Archivo de la etiqueta: cybersecurity

Zero Day Initiative: trabajando duro para asegurar el mundo conectado

Zero Day Initiative (ZDI) de Trend Micro lleva 15 años promoviendo la divulgación coordinada de  vulnerabilidades a través de lo que ahora es el mayor programa de recompensas de errores del proveedor independiente más grande del mundo. Gran parte de este trabajo se realiza entre bastidores, con poca promoción. Sin embargo, es un trabajo vital para ayudar a asegurar el mundo conectado, al tiempo que se proporciona una protección temprana a los clientes de Trend Micro/TippingPoint.

Un ejemplo de ello fue el parche silencioso de Microsoft de dos errores descubiertos por ZDI esta semana.

Entre bastidores

Descubierto por Abdul-Aziz Hariri de ZDI, las dos vulnerabilidades existen en la forma en que la Biblioteca de Codecs de Microsoft Windows maneja los objetos en la memoria. Si se explota, CVE-2020-1425 permitiría a un atacante obtener información para comprometer aún más un sistema, mientras que CVE-2020-1457 podría permitir que un atacante ejecute código arbitrario.

Es raro que los parches sean desplegados silenciosamente por Microsoft de esta manera a sus clientes, pero eso no debe restarle mérito al duro trabajo de los investigadores de ZDI aquí. De hecho, ZDI fue el proveedor externo número uno de vulnerabilidades de Microsoft el año pasado, representando el 38% de los fallos de Microsoft descubiertos públicamente.

¿Por qué ZDI?

¿Por qué es importante? Porque sin programas como ZDI, que abogan por una divulgación responsable, el comercio de vulnerabilidades en el mercado gris y negro proliferaría, resultando en productos menos seguros y clientes más expuestos.

Los exploits de vulnerabilidad son un prerrequisito vital de muchos ciberataques hoy en día. Al impulsar la comunidad de investigación e incentivar la divulgación responsable, ZDI puede ayudar a hacer del mundo digital un lugar más seguro. No solo eso, sino que también podemos proporcionar una protección temprana para los clientes de Trend Micro y TippingPoint. En este caso, nuestros clientes estuvieron seguros durante más de tres meses, antes de que se emitieran los parches del  proveedor.

Trend Micro descubre que el 64% de los trabajadores remotos en España ha ganado concienciación sobre la ciberseguridad durante el confinamiento

El porcentaje aumenta hasta el 72% de los trabajadores remotos a nivel global, según el estudio Heads in the Clouds, realizado por Trend Micro

La encuesta revela que los usuarios se toman en serio la formación en seguridad, pero aun así pueden tener un comportamiento arriesgado

Trend Micro ha publicado hoy los resultados de una encuesta global que muestra cómo los trabajadores remotos abordan la ciberseguridad. Casi tres cuartas partes (72%) (64% en España) de los trabajadores remotos dice que son más conscientes de las políticas de ciberseguridad de su organización desde que comenzó el confinamiento, pero muchos reconocen que están rompiendo las reglas de todos modos debido al conocimiento limitado o a las restricciones de recursos.  

El estudio «Head in the Clouds« de Trend Micro se basa en entrevistas con 13.200 trabajadores remotos de 27 países, incluido España, sobre sus actitudes hacia la ciberseguridad corporativa y las políticas de TI. La investigación revela que nunca antes ha habido un mejor momento para que las organizaciones aprovechen la mayor concienciación de los empleados en materia de ciberseguridad. La encuesta pone de manifiesto que el enfoque que las empresas adoptan en materia de capacitación y formación es fundamental para garantizar que se sigan prácticas seguras.

Los resultados indican un alto nivel de concienciación sobre la seguridad, con un 85% (89% en España) de los encuestados que afirma que se toma en serio las instrucciones de su equipo TI, y un 81% está de acuerdo en que la ciberseguridad dentro de su organización es en parte su responsabilidad, porcentaje que en España llega al 87%. Además, el 64% (66% en España) reconoce que el uso de aplicaciones que no son de trabajo en un dispositivo corporativo es un riesgo de seguridad.

Sin embargo, el hecho de que la mayoría de las personas entienda los riesgos no significa que se sigan a las reglas.

Por ejemplo:

  • El 56% (50% en España) de los empleados admite haber utilizado una aplicación que no es de trabajo en un dispositivo corporativo, y el 66% (26% en España) de ellos ha cargado datos corporativos en esa aplicación.
  • El 80% (85% en España) de los encuestados confiesa que usa su portátil de trabajo para la navegación personal, y solo el 36% (33% en España) de ellos restringe totalmente los sitios que visitan.
  • 39% (37% en España) de los encuestados dice que a menudo o siempre acceden a los datos corporativos desde un dispositivo personal – casi con la certeza de que están rompiendo la política de seguridad corporativa.
  • 8% (7% en España) de los encuestados admite ver/acceder a contenido pornográfico en su portátil de trabajo, y el 7% (8% en España) accede a la dark web.

La productividad sigue prevaleciendo sobre la protección para muchos usuarios. Un tercio de los encuestados (34%) (casi un cuarto en España, 23%) está de acuerdo en que no piensa mucho en si las aplicaciones que utilizan están autorizadas por TI o no, ya que solo quieren que se haga el trabajo. Además, el 29% (26% en España) piensa que puede salirse con la suya usando una aplicación que no sea de trabajo, ya que las soluciones proporcionadas por su empresa son un «sin sentido” y no sirven. Por otro lado, el 12% de los encuestados en España haría lo que fuera más rápido en el momento de enviar un archivo a un cliente, aunque sea menos seguro.

La Dra. Linda K. Kaye, académica de ciberpsicología de la Universidad de Edge Hill, explica: «Hay una gran cantidad de diferencias individuales entre la fuerza laboral. Esto puede incluir los valores de cada empleado, la responsabilidad dentro de su organización, así como aspectos de su personalidad, todos los cuales son factores importantes que impulsan el comportamiento de las personas. Para desarrollar una capacitación y prácticas más eficaces en materia de ciberseguridad, se debe prestar más atención a estos factores. Esto, a su vez, puede ayudar a las organizaciones a adoptar una formación en materia de ciberseguridad más adaptada o personalizada con sus empleados, lo que puede ser más efectivo“.  

«En el mundo interconectado actual, ignorar descaradamente la orientación de la ciberseguridad ya no es una opción viable para los empleados”, señala José de la Cruz, director técnico de Trend Micro Iberia. “Es alentador ver que tantos se toman en serio los consejos de los equipos de TI corporativos. Dicho esto, hay personas que son felizmente ignorantes o peor aún, que piensan que la ciberseguridad es algo que no les aplica y que ignoran las reglas con regularidad. Por lo tanto, tener un programa único de concienciación de seguridad para todos es un fracaso, ya que los empleados diligentes a menudo terminan siendo penalizados. Un programa de formación a medida y personalizado diseñado para atender a los empleados puede ser más efectivo». 

El estudio «Head in the Clouds»examina la psicología del comportamiento de las personas en materia de ciberseguridad, incluidas sus actitudes hacia el riesgo. Presenta varios perfiles de «personas» comunes en seguridad de la información con el objetivo de ayudar a las organizaciones a adaptar su estrategia de ciberseguridad de la manera correcta para el empleado adecuado.  

Para conocer la clasificación de cuatro perfiles de «personas» más comunes, echa un vistazo a infografía a continuación:

Únase a Trend Micro para obtener una nueva perspectiva sobre la seguridad cloud

La pandemia actual ha hecho poco para reducir la carga de trabajo diaria de la mayoría de los CISO. De hecho, con los ciberdelincuentes han aumentado los esfuerzos de ingeniería social contra los trabajadores domésticos y los ataques a la infraestructura de acceso remoto, su tiempo libre puede ser más valioso que nunca. Por eso Trend Micro ha creado Perspectives, un evento virtual de dos horas de duración repleto de actividades y que girará en torno al tema de asegurar la transformación digital.

Expertos de AWS, Azure, Trend Micro, IDC y algunos de nuestros mayores clientes se reunirán para compartir su visión el jueves 25 de junio.

La información es poder

La transformación digital estaba en marcha mucho antes de que la COVID-19 llegara. Pero, en todo caso, la crisis ha hecho que los proyectos sean aún más esenciales, para impulsar la eficiencia y el ahorro de costes y mejorar la agilidad empresarial. La seguridad sigue siendo un gran obstáculo para muchas organizaciones, por lo que es vital obtener nuevas perspectivas sobre cómo la protección debe ser diseñada en los planes desde el principio.

¿Dónde están las lagunas de visibilidad y control cuando se trata de proteger las cargas de trabajo de la nube híbrida? ¿La escasez de habilidades ha hecho que los errores de configuración en la nube sean más probables? ¿Y cómo se ve la seguridad en la nube cuando las empresas entran en una nueva normalidad? En una era emergente acosada por la incertidumbre, trataremos de dar las respuestas que necesitan los CIO para tomar decisiones estratégicas mejor informadas.

La nueva visión de la industria

Trend Micro Perspectives contará con algunos de los oradores más convincentes de la industria, entre ellos: la CEO de Trend Micro, Eva Chen, y el vicepresidente de Investigación de Seguridad, Rik Ferguson; el Arquitecto Principal de Seguridad de AWS, Merritt Baer; la Vicepresidenta Corporativa de Microsoft Azure, Charlotte Yarkoni; el Vicepresidente de IDC, Frank Dickson; David Leybourne, Jefe de Transformación Global en el gigante de la contratación Randstad; y Mario Mendoza, Líder de Arquitectura y Compromiso de Seguridad Cibernética en el proveedor de nube Blackbaud.

Únete a nosotros para obtener una fascinante visión de:

  • La estrategia de Trend Micro para una transformación digital segura
  • Puntos de vista de los expertos de los líderes del sector en el suministro cloud
  • Experiencias reales con la transformación digital y la seguridad en la nube
  • Demos y noticias de las nuevas capacidades de los productos de Trend Micro

Esperamos veros allí. Regístrate ahora para asegurar tu plaza.

Qué: Trend Micro Perspectives
Cuándo: Jueves, 25 de junio de 17:00 a 19:00h.

Dónde: Online

Siguiendo la continua evolución del célebre grupo APT Pawn Storm

Trend Micro se dedica a proteger el mundo conectado, y a todos sus clientes en todos los rincones del planeta. Para ayudarnos en esta tarea, contamos con un equipo de más de 1.200 investigadores white hat dedicados a trabajar las 24 horas del día para anticipar e investigar las últimas ciberamenazas emergentes. Muchos de los grupos responsables de estas son bandas criminales. Pero cada vez más, pueden ser también hackers apoyados por el estado. Esto puede sonar muy lejos de la cotidianeidad del día a día de la empresa española media. Pero ese no es necesariamente el caso. 

Los sofisticados grupos de Amenazas Persistentes Avanzadas (APT) no siempre tienen como objetivo las grandes marcas o los sectores militares y de infraestructura crítica. Como destaca nuestra última investigación sobre el perverso grupo Pawn Storm, incluso van tras escuelas privadas, guarderías y médicos.

Breve historia de Pawn Storm

Las actividades de Pawn Storm se remontan a 2004, aunque hemos estado siguiendo al grupo de cerca durante los últimos seis años más o menos. También conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos APT más destacados del mundo. Entre las víctimas notables del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC). Hillary Clinton ha culpado de los correos electrónicos confidenciales de este último que ayudaron a Donald Trump a llegar al poder. 

No se equivoquen, Pawn Storm es uno de los grupos de APT más sofisticados y con más recursos que hemos visto. Y gracias al seguimiento que hemos hecho de sus herramientas, tácticas y procedimientos (TTP), hemos podido detallar algunas nuevas tendencias en 2019.

¿Qué hay de nuevo?

Concretamente, vimos que el grupo decidió usar las cuentas de correo electrónico de objetivos de alto perfil que ya había comprometido para enviar correos electrónicos de phishing de credenciales a otros objetivos – principalmente a compañías de defensa de Oriente Medio. No está claro por qué lo hicieron, tal vez para evadir los filtros de spam, y no parece haber sido particularmente exitoso.

También observamos a Pawn Storm escudriñando servidores de correo electrónico y servidores Microsoft Exchange Autodiscover en todo el mundo, con el fin de forzar bruscamente las credenciales de los administradores, exfiltrando los datos de los correos electrónicos y utilizándolos para realizar phishing a una nueva oleada de objetivos. Curiosamente, sus objetivos para esta campaña no eran solo los sospechosos habituales de organizaciones militares y de defensa, gobiernos, bufetes de abogados, partidos políticos y universidades, sino también otros más inusuales como escuelas privadas en Francia y Reino Unido, e incluso una guardería en Alemania.

Esto es un testimonio del hecho de que ninguna organización está a salvo de los ataques APT hoy en día.

La buena noticia es que los tipos malos cometen errores que podemos utilizar para entender mejor sus métodos y motivaciones. Por ejemplo, pudimos rastrear las campañas de phishing de credenciales contra dos proveedores de correo web de EE.UU., uno ruso y otro iraní durante un período de dos años analizando la solicitud del Marco de Políticas de Remitente de DNS (SPF) de los dominios que utilizaba. Aunque el grupo asignó cinco dominios a los servidores utilizados en esta campaña, no los registró, lo que permitió a los investigadores de Trend Micro colarse sigilosamente y monitorizar la actividad.

Mantenerse a salvo

Predecimos que este grupo de amenazas en particular estará presente en los años próximos años. Y es solo uno de los muchos que operan hoy en día. A continuación ofrecemos algunas recomendaciones para aislar a su organización contra estos últimos ataques. Incluso si no es un objetivo de Pawn Storm, estas son una serie de buenas prácticas importantes a tener en cuenta:

  • Aplicar el principio de menores privilegios, y deshabilitar los servicios obsoletos o no utilizados
  • Parchear regularmente/actualizar el sistema operativo y las aplicaciones. Considere la posibilidad de aplicar parches virtuales para las vulnerabilidades conocidas y desconocidas
  • Monitorizar regularmente la infraestructura con firewalls y sistemas de detección y prevención de intrusiones
  • Desplegar autenticación de doble factor para las cuentas de correo electrónico corporativo, el acceso de red y los servicios subcontratados
  • Formar y concienciar a los empleados en materia de técnicas de phishing y vectores de ataque más comunes, y prohibir el uso del correo web personal y las cuentas de redes sociales para fines laborales
  • Realizar con frecuencia copias de seguridad de los datos y cifrar la información sensible almacenada

Para leer el informe completo, haga clic aquí

Amenazas a Zoom: cómo mantener a salvo tu negocio y a tus empleados

Por: José Battat, director general de Trend Micro Iberia.

Los ciberdelincuentes siempre están buscando nuevas oportunidades para ganar dinero y robar datos. Los eventos de tendencia mundial son una forma probada de hacerlo, y no son tan más grandes como la actual pandemia de COVID-19. Esto está provocando una oleada de phishing, BEC, extorsión, ransomware e intentos de brechas y violación de datos. Y a medida que se envía a sus domicilios a un número cada vez mayor de trabajadores en todo el mundo, se abren nuevas oportunidades para comprometer las apps de videoconferencia.

Aunque no es el único objetivo, Zoom ha sido objeto de algunos de los incidentes más destacados en lo que va de año. Afortunadamente, hay cosas que se pueden hacer para mantener los negocios seguros.

Bajo el microscopio

La app de videoconferencia es, en muchos sentidos, víctima de su propio éxito. Se han planteado preocupaciones de seguridad sobre ella en el pasado, después de que los investigadores revelaran un fallo zero-day en el cliente Mac Zoom que podría haber permitido a los hackers espiar a los usuarios a través de sus cámaras web. Más tarde, en el mismo año, investigaciones separadas revelaron un ataque de enumeración dirigido a la API que afectaba a la plataforma. No se cree que ninguno de ellos haya sido sobreexplotado.

Sin embargo, las cosas han cambiado hoy en día: con gran parte del mundo utilizando la plataforma para realizar reuniones de negocios y videollamadas personales, el análisis de su postura de seguridad nunca ha sido mayor.

De errores a bombardeos

Hay varios riesgos que hay que tener en cuenta. El primero es el de varias nuevas vulnerabilidades descubiertas en la plataforma: una de ellas podría permitir a los hackers robar las contraseñas de Windows, y otras dos podrían permitir a los atacantes instalar remotamente malware en los Macs afectados y espiar las reuniones.

Sin embargo, la mayor parte de la cobertura de noticias se centra en «Zoombombing«, cuando los usuarios no invitados interrumpen las reuniones. Esto sucede a menudo cuando se llevan a cabo eventos semipúblicos a gran escala y las identificaciones (ID) de las reuniones se comparten en las redes sociales. Si no hay una contraseña para la reunión y no se examina a los asistentes, pueden  aparecer los Zoombombers. Una vez en la «reunión», los intrusos suelen publicar comentarios ofensivos, transmitir contenido para adultos o hacer otras cosas para perturbar el evento.

Las mismas técnicas subyacentes podrían ser utilizadas por los hackers para espiar o interrumpir las reuniones de negocio. Se trata de aprovechar las configuraciones inseguras de la app, (y posiblemente usar herramientas de fuerza bruta para descifrar las ID de las reuniones).

Con el acceso a una reunión, los hackers podrían recoger información corporativa altamente sensible y/o crítica para el mercado, o incluso propagar malware a través de una función de transferencia de archivos.

La última amenaza es de ataques de phishing. Los hackers saben que los usuarios buscan en masa maneras de comunicarse durante los confinamientos dictados por los gobiernos. Al crear enlaces y sitios web de Zoom de aspecto legítimo, podrían robar detalles financieros, propagar malware o recoger números de ID de Zoom, lo que les permitiría infiltrarse en reuniones virtuales. Un proveedor descubrió que se habían registrado 2.000 nuevos dominios solo en marzo, más de dos tercios del total del año hasta ahora.

Qué se puede hacer

La buena noticia es que hay varias cosas que se pueden hacer para mitigar los riesgos de seguridad asociados con Zoom.

Las más básicas son:

• Asegurarse de que Zoom siempre esté en la última versión del software

• Concienciar sobre las estafas de phishing de Zoom en los programas de capacitación de usuarios. Los usuarios solo deben descargar el cliente Zoom de un sitio de confianza y verificar si hay algo sospechoso en la URL de la reunión al unirse a una reunión

• Asegurarse de que todos los teletrabajadores tengan un programa antimalware, incluida la detección de phishing instalada de un proveedor de confianza

A continuación, es importante revisar los ajustes de administración de la aplicación, para reducir las oportunidades de los hackers y los Zoombombers.

Lo más importante gira en torno a Zoom Personal Meeting ID (un número de 9-11 dígitos que cada usuario tiene). Si un hacker se apodera de esto, y la reunión no está protegida por una contraseña, podrían acceder a ella. Un correo electrónico filtrado o simples técnicas de fuerza bruta/especulación podrían permitir a un hacker comprometer el ID y la URL asociada. En el caso de reuniones recurrentes, la amenaza persiste.

Afortunadamente, las contraseñas generadas automáticamente ahora están activadas de forma predeterminada, y el uso de identificaciones de reuniones personales está desactivado, lo que significa que Zoom creará una identificación aleatoria y única para cada reunión.

Esta configuración debe mantenerse tal cual. Pero las organizaciones pueden hacer más, incluyendo:

  • Asegurarse de que también se genera un ID de reunión automáticamente para las reuniones recurrentes
  • Configurar la pantalla compartida como «solo host» para evitar que los asistentes no invitados compartan contenido perjudicial
  • No comparta ninguna ID de la reunión online
  • Desactivar las «transferencias de archivos» para mitigar el riesgo de malware
  • Asegurarse de que solo los usuarios autenticados puedan participar en las reuniones
  • Bloquear la reunión una vez que haya empezado para evitar que alguien se una a ella.
  • Utilizar la función de sala de espera, así el anfitrión o host solo puede permitir asistentes de un registro preasignado
  • Reproduzca un sonido cuando alguien entre o salga de la reunión
  • Permitir que el anfitrión ponga a los asistentes en espera, eliminándolos temporalmente de una reunión si es necesario