Security Alert: Microsoft Outlook Vulnerability

Security Alert: Microsoft Outlook Vulnerability

A severe security vulnerability has been discovered in Microsoft Outlook, which is currently being exploited by cybercriminals. The vulnerability, identified as CVE-2023-23397 with a CVSS score of 9.8, permits a remote, unauthorized attacker to compromise systems simply by transmitting a specifically crafted email. This malicious email enables the attacker to gain unauthorized access to the recipient’s credentials. Hornetsecurity detects emails that exploit the vulnerability and quarantines them to prevent emails from reaching the victim’s inbox.

The exploit is initiated by fetching and processing a malicious email by the Outlook client, potentially leading to exploitation even before the email is displayed in the preview pane. It triggers a connection from the victim to a location controlled by the attacker. This results in the leakage of the victim’s Net-NTLMv2 hash, a challenge-response protocol used for authentication in Windows environments. The attacker can then relay this information to another service and authenticate as the victim, further compromising the system.

Attack Sequence

The complexity of the attack is low and it has been seen in the wild according to Microsoft, with the exploit being used to target the European government, military, energy, and transportation organisations. It was initially reported to Microsoft by CERT-UA (the Computer Emergency Response Team for Ukraine).

Proof-of-Concept for CVE-2023-23397

A proof-of-concept created by the Hornetsecurity’s Security Lab team demonstrates that the exploit is hard-to-detect since all anti-malware and sandbox services incorporated into VirusTotal were unable to recognize it as malicious.

VirusTotal scan report of the CVE-2023-23397 proof-of-concept

Affected Versions

The critical Microsoft Outlook vulnerability impacts both 32-bit and 64-bit versions of Microsoft 365 Apps for Enterprise. Additionally, Office 2013, 2016, and 2019, as well as LTSC editions, are susceptible to the attack.

Recommendations

Hornetsecurity’s users are protected by the Spam and Malware Protection and Advanced Threat Protection services against inbound threats. To better protect your organization, we recommend the following steps in accordance with Microsoft’s advice:

  1. Administrators should block TCP 445/SMB outbound traffic to the internet from the network using perimeter firewalls, local firewalls, and VPN settings. This action prevents the transmission of NTLM authentication messages to remote file shares, helping to address CVE-2023-23397.
  2. Add users to the “Protected Users Security Group” in Active Directory to prevent NTLM as an authentication mechanism. This approach simplifies troubleshooting compared to other methods of disabling NTLM. It is particularly useful for high-value accounts, such as domain administrators.
  3. Microsoft has provided a script to identify and clean up or remove Exchange messages with UNC paths in message properties. The script can be found at https://microsoft.github.io/CSS-Exchange/Security/CVE-2023-23397/. Administrators should apply the script to determine if they have been affected by the vulnerability and to remediate it.
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

The likelihood of more widespread attacks targeting the CVE-2023-23397 vulnerability is expected to increase as public proof-of-concepts are already released. We therefore highly recommend that all users of Microsoft Outlook apply the security patches provided by Microsoft as soon as possible.

The Security Lab at Hornetsecurity continues to monitor the threat landscape to ensure that our customers are protected from the latest cyber threats.

1 de cada 4 empresas reportó incidentes de seguridad de IT en el último año, según una encuesta

1 de cada 4 empresas reportó incidentes de seguridad de IT en el último año, según una encuesta

El 27,6 % de las organizaciones fueron objeto de incidentes conocidos relacionados con la seguridad informática en los últimos 12 meses

IT Security Compliance - Blog Images

Una encuesta global de profesionales de IT y líderes de más de 800 organizaciones revela que más de una cuarta parte de las organizaciones encuestadas han reportado ser el objetivo de un incidente relacionado con la seguridad en los últimos 12 meses. De estas organizaciones que han sido atacadas, el 71,3 % están sujetas a requisitos de cumplimiento de seguridad como HIPAA, PCI, SOX, GDPR e ITAR/CMMC. La encuesta se centra en las medidas de seguridad informática dentro de las organizaciones, junto con la forma en que estas medidas se relacionan con los requisitos de cumplimiento creados por las entidades gubernamentales.

Si bien no existe una causalidad estricta entre la tasa de incidentes y la presencia de requisitos de cumplimiento, se puede concluir que las organizaciones que operan en industrias o territorios con una mayor incidencia de ciberataques tienen más probabilidades de estar reguladas por requisitos de cumplimiento.

De hecho, la encuesta encontró que 3 de cada 10 organizaciones (30,4 %) que están obligadas a cumplir con los requisitos de cumplimiento han reportado ser el objetivo de un incidente relacionado con la seguridad de IT en el último año, en comparación con el 22,8 % de las que no están obligadas a seguir estos requisitos.

La alta incidencia de casos relacionados con la seguridad de IT entre las organizaciones que están sujetas a requisitos regulatorios también puede explicar por qué el 70,5 % de las organizaciones considera necesario invertir en seguridad de IT más allá de lo exigido por las normas de cumplimiento.

Los ataques por correo electrónico representan el 71 % de todos los incidentes reportados

 

IT Security Compliance - Blog Images

Como se muestra en el gráfico anterior, las campañas de spam por email, phishing/robo de credenciales y emails fraudulentos son los vectores de ataque conocidos más comúnmente reportados. Este conjunto de datos refuerza nuestro conocimiento del hecho de que la debilidad más común entre las organizaciones es el medio a través del cual es más fácil comunicarse con los usuarios finales: el correo electrónico.

Si bien los endpoints comprometidos, las amenazas de día cero, los ataques de la cadena de suministro y las amenazas infiltradas también se mencionaron como vectores de ataque durante estos incidentes, el correo electrónico sigue siendo la vía de entrada más atractiva para los posibles ciberdelincuentes.

Si bien las funciones de filtrado de correo electrónico y seguridad que ofrecen los proveedores de servicios en la nube como Microsoft 365 pueden ayudar a combatir estas amenazas, las características de seguridad de correo electrónico más avanzadas ofrecidas por proveedores de seguridad especializados pueden aliviar la presión de los departamentos de IT internos, lo que les permite centrarse en las prioridades del negocio.

El 85,6 % de las organizaciones reportan el Ransomware como una preocupación importante de seguridad para los próximos 12 meses

 

IT Security Compliance - Blog Images

Cuando se les preguntó sobre las principales preocupaciones de seguridad de los próximos 12 meses, el 85,6 % de todos los encuestados mencionó el Ransomware. Teniendo en cuenta el apartado anterior, que destaca el correo electrónico como el principal vector de ataque, las preocupaciones en torno al Ransomware no son sorprendentes. Como ya destacamos en una encuesta de Ransomware realizada recientemente, 1 de cada 5 organizaciones es víctima de ataques de ransomware, y el efecto puede ser desastroso. La misma encuesta identificó la filtración de correo electrónico y el análisis de amenazas como una de las principales herramientas utilizadas por las organizaciones para combatir el riesgo que representan los ataques de Ransomware.

El tiempo de inactividad promedio que una empresa experimenta después de un ataque de Ransomware es de 21 días y, si bien el costo de ese tiempo de inactividad por sí solo puede ser fatal para muchas empresas, sin tener en cuenta el costo de la recuperación de datos, el pago del rescate y el daño a la marca a largo plazo.

La tasa de incidentes de seguridad de IT crece proporcionalmente al tamaño de empresa

 

IT Security Compliance - Blog Images

Casi 1 de cada 5 (18,5 %) empresas en el intervalo de 1 a 50 empleados han sido objetivo de un incidente relacionado con la seguridad de IT en el último año. Si bien se trata de una tasa de incidencia preocupantemente alta, es, con mucho, la más baja entre todos los intervalos de tamaño documentados en esta encuesta.

El 23,2 % de las organizaciones de 51 a 200 empleados fueron atacadas, al igual que el 25,8 % de las organizaciones de 201 a 500. Las organizaciones entre 500 y 999 empleados fueron blanco de los ataques en un 40,8 %, mientras que la mitad de las organizaciones encuestadas con más de 1.000 empleados reportaron un ataque.

Esta tendencia muestra claramente que los ciberataques son comunes en todas las organizaciones, pero parece claro que a medida que una organización crece, la tasa aumenta dramáticamente. Los esfuerzos de seguridad realizados en una empresa con menos de 500 empleados evidentemente no son suficientes para proteger a las organizaciones a medida que incrementan su tamaño.

El uso de más funcionalidades de seguridad de Microsoft 365 se correlaciona con una mayor tasa de incidentes de seguridad

 

4 de cada 5 (80,2 %) de todos los encuestados informaron que utilizan Microsoft 365 en su organización. Preguntamos a estas personas qué características de seguridad proporcionadas dentro de la suite de Microsoft 365 utilizan dentro de su empresa. Como era de esperar, la autenticación multifactorial es la característica más utilizada, con 3 de cada 4 encuestados (73,3 %) que hacen uso de ella. Defender y Conditional Access le siguen en popularidad con el 41,2 % y el 38,2 % de los encuestados.

El dato más sorprendente a este respecto es que cuanto mayor es el número de funcionalidades de seguridad de Microsoft 365 que una compañía reportó usar, mayor es la probabilidad de que dicha compañía haya sido objetivo de un incidente de seguridad en los últimos 12 meses. Así se puede comprobar en el siguiente gráfico:

 

IT Security Compliance - Blog Images

Si bien esto no significa que las funcionalidades de seguridad de Microsoft 365 tengan la culpa de la mayor incidencia, puede indicar que el uso de un mayor número de funcionalidades de seguridad puede generar en los departamentos de IT una falsa sensación de seguridad, lo que conlleva a un mayor riesgo de sufrir incidentes. También puede indicar que algunas de las características de seguridad de Microsoft 365 más complejas pueden estar siendo aplicadas de forma incorrecta, dejando así agujeros en la protección y no proporcionando la protección requerida.

La mayoría de las organizaciones (69,3 %) utilizan de 4 a 8 medidas de seguridad IT

 

IT Security Compliance - Blog Images

La mayoría de los departamentos de IT suelen emplear entre 4 y 8 medidas de seguridad, siendo el dato más habitual 5, y la media 5,8.

También queríamos entender qué tipo de relación, si la hay, existe entre el número de medidas de seguridad empleadas por las organizaciones y la tasa de incidentes de seguridad IT a la que se enfrentan. En el siguiente gráfico se pueden observar los datos.

IT Security Compliance - Blog Images

Sobre la base de los datos anteriores, podemos ver que la tasa de incidencia es más alta en ambos extremos del conjunto de datos. Las organizaciones que utilizan solo una medida de seguridad sufren una tasa de incidencia del 40 %, que es solo ligeramente inferior a las que utilizan 10 u 11 medidas de seguridad. Esto indica que cuantas más medidas de seguridad se utilicen, más propensa es la organización a sufrir ataques, y más vigilantes deben estar para evitar las amenazas.

El filtro de spam es la funcionalidad de seguridad más utilizada (84,4 %)

IT Security Compliance - Blog Images

Teniendo en cuenta que el principal vector de ataque de los incidentes de seguridad de IT conocidos reportados en esta encuesta fueron campañas de Spam a través del email, esta conclusión no es sorprendente. Otros métodos de seguridad altamente utilizados incluyen autenticación multifactorial (82,7 %) y filtrado del de tráfico web (68,8 %). Estos métodos se centran principalmente en evitar que las amenazas de seguridad lleguen fácilmente a los usuarios finales, sin embargo, ¿qué sucede cuando de alguna manera fallan?

Solo 6 de cada 10 (61,2 %) de las organizaciones se aseguran de que se imparta formación sobre seguridad informática a los usuarios finales para ayudarles a identificar las potenciales amenazas que han podido burlar los sistemas de filtrado que llegan a su ordenador. Este es un error significativo para aquellas organizaciones que no proporcionan dicha formación, teniendo en cuenta que el Phishing y el Robo de Credenciales es el segundo vector más común de ataque reportado en esta encuesta, con un 58,4 %. La formación ayudaría a los usuarios finales a identificar y señalar posibles amenazas e incluso podría proporcionar más datos a los equipos de IT para mejorar las medidas de seguridad.

¿Qué medida de seguridad corresponde a la menor cantidad de incidentes de seguridad de IT?

 

Entre todas las medidas utilizadas, las soluciones de backup del endpoint correspondieron a la tasa más baja de incidentes reportada por los encuestados. El 24,1 % de los que utilizaron esta medida de seguridad reportaron un incidente en el último año, en comparación con el 42,1 % de los que utilizaron soluciones SIEM, la más alta entre las medidas utilizadas. Si bien esto no significa que el uso de soluciones de Endpoint Backup reduzca la tasa de que ocurran incidentes dentro de las organizaciones, sí indica que las organizaciones que asignan recursos a esta medida parecen estar menos en riesgo.

Estos datos también indican que, si bien las soluciones SIEM como Azure Sentinel pueden proporcionar análisis en tiempo real para combatir las amenazas de seguridad, no se puede confiar en ello por sí solo. La alta tasa de incidentes de seguridad reportados por aquellos que utilizan esta solución indica que la presencia de una solución SIEM puede inculcar una falsa sensación de seguridad y conducir a un monitoreo menos activo por parte de los miembros del departamento de IT.

IT Security Compliance - Blog Images

Solo el 28,4 % de las organizaciones dicen que el gasto en IT está impulsado por las principales preocupaciones de seguridad «la mayoría» o «todo» del tiempo

 

Only 28.4% of organizations say IT spend is driven by top security concerns ‘most’ or ‘all’ of the time

Teniendo en cuenta que la seguridad digital debe ser una de las principales prioridades para cualquier organización desde una perspectiva de IT, estamos bastante sorprendidos por el bajo número de organizaciones donde las preocupaciones de seguridad impulsan el gasto de IT de manera consistente. Curiosamente, más de la mitad de todos los encuestados (56,4 %) informaron que las preocupaciones de seguridad impulsan el gasto de IT solo «a veces».

Cuando se preguntó acerca de los principales obstáculos para implementar funcionalidades de seguridad dentro de su organización, casi 2 de cada 3 encuestados (62,6 %) citaron «no suficiente tiempo o recursos», el 44,6 % citó una «falta de presupuesto» y el 36,2 % señaló «problemas de formación o falta de conocimiento». Casi 1 de cada 4 encuestados (23,1 %) también mencionó una «falta de interés por parte de la dirección».

Estos resultados parecen indicar que, aunque 1 de cada 4 organizaciones son objeto de amenazas de seguridad, esta alta tasa de incidencia no se refleja en las acciones del presupuesto de IT de muchas empresas.

El 55,5 % de las organizaciones no tienen un proceso de seguimiento y revisión de cambios.

 

IT Security Compliance - Blog Images

Continuamos ilustrando la falta de esfuerzo que están haciendo muchas organizaciones para mantenerse a salvo de las amenazas de seguridad, más de la mitad de nuestros encuestados informaron que su organización no tiene un proceso de seguimiento y revisión de cambios en su departamento de IT. La falta de control y revisión de cambios puede conducir a mayores riesgos de seguridad y grietas. La falta de seguimiento también puede hacer que sea más difícil entender de dónde provienen ciertas amenazas de seguridad e identificar puntos débiles en el sistema que requieren mantenimiento y seguridad adicional.

Casi 2 de cada 3 (63,5 %) organizaciones están sujetas a requisitos regulatorios

 

IT Security Compliance - Blog Images

El requisito regulatorio más común reflejado en la encuesta es RGPD, relacionado con el 39 % de todos los encuestados. Otros dos requisitos reglamentarios que son también bastante comunes son el PCI (19,3 %) y el HIPAA (18,6 %). Más de la mitad (52,8 %) de los encuestados reportan que estos requisitos de cumplimiento impulsan que IT gaste solo «parte del tiempo», y solo el 26 % reporta que el gasto en IT está impulsado por el cumplimiento «la mayoría» o «todo» del tiempo.

7 de cada 10 (70,5 %) organizaciones invierten en seguridad de IT más allá de los requisitos reglamentarios

IT Security Compliance - Blog Images

A pesar de que los presupuestos de IT no siempre se ven afectados por los requisitos regulatorios, según nuestra encuesta, más de 7 de cada 10 organizaciones invierten en seguridad de IT más allá de lo requerido por los requisitos de cumplimiento. Sin embargo, lo contrario también es cierto, con 3 de cada 10 empresas que no invierten lo suficiente en seguridad de IT para cumplir con los requisitos. Las razones citadas por los encuestados en cuanto a cuál es el principal obstáculo para implementar los requisitos de cumplimiento incluyen «falta de tiempo o recursos» (65,1 %), «falta de presupuesto» (40,1 %), «cuestiones de capacitación o falta de conocimiento» (38,7 %) y «falta de interés de la dirección (20 %).

Resultados completos de la Encuesta de Seguridad y Cumplimiento de IT

 

Puedes revisar todos los datos de la encuesta de cumplimiento de seguridad de IT aquí.

Acerca de la Encuesta de Seguridad y Cumplimiento de IT

 

Aquí puedes encontrar un detalle completo de los encuestados, para tener un contexto completo relacionado con los datos anteriores.

En lo que se refiere a la forma en que se manejan los recursos de lT dentro de las organizaciones encuestadas, hay tres subconjuntos principales. El 37,3 % de los encuestados proporciona servicios gestionados de IT, el 31,4 % utiliza solo recursos de IT internos y el 21,8 % utiliza los servicios de un proveedor de servicios gestionados (MSP), consultor de IT o distribuidor de valor añadido. El 9,5 % restante de los encuestados tiene un solo individuo responsable de IT (pero no es su función principal) o un recurso de IT compartido.

IT Security Compliance - Blog Images

El tamaño de las empresas (por número de empleados) del que forman parte nuestros encuestados varía entre 1-50 (43,5 %), 51-200 (18,8 %), 201-500 (12,8 %), 501-999 (6,5 %) y más de 1.000 (18,5 %).

IT Security Compliance - Blog Images

También preguntamos a nuestros encuestados cuántos años de experiencia tienen en el sector IT. Más de la mitad (51,5 %) reportó más de 20 años de experiencia. El resto se divide entre 16-20 años (14,3 %), 10-15 años (13,2 %), 6-10 años (13,5 %) y 1-5 años (7,5 %).

IT Security Compliance - Blog Images

En términos geográficos, la gran mayoría de los encuestados están basados en Norteamérica (44,1 %) y Europa (40,6 %). Mientras que el 14 % restante está dividido entre Asia (4,4 %), África (3,4 %), Australia (3,8 %), Oriente Medio (2 %) y Sudamérica (1,7 %).

IT Security Compliance - Blog Images

Conclusión

 

Mantener a las organizaciones y sus clientes a salvo de amenazas externas es una de las principales preocupaciones de los equipos de IT en todo el mundo. Es uno de los sectores más complejos y en rápido crecimiento, y por una buena razón. Las brechas de seguridad y los ciberataques son prácticamente una industria en sí mismos, con ataques exitosos que cuestan a las empresas y a sus clientes millones de euros cada año.

Como hemos descubierto a través de estos resultados de la encuesta, el aumento de los requisitos de cumplimiento no significa la desaparición completa de las amenazas. La vigilancia independiente, constante y proactiva por parte de cada organización sigue siendo esencial para tener más posibilidades de frustrar potenciales ataques, independientemente de las variables involucradas.

Esperamos que esta información te haya sido de utilidad, si deseas obtener datos más detallados tienes también a tu disposición los resultados completos de la encuesta.

Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta de adopción del Cloud Híbrido: 2 de cada 3 Profesionales IT ven el Cloud Híbrido como el futuro

Acerca de la encuesta de adopción del Cloud Híbrido

La migración a las tecnologías cloud siempre ha parecido algo inevitable, pero lejano. Sin embargo, los acontecimientos de los últimos dos años han acelerado la tasa de adopción de la tecnología cloud, gracias a la creciente necesidad de soluciones remotas para empresas y particulares. El camino hacia la nube ha demostrado ser accidentado, con muchos desafíos técnicos y humanos que deben abordarse antes de que cualquier empresa pueda afirmar ser completamente nativa en la nube, o incluso adoptar un modelo de cloud híbrido.

Seguridad, almacenamiento de datos, compatibilidad de aplicaciones, regulaciones de la industria, software heredado, hay una cantidad casi infinita de variables que pueden tener un impacto en el trayecto de cualquier empresa a la nube. Tenemos un montón de contenido disponible en DOJO sobre estos temas, pero queríamos averiguar exactamente cuáles de estos desafíos han sido los más frecuentes en entornos de cloud híbrido, además de lo que los profesionales IT piensan que el futuro traerá acerca de la infraestructura. Después de todo, puede ser difícil saber exactamente cuándo es el momento adecuado para la transición a la tecnología cloud.

Por esta razón, realizamos una encuesta de adopción de cloud híbrido con más de 900 profesionales de IT en todo el mundo, y ahora estamos listos para compartir nuestros hallazgos contigo. A lo largo de este artículo encontrarás un resumen, pero si quieres ver datos más detallados, también puedes echar un vistazo a la encuesta completa.

Dicho esto, empecemos.

Acerca de los encuestados

Antes de sumergirnos propiamente en los resultados, esta es la descripción de los encuestados, para entender mejor el contexto.

Algo más de la mitad (50,4 %) de los encuestados forman parte de un departamento interno de IT, mientras que el 23,6 % forman parte de un MSP. El resto se divide entre otros roles y dueños de empresas que gestionan sus propios sistemas IT. La mayoría de los encuestados tienen roles relacionados principalmente con la administración de sistemas o la ingeniería (80,4 %), mientras que el resto son responsables de gestión de equipos (19,6 %).

También preguntamos a nuestros encuestados por los años de experiencia en el área IT. Casi la mitad (45,8 %) reporta más de 20 años de experiencia mientras que el resto se divide entre 16-20 años (17,9 %), 10-15 años (18,1 %), 6-10 años (11,1 %) y 1-5 años (7,1 %).

En términos de área geográfica, la gran mayoría de los encuestados están basados en Norteamérica (43,8 %) y Europa (41,6 %). El 14 % restante se divide entre Asia (4,7 %), África (3,3 %), Australia (2,9 %), Oriente Medio (2,1 %) y Sudamérica (1,7 %).

El tamaño de las empresas (por número de empleados) de las que forman parte los encuestados varía entre 1-50 (41,7 %), 51-200 (23,1 %), 201-500 (12,1 %), 501-1000 (6,7 %) y más de 1.000 (16,3 %).

Hornet Result Images 01

2 de cada 3 profesionales de IT ven las soluciones de cloud híbrido como un destino permanente para la infraestructura

Hornet Result Images 02

Uno de los hallazgos más interesantes de la encuesta de cloud híbrido es que, si bien el sentimiento del sector es que la infraestructura en la nube es el futuro, el 67 % de los encuestados cree que una estrategia de cloud híbrido no es un paso intermedio para la infraestructura, sino más bien un destino permanente. Esto se debe a cargas de trabajo específicas que deben permanecer on-premise por diferentes motivos que se explorarán más adelante.

El 28,6 % de los encuestados contestaron que continuarán con un modelo de cloud híbrido solo hasta que la adopción completa de la nube esté disponible para sus cargas de trabajo. Esperamos que este porcentaje crezca en los próximos años a medida que se resuelvan problemas más comunes relacionados con la adopción de la nube, como la compatibilidad de aplicaciones, gracias a los avances en la tecnología de contenedores.

El 4,3 % restante de los encuestados dijo que permanecerán 100 % en on-premise en el futuro más próximo, rechazando incluso una estrategia de cloud híbrido. Cuando se les pregunta por las razones por las que mantienen una infraestructura totalmente on-premise, estos encuestados citan la necesidad de un control total sobre sus datos, problemas de seguridad y consideraciones de coste relacionadas con los servicios en la nube.

1 de cada 3 empresas mencionan problemas de confianza en la nube como motivo para mantener cargas de trabajo on-premise

Hornet Result Images 03

El 34,1 % de todos los encuestados dijeron que “los problemas de privacidad/confianza en la nube pública” están detrás del mantenimiento de ciertas cargas de trabajo on-premise. Este sentimiento es frecuente en todos los encuestados, y no hay ninguna diferencia apreciable en la confianza en la nube pública en función de la zona geográfica o el tamaño de la empresa, lo que es un claro indicador de que se trata de una desconfianza generalizada.

Sin embargo, existe una diferencia en el nivel de confianza en la nube pública entre los encuestados con más experiencia y sus homólogos menos experimentados. Los encuestados con más de 20 años de experiencia muestran más desconfianza en las plataformas en la nube (33,6 %) que aquellos con 1-5 años de experiencia (24,2 %). Esto indica que a mayor experiencia se genera más escepticismo cuando se trata de permitir el acceso de las plataformas en la nube a los datos de la empresa y la operativa.

La seguridad y la monitorización son una de las principales preocupaciones que muchos de los encuestados mostraron. De hecho, cuando se les preguntó qué retos técnicos ven en un modelo de cloud híbrido, la mitad (49,3 %) de los encuestados citaron “vigilancia y seguridad”. Esto no es solo una preocupación desde la perspectiva de una plataforma en la nube, sino también desde una perspectiva de usuario. El 73,1 % de los encuestados mencionaron que estaban utilizando o planeando utilizar la autenticación multifactorial y el acceso condicional como parte de su conjunto de herramientas de seguridad.

Existe un sentimiento general claro de que, a medida que se trasladan más cargas de trabajo a la nube, mayor es la preocupación por el control, la vigilancia y la seguridad, especialmente cuando se compara con la aparente tranquilidad con la que se asocia la infraestructura on-premise.

Solo el 5,7 % de los encuestados no informa de dificultades técnicas con tecnologías cloud o híbridas

Hornet Result Images 04

Entre las razones que los encuestados citan para mantener ciertas cargas de trabajo on-premise, había dos que se mencionaron con más frecuencia que los problemas de confianza en la nube. Se trataba de “sistemas o software heredado” y “compatibilidad de aplicaciones”, que fueron reportados por el 51,8 % y el 39,5 % de los encuestados, respectivamente.

Esto indicaría que, a pesar de que Microsoft y otros proveedores de plataformas en la nube han asignado recursos significativos para proporcionar a los profesionales de IT vías para modernizar sus aplicaciones y ayudar en la migración a la arquitectura de cloud híbrido, este esfuerzo no ha sido suficiente para eliminar los problemas asociados.

De hecho, cuando se preguntó qué dificultades técnicas tienen los encuestados con las tecnologías cloud, la respuesta más frecuente (48,2 %) fue “conocimiento técnico o personal certificado”. Lo que significa que a pesar de que existe tecnología disponible para superar problemas relacionados con el software heredado y la compatibilidad de aplicaciones, muchas empresas carecen del conocimiento y la habilidad necesarios para implementarlos.

Hay más evidencias de esta falta de conocimiento, ya que un tercio (33,3 %) de los encuestados también citó la conectividad como una dificultad técnica que tienen con las tecnologías en la nube. De hecho, si bien la conectividad es sin duda uno de los aspectos más difíciles de la aplicación de las plataformas en la nube, puede manejarse con el conocimiento y la certificación adecuados.

Cargas de trabajo que frenan la adopción total del cloud

Cuando se preguntó qué cargas de trabajo específicas preveían mantener on-premise, se obtuvieron los siguientes resultados.

En cuanto a los servicios de impresión e imagen, que son la carga de trabajo mencionada con más frecuencia, es probable que muchos equipos de IT internos adopten un enfoque “si no se rompe, no lo toques”, especialmente porque el acceso remoto a estos servicios es redundante en la mayoría de los casos. Los servicios de impresión e imagen también son un servicio crítico para el usuario final en muchas organizaciones, por lo que es probable que los departamentos de IT tengan más reticencias a la hora de intentar una actualización para no interrumpir el funcionamiento.

Las bases de datos y el almacenamiento de archivos también ocupan un lugar destacado en la lista, ya que una combinación de problemas de privacidad y rendimiento son las principales razones por las que esas cargas de trabajo se mantendrían on-premise en muchas empresas. Las regulaciones de la industria como GDPR, HIPAA, CMMC y otros también pueden estar jugando un papel destacado, ya que el 28,7 % de los encuestados las citó como un obstáculo para la adopción de la nube.

Las empresas que utilizan servicios MSP tienen más probabilidades de utilizar soluciones en la nube que on-premise

Hornet Result Images 05

Los MSP estarán encantados de escuchar que están liderando el camino cuando se trata de la adopción de la nube en el sector. El 54,4 % de los MSP reportan que ven sus cargas de trabajo “principalmente en la nube” en los próximos 5 años. También parecen estar empujando a sus clientes hacia la tecnología de cloud híbrido con ellos, ya que el 51,7 % de las empresas que utilizan servicios MSP también se ven yendo a un modelo de cloud híbrido en un futuro próximo. El 46,9 % de los departamentos de IT internos, por otro lado, reportan que estarán “preferentemente en la nube” en 5 años.

Sin embargo, los problemas de confianza con la nube pública siguen siendo relativamente constantes en todos los encuestados, ya que el 34,4 % de los equipos de IT internos informan de que los problemas de confianza son un obstáculo para la adopción de la nube, frente al 32,5 % de los profesionales que utilizan servicios MSP.

Y más buenas noticias para los MSPs, nuestra encuesta también revela que el 40,8 % de los encuestados que no forman parte de un MSP, ni utilizan ningún servicio MSP, considerarían la posibilidad de contratar a un proveedor de servicios gestionados para ayudar con la transición de una arquitectura on-premise a una de cloud híbrido.

Servicios de contenedores más populares

A través de la encuesta, también queríamos averiguar qué servicio de contenedores tiene más popularidad dentro de nuestra base de encuestados, ya que esta es una de las tecnologías clave que hacen posible una estrategia de cloud híbrido para ciertos casos.

Nos sorprendió relativamente encontrar que Docker sigue siendo popular entre todos los servicios, con 3 de cada 10 (30,7 %) encuestados citando que es la tecnología que utilizan actualmente o planean usar en los próximos 5 años. Esto se contrapone al 22 % de los encuestados que utilizan el servicio Azure Kubernetes.

Esto es especialmente sorprendente, ya que Kubernetes con ContainerD está demostrando ser una solución de contenedores más potente, pero también más compleja. De hecho, nos adentramos en las complejidades de AKS (Azure Kubernetes Service) con Ben Armstrong de Microsoft en un episodio del DOJO SysAdmin Podcast, que no deberías perderte si estás en búsqueda de servicios de contenedores.

Resultados de la encuesta de adopción del Cloud Híbrido

Si quieres revisar los datos por tí mismo, no dudes en echar un vistazo a los resultados de la encuesta de adopción de cloud híbrido aquí. 

¿Próximos pasos?

Los hallazgos de la encuesta influirán directamente en el webinar de Altaro que se celebrará el 23 de marzo: Cómo Azure Stack HCI está forzando a hacer cambios en tu Datacenter. Los MVP de Microsoft Andy Syrewicze y Carsten Rachfahl desglosarán la solución de cloud híbrido de Microsoft Azure Stack HCI, lo que significa para los profesionales IT y cómo encajará en la tecnología stack a largo plazo. Regístrate en este webinar sobre Cloud híbrido>

 

Preguntas frecuentes

¿Qué es el cloud híbrido y cómo funciona?

El cloud híbrido es un término utilizado para describir una arquitectura de sistemas de IT que utiliza una combinación de tecnología on-premise y servicios en la nube (públicos o privados). Un modelo de cloud híbrido permite que estos sistemas interactúen entre sí y compartan datos y recursos para apoyar el funcionamiento de una infraestructura de IT.

¿Cuál puede ser un ejemplo de un modelo de cloud híbrido?

Los modelos de cloud híbrido se utilizan en una amplia variedad de situaciones. El más común es el de una empresa que quiere modernizar su infraestructura de IT, pero tiene ciertas cargas de trabajo que deben permanecer en los centros de datos físicos debido a las necesidades de software heredado o requerimientos del sector.

¿Cómo construyo una arquitectura de cloud híbrido?

El primer paso es familiarizarse con los proveedores de plataformas de cloud híbrido, como Microsoft Azure, Amazon Web Services, Google Cloud, etc. Cada uno de estos proveedores tiene sus fortalezas y debilidades, por lo que saber los requerimientos de tu infraestructura IT es esencial para elegir la plataforma adecuada. Una ventaja de las tecnologías en la nube es que no requiere instalaciones de hardware para probarlas, por lo que se recomienda testar diferentes proveedores para saber cuál se adapta mejor a tu negocio.

¿Cuáles son los beneficios de la tecnología Cloud Híbrido?

Los beneficios son:

Flexibilidad y escalabilidad. Dado que no dependen de recursos fijos de hardware, los sistemas que operan en entornos de cloud híbrido pueden aumentar y disminuir la asignación de recursos dependiendo de la carga de trabajo en cada momento.

Gestión de costes. Con la cantidad de diferentes opciones disponibles y precios tanto para la tecnología de nube privada como pública, las empresas pueden elegir qué aplicaciones se ejecutarán en qué plataforma en función de sus necesidades y presupuestos.

Seguridad y vigilancia. Las suites de seguridad nativas y de terceros y el software de monitorización están ampliamente disponibles para la mayoría de las principales plataformas en la nube, lo que las convierten en una opción preferible para las empresas que necesitan accesibilidad a los servicios en la nube para los datos sensibles.

Control y personalización. Con la gran cantidad de opciones de integración disponibles para las plataformas en la nube, IT puede adoptar la forma de cualquier infraestructura específica que requiera la empresa.

Fiabilidad y resiliencia. Gracias a la naturaleza descentralizada de los diferentes servicios en la nube, el tiempo de inactividad es excepcionalmente raro, y la pérdida de datos debido a fallos de hardware es prácticamente inexistente. Recuperar cualquier dato perdido es también un proceso leve en la mayoría de los casos.

¿Para qué se utiliza un enfoque de cloud híbrido?

Cargas de trabajo que cambian con frecuencia para aplicaciones que requieren la escalabilidad de la tecnología en la nube y la seguridad del almacenamiento on-premise o en la nube privada.

Altos niveles de procesamiento de datos: el procesamiento de grandes cantidades de datos suele ocurrir en oleadas. Las plataformas de cloud híbrido permiten asignar recursos externos a un coste menor que otras soluciones.

Migración a la tecnología cloud : Gracias a su flexibilidad, muchas empresas están utilizando un enfoque de cloud híbrido hasta que todas sus cargas de trabajo se pueden transferir completamente a la nube debido a limitaciones financieras o tecnológicas.

Preparación para el futuro: ninguna empresa sabe exactamente lo que va a requerir en el futuro, y un enfoque de cloud híbrido permite ser ágil y reactivo con sus recursos de IT de maneras que antes eran imposibles.

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

La seguridad del correo electrónico es uno de los principales temas de preocupación para cualquier departamento de informática, y por una buena razón. Las brechas de seguridad a menudo conducen a la pérdida de datos confidenciales, el tiempo de inactividad de la operación y la pérdida de ingresos. Por ello, realizamos una encuesta de seguridad de correo electrónico a más de 420 empresas, y encontramos que el 23% de ellas, o 1 de cada 4, reportó un incidente de seguridad relacionado con el correo electrónico. De estas brechas de seguridad, el 36% fueron causadas por ataques de phishing dirigidos al punto más débil de cualquier sistema de seguridad, los usuarios finales.

La encuesta también examinó cómo las empresas que operan en la plataforma Microsoft 365 utilizan la seguridad del correo electrónico, y si usan o no las herramientas de seguridad de Microsoft 365 o recurren a soluciones de terceros. Es importante tener en cuenta que los resultados revelan el número de infracciones de seguridad que los encuestados conocían y que, a menudo, las posibles brechas de seguridad se notifican meses después, cuando se han perdido por completo o no se han notificado en absoluto.

Reported Email Security Breach

¿Cuál es la causa principal de las brechas de seguridad del correo electrónico?

De las brechas de seguridad que los encuestados conocían, el 36% fueron causadas por ataques de phishing dirigidos específicamente a los usuarios finales. Lo más sorprendente es que el 62% de todas las brechas de seguridad de correo reportadas ocurrieron debido al uso de contraseñas comprometidas por el usuario y ataques de phishing exitosos.

User Compromised PW and Phishing Attacks

Este hecho confirma lo que muchos ya asumían como una certeza: que sus funciones de seguridad de correo electrónico son tan útiles como la formación proporcionada a los usuarios finales para usar dichas funciones de manera correcta y responsable.

Uso de las funcionalidades de seguridad de Microsoft 365

Teniendo en cuenta estos datos, queríamos cuantificar y comprender lo que las empresas están haciendo para reforzar la seguridad de su correo electrónico. Hicimos una serie de preguntas sobre la mayoría de las funcionalidades de seguridad integradas actualmente en Microsoft 365. Más concretamente, preguntamos si las empresas las están utilizando y, en caso negativo, por qué. Esto es lo que encontramos:

  • 1/3 de las empresas no habilitan la autenticación multifactorial para todos los usuarios
  • Más de la mitad (55%) de los que usan MFA no usan acceso condicional
  • El 69% de los encuestados no firma digitalmente los mensajes
  • El 58% de los encuestados no utiliza el cifrado de mensajes al enviar correos electrónicos
Do not enable MFA for users

Estos problemas también se ven agravados por el hecho de que el 57% de nuestros encuestados también mencionan que no aprovechan las directivas de Prevención de Pérdida de Datos de Microsoft 365 y el 23% de estos, apuntan a una falta de conocimiento sobre la implementación de dichas políticas como la principal causa.

Leverage DataLoss Prevention Policies

El 68% de las empresas espera que Microsoft 365 las mantenga a salvo de las ciberamenazas de correo electrónico, pero el 50% utiliza soluciones de terceros

Parece haber una desconexión entre las expectativas que las empresas tienen de la seguridad del correo electrónico de Microsoft 365 y la realidad: mientras que 2 de cada 3 esperan que Microsoft los mantenga a salvo de las amenazas de correo, la mitad de todos los encuestados recurren a soluciones de terceros para complementar la seguridad del correo.

MS Keeping Safe from Email Threats
MS Email Security Features Licensing

Soluciones de terceros más efectivas, un 82% no reporta infracciones

Aquellos encuestados que usan soluciones de terceros, informaron de la tasa más baja de brechas de seguridad por correo electrónico en comparación con las organizaciones que usan paquetes de seguridad ofrecidos por Microsoft 365. Un 82% de todos nuestros encuestados que utilizan soluciones de seguridad de correo electrónico de terceros, no informaron de infracciones.

82 Percent report no Security Breaches

Además, de los que informaron haber pagado extra por Enterprise Mobility & Security E3 o E5 de Microsoft, el 48% también usaron soluciones de terceros. Por tanto, si bien las expectativas de seguridad del correo de Microsoft 365 son altas, la realidad es que la mayoría de las empresas creen que no es suficiente; y los números respaldan esa afirmación.

¿Qué empresas son las más vulnerables a las amenazas de seguridad por correo electrónico?

Para contextualizar, aquí hay algunos datos geográficos sobre nuestros encuestados: la abrumadora mayoría (63.8%) proviene de América del Norte, le sigue Europa con 26.5%. El resto se reparte entre Asia (3,5%), África (2,9%), Australia (1,3%), América Latina (1,3%) y Oriente Medio (0,5%).

El 74% de todas las brechas de seguridad reportadas en esta encuesta fueron por compañías que se encontraban dentro de los dos rangos de tamaño de la compañía. Aquellos con 201-500 empleados y 501-1000 empleados. Esto probablemente se deba a una combinación de factores como el presupuesto y las prioridades de contratación que no reconocen la ciberseguridad como una preocupación importante desde el principio.

Reported Breaches based on Company Size

Una vez que el número de empleados supera los 1.000, la incidencia de una brecha de seguridad por email disminuye al 17%, probablemente debido a las preocupaciones de seguridad anteriores y la capacidad de invertir en protocolos de ciberseguridad más sólidos e infraestructura de TI más avanzada. Lo que ilustra este punto es el hecho de que las empresas con más de 1,001 empleados tienen un 11% más de probabilidades de tener un MFA (Autenticación Multifactor) habilitado para todos los usuarios que aquellas con 201-500 empleados.

Aquí hay otra conclusión interesante: los encuestados de América del Norte informaron un 5% más de brechas de seguridad de correo electrónico que las ocurridas en Europa. Sin embargo, ambas regiones usan Autenticación Multifactor a la misma velocidad: 68%. Esto podría deberse al hecho de que las infracciones estadounidenses tienden a producir pagos mucho más altos, por ello, las organizaciones norteamericanas podrían ser atacadas de manera más agresiva.

¿Cómo se sienten las empresas acerca del almacenamiento de sus datos confidenciales en Exchange Online y Microsoft 365?

MS365 and MS Exchange Security Concerns

La mayoría de los encuestados no informaron de tener ninguna preocupación con el almacenamiento de datos confidenciales, pero resulta que casi 4 de cada 10 empresas no almacenan datos confidenciales utilizando la plataforma Microsoft 365 debido a problemas de seguridad de datos. Ese porcentaje no es insignificante teniendo en cuenta que plataformas como Microsoft 365 son críticas para la mayoría de las operaciones de la compañía.

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

Un viaje a través de la historia de la criptografía – Parte 3

Un viaje a través de la historia de la criptografía – Parte 3

¡Llegamos al final! Nuestro viaje a través de la historia de la criptografía ya está casi terminado, pero todavía tenemos algunas últimas paradas por delante. Después de la última parte, donde hablamos del cifrado simétrico y los métodos de cifrado basados en Data Encryption Standard (DES) y Advanced Encryption Standard (AES), en este artículo, queremos echar un vistazo más de cerca al cifrado asimétrico. También vislumbraremos técnicas de ciberataques como Man-in-the-middle (MiTM) y ataques de fuerza bruta. Por último, nos atreveremos a echar un vistazo al futuro con el término clave: la criptografía cuántica.

Prepárate y disfruta de las últimas paradas antes de dar el último adiós a la historia de la criptografía.

It’s a match: cifrado asimétrico con un par de claves

Como se mencionó en el último post, el cifrado asimétrico utiliza un par de claves. La clave pública que está disponible para todos los participantes de la comunicación y la clave privada como segunda clave, que permanece secreta para cada partner de comunicación. La clave privada garantiza que el mensaje se puede descifrar.

Por ello, si deseas enviar un mensaje cifrado a un destinatario, primero se requiere la clave pública del destinatario. Esta clave se puede caracterizar como una especie de “clave desechable” porque sólo puede cifrar, pero no descifrar. Un ejemplo muy común de ilustración es el buzón en el correo tradicional: el remitente conoce la dirección del destinatario y puede lanzar la carta en su buzón de correo. Sin embargo, el destinatario no puede sacar la carta a través de esta ruta. Así que aquí, se necesita otra clave para abrir el buzón de correo y luego llegar a la carta. Del mismo modo, el destinatario solo puede descifrar el mensaje con su clave privada.

En 1974 Ralph Merkle dio el primer paso hacia el desarrollo del criptosistema asimétrico con el Puzzle Merkles llamado así en su honor. El primer método de cifrado asimétrico fue desarrollado por los criptógrafos del MIT en 1977: el método RSA. Sin embargo, este método es muy vulnerable a los ataques porque funciona de forma predeterminada, y, por lo tanto, es fácil de descifrar.

Echemos un vistazo más de cerca de dos estándares de cifrado asimétricos conocidos y utilizados activamente. Nos dirigimos a nuestra primera estación.

Bastante bueno: Pretty Good Privacy

En la década de 1990, el Senado de los Estados Unidos decidió que debía integrarse una puerta trasera en cualquier software o hardware de cifrado. Pretty Good Privacy, o PGP para abreviar, fue entonces especificado por Philip Zimmermann en 1991. Con este desarrollo, se persiguió el objetivo de que todos los ciudadanos estadounidenses y los movimientos ciudadanos pudieran intercambiar mensajes cifrados y evadir el acceso de las agencias de inteligencia.

Dado que la Ley de Exportación de los Estados Unidos impidió una exportación sin licencia del código fuente de PGP, fue escrito como un libro por más de 60 voluntarios. El libro no estaba sujeto a restricciones de exportación en ese momento y, por lo tanto, podía exportarse legalmente desde los Estados Unidos para dar a conocer el código en todo el mundo.

En 1997, PGP fue adquirida por McAfee e integrada en su cartera de productos. En 2002, la empresa abandonó la marca. Se dice que la razón de esto fue la fuerte crítica al código fuente no revelado de PGP. Hasta 2010, la recién fundada PGP Corporation poseía todos los derechos sobre PGP hasta que fue vendida a Symantec en 2010.

PGP se basa en un concepto de cifrado con dos funciones principales: cifrado y firma de un mensaje. Como se explicó anteriormente, se utilizan un par de claves para el cifrado. Sin embargo, PGP no cifra todo el mensaje de forma asimétrica, sino solo la sesión utilizada. El mensaje real se codifica simétricamente. La razón de este cifrado híbrido es el esfuerzo computacional excesivo con un cifrado puramente asimétrico.

Además del cifrado, la clave pública también se puede utilizar para generar firmas, que se pueden usar para comprobar la autenticidad del mensaje. Esto garantiza la veracidad, integridad y confidencialidad del mensaje. Para ello, la clave pública debe autenticarse con las claves privadas de los demás partners de comunicación. Estos procedimientos también se denominan Web of Trust (WoT). Este tipo de modelo de confianza es beneficioso si deseamos permanecer como anónimos. Los usuarios prominentes del cifrado PGP son, por lo tanto, denunciantes como Edward Snowden. La seguridad de PGP solo está garantizada siempre y cuando los usuarios mantengan sus claves privadas en secreto.

Estamos dando un salto desde el PGP desarrollado en 1991 a 1999, al nacimiento de otro estándar de cifrado asimétrico.

S/MIME

El método de cifrado, S/MIME, publicado en 1999, también se basa en las principales aplicaciones de firma y cifrado, y, por lo tanto, funciona de manera similar a PGP. Sin embargo, si deseas cifrar y firmar tus correos electrónicos con S/MIME, debes registrarte con una entidad de certificación adecuada y solicitar un certificado. La certificación de la clave pública por parte de los demás partners de comunicación, como es el caso de PGP, se sustituye aquí por un certificado formal. El partner de comunicación puede entonces ver en la información de encabezado del mensaje desde qué entidad de certificación el remitente ha recibido su certificado y, si es necesario, tener su identidad confirmada a través de este organismo. Las empresas en particular utilizan S/MIME en su cifrado de correo electrónico.

Un viaje a través de la historia de la criptografía - Infografía de Horntsecurity

Básicamente, ambos métodos de cifrado mencionados solo son seguros siempre y cuando la clave privada se mantenga en secreto. Sin embargo, en 2018 un equipo de investigadores de la Universidad de Ciencias Aplicadas de Münster, la Universidad del Ruhr Bochum y la Universidad de Lovaina publicó un documento que cuestionaba la seguridad de los estándares de cifrado PGP y S/MIME y así atrajo gran atención. Sin embargo, los resultados de la investigación no se centraron en los protocolos en sí, sino en una vulnerabilidad en los clientes de correo como Thunderbird, Apple-Mail y Co. El tema fue retomado en los informes de los medios de comunicación bajo”Efail” en todo el mundo.

Ahora queremos salir del terreno de los diversos métodos de cifrado y mirar hacia las próximas estaciones de este viaje, donde veremos a qué ataques están expuestas ambas herramientas de cifrado, así como el propio tráfico de datos.

Prueba y error con ataques de fuerza bruta

Los ataques de fuerza bruta se utilizan para obtener información mediante el método de prueba y error. Con la ayuda de un software apropiado, se pueden probar varias combinaciones de caracteres en un corto período para obtener acceso ilegal a la información deseada. Este método se utiliza a menudo para descifrar contraseñas, pero también se usa para descifrar el texto cifrado. En esta búsqueda completa de claves, todas las posibles combinaciones de claves se prueban “exhaustivamente”. 

Como ya se explicó en el último artículo, el algoritmo de cifrado DES fue craqueado mediante un ataque de fuerza bruta, ya que “sólo” son posibles unos 72 billardos de combinaciones con una longitud de clave de 56 bits. De acuerdo con esto, un ataque de fuerza bruta puede ser contrarrestado con los modernos algoritmos de cifrado usando una llave suficientemente larga. Sería inútil comenzar un ataque de fuerza bruta aquí, ya que el esfuerzo de computación necesario sería demasiado alto. Sin embargo, hay ataques matemáticos que reducen considerablemente la complejidad de la clave, como el ataque de la raíz cuadrada. Además, existe otra variante para asegurar estos ataques, que probablemente ya conozcas: después de X intentos fallidos de acceso a tu smartphone, éste se bloqueará durante un cierto tiempo.

Nuestra próxima parada está dedicada a una técnica de ataque que puede intervenir cualquier tráfico de datos y por lo tanto, es particularmente peligrosa.

Encubierto con ataques “Man-in-the-middle”

En un ataque de man-in-the-middle, también conocido como ataque Janus (mitología romana), un tercero pasa desapercibido entre dos partners de comunicación. Al hacerlo, engaña al otro para que sea la contraparte real. El objetivo de este ataque es ver o incluso manipular el tráfico de datos a voluntad. Dependiendo de la aplicación, los escenarios de ataque son diversos. Un vector de ataque popular es, por ejemplo, una red wi-fi abierta establecida por el atacante al que se conecta la víctima. El ciberdelincuente puede así leer cualquier información mientras la víctima navega por Internet sin cuidado. La comunicación por correo electrónico cifrado también puede ser atacada de acuerdo con el mismo principio:

El atacante transmite su clave pública al remitente, pero le engaña con la clave pública del destinatario legítimo. El remitente ahora cifra el mensaje con la clave pública, que también está disponible para el atacante, que lo descifra con su clave privada y puede leer y manipular el mensaje. Para asegurarse de que los partners de comunicación no lo descubran, el atacante cifra el mensaje con la clave pública del destinatario legítimo y se lo reenvía para que el usuario pueda recibir y descifrar el mensaje ahora manipulado.

Para evitar este tipo de ataque, la autenticidad de las claves públicas debe ser verificada, por ejemplo, mediante certificados apropiados, como es el caso de S/MIME.

Un vistazo a lo que podría venirnos

Estamos al final de nuestro viaje. Esperamos que hayas disfrutado y que a lo largo del viaje hayas podido aprender y empacar tu maleta con nuevos conocimientos. Por último, echemos un vistazo rápido al futuro. Probablemente habrás leído mucho sobre ello en los medios: ordenadores cuánticos. Son los ordenadores más poderosos y rápidos del mundo. La pregunta que surge aquí en este contexto: ¿Está nuestro método de cifrado actual a salvo de los ordenadores cuánticos? ¿Qué crees?