Cinco minutos con Raúl Guillen

Entrevista al Strategic Alliance & Partnerships Manager.

  1. Dada tu reciente incorporación, ¿por qué un cambio? y ¿por qué Trend Micro?

Buscaba salir de mi zona de confort para seguir desarrollándome profesional y personalmente, crecer, evolucionar, ir mas allá. Sentía que estaba con el piloto automático y eso no encaja en mi ADN. Soy una persona que disfruta en el trabajo, pero necesitaba nuevos retos, eso es lo que buscaba.

¿Porque TM?, el año pasado tuve la suerte de poder asistir al evento anual de partners y clientes de Trend Micro en San Antonio (Texas) y fue allí donde descubrí la verdadera dimensión y magnitud de esta compañía. Mi objetivo era desarrollar mi carrera profesional en una empresa de referencia y líder a nivel mundial, además de poder aportar un granito de arena para construir un mundo más seguro, sinceramente ahora después de un mes en Trend Micro no se me ocurre ningún lugar mejor.

 

  1. ¿Cuáles han sido tus primeras impresiones? ¿Qué es lo que más te ha llamado la atención de Trend Micro?

Ya conocía a gran parte del equipo de Trend Micro Iberia, pero no era consciente del EQUIPO con mayúsculas que tenemos. Es cierto que de puertas para fuera la imagen del equipo de España y Portugal es magnífica pero ahora dentro se han superado todas mis expectativas, el compañerismo, las ganas de ayudar y la colaboración marcan el ritmo de nuestro día a día, es algo que siendo un básico en cualquier compañía me ha sorprendido gratamente.

He tenido la oportunidad de asistir a mi primer SKO, nuestro evento anual de ventas en Vancouver. Ha sido una semana excelente para empaparme de la cultura y valores de Trend Micro. Personalmente me ha llamado mucho la atención la cercanía y ganas de ayudar de todos los Trenders, empezando por nuestra CEO (Eva Chen) y pasando por todos los VPs, managers y compañeros.

Luego algo que me ha marcado especialmente es el objetivo común de ayudar a la sociedad que tenemos como compañía e individuos, tuvimos la ocasión de compartir una jornada de trabajo y ayuda a la comunidad y todo el mundo arrimo el hombro con la mejor de las sonrisas, poder ayudar a mejorar las instalaciones de dos escuelas primarias ha sido muy gratificante.

Luego la multiculturalidad de nuestra empresa nos hace grandes, imagina más de 6.000 personas de todos los continentes en mas 50 países…

 

  1. ¿Qué crees que te puede aportar Trend Micro?

Visión 360 del negocio IT, he trabajado en cliente final y en system integrators, pero no tengo experiencia en fabricante. Como te decía antes busco nuevos retos y llevar mi carrera profesional a otros niveles, trabajar en una multinacional como Trend Micro creo que me va a aportar una nueva perspectiva. Además de tener información de primera mano de la seguridad en el intercambio de información digital.

 

  1. ¿Qué crees que puedes aportar tú a Trend Micro?

Creo que puedo aportar experiencia, entusiasmo, optimismo y energía. Además de una visión global de las necesidades de nuestros integradores y socios. Llevo más de 20 años trabajando en el sector IT, con especial foco en seguridad. Estos años me han ayudado a construir una amplia red de contactos y desarrollar una estrecha relación con gran parte de los actores del canal, ahora creo que puedo aportar esta experiencia y contactos para mejorar nuestra red de partners en Trend Micro.

 

  1. ¿Cuáles son los objetivos como directo de canal en Trend Micro a corto plazo? ¿y a largo?

Creo que mi trabajo va a ser muy divertido dado que mis objetivos a corto y medio plazo son los mismos que los de Trend Micro. Estos no son otros que desarrollar un ecosistema de socios y partners robusto y autónomo, con los que conseguir resultados extraordinarios. Todo ello pasa por construir en primer lugar relaciones de máxima confianza y compromiso mutuo, por supuesto basadas en el respeto y la colaboración, además queremos conseguir que nuestros partners tengan las capacidades técnicas, consultivas y comerciales para ser autónomos, por lo que otro objetivo a corto plazo debe ser la formación y capacitación de nuestro ecosistema de partners.

Todo ello nos permitirá conseguir excelentes resultados, queremos que nuestros partners desarrollen y generen negocio con Trend Micro ayudando a nuestros clientes a vivir más seguros. Si lo conseguimos, que estoy seguro de ello, nuestros partners crecerán y conseguirán también sus objetivos.

A largo plazo mantener estas relaciones de máxima confianza y compromiso, siempre en continua evolución y al servicio de nuestros partners y clientes.

Además estamos ante una oportunidad única para crecer con Trend Micro, te doy un dato: nuestra posición como fabricante a nivel global está entre los tres primeros players de ciberseguridad pero en Iberia somos actualmente el octavo fabricante, estoy convencido que con la inversión que estamos realizando nuestra posición y la de nuestros partners mejorara sustancialmente y se situara en el mismo lugar que tenemos en el resto del mundo, claramente esta es una oportunidad para el equipo de Iberia y nuestra red de socios.

 

  1. ¿Cuál es la solución tecnológica que más te gusta?

Soy un enamorado de nuestro conjunto de soluciones de seguridad para el datacenter y arquitectura Cloud. Dichas soluciones permiten securizar tanto entornos on premise tradicionales como off premise (cloud hibrida y cloud pública).

Además, creo que es el momento perfecto para que nuestros partners puedan construir servicios y ayudar a nuestros clientes aportando seguridad en el viaje a la nube, según Gartner en 2018 gran parte de los proyectos de IT estarán de una forma u otra relacionados con dicha transformación tecnológica.

Ligado a las soluciones SaaS (software as a service) nuestra solución de protección de información en la nube es la mejor del mercado permitiendo aportar una capa de seguridad adicional a servicios como Office 365, Box, Dropbox, GoogleDrive… así como un gran número de servicios de terceros, sin ninguna duda un complemento perfecto para proyectos de cumplimiento GDPR.

 

Preguntas cortas :

  1. Una frase: Life isn’t about waiting for the storm to pass it’s about learning to dance in the rain.La vida no va de esperar a que pase la tormenta, va de aprender a bailar bajo la lluvia.
  2. Lugar del mundo: El mundo, me encanta viajar… no me hagas elegir.
  3. Comida favorita: Toda, soy un foodie de libro… no en serio me encanta la comida y me encanta cocinar.
  4. Ciudad para vivir: Madrid, sin ninguna duda.
  5. Una tecnología: Internet, creo que hace el mundo más fácil
  6. Hobbie: La música sin duda, nuestra vida sin banda sonora sería muy aburrida. Me gusta mucho ir a conciertos y si son salas pequeñas mejor.
  7. Fuente de información: Mi móvil, lo utilizo para consultar la prensa tanto general como especializada, leer artículos de tecnología, LinkedIn, mail, etc…
  8. Una bebida: Cerveza.
  9. Un momento del día: Más que un momento del día, te diría un momento de la semana, cualquier sábado que pueda compartir con mi familia.
  10. Un coche: El Delorean de regreso al futuro…

 

Asegurar el futuro de nuestro coche conectado con Panasonic

Existen pocas fronteras más emocionantes dentro del Internet de las Cosas (IoT) que los coches conectados. Gartner prevé que en 2020 habrá 61 millones de vehículos nuevos con conectividad incorporada. Pero a medida que nos acercamos más al futuro, y el momento en que los coches autónomos serán vistos como algo habitual, tenemos que estar más atentos a las implicaciones que las ciberamenazas suponen en este ámbito. Los ataques del mundo real y las pruebas de los investigadores ya han demostrado la posibilidad de que se produzcan daños graves.

Es por eso que Trend Micro ha anunciado una asociación con Panasonic que aprovechará la experiencia de ambas compañías para desarrollar una solución de ciberseguridad líder para los coches conectados.

Una superficie de ataque creciente

Los coches incorporan cada vez mayor potencia de computación y conectividad, algo lógico a medida que crece nuestro apetito por la funcionalidad digital a bordo. Según McKinsey, los coches conectados a día de hoy pueden tener hasta 100 unidades de control electrónico (ECU), que son los ordenadores de a bordo en el vehículo que controlan un variado número de funciones, desde la dirección, el motor y los frenos hasta lo relacionado con la información y el entretenimiento. Con esta cantidad de cientos de millones de líneas de código, la complejidad es tal que existe la posibilidad de que se dejan huecos que los hackers puedan explotar. Las amenazas aquí no solo giran en torno al robo de datos, como ocurre con muchos ciberataques, sino que también afectan a la seguridad física.

Estas amenazas ya no son teóricas. En 2015, los investigadores lograron hackear de forma remota un Jeep Cherokee a kilómetros de distancia, tomando el control del volante, frenos y motor, mientras conducía por una autopista. Lo consiguieron explotando una vulnerabilidad de conectividad en el sistema de infoentretenimiento Uconnect del vehículo, antes de pivotar y reescribir el firmware que les permitió emitir los nuevos comandos. El escándalo provocó que el fabricante retirara los vehículos afectados.

Esta investigación ha sido seguida por muchos otros esfuerzos similares, poniendo de manifiesto lo amplia que es la superficie de ataque de los coches conectados modernos.

Una nueva alianza

Por este motivo Trend Micro se ha asociado a Panasonic en una nueva alianza que permitirá a las dos compañías desarrollar conjuntamente una solución de ciberseguridad para coches conectados. La idea es aprovechar al máximo las habilidades y capacidades únicas de una de las partes para desarrollar un producto que pueda detectar y prevenir de manera efectiva las intrusiones en los ECU, en los dispositivos de infoentretenimiento (IVI) como los sistemas de navegación y en los dispositivos telemáticos.

Con este objetivo, aprovechará la tecnología de prevención y detección de intrusiones Control Area Network (CAN) de Panasonic para detectar y bloquear cualquier comando no autorizado enviado a los ECU que controlan las operaciones clave. Por su parte, Trend Micro contribuirá con su experiencia en seguridad en IoT, análisis de malware e inteligencia de seguridad global para proteger los dispositivos IVI de los exploits. Los datos de ambos sistemas serán enviados a una plataforma cloud para su análisis, y el tráfico sospechoso será bloqueado.

La combinación de la experiencia en IoT y en prevención de amenazas de Trend Micro y el conocimiento de Panasonic sobre la seguridad en el vehículo y sus acuerdos con los fabricantes de automóviles, nos ofrecerán la oportunidad de marcar una diferencia real para la seguridad de los coches conectados. A medida que los ciberdelincuentes continúan buscando nuevas oportunidades de generar ingresos, estas son buenas noticias tanto para los fabricantes de coches como para los conductores.

Trend Micro ha elegido a Panasonic por su conocimiento de la seguridad en el vehículo y su asociación con los fabricantes de automóviles.

Panasonic ha seleccionado a Trend Micro por la tecnología de seguridad para IoT de la compañía diseñada en base a su experiencia en seguridad para los PC desde hace ya muchos años, y por su reputación en la industria de la seguridad.

La tecnología de Panasonic podrá detectar cualquier comando no autorizado enviado a un ECU que controle la experiencia de conducción, mientras que Trend Micro IoT Security, que utiliza la inteligencia y experiencia de seguridad global de Trend Micro como el análisis de malware, será implementado en los dispositivos de infoentretenimiento (IVI) de a bordo del vehículo, como los sistemas de navegación automotriz, para detectar ataques que busquen explotar las vulnerabilidades a través de Internet.

La tecnología de monitorización de IP en el vehículo de Trend Micro se basa en la inteligencia de seguridad del PC acumulada durante muchos años. Además, la tecnología de monitorización CAN en el vehículo de Panasonic tiene tecnologías únicas de detección y prevención establecidas a través de pseudo-ataques contra varios vehículos. Podemos diferenciarnos al combinar ambas tecnologías.

TRITON empuña su tridente – Nueva manipulación de malware con sistemas de seguridad industrial

TRITON o TRISIS (detectado por Trend Micro como TROJ_TRISIS.A) es un malware recientemente descubierto que ha sido diseñado para manipular sistemas de seguridad industrial y, más concretamente, estuvo involucrado en el cierre de las operaciones de una planta industrial (según se ha comunicado en un país de Oriente Próximo). Según los informes, la víctima en cuestión no sufrió daños ya que el sistema de la planta se cerró de manera segura. Sin embargo, la tecnología específica seleccionada se utiliza ampliamente en diversas industrias, especialmente en el sector de la energía, lo que deja a otras organizaciones vulnerables. Además, el cierre del sistema podría haberse desencadenado inadvertidamente como resultado de una actividad de exploración por parte de los atacantes, quienes intentaba aprender cómo funcionaba el sistema para su uso futuro.

El ataque TRISIS supone el primer informe de atacantes que apuntan directamente a un sistema instrumentado de seguridad (https://www.automationworld.com/cyber-attack-hits-safety-system-critical-infrastructure). Como era de esperar, las comparaciones con Stuxnet dominan la cobertura sobre TRITON. Pero, ¿qué es lo realmente novedoso aquí? A continuación, el equipo de investigación de Trend Micro, presenta bajo el formato Preguntas Frecuentes lo que se sabe actualmente sobre el malware TRITON, qué lo hace tan novedoso y lo que esto podría significar para la seguridad de los Sistemas de Control Industrial (ICS) en general.

Detección
Dos compañías ha publicado informes que cubren este malware. Una empresa de seguridad descubrió malware ICS a medida en estado puro, desplegado contra al menos una víctima en Oriente Próximo, a mediados de noviembre de 2017. El malware fue descrito en un informe posterior y denominado TRISIS porque se dirige a Triconex, el sistema de seguridad instrumentado (SIS) de Schneider Electric. Casi al mismo tiempo, se publicó otro informe de un proveedor de seguridad en el que se abordaba un incidente en una planta industrial que apuntaba a la misma familia de malware. Llamaron al malware “TRITON”, también en referencia al sistema Triconex para el que fue específicamente adaptado.

¿Qué es SIS, el tipo de sistema para el que TRITON/TRISIS está diseñado   sistemáticamente?
Muchos de los ataques más conocidos y de alto perfil relacionados con ICS de los últimos años han estado relacionados con sistemas de control de procesos como el Control de Supervisión y Adquisición de Datos (SCADA), lo que hace que los ataques SCADA sean relativamente omnipresentes. El malware TRITON, sin embargo, se dirige por primera vez a los controladores de seguridad, es decir, a los llamados sistemas instrumentados de seguridad (SIS).

Los sistemas instrumentados de seguridad se utilizan para controlar el estado de los valores y parámetros de los procesos de una planta dentro de los límites operacionales. En condiciones de riesgo, están programados para activar alarmas y restablecer la planta a un estado seguro o apagarla de manera segura si los parámetros indican una situación potencialmente peligrosa. Estos controladores de seguridad han sido tradicionalmente sistemas separados y se supone que funcionan independientemente de otros equipos en una instalación con el único propósito de monitorizar la seguridad. Lo que sabemos sobre el escenario en cuestión es que el controlador Triconex SIS tenía su interruptor de llave en “modo programa” durante el momento del ataque, y el SIS estaba conectado a la red de operaciones contra el estándar de buenas prácticas.

Si se observa el SIS en general y la información disponible públicamente, parece que quien planificó el ataque debería haber tenido acceso a un prototipo y estudiado el SIS específico muy de cerca para construir un exploit a medida específicamente para el tipo de SIS utilizado por la víctima objetivo, en este caso, Triconex SIS de Schneider Electric.

¿Cómo funciona TRITON y qué puede hacer?
TRITON/TRISIS es un fragmento de malware altamente dirigido. No es un ataque escalable, ya que debe modificarse para cada organización objetivo, dado que cada SIS es exclusivo de la organización y la industria en la que se utiliza. Las variantes detectadas actualmente están diseñadas específicamente para manipular los productos Triconex.

Según los informes, el atacante primero obtuvo acceso remoto al SIS y luego implementó TRITON en una estación de trabajo basada en Windows con el objetivo de reprogramar los controladores SIS. La herramienta de ingeniería y mantenimiento utilizada por los productos Triconex SIS es TriStation. El protocolo TriStation es propiedad y no es de acceso público. TRITON/TRISIS aprovecha este protocolo, lo que sugiere que el atacante realizó una ingeniería inversa al desarrollar el malware.

Una vez que el controlador SIS se ha visto comprometido, el atacante puede reprogramar el dispositivo para desencadenar deliberadamente un estado seguro, lo que se traduce en tiempo de inactividad no deseado y pérdidas financieras. Lo contrario también sería posible, permitiendo un escenario en el cual los atacantes podrían reconfigurar el SIS para permitir parámetros peligrosos sin entrar en el estado seguro predeterminado. Esto podría tener un impacto físico nefasto en la producción, en la planta en sí y, por supuesto, en la seguridad humana, de acuerdo con las firmas de seguridad que lo investigan.

¿Quién está afectado?
Los informes actuales indican que este malware ha afectado a organizaciones en Oriente Próximo. El mismo tipo de controladores de seguridad se utilizan ampliamente en infraestructuras críticas, a menudo en instalaciones de energía (petróleo y gas), y también a veces en instalaciones de energía nuclear o plantas de fabricación. Lo que podemos suponer es que este ataque sugiere que el agente de amenaza parece tener interés en causar un ataque de alto impacto con daño físico, descartando a los grupos de ciberdelincuencia comunes y corrientes

¿Qué significa esto para la seguridad de ICS?
El malware TRITON/TRISIS es ampliamente visto como un evento relativamente significativo en la comunidad ICS, mientras que otros cuestionan si eso no exagera la realidad dado que los hechos en este momento son dispersos y el análisis final aún no se ha hecho público. Debido a su potencial capacidad para causar un impacto físico, se considera el quinto malware específico adaptado para ICS y el primero en apuntar al SIS en particular, introduciendo así un nuevo componente en la superficie de amenazas de ICS. Se dice que TRITON/TRISIS es el siguiente en una línea de ataques de malware de alto perfil dirigidos a ICS con objetivos muy sofisticados. La cobertura sobre TRITON se ha comparado con otras familias de malware relacionadas con ICS, como Stuxnet, así como con Industroyer o BlackEnergy, que afectaron a empresas de distribución de electricidad principalmente en Ucrania.

Dirigirse a la infraestructura crítica para interrumpir, alterar o destruir sistemas no es nueva, sino más bien consistente con numerosas actividades de ataque y reconocimiento llevadas a cabo por varios actores de amenazas a nivel global. TRITON es constante con estos ataques en los que podría evitar que los mecanismos de seguridad ejecuten su función prevista, derivando en una consecuencia física. Ahora, los sistemas modernos de control y automatización de procesos industriales dependen de una variedad de sofisticados sistemas de control y funciones de seguridad, por lo que el daño mecánico posible a través del controlador está limitado por cualquier sistema de seguridad mecánico desplegado dentro del ICS, también conocido como Tecnología Operacional. Por tanto, comprometer los controladores de seguridad no significa necesariamente que se vea comprometida la seguridad del sistema. Sin embargo, TRISIS debe verse como una ampliación de la segmentación de activos de ICS, otra vía para que los ciberdelincuentes potencialmente causen un daño significativo en un entorno de ICS. Definitivamente, aquí parece que la novedad radica en el enfoque en los sistemas de seguridad, y aunque todavía no se ha visto el daño real, el atacante ha diseñado un plan para ir tras los sistemas de seguridad.

Defensa y mitigación
La mitigación en caso de tal compromiso es importante. En el transcurso de un riesgo, es fácil encontrar fallos en un componente. Pero desde un punto de vista realista, una organización, además de cubrir los aspectos básicos, también debería realizar un estudio adecuado de su propio entorno OT específico. Esto no quiere decir que no sea fundamental contar con las mejores prácticas en las instalaciones, especialmente tener un firewall y un sistema de  segregación, que se supone que son una parte integral del diseño como se ve en el ejemplo del SIS. Los diseños integrados pueden ser tentadores por el coste que reducen y las oportunidades que ofrecen, pero los casos de estudio como TRISIS destacan reiteradamente el alto riesgo de ataque cibernético engendrado.

Trend Micro ha recompilado un listado de las estrategias defensivas básicas más importantes para ICS aquí.

Para obtener más información acerca de los sistemas ICS y cómo se configuran normalmente,  consulte las guías para los componentes ICS y para proteger los entornos ICS

Actualización sobre Pawn Storm: nuevos objetivos y campañas motivadas por la política

Introducción
En la segunda mitad de 2017, Pawn Storm, un grupo agentes de espionaje extremadamente activo, no se abstuvo de continuar con sus descarados ataques que, por lo general, no se tratan de incidentes aislados. A menudo, podemos relacionarlos con ataques anteriores al observar cuidadosamente tanto los indicadores técnicos como los motivos. Desde 2015, se han sucedido una serie de ataques de Pawn Storm contra organizaciones políticas en Alemania, Ucrania, Montenegro, Turquía, EE. UU. y Francia. En la segunda mitad de 2017, se han vuelto a ver ataques contra organizaciones políticas. Estos ataques no muestran mucha innovación técnica en el tiempo, pero están bien preparados, son persistentes, descarados y, a menudo, es difícil defenderse contra ellos. Pawn Storm cuenta con un gran arsenal de herramientas y lleno de trucos de ingeniería social, malware y exploits, y por tanto, no necesita mucha innovación; además de, ocasionalmente, usar sus propios días cero y abusar rápidamente de las vulnerabilidades del software inmediatamente después de que se lanza un parche de seguridad.

En verano y otoño de 2017, Trend Micro observó que varias organizaciones fueron atacadas por Pawn Storm con ataques de phishing de credenciales y spear phishing. El modus operandi de Pawn Storm es bastante constante a lo largo de los años, siendo algunos de sus trucos técnicos utilizados una y otra vez. Por ejemplo, el uso del tab nabbing, técnica de phishing que se utilizó contra los usuarios de Yahoo en agosto y septiembre de 2017 en emails sobre temática política en EE.UU. En 2015, Trend Micro ya advirtió contra este método en el que se cambia una pestaña del navegador para que apunte a un sitio de phishing después de desviar la atención del objetivo. A menudo, podemos relacionar estrechamente las campañas actuales y anteriores de Pawn Storm con datos que abarcan más de 4 años. Posiblemente esto se deba a que los agentes del grupo siguen un guion cuando preparan un ataque contra sus objetivos. Esto tiene sentido ya que el volumen total de sus ataques requiere una cuidada administración, planificación y organización para tener éxito. A continuación, se muestran dos correos electrónicos de phishing de credenciales típicos que se dirigieron a organizaciones específicas en octubre y noviembre de 2017. Se supone que uno de los correos electrónicos es un mensaje del servidor de Microsoft Exchange del destinatario sobre una contraseña caducada. El otro dice que hay un nuevo archivo en el sistema OneDrive de la compañía.

Figura 1: Uno de los tipos de correo electrónico de phishing de credenciales enviado por Pawn Storm en octubre y noviembre de 2017

 

Figura 2: Segundo tipo de correo electrónico de phishing de credenciales enviado por Pawn Storm en noviembre de 2017. Se ha eliminado el logotipo de la organización de destino de la captura de pantalla y cambiado el color para no revelar la fuente.

Si bien estos emails no parecen ser de naturaleza avanzada, el equipo de Trend Micro ha visto que la pérdida de credenciales suele ser el punto de partida de ataques adicionales, incluido el robo de datos confidenciales de las bandejas de entrada del correo electrónico. Trend Micro ha trabajado con uno de los objetivos, una ONG en los Países Bajos, que sufrió dos ataques a finales de octubre y principios de noviembre de 2017. Se pudo evitar con éxito que ambos ataques causaran algún daño. En un caso, la compañía pudo advertir al objetivo en las 2 horas posteriores a la instalación de un sitio dedicado de suplantación de identidad de credenciales. En un ataque anterior avisamos a la organización 24 horas antes de que se enviaran los correos electrónicos de phishing.

Federaciones Olímpicas de Deportes de Invierno
El fabricante de seguridad también ha visto varias Federaciones Olímpicas Internacionales de Deportes de Invierno, como la Federación Europea de Hockey sobre Hielo, la Federación Internacional de Esquí, la Unión Internacional de Biatlón, la Federación Internacional de Bobsleigh y Skeleton y la Federación Internacional de Luge, entre los objetivos del grupo en la segunda mitad de 2017. Esto es digno de mención debido a la correlación temporal entre varios jugadores olímpicos rusos que fueron suspendidos de por vida en otoño de 2017. En 2016, Pawn Storm tuvo cierto éxito al comprometer a la WADA (Agencia Mundial Antidopaje) y al TAS-CAS (el Tribunal de Arbitraje del Deporte). En ese momento, Pawn Storm buscaba un contacto activo con los principales medios de comunicación, ya sea directamente o por medio de representantes, y tuvo influencia en lo que algunos medios publicaron en documentos robados de ambas organizaciones.

Objetivos políticos
En la semana de las elecciones presidenciales de 2017 en Irán, Pawn Storm creó un sitio de phishing dirigido a los usuarios de chmail.ir webmail. Trned Micro pudo recopilar pruebas de que los correos electrónicos de phishing de credenciales se enviaron a los usuarios de chmail.ir el 18 de mayo de 2017, solo un día antes de las elecciones presidenciales en Irán. Anteriormente, el equipo de investigación de la compañía informó de una actividad similar focalizada contra organizaciones políticas en Francia, Alemania, Montenegro, Turquía, Ucrania y Estados Unidos.

A partir de junio de 2017 se crearon sitios de phishing que imitaban los ADFS (Active Directory Federation Services) del Senado de EE.UU. Al observar las huellas digitales de estos sitios de phishing y compararlos con un gran conjunto de datos que abarca casi 5 años, se pueden relacionar de manera única con un par de incidentes de Pawn Storm en 2016 y 2017. El verdadero servidor ADFS del Senado de EE. UU. no está accesible en la Internet abierta; sin embargo, el phishing de las credenciales de los usuarios en un servidor ADFS que está detrás de un firewall sigue teniendo sentido. En caso de que un agente ya tenga un punto de apoyo en una organización después de comprometer una cuenta de usuario, el phishing de credenciales podría ayudarle a acercarse mucho más a los usuarios de interés de alto perfil.

El futuro de las campañas motivadas políticamente
Es muy probable que en un futuro cercano las campañas de descrédito de influencia política no desaparezcan. Las organizaciones políticas deben poder comunicarse abiertamente con sus votantes, la prensa y el público general. Esto los hace vulnerables al hackeo y al spear phishing. Además de eso, la opinión pública puede ser alcanzada con relativa facilidad a través de las redes sociales. Las redes sociales continúan formando una parte sustancial de la experiencia online de los usuarios y las plataformas también permiten a los anunciantes llegar a los consumidores con sus mensajes. Esto hace que los algoritmos de las redes sociales sean susceptibles de abuso por parte de diversos actores con malas intenciones. La publicación de datos robados, junto con la difusión de noticias falsas y rumores en las redes sociales, brinda a los interesados malintencionados herramientas poderosas. Si bien una campaña de influencia exitosa puede parecer relativamente simple, necesita mucha planificación, persistencia y recursos para tener éxito. Algunas de las herramientas básicas como difundir noticias falsas en las redes sociales ya se ofrecen como un servicio en el mercado negro.

Tal y como Trend Micro menciona en su documento sobre el resumen general de Pawn Storm, otros actores podrían iniciar sus propias campañas con el fin de influir en la política y en los temas de interés nacional e internacional. Agentes de países en desarrollo aprenderán y probablemente adaptarán métodos similares rápidamente en un futuro próximo. En 2016 Trend Micro publicó un informe sobre C Major, un grupo de espionaje que se centra principalmente en atacar al ejército indio. Al profundizar en el blanco al que se estaba dirigiendo C Major, se encontró que este grupo de agentes no solo ataca al ejército indio, sino que también tiene redes de bots dedicadas para objetivos comprometidos en universidades iraníes, objetivos en Afganistán y objetivos en Pakistán. Recientemente hemos sido testigos de que C Major también tiene interés en comprometer objetivos militares y diplomáticos en Occidente. Solo es cuestión de tiempo que los agentes como C Major se interesen en influir en la opinión pública en el extranjero también.

Con las Olimpiadas y varias importantes citas electorales a nivel mundial en 2018, podemos estar seguros de que las actividades de Pawn Storm continuarán. Trend Micro seguirá supervisando sus actividades específicas, así como actividades de grupos similares, ya que la ciberpropaganda y la extorsión digital seguirán en uso.

Indicadores de Compromiso (IoC):
• adfs[.]senate[.]group
• adfs-senate[.]email
• adfs-senate[.]services
• adfs.senate[.]qov[.]info
• chmail.ir[.]udelivered[.]tk
• webmail-ibsf[.]org
• fil-luge[.]com
• biathlovvorld[.]com
• mail-ibu[.]eu
• fisski[.]ca
• iihf[.]eu

Autor: Feike Hacquebord, investigador senior de amenazas de Trend Micro

Resumen de seguridad de Trend Micro: Cinco cosas aprendidas en 2017 


Los incidentes geopolíticos, las amenazas de malware global y omnipresentes brechas de datos en las que se han visto involucrados grandes nombres han sido temas muy presentes en nuestro día a día en los últimos 12 meses. Desde las filtraciones de CIA Vault7 y NSA Shadow Brokers, a las campañas de ransomware WannaCry y NotPetya, o a las impactantes revelaciones de Uber del mes pasado, los CISO españoles han tenido mucho material sobre el que reflexionar. Ahora que estamos estrenando 2018, el equipo de Trend Micro considera que puede ser útil recapitular algunos de los acontecimientos más importantes que han tenido lugar en 2017, con la vista puesta en fortalecer los sistemas para los próximos 12 meses.
A continuación, se incluye el top cinco de sucesos para Trend Micro, sin seguir ningún orden en particular.

1.El ransomware evoluciona

Desde hace varios años, el ransomware ha causado importantes dolores de cabeza a las organizaciones. Pero en 2017 ha sido cuando hemos visto la amenaza utilizada de una manera sin precedentes para causar el caos a una escala global. Los ataques WannaCry y Petya/NotPetya de mayo y junio pueden haber presentado objetivos, grupos de ataque y tácticas ligeramente diferentes, pero pusieron de relieve cómo el ransomware podría emplearse en combinación con los exploits desarrollados por los Estados para extenderse de forma sorprendente a través de las redes. Bad Rabbit nos mostró otra variante sobre este tema, diseñada para infectar a las víctimas a gran escala usando ataques watering hole.

Estos incidentes nos han enseñado la importancia de aplicar parches para reparar las vulnerabilidades conocidas tan pronto como se disponga de una solución, y advirtieron lo que puede suceder cuando los gobiernos buscan socavar la seguridad de cientos de millones de usuarios investigando exploits en los programas de software más populares.

2. BEC está costando miles de millones a las empresas

Actualmente, de todos los riesgos relacionados con el mundo “ciber” a los que enfrentan las organizaciones en la actualidad, el Compromiso del Email Empresarial (BEC) parece ser uno de los más fáciles de reducir. Sin embargo, según el FBI, las pérdidas registradas en el período que va desde octubre de 2013 a diciembre de 2016 superaron los 5.300 millones de dólares. Trend Micro prevé que esta cantidad aumentará hasta los 9.000 millones de dólares el próximo año a medida que las organizaciones continúen mostrando cuán expuestos están su personal y sus procesos a la ingeniería social.

Puede que no haya malware que detectar en la mayoría de las estafas BEC, pero con una plantilla mejor formada y concienciada, y algo tan simple como garantizar que dos miembros senior del departamento financiero autoricen y firmen las grandes transferencias de fondos, las organizaciones pueden aislarse mejor.

3.Empresas de gran renombre siguen cometiendo errores de novatos, todavía

¿Cuándo van a aprender? En los últimos 12 meses se ha visto otro listado de organizaciones que “deberían haber conocido mejor” que sufren daños por brechas datos e incidentes de privacidad. Yahoo (3.000 millones), Uber (57 millones) y Equifax (145,5 millones) son algunas de las que nos vienen a la mente como los ejemplos más clamorosos de empresas que tenían los recursos, pero no la cultura corporativa correcta o la estrategia para mantener a raya a los hackers. Muchas organizaciones más se vieron en aprietos después de encontrar información sensible de clientes o de su propiedad expuesta en Internet de forma pública a través de configuraciones erróneas de la base de datos cloud, a menudo en manos de un tercer partner. Las semejanzas de Verizon, Accenture, WWE e incluso del Departamento de Defensa de EE.UU. fueron insuficientes. En un caso, una firma de análisis de datos del partido Republicano filtró la información de identificación personal (PII) de 198 millones de votantes estadounidenses que datan de hace una década.

Si no ocurre otra cosa, estos incidentes nos dicen una vez más que las empresas aún no tienen los conceptos básicos en materia de ciberseguridad, y están fallando a la hora de extender las políticas a los partners y proveedores.

4.El cumplimiento de GDPR aún no está funcionando

A medida que avanza el año, el reloj también lo ha hecho y no se parará hasta el 25 de mayo de 2018, fecha en que finalmente entrará en vigor el Reglamento General de Protección de Datos (GDPR) de la UE. Es difícil recordar una ley nueva con implicaciones de ciberseguridad y privacidad de tan gran alcance para las empresas. Sin embargo, la falta generalizada de conocimiento y la aceptación de cúpula directiva siguen siendo preocupantes, a pesar de las altísimas multas que están a la vista por incumplimiento. Gartner estima que menos de la mitad de todas las empresas cumplirá totalmente antes de la fecha límite.

Una reciente investigación de Trend Micro de este año reveló una inquietante falta de interés por parte de ejecutivos de nivel-C: los altos ejecutivos eluden la responsabilidad en el 57% de las empresas. Las compañías necesitan entender y conocer mejor qué datos tienen, crear un plan de notificación de brechas e invertir en tecnologías más avanzadas para mantener a raya las amenazas.

5.Del IoT al cloud, las vulnerabilidades seguirán siendo el talón de Aquiles

Ya lo hemos dicho, pero merece la pena mencionarlo de nuevo, las vulnerabilidades son una de las mayores amenazas a la seguridad a las que se enfrentan las empresas. No importa si se encuentran en el firmware del dispositivo IoT, las aplicaciones web, en el software de las instalaciones físicas o en su infraestructura cloud; si hay un agujero explotable en su entorno informático, éste podría ser el objetivo. Hemos visto organizaciones tan diversas como el NHS y Equifax severamente afectadas por sus fallos a la hora de parchear bugs conocidos con rapidez. En el caso del Servicio de Salud, WannaCry provocó interrupciones que forzaron la cancelación de aproximadamente 19.000 operaciones y citas.
De Devil’s Ivy a KRACK, cada mes están saliendo a la luz nuevas vulnerabilidades y métodos de ataque, algunos con enormes implicaciones para la seguridad de los sistemas que muchas organizaciones ejecutan. Los CISO deben asegurarse de contar con un enfoque integral y automatizado para la administración de parches y la agilidad para responder de manera rápida y efectiva a cualquier amenaza descubierta recientemente.

 

Para más información sobre las predicciones para 2018 de Trend Micro, consulte el informe: Cambios de paradigma.