¿La inteligencia artificial revolucionará la seguridad TI?

¿La inteligencia artificial revolucionará la seguridad TI?

 

Amazon sabe si una mujer está embarazada, Facebook sabe exactamente en qué situación de la vida estamos y Google nos conoce mejor que nuestros amigos más cercanos. Todas estas conclusiones se basan en el análisis de datos: “Los grandes datos”; Estos ya están dando forma a nuestra sociedad actual, porque los datos son uno de los recursos más importantes de nuestro tiempo. Los datos pueden ser medidos y utilizados por quienes los recogen. La información resultante es muy valiosa para las empresas que utilizan los datos, por ejemplo, para optimizar y desarrollar sus procesos empresariales. En la vida cotidiana, por ejemplo, ya lo encontramos como publicidad personalizada. Para aumentar la eficiencia, se utilizan sistemas que simplifican los procesos de trabajo de las personas, y ahora las máquinas, por ejemplo, se encargan de algunos o todos los procesos.

Esto ya es estándar en la producción del sector industrial, que implica procesos mecánicos automáticos. Las computadoras reciben una entrada de información, que es procesada y finalmente ejecutada. El aumento de esta cifra está representado por la Inteligencia Artificial (IA): Esta describe tecnologías y sistemas que pueden aprender a actuar sobre la base de grandes cantidades de datos y que deben desarrollarse de forma independiente o ejecutarse de forma inteligente. Con ello se pretende optimizar los procesos en una amplia variedad de áreas: Desde chatbots en el servicio de atención al cliente hasta la creación automatizada de textos periodísticos.

Pero, ¿qué ocurre con la seguridad en la propia área de TI? Los ciberdelincuentes ya están aprovechando las IA para desarrollar malware de tal forma que el programa puede cambiar por sí mismo y adaptarse a determinadas circunstancias, como los mecanismos de análisis de los programas antivirus, para no ser detectado. Especialmente en el ámbito de la seguridad informática, los mecanismos de protección deben ser capaces de reaccionar de forma rápida y previsible debido a estos desarrollos – la IA también debería poner un nuevo acento aquí.

 

El mundo dividido de la IA – fuerte y débil

En general, la inteligencia artificial es una aplicación en la que las máquinas reproducen inteligencia similar a la humana y procesan tareas y problemas de forma independiente. También es capaz de observar comportamientos y reconocer patrones que no son visibles para los humanos. La IA puede dividirse en dos etapas: Fuerte y débil. Una inteligencia artificial fuerte trata de alcanzar las mismas capacidades intelectuales de los seres humanos e incluso, si es posible, de superarlos. No sólo reacciona, sino que también puede actuar de forma flexible y proactiva. Sin embargo, si un IA fuerte puede alcanzar su propia conciencia e interactuar empáticamente con la gente, sigue siendo un tema abierto para los investigadores. Hasta ahora se ha discutido mucho en la ciencia sobre si el desarrollo de una máquina “superinteligente” es posible en absoluto.

Los IAs débiles, por otro lado, son sistemas que se centran en soluciones a problemas concretos de aplicación. Para ello se utilizan métodos matemáticos e informáticos. Los algoritmos resultantes son capaces de sacar conclusiones basadas en datos. Los sistemas de IA débiles son muy superficiales y no tienen una comprensión más profunda de la resolución de problemas. En la vida cotidiana, nos encontramos con IAs débiles, tales como el control individual de la publicidad, el reconocimiento de imágenes y en las autocompletaciones.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Aplicación de la Inteligencia Artificial en la Seguridad Informática

El trabajo de un analista de seguridad es a menudo tedioso. Según un estudio, sólo procesan advertencias 200 horas al año, lo que en última instancia resulta ser artimañas. En este punto, los especialistas en TI solicitan un apoyo activo, por ejemplo, a través de la inteligencia artificial.

De hecho, ya existen ideas sobre cómo se podría llevar a cabo este proyecto: “Seguridad cognitiva” es la palabra clave aquí. En términos concretos, se trata de una combinación de inteligencia artificial e inteligencia humana. La IA desbloquea la vasta montaña de conocimiento sobre seguridad cibernética que se acumula en un laboratorio de seguridad.

Además, procesa información en nanosegundos y proporciona a los actores humanos recomendaciones para contramedidas. Esto permite que los mecanismos de seguridad reaccionen de forma mucho más flexible a los ciberataques. A cambio, la IA debe ser alimentada con información para poder realizar ciertas acciones – un dar y recibir entre el hombre y la máquina. El único problema: el desarrollo de estos sofisticados sistemas de protección no es nada fácil y los oponentes no permanecen inactivos. Los ciberdelincuentes podrían utilizar los IAs para buscar y recopilar datos e información sobre una persona en particular en Internet, crear contenido que atraiga a la víctima y utilizar el perfil de movimiento grabado para determinar cuándo sería el momento adecuado para atacar.

La IA y la seguridad informática: ¿un pacto para el futuro?

Los programas antivirus existentes están alcanzando cada vez más sus límites: El número de programas maliciosos enviados aumenta cada día, los ataques dirigidos con malware disfrazado no son detectados por los mecanismos de seguridad convencionales y el tiempo de respuesta a nuevas amenazas es simplemente demasiado largo. El software de seguridad debe ser capaz de “actuar” de forma rápida y predicativa. La inteligencia artificial se entrena con la entrada de numerosas informaciones y conjuntos de datos disponibles de la anterior seguridad de TI.

Cuando se utiliza, la IA puede analizar rápidamente grandes cantidades de datos, reconocer malware conocido y también ampliar su rendimiento y capacidad de aprendizaje de forma independiente y continua. Cada vez es más importante obtener una imagen precisa de las amenazas actuales y de las situaciones de ataque en una fase temprana. Pero la seguridad cibernética de hoy en día no se trata sólo de mantenerse al día con los delincuentes, sino mucho más de estar preparados y ser proactivos. Podemos decir con seguridad que los humanos darán este paso junto con la Inteligencia Artificial y que la seguridad informática ganará una nueva dinámica y calidad.

Gand Crab – El caballo de Troya extorsionista ataca a los departamentos de personal

Gand Crab – El caballo de Troya extorsionista ataca a los departamentos de personal

Una vez más, se trata de un troyano de chantaje que está agotando los nervios de muchos usuarios de correo electrónico. Gand Crab, como se llama oficialmente el malware, se disfraza como una aplicación laboral inofensiva en forma de un documento de Office. Se dirige en particular a los departamentos de recursos humanos y, con su aspecto extremadamente profesional, representa un riesgo considerable para los empleados que trabajan en ellos.

Gand Crab hizo su primera aparición en otoño de 2018, cuando el malware ya era una espina clavada en el costado del BSI y se emitió una advertencia de inmediato. Ahora, sin embargo, la situación ha empeorado: al igual que su predecesor GoldenEye, que ya actuó de acuerdo con un principio muy similar en 2016, los ciberdelincuentes se hacen pasar por buscadores de empleo y envían los supuestos documentos de solicitud por correo electrónico. Mientras que las cartas de presentación usadas por GoldenEye todavía tenían muchos errores ortográficos y gramaticales, Gand Crab tiene una imagen diferente: Como muestra el siguiente ejemplo, los correos electrónicos están escritos en un alemán perfecto y no permiten ninguna suposición de fraude sin un examen más profundo.

Gand Crab Epressertrojaner

Figura 1: Los ciberdelincuentes utilizan el diseño de Microsoft Office en Gand Crab

Gand Crab E-Mail

Figura 2: Carta típica de un ataque de Gand Crab>

El objetivo de los ciberdelincuentes es persuadir a las víctimas para que abran el documento Office en el archivo adjunto. Por lo general, se trata de un .doc, es decir, un archivo Word obsoleto. Después de abrirlo, aparece una vista aparentemente original en el diseño de Microsoft Office. Es un formato obsoleto y supuestamente es necesario activar el modo de compatibilidad para poder visualizar el archivo. Si sigue las instrucciones, se permite la ejecución de macros y, el troyano Gand Crab oculto en el archivo, inmediatamente comienza a cifrar el disco duro del dispositivo. Una vez que este escenario ha ocurrido, es difícil deshacerse de esta plaga.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Los expertos en seguridad informática de Hornetsecurity aconsejan a las empresas no confiar exclusivamente en programas antivirus. Sólo una parte de los escáneres AV es capaz de reconocer a Gand Crab. Además, se recomienda encarecidamente no pagar el monto del rescate requerido. Al igual que con otros troyanos de chantaje, el descifrado de datos en Gand Crab no es en absoluto seguro.

Se recomienda a muchas más empresas que adopten medidas preventivas adecuadas en una fase temprana. Los ingeniosos mecanismos de seguridad de Managed Security Services, como Hornetsecurity ATP clasifican al troyano como una amenaza incluso antes de que llegue a la bandeja de entrada del correo electrónico y lo filtran consecuentemente. De esta forma es posible prevenir que, en la agitada rutina diaria de trabajo en los departamentos de personal, un correo electrónico que contiene Gand Crab se abra accidentalmente.

Tendencias de la ciberdelincuencia 2019 – para lo que nos podemos preparar

Tendencias de la ciberdelincuencia 2019 – para lo que nos podemos preparar

En el último año, la ciberdelincuencia estuvo más que nunca en el centro de atención pública: filtraciones masivas de datos, nuevas formas agresivas de malware, pérdidas financieras que ascienden a miles de millones. En el actual Cyberthreat Report de Hornetsecurity, ya informamos sobre la evolución dinámica de la ciberdelincuencia y reportamos sobre los tipos de ataques del año pasado.

Sin embargo, y a medida que avanza la digitalización, éste es sólo el comienzo del creciente peligro de los ciberataques, que ya pertenece a una de los mayores amenazas mundiales. Basándonos en los desarrollos y cambios de los últimos meses en el campo de la delincuencia informática, presentamos un panorama de las tendencias de la ciberdelincuencia en 2019.

La industria alemana y las infraestructuras críticas están en el foco

La conexión de los sistemas de producción a Internet y a los servicios en la nube promete más eficiencia y productividad en el sector industrial y de infraestructuras en el curso de la industria 4.0 – sin embargo, los componentes digitales adicionales ofrecen un número significativamente mayor de puntos débiles y posibilidades de ataque para los hackers. Como uno de los países industrializados más grandes, Alemania se encuentra a la cabeza de la lista de ciberdelincuentes: En los últimos dos años, siete de cada diez empresas industriales han sido víctimas de sabotaje, robo de datos o espionaje por parte de malware, lo que ha supuesto una pérdida total de unos 43.000 millones de euros. En junio de 2017, una ola global de ataques tipo Ransomware, conocidos como “Petya” y “WannaCry”, provocó paros en la producción y cese de actividades en varias de las empresas afectadas.

También en 2018, los ciberataques provocaron pérdidas de rendimiento en los procesos de producción del grupo alemán de ingeniería mecánica Krauss Maffei, paralizaron los sistemas informáticos de los hospitales y un ataque DDoS provocó que el sitio web del proveedor de energía RWE no pudiera ser visitado durante varias horas. Además, la Oficina Federal de Seguridad de la Información emitió varias advertencias detalladas sobre ataques cibernéticos, especialmente contra los proveedores de energía alemanes, y sobre una amenaza creciente de malware.

En el caso de RWE, el público asume hasta la fecha que el ataque cibernético contra el grupo energético alemán está relacionado con el muy criticado proyecto de la empresa (la deforestación del bosque de Hambach para extraer lignito). Esto demuestra claramente que los conflictos públicos pueden propagarse al ciberespacio en cualquier momento. En general, Alemania, con sus empresas industriales líderes en el mercado mundial, es el foco actual de los ciberdelincuentes.

El futuro digital se convierte en el presente: Industria 4.0, Internet of Things y Cloud Computing

La digitalización es una mega tendencia mundial, pero Alemania sigue estando muy rezagada: sólo una quinta parte de las empresas alemanas están digitalizadas, como muestra el Atlas Digital del Instituto de Negocios Alemanes en cooperación con Google Alemania. La preocupación por la falta de seguridad de los datos, el acceso limitado a la banda ancha, los cuellos de botella en el personal cualificado y sus competencias, los elevados costes financieros y de tiempo y las incertidumbres jurídicas impiden que muchas empresas se sumerjan en la realidad digital.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Según el Gobierno Federal, esto deberá cambiar en los próximos años: Internet rápido en 2025, canales administrativos en línea (según el BMWi, Alemania se ha obligado legalmente a permitir que los ciudadanos y las empresas procesen en línea las solicitudes y entreguen sus requisitos de información al Gobierno Federal, los departamentos y las autoridades locales a más tardar en el 2022), entrenamientos y formación continua de los empleados en preparación para tecnologías innovadoras, escuelas que dispongan de Internet y estén técnicamente totalmente equipadas, y la transferencia de la infraestructura de TI corporativa a la nube.

Muchas empresas alemanas han reconocido entretanto el tema del cloud computing y sus ventajas para si mismas. El escepticismo sobre datos en la nube también continúa disminuyendo, ya que las aplicaciones para la nube se continúan desarrollando y mejorando continuamente. La atención se centra principalmente en la infraestructura de seguridad para la tecnología cloud. Según un estudio de Bitkom, los problemas de seguridad se consideran el mayor obstáculo para que seis de cada diez empresas trasladen sus datos a la nube.

En el cambio digital, sin embargo, las empresas deben resistir la creciente presión para innovar: Las soluciones deben estar siempre actualizadas para evitar posibles huecos de seguridad, para cumplir con la normativa legal vigente y para estar a la altura de la competencia. En consecuencia, proveedores externos de seguridad en la nube ofrecen mecanismos de protección innovadores, alta experiencia y servicios de seguridad de TI conformes con la normativa que garantizan la confidencialidad, disponibilidad e integridad de los datos confidenciales. Así, son cada vez son más las empresas alemanas que deciden cambiar a la nube: en 2018, dos tercios de todas las empresas encuestadas ya habían puesto a disposición su infraestructura de TI a través de Internet, y para solo el 13% el cloud computing no fue un tema relevante.

Pero especialmente en “Industry 4.0”, los servicios de cloud computing juegan un papel importante en los entornos de producción de redes inteligentes. Los objetivos más importantes son, sobre todo, aumentar la eficiencia, la transparencia en los procesos de producción y la reducción de costes. Además de la industria y las PYME, el Internet of Things es otra fuerza impulsora de las redes digitales totales.

En el futuro, más y más datos, información, documentos y registros sensibles estarán disponibles en forma digital, independientemente de la hora y el lugar – todo será más rápido, más eficiente y más simple. ¿Y no sólo nuestra seguridad digital, sino también nuestra seguridad física, sufrirá como resultado en el futuro?

La creciente interconexión de todos los sectores de suministro (transporte, tráfico, energía, suministro, etc.) garantiza el nivel de vida moderno que conocemos hasta ahora. Por lo tanto, nuestras “infraestructuras críticas” se ven afectadas por la digitalización, al igual que otras empresas de negocios, pero los datos que contienen son mucho más valiosos para los ciberdelincuentes porque se clasifican como “información sensible, que en algunos casos supone una amenaza para la seguridad nacional”. En noviembre de 2018, los hackers robaron más de 11.000 registros de datos de los servidores de la empresa constructora francesa “Ingérop”, que, entre otras cosas, actúa en nombre del gobierno y procesa información confidencial. Entre los documentos figuraban planes de construcción de infraestructuras críticas como centrales nucleares, prisiones de alta seguridad y redes de vías, lo que supone una grave invasión de la seguridad del Estado.

El año pasado, los proveedores de energía y los hospitales en particular se vieron afectados por los ciberataques. La situación general de riesgo es elevada, el número de ciberataques a empresas industriales e infraestructuras críticas seguirá aumentando en el futuro y sus niveles de calidad alcanzará nuevas dimensiones.

Siglo Cibernético: La extensión de los ataques cibernéticos crece

Según un reciente estudio de Bitkom, el 82% de las empresas encuestadas esperan que el número de ciberataques a sus operaciones aumente significativamente en los próximos dos años. Los ataques de malware fueron los que causaron más daños el año pasado, seguidos por las vulnerabilidades de software y los ataques de phishing, así como los ataques de DDOS. Lo más valioso para los ciberdelincuentes son los datos: Correos electrónicos, los datos financieros y de clientes, datos críticos de la empresa y patentes son robados, copiados y espiados a través de ataques de hacking. Para las empresas afectadas, esto significa, además del incremento en medidas de protección de datos, pérdidas financieras considerables.

Con la conexión en red de los datos, la digitalización de los procesos productivos y operativos y una época en la que los datos, especialmente la información personal, son cada vez más valiosos (algunos afirman que los datos son el recurso más importante de nuestro tiempo), la ciberdelincuencia y, sobre todo, los ataques a las tecnologías de la información, el espionaje digital y los robos no sólo aumentarán, sino que la amenaza de los hackers adquirirá una nueva calidad. La motivación de los ciberdelincuentes sigue siendo la misma – codicia por el beneficio, la curiosidad, el espionaje o las represalias – pero la dinámica de los atacantes, en el desarrollo ulterior del malware y las rutas de ataque, es significativamente mayor.

El creciente trabajo en red entre los hackers sugiere que las llamadas “Zero-Day-Exploits” serán una de las mayores amenazas en el futuro. Estos ataques aprovechan los agujeros de seguridad del software antes de que el fabricante pueda cerrarlo el mismo día.

Debido a la actual evolución “positiva” de los precios de la divisa criptográfica, como Bitcoin y Co., los ataques de malware, especialmente el criptominado y el rescate, aumentarán significativamente. La amenaza de la criptomanía está claramente subestimada por las empresas, ya que algunas ni siquiera notan el ataque durante un largo período de tiempo. Especialmente cuando se utiliza la computación en nube, las criptóminas intensivas en computación pueden aumentar enormemente el daño financiero. Además, Ransomware ganará cada vez más importancia debido a la normativa europea básica de protección de datos que entró en vigor en mayo de 2018. Por ejemplo, las severas sanciones impuestas por la Directiva de la UE ya han dado lugar a una mayor disposición por parte de las empresas a cumplir con una petición de rescate para evitar posibles medidas financieras y legales, así como la presentación de informes negativos.

Para 2019, las empresas deben estar preparadas para una mayor amenaza de este tipo de malware. Además, el envío de “formas mixtas” de malware es cada vez más popular: actualmente, el troyano “Emotet” se envía de nuevo como correo electrónico de spam y phishing, que analiza archivos y programas, y finalmente recarga otro malware, llamado “Trickbot”, que analiza las credenciales de las cuentas. Posteriormente entra en juego el programa de rescate “Ryuk”: cifra archivos importantes y exige un rescate de la víctima por la cantidad que sea posible según el saldo de la cuenta. La recuperación es aún más difícil debido a que el programa malicioso elimina todas las copias de seguridad encontradas. Según la información actual, el software de extorsión ha “ganado” hasta ahora casi 3,7 millones de dólares estadounidenses en Bitcoins. Es muy probable que estas formas de ciberataques y su calidad sigan aumentando.

El factor humano – brechas de seguridad a través de la ingeniería social

La forma en que los ciberdelincuentes acceden a los servidores y sistemas de sus víctimas es cada vez más sofisticada: la ingeniería social juega un papel relevante. El fraude de los directores ejecutivos es ahora bien conocido, pero los ciberdelincuentes seguirán aprovechándose de la mayor debilidad del sistema: los seres humanos – ya que son ellos quienes toman el 80% de las decisiones emocionales. Miedo, compasión, confianza – estos son los sentimientos que los hackers tratan de provocar en sus víctimas. Y una vez que los ciberdelincuentes han entrado en un sistema, la probabilidad de que se produzca otro ataque es muy alta. APT, Backdoors, Spear-Phishing tampoco deben subestimarse en 2019. Los hackers profesionales ya no dependen del azar: los datos confidenciales y la información importante valen grandes cantidades de millones.

Platino, Oro y Datos

Fugas de datos de Sky, Apollo, Marriott, Google y Facebook, por nombrar algunos, donde los perfiles de correo electrónico, cuentas y usuarios han sido copiados y robados de miles de clientes. Los datos y la información se encuentran entre los recursos más valiosos de nuestro tiempo, como lo demuestran, en particular, los costes en que incurren las empresas cuando un fallo de este tipo se hace público. En Alemania, las empresas deben contar con unos 188 dólares estadounidenses por cliente.

Con aproximadamente 500.000 registros perdidos, el costo estimado es de aproximadamente 94 millones de dólares. Para muchas empresas esto ya significa la ruina. Los datos más valiosos son la información bancaria y de tarjetas de crédito (20-40 € por registro), los datos de acceso a la banca en línea (valor en función del saldo de la cuenta, entre 20-250 €), los documentos de identidad (50 € por documento) y los datos de salud (50 € por registro). Cuantos más datos estén disponibles digitalmente y cuanta más información robada se pueda utilizar en la era digital, más valiosa resultará: para los particulares, para las empresas, para el Estado y, por tanto, también para los ciberdelincuentes.

Tendencias de seguridad de TI que deben abordarse

La comunicación por correo electrónico es y seguirá siendo la puerta de entrada principal para los ciberataques: se considera especialmente prometedora y ofrece diversas posibilidades de canalizar archivos maliciosos hacia los sistemas internos y para acceder a información confidencial. Además, el intercambio por correo electrónico y el camuflaje profesional como amigo, colega, banco o proveedor postal conocido a menudo crea confianza y seguridad al destinatario.

Sobre todo porque los hackers confían cada vez más en la vía social para obtener acceso y en vista del creciente peligro de ataques cibernéticos, las empresas deberían sobre todo sensibilizar a sus empleados sobre posibles ataques. La prudencia, las contraseñas sólidas y la autenticación de dos factores son ya buenos requisitos previos para garantizar la seguridad de la TI corporativa. Además, las empresas deben consultar las ofertas y servicios de los proveedores profesionales de seguridad informática. Con la avanzada profesionalidad de los ciberdelincuentes, ya no se puede asumir que los filtros de virus y spam convencionales por sí solos protegen toda la TI corporativa.

La ciberseguridad es un requisito previo para el éxito de la digitalización y se sabe que la seguridad es una de las necesidades humanas básicas; ¿por qué no debería ser lo mismo en un mundo digital?

Correos electrónicos de phishing – en un viaje de pesca en el flujo de datos

Correos electrónicos de phishing – en un viaje de pesca en el flujo de datos

El supuesto correo electrónico del banco habitual llegó de manera inesperada, su diseño engañosamente real, el contenido insospechado a primera vista: “Encontramos un agujero de seguridad en nuestros sistemas. Por favor, inicie sesión en su cuenta inmediatamente para “verificar su identidad” – muchos destinatarios de un correo electrónico de este tipo no son capaces de ver el fraude detrás de él. Esto se debe a que no se trata de un agujero de seguridad o de un consejo bienintencionado del banco, sino de un correo electrónico de phishing muy clásico.

Pero ¿cómo funciona realmente el phishing y es un profano capaz de ver a través de la estafa? ¿Qué pasa después de que yo caiga en la estafa? ¿Por qué se llaman así los correos electrónicos de phishing y cómo puedo protegerme de esos ataques? Las preguntas sobre el phishing son como la arena en el mar. Esta entrada de blog pretende arrojar algo de luz sobre los abismos de la suplantación de identidad (phishing) y muestra no sólo cómo descrubrir los correos electrónicos de suplantación de identidad con unos pocos trucos sencillos, sino también cómo no dejarlos entrar en su buzón de correo en primer lugar.

El nombre lo dice todo

La palabra “phishing” se estableció en los Estados Unidos en los años 90 y tiene menos que ver con el mar abierto y sus habitantes, pero todavía se pueden establecer paralelismos con la palabra inglesa “fishing”. Porque en el phishing, los ciberdelincuentes literalmente “pescan” los datos personales de sus víctimas de forma fraudulenta.

La palabra “Phreaking” también jugó un papel en el nombre. Describe la ocultación de llamadas telefónicas gratuitas mediante la generación de un tono de 2.600 hertzios que engaña aciertos centros de conmutación de EE.UU., Francia o Japón, por ejemplo, cuando se reproduce en el auricular, para establecer llamadas telefónicas. Lo divertido de esto es que exactamente este sonido de 2600 hercios se puede producir con un tubo de juguete que una vez fue un acompañamiento de los cereales “Captain Crunsh”. Sin embargo, la moderna tecnología de conmutación ya no hace posible este método, aunque este método es el comienzo del conocido “hacking” de hoy en día. El término “phishing” es un neologismo de las dos palabras “fishing” y “phreaking”.

¿Cómo funciona el phishing?

Un ataque de phishing es un robo de identidad digital. Los hackers envían correos electrónicos fraudulentos, que por ejemplo imitan el diseño de proveedores de servicios de Internet conocidos como Amazon o PayPal, así como de bancos de renombre.

Los mensajes, algunos de los cuales parecen engañosamente reales, utilizan pérfidos pretextos para atraer a sus destinatarios a sitios web falsos para que revelen sus datos personales. Afirman, por ejemplo, que ha habido un ataque de hackers y que la cuenta supuestamente afectada ya no es segura. Sólo si se verifican sus datos en el sitio web, a los que se puede acceder por la izquierda, la seguridad de la cuenta queda garantizada de nuevo.

El enlace contenido en el correo electrónico es a menudo muy difícil de descubrir como un paquete engañoso. Esto se debe simplemente a que los ciberdelincuentes conceden gran importancia al hecho de que los enlaces utilizados sean lo más auténticos posible. Al comprar dominios, como “amazn.com”, que se parecen casi al original, el fraude puede mostrar tasas de éxito sorprendentemente altas. Según el Anti-Phishing Working Group (APWG), en marzo de 2018 había casi 114.000 sitios de phishing en línea.

Para que el fraude sea perfecto, esto naturalmente también se aplica a las direcciones de los remitentes de los correos electrónicos de phishing. La dirección real del remitente de Amazon noreply@amazon.com será cambiada a noreply@amzon.com.

También es posible con ciertos clientes de correo electrónico camuflar direcciones de remitentes absurdas, como hacker@doamin.com, que no tienen nada que ver con -en nuestro caso Amazon-. Visualmente, este fraude sólo se puede reconocer con una mirada muy cercana y la mayoría de las víctimas no lo notan en absoluto o al menos sólo cuando ya es demasiado tarde. Una vez que la persona objetivo ha introducido sus datos personales en el sitio web que no funciona correctamente, se transfieren directamente a las garras de los ciberdelincuentes.

El phishing y sus variaciones

Los correos electrónicos regulares de phishing, al igual que los correos electrónicos de spam, están destinados al correo masivo. Los ciberdelincuentes compran grandes cantidades de direcciones de correo electrónico para este fin o utilizan datos que han capturado por su cuenta. Los mensajes de fraude se envían millones de veces a diferentes personas. Aunque algunos correos electrónicos de phishing no prestan mucha atención a los detalles, a menudo pueden alcanzar tasas de éxito considerables, al menos cuando se consideran los números totales. La situación es completamente diferente con el llamado Spear-Phishing. El método se basa esencialmente en la estafa tradicional de phishing, pero se trata de una estafa por correo electrónico dirigida.

Esto se puede adaptar tanto a una empresa específica como a una persona individual. El objetivo es robar datos financieros sensibles o datos de acceso. Mediante el uso de la ingeniería social, los ciberdelincuentes descubren de antemano tanta información personal sobre su objetivo que pueden pretender ser una comunicación por correo electrónico de apariencia real y engañosa. En el mejor de los casos, la víctima no se da cuenta del fraude y es dirigida a un sitio web falso con un pretexto, donde revela sus datos.

¿Qué buscan los piratas digitales?

En la mayoría de los casos, la información “obtenida” por los ciberdelincuentes son datos de acceso a cuentas bancarias en línea u otros servicios bancarios basados en la web, pero la información sobre tarjetas de crédito en general también es un objetivo popular.

La motivación de los atacantes puede ser muy diferente y va desde el enriquecimiento financiero en forma de saqueo de cuentas o venta de datos hasta ataques de hackers a empresas que se llevan a cabo con la información de los datos capturados.

He sido víctima de un ataque de phishing, ¿qué debo hacer ahora?

A pesar de todas las medidas de seguridad, sucedió y ¿usted fue víctima de un ataque de phishing? A menudo uno se da cuenta de esto sólo si ya es demasiado tarde. Ahora es el momento de mantener la calma y reaccionar rápidamente! Lo mejor es informar inmediatamente al operador de la cuenta en cuestión sobre el ataque de phishing para que pueda iniciar las contramedidas adecuadas y hacer público el fraude. En algunos casos, también puede activarse cambiando los datos de acceso de la cuenta en cuestión o bloqueándola usted mismo si es posible.

¿Cómo puedo protegerme eficazmente del phishing?

La tasa de éxito de los correos electrónicos de phishing es alarmantemente alta. En 2017, Trojaner-Info.de incluso informó de un” href=”https://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/phishing-kampagnen-mit-ausserordentlicher-erfolgsquote-aufgetaucht.html”> ataque de phishing extremadamente elaborado contra los viajeros frecuentes, que tuvo una tasa de éxito increíble del 90 por ciento. Por lo tanto, ser víctima de un ataque de phishing es más rápido de lo que se cree. Esto hace que sea aún más importante estar preparado de antemano para posibles ataques de phishing. Por lo tanto, hemos enumerado los consejos más importantes en los siguientes párrafos.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

1. sensibilización

En primer lugar, la sensibilización adecuada en la lucha contra los correos electrónicos de phishing es una buena base. Muchos usuarios no son suficientemente conscientes de los peligros que acechan en su bandeja de entrada de correo electrónico, como los ataques de phishing. Por lo tanto, es difícil para ellos detectar los correos electrónicos fraudulentos como tales. Sin embargo, el riesgo de una campaña de phishing puede reducirse con un poco de conocimiento previo.

Si se sospecha de phishing, se debe comprobar si la dirección del remitente coincide realmente con el dominio original o si hay añadidos o errores de ortografía. Si este es el caso, puede ser una primera indicación de un ataque de phishing. Otra referencia puede ser el saludo impersonal, como “Queridas damas y caballeros”. También hay que tener cuidado con los enlaces o botones colocados en los correos electrónicos, ya que como “usuario normal” es muy difícil comprobar si el supuesto objetivo del enlace es realmente correcto.

Si la dirección es similar al dominio original y parece poco sospechosa al principio, puede comprobar si coinciden ambas URL. Además, nunca debe divulgar información personal en ninguna comunicación por correo electrónico.

2. Protección activa

Más allá de la sensibilización, hay cosas que se pueden hacer para protegerse activamente contra los ataques de phishing. En el cliente de correo electrónico, por ejemplo, debería desactivarse la función “Ejecutar contenido activo”, ya que esto puede hacer que los contenidos nocivos se ejecuten de forma inadvertida y automática.

Si no desea que los correos electrónicos de phishing lleguen a su correo electrónico en primer lugar, no debería prescindir de un servicio de filtro de spam. El servicio de filtrado de spam gestionado de Hornetsecurity filtra de forma fiable el 99,9% de todas las amenazas transmitidas por el correo electrónico, incluidos los correos electrónicos de phishing.

Hornetsecurity Advanced Threat Protection es capaz de reconocer incluso las campañas de phishing más sofisticadas a través de todo un conjunto de mecanismos de seguridad como el análisis de intentos de fraude, el reconocimiento de falsificación de identidad o la detección de ataques dirigidos. De este modo, el riesgo para los empleados y las empresas puede reducirse drásticamente.

Ejemplo de un correo electrónico de phishing:

Phishing

Correo electrónico de phishing clásico en el que los ciberdelincuentes se disfrazan de entidades de crédito. Con el pretexto de que ha habido actividades de inicio de sesión inusuales en la cuenta, la persona objetivo se ve obligada a verificar los detalles de su cuenta. El diseño es indistinguible del diseño normal del banco. El correo electrónico no contiene ningún error ortográfico y el formato es correcto. Los anuncios en el correo electrónico con enlaces al sitio web real y el codificador de QR para la aplicación bancaria completan la imagen general. Al ser una entidad de crédito sudafricana, incluso el dominio emisor “abSaMail.co.za” es bastante creíble. Sólo el prefijo “xiphaMe” parece extraño e indica un fraude.

Ejemplo de un correo electrónico de spear phishing:

Spear Phishing

Ejemplo de un pérfido correo electrónico de phishing submarino*. Los estafadores utilizaron la ingeniería social para averiguar los nombres, las direcciones de correo electrónico y, muy probablemente, la relación entre dos empleados. Luego utilizaron la información capturada para recrear una comunicación por correo electrónico lo más auténtica posible. La confianza se construye a través de saludos personales y conocimiento interno del abogado de la compañía. La dirección de correo electrónico del supuesto remitente también se introduce en el campo de nombre. Esto es para sugerir que en realidad es la dirección correcta del remitente. La dirección real del remitente sólo sigue después de esto.

*El ejemplo mostrado es un correo electrónico real de Spearphishing. Por razones de protección de datos, se han cambiado todos los nombres y toda la información confidencial.

Más información:

 

Malware – El hijo favorito de los cibercriminales

Malware – El hijo favorito de los cibercriminales

Cuando se lanza al aire la pregunta de qué se trata el término “malware”, la mayoría de la gente sólo tiene una idea poco clara. No es raro que se utilicen palabras como “virus” o “troyano”. Esto no es necesariamente incorrecto, pero tampoco es realmente correcto. Esto se debe a que el tema es mucho más complejo y no sólo gira en torno a virus y troyanos.

Esta entrada de blog da una idea del mundo del malware y explica qué significa realmente el término, por qué los ciberdelincuentes utilizan malware y cómo funciona la protección adecuada.

Mucho más que sólo virus y troyanos

“Malware” es un neologismo compuesto por las dos palabras inglesas “malicious” y “software”, que significa “software dañino”. Por error, el malware se utiliza a menudo como sinónimo de virus o troyanos, pero el mundo del malware es mucho más amplio y complejo. De hecho, el malware es simplemente un término colectivo para varios programas de malware, que además de virus y troyanos también incluyen “exploits”, “backdoors”, “spyware”, “worms” y “ransomware”, por nombrar sólo algunos de los representantes más importantes.

Según un estudio realizado por av-test.org, los troyanos representaban la mayor parte (51,48 por ciento) del malware propagado bajo Windows. Muy por detrás de ellos se encuentran los virus con un 18,93 por ciento y los scripts en tercer lugar con una cuota del 10,56 por ciento. Todos los demás tipos de malware, como los programas de rescate, sólo desempeñan un papel secundario en la frecuencia de su aparición.

Porcentaje de tipos de malware

%

Troyano

%

Virus

%

Scripts

Virus, troyanos y gusanos: ¿cuáles son las diferencias?

Los virus informáticos son el tipo clásico de malware y ya se desarrollaron a principios de los años setenta. Están programados para anidar en otros archivos y pueden propagarse de un sistema informático a otro e infectarlo también. Sin embargo, los virus no pueden empezar a trabajar sin la intervención humana porque el archivo comprometido tiene que ser ejecutado primero.

Un troyano, por otro lado, no es un virus, sino un programa malicioso que se disfraza de aplicación benigna – de ahí el término frecuentemente utilizado “caballo de Troya”. A diferencia de los virus, los troyanos no se multiplican por sí solos. Permiten a los hackers tomar el control del sistema infectado a través de una llamada “puerta trasera”.

Los gusanos informáticos difieren de los virus en su capacidad de propagarse sin acción. Al utilizar una interfaz de datos, el programa malicioso también puede ejecutarse automáticamente. Dado que el gusano puede reproducirse dentro del sistema, existe el peligro de que al final no sólo se pueda enviar un gusano, sino cientos o incluso miles de copias. En última instancia, esto puede resultar en que el sistema tenga que proporcionar tantos recursos que no se produzca retroalimentación o que sólo se produzca una retroalimentación extremadamente lenta.

Spyware – El espía en el sistema

El spyware es considerado el espía entre los tipos de malware. Está fuera para registrar y robar cualquier dato de usuario que introduzca. Por ejemplo, registra los inicios de sesión en cuentas de medios sociales o espía los datos de la cuenta durante las operaciones bancarias en línea. Los datos capturados se transfieren a los hackers, que los revenden o los utilizan para sus propios intereses, en su mayoría financieros.

El spyware puede aparecer con diferentes caras. Por un lado, es posible utilizar un llamado “keylogger” que registra las pulsaciones de teclas. Por otro lado, “Screencast” puede utilizarse para espiar la actividad de la pantalla del usuario. Los hackers también pueden utilizar el llamado “secuestrador de navegadores”, que manipula la configuración estándar del navegador web. De esta manera, los ciberdelincuentes pueden leer consultas de búsqueda o dirigir a los usuarios a sitios web falsos.

 

Ransomware – Cuando el ordenador pide dinero para el rescate

Ransomware es una forma de malware capaz de impedir el acceso a todos los datos almacenados en un ordenador. Los hackers encriptan los archivos almacenados en el disco duro y normalmente dejan un mensaje en la pantalla del objetivo después de una infección exitosa, con la demanda de pagar un rescate. Si esto no sucede, existe la amenaza de que los archivos cifrados ya no sean descifrados o incluso eliminados, dependiendo de la ejecución del Ransomware.

Hay muchas maneras de infectar los ordenadores con ransomware. Sin embargo, la puerta de entrada más común es, con mucho, la comunicación por correo electrónico. Los ciberdelincuentes a menudo utilizan la ingeniería social para hacerse pasar por una organización conocida o por una persona amistosa con el fin de sugerir confianza.

En muchos casos, el Ransomware está contenido en un documento de Office que se envía como archivo adjunto. Se utiliza un pretexto para conseguir que el destinatario abra el archivo. Si esto sucede, todos los datos del disco duro se cifran. Especialmente en los últimos años, ha habido una oleada de ataques de rescate conocidos como “WannaCry”/em> o “Petya”. Incluso si Ransomware sólo juega un papel subordinado en la frecuencia de ocurrencia: El daño que puede ser causado por los criptotroyanos agresivos no debe de ninguna manera ser subestimado! Expresado en cifras absolutas, el uno por ciento de todo el malware del mundo sigue siendo una suma considerable.

 

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Explotaciones y puertas traseras – La carta de triunfo secreta

Las vulnerabilidades son una herramienta popular utilizada por los hackers para explotar vulnerabilidades o agujeros de seguridad en el software y utilizarlos para penetrar en los sistemas informáticos. Un exploit puede ser una descripción puramente teórica de una vulnerabilidad o un código de programa directamente ejecutable.

La gama de diferentes tipos de hazañas es tan amplia que existe la hazaña adecuada para casi todas las ocasiones. Se diferencian tanto en el tipo de ataque como en sus efectos. Dependiendo del tipo, pueden escribir o leer datos, por ejemplo, o bloquear un sistema. Los tipos de explotación más importantes son los llamados ataques de día cero y los ataques de denegación de servicio (explotación de denegación de servicio).

 

Una puerta trasera, por otra parte, representa un acceso alternativo, en su mayoría oculto, a un sistema de software o hardware. Esto permite al fabricante y a sus socios (por ejemplo, los servicios secretos), pero también a los posibles hackers, eludir la protección de acceso y acceder al sistema. Como ya se ha mencionado, los troyanos también tienen una puerta trasera, pero hay que trazar una línea clara aquí: El troyano sólo sirve como medio para alcanzar un fin, ya que pretende ser un programa útil y garantiza que el ordenador pueda verse comprometido a través de la puerta trasera incorporada. La puerta trasera por sí sola no requiere un troyano, ya que se puede instalar en el sistema desde el principio.

 

Muchos tipos de malware, ¿una solución?

La profesionalidad de los ataques de malware aumenta día a día. En particular, los ataques que utilizan programas de rescate son muy populares entre los ciberdelincuentes. Aquellos que piensan que existe LA solución contra el malware están desafortunadamente equivocados. Más bien, una empresa debe tener un concepto de seguridad sofisticado con muchas medidas diferentes. Lo que pueden ser en detalle, lo describimos a continuación.

Muchos componentes deben trabajar juntos como una buena máquina lubricada para lograr una protección óptima contra el malware. Sin embargo, el punto más importante es sensibilizar al personal sobre los ciberataques. Los empleados de una empresa deben ser conscientes de los peligros que plantea el malware. Por lo tanto, la información sobre los distintos canales de distribución de malware debería integrarse en la rutina diaria de trabajo, por ejemplo, en cursos de formación regulares.

Para estar seguros, también se aconseja a las empresas que utilicen un servicio de filtrado de spam para evitar que los correos electrónicos maliciosos lleguen a las bandejas de entrada de los empleados en primer lugar. En el improbable caso de que un programa de malware pueda llegar al ordenador de un empleado, un programa antivirus sigue siendo en muchos casos un método sensato para matar al intruso.

Además, las actualizaciones no sólo deben ser comunes para los programas antivirus. Es aconsejable establecer un proceso que revise periódicamente la oportunidad de los programas utilizados para actualizarlos si es necesario. Aquellos que escuchan estos consejos tienen al menos, menos probabilidades de convertirse en víctimas de los ciberdelincuentes.

 

Amenazas persistentes avanzadas – La amenaza invisible

Amenazas persistentes avanzadas – La amenaza invisible

¿Qué tienen en común los Juegos Olímpicos de Invierno, la red de información Berlín-Bonn y las grandes y medianas empresas? Todos ellos han sido y siguen siendo blanco de ciberataques de alto valor que buscan espiar y sabotear los procesos internos y robar y copiar datos importantes y secretos. Todo esto se hace de la forma más desapercibida posible y durante un período de tiempo más largo. Se trata de “amenazas avanzadas y persistentes”,, comúnmente conocidas como “amenazas avanzadas y persistentes” APT.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

“Los ataques son “avanzados” porque el atacante dispone de tiempo suficiente y acceso a grandes cantidades de dinero y, con ello, a capacidades de información y desarrollo. Para las “víctimas”, la intervención en su infraestructura informática es difícilmente localizable y difícil de encontrar, por lo que el intruso puede moverse sin ser detectado en la red interna durante varias semanas o incluso meses. Los ciberdelincuentes son a menudo grupos enteros y no es inusual que los competidores, las organizaciones o incluso los Estados estén detrás de los ataques ingeniosos.

Sus motivos son muy diferentes y van desde copiar tanta información detallada como sea posible sobre los datos internos de la empresa, así como hechos militares y políticos, hasta el enriquecimiento financiero en forma de robo financiero y de tarjetas de crédito. En Alemania, la Oficina Federal para la Protección de la Constitución advirtió recientemente de una nueva ola de ataques de la APT contra empresas y organizaciones de medios de comunicación alemanes en el ámbito de la investigación sobre armas químicas.

En general, a medida que la digitalización avanza en un número cada vez mayor de empresas, la ciberdelincuencia también va en aumento. Según un reciente estudio de Bitkom sobre espionaje digital, sabotaje y robo de datos, el 68% de las empresas encuestadas en Alemania declararon que se habían visto afectadas por la ciberdelincuencia en los dos últimos años (hasta octubre de 2018).

Las cinco etapas de un ataque de la APT

A diferencia de los ataques de virus y spam “comunes”, en los que los hackers envían un gran número de correos electrónicos infectados a víctimas aleatorias, un grupo de APT APT busca deliberadamente un objetivo de alto rango elegido por sus motivos. Los atacantes proceden según un patrón clásico, que puede dividirse en 5 niveles:

1. explorar e investigar

Una vez que se ha seleccionado un objetivo, la primera fase del ataque consiste en recopilar la mayor cantidad de información posible sobre la empresa u organización. Es muy probable que los hackers accedan a sitios web corporativos, medios sociales y otras fuentes disponibles al público para encontrar posibles puntos de entrada en los sistemas del objetivo.

2. una idea del sistema

Si el atacante tiene una buena idea de la estructura de su objetivo de ataque y sabe qué direcciones IP, dominios y sistemas están conectados de qué manera, puede buscar vulnerabilidades en detalle. Para tener acceso a los sistemas del objetivo, los hackers utilizan varios métodos: la ingeniería social, , como el fraude & y el phishing de los directores ejectivos, así como el software de rescate, ataques mixtos y los ataques dirigidos se encuentran entre los más conocidos. Por ejemplo, la seguridad cibernética no se limita a los sistemas y redes informáticas: los grupos de APT suelen utilizar el “factor humano” como una vulnerabilidad explotando rasgos humanos como la utilidad y la confianza. Una encuesta reciente realizada por la Oficina Federal de Seguridad de la Información (BSI) reveló que uno de cada seis empleados respondería a un correo electrónico falso de la planta ejecutiva y divulgaría información confidencial de la empresa.

3. espiando y extendiéndose

Tan pronto como los hackers tienen acceso al sistema, los atacantes suelen operar con la mayor cautela posible para no ser detectados. Las medidas de seguridad de la empresa y el software implementado se identifican de forma que se puedan explotar más agujeros de seguridad para ampliar el acceso de los atacantes a la red. Con la ayuda de los keyloggers y los datos encontrados, se intenta encontrar contraseñas y así obtener acceso a otros registros y sistemas de datos.

4. ejecución del ataque

Los perpetradores acceden a los sistemas desprotegidos y ahora actúan de acuerdo con su motivación y objetivos para este ataque. Por ejemplo, los datos sensibles de la empresa se pueden recopilar durante un período de tiempo más largo y/o se puede instalar malware en el sistema de TI. También se puede optar por la paralización de los sistemas y, por lo tanto, de los procedimientos operativos.

5. filtrado y análisis de los datos

Los datos y la información recopilada se envían a la base del Grupo APT para su análisis. Para poder acceder al sistema infectado de la empresa en cualquier momento y sobre todo sin ser detectado, los atacantes pueden instalar una especie de “puerta trasera”.

Detección y prevención de los APT

Particularmente con estos procedimientos manuales e individualizados, la seguridad de TI debe centrarse en la detección selectiva y en la reacción inmediata a posibles intentos de ataque. Con la avalancha diaria de correos electrónicos que entran y salen de una empresa, no se puede controlar manualmente, por ejemplo, los archivos adjuntos individuales o el contenido que indica fraude de los directores ejecutivos.

Con Hornetsecurity Advanced Threat Protection, los innovadores motores de análisis forense proporcionan supervisión en tiempo real de las comunicaciones corporativas y previenen inmediatamente los ataques. El servicio de APT está integrado directamente en la gestión de la seguridad del correo y ofrece mecanismos de protección tales como sandbox, reescritura de URL, análisis de URL, congelación y análisis forense de fraude dirigido, además del filtro de spam y virus. En caso de un ataque, es importante notificar inmediatamente al equipo de seguridad de TI de la empresa con detalles específicos sobre la naturaleza y el objetivo del ataque APT, el remitente y por qué se interceptó el correo electrónico. Gracias a las alertas en tiempo real, Hornetsecurity ATP puede informar al equipo de seguridad de TI de una empresa sobre ataques agudos en tiempo real. Esta información actualizada puede ser utilizada directamente por la empresa para la adopción de medidas correctivas, de modo que usted pueda cerrar sus brechas de seguridad en el menor tiempo posible y establecer medidas de protección adicionales.

Información adicional: