Cifrado de correo  – nuestra guía para la implementación en la empresa

Cifrado de correo – nuestra guía para la implementación en la empresa

Certificados, correos electrónicos firmados, cifrado simétrico y asimétrico, S/MIME, TLS y PGP – para muchos que no tratan regularmente con el cifrado de correo electrónico, estos términos son sólo términos extraños. Sin embargo, a más tardar con el nuevo reglamento básico de protección de datos (DSGVO), este punto se encuentra a la cabeza de la lista de tareas pendientes de muchas empresas. A pesar de esto, las pequeñas y medianas empresas, en particular, carecen de los conocimientos necesarios para poder aplicar los nuevos requisitos con el cifrado de su comunicación por correo electrónico. Hornetsecurity trata en este artículo algunos términos y tecnologías básicos sobre el cifrado del correo electrónico.

Cifrado asimétrico y simétrico del correo electrónico: ¿cuáles son las diferencias?

Si observa más de cerca el cifrado asimétrico y simétrico del correo electrónico, descubrirá rápidamente que son fundamentalmente diferentes. Esencialmente, difieren en el número y tipo de teclas utilizadas.

El cifrado simétrico del correo electrónico utiliza la misma clave para cifrar y descifrar el correo electrónico. Esto significa que el remitente y el destinatario de un correo electrónico tienen la misma clave y la comparten. Por lo tanto, este procedimiento es muy simple, pero su seguridad está esencialmente ligada al secreto de las claves – si la clave cae en manos de un tercero, puede descifrar toda la comunicación.

El cifrado asimétrico del correo electrónico utiliza un total de cuatro claves, un par de claves cada una (una clave pública y una privada) por cada socio de comunicación. La clave pública es accesible para todos los que quieran comunicarse y se transfiere con el intercambio de certificados. Se utiliza para cifrar los datos, en nuestro caso los correos electrónicos.

Para descifrar los datos cifrados de nuevo, se requiere la clave privada que pertenece a la clave pública. Aunque el par de claves es matemáticamente interdependiente, es prácticamente imposible calcularlo.

S/MIME, PGP y TLS – ¿cuáles son las abreviaturas?

PGP y S/MIME son métodos de cifrado asimétrico. Ambos procedimientos tienen una ventaja y una desventaja decisiva. La ventaja es que el proveedor de correo electrónico del remitente y del destinatario tampoco tiene ningún tipo de posibilidad de acceso al correo electrónico. La desventaja es, que sólo el mensaje está encriptado. El remitente y el destinatario, así como el asunto, todavía se pueden leer.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

La principal diferencia entre el cifrado de correo electrónico con S/MIME y PGP es la emisión de certificados. Mientras que PGP (también conocido como OpenPGP) es una solución de código abierto en la que básicamente todo el mundo puede crear sus propios certificados, la certificación en S/MIME tiene lugar a través de autoridades de certificación oficiales, las llamadas Autoridades de Certificación (CA).

TLS difiere fundamentalmente del cifrado de correo electrónico con S/MIME o PGP. Aquí no es el correo electrónico en sí lo que está encriptado, sino sólo la conexión entre los dos servidores de comunicación. Esto significa que no se puede acceder al correo electrónico durante el transporte, pero no está cifrado en los servidores de correo respectivos.

Implementación del cifrado de correo electrónico – no hay solo “una” manera

Todos los caminos conducen a Roma – pero ¿cuáles conducen al cifrado de correo electrónico conforme a la ley? De hecho, hay varias maneras para que las empresas las implementen. Las más destacadas son las soluciones in situ y en la nube.

En el caso de las soluciones in situ, los correos electrónicos se cifran directamente in situ, es decir, en las propias empresas. El software de cifrado de correo electrónico se puede comprar, alquilar u operar de forma completamente independiente de un proveedor externo. Aunque este procedimiento ofrece a la empresa un alto grado de transparencia y libertad en la toma de decisiones, implica un esfuerzo administrativo y de gestión que no debe subestimarse. Los costes de mantenimiento y operación tampoco son insignificantes. Hoy en día, las soluciones in situ se consideran una cosa del pasado y están siendo reemplazadas cada vez más por el cloud computing moderno.

Cifrado de correo electrónico con Hornetsecurity

Gráfico: Cifrado de correo electrónico mediante cloud computing (haga clic para ampliar)

Con la alternativa de cloud computing, también conocida como solución “Software as a Service” (SaaS), el proveedor de seguridad libera a la empresa de todos los gastos, como la administración, la gestión y la operación. Todo el tráfico de correo electrónico de la empresa es gestionado por los servidores del proveedor de seguridad, incluido el servicio de cifrado de correo electrónico de Hornetsecurity. La ruta entre el servidor de correo del cliente y el proveedor de servicios está protegida por TLS. Esta solución se caracteriza sobre todo por la eliminación del trabajo administrativo de una empresa. Sin embargo, para garantizar una comunicación por correo electrónico totalmente segura, TLS y S/MIME pueden y deben utilizarse simultáneamente. Esta es la única manera de cifrar el correo electrónico y su ruta de transporte.

Con múltiples niveles de protección para estar Seguro

Con múltiples niveles de protección para estar Seguro

Las soluciones antivirus por sí solas no son suficientes, pero siguen teniendo sentido

El mundo se ha vuelto más complejo, no sólo en la política y los negocios, sino también en el campo de la seguridad informática. Las medidas de defensa de múltiples capas son imprescindibles para las empresas de hoy en día, si quieren proteger su infraestructura TI de forma eficaz, ya que las amenazas cibernéticas también se han vuelto mucho más versátiles y profesionales. Las soluciones “simples” por sí solas ya no son suficientes, pero aún así tienen su razón de ser.

Hasta hace unos años, era aún más fácil organizar la protección de los propios sistemas de TI. Y aún hoy en día, hay empresas que dependen de unas pocas medidas defensivas establecidas. Junto con un cortafuegos y un filtro de spam, las soluciones AV clásicas, en particular, siguen siendo, por ejemplo, el estándar para la protección contra intrusos. Una de las razones principales para este tipo de protección generalmente aceptado, es que es un mecanismo comprobado contra el malware. Los productos antivirus están altamente automatizados y no requieren una gran atención por parte de los administradores de TI, ni de los especialistas en seguridad. Esto ahorra dinero, tiempo y esfuerzo.

El malware moderno supera a los productos AV clásicos

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Por otra parte, la discusión ha estado ardiendo durante algún tiempo sobre si las soluciones antivirus siguen siendo eficaces contra el malware o si quizás hacen más daño que bien y, por lo tanto, deberían ser abolidas. Los productos clásicos para la defensa contra el malware ya no ofrecen la protección adecuada. Ningún escáner AV clásico reconoce todos los ejemplares de malware, muchos ejemplares no son reconocidos en absoluto, por unos pocos escáneres AV o sólo después de muchas semanas o incluso meses.

Las fortalezas y debilidades en la detección de malware están ampliamente distribuidas entre los distintos proveedores de antivirus. Además, los nuevos tipos de ataques cibernéticos le hacen la vida cada vez más difícil a los escáneres AV clásicos: los virus polimórficos, por ejemplo, en forma de software de rescate, están eludiendo los mecanismos de detección basados en firmas de muchas formas, pero siempre ligeramente modificadas.

Los escáneres AV clásicos no tienen ninguna posibilidad contra los ataques sin archivos, como el fraude del CEO, ya que no contienen ningún objeto sospechoso para la investigación. Igualmente problemáticos en materia de seguridad, son los enlaces en los documentos que pueden conducir a descargas de malware. Las empresas que confían únicamente en el uso de soluciones de seguridad clásicas, por lo tanto, basan su confianza en una seguridad falsa. Sin embargo, el uso de los escáneres AV clásicos es necesario y sensato.

Muchas medidas defensivas estropean el éxito del atacante

Las modernas soluciones y suites de seguridad de TI se basan en el principio de protección múltiple con varios métodos de defensa. Existen buenas razones para la protección multinivel. Si las primeras medidas de protección completan parte de la tarea de una manera relativamente sencilla, los potentes y más complejos filtros que hay detrás ya no están tan cargados y funcionan mejor. Los niveles de seguridad posteriores basados en sistemas de filtrado heurísticos o basados en el comportamiento mejoran significativamente el rendimiento de la detección y, por lo tanto, aumentan las posibilidades de evitar los daños causados por el malware. Estos incluyen servicios que detectan enlaces ocultos en correos electrónicos o archivos adjuntos, analizan el comportamiento del malware en un entorno de pruebas, o retienen archivos adjuntos de correo electrónico sospechosos durante un cierto período de tiempo y, a continuación, vuelven a comprobar estos archivos adjuntos con firmas actualizadas.

Subsequent security levels based on heuristic or behavior-based filter systems significantly improve detection performance and thus increase the chance of being spared damage by malware. These include services that detect hidden links in emails or attachments, analyze the behavior of malware in a sandbox, or hold back suspicious email attachments for a certain period of time and then check these attachments again with updated signatures.

Entretanto, muchas empresas lo han reconocido y confían en una estrategia de defensa multipartita con varias líneas defensivas. De esta manera, minimizan el riesgo de experimentar una sorpresa desagradable y convertirse en víctimas de un ataque cibernético.

Información adicional:

  1. Hornetsecurity Managed Spamfilter Service para empresas
  2. ¿Desea obtener más información sobre Advanced Threat Protection?? ¡Averigua más ahora!.
Análisis y defensa de malware

Análisis y defensa de malware

Tercera parte del particionado múltiple “Defensa contra malware”

Los puestos de trabajo de nuestros analistas de malware no difieren de otros en las oficinas de Hornetsecurity, a pesar de que el Laboratorio de Seguridad es conocido como un “laboratorio”. No se encuentran matraces Erlenmeyer, tubos de ensayo y quemadores Bunsen, sino ordenadores normales. El trabajo se realiza de forma virtual, por ejemplo en Sandboxes o analizando el tráfico de datos. No obstante, no debe subestimarse la importancia de los analistas de malware, ya que garantiza que los sistemas de defensa de Hornetsecurity estén siempre lo más actualizados posible. esta es la única manera de mantener el alto estándar de calidad.

Pero, ¿cuál es el procedimiento para analizar el malware? Por lo general, hay un flujo de datos muy grande y continuo que analizar. La tarea principal es extraer información valiosa de estos datos brutos, procesarlos y hacerlos “inteligentes”. Con este fin, los analistas utilizan diversas herramientas y programas para responder a preguntas específicas: ¿Cuáles son los objetivos del malware? ¿Qué características son típicas del malware investigado? ¿Hay alguna evidencia de los atacantes? Idealmente, las acciones pueden derivarse de los hallazgos, como escribir nuevas reglas de filtro o crear algoritmos.

Dos tipos diferentes de análisis

Aquí se presentan con más detalle dos formas de analizar el malware. En el análisis estático, el propio código se visualiza sin ejecutar el malware, mientras que en el análisis dinámico, se realiza un seguimiento del comportamiento del código malicioso en un entorno seguro.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

En el análisis estático, los analistas descomponen el malware hasta el más mínimo detalle para sacar conclusiones del propio código. Por ejemplo, se extraen cadenas significativas o se inician scripts de shell y se generan resultados adicionales con desensambladores. Aquí se puede encontrar información sobre las actividades del malware y las características que muestra – los llamados Indicadores de Compromiso (IoC). Basándose en los resultados, los sistemas de filtrado individuales pueden actualizarse para evitar nuevos ataques de este y otros programas maliciosos similares tan pronto como sea posible.

Una posibilidad para el análisis dinámico es dejar que el código malicioso realice su tarea en el entorno seguro de pruebas. Este método puede ser bien automatizado para obtener ciertos resultados. Los sistemas de filtrado pueden ser actualizados en estos. ¿Cambia el código ciertos archivos, hace cambios en el registro o ha adaptado generalmente la configuración del sistema a los servidores DNS, por ejemplo? ¿Con quién se pone en contacto el malware? Estas y otras preguntas pueden ser contestadas de esta manera.

Varias posibilidades de uso

La aplicación más obvia de los datos obtenidos del análisis de malware para las empresas de seguridad de TI es mejorar sus métodos de defensa y así proteger mejor a sus clientes de los ataques. Para ello, los analistas extraen ciertos patrones binarios y los utilizan para crear las llamadas reglas de Yara ,con las que se pueden encontrar, categorizar y agrupar muestras de malware. Las firmas de comportamiento aplicadas en el entorno de pruebas pueden detectar y categorizar ciertos patrones de comportamiento de código malicioso.

Un ejemplo: En el Sandbox, se abre un documento de Office en el archivo adjunto. Allí las firmas de comportamiento reconocen que el documento a examinar comienza a recoger y enviar información sobre las cuentas de usuario. Si este análisis se lleva a cabo en un entorno basado en la nube, es posible interceptar los correos electrónicos llamativos y así bloquear completamente los ataques. Todas estas y muchas otras medidas de defensa deberían ayudar a interceptar y prevenir un ataque lo antes posible, para que el daño causado por el malware sea lo más pequeño posible o, mejor aún, no ocurra en absoluto.

Muchos de los datos sin procesar obtenidos por el análisis de malware y los resultados derivados de él también son útiles para la prevención general. Los proyectos de investigación pueden beneficiarse de ello y poner sus resultados científicamente sólidos a disposición del público en general. Además, la publicación de análisis de malware también sirve para educar al público en general. Aumentar el conocimiento sobre los enfoques de los ataques cibernéticos y los ataques de malware ayuda a limitar sus tasas de éxito.

EFAIL: (Sin) una vulnerabilidad en los métodos de cifrado PGP y S/MIME

EFAIL: (Sin) una vulnerabilidad en los métodos de cifrado PGP y S/MIME

 

Una vulnerabilidad conocida se transfiere a los protocolos PGP y S/MIME y lleva la manipulación del correo electrónico a un nuevo nivel. No hay problema para Hornetsecurity.

 

El lunes 14 de mayo de 2018, un equipo de investigadores de seguridad de la Universidad de Ciencias Aplicadas de Münster, la Universidad del Ruhr de Bochum y la Universidad de Lovaina (Bélgica) publicó un artículo , que cuestiona la seguridad de los estándares de encriptación PGP y S/MIME atrayendo así la atención mundial.

Sin embargo, las vulnerabilidades descubiertas (CVE-2017-17688 y CVE-2017-17689) no afectan a los protocolos en sí, sino que utilizan una vulnerabilidad ya conocida para descifrar correos electrónicos cifrados por parte del cliente de correo y entregarlos al atacante.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Un requisito previo para la ejecución de los ataques es que los correos electrónicos ya estén a disposición del atacante de forma cifrada. Para ello, los correos electrónicos deben ser interceptados durante el transporte. El atacante debe haber ejecutado previamente un ataque de hombre en el medio (MitM) o haber comprometido un servidor de correo electrónico para obtener acceso a los correos electrónicos que pasan a través de él o del servidor. Sólo si se cumplen estos requisitos, el atacante puede ejecutar uno de los ataques EFAIL descritos en el documento.

Los autores del artículo señalan dos métodos de ataque similares para descifrar correos electrónicos con cifrado PGP o S/MIME existente.

El primer ataque es bastante simple, pero se limita a ciertos clientes de correo (Apple Mail, iOS Mail, Mozilla Thunderbird) y a cualquier plug-ins de terceros instalados allí:

Para ello, el atacante crea un correo electrónico en tres partes. La primera parte formatea el correo electrónico como HTML e inserta una etiqueta de imagen con un sitio web de destino. Las comillas y la etiqueta de imagen no están cerradas. A esto le sigue en la segunda parte con el texto cifrado con PGP o S/MIME. La tercera parte consiste de nuevo en el formato HTML e incluye la etiqueta de imagen de la primera parte.

Si el atacante envía este correo electrónico al remitente del mensaje cifrado, es posible que el mensaje sea descifrado y transmitido al sitio web almacenado. Para ello, el cliente de correo debe estar configurado para que descargue automáticamente imágenes externas sin preguntar al usuario.

La segunda manera de leer correos electrónicos encriptados PGP o S/MIME es extraer texto plano en bloques de mensajes encriptados.

El escenario de ataque para los ataques S/MIME CBC y PGP CFB incluye una parte de texto conocida en un mensaje cifrado y sobrescribe los bloques siguientes con su propio contenido. El ataque EFAIL inserta una etiqueta de imagen con un sitio web de destino en el texto cifrado, como se describe en la primera parte. Si el mensaje se entrega al destinatario real del mensaje cifrado, es posible que el mensaje se descifre y se transmita al atacante.

Los correos electrónicos cifrados por Hornetsecurity están protegidos por defecto contra ataques de este tipo, ya que Hornetsecurity ni siquiera permite los diferentes tipos de contenido (multiparte/mixto) requeridos para el ataque.

Los métodos de cifrado en sí mismos – S/MIME y PGP – no eran vulnerables; más bien, se encontraron vulnerabilidades en los clientes de correo electrónico para correos HTML que pasan por alto estas técnicas de cifrado.. Además, nos oponemos a la recomendación de varios investigadores de seguridad de desactivar de forma general los sistemas de cifrado de contenido: PGP y S/MIME no son por si mismos más inseguros que ningún o que un puro sistema de transmisión cifrada de transporte, incluso después de esta publicación. Dado que el ataque requiere un ataque MitM, es decir, una ruptura del posible cifrado de transporte, el prescindir en general del cifrado de contenidos sería fatal: ¡los posibles atacantes podrían incluso leer el tráfico de correo electrónico directamente!

El servicio de cifrado de Hornetsecurity, que es inmune a EFail, no requiere de ningún plug-in de cliente: El cifrado y descifrado son totalmente automatizados por Hornetsecurity en la nube – no se requiere instalación, mantenimiento o interacción del usuario – ¡simplemente seguro!

 

Más información:

(Fuente: Ataques EFAIL, al 14.05.18)

Campos obligatorios en las firmas de correo electrónico hecho fácil

Campos obligatorios en las firmas de correo electrónico hecho fácil

Hornetsecurity amplia la firma de correo electrónico y el disclaimer con nuevas características

Hanover, 08.05.2018 – La firma al final de un correo electrónico comercial es como la tarjeta de visita digital de los empleados y, por lo tanto, un rótulo para cada empresa. Incluso, por ley, la inclusión de cierta información en la firma es obligatoria. Con el Advanced E-Mail Signature y Disclaimer, Hornetsecurity ofrece una solución elegante para la creación e implementación uniforme de este contenido en toda la compañía. El especialista en seguridad TI de Hanover ha agregado nuevas características al servicio que amplían significativamente sus posibilidades de aplicación. Con esto, además del uso de sub-firmas, ahora también es posible ocultar líneas enteras con campos AD que de otro modo estarían vacíos, y crear firmas para archivos de texto sin formato. Las nuevas características están disponibles desde ahora.

Firmas Avanzadas de Correo y Disclaimer Editor

Firmas Avanzadas de Correo y Disclaimer Editor

Firmas Avanzadas de Correo y Disclaimer Editor - Ocultar campos vacíos en el editor

Firmas Avanzadas de Correo y Disclaimer Editor – Ocultar campos vacíos en el editor

El Advanced Email Signature y el Disclaimer obtienen todos los datos personales para los componentes dinámicos directamente desde el Active Directory (AD) de la empresa. A partir de ahí, la sincronización se realiza a través del LDAP y la reproducción de los contenidos individuales a través de las variables AD, que el administrador de TI ha creado previamente en la firma del correo electrónico. La ventaja: independientemente de si se trata de una PC, una tableta o un teléfono móvil, las firmas siempre se anexan de la misma forma.

Firmas Avanzadas de Correo y Disclaimer Editor

Firmas Avanzadas de Correo y Disclaimer Editor

Para algunas firmas, esto implica que ciertos campos permanezcan vacíos: por ejemplo, los representantes de ventas pueden incluyen su número de teléfono móvil mientras un empleado en el departamento de Recursos Humanos no posee un teléfono móvil de la compañía. Hasta el momento, esta información en la firma permanecía vacía, ahora esos campos pueden ocultarse.

Firmas Avanzadas de Correo y Disclaimer

Firmas Avanzadas de Correo y Disclaimer vista móvil

Firmas Avanzadas de Correo y Disclaimer Vista móvil con campos vacíos

Firmas Avanzadas de Correo y Disclaimer Vista móvil con campos vacíos

Con el Advanced E-Mail Signature y el Disclaimer, los empleados responsables del tráfico de correo electrónico también pueden crear sub-firmas, que luego incorporan a las firmas existentes. Estos pueden ser eslóganes, logotipos o mensajes promoviendo, por ejemplo, ferias comerciales o nuevos productos. Estas sub-firmas pueden activarse de forma grupal, ser controladas centralmente y resultan ideales para el uso de campañas de marketing específicas.

Firmas Avanzadas de Correo y Disclaimer sub-firmas del editor

Firmas Avanzadas de Correo y Disclaimer sub-firmas del editor

Igualmente nueva es la capacidad de integrar firmas y disclaimers no solo en correos HTML, sino también en correos electrónicos sencillos (Plain-Text). Aunque solo se puede agregar contenido de texto puro, esto aumenta significativamente la coherencia y la apariencia profesional del tráfico de correo electrónico corporativo. Aquí también los atributos AD se pueden usar para ingresar automáticamente la información correspondiente.

Firmas Avanzadas de Correo y Disclaimer (Plain-Text)

Firmas Avanzadas de Correo y Disclaimer (Plain-Text)

“Todas nuestras soluciones deben ser fáciles de usar y amigables al usuario, ese es uno de nuestros objetivos principales”, dice Oliver Dehning, CEO de Hornetsecurity. “Las características recientemente agregadas a las firmas y a los disclaimers, les dan a los administradores de TI, así como a los comerciantes, nuevas formas de moldear más fácilmente la imagen de la empresa”.

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Malware, ataques cibernéticos y el cómo protegerse contra estos – esta temática ocupa no solo a personas individuales sino también a los responsables de TI. Por lo tanto, nos gustaría proporcionar una serie de información básica sobre este tema en una secuencia de publicaciones. En la primera publicación proporcionamos una definición y clasificación general de malware. Esta no es exhaustiva, pero cubre los tipos de malware más relevantes.

Existen desde hace millones de años – los virus.  En comparación con este periodo de tiempo, estos son solo conocidos por la humanidad desde lo que llamamos un abrir y cerrar de ojos, ya que su evidencia científica se presentó solo hasta finales del siglo XIX. Los virus son responsables de diferentes enfermedades, y en la naturaleza siempre ha existido una batalla constante entre la evolución de los virus y la defensa contra los mismos.

En el área de las tecnologías de la información la situación es bastante similar. También allí existe una variedad muy grande de software malicioso, y los proveedores de software de defensa se ven obligados a desarrollar constantemente métodos de defensa para evitar el acceso a intrusos y evitar así consecuencias negativas en los sistemas TI o en datos sensibles. En la denominación conceptual de estos códigos maliciosos suele usarse el término “virus”.

 

Desde el punto de vista histórico este nombre es totalmente razonable, ya que solamente los gusanos y los virus surgieron como amenaza, sin embargo teniendo en cuenta la riqueza en variedad que hoy en día se presenta, este término resulta insuficiente. Por este motivo, queremos brindar un poco de luz en el túnel y ofrecer una visión general sobre la terminología correcta y hacer una breve mención sobre los códigos maliciosos más comunes.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

Virus

 

El término “Virus” se utiliza comúnmente de forma errónea, ya que por lo general es un símbolo del término más general: “Malware“. Esto a su vez, no es correcto, ya que malware abarca todo el conjunto de software malicioso.

La palabra “virus” describe solo la forma de propagación específica de un tipo particular de malware. Este infecta un tipo de fichero definido e inyecta allí su código malicioso. El fichero infectado transmite el virus al identificar e infectar ficheros de tipo similar.

El paso del virus de ordenador a ordenador no se realiza de forma activa, sino a través de medios de almacenamiento externos, E-Mails o dentro de redes.

Gusanos

La tipificación “gusano” identifica, como el virus, un tipo de distribución específico. El código malicioso se propaga, al contrario del virus de ordenador, activa e inmediatamente mediante el aprovechamiento de brechas de seguridad existentes. Un ejemplo actual es un gusano el cual se propaga en el área de Internet of Things (IoT por sus siglas en inglés), es decir, entre dispositivos que utilizan internet, usando puertos abiertos de depuración Android.

Al contrario de un software de extorsión, el cual tiene como único objetivo el cifrar los datos del ordenador y solicitar un rescate, un gusano de ordenador no tiene un objetivo claro. Este puede realizar cambios en el sistema y comprometerlo, incrementar la carga de la infraestructura de internet o desencadenar ataques DDoS.

Troyanos / Caballos de Troya

 

Una gran parte del malware, que actualmente existe, se puede describir como un “Caballo de Troya”. El término es bastante genérico y describe que el malware se camufla como benigno. Esto quiere decir que el usuario solo ve la aplicación positiva sin reconocer el resultado negativo de la aplicación por lo que no puede tener ninguna influencia sobre los resultados finales.

El nombre “Caballo de Troya” se remonta a la estrategia legendaria de la mitología griega, en la que los invasores griegos engañaron a los habitantes de Troya utilizando un caballo de madera. Por este motivo, es igualmente erróneo el uso del término “troyano” ya que los troyanos eran los habitantes de la ciudad y fueron las víctimas. El caballo era entonces, el atacante.

Variedad de nuevos tipos de amenazas

Además de la terminología de malware más común, todavía hay una gran cantidad de malware que se puede dividir en las siguientes categorías.

  • RATRemote Access Trojans (Troyanos de Acceso Remoto): Este tipo de malware permite a los atacantes hacerse cargo de las computadoras y controlarlas de forma remota. De este modo, pueden ejecutar comandos en los sistemas de las víctimas
  • Backdoor (Puerta trasera): Un malware Backdoor se basa en una visión similar a una RAT, pero utiliza un enfoque diferente. Los atacantes usan las llamadas puertas traseras las cuales son colocadas deliberadamente en programas o sistemas operativos. Sin embargo, también pueden haber sido instaladas en secreto. La peculiaridad de las puertas traseras es el hecho de que pueden pasar desapercibidas por los mecanismos de defensa habituales y, por lo tanto, son muy atractivas para los criminales cibernéticos siendo así, por ejemplo, muy populares para crear botnets.
  • Botnet y zombis: Botnets son grandes acumulaciones de computadoras infectadas que el atacante construye. Zombis se llaman las máquinas afectadas, siendo así las partes individuales del botnet. El atacante puede enviar comandos a todas las máquinas al mismo tiempo para desencadenar actividades como ataques DDoS o para extraer bitcoins con la ayuda de computadoras zombi. Lo malévolo de esta situación es que el propietario del ordenador solo nota la “membresía” en un botnet cuando ya se han llevado a cabo las actividades controladas externamente.
  • SpywareEste es un malware que recopila información del ordenador de la víctima. Estos pueden ser los denominados Credenciales Stealers (ladrones de credenciales), que roban los datos de acceso de cuentas de usuario, tales como la propia cuenta de buzón de correo electrónico, Amazon o Google. Los keyloggers, por otro lado, graban o copian apartados, o hacen capturas de pantalla de lo que los usuarios hablan o escriben. Los Stealers de Bitcoins buscan carteras de Bitcoin y las roban.
  • Downloader/DropperLos descargadores o los droppers son pequeños programas que tienen un solo propósito: volver a cargar más malware desde el Internet. Al principio, la víctima no puede reconocer qué contenido se está descargando porque solo está visible una URL. La principal ventaja del atacante con este método es que constantemente puede proporcionar malware nuevo para su descarga, distribuyendo malware actualizado y difícil de detectar.
  • RootkitLos rootkits son el tipo de malware más peligroso, que no es necesariamente malware. Más bien, un rootkit puede ocultar código malicioso contra descubrimiento. En esta forma de ataque, el atacante penetra profundamente en el sistema informático, obtiene privilegios de root y obtiene derechos de acceso general. Los cibercriminales cambian el sistema para que el usuario ya no reconozca cuándo se inician los procesos y las actividades. Es muy difícil encontrar ataques basados ​​en la ofuscación de rootkits.

Por supuesto, hay otras categorías y definiciones de malware que no se enumeran aquí. Sin embargo, debería agregarse que el malware que circula en la actualidad es en su mayoría una mezcla de diferentes tipos. Por ejemplo, hay caballos de Troya que también incluyen una puerta trasera.

A menudo, los diferentes tipos de ataque se pueden ensamblar dinámicamente de acuerdo con el principio modular. Por esta razón el malware encontrado hoy en día ya no puede asignarse claramente a una de las categorías mencionadas anteriormente.

 

En la próxima publicación hablaremos sobre los actores que toman parte del malware y de los ataques cibernéticos.

Más información:

  1. Hornetsecurity Advanced Threat Protection
  2. Filtro de spam y virus