manipulando las voluntades de las personas y lanzando ataques dirigidos contra ellas.

Entre ese tipo de ataques a las personas, el primordial a día de hoy y el que parece se mantendrá e incrementará en 2024 es el de los ataques de phishing (en cualquiera de sus variantes y sabores) y la ingeniería social.

Otro de ellos, aunque relacionado con lo anterior de un modo u otro, es el riesgo que supone la falta de concienciación, conocimiento, formación y habilidades de los empleados en materia de ciberseguridad.

En este sentido, se habla de los insiders que, con su comportamiento (intencionado o no), pueden dar al traste con el negocio en un solo clic, ya sea por falta de conocimiento, por despiste, por errores humanos, por configuraciones inadecuadas, por engaños en los que pican, o incluso realizando acciones de forma totalmente intencionada buscando objetivos concretos (económicos, políticos, sociales, de reconocimiento, descontento laboral, etc.).

Estos podrían ser los principales riesgos de ciberseguridad a los que nos enfrentaremos en 2024, pero podemos identificar muchos otros más. De nuestra experiencia y del análisis de quienes ya se han pronunciado al respecto, podríamos esbozar un primer ranking de amenazas de ciberseguridad que veremos en 2024:
  • Ataques a la Inteligencia Artificial (IA) y al aprendizaje automático (Machine Learning / ML). Es la principal amenaza que se prevé nos encontremos en 2024 y en la que coinciden la mayoría de los expertos y analistas. Esto quizá se derive de las últimas importantes evoluciones y novedades de la IA que parece estar despejando como tecnología emergente (quizá en su momento hype). En este sentido, del mismo modo que será una tecnología interesante y muy útil para la seguridad, prevención y protección, también se prevé que sea el foco de multitud de ataques o, más bien, que sea utilizada por los ciberdelincuentes en el sentido opuesto. Éstos podrán emplearla, entre muchas otras cosas, para la evasión inteligente de detecciones, para el descubrimiento y explotación automatizada de nuevas vulnerabilidades, para generación inmediata de fakes (fake news, deepfakes, falsificaciones de voz, contenidos), para la generación de código malicioso, etc. Por otro lado, la ética, las normas, la regulación y el control del uso de esta tecnología, aunque parece arrancar, aun tiene mucho camino que recorrer y esto puede ser algo que se aproveche inadecuadamente.
  • Ataques a la cadena de suministro / blockchain. Durante 2023 se ha hablado mucho de este asunto e incluso algunas actualizaciones de leyes, normativas y marcos de actuación, han puesto su vista en ello. Y es que tan importante es protegerse a sí mismo, como garantizar que quien nos presta infraestructura, software y/o servicios también sea seguro. Ya hemos visto en varias ocasiones casos en los que un ciberincidente que ha tenido lugar en una organización, ha sido debido no a ella sino a una empresa externa, tercera y ajena a la afectada, que le presta servicios informáticos (o de otro tipo). El software, servicios, sistemas e infraestructuras que estos proveedores, partners, socios o colaboradores comparten con la empresa víctima del incidente, pueden tener también sus propias vulnerabilidades y agujeros de seguridad que los cibercriminales aprovechan para conseguir accesos, entrar y atacar a la empresa cliente a quienes proveen no a ellos directamente.
  • Phishing e ingeniería social. Tal y como lo vemos y hemos experimentado hasta la fecha, la verdad es que no es de extrañar que se encuentre entre el TOP 3 de riesgos que más se estima sucederán en 2024. En muchas (la mayoría) de las ocasiones, los ciberdelincuentes lo tienen “muy fácil” apelando a las personas, a la debilidad humana, al factor humano. En este caso, a través de un de los tipos de ataques más prolíferos y efectivos a día de hoy, conseguir engañar a las personas para que hagan algo, a través de cualquier medio, canal, o mecanismos (correo electrónico, SMS, vídeos, llamadas telefónicas, banners publicitarios, URLs fraudulentas, páginas web falsas o ilícitas, etc.).
  • Factor humano, falta de concienciación, conocimiento y habilidades, e insiders. Aunque guarda una relación muy estrecha con el anterior (la ingeniería social, el phishing, etc.), va más allá. Mientras que en aquel caso se trata de engañar a las personas, aquí el matiz es diferente. Se trata de las personas en sí mismas y su condición. Esos ataques a las personas serán fructíferos, o no, y en mayor o menor medida, dependiendo del conocimiento, la aptitud y la actitud de cada persona en materia de ciberseguridad. El no estar concienciado, no estar formado y no tener habilidades para esquivar una amenaza, es muy peligroso. Asimismo, lo es el que dentro de la organización existan otras personas que funcionen descuidadamente, no tengan sentido de la importancia de aplicar correctamente los procedimientos existentes, o incluso tangan la capacidad de atacar intencionadamente desde dentro (insiders).
  • Ataques a la nube. Las empresas cada vez más cuentan con servicios en la nube, propia (nube privada) pero generalmente de terceros (nube pública). En ella, las organizaciones manejan, transaccionan y almacenan información y datos de carácter privado, sensible y/o confidencial. Un caramelo para los ciberdelincuentes que, por todos los medios a su alcance, tratarán de acceder a ellos, atacando por, cualquier medio, a la nube de la empresa o atacando a la/s nube/s de su/s proveedor/es, cadena de suministro, e infraestructuras de su/s proveedor/es.
  • Explotación de vulnerabilidades y ataques Zero Day. Otro clásico que seguiremos viendo durante mucho tiempo, puesto que nunca dejarán de existir errores, vulnerabilidades, bugs y agujeros de seguridad en el software que empleamos. Los ciberdelincuentes continuarán buscando estas brechas de seguridad y utilizándolas para lograr sus objetivos. Aquellas que, hasta el momento de su descubrimiento y explotación no hayan sido empleadas nunca, tendrán mayor impacto.
  • Ataques a dispositivos inteligentes (IoT) y dispositivos conectados. Los dispositivos inteligentes, que transaccionan y comparten multitud de información, que dan acceso, que realizan tareas, en definitiva, el IoT (Internet of Things, Internet de las Cosas), con millones de dispositivos conectados a Internet al mismo tiempo, hace de estos elementos objetivos muy suculentos. No todos ellos están convenientemente protegidos y pueden permitir no solo la exfiltración de información confidencial, sino también el acceso a otros sistemas corporativos y su control, la realización de ataques de denegación de servicio, etc., tanto en entornos corporativos, como industriales, como domésticos.
  • Ransomware. Aunque los cibersecuestros pueden llegar por muchos medios como algunos de los comentados anteriormente, en términos de malware e infecciones, el ransomware parece que continuará llevándose la palma entre todos ellos. Su especialización e incremento de complejidad tecnológica, ayudado de otros aspectos como la ingeniería social, la inteligencia artificial, los canales masivos de comunicación, etc., harán de esta amenaza una constante que podrá incluso llegar a impactar con más severidad.
  • Deepfake. Como decíamos, el engaño es una de las principales argucias para un buen ataque. La desinformación, la posverdad, las fake news, los deepfakes, etc., actuarán más efectivamente y cada vez en más contra ese factor humano y su sensibilidad. Si bien no son un malware, o un tipo de ataque tecnológico como tal, debido a los avances de la tecnología en materia de inteligencia artificial y calidad de herramientas multimedia, etc., la generación de imágenes y vídeos falsos que suplantan la identidad de personas y aparentan lo que no es, serán cada vez más convincentes y conseguirán manipular la opinión pública
  • Hacktivismo geopolítico y ciberespionaje. Nos encontramos inmersos en varios conflictos bélicos internacionales, como lo son la guerra de Ucrania y la de Israel con Hamas. En la mayoría de ocasiones, estos enfrentamientos tienen origen económico, religioso, geográfico, social, etc. Desde esa perspectiva y diferentes puntos de vista, se encauzan ataques de hacktivismo, unas veces originados por grupos sociales con fuerza y tendencias radicales, e incluso propiciados por estados, gobiernos y naciones, que seguiremos viendo en 2024 con el recrudecimiento de las actuales contiendas bélicas.
  • Autenticación, acceso, e identidad. Debido a muchas razones, el robo de credenciales, el compromiso de cuentas en sistemas corporativos o en servicios de uso común y popular en Internet, la suplantación de identidad, etc., son objetivos de mucho valor. Durante el año que viene, continuaremos viendo como los ciberdelincuentes tratan de hacerse con esta información para saltar las barreras del perímetro corporativo, acceder a donde no deberían y hacerse pasar por quienes no son para tener privilegios y roles que les permitan realizar determinadas acciones.
  • Malware. Aunque ya no es lo más habitual (si pensamos de forma independiente en el ransomware, sin considerar que, en cierta medida, se trata de un malware), seguirán existiendo infecciones, propagaciones y ataques de malware y spyware. Las amenazas de toda la vida, como los virus, los troyanos, gusanos, keyloggers, etc., seguirán estado ahí.
  • Desinformación. La información es poder y con su manipulación o la invención de bulos (hoax), infoxicación y noticias falsas (fake news), se puede lograr manipular y controlar la conciencia ciudadana. Por ese motivo la utilizan grupos políticos, medios de comunicación, grupos de poder, e incluso gobiernos. Tiene capacidad de llegada, es rápido, tiene impacto, es eficiente, por lo que, como hasta ahora desde el comienzo de la humanidad, continuaremos viendo cientos de miles de casos, aunque no se trate de ciberataques o ciberincidentes como tal.
  • Amenazas Persistentes Avanzadas (APT). Aun no siendo los más habituales, aquellos ataques que consiguen entrar en un sistema y permanecer en él “aletargados” durante mucho tiempo esperando el mejor momento para actuar, seguirán estando presentes. Éstos continuaran empleando una combinación de técnicas para asegurar su objetivo y proceder con toda su cadena de pasos: acceder, infiltrarse, establecerse, ocultarse, escalado de privilegios, movimientos laterales dentro de la organización, observación y actuación.
  • Botnets. Esta es una amenaza que ha perdido algo de protagonismo últimamente, en lo que a la realización de ataques DoS (Denegación de Servicio) y DDoS (Denegación distribuida de servicio) se refiere, pero que en el ámbito de la tecnología Blockchain, el ataque a los bloques de esa cadena, y el minado de criptomonedas, aún tiene relevancia como para apostar por una capturar dispositivos (zombies) y montar una red de bots controlada para actuar simultáneamente y al unísono bajo las órdenes de un ciberdelincuente.

Pues bien, éstas son algunas de las amenazas y riesgos de ciberseguridad con los que nos encontraremos en 2024, tal y como podemos extraer de nuestras propias experiencias, de las previsiones de fabricantes y empresas del sector, así como de analistas y otras fuentes consultadas, entre las que destacan las siguientes: Gartner, Forbes, World Economic Forum, Google Cloud, WatchGuard, Mandiant, Virus Total, Kaspersky, SonicWall, ESET, ESED, Proofpoint, Check Point, Stellar Cyber, Fortinet, KnowBe4, SAS, BeyondTrust, Segnesys, Lenovo, TATA, IBES, Delinea, TechRepublic, etc.

¿Estará tu empresa preparada para estas ciber-amenazas y ciber-riesgos en 2024?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.


Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.

Labels: , , , , , , , , , , , , ,

¿Cuáles son las principales amenazas, riesgos y retos de ciberseguridad a los que se enfrentan las empresas?



La exposición a ciber-amenazas y ciber-riesgos por parte de las empresas, sigue estando ahí y nunca va a dejar de existir, incrementando enormemente cada día, en cuanto a volumen de casos y en cuanto a disparidad de técnicas, objetivos y complejidad.

Por ese motivo es importante conocer cuáles son los ciberincidentes más habituales en las empresas actualmente, con el objetivo de poder establecer una lista de prioridades de prevención concretas y unas medidas a poner en marcha lo antes posible.

En términos generales, la ciberseguridad sigue siendo un desafío para empresas de todos los tamaños y sectores. Los ciberincidentes varían en naturaleza y pueden incluir desde ataques de phishing, hasta exfiltración de datos a gran escala.

Revisando sólo algunos de los principales informes de referencia del sector, podemos tener las primeras pinceladas de ese lienzo de ciberincidentes o ciberriesgos corporativos.

Más del 50% de empresas han sufrido al menos un ataque de ransomware, mientras los ataques de phishing son la principal preocupación de seguridad para el 57%, según el Informe de Amenazas de Seguridad de Cisco.

Los ataques de phishing y los errores de configuración provocados generalmente por las personas (las cuales suponen el 74% de los ciberincidentes), suponen ya más del 50% de las brechas de datos, según el Informe de Ciberseguridad y el DBIR (Data Breach Investigation Report), de Verizon.

Los problemas de ciberseguridad en las empresas, pueden atribuirse al factor humano, a las personas, en el 95% de los casos, según el informe Global Risk Report del World Economic Forum.

Durante el último año, los ciberataques a aplicaciones web se han incrementado en un 21%, mientras que los ciberataques de robo de credenciales lo han hecho en un 22%, según el Informe de Amenazas de Seguridad de Internet de Akamai.

Como muestra, un botón. Estos son sólo algunos ejemplos, pero hay muchos más, que evolucionan en el tiempo y, lamentablemente, no siempre para mejorar la estadística ni la situación.

Siendo este el escenario, actualmente, algunos de los ciberincidentes más habituales son los siguientes, o son debidos a las siguientes causas (las principales, ciñéndonos a los estudios, informes y análisis existentes):

  • Ataques de ingeniería social, ataques a las personas, al factor humano, o ataques de cualquier otro tipo, que comienzan con una acción de ingeniería social, los cuales, en la mayoría de los casos, llegan a través de phishing en cualquiera de sus variantes (smshing, vishing, qrshing, spear phishing, etc.) o de otros canales, medios, o tácticas empleadas por los ciberdelincuentes. Este tipo de ataques suelen dirigirse a empleados dentro de las empresas y, casi siempre, a empleados muy concretos (directivos, contables, personal de compras, VIPs -Very Important People- y/o VAPs -Very Attacked People-), quienes son engañados para revelar información privada y confidencial, o para descargar y ejecutar malware sin ser conscientes.
  • Los ataques de phishing en sí mismos, ya sean de suplantación de identidad (tipo BEC - Business Email Compromise) o no, en cualquiera de sus modos de entrega y “sabores” (por correo electrónico, por SMS, en una llamada de teléfono, por WhatsApp, al leer un QR, etc.).
  • Los dos anteriores (ingeniería social y phishing de todo tipo), entre otros tipos de ataques, producen a su vez exfiltración de datos, o violaciones de datos e información. Este es un gravísimo problema puesto que se exponen datos de clientes, información personal, o información legal, industrial o financiera de la empresa atacada.
  • Los cibersecuestros o ataques de ransomware, cuyo número de casos aumenta considerablemente a medida que pasa el tiempo, sofisticándose cada vez más, siendo más dañinos y dirigiéndose a empresas de todo tipo de sectores y tamaño (negocios, autónomos, micropymes, pymes, grandes empresas, multinacionales). Estos ataques cifran la información y documentos, bloqueando el acceso datos y sistemas, exigiendo un rescate para restaurar el acceso, descifrándolos.

Además, existen otros tipos de amenazas a las que también se ve expuestas las empresas, aunque no en tanta cuantía como las anteriores:

  • El malware en general (virus, troyanos, gusanos, botnets, spyware, etc.), que llega a la empresa (su perímetro, dispositivos internos y externos, red corporativa, nueva, infraestructuras, etc.) por diferentes canales (email, phishing, descargas, USBs, etc.) y realiza la actividad maligna, ilícita o dañina para la que está programado. En muchas ocasiones, existen variantes o muestras de malware aún desconocidas (de reciente creación) que pueden ser utilizadas para atacar e infectar. Este tipo de ataques se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.
  • La explotación de vulnerabilidades supone atacar por los puntos más débiles detectados en alguna de las aplicaciones o software de uso corporativo, así como su red, arquitectura hardware, infraestructura, cloud, sistemas informáticos de la organización, e incluso dispositivos (IT, OT, IT/OT e IoT). En muchas ocasiones, existen vulnerabilidades aún desconocidas que pueden ser explotadas por quienes las hayan detectado antes que nadie. Este tipo de ataques también se suele conocer como ataques Zero Day, 0-Day, o de Día Cero.
  • Los ataques de denegación de servicio (DoS / DDoS), realizados consiguiendo alinear, de forma simultánea, peticiones masivas desde multitud (miles, cientos de miles, millones) de puntos o dispositivos, a un único elemento común (servidor web, base de datos, sistema de acceso, formulario de introducción de datos, API, etc.), con lo que se consigue saturar, colapsar y dejar fuera de servicio a ese sistema, sin necesidad de infectarlo ni realizar ningún otro tipo de acción. Pueden ser de tipo DoS (ataque de Denegación de Servicios) o de tipo DDoS (ataque Distribuido de Denegación de Servicios) y, generalmente, son lanzados desde una BotNet (una red de ordenadores, conocidos como zombies, que previamente han sido “capturados” para tomar el control sobre ellos y poder solicitarles que realicen determinadas acciones, como conectarse todos al mismo tiempo y de forma recurrente a un servicio web para provocar un DoS, un DDoS, un minado de criptomonedas, etc.).
  • Los ataques a (o desde) el Internet de las Cosas (Internet of Things - IoT) e infraestructuras corporativas son también habituales, especialmente en empresas de entornos industriales. En este caso se aprovechan agujeros de seguridad y configuraciones incorrectas de dispositivos como cámaras, impresoras, PLCs, electrodomésticos inteligentes, etc.
  • La inyección de código, o inyección de código SQL, que consiste en atacar un servicio web (generalmente a través de un formulario con campos para la introducción de datos), introduciendo código SQL en los campos vulnerables en los que sea posible, para lograr acceder a las bases de datos y extraer su información.
  • Las APTs o Amenazas Avanzadas Persistentes, considerados unos de los ataques más evolucionados, que adoptan tecnologías, mecanismos y estrategias más sofisticadas, complejas y dirigidas. En este caso, consiste en casos de hacking que se realizan de forma continuada sobre una organización para conseguir entrar y permanecer en ella durante mucho tiempo, realizando su actividad dañina.

Por supuesto, existen muchos otros tipos de ciberamenazas, ciberriesgos y ciberataques a empresas, tales como:

  • Aquellos que atacan a sus infraestructuras cloud, internas o externas de un tercero y a las aplicaciones existentes en ellas. En este caso, por ejemplo, podríamos hablar de shadow IT o los riesgos de infraestructuras que no controla el departamento de IT de la organización (como lo son las infraestructuras en la nube contratadas a proveedores cloud).
  • Relacionado con el punto anterior, debido especialmente a la cada vez más grande dependencia de servicios de terceros, uno de los riesgos más comunes, que menos se tiene en cuenta pero que está cobrando especial relevancia y atención, es el de la cadena de suministro. Es decir, el de aquellos riesgos que, no siendo propios o inherentes a la empresa como tal, sí pueden afectar a ésta pues son riesgos de un tercero en el que tiene alojados sus servicios o con el que colabora para algo en concreto, incluso socios, partners, etc.
  • Insiders o amenazas internas que, como usuarios internos de los sistemas de la organización (ya sean empleados, proveedores, colaboradores o partners), de forma intencionada o no, pueden realizar acciones perjudiciales y dañinas a causa de su falta de conocimiento y formación, desidia, descuido, configuraciones incorrectas, cese de accesos, credenciales y permisos, uso y conexión de dispositivos externos a la red corporativa, etc.
  • Los ataques directos a sus activos de información, tales como bases de datos (o elementos contenedores de información) de clientes, proveedores, socios, usuarios, colaboradores, o la propia de la organización (propiedad intelectual, patentes, legal, societaria, financiera, etc.), con información privada y confidencial, que pueden producir, además de fugas de información, importantes problemas a la empresa en términos económicos, de cumplimiento normativo, legales, y de imagen, reputación, marca y continuidad de negocio.
  • El desarrollo no seguro de software y aplicaciones propias corporativas, que no cuentan con una filosofía de la ciberseguridad desde el diseño, incurriendo en bugs, brechas de seguridad y vulnerabilidades que pueden ser explotadas por terceros. Parta subsanarlo, se requiere un modelo de Ciclos de Desarrollo Seguro de Software (SSDLC).
  • La falta de adecuación técnica para el debido cumplimiento normativo (falta de compliance) es otro factor a tener muy en cuenta. En este caso, el no cumplir con determinados estándares y marcos de ciberseguridad y legalidad definidos, con determinadas normas, reglamentos y leyes, puede acarrear serios problemas. Ya no por no cumplir y las sanciones o multas que esto puede conllevar, sino también por los agujeros de seguridad y la falta de protección de calidad que supondrá el no cumplir con ellos.

Entre todo este maremágnum de riesgos, amenazas y las probabilidades de sufrir un ciberincidente, subyacen aspectos (motivos), no siempre tecnológicos, que, si no es que los provoquen directamente, quizá si sean factores determinantes en muchas ocasiones y caldo de cultivo para que se materialicen. Algunos de ellos podrían ser:

  • La falta de concienciación, formación y entrenamiento de los empleados.
  • La evolución continua de la tecnología y la digitalización que requieren una actualización constante y cuasi inmediata. Y, del mismo modo, la evolución (a la zaga) de las nuevas legislaciones, reglamentos y normativas que vienen a tratar de regularla y “poner cierto orden de conducta”, con una visión lo más holística posible, en multitud de países con características comunes o no.
  • La capacidad económica, financiera, de inversión y recursos dentro de la organización. Una organización puede tener cierto conocimiento y destreza para llevar a cabo su propia estrategia de ciberseguridad, pero no es lo habitual. Si éste no es su core business o su área de TI no cuenta con esas capacidades, recursos o tiempo, lo normal y aconsejable es recurrir a expertos externos y a la adquisición de software, aplicaciones, herramientas y servicios de ciberseguridad.

Estos quizá sean los retos principales que deben cumplir las empresas para poder comenzar a adaptarse, protegerse convenientemente, prevenir y cumplir.

En un mundo donde la tecnología es omnipresente, la ciberseguridad se vuelve fundamental para la sostenibilidad y el crecimiento de cualquier empresa. Los riesgos y desafíos en este ámbito evolucionan constantemente, exigiendo un compromiso continuo con estrategias de ciberseguridad sólidas y una mentalidad proactiva para enfrentar estas amenazas de manera efectiva y eficiente.

¿Está tu empresa preparada y libre de ciber-amenazas y ciber-riesgos?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.


Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.




Labels: , , , , , , , , , , , , , ,

El bastionado de equipos y redes, crucial en la ciberseguridad corporativa



La protección de los sistemas y datos existentes en las organizaciones debe de ser la prioridad número uno. Existen multitud de estrategias, modus operandi, mecanismos, servicios y herramientas para conseguirlo. Una de ellas es el bastionado de equipos, dispositivos y redes corporativas.

El bastionado consiste en una estrategia de ciberseguridad especialmente orientada a fortalecer la defensa de los sistemas informáticos/digitales de las empresas con el objetivo final de protegerlos contra riesgos y amenazas, ya sean estos internos y externos. De este modo se pueden prevenir gran cantidad de incidentes y ciberincidentes provocados por vulnerabilidades, brechas de seguridad, etc.

Las tareas de bastionado deben ser definidas e implementadas por profesionales expertos, que, de forma personalizada, aplicarán lo justo y necesario para cada estructura, arquitectura, dispositivos, red de cada empresa en concreto.

Entre las tareas que podrán realizarán estos técnicos, podemos identificar las siguientes:

  • Diseño y definición de maquetas seguras. Antes de implementar cualquier sistema o red, es fundamental diseñar una maqueta segura. Esto implica planificar la arquitectura de la red, identificar puntos de entrada posibles para intrusos y determinar cómo se deben configurar los dispositivos y sistemas para minimizar riesgos.
  • Configuraciones seguras. Los servicios de bastionado requieren configurar cada componente del sistema (de forma independiente, pero pensando en la totalidad) de manera segura. Esto significa que se deberá tener en cuenta la definición y revisión de políticas de contraseñas sólidas, la desactivación de los servicios que ya sean innecesarios, las actualizaciones periódicas de software, así como las configuraciones generales, las de los firewalls y demás componentes que controlen el tráfico en la red.
  • Selección de aplicaciones. Saber elegir aplicaciones más adecuadas para cada caso, es de vital importancia. Las empresas deben de emplear software confiable y aplicaciones confiables que, en la medida de lo posible, carezcan de bugs o vulnerabilidades. Además, los responsables de ellas en las empresas, deben mantenerlas continuamente actualizadas a la última versión.
  • Gestión de identidad y acceso. Existen diferentes mecanismos, el principio de menor privilegio, etc. Pero es necesario identificar, definir, gestionar y controlar quién tiene acceso a qué. Esta es una tarea esencial del bastionado. Para conseguirlo, se deben implementar sistemas de autenticación sólidos y asegurarse de que tanto empleados, como socios, proveedores y colaboradores solo tengan acceso a lo estrictamente necesario.
  • Supervisión y detección de amenazas. Por supuesto, el contar con una monitorización continua y servicios/sistemas de detección de amenazas, es crítico, pues permite a las empresas una respuesta rápida en te incidentes o situaciones indeseadas.

Pero, ¿Cómo se realiza la labor de bastionado dentro de una empresa?:

  1. Evaluación de riesgos. Antes de ponerse manos a la obra, es necesario realizar una evaluación de riesgos, con el objetivo de identificar las posibles amenazas y riesgos a los que está expuesta la empresa y sus entornos.
  2. Planificación de la estrategia. Una vez conocidos los potenciales riesgos y amenazas, con esta información de contexto se puede definir una estrategia de bastionado. En ella se deben determinar los alcances, objetivos específicos, políticas de seguridad y, en concreto, elaborar un detallado plan de implementación del bastionado.
  3. Implementación gradual. Comencemos con la ejecución. Ésta debe realizarse de forma concienzuda y progresiva, prestando especial atención y priorizando las actividades de los sistemas considerados más críticos. A posteriori, el bastionado deberá irse ocupando del resto de sistemas, dispositivos y redes.
  4. Mantenimiento continuo. Esta actividad no debería ser un hito que se realiza en una ocasión y se considera como finalizada. El bastionado requiere una revisión, gestión y mantenimiento constante que pasa por la ejecución repetitiva y periódica del plan, que incluirá la aplicación de parches de seguridad, actualización de políticas y revisiones periódicas de la estrategia, del plan ejecutado y del estado actual.
  5. Educación y concienciación. Por último, la concienciación, capacitación, formación y entrenamiento de la plantilla es clave, pues ésta será quien maneje las aplicaciones y sistemas corporativos. No se trata solo de que conozcan y manejen aspectos clave de ciberseguridad, sino que, además, deben estar informados y actualizados sobre las políticas establecidas y conocer perfectamente las recomendaciones y buenas prácticas a aplicar en todo momento.

Pero, las empresas no cuentan con un equipo experto dedicado a esta actividad, por lo que subcontratan este tipo de servicios especializados de ciberseguridad, ciberdefensa y ciberinteligencia, como los que ofrecemos en ZerolynxBastionado de Equipos y Redes.

¿Quieres que te ayudemos en el bastionado de los equipos y redes de tu empresa?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.

Labels: , , , , , , , , , , , , ,

¡La mejor defensa es un ataque! Ataca para evitar ser atacado


¿Cómo está de protegida tu empresa? ¿Es cibersegura? ¿Cuánto de cibersegura? ¿Qué debilidades tiene y qué medidas deberías implementar para que sea (más) cibersegura?... ¿Quieres saberlo? ¡Pruébate a ti mismo y averígualo!

Es normal tener todas estas dudas, e incluso hasta muy bueno si no se quedan en el tintero y, en su lugar, forman parte de un ciclo continuo de mejora (PDCA), de la evaluación periódica del nivel de riesgo y ciberseguridad de nuestra organización y del establecimiento de acciones para fortalecerla aún más.

Cada organización tendrá que evaluarse (internamente, o mejor por parte de profesionales expertos externos) para analizar cuáles son las amenazas y riesgos que les afectan, en que cuantía, cuál sería su impacto en caso de materializarse y cómo se pueden mitigar e incluso evitar.

Pero, la empresa tiene muchos frentes, tiene muchos flancos donde podrían encontrarse muchas debilidades, agujeros de seguridad, vulnerabilidades, etc., a través de los cuales se podría ver envuelta en un ciberincidente o ser víctima de un grave ciberataque.

¿Por dónde comenzar? En primer lugar, haz un ejercicio de Seguridad Ofensiva con el que poder ver la situación en la que se encuentra la organización en materia de protección y ciberseguridad.

¿Seguridad Ofensiva? Sí, básicamente, consiste en ponerse a prueba, en poner a prueba la seguridad de la organización, actuando como lo haría un ciberdelincuente o ciberatacante para encontrar posibles debilidades y vulnerabilidades que poder explotar para atacar.

Así, una vez identificadas, sí será posible establecer controles y poner medidas o remedios de mejora y protección para evitar disgustos. De otro modo… sin esa identificación previa… ya sabemos que… “es imposible mejorar y proteger aquello que se desconoce”.

Dentro de esta estrategia de “atacarnos a nosotros mismos para evidenciar, identificar, corregir, mejorar y proteger” (hacking ético, pentesting, test de penetración, o red team), existen muchas alternativas, objetivos y caminos que seguir, que dependerán mucho de nuestra organización, del tipo de empresa del que se trata, del sector de actividad, de los servicios y productos que proveemos, exponemos y comercializamos, de si vendemos online o no, etc.

Se puede analizar y simular ataques a la web, a la tienda online, a los servidores, a la red corporativa, a sus usuarios perfiles, roles y accesos, a las bases de datos, a los accesos a Internet, a los servicios o entorno en la nube con los que cuenta la empresa, así como el modo en el que se utilizan y gestionan, los dispositivos, sistemas operativos, software y aplicaciones instaladas, etc.

¡Anticípate! Simula un ataque y busca. Identifica vulnerabilidades corporativas, los agujeros de seguridad, revisa tu plan de continuidad de negocio, seguridad y resiliencia, el software y hardware con el que cuentas, así como el estado de actualización del mismo y si se han aplicado todos los parches necesarios, si tienes establecida una correcta configuración, etc.

¡Actúa! Con toda esta información recopilada, ya puedes tener una noción mucho mejor de cuál es el nivel de seguridad de la organización y también conocerás el detalle de posibles “huecos” o debilidades que podría aprovechar un ciberdelincuente para entrar y atacar. ES el momento de poner remedio para prevenir y protegernos proactivamente.

Quizá no te parezca ni sencillo ni trivial hacerlo por tu cuenta. Quizá en la organización no exista un departamento ni personal con conocimientos, formación y experiencia en la materia. Quizá no sea el core business de la empresa.

¡No te preocupes! Existen profesionales externos que puedes contratar para que te ayuden, como Zerolynx y su Servicio de Seguridad Ofensiva:

· Nos convertimos en tu Red Team. Realizamos simulacros, pactados previamente contigo, de ataques a tu organización en diversos puntos, con el objetivo de encontrar debilidades en todo aquello que sea susceptible de mejora en términos de ciberseguridad y protección.

· Descubrimos y te trasladaremos cómo se encuentran y se comportan tus infraestructuras, tus sistemas, tu frontend, tu backend, tus políticas, planes, procesos y tus recursos frente a nuestros ataques, sin que esto afecte negativamente de ningún modo, ni a la continuidad del negocio.

· Te proponemos las acciones de mejora más apropiadas y personalizadas a llevar a cabo para solucionar esas fallas detectadas, fortaleciendo así la seguridad de la empresa y siendo capaces de defenderos de forma más eficiente contra los ciberdelincuentes, sus tácticas, tecnologías que emplean y agujeros que aprovechan.

¿Cómo lo hacemos?:

  • Analizamos tus necesidades y requisitos.
  • En base a ellas, definimos y planificamos el ejercicio de hacking ético a realizar, su alcance, cómo se va a realizar, sobre qué elementos, etc.
  • Lanzamos el pentesting tal y como se haya estipulado en el punto anterior.
  • Al finalizar, tendremos una foto precisa del estado de la seguridad de la empresa. En ese momento, preparamos un informe de todo lo que se haya encontrado y de todo lo sucedido durante el ataque, que estará acompañado además de unas recomendaciones de mejora y resolución, así como de un guion técnico de acciones concretas a realizar.

Este tipo de ejercicios de seguridad ofensiva puede ser todo lo detallado y en profundidad que se requiera, del mismo modo que se puede focalizar en aspectos concretos, sin tener que abordarlo en una única ocasión ni de forma completa revisando y atacando todos los posibles “flancos”:
  • Pentest externo: el ataque, análisis y la evaluación de riesgos se focaliza en la superficie expuesta a Internet.
  • Pentest interno: el ataque se basa en la red interna, como si un atacante hubiese accedido a ella, o como si lo hubiese hecho un insider (personal de la plantilla de la empresa) desde dentro.
  • Análisis de entornos cloud: si la empresa cuenta con entornos y servicios en la nube, lanzamos ataques sobre ellos para averiguar su grado de madurez al respecto.
  • Red team: averiguaremos cuánto de capacitados estáis para detectar repeler y responder ataques, de la mejor forma posible.

¿Quieres que evaluemos tu seguridad? Puedes ampliar detalles sobre nuestros servicios de Seguridad Ofensiva visitando la página de Zerolynx.

Si lo prefieres, contáctanos y hablamos.



Labels: , , , , , , , , , , , , ,

Publicada la vulnerabilidad de Parallels descubierta por Zerolynx

Desde Zerolynx queremos dar las gracias por el reconocimiento de nuestro trabajo y dedicación. Hoy ha sido publicada en INCIBE una vulnerabilidad de Parallels identificada y reportada por nuestros compañeros de Seguridad Ofensiva.



La vulnerabilidad, de tipo "gestión inadecuada de credenciales" con CVE-2020-8968, en el producto Parallels Remote Application Server (Client) de Parallels, aún no ha sido corregida en la última actualización del fabricante.
 
¡Desde aquí queremos darles la enhorabuena a nuestros compañeros! 

Para más información y remediaciones, os dejamos el reporte oficial de Incibe.
Labels: , , , ,

Publicadas las vulnerabilidades de TCMAN descubiertas por Zerolynx

En Zerolynx estamos muy agradecidos por el reconocimiento de nuestro trabajo y dedicación. Hoy han sido publicadas en INCIBE dos vulnerabilidades de TCMAN identificadas y reportadas por nuestros compañeros de Seguridad Ofensiva. 
 


Las vulnerabilidades de tipo "SQL Injection" y "Lack of authorization" con CVE-2021-40850 y CVE-2021-40851 respectivamente, en el producto GIM de TCMAN, ya han sido corregidas en la última actualización del fabricante.
 
¡Desde aquí queremos darles la enhorabuena a nuestros compañeros! 

Para más información y remediaciones, os dejamos los reportes oficiales de Incibe.

Labels: , , , ,

Publicada vulnerabidad en Schneider EcoStruxure Building Operation WebStation (CVE-2020-28210) descubierta por #Zerolynx


En Zerolynx estamos muy agradecidos por el reconocimiento de nuestro trabajo y dedicación. Esta vez desde Schneider Electric, donde nuestros compañeros de Seguridad Ofensiva identificaron y reportaron a través de Incibe una vulnerabilidad de tipo Cross-site Scripting con CVE-2020-28210 en el producto EcoStruxure Building Operation WebStation, entre las versiones 2.0 y 3.1. ¡Desde aquí queremos darles la enhorabuena!

Para más información y remediaciones, os dejamos los reportes oficiales de Incibe y Schneider Electric.





Labels: , , ,
Suscribirse a: Comentarios (Atom)