El SOC, gestionado por el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT) del MinTIC, integra tecnologías de punta como Mandiant, ThreatQ y Tenable, herramientas que permiten identificar y mitigar vulnerabilidades, monitorear amenazas y proteger la huella digital de las organizaciones. Estas capacidades son esenciales para enfrentar el creciente panorama de amenazas digitales que desafían la seguridad nacional.

Una estrategia integral de ciberseguridad

Durante la inauguración, el  ahora ex ministro TIC, Mauricio Lizcano, destacó la importancia del SOC como el primer centro público y civil dedicado a la ciberseguridad en Colombia. “Hoy dejamos un legado de enorme importancia para nuestro país. Este proyecto representa un compromiso firme con la seguridad nacional y el bienestar de toda la sociedad”, afirmó Lizcano.

El SOC no solo se centra en la detección de amenazas, sino que también busca fomentar una cultura de reporte de incidentes, establecer alianzas con organismos internacionales y contribuir a la creación de una agencia nacional de seguridad digital. Adicionalmente, promueve la adopción de estándares internacionales de seguridad, como la norma ISO 27000, a través del Modelo de Seguridad y Privacidad de la Información (MSPI).

Te puede interesar: ¿Te interesa la ciberseguridad? Este programa especializado es para ti y con certificaciones globales gratis

Herramientas tecnológicas avanzadas

El SOC cuenta con un robusto portafolio de tecnologías diseñadas para prevenir y mitigar riesgos. Entre ellas se incluyen:

• Mandiant: monitoreo continuo de amenazas y vulnerabilidades.
• ThreatQ: centralización de datos de inteligencia para un análisis más preciso.
• Manage Engine: supervisión de portales web estatales.
• Tenable IO y Security Score Card: identificación de vulnerabilidades y recomendaciones de mitigación.
• LeakIX: detección de configuraciones inseguras y fugas de información.

Estas herramientas permiten al SOC ofrecer monitoreo continuo y respuestas rápidas a incidentes, fortaleciendo las defensas digitales de Colombia.

Inicialmente, el SOC beneficiará a cerca de 6.400 entidades públicas a nivel nacional y territorial, proporcionando servicios gratuitos que mejorarán su postura de seguridad digital. A largo plazo, se espera que esta infraestructura también impacte a más de 300.000 organizaciones privadas, incentivando la implementación de controles básicos de ciberseguridad.

Jorge Capurro, representante de la Corporación Colombia Digital, subrayó el papel estratégico del Centro de Operaciones de Seguridad Nacional: “Hoy marca un antes y un después en las capacidades de ciberseguridad de nuestro país. Este proyecto trasciende la tecnología y representa un compromiso firme para salvaguardar el núcleo digital de nuestra nación”.

Imágenes: MinTIC

El año pasado, la mayoría de las predicciones sobre la evolución de las amenazas de crimeware y ciberamenazas financieras para 2024 se cumplieron. Entre ellas, se destacó el aumento de ciberataques impulsados por inteligencia artificial, un repunte de fraudes dirigidos a sistemas de pago directo, y el crecimiento de paquetes de código abierto con puertas traseras. También se observó la sofisticación de las técnicas de ransomware, lo que refleja la creciente complejidad de los ataques cibernéticos en el ámbito financiero.

En 2025, se espera que las técnicas de ransomware sigan evolucionando. Una nueva táctica será el “envenenamiento de datos”, en la que los atacantes alteran o insertan información falsa en lugar de solo bloquearla, lo que compromete la precisión de los datos. Además, se anticipa que los grupos de ransomware utilizarán métodos de cifrado más complejos, dificultando la recuperación de los archivos. También se prevé un aumento del ransomware como servicio, lo que permitirá a personas sin experiencia lanzar ataques sofisticados, lo que incrementará la frecuencia de los incidentes.

Te puede interesar: 5 tendencias de ciberseguridad que están cambiando la forma en que se protegen los datos

Se espera que en el próximo año surjan varios riesgos. Los ciberdelincuentes podrían atacar a los bancos centrales y a los sistemas de pago instantáneo para robar información sensible. También aumentarán los ataques a proyectos de código abierto, lo que pondrá en peligro las plataformas colaborativas utilizadas por muchas empresas.

La inteligencia artificial jugará un papel más importante en la protección digital, ayudando a detectar amenazas y responder rápidamente. Además, se prevé que aparezcan nuevas amenazas relacionadas con blockchain, una tecnología de red segura que podría ser utilizada para difundir malware.

Para enfrentar las amenazas cibernéticas en 2025, tanto individuos como empresas deben implementar medidas de seguridad sólidas, que incluyan inteligencia sobre amenazas, análisis predictivo y vigilancia continua. Además, es crucial capacitar constantemente a los empleados en ciberseguridad, ya que su falta de preparación sigue siendo una de las principales vulnerabilidades que pueden generar grandes pérdidas financieras, según Eduardo Chavarro, director del Grupo de Respuesta a Incidentes de Kaspersky para las Américas.

Imagen: Bermix Studio

Según el informe de FortiGuard Labs, el país recibió un impresionante volumen de 36 mil millones de intentos de ciberataques en los primeros meses de 2024. Esta cifra no es solo un número, sino un indicador alarmante de la complejidad y sofisticación de las amenazas digitales. que enfrentan las organizaciones colombianas.

Las estadísticas desglosan un panorama preocupante: el 44% de los ataques de ransomware y Wiper se dirigieron específicamente a sectores industriales estratégicos. Salud, manufactura, transporte, logística y sector automotriz fueron los más vulnerables, evidenciando una targeting selectivo por parte de los ciberdelincuentes.

Roberto Suzuki, director de OT para Fortinet Latinoamérica y Caribe, explica que “los atacantes están mirando los centros de producción porque saben que si atacan ese lado van a causar un impacto directo en los ingresos de las compañías”.

Su análisis apunta a una evolución táctica donde los cibercriminales no buscan solo causar daño, sino generar disrupciones económicas significativas.

Te puede interesar: Colombia inaugura el primer Centro de Excelencia en Ciberseguridad Industrial de Latinoamérica ¿Quiénes pueden acceder?

Los métodos de ataque revelan una sofisticación creciente. El phishing se posicionó como la estrategia principal, seguido por malware transmitido a través de documentos corruptos de Microsoft Office. Las campañas de denegación de servicios y ransomware mantuvieron un alto volumen de actividad, pero con un enfoque más dirigido y personalizado.

Suzuki asegura que hoy, con la Industria 4.0, están introduciendo nuevas tecnologías en los centros de producción que implican una conectividad externa significativa; es decir, los sistemas que antes estaban completamente aislados ahora dependen de tecnologías como Internet de las Cosas (IoT), sensores y consolas en la nube, ampliando dramáticamente la superficie de potenciales ataques cibernéticos.

El experto ilustra la fragilidad de estos sistemas, dice que han visitado fábricas donde los gerentes presumían de sistemas que mejoran la productividad con sensores avanzados, pero estas mismas tecnologías tienen consolas completamente expuestas en la nube.

Suzuki advierte que la percepción de seguridad por aislamiento ya no es válida. Muchas infraestructuras críticas, desde plantas industriales hasta hospitales, continúan operando con sistemas operativos obsoletos, como Windows XP, en equipos que generan millones de dólares, exponiendo sectores estratégicos a riesgos cibernéticos potencialmente catastróficos.

Un dato crítico es que aproximadamente el 73% de las organizaciones encuestadas reportaron haber sufrido intrusiones que afectarán directamente sus entornos de producción. Esta estadística subraya la urgencia de implementar estrategias robustas de ciberseguridad.

Te puede interesar: Visitamos un data center, un viaje al corazón de la información digital ¿Cómo funcionan?

Juan Carlos Puentes, Senior Country Manager de Fortinet Colombia, profundiza: “Los cibercriminales continúan especializándose, utilizando técnicas avanzadas de reconocimiento y evasión que incrementan significativamente su probabilidad de éxito”. Las estadísticas respaldan esta afirmación, mostrando una sofisticación en constante evolución de las amenazas digitales.

Los ataques no solo representan una amenaza tecnológica, sino económica. Se estima que un único incidente de ciberseguridad puede generar pérdidas millonarias, afectando la competitividad y estabilidad de las organizaciones colombianas.

Andrés Cajamarca, director senior de Ingeniería para Fortinet Colombia, asegura que, “el error humano sigue siendo la principal puerta de entrada, especialmente a través de campañas de phishing que pueden ser evadidas con entrenamiento adecuado”.

Las cifras son contundentes, Colombia requiere una transformación integral en su estrategia de ciberseguridad. No se trata solo de implementar tecnología, sino de crear una cultura de prevención y resiliencia digital que involucre a todos los niveles de las organizaciones.

Imagen: Archivo ENTER.CO

Frente a esta situación, las empresas colombianas han respondido con el incremento de la inversión en ciberseguridad. En el periodo de 2023 a 2024, el 85% de las compañías aumentaron sus presupuestos destinados a proteger sus sistemas, y se proyecta que para 2025 la inversión en ciberseguridad en el país crecerá un 19%, situando a Colombia entre los cinco países de la región con mayores inversiones en este ámbito.

Colombia está consolidando su posición como un referente regional en ciberseguridad, destacándose por sus crecientes esfuerzos e iniciativas para reducir los riesgos cibernéticos. Alejandro Navarro, gerente general de GMS Colombia, empresa de seguridad informática, expresó su preocupación por el aumento de los ciberataques, pero subrayó la importancia de las inversiones en seguridad digital que están realizando las empresas colombianas.

El informe también subraya que, además del aumento de ataques cibernéticos, estos se han vuelto más sofisticados, dirigiéndose a objetivos más específicos y a industrias vulnerables. Entre los sectores más afectados se encuentran el financiero, con un 35% de los ataques, seguido de los grupos empresariales (27%), empresas legales (14%) y el gobierno (11%). Sin embargo, se observa una expansión hacia otros sectores como la construcción, salud y educación.

Te puede interesar: Quishing en Colombia: cómo protegerse de esta estafa

En cuanto a los costos asociados a los incidentes de ciberseguridad, estos varían entre $200,000 USD y $1,000,000 USD, dependiendo del tipo de negocio, industria y la información comprometida. Es importante destacar que estos valores no reflejan completamente el impacto, ya que muchos costos son difíciles de cuantificar, especialmente aquellos relacionados con la exposición de información confidencial.

Navarro señaló que no hay diferencias significativas en los costos de ciberseguridad entre entidades públicas y privadas, dado que la protección de datos sensibles es crucial en ambos contextos.

Otro aspecto relevante es el papel de la inteligencia artificial en la protección de datos. Aunque esta tecnología permite automatizar procesos y desarrollar nuevas capacidades para enfrentar a los cibercriminales, la creciente adopción de la computación en la nube ha incrementado los riesgos asociados, lo que exige a las empresas proteger tanto la información en la nube como la almacenada localmente.

Imagen: Mikhail Nilov 

Siendo, además, una presa fácil para los ciberdelincuentes, pues, a pesar de que las instituciones educativas pueden manejar altos presupuestos de inversión en IT, no siempre se da la importancia al producto de seguridad o software de antivirus para los endpoints. Por consiguiente, el no destinar una parte adecuada para proteger sus sistemas puede dejarlos vulnerables ante amenazas cibernéticas.

Lo anterior lo confirma el Foro Económico Mundial, el cual reportó que en el 2023 tan solo un 4 % de las organizaciones en Colombia están seguras frente al acceso de sus redes y cuentan con sistemas protegidos de ataques cibernéticos. Lamentablemente, la mayoría de  estrategias de seguridad informática de este pequeño porcentaje son reactivas y no preventivas.

Alexander Ramírez Duque, CEO en Frontech, compañía de seguridad informática, afirma que una de las principales consecuencias de estos delitos es el robo de información confidencial, que puede revelar datos sensibles a terceros o facilitar casos de suplantación de identidad. Dependiendo de la naturaleza del ataque, también se podría dar una alteración o eliminación de registros, lo que trae como consecuencia para las instituciones daños en su reputación, multas o demandas.

Te puede interesar: Errores humanos principales brechas de seguridad en Colombia: panorama de ciberseguridad en el país

Para evitar lo anterior, la marca señala las tres mayores deficiencias que tiene el sector educación en temas de seguridad, y cómo estas pueden combatirse: 

• La falta de concientización y formación:

Tanto para estudiantes como para el personal de las instituciones, existe una brecha en el conocimiento de prácticas efectivas para proteger sus datos. Las instituciones carecen de políticas claras y bien definidas para comunicarlas, lo que conlleva al riesgo. Frente a esto, la solución radica en brindar información para capacitar a todas las personas de la institución sobre cómo reconocer correos electrónicos fraudulentos, contar con contraseñas seguras y el uso responsable de dispositivos. También es importante contar con políticas y procedimientos para resguardar la seguridad cibernética, implementando buenas prácticas que eviten la exposición a posibles ataques. 

• Infraestructura desactualizada:

Algunas escuelas o instituciones aún utilizan sistemas operativos y software antiguos que no reciben actualizaciones de seguridad. Sumado a ello, la falta de inversión en tecnologías de seguridad y actualización de infraestructura son una debilidad latente. La solución está en fortalecer la infraestructura tecnológica a través de una actualización regular para mantener los sistemas operativos, aplicaciones y software con los últimos parches de seguridad, reduciendo posibles vulnerabilidades que los ciberdelincuentes podrían explorar.

• Desafíos con la enseñanza virtual:

La transición a la enseñanza virtual ha aumentado la exposición de amenazas cibernéticas en instituciones educativas, como la privacidad de los estudiantes, y las dinámicas de comunicación e interacción entre todas las partes. Para lo anterior, la implementación de simulacros de incidentes de seguridad para evaluar la efectividad de los planes de contingencia y la respuesta del personal es el camino correcto. Se debe designar un equipo preparado para actuar rápidamente en caso de una violación de seguridad, que esté encargado de manejar posibles ciberataques. Asimismo, realizar copias de seguridad de los datos críticos garantiza que, en caso de un ataque, se puedan restaurar los sistemas y la información.

Con el tiempo avanza la tecnología y a su vez evolucionan las amenazas cibernéticas, lo que compromete la integridad de los sistemas informáticos y el bienestar de la humanidad. Por ello, se vuelve vital la protección y detección temprana de estos ataques e invertir en recursos que mitiguen los impactos negativos.

Imagen: Adam Sondel

Esta vez, la Dirección General de Tráfico fue la protagonista del nuevo capítulo de ataques cibernéticos. Eso sí, la noticia no se conoció por el ataque en sí, sino por la puesta en venta de una base de datos que incluye información personal de 34 millones de conductos españoles. De hecho, la fecha del ataque es un incierto; se desconoce si la información en venta proviene de una taque reciente o de uno que se llevó a cabo hace algún tiempo. 

Lo cierto es que los datos de una gran cantidad de conductores españoles fue sustraída de la entidad y puesta en venta en un popular foto de ciberseguridad. Aunque el precio por la información no fue revelado, sí se confirmó la gran cantidad de datos que están en el poder de los ciberdelincuentes. 

Te puede interesar: Polémica en la Unión Europea por propuesta que busca vigilar conversaciones de usuarios

Por fortuna, el anuncio de venta dejó ver con detalle los datos que han robado de cada conductor. Esto demuestra que la filtración es realmente importante, con la que podrían acceder a otro tipo de datos si llega a las manos equivocadas. Te dejamos los datos que aparecieron en venta en el foro de ciberseguridad: 

• Nombre completo
• Número de DNI
• Dirección completa de residencia
• Cantidad de vehículos en posesión
• Matrícula
• Tipo de vehículo
• Marca
• Modelo
• Datos del seguro en vigor

Esto multiplicado por 34 millones, pues son los datos de cada uno de los conductores que fue expuesto. Lamentablemente, esta información es suficiente para realizar estafas, contratar o dar de baja servicio básicos a nombre de los conductores dentro de la lista. 

Por el momento la DGT no ha brindado declaraciones sobre el robo de esta información, ni está claro si ya la base fue retirada de la venta. 

Imagen: Sergey Zolkin

ManageEngine, división de Zoho Corporation y proveedor de soluciones de gestión de TI empresarial, anunció los resultados de su reciente estudio, el cual fue llevado a cabo con profesionales de ciberseguridad y tomadores de decisiones de empresas en Colombia, Brasil, México y Argentina. Los hallazgos revelaron algunas tendencias clave en seguridad y develaron los desafíos significativos que los profesionales de ciberseguridad están enfrentando en el país.

Según la encuesta, el 58% de los encuestados en Colombia reconocieron que sus empresas enfrentaron un aumento en las violaciones de ciberseguridad en 2023 en comparación con años anteriores. Así mismo, un 68% admitió que los accidentes de los empleados son la razón principal por la cual ocurren la mayoría de los ataques, seguidos de cerca por entidades externas con un 67%.

Redefiniendo la ciberseguridad con inteligencia artificial.

En 2023, según el 53% de los encuestados, la inteligencia artificial generativa desempeñó un papel significativo en los ciberataques contra sus empresas.

El 86% de los encuestados afirmó que la inteligencia artificial era crucial para defenderse contra los ciberataques en 2024. Sin embargo, es importante destacar que el 14% tenía opiniones contrastantes. En comparación con el promedio regional del 92%, Colombia se ubicó ligeramente por debajo al reconocer la importancia de la inteligencia artificial en ciberseguridad, lo que refleja un panorama matizado.

Dicho esto, el 85% de los encuestados admitió que sus organizaciones confían en las tecnologías de inteligencia artificial para implementar cambios adecuados y responder a los ataques sin intervención manual. Esto indica una creciente dependencia a soluciones automatizadas.

Te puede interesar: Aumentan las estafas en préstamos individuales: las más comúnes y cómo evitarlas

El Factor humano

En ciberseguridad, el elemento humano a menudo resulta ser tanto un activo vital como una vulnerabilidad significativa. Los datos del estudio destacan esta realidad, con un 63% de los profesionales de seguridad identificando a los nuevos empleados sin una formación adecuada en seguridad como un riesgo sustancial para la organización. Teniendo en cuenta que los accidentes de los empleados son la causa principal de las amenazas de seguridad, fue reconfortante también ver que un impresionante 97% de los encuestados reconoció que sus empresas proporcionan capacitación en ciberseguridad para los empleados.

Otro aspecto interesante del estudio fue cómo los profesionales de ciberseguridad están lidiando con el estrés en medio de estas crecientes amenazas. Un preocupante 65% de los profesionales de ciberseguridad admitió enfrentar un nivel de estrés mayor en los últimos años. Además de la mayor frecuencia de ciberataques, un 43% de los encuestados sugirió la falta de miembros experimentados en el equipo como la otra causa del estrés. Esto enfatiza la grave escasez de experiencia para navegar por paisajes de amenazas complejas.

La Influencia de los Requisitos de Seguro Cibernético en el Cumplimiento Regulatorio.

Los hallazgos del estudio revelan una fuerte correlación entre la adopción del seguro cibernético y el cumplimiento de las regulaciones de datos entre las empresas colombianas. A pesar del impacto positivo que el seguro cibernético ha tenido en los negocios , es importante señalar que el 54% de los encuestados reportaron reclamos exitosos, lo cual es menor que en otros países encuestados. Esto sugiere que aunque la adopción de este seguro especializado está creciendo, todavía puede haber margen para mejorar en cuanto a comprender y utilizar los beneficios que ofrece.

Al examinar los requisitos para adquirir un seguro cibernético, fue evidente que el cumplimiento de las regulaciones de protección de datos es una prioridad principal para las empresas colombianas, con un 73% citándolo como un factor crucial. Esto se alinea con la tendencia más amplia observada en el cumplimiento, donde una mayoría significativa (79%) de las empresas afirma estar actualmente en cumplimiento con todas las regulaciones de protección de datos, con un adicional del 20% que tiene como objetivo lograr la conformidad total para finales de 2024.

Imagen: Karolina Grabowska 

 El inicio del caos

El lunes 12, los primeros informes comenzaron a surgir. Servicios gubernamentales esenciales desde el sistema de salud hasta la rama judicial experimentaron interrupciones. Las investigaciones iniciales apuntaban a un posible fallo técnico, pero pronto se hizo evidente que estábamos ante algo mucho más grave. El tema preocupante para diversas personas que trabajamos en ciberseguridad era la poca comunicación del incidente del proveedor IFX Networks, el cual publicó un comunicado que no daba muchas pistas.  

El gobierno actuó de forma correcta convocando las capacidades de ciberseguridad entre ellas el apoyo del Grupo de Respuestas a Emergencias Cibernéticas de Colombia (COLCERT) y del Equipo de respuesta a emergencias informáticas (CSIRT, por sus siglas en inglés) asociado a la Presidencia, como la creación de un PMU (Puesto de Mando Unificado), con distintos actores entre ellos MINTIC. El boletín número 2 de este PMU, empezó a mostrar varios temas complejos entre ellos que IFX tiene 46 contratos con entidades públicas. 

La identificación del adversario

Tres días después, el 15 de septiembre, el COLCERT, y CSIRT Presidencia emitieron un comunicado oficial, denominado el contexto del incidente.  El diagnóstico: un ransomware conocido como MarioLocker. Esta amenaza no era desconocida en el mundo de la ciberseguridad. Con más de 459 incidentes a nivel global.  “El COLCERT, a través de su análisis de Cyber Threat Intelligence, identificó artefactos vinculados que indican posibles vulnerabilidades aprovechables por terceros. Estas vulnerabilidades pueden afectar dispositivos y activos relacionados con recursos en la nube, como señala Microsoft. La propagación de la amenaza puede impactar servicios vinculados a sistemas de información y herramientas de conexión remota en entornos virtualizados”, lee el reporte. 

Esto ya mostraba varios temas los ciberdelincuentes pudieron aprovechar las vulnerabilidades de entornos virtualizados, y la planeación del ciberataque de forma estratégica.  Como la falta de estrategia de continuidad de las entidades públicas y privadas y del proveedor de servicios.

 Las víctimas y el alcance global del ciberataque

 A medida que avanzaban los días, se reveló que el ciberataque no solo afectó a Colombia. Entidades en Chile, Panamá, también fueron víctimas. Se estableció la afectación de diversas entidades públicas y privadas. Así mismo, portales como muchohacker, publicaron la lista de algunas entidades afectadas, las cuales sobrepasan las 400. 

En diversas entrevistas Mauricio Lizcano, el Ministro TIC de Colombia, comentó como varias entidades privadas y públicas han solicitado el apoyo al CSIRT. Saúl Kattan Cohen, consejero Presidencial para la Transformación Digital mostró la necesidad de la agencia de seguridad digital debido al alto impacto del ciberataque a todos los procesos de distintas entidades. Así mismo, algunos senadores como David Luna, han expresado la necesidad de que el gobierno mejore las capacidades de seguridad.

El daño es incalculable por la falta de disponibilidad de la información. Esta viene a ser la mayor ‘cicatriz’ que deja la crisis de las últimas semanas. Todos estos datos vitales son algo que el gobierno tendrá que identificar, ya que muchas entidades no han podido acceder a la información por más de 8 días. Establecer el daño emergente y el lucro cesante se presenta como un desafío monumental, principalmente porque no contamos con un precedente de un ataque de esta magnitud y naturaleza.

Algunas entidades como el Ministerio de Cultura hoy 22 de septiembre de 2023, siguen afectadas y no tienen sus servicios activos es el caso de la biblioteca nacional, museo nacional, quinta de Bolívar, museos colombianos, entre otras. La Rama Judicial también se vio afectada y se ha visto en la obligación de suspender términos en distintos procesos.

Algunas causas detrás del ataque

Varios factores contribuyeron a la magnitud de este ciberataque. En primer lugar, es bueno resaltar algo que no se ha mencionado y es que Colombia tiene hace años un modelo MSPI que incluye documentación, estándares y procedimientos, en temas de ciberseguridad. Así mismo en el modelo del MSPI, se puede encontrar hasta los formatos de reporte de incidentes. 

Decir que no se tiene procesos y documentos es falso. El modelo colombiano es bueno en documentación, el problema es que fallaron los controles en varios procesos. 

Algunas de las causas del ataque pueden verse reflejadas en temas como:

1- Falta de copias de seguridad y de estrategia de continuidad

Se tenía de forma literal los recursos en el mismo lugar. Esto hace que algunas entidades no tengan acceso a las copias de seguridad de forma sencilla. El incidente con IFX Networks reveló una vulnerabilidad crítica en la estrategia de resguardo de datos de muchas entidades: todos sus datos, incluidas las copias de seguridad, estaban almacenados en la misma nube. Esta concentración de información en un único punto de fallo subraya la importancia de diversificar las estrategias de almacenamiento y backup para garantizar la continuidad del negocio ante ataques.  La ausencia de ejercicios de simulación se manifestó con fuerza: el ataque real se convirtió en el simulacro más crudo y revelador, evidenciando fallos en RPO (Punto de Recuperación Objetivo) y RTO (Tiempo de Recuperación Objetivo).

2- Priorización del precio sobre la seguridad

En algunos casos el marco de precios de Colombia Compra Eficiente se compró nubes a menor precio, pero no con mejor seguridad de la información. Vale la pena revisar el modelo en temas de ciberseguridad, en el catálogo que se tiene debe primar la seguridad más que el precio. 

3 – Gestión de vulnerabilidades

Todo indica que los ciberdelincuentes explotaron una vulnerabilidad específica relacionada con la virtualización en la infraestructura de IFX Networks. Esta brecha, aparentemente no gestionada adecuadamente, permitió un acceso sin precedentes a los sistemas, dejando en evidencia una falta de estrategia proactiva en la gestión de vulnerabilidades. Cada vez los controles a los proveedores en la nube deben ser más estrictos y se debe demostrar de forma constante pruebas de ethical hacking, análisis de vulnerabilidades y controles en todos los entornos. 

4 – La gestión de la comunicación

Durante el incidente, los procesos de comunicación de IFX Networks dejaron mucho que desear. A pesar de la magnitud del ataque y las implicaciones para numerosas entidades, la información proporcionada fue escasa y, en ocasiones, tardía. No fue sino hasta el 19 de septiembre cuando comenzaron a surgir comunicados más claros y detallados sobre la situación. La falta de transparencia y la intermitencia en la disponibilidad de su página web en los días previos solo intensificaron la incertidumbre y la preocupación entre las entidades afectadas y el público en general. Una comunicación oportuna y clara es esencial en momentos de crisis, y en este caso, se evidenció una notable deficiencia en ese aspecto. El 21 de septiembre de 2023, la empresa comunicó que ha logrado restablecer los servicios para el 90% de sus clientes, con la expectativa de una recuperación total de forma pronta. 

5 – La evolución del Ransomware

El cual ha venido evolucionando a través de los años, hace que cada vez su anatomía sea más especializada, los ciberdelincuentes tienen la facilidad de aprovechar vulnerabilidades y cumplir sus objetivos.  Según informes de empresas en ciberseguridad, como Sophos, los ataques de ransomware se están volviendo cada vez más especializados. De hecho, en el 76% de los casos, los ciberdelincuentes logran cifrar exitosamente los datos de sus víctimas, evidenciando una creciente sofisticación en sus métodos. En Cloud Seguro una empresa de seguridad informática en la investigación de distintos incidentes nos hemos dado cuenta de que el ciberdelincuente tiene todo el tiempo y paciencia para ejecutar los ataques y la planeación es detalle a detalle. Así mismo, existen ya técnicas como el “ransomware como servicio” (RaaS) es un modelo de negocio en el que los ciberdelincuentes ofrecen infraestructura de ransomware a otros criminales a cambio de una parte de los rescates obtenidos.

6 – La respuesta y las implicaciones a futuro

A pesar de que el proveedor ha anunciado la solución al reciente ciberataque, el panorama aún presenta incertidumbre. El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), ha expresado desde el 18 de septiembre en distintos medios de prensa su decisión de emprender acciones legales, lo que augura un periodo de análisis y posiblemente litigios. 

Paralelamente, las autoridades están incrementando la vigilancia en la dark web, buscando indicios de filtraciones que puedan estar vinculadas al incidente, pero esto apenas empieza. En ocasiones la información se filtra meses después y la paciencia de un ciberdelincuente es su mayor virtud. 

Se debe investigar con ciberinteligencia y OSINT. Esto es lo que viene en los próximos días para establecer si algún tipo de información pudo verse expuesta. Es bueno establecer si IFX realizó algún proceso de informática forense para establecer todo el contexto. Así mismo, no queda claro si la empresa tenía algún tipo de póliza de seguro o que está haciendo para el proceso de investigación. 

Solo IFX Networks y el grupo de crackers saben realmente la profundidad del acceso y qué información fue comprometida. El tiempo, sin duda, revelará la verdad.

Conclusiones

El reciente ciberataque ha evidenciado no solo las debilidades de nuestra infraestructura digital, sino también la urgente necesidad de adoptar una mentalidad centrada en la ciber resiliencia. A pesar de los avances de Colombia en documentación con el MSPI, herencia de gobiernos anteriores, aún enfrentamos retos significativos. Se ha discutido la posibilidad de una agencia de seguridad digital, pero es vital entender que esta agencia sería solo una herramienta entre muchas y no va a hacer que las cosas cambien dentro de un plazo mediano.  

Cada entidad del sector público y privado tiene su propia dinámica, con procesos de contratación, decisiones y gestión tecnológica únicos. Estas características, arraigadas en su cultura organizativa, influyen en su preparación y respuesta ante amenazas en ciberseguridad.  Sin embargo, la situación actual nos ofrece una oportunidad: es el momento de adaptarnos, fortalecer nuestras defensas y, sobre todo, cultivar una cultura de seguridad más sólida y coherente con mayores controles técnicos y de continuidad 

de los servicios en la nube exige una revisión exhaustiva de los controles de seguridad que los proveedores implementan. No basta con confiar; es vital verificar y validar constantemente. Al final del día, existen dos tipos de empresas: las que han sido hackeadas y las que aún no lo saben.

Pero a esta realidad, añadimos un tercer tipo: las hackeadas que demuestran capacidad y resiliencia en su respuesta. 

Imágenes: Foto de AltumCode en Unsplash 

Un reciente informe de Etek International, proveedor de soluciones en seguridad informática, reveló cuáles son los cinco países latinoamericanos que más reciben ataques cibernéticos. Lamentablemente, Colombia está dentro del listado, ocupando el tercer puesto de países con más ciberataques. Aquí el listado completo:

1. México.
2. Brasil.
3. Colombia.
4. Perú
5. Chile

Los delitos con motivos financieros son los que encabezan la lista con un 63%, mientras que el robo de información sensible representa el 37%. Otro tipo de ataques comunes son el ransomware, phishing, BEC (Business Email Compromise) y denegación de servicio por medio de infección con malware.

De acuerdo con los resultados del informe, los factores de estos territorios que los convierten en carnada para los delincuentes cibernéticos son: los altos volúmenes de usuarios, compañías o marcas reconocidas, el acceso de un mayor número de personas a Internet. Por otro lado, se estima que la cercanía con economías de líderes globales, como EE.UU., incrementan la posibilidad de obtención de ganancias y despiertan el interés de grupos con acciones maliciosas.

Te puede interesar: Abren convocatoria para financiar investigaciones en ciberseguridad ¿Cómo participar?

El informe también revela que las industrias que reciben más agresiones cibernéticas de forma continua son las financieras: bancos, entidades de seguros, leasing,etc. Lo mismo sucede con los comercios de salud, energía, manufactura y gobierno, las cuales también ocupan los primeros puestos en el listado de empresas que reciben más ataques.

Según Etek, la tasa de éxito de las ciberamenazas ha aumentado, al igual que la sofisticación de los ataques. De hecho, la compañía estima que el costo promedio por recuperar una cuenta podría alcanzar los 250 mil dólares.

Se destaca también que la tendencia para el segundo semestre del año indica que habrá un crecimiento importante de campañas ejecutadas por actores malintencionados. Con estas campañas buscarán afectar particularmente a las industrias de salud, financiera, energía y manufactura.

Imagen: www_InfoTimisoara_ro vía Pixabay

Entre otras, el informe señala 3 principales tipos de ciberamenazas en el país:

Ataques de ransomware.  Está es una de las principales ciberamenazas que enfrentan las compañías. Se trata de un software malicioso que los cibercriminales usan para infectar las máquinas, secuestrar la información o bloquear las computadoras y posteriormente pedir grandes sumas de dinero por el rescate.

De acuerdo con el informe, el costo promedio que pagan las compañías para recuperar la información secuestrada es de 250 mil dólares. Durante el último año, varias empresas en Colombia experimentaron múltiples ciberataques, afectando sus operaciones a nivel global. Según las estadísticas finalizando 2022 Colombia reportó un 133% en el número de organizaciones impactadas por ransonware en comparación con el mismo periodo de 2021.

En este mismo sentido, entre enero y marzo de 2023 ETEK y Cyble observaron ataques de ransomware a 21 organizaciones incluidas infraestructuras críticas en la región, entre ellos sistemas sanitarios, empresas de servicios acueductos, gas y energía y telecomunicaciones.

El Global CEO de ETEK, Praveen Sengar explicó que los ciberdelincuentes “van por las empresas más grandes porque pueden cobrarle una mayor cantidad de dinero. Hemos visto, en los últimos dos años, que ahora los ciberdelincuentes están más enfocados en atacar a las empresas de salud, de servicios públicos y también están mostrando un alto interés por las compañías farmacéuticas”.

Te puede interesar: ¡Ojo! Así están estafando con aplicaciones falsas de ChatGPT

Actividades de amenaza en foros clandestinos. Las actividades de amenaza (Treath actor “TA”) aprovechan el anonimato de foros clandestinos para comprar y vender accesos y datos no autorizados.

Entre los principales Treath Actor que presenta el estudio se encuentran el TA Mary y el TA GhostSec. El primero de estos TA vendió accesos de correo electrónico de las fuerzas armadas colombianas donde se vio comprometida la seguridad de la información de la institución. GhostSec por su parte puso a la venta en su canal de Telegram bases de datos supuestamente pertenecientes al Ministerio de Minas y Energía con 1GB de datos donde, entre otros, presumían datos de acceso de redes sociales.

Adicionalmente el estudio revela otros datos de entes gubernamentales y empresas privadas que fueron puestos a la venta y que en su mayoría contienen información de cuentas de correo electrónico y sus contenidos. Los datos expuestos también revelan información de los clientes, los proveedores, datos de los usuarios, datos de pagos, números de WhatsApp y titularidades de tarjetas débito y crédito.

Campañas hacktivistas. Este tipo de campañas son realizadas por colectivos expertos en informática que se ocupan en detectar vulnerabilidades en equipos y sistemas con el objetivo de penetrar en ellos y “reivindicar” alguna causa social o política. La investigación reveló un gran número de campañas que buscaron afectar principalmente al gobierno, las fuerzas armadas y las industrias energéticas.

Una de las organizaciones que más sobresalió en este sentido fue la organización hacktivista “Guacamaya” que llevó a cabo diversos ciberataques no solo en Colombia sino también en diversas regiones de Latinoamérica. De acuerdo con el informe de ETEK en el mes de septiembre esta organización supuestamente comprometió 10TB de datos de las fuerzas armadas de Colombia, Chile, México, Perú y El Salvador.

Imagen: cliff1126 vía Pixabay

Colombia registró más de 6 mil millones de ciberataques en el 2022. Debido a los múltiples fraudes y ciberataques que sufren las empresas, ha surgido la práctica del “Pentesting”, una reciente innovación que ayuda a determinar el alcance de la protección y prevenir las fallas del sistema de seguridad, blindando el acceso a los datos por parte de cibercriminales, y evitando riesgos potenciales como el robo de identidad o ataques de ingeniería social.

Según un estudio de Fortinet realizado en América Latina, en el 2022 se registraron 137 mil millones de intentos de ciberataques en la primera mitad del año, un 50% más que el periodo anterior. México fue el país más atacado de la región con 85 mil millones, seguido por Brasil con 31,5 mil millones y de Colombia con 6,3 mil millones.

Te puede interesar: Audifarma confirma hackeo a su página web

De acuerdo con Noventiq, proveedor global líder de soluciones y servicios en transformación digital y ciberseguridad, estos delitos pasan desde obtener información legal, financiera, de marketing, informática y de la propia operación de las empresas.

En este escenario, el “Pentesting” ofrece un conjunto de herramientas y soluciones en tiempo real para analizar la repercusión de la intrusión en los elementos de seguridad perimetral como Firewall, IPS/IDS, Load Balancers, entre otros.

A ello se suma un servicio de seguridad ofensiva, que incluye concienciar al usuario interno de la empresa, un análisis de vulnerabilidades y distintos test de penetración como: Web Application Penetration Testing, API Penetration Testing, Mobile Penetration Testing, Network Penetration Testing y WIFI Penetration Testing. Además, un servicio de scaneo de dominio, el cual permite visualizar información de su entorno tal como, lo hace un atacante de Internet.

Ventajas del Pentesting

– Tiempo: La arquitectura basada en la nube de la solución automatizada, permite acelerar la ejecución de los servicios PenTest.

– Detección: Detecta vulnerabilidades del alto impacto al contar con un equipo de especialistas, que participan activamente dentro del proceso de análisis manual.

– Explotación: Realiza explotación de todas las vulnerabilidades posibles y brinda los pasos necesarios para que el cliente pueda reproducirlas por su cuenta.

– Re-Test: Brinda la posibilidad de retestear vulnerabilidades en forma ilimitada, dentro de los 3 meses posteriores a la finalización del análisis. De esta manera, el cliente durante el proceso de remediación, valida la vulnerabilidad persistente.

– Confiabilidad: Las vulnerabilidades reportadas son previamente aprobadas por un especialista a fin de filtrar falsos positivos, independientemente de ser detectadas a través de un proceso manual o automático.

– Entregables: Reporta las vulnerabilidades una vez detectadas. El cliente puede acceder a los detalles de las vulnerabilidades desde la misma plataforma.

– Seguimiento: El cliente podrá utilizar la solución automatizada, para realizar el seguimiento interno de la remediación de las vulnerabilidades.

La firma que brinda este servicio es Noventiq, la nueva marca de Softline Holding plc, uno de los actores de más rápido crecimiento en el sector. Este es un proveedor global, líder de soluciones en transformación digital y ciberseguridad, con sede en Londres.

Te puede interesar: MinTIC creará observatorio de ciberseguridad

La compañía habilita, facilita y acelera la transformación digital de los negocios de sus clientes, conectando a más de 75.000 organizaciones de todas las industrias con cientos de los mejores proveedores de TI y brindando sus propios servicios y soluciones.

Según Cesar Possamai, gerente de Unidad de Negocio de Noventiq Latinoamérica “es muy importante destacar las consultorías de seguridad con las recomendaciones de proyectos y soluciones a desarrollar con nuestros especialistas, quienes contemplan cuestiones de arquitectura tecnológica, hardening, de ciertos servicios como VPN, Backups, soluciones de ciberseguridad, para así poder mejorar de forma continua en lo que respecta a la ciberseguridad”.

Imagen: Archivo de ENTER.CO

Si bien hoy el uso del Bluetooth sigue vigente, este ha quedado relegado prácticamente para emparejar dispositivos celulares con otros equipos como altavoces, relojes inteligentes, audífonos inalámbricos, impresoras, televisores, entre otros. No obstante, y a pesar de que las nuevas versiones de esta tecnología cuentan con cifrado de datos, algunas investigaciones señalan que, debido a su funcionamiento, no está exenta de sufrir vulnerabilidades.

De acuerdo a un estudio realizado por Check Point Software Technologies Ltd, un reconocido proveedor de soluciones de ciberseguridad a nivel mundial, los ciberdelincuentes pueden usar brechas de seguridad existentes en una conexión Bluetooth y acceder a una gran cantidad de información de los usuarios sin que estos se enteren.

Dentro de las principales modalidades de ataques mediante Bluetooth que la compañía detectó en su análisis, se encuentran las siguientes:

• El BIAS (Bluetooth Impersonation AttackS): un tipo de hackeo que permite que los ciberdelincuentes emparejen diferentes equipos móviles con el fin de tomar control del dispositivo vulnerado.
• El robo de datos, el rastreo y el espionaje, los cuales resultan de la interceptación de una transmisión Bluetooth para explotar fallos de seguridad existentes.
• El Bluebugging, con el que los ciberatacantes usan una conexión Bluetooth para crear un bug en el sistema operativo del dispositivo vulnerado, que les permite controlar por completo el equipo infectado.
•  El Bluesnarfing, con el que los ciberdelincuentes se aprovechan de un equipo que tenga siempre activado su “modo visible” para emparejarse sin consentimiento con dicho dispositivo, y de esta forma acceder a datos personales del usuario como fotografías, vídeos, eventos del calendario, etc.

Cómo proteger tu conexión Bluetooth

Existen varios métodos que pueden ayudarte a mantener una conexión Bluetooth segura, como mantener siempre actualizado el software de tu dispositivo a la última versión disponible. Sin embargo, puedes ampliar esas prácticas apagando tu Bluetooth en lugares públicos o negando solicitudes de emparejamiento desconocidas.

En caso de que quieras implementar medidas más robustas, también puedes comenzar a hacer uso de una VPN, ya que estas redes virtuales evitan que tu conexión pueda ser rastreada por terceros.

Imágenes: Pixabay

El estudio llamado Ransomware Flashcard 2022, asegura que el aumento de estos rescates pagos ha incrementado del 19 % en 2018 al 71 % en 2021, lo que ha reflejado que este tipo de ataques hayan aumentado del 55 % al 68 % en solo tres años.

De acuerdo a la investigación, esta práctica extorsiva conocida como Ransomware, que impide que los usuarios puedan acceder a su sistema y a sus archivos personales a cambio de un pago, afectó a cerca del 68 % de las organizaciones en 2021 y al menos a un 29 % de las compañías latinoamericanas.

Te puede interesar, además de ataques por Ransomware: Cinco fallas de seguridad que le abren paso a los ciberataques

Desde Lumu Technologies, quienes además de señalar en el estudio que Emotet fue el malware más activo durante el año pasado, recomiendan, como muchas otras firmas de ciberseguridad, no realizar ninguna transacción a los ciberdelincuentes para tener de vuelta sus datos. No obstante, la urgencia para acceder a archivos importantes en ocasiones es tanta, que estas terminan cediendo, al mismo tiempo que impulsan un lucrativo mercado ilegal que dejó USD $4.62 millones en 2021 de ganancias ilícitas.

El informe señala que del total de las empresas atacadas con este tipo de malware, el 49 % se encuentra en Norteamérica; el 38 % en Europa,  el 39 % en Asia y Oceanía y el 32 % en Oriente Medio y África.

German Patiño, Vicepresidente de Ventas de Lumu Technologies para América Latina, pronostica que “la amenaza que plantea el ransomware crecerá y evolucionará durante todo este año en Latinoamérica”, pues cualquier organización puede ser un objetivo para los ciberdelincuentes.

Para evitar ataques por ransomware, es importante no caer en mensajes calificados como “spam malicioso”, que se esconden en mensajes no solicitados por correo electrónico o por cualquier otra vía digital, los cuales pueden incluir archivos adjuntos infectados o enlaces a sitios web maliciosos.

Imágenes: Unsplash

Según Vega Rocha, la explicación de la caída de la página de la entidad respondió a una “actividad inusual” en los ingresos al sitio de la institución y a la app de InfoVotantes. Esta se detectó a las 7:40 a.m, momento en el que se activó el plan de una contingencia que había podido ser prevista, pues durante la última semana de febrero del 2022, la misma página ya había sido blanco de, al menos, 400.000 amenazas de hackeo realizadas por bots que habían intentado «tumbar la página».

Te puede interesar: «No habrá fraude electoral», Registraduría sobre ciberataques a su página

De acuerdo a El Tiempo el registrador habría confirmado que la “actividad inusual” fue producto de un ciberataque, el cual, se contuvo de manera eficiente (según el criterio de la entidad), pues antes “ya se habían hecho algunos simulacros” con el fin de reaccionar oportunamente a estos intentos de hackeo. Y aunque el director de la Policía Nacional, el general Jorge Luis Vargas, confirmó la explicación de Vega, Francisco Barbosa, quien es el Fiscal General de la Nación, desmintió la hipótesis y confirmó lo que periodistas como Paola Herrera, de la W, habían denunciado: que la tecnología contratada falló pese a que el contrato para administrar la página (que de acuerdo a Herrera, es de $14.000 millones) exigía que esta tuviera la capacidad de soportar altos volúmenes de tráfico.

La caída del sitio llevaba al menos 12 horas sin solución, cuando la Registraduría Nacional decidió pronunciarse a las 10:00 a.m a través de su cuenta de Twitter, respondiendo que la falla se había debido al «alto» e inusual flujo reportado «contra» la página y la herramienta, y que había acudido a los organismos de ciberseguridad del Estado para evitar hackeos.

OJO El Fiscal General, Francisco Barbosa, dice que no existió ningún ataque cibernético a la página de la Registraduria. 😳😳😳

— Laura Palomino (@C1Palomino) March 14, 2022

Ojo: hoy revelo en mi columna detalles del contrato para la página web y la app de la #Registraduría que establecía que NO PODÍA pasar todo lo que pasó ayer. $14 mil millones para una tecnología que terminó siendo la #ChambonadaDelSigloXXI @estoescambio https://t.co/QMmq9KXUJt

— Paola Herrera (@PaoHerreraC) March 14, 2022

Imágenes: Registraduría Nacional

The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine

— Anonymous (@YourAnonOne) February 24, 2022

A dos días de iniciar el conflicto armado, el colectivo se ha atribuido varios ataques cibernéticos: el hackeo a la base de datos de la página web del Ministerio de Defensa de Ucrania, la cual desde la mañana del 25 de febrero permanece inactiva; el bloqueo del sitio web del medio de comunicación prorruso RT en inglés, que ya fue restablecido; y el hackeo a varias páginas de entidades gubernamentales de Rusia.

Además de lo anterior, al tener acceso a documentos privados, Anonymous ha estado anunciando futuros movimientos militares por parte de Rusia. Así fue como el colectivo advirtió en la tarde del jueves, y con casi 14 horas de anticipación, que las fuerzas armadas de Vladimir Putin preparaban una ofensiva en Kiev, capital en la que aún permanecen miles de civiles e incluso el presidente Volodímir Zelenski junto a su familia. El suceso se confirmó cuando se comenzaron a confirmar que varios misiles habían impactado la ciudad.

🇷🇺🇺🇦 | GUERRA UCRANIA-RUSIA: Volodymyr Zelensky publicó un video con sus colegas del partido y la administración y dijo que se estaban quedando en Kiev: “Estamos aquí. Estamos en Kiev. Estamos defendiendo Ucrania”.
pic.twitter.com/bxNuwTZYBO

— Alerta News 24 (@AlertaNews24) February 25, 2022

Te puede interesar, además de Anonymous: Guerra digital,  la otra faceta del conflicto entre Rusia y Ucrania

Por su parte, el Centro de Coordinación Nacional de Rusia para Incidentes Informáticos confirmó los ataques cibernéticos de Anonymous hacia algunos medios de comunicación y los calificó la situación como “crítica”. No obstante ese país también está detrás de vulneraciones a puntos estratégicos ucranianos como la telefonía o entidades financieras.

Imágenes: Photo by Daniel Lincoln on Unsplash  

Existen millones de maneras para ingresar a la información privada de una compañía, con el fin de hurtar los datos o suplantarlos, mejor conocido como ciberataque. En el último mes según la página de ciberamenazas en tiempo real, los ciberataques a nivel mundial aumentaron en un 21,89% . Por esto, es indispensable revisar estos cinco aspectos para que tu empresa no sea víctima de ciberataque.

1. Autenticación

Debido al virus que nos ataca en estos tiempos, muchas empresas han tenido que movilizarse al trabajo híbrido. Si tus colaboradores acceden de manera remota a las herramientas y sitios web de la compañía, es necesario asegurar los métodos de autenticación con los que podrán entrar tus trabajadores.

Cuando una empresa no cuenta con seguridad en la autenticación, le deja la puerta abierta a desconocidos que podrán ingresar desde cualquier dispositivo también, pues será muy fácil acceder a tus datos, manipularlos e incluso robarlos.

2. Seguridad de las apps en la nube

La gestión de la nube es la manera en la que los administradores controlan y organizan sus productos y servicios como: el control de acceso y usuarios, los datos, las aplicaciones y servicios. Por supuesto, todo esto implica otorgarle a los trabajadores el acceso a los recursos que necesiten.

Pero, mantener la información en la nube trae sus ventajas y desventajas. En cuanto a almacenamiento, tendrás mayor capacidad que en un computador o dispositivo, al estar en la nube todos podrán tener acceso a la información que necesiten. Pero, así mismo, será sencillo que personas ajenas ingresen a la información si no se cuenta con la seguridad necesaria como acceso condicionado y el inicio de sesión única.

Te puede interesar: Convivir con la inseguridad creyendo que estás seguro

3. Riesgos internos

Los ciberataques no siempre provienen de terceros, en las empresas también se pueden encontrar los ‘infiltrados’ que pueden divulgar la información privada de la compañía a otras personas para manipularla o hurtarla. Para prevenir estos riesgos, es necesario revisar los datos, monitorearlos y asegurarlos con herramientas que te alerten sobre descargas de bases de datos o filtración de información privada.

4. Asegurar la información más sensible

Los ciberdelincuentes usualmente van tras la información que más impacta a la empresa, esto con el fin de sobornar a los trabajadores o administradores del negocio. Para hacer frente a esto, es necesario que conozcas dónde se encuentra alojada y qué uso se le está dando a la información más crítica de la empresa. De esta manera podrás protegerla y darle un adecuado gobierno.

5. Estar seguro ante ataques como Pishing

Existen software diseñados (intencionalmente) para causar interrupciones en un servidor, dispositivo electrónico, red informática o cliente, privar a los usuarios de la información y muchas acciones que afecten a la compañía. A estos software se les denomina malware y son más comunes de lo que pensamos.

Una de las formas más comunes de enviar un malware es a través del correo electrónico, principalmente el correo corporativo, para ello, es indispensable que éstos cuenten con características especiales de seguridad que den a la empresa la tranquilidad que necesita.

Existen diferentes compañías que se especializan en la seguridad de otras empresas, a través de herramientas y aplicaciones que alberguen y aseguren la información delicada de la compañía. Una de las más completas en lo que ofrece es Softline, por medio de Microsoft 365 con el fin de ‘trabajar con seguridad para estar seguro’.

Imagen: Pixabay

Durante la pandemia, empresas de ciberseguridad llamaron la atención en el aumento de ataques a las empresas. El ransomware se ha convertido en parte de la agenda entre mandatarios e inclusive el presidente Biden ha asegurado que estos podrían desatar una guerra entre países. Pero a pesar de los esfuerzos, los ciberataques solo siguen aumentando. Fortinet asegura que, en la primera mitad de 2021, Colombia tuvo 3.700 millones de intentos de ciberataques en el primer semestre del año. En América Latina hubo más 91.000 millones de intentos de ciberataques.

Colombia es el cuarto país de la región, solo superado por México que ocupa el primer lugar en intentos de ataque en lo que va del 2021, con 60.800 millones, de ataques; seguido por Brasil (16.200 millones) y Perú (4.700 mil millones). “La expansión de la superficie de ataque que brindan los modelos híbridos de trabajo y enseñanza sigue siendo una gran oportunidad para los delincuentes. Es por eso que vemos un número creciente de ataques a dispositivos IoT y a recursos vulnerables utilizados en reuniones y clases, como cámaras y micrófonos”, explica Arturo Torres, estratega de FortiGuard para América Latina y el Caribe.

También te puede interesar: Colombia sufrió 1.000 millones de ciberataques en el primer trimestre de 2021.

Fortinet Guard Labs destaca que las cifras en otras regiones no cambian. Los ataques siguen incrementando; especialmente en países con alto desarrollo empresarial. Los sectores más afectados por la actividad criminal son las telecomunicaciones, el gobierno, el sector automotriz y el manufacturero. De hecho, sus datos afirman que la actividad semanal promedio de ransomware en junio de 2021 fue diez veces mayor que los niveles de hace un año, lo que demuestra un aumento constante durante el período. “Para abordar este problema, las organizaciones deben adoptar un enfoque proactivo que incluya protección de endpoints, redes y nube en tiempo real. Incluida la detección automatizada de amenazas y la respuesta con inteligencia artificial. Todo con un enfoque de Zero Trust Access, especialmente para dispositivos IoT”, explica Torres.

Las cifras confirman la preocupación en la agenda de muchos políticos. Diferentes países han tomado nuevas medidas contra los cibercriminales para asegurarse que de estos entiendan la gravedad de sus actividades ilegales. También se han creado coaliciones y el Gobierno Biden está prestando especial atención a cómo los diferentes líderes estatales reaccionan a los ciberataques internacionales.

Imagen: Rawpixel en Freepik. 

Durante el 2021, en Colombia se dieron más de 1.000 millones de intentos de ciberataques en el primer trimestre del año, según un estudio de Fortinet. además, llama la atención que los jóvenes entre 14 y 15 años tienen altas probabilidades de recibir y enviar imágenes explícitas o sin ropa a través de las redes sociales, también son los principales intimidados o acosados por trolls que se ocultan bajo un falso nombre.

Además, de acuerdo con un comunicado de Everis, el 95 % de los cibercriminales se aprovechan de los errores humanos para llevar a cabo sus ataques. “El gran error está en asumir que los peligros y amenazas existentes en la red son solo contra las organizaciones a través de sus empleados, y que personalmente no somos un objetivo clave para un ciberdelincuente”, resalta la consultoría.

Aunque los principales objetivos de los cibercriminales son las empresas, también se aprovechan de la información que les podemos dar de manera inadvertida sobre nuestra familia y conocidos. Lo que lleva a robo de identidad e, inclusive, que roben dinero de nuestras cuentas.

También te puede interesar: Código morse y otras estrategias de los cibercriminales para evitar ser detectados

Accenture, por su parte, asegura que durante la pandemia el ransomware aumentó 160 %. Las demandas de rescate por los archivos encriptados van desde los $100.000 dólares a 50 millones de dólares y entre las industrias más atacadas están las de Retail y Bienes de Consumo (38 %), Recursos Naturales (33 %), y Salud y sector público (17 %). “Los impactos varían, pero el ransomware interrumpe las operaciones de las empresas durante períodos significativos, o incluso las obliga a cerrar. Los cibercriminales constantemente están desarrollando nuevos métodos para contrarrestar las defensas y aumentar el nivel de impacto que pueden infligir”, destaca Juan Mario Posada, líder de ciberseguridad para Accenture Colombia.

Muchas veces logran tener acceso a la información porque un empleado abre un documento que no debía o es víctima de robo de identidad, el error humano es una de las principales herramientas de los cibercriminales para acceder a una empresa y están constantemente esperando que esto suceda.

Cómo protegerse de ciberataques

Expertos en ciberseguridad dicen que los usuarios ahora son más conscientes de los riesgos que hay en Internet y que no pueden darle clic a todo; sin embargo, los cibercriminales siguen creando nuevas estrategias; por ejemplo, ya no esconden el código que permitirá el ataque a la víctima en imágenes, ahora envían documentos y para evadir el sistema de seguridad, usan códigos viejos como el morse y otros. Las promesas de una herencia quedaron atrás, ahora piden llenar encuestas a cambio de cupones de descuento en servicios de streaming.

La importancia de tener una conciencia sobre la ciberseguridad

Por eso es recomendable seguir estos consejos para tener una conciencia social ‘cibersegura’:

También te puede interesar: ¡Cuidado! Este troyano en Android secuestra tu Facebook.

1. Niños y jóvenes deben protegerse entre ellos de posibles trolls o groomer que acechan en las redes sociales, en la publicidad y en sitios web engañosos. Esto teniendo en cuenta los patrones de comportamiento.
2. Los padres, profesores e instituciones de educación deben hacer un esfuerzo en transmitir una correcta formación en el adecuado uso de las nuevas tecnologías y las amenazas que existen.
3. Las empresas e instituciones públicas deben de difundir todo el expertise en prevención de riesgos y amenazas digitales para generar una cultura de ciberseguridad a sus empleados que les permita trasladar esa seguridad hacia sus hogares y familiares.

La idea es crear una conciencia colectiva de ciberseguridad que permita navegar por Internet y rede sociales con conocimiento de los peligros que hay y cómo reaccionar ante uno de estos de manera adecuada, de este modo se reducen la cantidad de víctimas.

Finalmente, el portal Huntress explica que se trata de un juego a largo plazo. Los usuarios de Internet no pueden protegerse hoy y mañana olvidar las recomendaciones. Las estrategias de los crackers están cambiando constantemente y del mismo modo nosotros deberíamos mejorar en protegernos y de este modo a nuestra empresa, familia y amigos.

Imagen: Freepik.

Biden recientemente le exigió a Vladimir Putin, presidente de Rusia, tomar medidas legales contra los grupos de crackers de su país, pues estos habían tomado como principal objetivo las empresas estadounidenses y las pérdidas por pagos de ataques ransomware estaba llegando a cifras récord. Además, Estados Unidos, junto a países aliados, señalaron que el gobierno chino patrocina ataques cibernéticos a entidades públicas y privadas.

También te puede interesar: Biden y países aliados acusan a China de apoyar ciberataques

Ahora, Joe Biden, aseguró durante un discurso que estos ataques son tan delicados que es muy posible que sean los causantes de una guerra armada; en pocas palabras la guerra virtual llegaría al mundo real. Lo que explica la importancia que le ha dado su administración a hacer visible lo que se está haciendo contra los crackers y reforzar la ciberseguridad nacional.  “Esta sera consecuencia de un filtración de datos importantes y sus probabilidades siguen aumentando”, resaltó el presidente de Estados Unidos.

Mientras que su antecesor muy pocas veces reconoció la importancia de ataques cibernéticos o siempre aseguró que su administración se estaba encargando y no era un tema tan importante; Biden ha resaltado ya en múltiples ocasiones los problemas que está causando a las empresas y seguridad nacional. Ahora, con la mención de una guerra, está dejando en claro que tendrá mano firme con los ataques y crea una posición amenazante contra Rusia y China. Además de cualquier otro país que responda de manera despectiva a los ciberataques.

Imagen: Montaje ENTER.CO. 

Según el laboratorio de inteligencia de amenazas FortiGuard Labs, que colecta y analiza diariamente incidentes de ciberseguridad en todo el mundo, en los meses de enero, febrero y marzo hubo un aumento en la distribución de malware basado en la web. Colombia sufrió más de 1.000 millones de ataques y en América Latina asciende a 7.000 millones de intentos de ciberataques.

El phishing sigue siendo uno de los métodos preferidos por los ciberdelincuentes. “Este tipo de campañas de phishing web tiene un método de propagación automática que utiliza los contactos de servicios de mensajería como WhatsApp. También las redes sociales como Facebook o Instagram de la víctima. Por medio de anuncios y publicidad fraudulenta ofrecen premios o atractivos concursos. Si los usuarios hacen clic se redirige a la página de destino del kit de explotación. Allí se descarga un malware con código malicioso oculto para propagarse y exfiltrar información. Luego se invita a compartir con los contactos, generando el efecto de propagación”, explica Leandro Reyes, director de Ingeniería de Fortinet para Sudamérica.

También te puede interesar: Colombia, uno de los países más afectados por ransomware.

Además, como se ha visto durante todo el 2020, los ciberdelincuentes continúan buscando brechas en el trabajo remoto para intentar acceder a las redes corporativas a través de los empleados que trabajan desde sus hogares. Durante el primer trimestre del 2021, tuvieron lugar múltiples intentos de ejecución de código remoto a dispositivos GPON y D-Link, los cuales son usados mayormente para ofrecer servicios de conectividad residencial.

“Los cibercriminales aprovechan la oportunidad para explotar las numerosas vulnerabilidades de seguridad que surgen en el trabajo remoto”, enfatiza Reyes. Por este motivo, recomienda una estrategia donde convergen networking y seguridad en todo el entorno desde el centro de la red hasta la nube, las sucursales y los trabajadores remotos; conocido como redes basadas en seguridad. “De este modo as empresas tener visibilidad y defenderse en los ambientes tan dinámicos de hoy, mientras mantienen una excelente experiencia de usuario”, agrega Reyes

Imagen: Rawpixel en Freepik. 

La única buena noticia es que el atacante debe estar en el rango de la señal del wifi para lograr explotar las vulnerabilidades que permitían filtrar información o dar acceso a dispositivos específicos. Vanhoef creó un sitio web para contar sus descubrimientos y aclaró que los hizo públicos después de contactar con las empresas y dar tiempo que se liberaran parches de seguridad que las solucionaran.

También te puede interesar: #HoyAprendí ¿Qué es el Wifi 6E y por qué lo necesitas?

Nueve de estas vulnerabilidades se deben a problemas de programación en productos wifi específicos; los otros tres se deben a errores en el protocolo wifi en sí. Sin embargo, Vanhoef asegura que no hay pruebas de que estas hayan sido explotadas por actores maliciosos.

Algunas empresas ya han actualizado los sistemas de seguridad con parches; entre ellos Microsoft que lanzó tres actualizaciones diferentes para los sistemas operativos de Windows 10, Windows 8,1 y Windows 7. La marca de routers Netgear también tiene actualizaciones para algunos de sus productos y publicó una recomendación en su sitio web para que los usuarios las descarguen y aseguró que trabajará en los faltantes.

Por su parte, Vanhoef resalta que los usuarios deberíamos mantener buenas prácticas de seguridad en caso de que nuestros dispositivos tengan aún activas las vulnerabilidades. Entre ellas, no reusar contraseñas, tener nuestros backups al día, evitar sitios web sospechosos o fraudulentos. Además, asegura que una de las formas más seguras es visitar sitios con protocolo HTTPS.

Imagen: Rawpixel.

Las organizaciones no pueden permitirse un enfoque puramente reactivo o pasivo como defensa, ya que los cibercriminales demuestran que cualquier puerta o bóveda se puede atravesar y que solo es cuestión de tiempo encontrar la manera de ingresar.

“Fake News” para protegernos

¿Qué pasaría si se usan las técnicas y tácticas de los cibercriminales contra ellos mismos mediante un enfoque de defensa activa, en lugar de un enfoque reactivo o pasivo? ¿Qué le parecería usar el enfoque de “fake news” o noticias falsas contra el actor de amenazas?

Según Wikipedia, una “fake news” es “información no verdadera presentada como noticia. Normalmente, con el propósito de dañar la reputación de una persona o entidad o de ganar dinero a través de ingresos publicitarios”. Todos vemos diariamente el poder de las noticias falsas y cómo podemos usarlas para influir en la mente de las personas y forzarlas a tomar una mala decisión. Si las noticias falsas son tan poderosas, usémoslas para influenciar a los atacantes a tomar una mala decisión y exponerlos, antes de que cause un enorme daño.

El concepto es básico y directo. Cuando damos noticias falsas y las personas las creen, las engañamos para que tomen el camino incorrecto y esta es la idea principal detrás de usar la cibertecnología del engaño, conocida como Deception, que hace que el atacante crea que logró acceso a datos restringidos y lo mantiene ocupado hasta que la amenaza se contenga.

Realmente, la idea no es nueva. Aquellos con una historia en el campo de la ciberseguridad, podrán recordar el concepto “honeypot”. Deception es una evolución de los honeypots. Históricamente, los honeypots requerían de mucha intervención manual, lo que mejoró considerablemente con la tecnología de Deception. La diferencia es que, con las funciones actuales, es posible automatizar varias cosas: desde alimentar el “señuelo” y mantenerlo actualizado y válido, hasta grabar lo que sucede y activar una respuesta de manera rápida y eficiente.

Los beneficios del enfoque de Deception:

• Dado que se coloca un sistema que no es válido y nadie debiera usarlo, si un atacante ingresa y muerde el anzuelo, puede estar seguro de que ocurrirá un ataque: la cantidad de falsos positivos y falsos negativos se reduce dramáticamente.
• Puede recopilar inteligencia sobre los métodos y técnicas de ataques, de modo que pueda ajustar sus sistemas de seguridad para bloquear el ataque más reciente y también el futuro.
• Los atacantes estarán ocupados durante los ciberataques al intentar obtener acceso a su sistema falso, por lo que sus sistemas reales permanecen seguros. Esto es aún más importante en entornos muy críticos como los sectores financieros o gubernamentales, educación o tecnología operativa (OT) y entornos de infraestructura crítica.

Lo anterior es tan evidente que incluso el marco de ciberseguridad MITRE lo dejó muy claro en las Tácticas de MITRE Shield (canalizar, recolectar, contener, detectar, interrumpir, facilitar, legitimar y probar) donde la tecnología de Deception se presenta en casos de uso para cada una de estas etapas. Mitre Shield definió técnicas de defensa activa para mejorar la detección de amenazas y ayudar al Centro de Operaciones de Seguridad (SOC) a desarrollar una estrategia de defensa proactiva. El enfoque principal es informar a los profesionales de la seguridad acerca de la actividad de los cibercriminales.

La detección de los ciberataques basada en las soluciones de Deception se diseñó para identificar atacantes en la red, independientemente del vector de ataque. A diferencia de otras formas de detección, la solución no requiere tiempo para conocer la red y es eficaz tras la implementación. Con Deception, el análisis de ataques y el análisis forense se vuelven mucho más procesables y poderosos, además las alertas de alta fidelidad permiten la automatización de las acciones de respuesta a incidentes como el bloqueo, la cuarentena y la búsqueda de amenazas.

También te puede interesar: 58 % ha sido víctima de ciberataques a diciembre de 2020.

En un mundo donde las probabilidades están muy inclinadas a favor de los cibercriminales; las soluciones de Deception nivelan el campo de juego. Principalmente, porque automatizan la creación de señuelos dinámicos que se encuentran dispersos por todo el entorno de TI. Debido a que los atacantes no pueden determinar cuáles activos son falsos y cuáles son reales, su ventaja de tiempo se reduce o se elimina por completo. Cuando un adversario no puede hacer esta distinción, los cibercriminales se ven obligados a perder el tiempo en activos falsos mientras informan inadvertidamente a un administrador de seguridad de su presencia.

Incluso si se dan cuenta del engaño, los atacantes deben actuar de inmediato con precaución mientras buscan detonantes incrustados en el entorno falso. Esto los obliga a modificar sus tácticas de los ciberataques de manera que aumentan las posibilidades de que el equipo de seguridad los detecte. Si está preparado para cambiar el tradicional juego del gato y el ratón, siga leyendo de qué manera FortiDeceptor de Fortinet puede crear un laberinto infinito que obligará al ratón a rendirse.

Imagen: Vía Freepik. 

También te puede interesar: Consejos para protegernos de los ciberataques.

Otros datos importantes de la encuesta:

Principales retos de seguridad ante los ciberataques

La seguridad de los empleados que trabajan a distancia (47 %) es el mayor desafío para las empresas de cara al año 2021, seguido de la prevención de los ataques de phishing y de ingeniería social (42 %), el acceso remoto seguro (42 %) y la protección de las aplicaciones e infraestructura cloud (39 %).

Prioridades de seguridad para los próximos dos años

Las principales prioridades hasta el año 2023 son asegurar el trabajo remoto (61 %), la seguridad de los endpoints y dispositivos móviles (59 %), y la seguridad de la nube pública y el multi-cloud (52 %), muy por delante de cuestiones como la seguridad IoT y la protección del correo electrónico.

Las estrategias de seguridad han cambiado en este 2020

El 95 % de los encuestados indica que su estrategia de seguridad ha cambiado en la segunda mitad del año, centrándose en dar respuesta a las necesidades asociadas al trabajo remoto (67 %), seguido de la formación en ciberseguridad para los empleados (39 %), así como optimizar recursos en la prevención de amenazas y seguridad de las redes corporativas (37 %). Asimismo, más de 1 de cada 4 (27 %) señala que su empresa ha acelerado los proyectos de seguridad existentes durante 2020, lo que demuestra que, para la mayoría, la pandemia ha implicado una reinvención no planificada de su modelo de negocio.

La nueva normalidad ha llegado para quedarse:

La mitad de los encuestados señalan que su enfoque de seguridad no volverá a ser igual que antes de la pandemia, mientras que el 29 % espera un retorno a las operaciones prepandemia en algún momento del futuro. Por otra parte, solo el 20 % afirma que su situación ha vuelto a ser la misma.

Imagen: Check Point. 

El presidente ecuatoriano, Lenin Moreno, le quitó la ciudadanía dada por Rafael Correa, expresidente de ese mismo país, tras acusar a Assange de interferir con procesos estatales y espiar. Horas después del anuncio, el exdirector de Wikileaks fue arrestado por la policía metropolitana de Londres.

Una de las consecuencias de levantar el asilo político a Assange es que el país suramericano se convirtió en blanco de ciberataques. Así lo declaró el viceministro de Telecomunicaciones, Patricio Real. Hasta el momento, diferentes instituciones han sufrido más de 40 millones de ataques, de acuerdo con datos dados por el portal ecuatoriano El Universo.

“Estábamos preparados, pero no descartamos pedir ayuda si esto continúa”

Patricio Real aseguró que los ciberataques hasta el momento no vienen de un país específico; por ahora, se han identificado ataques desde Estados Unidos, Inglaterra, Nueva Zelanda, Australia, Brasil, Francia, Alemania e incluso desde dentro de Ecuador.

El viceministro de telecomunicaciones ecuatoriano afirmó que el país está preparado para este tipo de ataques y que hasta el momento no se han descubierto robo o filtración de información de ninguna de las entidades atacadas. Sin embargo, aseguró que de continuar los ataques no se descarta pedir ayuda a expertos de Israel.

Imagen: MattZ90 (Vía iStock).

Ya te hemos entregado las predicciones de algunas de las empresas más importantes del mundo en esta área. Pero hoy vamos a recordarte cuáles fueron los ataques que más se presentaron durante el año que está terminando, en América Latina, según un informe del Laboratorio de Investigación de Eset, compañía líder en detección proactiva de amenazas.

1. Ataques de phishing.

Aunque se trata de un ataque que existe hace años, ha cambiado sus características. Por ejemplo, muchos de los sitios web de phishing ahora utilizan certificados de seguridad, es decir, utilizan el protocolo y tienen una dirección https.

Según el Antiphishing Working Group, durante el segundo trimestre de 2018, cerca del 35% de los ataques de phishing registrados se alojaron en sitios web dicho protocolo, frente al casi 5% de los casos de sitios falsificados con certificados SSL reportados a finales de 2016.

Además, se utilizan mecanismo de propagación diferentes al tradicional correo electrónico, como las aplicaciones de mensajería, para alcanzar un mayor número de potenciales víctimas.

“Las prácticas de seguridad que solían ser recomendadas con relación al phising continúan siendo válidas, aunque ya no suficientes, debido a las nuevas características de los ataques de este tipo. Ahora no basta con verificar la URL, el candado de seguridad o el uso de https; convendría también revisar el nombre común del sitio en los certificados de seguridad, para compararlo con el dominio del sitio en cuestión.”, comenta Miguel Angel Mendoza, especialista en seguridad informática de Eset Latinoamérica.

2. Criptojacking

Esta amenaza se comenzó a identificar en agosto de 2017 y tiene como principio el secuestro de la capacidad de procesamiento de un equipo ajeno para ganar dinero mediante la minería de criptomonedas. Basta con que un usuario visite un sitio web que contiene un código maligno para que su procesador sea utilizado para minar alguna criptodivisa. El criptojacking comenzó a tener una gran actividad hacia finales del año pasado, siendo la amenaza más detectada por la telemetría de Eset a nivel mundial entre diciembre de 2017 y junio de 2018.

En América Latina, casi la mitad de las detecciones se concentró en Perú (30,72%), México (17,41%), Ecuador (8,89%), Brasil (7,73%) y Argentina (7,08%).

3. Malware

Los códigos maliciosos continúan siendo una de las principales amenazas, al tiempo que también son utilizados para llevar a cabo ataques. De acuerdo con el Eset Security Report 2018, las infecciones por malware se presentan como la principal causa de incidentes de seguridad en las empresas latinoamericanas.

Los Laboratorios de Investigación de Eset reciben diariamente más de 300.000 muestras únicas de malware, para prácticamente todos los sistemas operativos utilizados de la actualidad. No se salvan ni los dispositivos del Internet de las Cosas.

4. Ciberextorsiones

Durante 2018 aparecieron diversas estafas vía correo electrónico enfocadas en engañar a los usuarios a partir de la supuesta obtención de información que los comprometía. En varias de estas campañas existía un dato específico, que hacía creer al usuario que podría no tratarse de un engaño.

Un ejemplo es la campaña en la que la contraseña de los usuarios era el asunto del mensaje, en un intento por demostrar que tenían sus datos personales y que la extorsión que detallaban en el texto del correo era real. Se estima que esta campaña en particular logró recaudar cerca de medio millón de dólares. Otro ejemplo de este tipo de estafas tenía la particularidad de que el correo electrónico llegaba al usuario desde su propia cuenta, lo que hacía suponer que el atacante tenía acceso a la cuenta de la potencial víctima.

5. Explotación de vulnerabilidades

De acuerdo a CVE Details, a pesar de que aún no concluye el año, ya se han registrado más 15.300 vulnerabilidades, todo un récord para este tipo de ataques.

“Es importante destacar la manera en la que evolucionan las amenazas informáticas y los diversos ataques que buscan comprometer los activos, por lo que, desde la perspectiva de seguridad, resulta indispensable el uso de la tecnología de protección, la aplicación de buenas prácticas y la tarea constante de estar informado sobre lo que acontece en el ámbito de la ciberseguridad.”, concluyó Miguel Ángel Mendoza.

Para más información, ingrese al portal de noticias de Eset.

Imagenes: Geralt, Tumisu y The Digital Artist (vía Pixabay).

Ransomware

Es una de las amenazas más conocidas en las empresas. Consiste en un código malicioso que amenaza con publicar los datos de la víctima o bloquear el acceso perpetuamente a una base de datos. Para recuperar el acceso el atacante exige el pago de un ‘rescate’. Algunos  ransomware simples pueden bloquear el sistema de una manera que no es difícil de revertir. En cambio, si se trata de uno más avanzado, se usa una técnica llamada extorsión cryptoviral, que encripta los archivos de la víctima, haciéndolos inaccesibles. Una vez que el equipo se infecta, este malware utiliza diferentes mecanismos para dejar los datos inaccesibles para el usuario.

Vale la pena recordar que este ataque no roba ni accede al contenido de la información, sino que bloquea el acceso a ella.

Criptojacking

Con el auge de las criptomonedas, esta técnica se refiere al uso no autorizado de la computadora de otra persona para minarlas. Los hackers hacen esto por medio de un correo electrónico que contiene un enlace malicioso. El código criptográfico se ejecuta automáticamente una vez cargado en el navegador de la víctima.

Otra forma de infectarse es que el usuario visite un sitio web que ha sido comprometido. Este tipo de minado no es precisamente un malware. De Hecho, el verdadero inconveniente de este tipo de servicios radica en que los recursos de los equipos se utilizan sin autorización del usuario. Para evitar que se vulnere tu información, es necesario configurar tu programa de seguridad para bloquear el acceso a los sitios web que aloja esta aplicación.

Supply Chain Attack

Este tipo de ciberataque intenta comprometer la seguridad de una compañía o dañar su infraestructura vulnerando diferentes sistemas. Para ello, los atacantes pueden acceder a una compañía por medio de sus proveedores. De esta forma, se infiltran en las redes para buscar alguna forma de llegar a su objetivo.

Exploit Kits

Es un conjunto de programas o códigos que se aprovechan de cualquier vulnerabilidad en una aplicación o sistema. De esta forma, el atacante lo puede usar en su beneficio. Por lo general estos agujeros se filtran por los sistemas de los usuarios. Los exploit kits se convirtieron en un método muy utilizado para la propagación de amenazas informáticas. Esto se debe a que es un malware de distribución masiva para facilitar el fraude financiero y hacer mal uso de los recursos del sistema infectado con diversos propósitos, como enviar spam, extraer bitcoins, recopilar credenciales, etc.

Weaponization

Cuando los atacantes saben cómo funciona una empresa, qué tecnologías utiliza y quiénes trabajan allí, les resulta muy fácil acceder. Por ejemplo, utilizar un troyano que contenga un exploit para aprovechar una vulnerabilidad específica de los sistemas de la empresa.  VBS Autoit, JS, PwS son algunas de las herramientas usadas para tareas de gestión que también son utilizadas para crear códigos maliciosos que afectan a los usuarios en Latinoamérica. Este tipo de lenguaje se utiliza por la facilidad para manejar dependencias, recursos y funciones propias del sistema operativo.

Imagen: Creative Commons (vía Pixabay)

Apenas estamos en el segundo mes de 2018 y ya se han reportado dos ciberataques de criptomonedas. El primero ocurrió en CoinCheck, Japón, donde un grupo de hackers robó cerca de 523 millones de unidades de NEM. Esto equivale a 430 millones de Euros, como aseguró el medio Engadget el pasado 10 de febrero.

Esta vez el ataque sucedió en italia, donde la casa de cambio BitGrail perdió 170 millones de criptomonedas NANO. Esto equivale a cerca de 170 millones de dólares. Pero lo preocupante de este caso es que, según la compañía, no hay forma de regresarle el dinero a los inversionistas.

A diferencia de lo sucedido en Coincheck, lo de Italia no fue un ataque a la blockchain (billetera virtual) de la compañía. BitGrail anunció en su sitio web que el total de la pérdida se debe a una serie de transacciones fraudulentas.

Francesco Firano, fundador de la compañía italiana anunció a través de su cuenta de Twitter, que “no hay forma de reembolsar el 100 por ciento del dinero a los inversionistas”.

¿Qué opinan de la caída de las criptomonedas?

Por otro lado, el equipo de la criptomoneda Nano aseguró que “No tiene ninguna razón para creer que la pérdida se debió a un problema en el producto”. Además, también aseguran que Firano sugirió modificar las cifras para encubrir la pérdida. Así que publicaron una copia de la conversación que tuvieron con el empresario.

De la misma forma, aseguraron que tienen “razones suficientes para creer que Firano ha estado engañando al equipo Nano Core y a la comunidad respecto a la solvencia del intercambio BitGrail desde hace algún tiempo”

Por su parte, Firano aseguró que las acusaciones de Team Nano son infundamentadas e informó a la policía de la publicación de la conversación privada que tuvo con la compañía, ya que, según él, esto puede comprometer la investigación.

Imágen: Pexels.

Además del dinero robado, las víctimas tuvieron que dedicar al menos 24 horas (unos 3 días completos de trabajo) de su tiempo a ‘solucionar’ los inconvenientes del ciberataque. Y como si fuera poco, en total, el cibercrimen robó en el transcurso de 2017, 172.000 millones de dólares.

A nivel global, la firma logró identificar que las víctimas de cibercrimen tienen varios aspectos en común. Uno de ellos es que son usuarios del común, que usan múltiples dispositivos, ya sea en casa o fuera. Pero tienen ‘puntos ciegos’ en cuanto a prevenciones básicas de ciberseguridad. El 20% de las víctimas usa la misma contraseña entre múltiples cuentas. Y al menos el 58% de las víctimas suele compartir sus contraseñas con otros.

Uno de los puntos más preocupantes del reporte es que las personas víctimas de cibercrimen no son conscientes de que están descuidando su seguridad. El 39% de las víctimas a nivel mundial aumentó su nivel de confianza en su propia habilidad de proteger sus datos e información personal de ataques a futuro. Y el 33% cree que tiene un bajo riesgo de convertirse en víctima de cibercrimen.

Adicionalmente, este estudio reveló que las personas que más adoptan nuevas tecnologías, y que usan más dispositivos (celulares, tabletas, parlantes inteligentes, computadores, etc.), tienen más probabilidad de ser víctimas de ciberataques. Por ejemplo, más de un tercio de las personas (el 37%) tiene una consola de videojuegos y un smartphone, comparado con un 28% de quienes no fueron víctimas.

¿Cuáles fueron los ciberataques más comunes de 2017?

De acuerdo con el reporte de Norton, los cibercrímenes más comunes durante el año pasado fueron infecciones a dispositivos por virus u otras amenazas de seguridad. En menores porcentajes encontramos: fraude de tarjeta de crédito o débito, contraseñas robadas, ‘hackeo’ de cuentas en redes sociales o correos, compras en línea que resultaron siendo una estafa o hacer clic en correos fraudulentos, que roban información sensible.

Otro punto interesante del reporte es que al parecer, las formas más sofisticadas de seguridad, como la biometría de voz o facial, están eclipsando a los métodos más tradicionales. Y esto está poniendo a las personas en riesgo. Por ejemplo, las víctimas de ciberataques suelen usar técnicas nuevas de seguridad, como ID de huella (44%), reconocimiento facial (13%), patrones de uso (22%), VPN personal (16%), ID de voz (10%) y autenticación de dos factores (13%).

Imágenes: capturas de pantalla y Pixabay. 

Limita los accesos

Es importante que los responsables realicen un riguroso control de ingreso para que sepan quiénes, cuándo y desde dónde han ingresado. Esto impedirá que cualquier tercero pueda ingresar sin haber sido registrado previamente. También es importante que se limiten los tipos de procesos que estén autorizados con las bases de datos. Si existen procedimientos autorizados pero que ya no se realizan, también es aconsejable deshabilitarlos para que no haya ataques por allí. Además, siempre que sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente desde Internet, para evitar que la información quede expuesta a atacantes remotos.

Datos sensibles y críticos

Luego de limitar los accesos hay que definir qué información de esas bases de datos son sensibles y críticos. Para esto, es importante entender la lógica y arquitectura de la base de datos. No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no tiene sentido gastar tiempo y recursos en esta información. Recuerda tener un inventario de lo que tienes en tu base de datos para que no se quede ningún dato sensible o crítico por fuera al momento de hacer una copia de respaldo.

Cifrado de información

Utiliza algoritmos robustos en esos datos sensibles y críticos para cifrar la información. Cuando un atacante usa una vulnerabilidad y logra tener acceso a un servidor o un sistema, lo primero que intentará robar son las bases de datos. Las mismas tienen un gran valor, ya que normalmente incluyen muchos gigas de información, y la mejor manera de preservarla es volverla ilegible.

Anominizar las bases de datos no productivas

Muchas empresas invierten tiempo y recursos en proteger sus bases de datos productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas, simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes mucho menos controlados, exponiendo de esta manera toda la información sensible.

La anonimización es un proceso mediante el cual se crea una versión similar, manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los valores respetando el formato.

Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos, mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe garantizar que el proceso sea irreversible. Es decir, que no se pueda hacer ingeniería reversa para volver a obtener los datos originales.

Monitoreo constante

Estar atento, controlar y registrar los usuarios y sus movimientos sobre los datos te permitirá saber quién, qué, cuándo y cómo han manipulado la información. Puedes construir historial de las transacciones para comprender patrones en el acceso y modificación de los datos, evitando así las fugas de información, controlar cambios fraudulentos y detectar acciones sospechosas en tiempo real.

Imagen: iStock.

Equifax, una de las tres grandes agencias que reportan créditos de consumo en Estados Unidos, informó ayer que hackers obtuvieron acceso a datos de la compañía y que actualmente están comprometido datos delicados de 143 millones de consumidores de ese país. Entre los datos están incluso números de Seguridad Social y licencias de conducción, reportó The New York Times.

Este ataque representa uno de los peores robos de información personal delicada en los últimos años, y es la tercera amenaza de ciberseguridad a la agencia desde 2015.

Equifax es un blanco muy apetecido por los hackers. Los ladrones de identidad suelen desear bases de datos que tienen este tipo de agencias porque toda la información que necesitan está ahí, y con ella pueden hacer el mayor daño posible.

Si una persona en Estados Unidos tiene un reporte de crédito, tiene un 50% de probabilidad de estar en las listas de información robada en esta filtración. De hecho, algunos análisis afirman que aproximadamente el 44% de los estadounidenses son víctimas de este robo. Esto de acuerdo con Pamela Dixon, directora ejecutiva de World Privacy Forum, un grupo de investigación sin ánimo de lucro.

Los criminales obtuvieron acceso a ciertos archivos de los sistemas de la compañía desde mediados de mayo hasta julio. Esto lo lograron explotando un punto débil en el software del sitio web, según una investigación que hizo Equifax y una agencia de seguridad.

La compañía dice que descubrió este ataque el 29 de julio y que desde entonces no ha encontrado evidencia de actividad no autorizada en sus principales bases de datos de consumidores o créditos comerciales.

Además de la información antes mencionada, los hackers también pudieron robar nombres, fechas de nacimiento y direcciones. Los números de tarjetas de crédito de 209.000 consumidores fueron robadas. Y también obtuvieron acceso a documentos con información personal usados en disputas para 182.000 personas.

Un blanco fácil

Este ciberataque no es el más grande en términos de cantidad de datos robados. Las filtraciones de datos que Yahoo anunció en 2016 fueron de 1.000 millones de usuarios afectados. Algunos expertos en ciberseguridad han criticado a Equifax porque ha sido víctima de este tipo de ataques en repetidas ocasiones y no ha mejorado sus prácticas de seguridad. Además, se ha podido notar en diversas investigaciones que los hackers accedieron a las bases de datos a través de vulnerabilidades sencillas.

¿Qué tan grande es la empresa?

Equifax maneja los datos de más de 820 millones de consumidores y de más de 91 empresas de todo el mundo. También administra una base de datos con información de más de 7.100 empleados, según su sitio web.

La firma también almacena gran parte de los datos que se supone que son un respaldo contra ataques de seguridad. La agencia ofrece un servicio que provee a las empresas con las preguntas y respuestas de seguridad que muchas veces se usan para recuperar una cuenta en caso que se pierda o se olvide una contraseña, por ejemplo.

Imagen: Pixabay.