En la era digital actual, la ciberdelincuencia va en aumento, y el número de infracciones que sufren las empresas y los particulares no hace más que crecer. Este año, hemos superado el número de infracciones observadas en 2020. Aunque no hemos alcanzado los altos números de violaciones de datos, no tenemos nada que celebrar.
A medida que las empresas y organizaciones dependen más de la tecnologÃa, se vuelven más vulnerables a los ciberataques. Los piratas informáticos están encontrando formas nuevas e innovadoras de acceder a los datos, y es más importante que nunca que las empresas dispongan de medidas de ciberseguridad sólidas.
Factores de Riesgo para la Seguridad en 2021
Los factores de riesgo parecen haber cambiado este año, ya que el ransomware, los fallos de terceros, los ataques de phishing y las brechas de seguridad no detectadas han suplantado al error humano como causa principal de las violaciones de datos; sin embargo, los usuarios finales involuntarios desempeñan un papel muy importante en este tipo de ataques, incluso si el vector de ataque en sà no cae explÃcitamente en un “error humano”.
Ransomware
El ransomware es un software malicioso que bloquea el acceso a los dispositivos o a los datos hasta que se paga una demanda especÃfica (a menudo un rescate económico). Este tipo de ataque consiste en que los hackers cifran o bloquean los archivos del sistema de la vÃctima hasta que consiguen lo que quieren. Este tipo de ataques ha ido en aumento en los últimos años, y 2021 no fue una excepción. El ransomware fue responsable de .
Vulnerabilidades de Terceros
Los proveedores de terceros suelen ser un eslabón débil en las defensas de ciberseguridad de una organización. Es posible que no cuenten con las medidas y prácticas de seguridad adecuadas y, como resultado, pueden dejar expuestos los datos crÃticos de una organización.
Lagunas de Seguridad no Detectadas
Sin las medidas de seguridad adecuadas en los puntos finales –como ordenadores portátiles, dispositivos móviles, etc.– un ciberataque importante puede ser inevitable. La falta de seguridad en los puntos finales podrÃa dar rienda suelta a los hackers para realizar ataques que incluyan ransomware o el robo de información de los clientes.
En este artÃculo, examinaremos las 5 principales violaciones de seguridad de 2021 y detallaremos las principales conclusiones para los profesionales de las tecnologÃas de la información.
1. Marzo – El Software de Microsoft Provocó una Filtración de Datos
El grupo de hackers chino conocido como Hafnium atacó a Microsoft en marzo de 2021. El ataque afectó a más de 30.000 organizaciones en todo Estados Unidos, incluyendo gobiernos locales, agencias gubernamentales y empresas.
Aunque el ataque no estaba dirigido especÃficamente a Microsoft, el grupo “se dirige principalmente a entidades de Estados Unidos con el fin de exfiltrar información de varios sectores industriales”, según la de Microsoft .
¿Qué Fue lo Que Pasó?
El ataque comenzó cuando los piratas informáticos utilizaron contraseñas robadas combinadas con vulnerabilidades no detectadas previamente en servidores que ejecutaban el software Microsoft Exchange. La vulnerabilidad permitÃa que cualquier usuario que tuviera acceso fÃsico o virtual en el momento de iniciar la sesión obtuviera derechos administrativos completos. Una vez que esto ocurrÃa, los atacantes se conectaban e instalaban un malware que creaba proxies de comando y control para su uso.
Resolviendo el Problema
Para ayudar a protegerse contra este tipo de ataques, Microsoft explicó que sus clientes deberÃan instalar inmediatamente todos los parches de software para sus sistemas. En este caso, las vulnerabilidades se habÃan descubierto y los parches habÃan sido publicados por Microsoft en 2020, pero muchos clientes no habÃan actualizado sus sistemas.
2. Abril – Violación de Datos de Facebook
Una filtración de datos de Facebook la información personal de personas a los hackers. Esto incluÃa el nombre del usuario, su fecha de nacimiento, su ciudad actual y las publicaciones realizadas en su muro. La vulnerabilidad fue descubierta en 2021 por un grupo de seguridad de sombrero blanco y existÃa desde 2019.
¿Qué Fue lo Que Pasó?
La filtración de datos de Facebook de 2021 aún está fresca en la memoria de muchos. Fue sacada a la luz por la empresa de ciberseguridad Symantec. La base de datos expuesta contenÃa la información personal de millones de personas, incluyendo números de teléfono, identificaciones de Facebook, nombres, cumpleaños e incluso algunas direcciones de correo electrónico.
Esta brecha en particular se produjo cuando los ciberdelincuentes extrajeron datos de los servidores de Facebook utilizando una configuración errónea en su importador de contactos. Como resultado, pudieron acceder a la información personal de millones de personas.
Aunque no está claro qué planean hacer los delincuentes con toda esta información, podrÃa utilizarse para realizar ataques de ingenierÃa social a gran escala en el futuro.
Resolviendo el Problema
Facebook identificó esto como un ataque externo, pero la causa de esta brecha u otras similares provienen de un escenario común: errores de configuración. Lo peligroso de estas brechas es lo rápido que pueden escalar.
Facebook no es el único con problemas de seguridad causados por una mala configuración. Muchas empresas de seguridad señalan un de este tipo de vulnerabilidades, sobre todo con el dominio de la computación en la cloud.
3. Mayo – Colonial Pipeline
En mayo, la empresa estadounidense Colonial Pipeline fue vÃctima de un ataque de ransomware. La empresa opera un gran oleoducto que transporta gasolina y otros productos petrolÃferos desde Texas hasta Nueva Jersey y por todo el Medio Oeste.
¿Qué Fue lo Que Pasó?
Los atacantes penetraron en la empresa a través de una cuenta VPN con una y obtuvieron acceso a su red el 29 de abril. Aunque los sistemas tecnológicos operativos no se vieron afectados, este incidente hizo que la empresa detuviera el flujo de combustible en su lÃnea principal como medida de precaución (y para cerrar las fugas).
Esto provocó una escasez de combustible en las regiones del sureste, el medio oeste y el noreste del paÃs y un aumento de los precios del combustible, lo que generó que los conductores compraran en los surtidores por el miedo a la suba de precios.
Los atacantes también amenazaron con realizar más ciberataques a menos que Colonial , una cantidad que en ese momento equivalÃa a más de 3 veces sus ganancias anuales.
Lo que hace que este ataque sea tan preocupante es la facilidad con la que los piratas informáticos pudieron acceder al sistema –desde que ocurrió eso, se ha revelado que la empresa no utilizó la autenticación multi-factor.
Resolviendo el Problema
Según la empresa, tras una parada de seis dÃas, el reinicio de las operaciones del oleoducto se reanudó el 12 de mayo, y todos los sistemas y procesos volvieron a la normalidad el 15 de mayo.
El FBI comenzó su investigación tres dÃas después de que surgieran los primeros informes en las redes sociales. Es posible que una persona con información privilegiada fuera la responsable de rebajar los controles de seguridad compartiendo las credenciales del VPN; sin embargo, aún no está claro cómo accedieron los atacantes a esas credenciales.
Este ataque es un ejemplo perfecto de por qué es tan crucial para las empresas –especialmente las que manejan datos sensibles como los oleoductos– contar con medidas de ciberseguridad sólidas. La autenticación multifactor (MFA) es una de esas medidas, y es algo que cada vez más empresas están empezando a adoptar.Aunque Colonial Pipeline dólares, en junio habÃan recuperado cerca del 50% de los fondos.
4. Mayo – Ataque de Ransomware de JBS
En mayo, JBS, el tercer procesador de carne del mundo, . Uno de los principales efectos del ataque fue el tiempo de inactividad de cientos de plantas de procesamiento de carne y aves de corral en cuatro continentes. Tras darse cuenta de que perderÃan toda su base de datos si no pagaban el rescate de 11 millones de dólares, JBS realizó un pago en bitcoin a los ciberdelincuentes.
JBS descubrió la incursión cuando el equipo informático detectó irregularidades en algunos de sus servidores internos. Tras ponerse en contacto con el FBI y con expertos en seguridad, comenzaron a apagar los sistemas para frenar el impacto del ataque. Esta táctica resultó infructuosa, ya que tardaron dos semanas en recuperar el control total de sus sistemas mediante copias de seguridad.
¿Qué Fue lo Que Pasó?
¿Cómo accedieron los atacantes a los servidores de JBS? Según una investigación interna, el malware se inyectó en uno de los servidores de JBS a través de correos electrónicos de phishing (impersonadores). Los mensajes contenÃan virus troyanos que podÃan aprovechar los puntos débiles de su sistema informático y obtener acceso completo tras engañar a los empleados de la empresa para que los abrieran.
Una vez que los atacantes tenÃan un punto de apoyo, podÃan moverse lateralmente y apoderarse de otros sistemas, incluidos los servidores de respaldo. Esto dificultó que JBS recuperara el control de sus redes, ya que los atacantes tenÃan pleno acceso a todos los datos y sistemas.
Resolviendo el Problema
A diferencia de Colonial Pipeline, JBS fue sincera sobre el ataque. Se emitieron comunicados de prensa con regularidad para mantener a los consumidores y al público informados de la evolución del incidente. El impacto general fue limitado debido a los rápidos tiempos de respuesta y a la falta de pánico generalizado.
La petición del USDA a otros productores de carne para que ayudaran a garantizar un suministro adecuado demostró su buen criterio. A medida que más empresas estadounidenses se vean afectadas por ataques ciber terroristas, aumentará sin duda la necesidad de asistencia a la red industrial.
Entrada Extra – Actividad de Explotación de Log4Shell en Todo el Mundo
A finales de noviembre se reveló una vulnerabilidad crÃtica que afectaba a la popular biblioteca de registro de Java, Log4j. Esta vulnerabilidad, , es una vulnerabilidad de ejecución remota de código que puede dar a un atacante el control total de un sistema. Poco después de que se revelara la vulnerabilidad, se produjo una avalancha masiva de escaneos e intentos de explotación en Internet por parte de actores maliciosos de todo el mundo.
¿Qué Fue lo Que Pasó?
A menudo, cuando los hackers de sombrero blanco descubren vulnerabilidades en la naturaleza, trabajan con el fabricante de la aplicación o servicio en cuestión para desarrollar un parche para el problema antes de que se divulgue públicamente. En este caso, Log4j es un proyecto de código abierto, por lo que el proceso de identificación del CVE hasta el desarrollo de la corrección fue más público de lo habitual. Aunque se han registrado intentos de explotación desde , la actividad se intensificó cuando se publicó un análisis más amplio del problema.
En resumen, la vulnerabilidad de Log4Shell afecta a la funcionalidad que analiza y registra los datos controlados por el usuario. Los atacantes pueden enviar una cadena con un formato especial que, cuando es consumida por una instancia vulnerable de Log4j, la obliga a conectarse a un servidor LDAP malicioso que luego emitirá una carga maliciosa al servidor vÃctima.
A diferencia de muchas de las principales infracciones mencionadas anteriormente, que tenÃan como objetivo una sola entidad, esta vulnerabilidad forma parte de una biblioteca extremadamente popular y ampliamente utilizada, lo que hace que su presencia (y su potencial para causar daños) sea omnipresente. Por un lado, esto significa que todas las organizaciones que la utilizan para supervisar su infraestructura de forma remota están en riesgo, lo que hace que las pérdidas de esta explotación sean incalculables.
Por otro lado, la gran visibilidad de esta explotación, y el potencial de daño que tiene, ha impulsado a organizaciones de todo el mundo a actuar rápidamente para resolver la vulnerabilidad. Dado que se trata de una historia aún en curso, el verdadero impacto no se conocerá durante algún tiempo.
Resolviendo el problema
ha publicado un recurso muy útil para entender sus opciones de solución, que identifica varios caminos para ayudar a resolver este problema. La medida más simple y efectiva es actualizar su Log4j a la versión 2.16+. Sin embargo, esto no siempre es una opción para las organizaciones (ya sea para actualizar rápidamente o en absoluto), por lo que se pueden tomar otras medidas para mitigar el potencial de violación.
Mejores Prácticas para Hacer Frente a las Brechas de Seguridad
Lamentablemente, no existe un enfoque único para detener las brechas de seguridad o incluso para manejarlas cuando ocurren. Sin embargo, hay algunas prácticas recomendadas que deben tenerse en cuenta para minimizar la exposición a los hackers.
Cifrar y Hacer Copias de Seguridad Periódicas de los Datos
La primera lÃnea de defensa es el cifrado, que codifica la información sensible y la hace inutilizable en caso de robo. Evite enviar contraseñas por correo electrónico o mensaje de texto. Si el pirata informático no puede descifrar los datos, serán inútiles. De este modo, se evita el acceso no autorizado.
La siguiente lÃnea de defensa es tener buenas copias de seguridad. Lo ideal serÃa tener copias de seguridad regulares almacenadas fuera de lÃnea para protegerlas aún más de los hackers. Ten también más de una copia de seguridad. Si le ocurre algo al archivo original en su ordenador o servidor, tendrá otra copia que podrá restaurar rápidamente.
Imponer la Autenticación Multi-factor
La autenticación multi-factor o multifactorial (MFA) debe exigirse siempre que sea posible. La MFA funciona exigiendo al usuario que proporcione al menos dos métodos de identificación, como algo que sabe (normalmente una contraseña o un PIN) y algo que tiene (otro factor de verificación), lo que proporciona una seguridad significativamente mayor que las contraseñas por sà solas.
Mantener el Software y los Sistemas Actualizados
Mantener el software parcheado y actualizado cerrará las puertas traseras de los hackers a su sistema y reducirá las posibilidades de un ataque de dÃa a cero. De paso, automatice y programe la aplicación de parches y las actualizaciones para que los hackers no tengan la oportunidad de explotar su sistema cuando se identifiquen las vulnerabilidades.
Fomentar la Conciencia del Usuario Final
Su equipo debe ser consciente de los riesgos y de la importancia de la ciberseguridad para mantener su empresa a salvo. También deben ser conscientes de las distintas formas en que los hackers pueden intentar acceder a sus sistemas, de modo que puedan estar atentos a cualquier actividad sospechosa, especialmente al phishing. Puede organizar sesiones de formación o enviar periódicamente correos electrónicos con actualizaciones sobre las últimas amenazas.
Implementar una Arquitectura de Confianza Cero
En el futuro hacia el que nos dirigimos rápidamente, el concepto de “no confiar en nada, verificar todo” será vital para evitar que los ciberataques se propaguen rápidamente por una organización. Una estrategia de seguridad de “confianza cero” parte del supuesto de que todo es una amenaza potencial y, por lo tanto, todo debe ser verificado exhaustivamente. Las redes de TI descentralizadas de hoy en dÃa, el trabajo remoto generalizado y la adopción de la polÃtica de “traiga su propio dispositivo” (BYOD por sus siglas en inglés) apuntan a la arquitectura de confianza cero como el camino a seguir para asegurar los recursos de la empresa de forma eficaz.
Cómo la Plataforma de Directorio ºÚÁϺ£½Ç91Èë¿Ú Ayuda a Proteger Contra las Infracciones
Las empresas de todos los tamaños deben estar atentas para protegerse de las violaciones de datos. La aplicación de las medidas de seguridad adecuadas, como la formación de los empleados, las configuraciones y polÃticas de seguridad actualizadas y las soluciones tecnológicas efectivas, pueden ayudar a reducir el riesgo de verse comprometidas.
La Plataforma de Directorio ºÚÁϺ£½Ç91Èë¿Ú es una de esas soluciones que permite a los administradores TI reforzar su postura de seguridad de forma sencilla y eficaz. Con nuestra plataforma de directorio en la cloud, los administradores de TI pueden:
- Utilizar MFA por capas en todas partes, incluyendo aplicaciones, redes, dispositivos y más
- Supervisar, desplegar y automatizar los parches en entornos de múltiples sistemas operativos
- Aplicar polÃticas de seguridad, como el cifrado de discos, en dispositivos Windows, Mac y Linux
- Implementar un modelo de seguridad de confianza cero para asegurar el acceso de los usuarios a prácticamente todos los recursos informáticos
Asegurar los recursos de la empresa no tiene por qué ser complicado. RegÃstrese hoy mismo en para ver cómo puede reforzar su ciberseguridad para 2022 y reducir el riesgo de una filtración de datos.
