Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta sobre Cloud Híbrido Hornetsecurity

Encuesta de adopción del Cloud Híbrido: 2 de cada 3 Profesionales IT ven el Cloud Híbrido como el futuro

Acerca de la encuesta de adopción del Cloud Híbrido

La migración a las tecnologías cloud siempre ha parecido algo inevitable, pero lejano. Sin embargo, los acontecimientos de los últimos dos años han acelerado la tasa de adopción de la tecnología cloud, gracias a la creciente necesidad de soluciones remotas para empresas y particulares. El camino hacia la nube ha demostrado ser accidentado, con muchos desafíos técnicos y humanos que deben abordarse antes de que cualquier empresa pueda afirmar ser completamente nativa en la nube, o incluso adoptar un modelo de cloud híbrido.

Seguridad, almacenamiento de datos, compatibilidad de aplicaciones, regulaciones de la industria, software heredado, hay una cantidad casi infinita de variables que pueden tener un impacto en el trayecto de cualquier empresa a la nube. Tenemos un montón de contenido disponible en DOJO sobre estos temas, pero queríamos averiguar exactamente cuáles de estos desafíos han sido los más frecuentes en entornos de cloud híbrido, además de lo que los profesionales IT piensan que el futuro traerá acerca de la infraestructura. Después de todo, puede ser difícil saber exactamente cuándo es el momento adecuado para la transición a la tecnología cloud.

Por esta razón, realizamos una encuesta de adopción de cloud híbrido con más de 900 profesionales de IT en todo el mundo, y ahora estamos listos para compartir nuestros hallazgos contigo. A lo largo de este artículo encontrarás un resumen, pero si quieres ver datos más detallados, también puedes echar un vistazo a la encuesta completa.

Dicho esto, empecemos.

Acerca de los encuestados

Antes de sumergirnos propiamente en los resultados, esta es la descripción de los encuestados, para entender mejor el contexto.

Algo más de la mitad (50,4 %) de los encuestados forman parte de un departamento interno de IT, mientras que el 23,6 % forman parte de un MSP. El resto se divide entre otros roles y dueños de empresas que gestionan sus propios sistemas IT. La mayoría de los encuestados tienen roles relacionados principalmente con la administración de sistemas o la ingeniería (80,4 %), mientras que el resto son responsables de gestión de equipos (19,6 %).

También preguntamos a nuestros encuestados por los años de experiencia en el área IT. Casi la mitad (45,8 %) reporta más de 20 años de experiencia mientras que el resto se divide entre 16-20 años (17,9 %), 10-15 años (18,1 %), 6-10 años (11,1 %) y 1-5 años (7,1 %).

En términos de área geográfica, la gran mayoría de los encuestados están basados en Norteamérica (43,8 %) y Europa (41,6 %). El 14 % restante se divide entre Asia (4,7 %), África (3,3 %), Australia (2,9 %), Oriente Medio (2,1 %) y Sudamérica (1,7 %).

El tamaño de las empresas (por número de empleados) de las que forman parte los encuestados varía entre 1-50 (41,7 %), 51-200 (23,1 %), 201-500 (12,1 %), 501-1000 (6,7 %) y más de 1.000 (16,3 %).

Hornet Result Images 01

2 de cada 3 profesionales de IT ven las soluciones de cloud híbrido como un destino permanente para la infraestructura

Hornet Result Images 02

Uno de los hallazgos más interesantes de la encuesta de cloud híbrido es que, si bien el sentimiento del sector es que la infraestructura en la nube es el futuro, el 67 % de los encuestados cree que una estrategia de cloud híbrido no es un paso intermedio para la infraestructura, sino más bien un destino permanente. Esto se debe a cargas de trabajo específicas que deben permanecer on-premise por diferentes motivos que se explorarán más adelante.

El 28,6 % de los encuestados contestaron que continuarán con un modelo de cloud híbrido solo hasta que la adopción completa de la nube esté disponible para sus cargas de trabajo. Esperamos que este porcentaje crezca en los próximos años a medida que se resuelvan problemas más comunes relacionados con la adopción de la nube, como la compatibilidad de aplicaciones, gracias a los avances en la tecnología de contenedores.

El 4,3 % restante de los encuestados dijo que permanecerán 100 % en on-premise en el futuro más próximo, rechazando incluso una estrategia de cloud híbrido. Cuando se les pregunta por las razones por las que mantienen una infraestructura totalmente on-premise, estos encuestados citan la necesidad de un control total sobre sus datos, problemas de seguridad y consideraciones de coste relacionadas con los servicios en la nube.

1 de cada 3 empresas mencionan problemas de confianza en la nube como motivo para mantener cargas de trabajo on-premise

Hornet Result Images 03

El 34,1 % de todos los encuestados dijeron que “los problemas de privacidad/confianza en la nube pública” están detrás del mantenimiento de ciertas cargas de trabajo on-premise. Este sentimiento es frecuente en todos los encuestados, y no hay ninguna diferencia apreciable en la confianza en la nube pública en función de la zona geográfica o el tamaño de la empresa, lo que es un claro indicador de que se trata de una desconfianza generalizada.

Sin embargo, existe una diferencia en el nivel de confianza en la nube pública entre los encuestados con más experiencia y sus homólogos menos experimentados. Los encuestados con más de 20 años de experiencia muestran más desconfianza en las plataformas en la nube (33,6 %) que aquellos con 1-5 años de experiencia (24,2 %). Esto indica que a mayor experiencia se genera más escepticismo cuando se trata de permitir el acceso de las plataformas en la nube a los datos de la empresa y la operativa.

La seguridad y la monitorización son una de las principales preocupaciones que muchos de los encuestados mostraron. De hecho, cuando se les preguntó qué retos técnicos ven en un modelo de cloud híbrido, la mitad (49,3 %) de los encuestados citaron “vigilancia y seguridad”. Esto no es solo una preocupación desde la perspectiva de una plataforma en la nube, sino también desde una perspectiva de usuario. El 73,1 % de los encuestados mencionaron que estaban utilizando o planeando utilizar la autenticación multifactorial y el acceso condicional como parte de su conjunto de herramientas de seguridad.

Existe un sentimiento general claro de que, a medida que se trasladan más cargas de trabajo a la nube, mayor es la preocupación por el control, la vigilancia y la seguridad, especialmente cuando se compara con la aparente tranquilidad con la que se asocia la infraestructura on-premise.

Solo el 5,7 % de los encuestados no informa de dificultades técnicas con tecnologías cloud o híbridas

Hornet Result Images 04

Entre las razones que los encuestados citan para mantener ciertas cargas de trabajo on-premise, había dos que se mencionaron con más frecuencia que los problemas de confianza en la nube. Se trataba de “sistemas o software heredado” y “compatibilidad de aplicaciones”, que fueron reportados por el 51,8 % y el 39,5 % de los encuestados, respectivamente.

Esto indicaría que, a pesar de que Microsoft y otros proveedores de plataformas en la nube han asignado recursos significativos para proporcionar a los profesionales de IT vías para modernizar sus aplicaciones y ayudar en la migración a la arquitectura de cloud híbrido, este esfuerzo no ha sido suficiente para eliminar los problemas asociados.

De hecho, cuando se preguntó qué dificultades técnicas tienen los encuestados con las tecnologías cloud, la respuesta más frecuente (48,2 %) fue “conocimiento técnico o personal certificado”. Lo que significa que a pesar de que existe tecnología disponible para superar problemas relacionados con el software heredado y la compatibilidad de aplicaciones, muchas empresas carecen del conocimiento y la habilidad necesarios para implementarlos.

Hay más evidencias de esta falta de conocimiento, ya que un tercio (33,3 %) de los encuestados también citó la conectividad como una dificultad técnica que tienen con las tecnologías en la nube. De hecho, si bien la conectividad es sin duda uno de los aspectos más difíciles de la aplicación de las plataformas en la nube, puede manejarse con el conocimiento y la certificación adecuados.

Cargas de trabajo que frenan la adopción total del cloud

Cuando se preguntó qué cargas de trabajo específicas preveían mantener on-premise, se obtuvieron los siguientes resultados.

Hornet Hybrid Cloud Adoption Survey

En cuanto a los servicios de impresión e imagen, que son la carga de trabajo mencionada con más frecuencia, es probable que muchos equipos de IT internos adopten un enfoque “si no se rompe, no lo toques”, especialmente porque el acceso remoto a estos servicios es redundante en la mayoría de los casos. Los servicios de impresión e imagen también son un servicio crítico para el usuario final en muchas organizaciones, por lo que es probable que los departamentos de IT tengan más reticencias a la hora de intentar una actualización para no interrumpir el funcionamiento.

Las bases de datos y el almacenamiento de archivos también ocupan un lugar destacado en la lista, ya que una combinación de problemas de privacidad y rendimiento son las principales razones por las que esas cargas de trabajo se mantendrían on-premise en muchas empresas. Las regulaciones de la industria como GDPR, HIPAA, CMMC y otros también pueden estar jugando un papel destacado, ya que el 28,7 % de los encuestados las citó como un obstáculo para la adopción de la nube.

Las empresas que utilizan servicios MSP tienen más probabilidades de utilizar soluciones en la nube que on-premise

Hornet Result Images 05

Los MSP estarán encantados de escuchar que están liderando el camino cuando se trata de la adopción de la nube en el sector. El 54,4 % de los MSP reportan que ven sus cargas de trabajo “principalmente en la nube” en los próximos 5 años. También parecen estar empujando a sus clientes hacia la tecnología de cloud híbrido con ellos, ya que el 51,7 % de las empresas que utilizan servicios MSP también se ven yendo a un modelo de cloud híbrido en un futuro próximo. El 46,9 % de los departamentos de IT internos, por otro lado, reportan que estarán “preferentemente en la nube” en 5 años.

Sin embargo, los problemas de confianza con la nube pública siguen siendo relativamente constantes en todos los encuestados, ya que el 34,4 % de los equipos de IT internos informan de que los problemas de confianza son un obstáculo para la adopción de la nube, frente al 32,5 % de los profesionales que utilizan servicios MSP.

Y más buenas noticias para los MSPs, nuestra encuesta también revela que el 40,8 % de los encuestados que no forman parte de un MSP, ni utilizan ningún servicio MSP, considerarían la posibilidad de contratar a un proveedor de servicios gestionados para ayudar con la transición de una arquitectura on-premise a una de cloud híbrido.

Servicios de contenedores más populares

A través de la encuesta, también queríamos averiguar qué servicio de contenedores tiene más popularidad dentro de nuestra base de encuestados, ya que esta es una de las tecnologías clave que hacen posible una estrategia de cloud híbrido para ciertos casos.

Nos sorprendió relativamente encontrar que Docker sigue siendo popular entre todos los servicios, con 3 de cada 10 (30,7 %) encuestados citando que es la tecnología que utilizan actualmente o planean usar en los próximos 5 años. Esto se contrapone al 22 % de los encuestados que utilizan el servicio Azure Kubernetes.

Esto es especialmente sorprendente, ya que Kubernetes con ContainerD está demostrando ser una solución de contenedores más potente, pero también más compleja. De hecho, nos adentramos en las complejidades de AKS (Azure Kubernetes Service) con Ben Armstrong de Microsoft en un episodio del DOJO SysAdmin Podcast, que no deberías perderte si estás en búsqueda de servicios de contenedores.

Resultados de la encuesta de adopción del Cloud Híbrido

Si quieres revisar los datos por tí mismo, no dudes en echar un vistazo a los resultados de la encuesta de adopción de cloud híbrido aquí. 

¿Próximos pasos?

Los hallazgos de la encuesta influirán directamente en el webinar de Altaro que se celebrará el 23 de marzo: Cómo Azure Stack HCI está forzando a hacer cambios en tu Datacenter. Los MVP de Microsoft Andy Syrewicze y Carsten Rachfahl desglosarán la solución de cloud híbrido de Microsoft Azure Stack HCI, lo que significa para los profesionales IT y cómo encajará en la tecnología stack a largo plazo. Regístrate en este webinar sobre Cloud híbrido>

 

Preguntas frecuentes

¿Qué es el cloud híbrido y cómo funciona?

El cloud híbrido es un término utilizado para describir una arquitectura de sistemas de IT que utiliza una combinación de tecnología on-premise y servicios en la nube (públicos o privados). Un modelo de cloud híbrido permite que estos sistemas interactúen entre sí y compartan datos y recursos para apoyar el funcionamiento de una infraestructura de IT.

¿Cuál puede ser un ejemplo de un modelo de cloud híbrido?

Los modelos de cloud híbrido se utilizan en una amplia variedad de situaciones. El más común es el de una empresa que quiere modernizar su infraestructura de IT, pero tiene ciertas cargas de trabajo que deben permanecer en los centros de datos físicos debido a las necesidades de software heredado o requerimientos del sector.

¿Cómo construyo una arquitectura de cloud híbrido?

El primer paso es familiarizarse con los proveedores de plataformas de cloud híbrido, como Microsoft Azure, Amazon Web Services, Google Cloud, etc. Cada uno de estos proveedores tiene sus fortalezas y debilidades, por lo que saber los requerimientos de tu infraestructura IT es esencial para elegir la plataforma adecuada. Una ventaja de las tecnologías en la nube es que no requiere instalaciones de hardware para probarlas, por lo que se recomienda testar diferentes proveedores para saber cuál se adapta mejor a tu negocio.

¿Cuáles son los beneficios de la tecnología Cloud Híbrido?

Los beneficios son:

Flexibilidad y escalabilidad. Dado que no dependen de recursos fijos de hardware, los sistemas que operan en entornos de cloud híbrido pueden aumentar y disminuir la asignación de recursos dependiendo de la carga de trabajo en cada momento.

Gestión de costes. Con la cantidad de diferentes opciones disponibles y precios tanto para la tecnología de nube privada como pública, las empresas pueden elegir qué aplicaciones se ejecutarán en qué plataforma en función de sus necesidades y presupuestos.

Seguridad y vigilancia. Las suites de seguridad nativas y de terceros y el software de monitorización están ampliamente disponibles para la mayoría de las principales plataformas en la nube, lo que las convierten en una opción preferible para las empresas que necesitan accesibilidad a los servicios en la nube para los datos sensibles.

Control y personalización. Con la gran cantidad de opciones de integración disponibles para las plataformas en la nube, IT puede adoptar la forma de cualquier infraestructura específica que requiera la empresa.

Fiabilidad y resiliencia. Gracias a la naturaleza descentralizada de los diferentes servicios en la nube, el tiempo de inactividad es excepcionalmente raro, y la pérdida de datos debido a fallos de hardware es prácticamente inexistente. Recuperar cualquier dato perdido es también un proceso leve en la mayoría de los casos.

¿Para qué se utiliza un enfoque de cloud híbrido?

Cargas de trabajo que cambian con frecuencia para aplicaciones que requieren la escalabilidad de la tecnología en la nube y la seguridad del almacenamiento on-premise o en la nube privada.

Altos niveles de procesamiento de datos: el procesamiento de grandes cantidades de datos suele ocurrir en oleadas. Las plataformas de cloud híbrido permiten asignar recursos externos a un coste menor que otras soluciones.

Migración a la tecnología cloud : Gracias a su flexibilidad, muchas empresas están utilizando un enfoque de cloud híbrido hasta que todas sus cargas de trabajo se pueden transferir completamente a la nube debido a limitaciones financieras o tecnológicas.

Preparación para el futuro: ninguna empresa sabe exactamente lo que va a requerir en el futuro, y un enfoque de cloud híbrido permite ser ágil y reactivo con sus recursos de IT de maneras que antes eran imposibles.

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

1 de cada 4 empresas sufrió al menos una brecha de seguridad de correo electrónico, según la encuesta de Hornetsecurity

La seguridad del correo electrónico es uno de los principales temas de preocupación para cualquier departamento de informática, y por una buena razón. Las brechas de seguridad a menudo conducen a la pérdida de datos confidenciales, el tiempo de inactividad de la operación y la pérdida de ingresos. Por ello, realizamos una encuesta de seguridad de correo electrónico a más de 420 empresas, y encontramos que el 23% de ellas, o 1 de cada 4, reportó un incidente de seguridad relacionado con el correo electrónico. De estas brechas de seguridad, el 36% fueron causadas por ataques de phishing dirigidos al punto más débil de cualquier sistema de seguridad, los usuarios finales.

La encuesta también examinó cómo las empresas que operan en la plataforma Microsoft 365 utilizan la seguridad del correo electrónico, y si usan o no las herramientas de seguridad de Microsoft 365 o recurren a soluciones de terceros. Es importante tener en cuenta que los resultados revelan el número de infracciones de seguridad que los encuestados conocían y que, a menudo, las posibles brechas de seguridad se notifican meses después, cuando se han perdido por completo o no se han notificado en absoluto.

Reported Email Security Breach

¿Cuál es la causa principal de las brechas de seguridad del correo electrónico?

De las brechas de seguridad que los encuestados conocían, el 36% fueron causadas por ataques de phishing dirigidos específicamente a los usuarios finales. Lo más sorprendente es que el 62% de todas las brechas de seguridad de correo reportadas ocurrieron debido al uso de contraseñas comprometidas por el usuario y ataques de phishing exitosos.

User Compromised PW and Phishing Attacks

Este hecho confirma lo que muchos ya asumían como una certeza: que sus funciones de seguridad de correo electrónico son tan útiles como la formación proporcionada a los usuarios finales para usar dichas funciones de manera correcta y responsable.

Uso de las funcionalidades de seguridad de Microsoft 365

Teniendo en cuenta estos datos, queríamos cuantificar y comprender lo que las empresas están haciendo para reforzar la seguridad de su correo electrónico. Hicimos una serie de preguntas sobre la mayoría de las funcionalidades de seguridad integradas actualmente en Microsoft 365. Más concretamente, preguntamos si las empresas las están utilizando y, en caso negativo, por qué. Esto es lo que encontramos:

  • 1/3 de las empresas no habilitan la autenticación multifactorial para todos los usuarios
  • Más de la mitad (55%) de los que usan MFA no usan acceso condicional
  • El 69% de los encuestados no firma digitalmente los mensajes
  • El 58% de los encuestados no utiliza el cifrado de mensajes al enviar correos electrónicos
Do not enable MFA for users

Estos problemas también se ven agravados por el hecho de que el 57% de nuestros encuestados también mencionan que no aprovechan las directivas de Prevención de Pérdida de Datos de Microsoft 365 y el 23% de estos, apuntan a una falta de conocimiento sobre la implementación de dichas políticas como la principal causa.

Leverage DataLoss Prevention Policies

El 68% de las empresas espera que Microsoft 365 las mantenga a salvo de las ciberamenazas de correo electrónico, pero el 50% utiliza soluciones de terceros

Parece haber una desconexión entre las expectativas que las empresas tienen de la seguridad del correo electrónico de Microsoft 365 y la realidad: mientras que 2 de cada 3 esperan que Microsoft los mantenga a salvo de las amenazas de correo, la mitad de todos los encuestados recurren a soluciones de terceros para complementar la seguridad del correo.

MS Keeping Safe from Email Threats
MS Email Security Features Licensing

Soluciones de terceros más efectivas, un 82% no reporta infracciones

Aquellos encuestados que usan soluciones de terceros, informaron de la tasa más baja de brechas de seguridad por correo electrónico en comparación con las organizaciones que usan paquetes de seguridad ofrecidos por Microsoft 365. Un 82% de todos nuestros encuestados que utilizan soluciones de seguridad de correo electrónico de terceros, no informaron de infracciones.

82 Percent report no Security Breaches

Además, de los que informaron haber pagado extra por Enterprise Mobility & Security E3 o E5 de Microsoft, el 48% también usaron soluciones de terceros. Por tanto, si bien las expectativas de seguridad del correo de Microsoft 365 son altas, la realidad es que la mayoría de las empresas creen que no es suficiente; y los números respaldan esa afirmación.

¿Qué empresas son las más vulnerables a las amenazas de seguridad por correo electrónico?

Para contextualizar, aquí hay algunos datos geográficos sobre nuestros encuestados: la abrumadora mayoría (63.8%) proviene de América del Norte, le sigue Europa con 26.5%. El resto se reparte entre Asia (3,5%), África (2,9%), Australia (1,3%), América Latina (1,3%) y Oriente Medio (0,5%).

El 74% de todas las brechas de seguridad reportadas en esta encuesta fueron por compañías que se encontraban dentro de los dos rangos de tamaño de la compañía. Aquellos con 201-500 empleados y 501-1000 empleados. Esto probablemente se deba a una combinación de factores como el presupuesto y las prioridades de contratación que no reconocen la ciberseguridad como una preocupación importante desde el principio.

Reported Breaches based on Company Size

Una vez que el número de empleados supera los 1.000, la incidencia de una brecha de seguridad por email disminuye al 17%, probablemente debido a las preocupaciones de seguridad anteriores y la capacidad de invertir en protocolos de ciberseguridad más sólidos e infraestructura de TI más avanzada. Lo que ilustra este punto es el hecho de que las empresas con más de 1,001 empleados tienen un 11% más de probabilidades de tener un MFA (Autenticación Multifactor) habilitado para todos los usuarios que aquellas con 201-500 empleados.

Aquí hay otra conclusión interesante: los encuestados de América del Norte informaron un 5% más de brechas de seguridad de correo electrónico que las ocurridas en Europa. Sin embargo, ambas regiones usan Autenticación Multifactor a la misma velocidad: 68%. Esto podría deberse al hecho de que las infracciones estadounidenses tienden a producir pagos mucho más altos, por ello, las organizaciones norteamericanas podrían ser atacadas de manera más agresiva.

¿Cómo se sienten las empresas acerca del almacenamiento de sus datos confidenciales en Exchange Online y Microsoft 365?

MS365 and MS Exchange Security Concerns

La mayoría de los encuestados no informaron de tener ninguna preocupación con el almacenamiento de datos confidenciales, pero resulta que casi 4 de cada 10 empresas no almacenan datos confidenciales utilizando la plataforma Microsoft 365 debido a problemas de seguridad de datos. Ese porcentaje no es insignificante teniendo en cuenta que plataformas como Microsoft 365 son críticas para la mayoría de las operaciones de la compañía.

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Hornetsecurity evalúa la puerta trasera de SolarWinds SUNBURST

Resumen ejecutivo

  • FireEye descubrió un ataque global de tipo troyano a la cadena de suministro de la Plataforma Orión de SolarWinds, a causa de una puerta trasera que FireEye llamó SUNBURST.
  • Versiones afectadas: plataforma SolarWinds Orion, versiones 2019.4 HF 5, 2020.2 (sin ningún hotfix instalado), 2020.2 HF 1
  • Versión corregida: Plataforma SolarWinds Orion versión 2020.2.1 HF 2
  • Aunque las versiones troyanas de la Plataforma Orión de SolarWinds se han difundido ampliamente entre organizaciones públicas y privadas de todo el mundo, la información actual indica que la puerta trasera de SUNBURST fue utilizada para el espionaje por un estado nacional y sólo se usó para infiltrarse en un grupo selecto de víctimas. Otros daños colaterales ocurrieron al  instalar las versiones troyanas de la Plataforma Orión de SolarWinds .
  • Para saber si estás afectado (más allá de comprobar las versiones instaladas de la Plataforma Orion de SolarWinds) comprueba los registros DNS consultando avsvmcloud[.]com o.digitalcollege[.]org (¡Incluyendo subdominios!).
  • Hornetsecurity no se ve afectada y no utiliza productos de SolarWinds.
  • Debido a que se trata de un incidente global en curso, comprueba los enlaces a los siguientes recursos para obtener información e imágenes actualizadas.

Resumen

El 13 de diciembre de 2020, FireEye reveló una puerta trasera en las actualizaciones de la Plataforma Orión de SolarWinds. Las organizaciones afectadas deben actualizar la versión corregida de manera inmediata.

La puerta trasera es parte de una operación de espionaje global y se utiliza para acceder a las redes del Gobierno y de empresas privadas de alto perfil.

Hornetsecurity evaluó su situación y no se ve afectada.

Antecedentes

La Plataforma Orion de SolarWinds es el líder del mercado de monitorización de redes, con más de 275.000 clientes en 190 países y proporcionando monitorización de redes a 400 de las empresas de la lista Fortune 500, el gobierno de EE.UU. y otras organizaciones de alto perfil.

El 13 de diciembre de 2020, FireEye reveló que durante el periodo comprendido entre el 01-03-2020 y 01-06-2020, las actualizaciones de la Plataforma Orión de SolarWinds fueron troyanizadas, por ello, lo llamaron la puerta trasera de SUNBURST.3 Previamente el 18-12-2020 FireEye  reveló una brecha de seguridad en su propia organizaciónn,2 para la que más tarde se identificó la actualización de la Plataforma Orión de SolarWinds como el vector de intrusión.

FireEye atribuye esta intrusión a un actor de amenaza aún desconocido que están rastreando como UNC2452. Aunque muchos medios de comunicación informan de esta intrusión atribuida al APT29, creemos que esto es incorrecto ya que el APT29 es un actor de amenaza designado por el propio FireEye pero aún así no lo han atribuido directamente al APT29.

El 14-12-2020  SolarWinds publicó un aviso de seguridad1 en relación a este asunto.

Análisis técnico

La puerta trasera deSolarWinds.Orion.Core.BusinessLayer.dll del software de la plataforma de SolarWinds Orion, espera después de la instalación una cantidad  entre 12 y 14 días – seleccionada al azar – antes de ejecutar su código malicioso.  Intenta establecer una comunicación C2 usando un algoritmo de generación de nombres de dominio (DGA) to <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com. El código <ENCODED VICTIM HOSTNAME> de la parte del subdominio contiene el nombre del host codificado de las víctimas. Puede ser decodificado usando una herramienta proporcionada por RedDrip77

Los registros de subdominio correspondientes a los nombres de host de las víctimas a las que se dirigía la intrusión recibieron una respuesta DNS CNAME que los redirigió a uno de los dominios C2. Las víctimas que no eran el objetivo no recibieron un CNAME.6Aunque se trata de un ataque a gran escala a la cadena de suministro, la información actual indica que el propósito de la intrusión es el espionaje llevado a cabo por un estado nacional. Esto significa que mientras (según los archivos de la SEC de SolarWinds 8) alrededor de 18.000 víctimas instalaron las actualizaciones comprometidas, sólo una fracción muy pequeña fue realmente el objetivo de este ataque, el resto son daños colaterales.

En las organizaciones seleccionadas, la puerta trasera se utiliza como puente en la red de la organización, mediante la instalación de la TEARDROP y BEACON (del marco de Cobalt Strike) malware para infiltrarse aún más en la red.

Conclusión y medidas

A diferencia del ataque a la cadena de suministro contra el paquete de contabilidad fiscal ucraniano M.E.Doc, que dio lugar al incidente global de NotPetya en 2017, el objetivo de esta intrusión era el espionaje. Por lo tanto, sólo redes de objetivos seleccionados fueron instruidas a través de la puerta trasera de SUNBURST, del software comprometido de la Plataforma Orion de SolarWinds.

Las organizaciones que hayan instalado una versión de la Plataforma Orión de SolarWinds afectada deben tratar a todos los anfitriones monitoreados por la Plataforma Orión de SolarWinds como comprometidos, identificar todas las cuentas e infraestructuras controladas por los actores de la amenaza dentro de la organización y eliminarlas, y sólo entonces reconstruir la instalación de la Plataforma Orión de SolarWinds. Las organizaciones con requisitos de protección elevados pueden seguir la guía de la Directiva de Emergencia 21-01 del DHS4 (obviamente sin informar al CISA, a menos que la organización sea parte del gobierno de los EE.UU).

Un buen punto de partida para identificar la actividad de los actores de la amenaza es buscar los IoCs proporcionados por FireEye3,5 en los registros DNS. En caso de que los DNS consulten a uno de los <ENCODED VICTIM HOSTNAME>.appsync-api.{eu,us}-{west,east}-{1,2}.avsvmcloud[.]com subdominios encontrados, puedes usar SunBurst DGA Decoder provided by RedDrip77 para averiguar qué nombre de host, ejecutó tu red por puerta trasera SUNBURST. En caso de que encuentres respuestas CNAME a estas consultas DNS, esto significaría que además de ejecutar el código de puerta trasera, los actores de la amenaza están/estaban interesados en el host y elevaron la conexión a una conexión C2 completa. En este último caso, recomendamos contactar inmediatamente con un proveedor de respuesta a incidentes competente.

Aplaudimos a nuestros colegas de FireEye por sus minuciosas investigaciones.

Referencias

Indicadores de compromiso (IoCs)

Para una lista completa de IoCs y firmas de detección, por favor vea las contramedidas publicadas por FireEye: https://github.com/fireeye/sunburst_countermeasures

DNS

  • .avsvmcloud[.]com
  • .appsync-api.eu-west-1[.]avsvmcloud[.]com
  • .appsync-api.us-west-2[.]avsvmcloud[.]com
  • .appsync-api.us-east-1[.]avsvmcloud[.]com
  • .appsync-api.us-east-2[.]avsvmcloud[.]com
  • .digitalcollege[.]org

¡Indicadores conocidos solamente a partir del 16-12-2020! Por favor, para obtener información actualizada comprueba los recursos vinculados.

Un viaje a través de la historia de la criptografía – Parte 3

Un viaje a través de la historia de la criptografía – Parte 3

¡Llegamos al final! Nuestro viaje a través de la historia de la criptografía ya está casi terminado, pero todavía tenemos algunas últimas paradas por delante. Después de la última parte, donde hablamos del cifrado simétrico y los métodos de cifrado basados en Data Encryption Standard (DES) y Advanced Encryption Standard (AES), en este artículo, queremos echar un vistazo más de cerca al cifrado asimétrico. También vislumbraremos técnicas de ciberataques como Man-in-the-middle (MiTM) y ataques de fuerza bruta. Por último, nos atreveremos a echar un vistazo al futuro con el término clave: la criptografía cuántica.

Prepárate y disfruta de las últimas paradas antes de dar el último adiós a la historia de la criptografía.

It’s a match: cifrado asimétrico con un par de claves

Como se mencionó en el último post, el cifrado asimétrico utiliza un par de claves. La clave pública que está disponible para todos los participantes de la comunicación y la clave privada como segunda clave, que permanece secreta para cada partner de comunicación. La clave privada garantiza que el mensaje se puede descifrar.

Por ello, si deseas enviar un mensaje cifrado a un destinatario, primero se requiere la clave pública del destinatario. Esta clave se puede caracterizar como una especie de «clave desechable» porque sólo puede cifrar, pero no descifrar. Un ejemplo muy común de ilustración es el buzón en el correo tradicional: el remitente conoce la dirección del destinatario y puede lanzar la carta en su buzón de correo. Sin embargo, el destinatario no puede sacar la carta a través de esta ruta. Así que aquí, se necesita otra clave para abrir el buzón de correo y luego llegar a la carta. Del mismo modo, el destinatario solo puede descifrar el mensaje con su clave privada.

En 1974 Ralph Merkle dio el primer paso hacia el desarrollo del criptosistema asimétrico con el Puzzle Merkles llamado así en su honor. El primer método de cifrado asimétrico fue desarrollado por los criptógrafos del MIT en 1977: el método RSA. Sin embargo, este método es muy vulnerable a los ataques porque funciona de forma predeterminada, y, por lo tanto, es fácil de descifrar.

Echemos un vistazo más de cerca de dos estándares de cifrado asimétricos conocidos y utilizados activamente. Nos dirigimos a nuestra primera estación.

Bastante bueno: Pretty Good Privacy

En la década de 1990, el Senado de los Estados Unidos decidió que debía integrarse una puerta trasera en cualquier software o hardware de cifrado. Pretty Good Privacy, o PGP para abreviar, fue entonces especificado por Philip Zimmermann en 1991. Con este desarrollo, se persiguió el objetivo de que todos los ciudadanos estadounidenses y los movimientos ciudadanos pudieran intercambiar mensajes cifrados y evadir el acceso de las agencias de inteligencia.

Dado que la Ley de Exportación de los Estados Unidos impidió una exportación sin licencia del código fuente de PGP, fue escrito como un libro por más de 60 voluntarios. El libro no estaba sujeto a restricciones de exportación en ese momento y, por lo tanto, podía exportarse legalmente desde los Estados Unidos para dar a conocer el código en todo el mundo.

En 1997, PGP fue adquirida por McAfee e integrada en su cartera de productos. En 2002, la empresa abandonó la marca. Se dice que la razón de esto fue la fuerte crítica al código fuente no revelado de PGP. Hasta 2010, la recién fundada PGP Corporation poseía todos los derechos sobre PGP hasta que fue vendida a Symantec en 2010.

PGP se basa en un concepto de cifrado con dos funciones principales: cifrado y firma de un mensaje. Como se explicó anteriormente, se utilizan un par de claves para el cifrado. Sin embargo, PGP no cifra todo el mensaje de forma asimétrica, sino solo la sesión utilizada. El mensaje real se codifica simétricamente. La razón de este cifrado híbrido es el esfuerzo computacional excesivo con un cifrado puramente asimétrico.

Además del cifrado, la clave pública también se puede utilizar para generar firmas, que se pueden usar para comprobar la autenticidad del mensaje. Esto garantiza la veracidad, integridad y confidencialidad del mensaje. Para ello, la clave pública debe autenticarse con las claves privadas de los demás partners de comunicación. Estos procedimientos también se denominan Web of Trust (WoT). Este tipo de modelo de confianza es beneficioso si deseamos permanecer como anónimos. Los usuarios prominentes del cifrado PGP son, por lo tanto, denunciantes como Edward Snowden. La seguridad de PGP solo está garantizada siempre y cuando los usuarios mantengan sus claves privadas en secreto.

Estamos dando un salto desde el PGP desarrollado en 1991 a 1999, al nacimiento de otro estándar de cifrado asimétrico.

S/MIME

El método de cifrado, S/MIME, publicado en 1999, también se basa en las principales aplicaciones de firma y cifrado, y, por lo tanto, funciona de manera similar a PGP. Sin embargo, si deseas cifrar y firmar tus correos electrónicos con S/MIME, debes registrarte con una entidad de certificación adecuada y solicitar un certificado. La certificación de la clave pública por parte de los demás partners de comunicación, como es el caso de PGP, se sustituye aquí por un certificado formal. El partner de comunicación puede entonces ver en la información de encabezado del mensaje desde qué entidad de certificación el remitente ha recibido su certificado y, si es necesario, tener su identidad confirmada a través de este organismo. Las empresas en particular utilizan S/MIME en su cifrado de correo electrónico.

Un viaje a través de la historia de la criptografía - Infografía de Horntsecurity

Básicamente, ambos métodos de cifrado mencionados solo son seguros siempre y cuando la clave privada se mantenga en secreto. Sin embargo, en 2018 un equipo de investigadores de la Universidad de Ciencias Aplicadas de Münster, la Universidad del Ruhr Bochum y la Universidad de Lovaina publicó un documento que cuestionaba la seguridad de los estándares de cifrado PGP y S/MIME y así atrajo gran atención. Sin embargo, los resultados de la investigación no se centraron en los protocolos en sí, sino en una vulnerabilidad en los clientes de correo como Thunderbird, Apple-Mail y Co. El tema fue retomado en los informes de los medios de comunicación bajo»Efail» en todo el mundo.

Ahora queremos salir del terreno de los diversos métodos de cifrado y mirar hacia las próximas estaciones de este viaje, donde veremos a qué ataques están expuestas ambas herramientas de cifrado, así como el propio tráfico de datos.

Prueba y error con ataques de fuerza bruta

Los ataques de fuerza bruta se utilizan para obtener información mediante el método de prueba y error. Con la ayuda de un software apropiado, se pueden probar varias combinaciones de caracteres en un corto período para obtener acceso ilegal a la información deseada. Este método se utiliza a menudo para descifrar contraseñas, pero también se usa para descifrar el texto cifrado. En esta búsqueda completa de claves, todas las posibles combinaciones de claves se prueban «exhaustivamente». 

Como ya se explicó en el último artículo, el algoritmo de cifrado DES fue craqueado mediante un ataque de fuerza bruta, ya que «sólo» son posibles unos 72 billardos de combinaciones con una longitud de clave de 56 bits. De acuerdo con esto, un ataque de fuerza bruta puede ser contrarrestado con los modernos algoritmos de cifrado usando una llave suficientemente larga. Sería inútil comenzar un ataque de fuerza bruta aquí, ya que el esfuerzo de computación necesario sería demasiado alto. Sin embargo, hay ataques matemáticos que reducen considerablemente la complejidad de la clave, como el ataque de la raíz cuadrada. Además, existe otra variante para asegurar estos ataques, que probablemente ya conozcas: después de X intentos fallidos de acceso a tu smartphone, éste se bloqueará durante un cierto tiempo.

Nuestra próxima parada está dedicada a una técnica de ataque que puede intervenir cualquier tráfico de datos y por lo tanto, es particularmente peligrosa.

Encubierto con ataques “Man-in-the-middle”

En un ataque de man-in-the-middle, también conocido como ataque Janus (mitología romana), un tercero pasa desapercibido entre dos partners de comunicación. Al hacerlo, engaña al otro para que sea la contraparte real. El objetivo de este ataque es ver o incluso manipular el tráfico de datos a voluntad. Dependiendo de la aplicación, los escenarios de ataque son diversos. Un vector de ataque popular es, por ejemplo, una red wi-fi abierta establecida por el atacante al que se conecta la víctima. El ciberdelincuente puede así leer cualquier información mientras la víctima navega por Internet sin cuidado. La comunicación por correo electrónico cifrado también puede ser atacada de acuerdo con el mismo principio:

El atacante transmite su clave pública al remitente, pero le engaña con la clave pública del destinatario legítimo. El remitente ahora cifra el mensaje con la clave pública, que también está disponible para el atacante, que lo descifra con su clave privada y puede leer y manipular el mensaje. Para asegurarse de que los partners de comunicación no lo descubran, el atacante cifra el mensaje con la clave pública del destinatario legítimo y se lo reenvía para que el usuario pueda recibir y descifrar el mensaje ahora manipulado.

Para evitar este tipo de ataque, la autenticidad de las claves públicas debe ser verificada, por ejemplo, mediante certificados apropiados, como es el caso de S/MIME.

Un vistazo a lo que podría venirnos

Estamos al final de nuestro viaje. Esperamos que hayas disfrutado y que a lo largo del viaje hayas podido aprender y empacar tu maleta con nuevos conocimientos. Por último, echemos un vistazo rápido al futuro. Probablemente habrás leído mucho sobre ello en los medios: ordenadores cuánticos. Son los ordenadores más poderosos y rápidos del mundo. La pregunta que surge aquí en este contexto: ¿Está nuestro método de cifrado actual a salvo de los ordenadores cuánticos? ¿Qué crees?

Hornetsecurity analiza la brecha de seguridad en la app de correo electrónico de Apple

Hornetsecurity analiza la brecha de seguridad en la app de correo electrónico de Apple

Los expertos del Security Lab de Hornetsecurity han identificado la vulnerabilidad en la app de correo electrónico de Apple de ejecución de código remoto (RCE). En este momento, el Security Lab está investigando en profundidad dicha brecha de seguridad. En los primeros análisis, la vulnerabilidad no pudo ser detectada en ningún correo de los últimos seis meses recibido a través de los honeypots distribuidos globalmente por Hornetsecurity.
Asumimos que esta vulnerabilidad está siendo utilizada en ataques muy dirigidos, a pequeña escala e individuales porque los atacantes deben conocer a priori, que sus víctimas están utilizando dispositivos iOS. A menudo este tipo de vulnerabilidades de día cero son demasiado valiosas para que los ciberdelincuentes las distribuyan en campañas de spam maliciosas a gran escala y fáciles de detectar.
No obstante, el Security Lab de Hornetsecurity desplegó un sistema de detección de los ciberataques activos en dicha vulnerabilidad, que incorpora los datos recogidos a un motor de predicción y clasificación de amenazas. Si se observa alguna anomalía, los clientes están protegidos.
Además, hay ciertas limitaciones ya activas que reducen aún más el riesgo para los clientes de Hornetsecurity. Los PoCs requerían correos electrónicos muy grandes (varios GB) para reproducir el RCE, sin embargo, Hornetsecurity acepta un tamaño máximo de correo electrónico de 100MB.
Los investigadores en materia de ciberseguridad suponen que ciertas estructuras MIME multiparte o RTF también pueden utilizarse para desencadenar la vulnerabilidad. El servicio Spam and Malware Protection de Hornetsecurity escanea nativamente las estructuras de correo electrónico y clasifica las anomalías en la estructura como spam.
Protección de datos fuera de la UE

Protección de datos fuera de la UE

Los datos – el oro del mundo digital, el petróleo de la industria 4.0 y la base del modelo de negocio de Google y Facebook. Ya hemos explicado por qué los datos son insustituibles para el mundo de los negocios en los tiempos modernos. Con la adopción de la GDPR, el gobierno europeo ha considerado que los datos son especialmente dignos de protección y ha llamado la atención de los consumidores sobre la importancia de esta protección. Pero ¿se trata la información personal con la misma sensibilidad más allá de las fronteras europeas? ¿Dónde están las diferencias? Echamos un vistazo a la comprensión y la importancia de la protección de datos en otros países y mostramos lo que esto significa para la población, entre otras cosas.


EE.UU. – Leyes de protección de datos específicas del sector




A diferencia de la regulación básica de protección de datos en Europa, la protección de datos en los Estados Unidos está regulada sobre una base sectorial. Las empresas en los EE.UU. están generalmente obligadas a garantizar la seguridad de los datos personales y están sujetas a la obligación de informar en caso de fugas de datos. Sin embargo, las empresas deben o pueden determinar su propio nivel de protección de datos. ¿Pero de dónde provienen estos diferentes enfoques para el manejo de los datos? La protección de los datos personales en Europa está establecida en la constitución alemana como un derecho fundamental de autodeterminación informativa. En los Estados Unidos, en cambio, la protección de datos forma parte de la ley de protección del consumidor y, por lo tanto, es más parte de la vida económica. La supervisión en virtud de la ley de protección de datos está en manos de la Comisión Federal de Comercio, por lo que la cuestión de la protección de datos se considera desde una perspectiva económica y no tanto como un derecho personal. La Ley Patriota de los Estados Unidos fue aprobada después de los ataques terroristas del 11 de septiembre de 2001 y causó un gran revuelo más allá de las fronteras del país. Las autoridades de seguridad, como la NSA, podían acceder a los datos almacenados en los servidores locales sin una orden judicial en los casos sospechosos. Los proveedores de Internet y los proveedores de nubes también podrían ser obligados a revelar datos personales. En determinadas condiciones, las autoridades de investigación también podían obligar a las empresas a entregar datos sin siquiera informar a las personas afectadas por medio de la llamada Carta de Seguridad Nacional.


Con las revelaciones de Edward Snowden en 2013, la población estadounidense se ha vuelto mucho más cuidadosa en lo que respecta a la vigilancia estatal. En junio de 2015, el entonces presidente Barack Obama firmó la Ley de la Libertad de Estados Unidos, que volvió a restringir las facultades de las autoridades investigadoras.


El escándalo de Cambridge Analytica siguió en 2016. La empresa de análisis había obtenido acceso inadvertido a los datos de 87 millones de usuarios de Facebook y alimentó con ellos la campaña electoral presidencial de Donald Trump. Poco después del anuncio, el estado de California redactó una ley estricta para proteger los datos de los usuarios, que entrará en vigor en enero de 2020. La llamada Ley de Privacidad del Consumidor de California tiene como objetivo permitir a los consumidores saber qué datos son recogidos y utilizados por qué compañías y cómo, y exigir que sean eliminados si es necesario. Actualmente no existe una ley nacional, pero los Estados Unidos ya han dado un gran paso hacia los estándares europeos de la GDPR.

China – ¿vigilancia absoluta?




Desde 2015, la cobertura con cámaras de vigilancia en la capital Beijing es del 100 por ciento, muchos de los dispositivos funcionan con software de reconocimiento facial. Los ciudadanos de la República Popular China son vigilados en todas partes. Además, actualmente se está estableciendo un sistema para evaluar el comportamiento de las personas en China. El sistema de crédito social es para registrar y analizar no sólo la moral de pago, sino también los antecedentes penales, los hábitos de compra e incluso la lealtad. ¿Suena como una extraña serie de ciencia ficción crítica con la sociedad? Sin embargo, un sistema de crédito social de este tipo es una realidad en la ciudad costera de Rongcheng desde 2014. Los aproximadamente 670.000 habitantes tienen que mostrar su puntuación regularmente a las autoridades. Si el número de puntos no es correcto, una promoción en el trabajo o la solicitud de un préstamo del banco podría verse afectada negativamente. En Europa, un sistema de crédito social de este tipo sería ilegal, ya que violaría los principios de protección de datos y, por tanto, también la Ley Fundamental.

En septiembre de 2019, la App china Zao atrajo la atención internacional. Mediante el uso de la inteligencia artificial, el software permitió a los usuarios transferir sus propios rostros a los de las estrellas de Hollywood en las escenas cinematográficas. Cuando de repente aparecieron en Internet extractos de las películas más famosas de Leonardo DiCaprio en las que la cara de un usuario de Zao se adaptaba de forma engañosamente realista a la de un actor de Hollywood, la aplicación se hizo viral. Sin embargo, rápidamente surgieron preocupaciones en relación con las condiciones de uso. Los usuarios de la aplicación aparecieron. Los usuarios de la aplicación cedieron «derechos completamente gratuitos, irrevocables, perpetuos, transferibles y re-licenciables» a los desarrolladores de la aplicación. Según Zao, se han eliminado los pasajes controvertidos, pero todavía existe la preocupación de que los ciberdelincuentes puedan utilizar el contenido generado para burlar el software de reconocimiento facial que, por ejemplo, da acceso a las cuentas bancarias. El peligro de informes falsos, que podrían ser generados por falsificaciones profundas, también está creciendo a medida que esta tecnología se desarrolla.

Además de Zao, la subsidiaria de la plataforma de comercio de Alibaba, Ant Financial, también enfureció a varios ciudadanos chinos. Con «Sesame Credit» Ant Financial introdujo un servicio que verifica la solvencia de los usuarios evaluando sus actividades en línea. Después de que los usuarios descubrieron que habían sido incluidos en el sistema por defecto sin su consentimiento, Alibaba se disculpó debido a la creciente presión pública.

China se está convirtiendo cada vez más en un estado de vigilancia digital. Pero la República Popular también cuenta con algunas leyes sobre ciberseguridad: el 1 de junio de 2017 entró en vigor la Ley de Ciberseguridad. Entre otras cosas, el objetivo era la seguridad de la red y el fortalecimiento de la protección de datos. En 2018, el Congreso del Pueblo Chino anunció que estaba prevista una ley general de protección de datos. La Ley de Ciberseguridad y partes de la Ley de Comercio Electrónico a partir de 2018 tienen como objetivo proporcionar un marco para la ley prevista sobre la protección de datos personales. Mientras se redactaba la nueva ley, la Administración del Ciberespacio de China (CAC), el máximo organismo administrativo regulador de Internet, publicó en junio de 2019 la Directriz Reguladora de Protección de Datos. Establece las normas para la recogida y el tratamiento de los datos de los clientes. La Directriz constituye la base para la futura orientación del derecho aplicable a nivel nacional.

GDPR crea transparencia




«Con la GDPR, no sólo aumenta la confianza de los usuarios hacia las empresas, sino también la confianza de las empresas entre sí. El procesamiento de los datos de los clientes está ahora uniformemente regulado y ofrece más transparencia en esta área», dice el CISO (Chief Information Security Officer) de Hornetsecurity, Olaf Petry, sobre la ley. «Las leyes de protección de datos como la GDPR aseguran el manejo uniforme de información sensible a través de las fronteras. Además de las ventajas que la GDPR ofrece a las empresas y a los particulares en Europa, los países fuera de la UE también pueden beneficiarse de ella. La GDPR ya es un modelo clave para futuros proyectos de legislación.​


Más información: