El Índice Global de Amenazas de Check Point Software pone de relieve un cambio en el panorama del ransomware como servicio (RaaS).

Se evidencia que los ciberdelincuentes siguen centrándose en el ransomware.

Los investigadores identificaron una campaña que distribuía el malware Remcos a raíz de un problema de actualización de CrowdStrike.

Los investigadores han descubierto una serie de tácticas nuevas que empleaban FakeUpdates.

Check Point Software Technologies Ltd. publica su Índice Global de Amenazas del mes de julio de 2024. A pesar de una caída significativa en junio, LockBit ha resurgido el mes pasado para convertirse en el segundo grupo de ransomware más prevalente, mientras que RansomHub ha conservado el primer puesto. Mientras tanto, los investigadores han identificado tanto una campaña que distribuía el malware Remcos a raíz de un problema de actualización de CrowdStrike, como una serie de nuevas tácticas de FakeUpdates, que han vuelto a ocupar el primer puesto este mes.

Un problema en el sensor CrowdStrike Falcon para Windows ha llevado a los ciberdelincuentes a distribuir un archivo ZIP malicioso llamado crowdstrike-hotfix.zip. Este archivo contenía HijackLoader, que posteriormente activaba el malware Remcos, clasificado como el séptimo malware más buscado en julio. La campaña se dirigía a empresas que utilizaban instrucciones en español e implicaba la creación de dominios falsos para ataques de phishing.

Mientras tanto, los investigadores han descubierto una serie de tácticas nuevas que empleaban FakeUpdates. Los usuarios que visitaban sitios web comprometidos se encontraban con falsos avisos de actualización del navegador, que conducían a la instalación de troyanos de acceso remoto (RAT) como AsyncRAT, que actualmente ocupa el noveno lugar en el índice de Check Point Software. Resulta alarmante que los ciberdelincuentes hayan empezado a explotar BOINC, una plataforma destinada a la informática voluntaria, para obtener el control remoto de los sistemas infectados.

«La continua persistencia y resurgimiento de grupos de ransomware cómo Lockbit y RansomHub subraya que los ciberdelincuentes siguen centrándose en el ransomware, un importante desafío para las empresas con implicaciones de gran alcance para su continuidad operativa y la seguridad de los datos. Para contrarrestar estas amenazas, las compañías tendrán que adoptar una estrategia de seguridad multicapa que incluya una sólida protección de los endpoints, una monitorización continua y la educación de los usuarios para reducir el impacto de estos ciberataques cada vez más masivos”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

“La reciente explotación de una actualización de software de seguridad para distribuir el malware Remcos que ocupa el primer lugar del ranking en Colombia, pone aún más de relieve la naturaleza oportunista de los ciberdelincuentes, lo que compromete aún más las defensas de las empresas” afirma, Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

Principales familias de malware en Colombia en Julio

Las flechas se refieren al cambio de rango en comparación con el mes anterior:

1. ↔Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en julio en un 11.61% a las empresas en Colombia y en 2.47% a las compañías en el mundo.

2. ↑Phorpiex – Phorpiex –  Es una red de bots (alias Trik) que ha operado desde 2010 y que en su momento de máxima actividad controló más de un millón de hosts infectados. Conocido por distribuir otras familias de malware a través de campañas de spam, así como por alimentar campañas de spam y sextorsión a gran escala. Ha afectado un 23% de las empresas en Colombia y en el mundo al 2.09%.

3. ↓ FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en julio al 8.93% de las empresas en Colombia y en40% de las compañías en el mundo.

Vulnerabilidades más explotadas

1. ↑ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – se descubrió una vulnerabilidad de inyección de comandos a través de HTTP. Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permitiría a un atacante ejecutar código arbitrario en la máquina objetivo.

2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771): existe una vulnerabilidad de inyección de comandos en Zyxel ZyWALL. La explotación exitosa permitiría a atacantes remotos ejecutar comandos arbitrarios en el sistema afectado.

3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.

Principales programas maliciosos para móviles

El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y AhMyth.

1. ↔ Joker – Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.

2. ↔ Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

3. ↔ AhMyth – Es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar información sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que suele utilizarse para robar información sensible.

Los sectores más atacados a escala mundial

El mes pasado, Educación/Investigación se mantuvo en el primer puesto de los sectores más atacados a escala mundial, seguido de Gobierno/Militar y Comunicación.

1. Educación/Investigación.

2. Gobierno/Militar.

3. Comunicación.

Principales grupos de ransomware

Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 11% de los ataques publicados, seguido de LockBit3 con un 8% y Akira con un 6%.

1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.

2. LockBit3 – LockBit3 es un ransomware que opera en un modelo de RaaS, reportado por primera vez en septiembre de 2019. LockBit tiene como objetivo a grandes empresas y entidades gubernamentales de varios países y no apunta a individuos en Rusia o la Comunidad de Estados Independientes.

3. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y añade la extensión «.akira» a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago del descifrado.

La entrada En Colombia Remcos es el malware más buscado en julio y en el mundo es RansomHub se publicó primero en Technocio.

Nuevos dominios: en junio de 2024 surgieron más de 1230 nuevos dominios asociados con Amazon, de los cuales el 85 % se marcaron como maliciosos o sospechosos.

Dominios de Amazon Prime: 1 de cada 80 nuevos dominios relacionados con Amazon identificados como maliciosos o sospechosos contiene la frase «Amazon Prime».

A medida que nos acercamos al Amazon Prime Day del 16 al 17 de julio de 2024, los compradores online anticipan con impaciencia ofertas increíbles y exclusivas. En 2023, los miembros Prime compraron más de 375 millones de artículos en todo el mundo y ahorraron más de US $2.5 mil millones en gran cantidad de ofertas, lo que lo convierte en el evento Prime Day más grande de la historia.

En medio de tanto entusiasmo, existe un riesgo subyacente que no se puede ignorar. Los ciberdelincuentes aprovechan esta ocasión para llevar a cabo ataques de phishing, aprovechándose de compradores desprevenidos. Estos atacantes emplean tácticas engañosas, como enviar correos electrónicos falsos o crear sitios web fraudulentos, con el objetivo de robar información personal o credenciales financieras. Si bien Prime Day ofrece ahorros increíbles, es fundamental que los compradores permanezcan atentos, tengan cuidado al hacer clic en enlaces o proporcionar información confidencial y asegurarse de que navegan por plataformas legítimas.

Cómo funciona el phishing

Los ataques de phishing suelen comenzar con un mensaje enviado por correo electrónico, redes sociales u otros medios de comunicación electrónica. Los ciberdelincuentes utilizan recursos públicos como las redes sociales para recopilar información sobre sus víctimas, lo que les ayuda a elaborar mensajes falsos convincentes. Estos mensajes suelen contener archivos adjuntos maliciosos o enlaces a sitios web falsos que parecen ser propiedad de entidades confiables como Amazon. El objetivo es recopilar información privada como nombres de usuario, contraseñas o detalles de pago.

Hallazgos alarmantes sobre el registro de dominios y los ataques de phishing

Antes del Amazon Prime Day en julio de 2024, observamos un aumento significativo en los ciberataques relacionados con la marca Amazon. Durante junio de 2024, surgieron más de 1230 nuevos dominios asociados con Amazon, de los cuales el 85% fueron marcados como maliciosos o sospechosos de serlo. Ejemplos de estos sitios maliciosos recientemente creados incluyen:

amazon-onboarding[.]com; sitio fraudulento recientemente registrado diseñado como una página de phishing que se hace pasar por Amazon y que apunta específicamente a credenciales relacionadas con operadores.

amazonmxc[.]shop; es un sitio web falso de Amazon México, diseñado como una réplica de amazon.com.mx. Cuenta con un botón de inicio de sesión de perfil en la esquina superior derecha que, cuando se hace clic, recopila las credenciales de inicio de sesión de los usuarios.

Aquí hay más:

• shopamazon2[.]com

• microsoft-amazon[.]shop

• amazonapp[.]nl

• shopamazon3[.]com

• amazon-billing[.]top

• amazonshop1[.]com

• fedexamazonus[.]top

• amazonupdator[.]com

• amazon-in[.]net

• espaces-amazon-fr[.]com

• usiamazon[.]com

• amazonhafs[.]buzz

• usps-amazon-us[.]top

• amazon-entrega[.]info

• amazon-vip[.]xyz

• paqueta-amazon[.]com

• connect-amazon[.]com

• user-amazon-id[.]com

• amazon762[.]cc

• amazoneuroslr[.]com

• amazonw-dwfawpapf[.]top

• amazonprimevidéo[.]com

Ejemplo de intento de phishing de archivos

En junio de 2024, descubrimos una campaña de phishing generalizada que imitaba la marca Amazon, dirigida particularmente a EE. UU. La campaña distribuyó archivos con el siguiente hash MD5: 39af8a116a252a8aaf2328e661b2d5a2. Un archivo de ejemplo se llama Mail-AmazonReports-73074[264].pdf.

El contenido del archivo atrae a las víctimas informándoles urgentemente que su cuenta de Amazon ha sido suspendida debido a que la información de facturación no coincide con la del emisor de su tarjeta. Les indica que actualicen sus detalles de pago a través de un enlace de phishing: trk[.]klclick3[.]com, que los dirige a un sitio web fraudulento. El mensaje amenaza con el cierre de la cuenta si no se toman medidas inmediatas, creando una sensación de urgencia para incitar al usuario a responder rápidamente, por temor a la exposición de sus datos o la cancelación de la cuenta como consecuencia del incumplimiento.

Ejemplo de intento de phishing en un sitio

En junio de 2024 se detectó un intento de phishing portugués que imitaba a Amazon. El correo electrónico fraudulento afirmaba un error en el pago de un pedido de Amazon Prime Video (#D04-0005691-32024) e incluía un enlace engañoso: http://20[.]212[.]168[.]117/br-pt/primevideo /.

El sitio de phishing se hace pasar por una página de inicio de sesión de Amazon, lo que solicita a los usuarios que ingresen sus credenciales de inicio de sesión con el pretexto de ser Amazon genuino. Sin embargo, este sitio no está afiliado a Amazon y tiene como objetivo engañar a los usuarios para que revelen los detalles de su cuenta.

Cómo mantenerse seguro comprando en línea en Amazon Prime Day

Para ayudar a los compradores en línea a mantenerse seguros este año, los investigadores de Check Point han descrito consejos prácticos de seguridad y protección:

1. Revise las URL con cuidado: tenga cuidado con los errores ortográficos o con los sitios que utilizan un dominio de nivel superior diferente (por ejemplo, .co en lugar de .com). Estos sitios imitadores pueden parecer atractivos, pero están diseñados para robar sus datos.

2. Cree contraseñas seguras: asegúrese de que su contraseña de Amazon.com sea segura e indescifrable antes del Prime Day para proteger su cuenta.

3. Busque HTTPS: verifique que la URL del sitio web comience con «https://» y tenga un ícono de candado, lo que indica una conexión segura.

4. Limite la información personal: evite compartir datos personales innecesarios, como su fecha de nacimiento o número de seguro social, con minoristas en línea.

5. Tenga cuidado con los correos electrónicos: los ataques de phishing a menudo utilizan un lenguaje urgente para engañarlo y hacer que haga clic en enlaces o descargue archivos adjuntos. Verifique siempre la fuente.

6. Escéptico ante acuerdos poco realistas: si un acuerdo parece demasiado bueno para ser verdad, probablemente lo sea. Confía en tus instintos y evita ofertas sospechosas.

7. Utilice tarjetas de crédito: prefiera las tarjetas de crédito a las de débito para realizar compras en línea, ya que ofrecen una mejor protección y menos responsabilidad en caso de robo.

Check Point protege contra la amenaza generalizada del phishing con sus soluciones integrales anti-phishing de 360°, que brindan seguridad en cuentas de correo electrónico, navegadores, terminales, dispositivos móviles y redes. Impulsada por Check Point ThreatCloud AI, esta solución ofrece protección contra phishing de día cero mediante el análisis de cientos de indicadores de compromiso en tiempo real.

“Inspecciona meticulosamente cada atributo de los correos electrónicos entrantes, incluidos archivos adjuntos, enlaces y contenido de texto, lo que reduce sustancialmente los riesgos antes de que los mensajes lleguen a su bandeja de entrada”, destaca Manuel Rodríguez, Gerente de Ingeniería de Seguridad Nola en Check Point Software.

Check Point Harmony Email and Office Anti-Phishing aprovecha algoritmos avanzados impulsados ​​por IA para detectar y bloquear intentos de phishing en tiempo real mediante el análisis de URL, dominios y contenido sospechoso, lo que garantiza una protección integral. Esta sólida solución se integra perfectamente con la infraestructura de seguridad existente, proporcionando una estrategia de defensa en capas que se adapta a las amenazas en evolución. Al aprovechar la inteligencia de ThreatCloud, Harmony Anti-Phishing identifica y mitiga los intentos de phishing conocidos y desconocidos, salvaguardando la información confidencial y manteniendo la confianza del usuario.

Al aprovechar estas soluciones avanzadas, las organizaciones pueden contrarrestar eficazmente la evolución de los ataques de phishing que explotan la naturaleza humana. Manténgase alerta, informado y protegido en este Amazon Prime Day para disfrutar de compras en línea seguras.

La entrada Amazon Prime Day 2024: Los ciberdelincuentes están preparados, ¿y tú? se publicó primero en Technocio.

Solo un 21% de las empresas está enfocada en la prevención.

El 96% de los encuestados se preocupa por su capacidad para gestionar adecuadamente los riesgos en la nube.

El 91% de los encuestados teme a los ataques zero-day y otros riesgos desconocidos.

El Cloud Security Report 2024 destaca la necesidad de medidas de seguridad basadas en la IA y la prevención.

Check Point Software Technologies Ltd. publica el Cloud Security Report 2024: el informe destaca que los incidentes de seguridad cloud han aumentado notablemente, pasando de 24% en 2023 a 61% en 2024 (un aumento del 154%). Por otro lado, solo un 21% de las empresas está enfocada en la prevención.

El 96% de los encuestados está preocupado por su capacidad para gestionar eficazmente los riesgos en la nube

Las empresas enfrentan un gran desafío: los ataques en la nube están aumentando y solo el 4% puede manejar los riesgos fácilmente. “El 96% está preocupado por su capacidad para lidiar con estos problemas. Además, el 91% teme el crecimiento de nuevos ciberataques más complejos, como los ataques zero-day y otros riesgos desconocidos que las herramientas tradicionales no pueden detectar”, afirma Manuel Rodríguez, gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

«Los datos hablan por sí mismos, las empresas tienen que cambiar su enfoque hacia la implementación de medidas de prevención de amenazas impulsadas por IA», afirma Itai Greenberg, director de estrategia en Check Point Software. «Al adoptar una arquitectura de seguridad consolidada y mejorar las operaciones de seguridad colaborativas, las empresas pueden abordar de forma proactiva las amenazas emergentes, lo que asegura un entorno cloud más seguro y resiliente».

Otros insights del Cloud Security Report 2024

• Escalada de incidentes en la nube: se ha producido un aumento de casi el 40% en incidentes de seguridad cloud comparado con el año pasado, con el 61% de las empresas que han notificado interrupciones significativas.

• Preocupaciones sobre la gestión de riesgos: un 96% de los encuestados ha declarado estar preocupado por su capacidad para gestionar eficazmente los riesgos en la nube, lo que refleja una escalada considerable respecto a años anteriores.

• Adopción rápida de tecnologías de IA: el 91% de las organizaciones priorizan la IA para mejorar su postura de seguridad, por lo que el enfoque ha cambiado hacia el aprovechamiento de la Inteligencia Artificial para la prevención proactiva de amenazas.

• CNAPP para una prevención mejorada: a pesar del creciente panorama de amenazas, solo el 25% de las compañías ha implementado Cloud Native Application Protection Platforms (CNAPP). Esto subraya la necesidad urgente de soluciones integrales que vayan más allá de las herramientas tradicionales.

• Complejidad en la integración de la seguridad en la nube: a pesar del potencial para soluciones simplificadas, el 54% de los encuestados enfrenta desafíos para mantener estándares regulatorios consistentes en entornos multi-cloud. Además, el 49% lucha con la integración de servicios en la nube en sistemas legados, a menudo complicado por recursos de TI limitados.

El informe aconseja a las empresas adoptar un marco de ciberseguridad más completo, colaborativo e impulsado por IA. Check Point CloudGuard ofrece seguridad aplicable y una prevención más inteligente, lo que refuerza de forma eficaz la postura de seguridad global. Check Point CloudGuard es parte de la Plataforma Check Point Infinity, que permite a las organizaciones centralizar y automatizar procesos de seguridad, cumplimiento y conjuntos de reglas, mejorando así la visibilidad y el control sobre los entornos en la nube.

Accede al informe para obtener una visión completa sobre las tendencias de seguridad en la nube: https://engage.checkpoint.com/2024-cloud-security-report.

La entrada Revelado el Cloud Security Report 2024 se publicó primero en Technocio.

Las cookies de sesión se utilizan para autenticar la identidad de un usuario.

Se estima que en 2022 se robaron 22 mil millones de registros de cookies.

Las cookies de sesión se pueden robar accediendo a redes Wi-Fi no seguras, ataques de secuencias de comandos entre sitios, phishing, troyanos, otros malware, y ataques de intermediario.

Las cookies son una de las tecnologías web más importantes que existen, aunque son casi tan antiguas como el propio navegador web. A veces tienen mala reputación, pero no se puede negar que las cookies nos hacen la vida mucho más fácil. Almacenan información que nos permite permanecer conectados a un sitio y disfrutar de una experiencia productiva en lugar de tener que volver a autenticarnos y rehacer las mismas acciones continuamente.

Sin embargo, las cookies también representan una oportunidad para los atacantes, que pueden robarlas para realizar una variedad de actividades ilícitas. Para las aplicaciones SaaS de su organización, esto puede significar el robo o el uso indebido de datos confidenciales, transacciones no autorizadas y mucho más.

En este caso hablamos de cookies de sesión. Si bien son de corta duración, las cookies de sesión (como las generadas por los sitios bancarios) no son particularmente útiles para los atacantes. Sin embargo, las cookies de mayor duración sí lo son, ya que se utilizan para sesiones «activas» que pueden persistir durante muchas horas o días.

Las cookies de sesión se utilizan para autenticar la identidad de un usuario, lo que significa que se generan después de la MFA (autenticación multifactor). Entonces, cuando el atacante puede «pasar la cookie» (o usarla para una nueva sesión web), puede hacerse pasar por un usuario legítimo.

Una amenaza continua

“Las cookies de sesión se pueden robar de diversas formas, como accediendo a redes Wi-Fi no seguras, ataques de secuencias de comandos entre sitios, phishing, troyanos, otros malware, y ataques de intermediario”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA en Check Point Software.

Para ver un ejemplo del mundo real, considere el malware Racoon Stealer, que es solo una de las muchas familias de malware diseñadas para robar cookies. Según se informa, el grupo de hackers Lapsus$ utilizó Racoon Stealer para obtener acceso no autorizado a los sistemas de la empresa de videojuegos Electronic Arts utilizando una cookie de sesión robada. Crearon una cuenta clonada de un empleado existente de EA y finalmente se fugaron con cientos de GB de datos, incluido el código fuente del juego.

De hecho, el robo de cookies es bastante común: se estima que en 2022 se robarán 22 mil millones de registros de cookies.

Pero el objetivo de esta publicación no es cómo se roban las cookies de sesión SaaS ni cómo prevenirlo. En cambio, estamos mirando a través de una lente de confianza cero. Entonces, supongamos que las cookies de sesión ya han sido robadas, ¿qué se puede hacer para mitigar esta amenaza?

Defensa de aplicaciones SaaS

Las aplicaciones SaaS son fundamentales para hacer negocios hoy en día: una organización promedio utiliza 130 de ellas. Las cookies de sesión para una aplicación SaaS le darían al atacante acceso a la misma información y permisos que el usuario legítimo. Esto podría incluir transacciones de ventas y archivos internos. En el caso de una sesión de correo web secuestrada, el atacante podría acceder a todos los correos electrónicos del usuario, enviar correos electrónicos que inciten a otros a realizar acciones específicas que beneficien al atacante, y más.

Afortunadamente, es posible (y bastante sencillo) defenderse de los peligros del robo de cookies de sesión con Harmony SASE SaaS Protection.

Harmony SASE asigna una dirección IP estática única a su organización y solo el tráfico proveniente de su dirección tendrá acceso a sus aplicaciones SaaS. Todo lo demás está denegado de forma predeterminada.

Incluso si un atacante hubiera obtenido cookies de sesión activas que, nuevamente, eluden el mecanismo MFA, el servidor SaaS simplemente bloquearía el tráfico.

Protección más allá de la cookie de sesión

Harmony SASE le brinda la visibilidad y el control que necesita para mitigar los riesgos de seguridad de SaaS.

La fácil disponibilidad de SaaS significa un acceso conveniente para los usuarios, dondequiera que estén ubicados, pero también brinda a los atacantes amplias oportunidades para buscar brechas de seguridad. Dado que el 55 % de los ejecutivos de seguridad informaron sobre un incidente reciente de seguridad de SaaS, está claro que los ataques no van a desaparecer.

Además de una dirección IP única, Harmony SASE también  permite alinear el acceso y los permisos de los usuarios con sus funciones y responsabilidades. Esto mantiene a todos «en su carril» y evita el acceso no autorizado a aplicaciones y datos.

Harmony SASE también proporciona visibilidad en tiempo real e informes sencillos de los usuarios y dispositivos que se conectan a sus aplicaciones SaaS. Si alguna vez tiene motivos para sospechar de una actividad no autorizada, se puede cerrar la sesión de un usuario y de todos sus dispositivos con solo hacer clic en un botón. Esto también es útil cuando un empleado se va, ya que su acceso a todas las aplicaciones SaaS se puede desactivar instantáneamente.

Visite nuestra página Harmony SASE para obtener más información sobre cómo proteger sus aplicaciones SaaS.

La entrada Los atacantes encuentran irresistibles las cookies de sesión se publicó primero en Technocio.

La nueva solución AI Cloud Protect de Check Point integra las unidades de procesamiento de datos (DPU) NVIDIA BlueField para proteger mejor los centros de datos en la nube de IA.

Si bien la llegada de la IA ha supuesto una revolución para las empresas, este crecimiento también crea potenciales vectores de ataque dirigidos específicamente a la IA.

Diseñado con la DPU NVIDIA BlueField 3, que impulsa una nueva generación de centros de datos de IA en la nube.

Check Point Software Technologies Ltd. ha anunciado su colaboración con NVIDIA para mejorar la seguridad de la infraestructura de IA en la nube. Al integrarse con las DPU de NVIDIA, la nueva solución Check Point AI Cloud Protect ayuda a prevenir las amenazas tanto a nivel de red como de host.

“La IA proporciona grandes beneficios en sectores como la salud, la educación, las finanzas y mucho más. Sin embargo, al mismo tiempo supone un aumento y una sofisticación de los ciberataques, ya que los ciberdelincuentes están cada vez más enfocados en interrumpir las cargas de trabajo de IA en la nube”, dijo Gera Dorfman, vicepresidente de seguridad de red en Check Point Software Technologies. “Hemos trabajado con NVIDIA para ofrecer una nueva solución de IA en la nube más segura con Check Point AI Cloud Protect que protege incluso las cargas de trabajo de IA más vulnerables y privadas frente a las ciberamenazas”.

Si bien la llegada de la IA ha supuesto una revolución para las empresas, este crecimiento también crea potenciales vectores de ataque dirigidos específicamente a la IA, como el backdooring a modelos de IA para controlarlos o acceder sin autorización al entorno, la exfiltración de datos para exponer la propiedad intelectual y la denegación de servicio para degradar el rendimiento y reducir la capacidad. Estas amenazas comprometen la integridad y seguridad de los sistemas de IA y plantean un riesgo para los objetivos de la empresa. También pueden afectar a la confianza en las operaciones de IA y llegar a afectar significativamente a los centros de datos.

Check Point y NVIDIA ofrecen una solución a través de la integración de los conocimientos de seguridad a nivel de red y de host, para ofrecer una solución integral que proteja las infraestructuras de IA tanto de las ciberamenazas convencionales como de las nuevas. Este enfoque integrado ayuda a garantizar que el sistema de seguridad conozca las actividades de la red y los procesos a nivel de host, lo que es crucial para salvaguardar el futuro de la IA.

Yael Shenhav, vicepresidente de productos de red de NVIDIA, afirma que «A medida que la IA se generaliza, la seguridad de la IA cloud se convierte en algo primordial. NVIDIA BlueField 3 permite a empresas innovadoras como Check Point Software ofrecer sólidas medidas de ciberdefensa para proteger los centros de datos en la nube de IA, garantizando al mismo tiempo su máximo rendimiento».

En respuesta a estos nuevos retos, AI Cloud Protect surge como una solución estratégica, que aborda los exigentes requisitos de seguridad de la era de la IA. Diseñada para una fácil implantación y adaptabilidad, ofrece una seguridad lista para usar sin afectar a su rendimiento. Diseñada para una integración y escalabilidad sin esfuerzo, AI Cloud Protect proporciona un escudo sólido contra las ciberamenazas sofisticadas.

Diseñado con la DPU NVIDIA BlueField 3, que impulsa una nueva generación de centros de datos de IA en la nube, y el marco de software NVIDIA DOCA, AI Cloud Protect está diseñado para integrarse perfectamente en los ecosistemas de IA de NVIDIA, proporcionando:

• Una defensa sólida contra las amenazas específicas de IA: permite a las empresas protegerse eficazmente contra la inversión de modelos, su robo y otros vectores de ataque eficiencia

• Integración escalable: facilita la implementación en diversos entornos de IA, asegurando que las medidas de seguridad crezcan al ritmo de las necesidades de la empresa.

• Rendimiento optimizado: garantiza que las operaciones de IA continúen sin problemas, con procesos de seguridad que se ejecutan de forma discreta para no afectar a su rendimiento.

Más información sobre la solución de seguridad Check Point AI Cloud Protect y su integración de la tecnología NVIDIA BlueField.

La entrada Check Point Software se une a NVIDIA se publicó primero en Technocio.

Aumento del 90% en las víctimas extorsionadas públicamente por ataques de ransomware.

Este tipo de ataques representa ahora el 10% de todo el malware detectado por los sensores de Check Point.

Los puntos destacados del informe incluyen un análisis sobre la proliferación de ransomware y cómo se está luchando contra los ciberataques impulsados por IA.

Las organizaciones deben adaptarse en esta etapa de innovación incesante en la ciberdelincuencia.

Check Point Software Technologies Ltd. ha publicado su 2024 Security Report. La edición de este año profundiza en la creciente complejidad de los ciberataques, con un enfoque especial en el dramático aumento de los incidentes de ransomware y el uso estratégico de la Inteligencia Artificial en las defensas de ciberseguridad.

Tras un año marcado por una importante agitación cibernética, el informe destaca un aumento del 90% en las víctimas extorsionadas públicamente por ataques de ransomware. Este tipo de ataques representa ahora el 10% de todo el malware detectado por los sensores de Check Point. El equipo de respuesta a incidentes de Check Point ha observado que casi la mitad de sus casos estaban relacionados con ransomware, y que el número de víctimas extorsionadas públicamente se ha disparado hasta aproximadamente 5.000, el doble que el año anterior.

Las principales conclusiones del 2024 Security Report incluyen:

• Evolución del ransomware: los atacantes han perfeccionado sus estrategias, aprovechando las vulnerabilidades del zero-day y mejorando el Ransomware-as-a-Service (RaaS) con nuevas tácticas de extorsión. Los objetivos de alto valor están cada vez más en el punto de mira, lo que demuestra la necesidad de mecanismos de defensa sólidos.

• Dirigido a dispositivos Edge: el informe identifica una tendencia creciente en los ataques a dispositivos Edge, lo que pone en relieve la necesidad crítica de medidas de seguridad integrales que abarquen todos los elementos de la red.

• Aumento del hacktivismo: el hacktivismo apoyado por el Estado se ha intensificado, con notables aumentos en las actividades cibernéticas vinculadas a conflictos geopolíticos. El uso de wipers destructivos para lograr el máximo impacto subraya la naturaleza evolutiva del conflicto.

“Las organizaciones deben adaptarse en esta etapa de innovación incesante en la ciberdelincuencia y la acumulación de tensiones que involucran a actores de amenazas de estado-nación y hacktivistas a nivel mundial. Invertir en defensas más fuertes con medidas sólidas de ciberseguridad basadas en IA y en la nube, y fomentar proactivamente la colaboración, es clave para protegerse eficazmente contra estos peligros en evolución», explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

El 2024 Security Report sirve como un recurso crucial para las organizaciones, los responsables políticos y los profesionales de la ciberseguridad, lo que ofrece una visión profunda de las tendencias de ataque y proporciona orientación para fortalecer la resiliencia cibernética. Las conclusiones se basan en datos extraídos del Mapa de Ciberamenazas Check Point ThreatCloud AI, que analiza las tácticas clave que los ciberdelincuentes están utilizando para llevar a cabo sus ataques. La copia completa del informe está disponible aquí.

La entrada Check Point Software presenta el 2024 Security Report se publicó primero en Technocio.

Formbook ocupó el primer lugar global tras la desactivación de Qbot.

Los tres malware móviles más usados el mundo en septiembre son Anubis, AhMyth y SpinOK.

En Colombia, Remcos siembra el caos, convirtiéndose en el malware número uno del país, seguido por AsyncRat que ingresa al segundo puesto y SpinOK que entra al tercero.

Los investigadores de Check Point Software, encontraron en septiembre una sigilosa campaña de phishing dirigida a empresas colombianas y diseñada para distribuir de manera discreta al Troyano de Acceso Remoto (TAR) Remcos.

Check Point Research  ha publicado su Índice Global de Amenazas del mes de septiembre de 2023. Los investigadores han encontrado una nueva y sigilosa campaña de phishing dirigida a empresas colombianas y diseñada para distribuir de manera discreta al Troyano de Acceso Remoto (TAR) Remcos. Mientras tanto, Formbook se ha convertido en el malware más utilizado tras el colapso de Qbot, y la educación continúa siendo el sector más atacado.

“En septiembre, Check Point Research descubrió una importante campaña de phishing que se dirigía a más de 40 compañías de múltiples industrias en Colombia. El objetivo era instalar con sigilo el TAR Remcos en los ordenadores de las víctimas. Remcos, que era el segundo malware dominante este mes, es un sofisticado TAR tipo “navaja suiza” que otorga control total sobre el ordenador infectado y puede emplearse en gran variedad de ataques. Algunas consecuencias habituales de Remcos son el robo de datos, las infecciones posteriores y la toma de control de cuentas”, dijo Manuel Rodríguez, Gerente de Ingeniería para el Norte de América Latina de Check Point Software.

El mes pasado vimos también cómo Qbot desaparecía de la lista de malware principales después de que el FBI tomara control de la botnet en agosto. Esto marcó el final de una larga carrera del malware más importante, que había encabezado la lista durante la mayor parte de 2023.

“La campaña que descubrimos en Colombia muestra la complejidad de las técnicas de evasión que emplean los atacantes.  Es también una buena ilustración sobre lo invasivas que son estas técnicas y por qué necesitamos emplear resiliencia cibernética para protegernos contra la gran variedad de tipos de ataques”, explica Maya Horowitz, VP de Investigación de Check Point Software.

CPR también ha revelado que “Web Servers Malicious URL Directory Traversal” ha sido la vulnerabilidad más explotada en septiembre y que ha afectado al 47% de las empresas a nivel global, seguido de “Inyección de comandos a través de HTTP” con el 42% e “Inyección de comandos por Zyxel zyWALL” con el 39%.

Los tres malware más buscados en Colombia en septiembre

*Las flechas indican el cambio en el ranking en comparación con el mes pasado.

1. ↑Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en un 8,48% a las empresas en Colombia y en 1.89% a las empresas en el mundo.

2. ↑ AsyncRat – AsyncRat es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse por sí mismo y toma capturas de pantalla del sistema infectado. Este troyano ha aumentado su incidencia en las empresas globales en un 0.91% y en las de Colombia en un 5.85%.

3. ↑ Android.pandora – pandora es un malware, que a su vez es una versión modificada del troyano Mirai, cuyo objetivo es comprometer dispositivos IoT con el fin de crear una botnet. Android.pandora, está diseñado para explotar dispositivos de TV basados ​​en Android. La infección generalmente se inicia mediante el uso de aplicaciones de películas y TV pirateadas o actualizaciones de firmware fraudulentas. Su impacto a las empresas colombianas fue en este periodo del 4.39% y globalmente del 0.55%.

Las tres industrias más atacadas a nivel mundial en septiembre

El mes pasado, la Educación/Investigación continuó siendo la industria más atacada a nivel mundial, seguida por Comunicaciones y Gobierno/Militar.

1. Educación/Investigación

2. Comunicaciones

3. Gobierno/Militar

Las tres vulnerabilidades más explotadas en septiembre

Por otra parte, Check Point Software señala que el mes pasado la vulnerabilidad más utilizada fue la de “Web Servers Malicious URL Directory Traversal”, impactando en un 47% de las empresas en todo el mundo, seguido de “Inyección de comandos a través de HTTP” con un 42 % e “Inyección del comando Zyxel ZyWALL” con un 39%.

1. ↑ Web Servers Malicious URL Directory Traversal – Esta vulnerabilidad se debe a un error de validación de la entrada en servidores web que no ha desinfectado adecuadamente la URL para los patrones de cruce de directorios. Una explotación exitosa permite a los atacantes remotos sin autentificar revelar o acceder a cualquier archivo del servidor atacado.

2. ↔ Inyección de comandos a través de HTTP – Un atacante remoto puede explotar este problema enviando una solicitud especialmente diseñada a la víctima. La explotación exitosa permite al atacante ejecutar un código arbitrario en el dispositivo objetivo.

3. ↑ Inyección del comando Zyxel ZyWALL (CVE-2023-28771) – La explotación exitosa de esta vulnerabilidad permitiría a los atacantes remotos ejecutar comandos arbitrarios del sistema operativo en el dispositivo afectado.

Los tres malware móviles más usados en septiembre

1. Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó inicialmente ha ganado funciones adicionales que incluyen capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.

2. AhMyth – Troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas aplicaciones infectadas, el malware puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, capturas de pantalla, el envío de mensajes SMS y la activación de la cámara, lo que se suele usar para robar información sensible.

3. SpinOk – Es un módulo de software para Android que funciona como spyware. Recopila información sobre los archivos almacenados en los dispositivos y es capaz de transferirla a los ciberdelincuentes. El módulo malicioso se encontró presente en más de 100 aplicaciones Android y llegó a descargar más de 421.000.000 veces a fecha de mayo de 2023.

El Índice Global de Impacto de Amenazas de Check Point Software y su mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

La lista completa de los diez malware más buscados en septiembre se puede encontrar en el blog de Check Point Software.

La entrada Índice Global de Amenazas del mes de septiembre de 2023 se publicó primero en Technocio.

Aunque el Prime Day ofrece ahorros increíbles, es importante tener mucho cuidado con las gangas demasiado buenas para ser verdad.

Las campañas de phishing relacionadas con Amazon han experimentado un aumento global del 8%, mientras que las relacionadas con Amazon Prime se han multiplicado por 16 sólo durante el último mes según Check Point.

Cuidado, las técnicas de ingeniería social que están diseñadas para aprovecharse de la naturaleza humana.

Ejemplos y consejos relacionados con estas campañas de phishing para que los usuarios puedan comprar sin tener que lamentar consecuencias.

Como cada año, el Amazon Prime Day llega como una de las rebajas más deseadas y atractivas, pero no sólo los compradores la esperan, los ciberdelincuentes también tienen esta cita marcada en su calendario. Para este año está programado entre el 11 y 12 de julio.

Según los investigadores de Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. las campañas de phishing relacionadas con Amazon Prime ya han comenzado, con una presencia 16 veces mayor durante el mes de junio, en comparación con el mes anterior, además de un aumento de todas las campañas de phishing relacionadas con Amazon del 8% en todo el mundo.

Durante este periodo, se registraron casi 1.500 nuevos dominios relacionados con el término «Amazon», de los cuales el 92% resultaron ser maliciosos o sospechosos. Uno de cada 68 nuevos dominios relacionados con «Amazon» también estaba relacionado con «Amazon Prime». Alrededor del 93% de esos dominios resultaron ser de riesgo.

“Aunque el Prime Day ofrece ahorros increíbles, es importante tener en cuenta precauciones como no hacer clic en enlaces que lleguen por correo electrónico ni que pidan credenciales de acceso y siempre asegurarse de que se navega en una web legítima”, dijo Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software.

Figura 1. Ejemplo de correo de phishing suplantando la identidad de Amazon

Alarmas para identificar un posible intento de phishing

Uno de los ataques más frecuentes es el phishing: un mensaje que se envía normalmente por correo electrónico o por mensaje de texto. Entre los ejemplos detectados por Check Point Research, se han detectado correos de phishing que parecen enviados desde «Amazon[.]co[.]uk». En este caso, los ciberdelincuentes buscan atraer a la víctima para que esta haga clic en un enlace malicioso, que le redirige a una web fraudulenta donde robar sus datos de la tarjeta de crédito: (http://www[.]betoncire[.]es/updating/32080592480922000 – Enlace actualmente inactivo).

Cómo comprar con seguridad en Amazon Prime Day

Check Point Software comparte algunos consejos prácticos para que las comprar online de este año sean seguras:

• Cuidado con los errores ortográficos: en muchas ocasiones las páginas y mensajes fraudulentos están mal escritos porque los ciberdelincuentes no hablan ese idioma y usan traductores automáticos. Es importante estar alerta y buscar cualquier pequeño cambio que nos permita identificar estos contenidos maliciosos (“Arnazon” en lugar de “Amazon”, o dominios acabados en “.co” en lugar de “.com”)

• Crear una contraseña segura: si la cuenta ha sufrido un ataque, los daños pueden ser irreparables. Para evitarlo, es importante tener una contraseña para cada servicio -y no caer en la tentación de usar la misma para todo- e indescifrable (sin nombres propios, fechas de nacimiento…), con al menos 12 caracteres y la combinación de mayúsculas, números y símbolos. En caso de sospechar que alguien ha podido intentar acceder de forma ilegítima, cambiar de inmediato la contraseña.

• Buscar siempre el candado: a la hora de comprar online, es imperante no introducir nunca datos de pago ni personales en un sitio web que no tenga instalado el cifrado de capa de conexión segura (SSL). Para saber si el sitio tiene SSL, busca la «S» en la URL (HTTPS, en lugar de HTTP), o el icono de un candado cerrado, normalmente a la izquierda de la URL en la barra de direcciones.

• Compartir lo mínimo: ninguna empresa a la que hayas comprado un artículo en rebajas tu fecha de nacimiento o tu número DNI. Mantener siempre la disciplina de compartir lo mínimo cuando se trata de información personal es un pilar básico de la navegación en Internet.

• Revisar y pensar antes de hacer clic: las técnicas de ingeniería social están diseñadas para aprovecharse de la naturaleza humana. Los ataques de phishing suelen utilizar estas técnicas para convencer a sus víctimas utilizando tácticas como las “ofertas flash”. Es importante no realizar clics impulsivos sin antes asegurar la veracidad de un mensaje.

• Cuidado con las gangas «demasiado buenas para ser verdad»: si bien las ofertas del propio Prime Day son a veces increíbles, siempre guardan cierta coherencia. Si algo parece demasiado bueno para ser verdad, probablemente no lo sea. Desconfiar de este tipo de ofertas, y buscarlas de manera manual a través de la propia plataforma de Amazon nos puede ahorrar sustos inesperados.

La entrada Llegó el Amazon Prime Day y los ciberdelincuentes activan sus campañas se publicó primero en Technocio.

Autor: Technocio.com

A menudo los proveedores de ciberseguridad afirman que los ciberataques ocurrirán sin importar lo robustas que sean sus barreras. Sin embargo, Check Point Software se reitera en su principio de que «el usuario merece la mejor seguridad», demostrando que la prevención de los ataques es posible.

La amenaza de múltiples vectores de ataque se cierne sobre nosotros, y los ciberatacantes están cambiando su enfoque de los individuos a las organizaciones a medida que intentan causar la máxima interrupción, motivados por las altas ganancias políticas, financieras e incluso sociales.

Para hacer frente a este panorama de amenazas tan complejo, Check Point Software Technologies asegura que garantizar que las organizaciones tengan implementadas las mejores medidas de seguridad debe ser una prioridad. Y es que, según los últimos informes de la compañía, además de un aumento del 38% en los ciberataques globales durante el año pasado, no hay signos de que esta actividad se desacelere en 2023, sino que incluso se espera se agudice durante los próximos años.

En parte esta situación se debe a que la mayoría de los proveedores de ciberseguridad menos maduros a menudo afirman que los ciberataques ocurrirán sin importar cuán robustas sean las barreras de seguridad, buscando la detección de estos ataques una vez que ya se ha producido la violación de la red, y responder lo más rápido posible.

Sin embargo, Check Point Software defiende la visión de que «El usuario merece la mejor seguridad«, demostrando que la prevención de estas vulnerabilidades antes de que siquiera sucedan es posible. Una garantía que se cumple con la entrega de unas soluciones con los más altos niveles de seguridad, centradas en un enfoque de prevención que, aprovechando el poder de los datos de ThreatCloud y la inteligencia artificial, proporciona una capacidad de actuación anticipada ante amenazas avanzadas en redes, endpoints, entornos cloud, correos electrónicos y dispositivos IoT con una tasa de bloqueo casi perfecta para malware y phishing, del 99,7% y 99,9% respectivamente.

Fundamentos para una correcta ciberseguridad

Este enfoque de prevención cobra vida a través de las denominadas “tres C’s” de la ciberseguridad, unos fundamentales para asegurar la correcta creación e implementación de una estrategia de ciberseguridad en cualquier empresa u organización:

• Completa. La complejidad y sofisticación de los ciberataques están en constante evolución, por lo que garantizar que una empresa cuente con una protección en todos sus campos, desde el correo electrónico y los dispositivos IoT hasta los endpoints, debe ser una de sus máximas prioridades. Si tan sólo un de estos vectores permanece abierto, puede conducir a una grave violación de la infraestructura crítica.

Por ello, la presencia de una solución global que cubra todos los posibles puntos de acceso resulta imprescindible para evitar cualquier tipo de incidente.

• Consolidada. La quinta generación de ciberataques muestra un modelo de propagación más rápido y eficaz a través de todos los vectores, con frecuencia eludiendo las defensas convencionales. Para combatir estos ataques, las empresas implementan múltiples soluciones puntuales, muchas de las cuales duplican esfuerzos y crean líneas de comunicación aisladas.

Según el estudio realizado por Dimensional Research y Check Point, el 49% de las empresas utilizan entre 6 y 40 puntos de seguridad, mientras que el 98% de ellas administra sus productos de seguridad a través de múltiples consolas y paneles de control, creando unos procesos más complejos que derivan en unos tiempos de respuesta más lentos.

No obstante, se puede apreciar un cambio de enfoque en los últimos años. Un estudio de Gartner informa que el 75% de las compañías buscaban la consolidación de proveedores de seguridad en 2022, frente al 29% en 2020. Al adoptar una arquitectura consolidada que mejora la coordinación y la eficacia de la seguridad, las empresas mejoran la seguridad y ahorran presupuesto al reducir la sobrecarga operativa.

• Colaborativa. Cuando un ciberataque alcanza un endpoint, por ejemplo, todas las demás tecnologías de seguridad en la red, cloud y del correo electrónico deben actuar y responder en consecuencia para evitar que esta vulnerabilidad se extienda a través de sus entradas.

Para lograrlo, debe asegurarse el establecimiento de una arquitectura de ciberseguridad consolidada en la que cada motor de seguridad se aplique a cualquier vector. Además de esto, la información de inteligencia de amenazas en tiempo real recopilada de todos los puntos de aplicación, equipos de investigación y fuentes de terceros, debe compartirse en todo el entorno para que se puedan tomar medidas de inmediato para prevenir este o cualquier ataque.

“Check Point Software Technologies se fundó hace 30 años sobre la base de que la prevención es mejor que la remediación cuando se trata de ciberseguridad” comparte Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software. “La necesidad de resiliencia cibernética nunca ha sido mayor. El panorama digital actual, en el que las empresas se enfrentan a los sofisticados ciberataques de quinta generación, muestra la necesidad de adoptar un enfoque de prevención”.

La entrada Las tres C’s para la buena ciberseguridad: completa, consolidada y colaborativa se publicó primero en Technocio.

Check Point Research (CPR) revela una industria en crecimiento que vende credenciales a cuentas robadas de hoteles y aerolíneas.

El objetivo final es obtener acceso a cuentas con puntos de recompensa y venderlo.

CPR proporciona ejemplos que incluyen una herramienta de fuerza bruta que se usa para robar cuentas, vender credenciales robadas y hacer de «agentes de viajes» que venden vuelos y estadías con descuento  usando cuentas de aerolíneas/hoteles robadas.

Con los precios de las aerolíneas disparándose en estos días,  la inflación global y  las crisis de las aerolíneas de bajo costo, las personas siempre buscan ofertas especiales y ofertas de última hora y, por lo general, se verán tentadas a seguir cualquier oferta lucrativa que disminuya esos  altos costos que hoy todos debemos pagar para nuestras vacaciones.

Los piratas informáticos y los ciberdelincuentes aprovechan esto, como siempre, en su búsqueda por maximizar las ganancias y aprovechar una necesidad que requiere una pronta solución.

En este informe, Check Point Research (CPR) destaca lo que parece ser un fenómeno creciente, en el que los ciberdelincuentes ofrecen una variedad de ofertas para aquellos que buscan reducir sus gastos, mientras intentan llegar a sus destinos vacacionales.

Aproveche sus puntos de recompensa, incluso si no son suyos

Nuestros investigadores presentan ejemplos de lo que parece ser un mercado en crecimiento en vías alternativas en las que los actores de amenazas y los ciberdelincuentes ofrecen sus «bienes», utilizando credenciales robadas de cuentas de aerolíneas y hoteles, o recompensas acumuladas que pueden usarse para comprar boletos o noches de hotel.

Uno de los métodos que utilizan los ciberdelincuentes es ofrecer credenciales robadas de cuentas de hoteles y aerolíneas que han acumulado recompensas o puntos de vuelo. Estas credenciales robadas se ofrecen de forma gratuita o a la venta en los foros de piratería de la Darknet. Ejemplos de tales cuentas incluyen hoteles como Marriott, Delta y AA. Los ciberdelincuentes también usan una herramienta de fuerza bruta dedicada para robar cuentas de Radisson Hotel con el objetivo final de acceder a cuentas con puntos de recompensa o tarjetas de pago vinculadas.

Otra táctica es la creación de «agencias de viajes» en los mercados clandestinos rusos. Estas agencias ofrecen billetes de avión y reservas de hotel a precios con un descuento del 45 al 50 %. Sin embargo, estas ofertas se ordenan utilizando cuentas robadas de hoteles, aerolíneas y otros sitios web relacionados con viajes.

También presentamos dos ejemplos de phishing (Vietnam Airlines) y spam malicioso (SouthWest) que se hacen pasar por aerolíneas.

¿Específicamente interesado en las recompensas de la cuenta de Radisson? ¡No se preocupe, estos muchachos le venderán la herramienta para forzar cualquier cuenta y obtener sus puntos capturados!

Una herramienta de fuerza bruta es un tipo de software o programa que se utiliza para descifrar o adivinar una contraseña o clave de cifrado al intentar todas las combinaciones posibles de caracteres hasta encontrar la correcta. Los piratas informáticos suelen utilizar herramientas de fuerza bruta para obtener acceso autorizado a sistemas informáticos, redes y cuentas en línea.

El servicio Patriarch ofrece a los compradores precios reducidos del 45 al 50 % en una reserva original que se puede encontrar en puntos de venta legítimos de la red.

Estos precios reducidos se reciben utilizando cuentas robadas de aerolíneas y hoteles obtenidas por los ciberdelincuentes operativos que ofrecen estos servicios.

El anuncio que aparece en Darknet (originalmente en ruso, aquí también traducido al inglés por CPR) ofrece boletos para destinos en todo el mundo, excepto Rusia y tiene un pedido mínimo de $325 dólares.

Phishing una mejor oferta

Las estafas de phishing siguen siendo una de las principales técnicas utilizadas por los ciberdelincuentes para atraer a los usuarios para que proporcionen sus datos, preferiblemente los detalles financieros, y así robar fondos y generar transacciones fraudulentas.

En esto, las estafas de viajes no son excepcionales y en este informe proporcionamos ejemplos de 2 casos en los que los ciberdelincuentes se hacen pasar por empresas legítimas para atraer a sus víctimas.

En este caso, vemos un sitio web de phishing para el sitio web de Vietnam Airline. Ofrece ofertas e información, invitando a los compradores a reservar viajes. Esto se presentó bajo un dominio similar https://vietnam-airline\.org

En nuestro segundo ejemplo, mostramos una campaña de malspam enviada a las víctimas afirmando que ganaron una recompensa en nombre de la compañía SouthWest Airline (campañas similares vistas también en otras compañías aéreas)

El correo fue enviado por diferentes remitentes, con encabezados de nombre como «Comentarios de Southwest Airlines» o «Está aprobado».

Cómo protegerse de las estafas de viajes en línea

Manuel Rodríguez, Gerente de Ingeniería de Seguridad para el Norte de América Latina de Check Point Software, destaca la importancia de estar siempre alerta para protegerse de las estafas, al tiempo que entrega las siguientes recomendaciones a los viajeros:

• Tenga cuidado con las ofertas que parecen demasiado buenas para ser verdad: los estafadores a menudo usan ofertas tentadoras para atraer a viajeros desprevenidos. Si un trato parece demasiado bueno para ser verdad, probablemente no lo sea. Nadie te venderá un 50% de descuento en el precio de la entrada.

• Utilice métodos de pago seguros: cuando reserve un viaje en línea, utilice un método de pago seguro, como una tarjeta de crédito o PayPal. Estos métodos ofrecen protección contra cargos fraudulentos y facilitan la disputa de transacciones no autorizadas.

• Compruebe si hay HTTPS: al realizar cualquier transacción en línea, incluida la reserva de un viaje, asegúrese de que el sitio web tenga HTTPS en la URL. Esto indica que el sitio web tiene un certificado SSL, lo que significa que los datos que ingresa están encriptados y seguros.

• Antes de reservar con una empresa en línea, asegúrese de saber a quién le está comprando. Visite su sitio web, acumule las reseñas de otros  compradores e investigue si alguien ha oído hablar de esta empresa antes.

• Verifique las direcciones web: otra manera fácil de identificar posibles ataques de phishing es buscar direcciones de correo electrónico, enlaces y nombres de dominio que no coincidan. Los destinatarios siempre deben pasar el cursor sobre un enlace en un correo electrónico antes de hacer clic en él, para ver el destino real del enlace. Si se cree que el correo electrónico fue enviado por American Airlines, pero el dominio de la dirección de correo electrónico no contiene «americanairlines.com», eso es una señal de un correo electrónico de phishing.

La entrada No caiga en engaños de ciberdelincuentes con ofertas de viajes y hoteles muy baratos se publicó primero en Technocio.

En su último informe de seguridad, Check Point Software refleja la creciente complejidad del panorama de la ciberseguridad y las tendencias emergentes que amenazan a las organizaciones. En este artículo, Eli Smadja, director del grupo de investigación de seguridad de Check Point Software Technologies, analiza el panorama del malware móvil y explica por qué una disminución de los ataques no debería engañar a los líderes empresariales haciéndoles creer que los dispositivos móviles ya no son los principales objetivos de los ciberdelincuentes.

El trabajo híbrido ha cambiado las reglas del juego para las personas y las empresas de todo el mundo. Ha acelerado la adopción de tecnologías digitales, transformado los procesos operativos diarios y mostrado al mundo que puede funcionar, sin importar la situación. Sin embargo, una fuerza laboral fragmentada agrega mayor complejidad al panorama de amenazas. Los equipos de seguridad tienen que lidiar con una multitud de nuevas vulnerabilidades y enfrentar la tarea casi imposible de asegurar múltiples redes y dispositivos IoT.

Con millones de nosotros adoptando ahora un modelo de trabajo híbrido, los teléfonos inteligentes se han convertido en una de las herramientas principales para las transacciones comerciales diarias. Según el informe State of Mobile 2022 de App Annie, los usuarios de los diez principales mercados móviles del mundo pasaron colectivamente 3,8 billones de horas mirando sus dispositivos móviles en 2021. Eso es un promedio de 4,8 horas por día, un aumento del 30 % en comparación con los dos anteriores. años y aunque el uso de malware móvil está disminuyendo, los dispositivos móviles aún presentan un riesgo significativo para las organizaciones. Según nuestra investigación de Check Point, ha habido un aumento del 45 % en los ataques cibernéticos desde el cambio al trabajo remoto, lo que ha generado una gran tensión en los equipos de TI mientras buscan proteger los dispositivos de los usuarios.

Con un uso tan grande en un paisaje fragmentado, no es de extrañar que los ciberdelincuentes vean los dispositivos móviles como la plataforma de lanzamiento ideal para un ataque a gran escala.

El auge de los ciberataques vishing y smishing

Los dispositivos móviles modernos son más potentes que nunca, con sistemas operativos sofisticados y una amplia gama de aplicaciones y servicios. Si bien esta complejidad podría crear más oportunidades para que los atacantes encuentren vulnerabilidades y las exploten, fabricantes como Apple, Samsung y Google han desarrollado teléfonos con configuraciones de seguridad estrictas. Todavía es posible eludir las medidas de seguridad y hemos visto un aumento en las aplicaciones maliciosas que se hacen pasar por productos legítimos en las tiendas de aplicaciones, sin embargo, muchas no pasan la fase de descarga.

Las acciones de estas grandes empresas han provocado que los ciberdelincuentes se alejen de los métodos de ataque tradicionales, como el malware o el ransomware, y busquen nuevas tácticas para explotar a los usuarios.

En los últimos dos años, los ataques cibernéticos vishing y smishing han aumentado significativamente en popularidad, lo que no sorprende si se considera que la cantidad de mensajes de voz diarios enviados a través de WhatsApp alcanzó los siete mil millones en 2022, según la compañía. Vishing, también conocido como phishing de voz, a menudo involucra a un atacante que se hace pasar por un representante de una organización legítima y utiliza la comunicación de voz para robar las credenciales de inicio de sesión de los usuarios. Del mismo modo, smishing es una táctica que utiliza mensajes SMS o aplicaciones de mensajería para establecer una relación con sus víctimas y obligarlas a compartir información confidencial.

¿A qué se debe el aumento de los ataques vishing y smishing?

Hay varios factores: el aumento del uso de dispositivos móviles, el repentino crecimiento del trabajo remoto y la sofisticación de los atacantes y la tecnología que utilizan son algunos. La cantidad de datos confidenciales que fluyen a través de ellos significa que se han convertido en un objetivo atractivo para los ciberdelincuentes.

Según la Comisión Federal de Comercio de Estados Unidos, solo los ataques de vishing costaron a las víctimas en ese país $ 124 millones en 2020. Por ejemplo, en el mismo año, el FBI emitió una advertencia sobre una campaña de vishing dirigida a trabajadores remotos. El atacante se hizo pasar por un servicio de asistencia de TI y utilizó tácticas de ingeniería social para engañar a las víctimas para que compartieran sus credenciales de inicio de sesión privadas y otra información confidencial. Más recientemente, Check Point Research encontró un troyano de Android denominado `FakeCalls´, un malware capaz de hacerse pasar por más de 20 aplicaciones financieras e imitar conversaciones telefónicas con empleados bancarios.

Los ataques vishing y smishing se utilizan cada vez más para el robo de identidad y el fraude financiero, una tendencia que no muestra signos de desaceleración. Pero, ¿qué más podemos esperar ver en el vector móvil en 2023 y más allá?

La evolución del ransomware en un mundo móvil

Los ataques de ransomware generalmente se basan en la capacidad de cifrar archivos en un dispositivo y exigen un rescate por su liberación. Sin embargo, los dispositivos móviles y sus sistemas operativos tienen funciones de seguridad integradas que evitan el acceso no autorizado a los datos almacenados en ellos. Para la mayoría de nosotros, estos datos también se almacenan o se respaldan en la nube, lo que dificulta que los posibles atacantes roben las credenciales de las víctimas a través del dispositivo. Como resultado, los ataques de ransomware no son tan frecuentes en los dispositivos móviles como lo son en las computadoras de escritorio y portátiles tradicionales.

Eso no quiere decir que esto no sea algo que podamos ver en el futuro. Si los ataques de ransomware fueran más frecuentes en los dispositivos móviles, podrían tener consecuencias importantes tanto para las personas como para las organizaciones. Dado que los dispositivos móviles a menudo se utilizan para almacenar datos personales y corporativos confidenciales, un ataque de ransomware exitoso podría dañar significativamente la reputación de una organización y tener graves implicaciones financieras.

Además, los ataques de ransomware móvil podrían impactar potencialmente en la infraestructura crítica, lo que desde una perspectiva geopolítica podría ser un arma extremadamente poderosa. Una vez que un dispositivo ha sido pirateado, los malos actores podrían usarlo como una plataforma para robar información ultrasecreta sobre cualquier cosa, desde futuras políticas gubernamentales hasta especificaciones técnicas para nuevas armas. Además, incluso podría usarse como punto de entrada para lanzar un ataque mucho más amplio.

¿Qué pueden hacer las organizaciones para fortalecer su enfoque de la seguridad móvil?

Dado que el mundo depende cada vez más de los teléfonos móviles para las comunicaciones, los negocios y las transacciones, garantizar que los dispositivos sean seguros debe ser una prioridad. Hay varios pasos que las organizaciones pueden tomar para fortalecer sus procedimientos de seguridad móvil, que incluyen:

• Educación de los empleados: podría decirse que una de las formas más efectivas de prevenir los ataques cibernéticos en los dispositivos móviles es educar a los empleados sobre los riesgos y cómo evitarlos. Esto podría incluir proporcionar sesiones de capacitación periódicas sobre el uso seguro de dispositivos móviles, así como recordatorios periódicos sobre la importancia de la seguridad.

• Implementación de políticas de seguridad móvil: las organizaciones deben tener políticas claras en torno al uso de dispositivos móviles. Esto debe incluir orientación sobre la instalación de aplicaciones y el acceso a datos confidenciales. Las políticas deben revisarse y actualizarse periódicamente para reflejar las amenazas y tecnologías cambiantes.

• Monitoree y actualice los dispositivos móviles: monitorear los dispositivos móviles en busca de actividad sospechosa, como tráfico de red inusual o comportamiento inesperado de la aplicación, puede identificar amenazas antes de que sucedan. Los dispositivos también deben actualizarse regularmente con los últimos parches de seguridad y actualizaciones de software, así como con el software de seguridad de prevención, en lugar de solo el software de detección, para abordar cualquier vulnerabilidad conocida para evitar que ocurran tales ataques.

• Realice evaluaciones de seguridad periódicas: las evaluaciones de seguridad periódicas pueden ayudar a identificar vulnerabilidades y áreas de mejora en la postura de seguridad móvil de una organización. Esto puede incluir análisis de vulnerabilidades, pruebas de penetración y pruebas de ingeniería social.

La creciente sofisticación de los ataques a dispositivos móviles refleja el panorama de amenazas en evolución y la creciente importancia de los teléfonos inteligentes y los dispositivos IoT en nuestra vida diaria. Como resultado, nunca ha sido más importante para las personas y las organizaciones ser conscientes de los riesgos a los que se enfrentan y tomar medidas para protegerse contra esta tendencia creciente de amenazas de la nueva era.

La entrada Razones para encarar el malware móvil de frente se publicó primero en Technocio.

Predicciones de ciberseguridad de Check Point Software para 2023: Espere más ataques globales, regulación gubernamental y consolidación.

El hacktivismo, los deepfakes, los ataques a las herramientas de colaboración empresarial, los nuevos mandatos regulatorios y la presión para reducir la complejidad encabezarán las agendas de seguridad de las organizaciones durante el próximo año.

Check Point Software Technologies Ltd. ha publicado sus predicciones de ciberseguridad para 2023, que detallan los principales desafíos de seguridad que las organizaciones enfrentarán durante el próximo año.

Los ataques cibernéticos en todos los sectores de la industria aumentaron un 28 % en el tercer trimestre de 2022 en comparación con el 2021, y Check Point predice un fuerte aumento continuo en todo el mundo, impulsado por aumentos en las vulnerabilidades de ransomware y en el hacktivismo de estado impulsado por conflictos internacionales. Al mismo tiempo, los equipos de seguridad de las organizaciones se enfrentarán a una presión cada vez mayor esperando que la fuerza laboral cibernética de 3,4 millones de empleados se amplíe aún más, y se espera que los gobiernos introduzcan nuevas regulaciones cibernéticas para proteger a los ciudadanos contra las infracciones.

En 2022, los ciberdelincuentes y los actores de amenazas estatales continuaron explotando las prácticas de trabajo híbridas de las organizaciones, y el aumento de estos ataques no muestra signos de desaceleración a medida que el conflicto entre Rusia y Ucrania continúa teniendo un profundo impacto a nivel mundial. Las organizaciones necesitan consolidar y automatizar su infraestructura de seguridad para permitirles monitorear y administrar mejor sus superficies de ataque y prevenir todo tipo de amenazas con menos complejidad y menos demanda de recursos de personal.

Las predicciones de ciberseguridad de Check Point para 2023 se dividen en cuatro categorías: malware y phishing; hacktivismo; regulaciones gubernamentales emergentes; y consolidación de la seguridad.

Aumentos en malware y exploits de piratería

• El ransomware no da tregua: Esta fue la principal amenaza para las organizaciones en la primera mitad de 2022, el ecosistema del ransomware continuará evolucionando y creciendo con grupos criminales más pequeños y ágiles que se forman para evadir la aplicación de la ley.

• Herramientas de colaboración comprometidas: Si bien los intentos de phishing contra cuentas de correo electrónico comerciales y personales son una amenaza cotidiana, en 2023 los delincuentes ampliarán su objetivo para apuntar a herramientas de colaboración comercial como Slack, Teams, OneDrive y Google Drive con exploits de phishing. Estas son una rica fuente de datos confidenciales dado que la mayoría de los empleados de las organizaciones continúan trabajando a menudo de forma remota.

El hacktivismo y los deepfakes evolucionan

• Hacktivismo de estado: En el último año, el hacktivismo ha evolucionado de grupos sociales con agendas fluidas (como Anonymous) a grupos respaldados por estados que están más organizados, estructurados y sofisticados. Dichos grupos han atacado recientemente objetivos en EE. UU., Alemania, Italia, Noruega, Finlandia, Polonia y Japón, y estos ataques ideológicos seguirán creciendo en 2023.

• Armamento de deepfake: En octubre de 2022, se distribuyó ampliamente una deepfake del presidente de EE. UU. Joe Biden cantando «Baby Shark» en lugar del himno nacional. ¿Fue esto una broma o un intento de influir en las importantes elecciones de mitad de período de EE. UU.? La tecnología deepfakes se utilizará cada vez más para orientar y manipular opiniones, o para engañar a los empleados para que renuncien a las credenciales de acceso.

Gobiernos intensificaran medidas para proteger a los ciudadanos

Nuevas leyes sobre violaciones de datos: La violación en la empresa de telecomunicaciones australiana Optus ha llevado al gobierno del país a introducir nuevas regulaciones sobre violaciones de datos que otras empresas de telecomunicaciones deben seguir para proteger a los clientes contra fraudes posteriores. Veremos otros gobiernos nacionales siguiendo este ejemplo en 2023, además de las medidas existentes como GDPR.

• Nuevos grupos de trabajo nacionales contra el ciberdelito: más gobiernos seguirán el ejemplo de Singapur de establecer grupos de trabajo interinstitucionales para contrarrestar el ransomware y el ciberdelito, reuniendo a las empresas, los departamentos estatales y las fuerzas del orden para combatir la creciente amenaza para el comercio y los consumidores. Estos esfuerzos son en parte el resultado de preguntas sobre si se puede confiar en el sector de seguros cibernéticos como una red de seguridad para incidentes cibernéticos.

• Seguridad y privacidad obligatorias desde el diseño: la industria automotriz ya se ha movido para introducir medidas para proteger los datos de los propietarios de vehículos. Este ejemplo se seguirá en otras áreas de bienes de consumo que almacenan y procesan datos, responsabilizando a los fabricantes por las vulnerabilidades de sus productos.

Asuntos de consolidación

• Reducir la complejidad para reducir los riesgos: la brecha global de habilidades cibernéticas creció más del 25 % en 2022. Sin embargo, las organizaciones tienen ahora redes más complejas e implementaciones en la nube debido a la pandemia. Los equipos de seguridad necesitan consolidar sus infraestructuras de TI para mejorar sus defensas y reducir su carga de trabajo, para ayudarlos a mantenerse adelante de las amenazas. Más de dos tercios de los CISO afirmaron que trabajar con menos soluciones de proveedores aumentaría la seguridad de su empresa.

Predicciones de los ejecutivos de Check Point:

Mark Ostrowski, Oficina del CTO, Check Point Software

“Las Deepfakes se generalizarán con los hacktivistas y los ciberdelincuentes que aprovecharán los videos y los mensajes de voz para realizar ataques exitosos de phishing y ransomware”.

Maya Horowitz, vicepresidenta de investigación, Check Point Software

“Estamos entrando en una nueva era de hacktivismo, con ataques cada vez mayores motivados por causas políticas y sociales. Los actores de amenazas se están volviendo cada vez más desvergonzados y centrarán su atención en la infraestructura crítica”.

Micki Boland, Oficina del CTO, Check Point Software

“Veremos a un estado-nación liderar un ataque sostenido y prolongado contra la red eléctrica de los EE. UU., lo que provocará interrupciones en el suministro eléctrico que afectarán funciones comerciales y sociales críticas”.

Deryck Mitchellson, CISO de EMEA, Check Point

“La transformación de la nube se ralentizará debido al costo y complejidad, y muchas empresas considerarán volver a llevar las cargas de trabajo internas a casa o a centros de datos privados para reducir su superficie general de amenazas”.

Deryck Mitchellson, CISO de EMEA, Check Point Software

“Veremos mucho más debate e impulsaremos la regulación de la seguridad, ya que el enfoque actual del palo y la zanahoria no ha funcionado”.

Dan Wiley, responsable de gestión de amenazas, Check Point Software

“La industria de los seguros cibernéticos está experimentando grandes cambios tectónicos. Lo más probable es que las empresas no puedan confiar en los seguros como red de seguridad para incidentes cibernéticos. Como hemos visto con la industria automotriz, los formuladores de políticas actuarán para proteger a sus electores con una legislación que responsabilice a los fabricantes por los defectos de software que crean vulnerabilidades cibernéticas. A su vez, esto hará que los proveedores de software tengan la responsabilidad de incorporar validaciones de seguridad”.

Jeremy Fuchs, analista de investigación, Avanan, una empresa de Check Point

“Si bien el correo electrónico y el phishing van de la mano y seguirán siendo peligrosos y proliferarán, en 2023 los ciberdelincuentes también recurrirán a compromisos de colaboración empresarial, con ataques de phishing utilizados para acceder a Slack, Teams, OneDrive, Google Drive, etc. Los empleados a menudo no comparten datos e información personal mientras usan estas aplicaciones comerciales, lo que las convierte en una fuente lucrativa de datos para los piratas informáticos”.

Jony Fischbein, CISO, Check Point Software

“En nuestro entorno multihíbrido, muchos CISO luchan por crear un programa de seguridad integral con múltiples proveedores. En 2023, los CISO reducirán la cantidad de soluciones de seguridad implementadas a favor de una solución única e integral para reducir la complejidad”.

Oded Vanunu, jefe de investigación de vulnerabilidades de productos, Check Point Software

“Aumento dramático de estafas digitales, debido a la desaceleración económica mundial y la inflación. Los ciberdelincuentes recurrirán cada vez más a las campañas en las redes sociales a través de Telegram, WhatsApp y otras aplicaciones de mensajería populares. También habrá más ataques cibernéticos en las plataformas de cadena de bloques Web3, principalmente para apoderarse de las plataformas y los criptoactivos de sus usuarios».

La entrada Predicciones de ciberseguridad de Check Point Software para 2023 se publicó primero en Technocio.

El informe de Check Point Software muestra la consolidación del ransomware y su evolución a un ecosistema mucho más fragmentado.

Los ciberataques contra Blockchain continuarán y el Metaverso sufrirá los primeros impactos.

El ransomware se convertirá en un ecosistema mucho más fragmentado y el hacktivismo seguirá evolucionando.

Check Point® Software Technologies Ltd. ha publicado su informe “Cyber Attack Trends: 2022 Mid-Year Report” en el que destaca cómo los ciberataques se han afianzado como un arma a nivel estatal, incluyendo el nuevo método de ransomware “Country Extortion” (extorsión de países), el hacktivismo de Estado, y la expansión del ransomware como la amenaza número uno.

El aumento del ransomware utilizado en los ataques a nivel de Estado-Nación para obtener beneficios financieros y sociales aparece en el informe junto con el aumento de las amenazas a la cadena de suministro en la nube.

Las estadísticas actualizadas sobre las ciberamenazas de la industria y de la región, así como las predicciones para lo que queda de 2022, incluido un análisis de la respuesta a los incidentes que explora el ciclo de vida completo de un ciberataque, presentan una visión integrada de cómo han provocado grandes trastornos, causando un daño real a la vida cívica y cibernética de la ciudadanía en 2022.

“La guerra en Ucrania ha dominado los titulares en la primera mitad de 2022 y solo podemos esperar que llegue pronto a un fin pacífico”, explica Maya Horowitz, vicepresidenta de investigación de Check Point Software. “Su impacto en el ciberespacio ha sido dramático tanto en alcance como en escala, y hemos visto enormes aumentos en las ofensivas contra organizaciones en todos los sectores y países este año. Desgraciadamente, esto no hará más que empeorar, sobre todo porque el ransomware es ahora la principal amenaza para las empresas. Sin embargo, con la experiencia, la estrategia y las soluciones de ciberseguridad adecuadas, las compañías podrán llegar a evitar que estos ataques se produzcan”.

Entre las principales predicciones destacadas para el segundo semestre en el informe se encuentran:

• El ransomware se convertirá en un ecosistema mucho más fragmentado: mientras que los grupos de ciberdelincuentes han mejorado su estructura y operan como empresas normales, con objetivos fijos que atacar… el ejemplo del grupo de ransomware Conti les ha hecho aprender la lección, ya que su tamaño y su poder atrajeron demasiada atención, lo que provocó su caída. En el futuro, parece que se crearán muchos núcleos pequeños y medianos, en lugar de unos pocos grandes, para ocultarse con mayor eficacia.
• Cadenas de infección por correo electrónico cada vez más complejas: debido al bloqueo por defecto de las macros de Internet en Microsoft Office, las familias de malware más sofisticadas acelerarán el desarrollo de nuevas cadenas de infección, con diferentes tipos de archivos protegidos por contraseña para evitar su detección, a medida que aumentan los avanzados ataques de ingeniería social.
• El hacktivismo seguirá evolucionando: los grupos hacktivistas continuarán alineando sus ataques con la agenda del Estado nación que hayan elegido, sobre todo porque la guerra entre Rusia y Ucrania sigue su curso.
• Ataques a las redes descentralizadas de Blockchain con previsión de primeros impactos en el Metaverso: con incidentes importantes relacionados con las plataformas de Blockchain, como la vulnerabilidad del mercado Rarible o la de ApeCoin Airdrop, se espera que se produzcan constantes esfuerzos por parte de los ciberdelincuentes para quebrantar y secuestrar criptoactivos. Además, se prevé que se produzcan las primeras agresiones en el Metaverso utilizando las vulnerabilidades de los smart contracts.

El informe “Cyber Attack Trends: 2022 Mid-Year Report” ofrece una visión detallada del panorama de las ciberamenazas. Estas conclusiones se basan en datos extraídos de ThreatCloud Intelligence de Check Point Software entre enero y junio de 2022, destacando las tácticas clave que los ciberdelincuentes están utilizando para atacar a las empresas. Una copia completa del informe está disponible aquí.

La entrada El ransomware es la principal amenaza según el Mid-Year Security Report de Check Point Software se publicó primero en Technocio.

Proyecto Espacial Rakia – Foto: Asaf Malka

Check Point Software ayudará a proteger la misión de la Estación Espacial Internacional.

Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en la sede de Check Point Software en Tel Aviv.

Albergando en sus oficinas en Tel Aviv las instalaciones de la sala de control y los servicios de ciberseguridad.

La misión llevará a cabo 35 experimentos y durará de 8 a 10 días.

Las investigaciones incluyen pruebas médicas, el impacto de la microgravedad en la degradación del plástico, ensayos con eventos luminosos transitorios, alimentación y agricultura.

Check Point® Software Technologies Ltd. apoya la misión espacial israelí Rakia acogiendo la comunicación con el centro de control especializado, situado en su sede de Tel Aviv, donde también albergará un centro de visitantes. Hoy, el astronauta israelí Eytan Stibbe tiene previsto despegar de Cabo Cañaveral (Florida) en una misión a la Estación Espacial Internacional (ISS). Allí llevará a cabo 35 experimentos, que van desde la investigación en alimentación y agricultura, pasando por pruebas médicas, el impacto de la microgravedad en la degradación del plástico, hasta ensayos con eventos luminosos transitorios, entre otros. La misión está prevista que dure entre 8 y 10 días.

Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en las oficinas de Check Point Software en Tel Aviv que tiene una sala de control desde la que científicos, artistas y educadores podrán supervisar las actividades de Eytan Stibbe y les permitirá realizar los cambios necesarios en los experimentos en tiempo real, a la vez que mantienen un diálogo directo con la sala de control de la ISS en Estados Unidos.

“En los últimos años, las empresas han gastado miles de millones de dólares en intentar establecer un camino «sencillo» hacia el espacio, lo que ha creado nuevas tecnologías y, a su vez, nuevos retos para la ciberseguridad”, afirma Oded Vanunu, responsable de investigación de vulnerabilidades de productos en Check Point Software Technologies. “Con una gran cantidad de comunicaciones y datos entre la nave espacial y la Tierra, cada fase de la misión Rakia necesita protección entre ambos puntos”.

La misión permitirá a los empresarios e investigadores israelíes avanzar en sus ideas innovadoras y les proporcionará una oportunidad única de poner a prueba sus empresas en un entorno de estudio único, contribuyendo así a las industrias de investigación internacionales e israelíes. El centro de visitantes, albergado por Check Point Software, hará accesible el Centro de la Misión Rakia a miles de estudiantes, permitiéndoles experimentar la travesía hacia el espacio a través de elementos interactivos y actividades educativas inspiradoras. El centro está dividido en cinco complejos, cada uno de los cuales representa un aspecto diferente de la misión:

1. El complejo de la Estación Espacial Internacional.

2. El centro de la misión «Rakia».

3. El parque de Experimentos Científicos.

4. El complejo de la vida en la Estación Espacial Internacional.

5. El proyecto inspirador “There is no dream too far away” (no hay sueño demasiado lejano).

Los visitantes podrán realizar una visualización del experimento Crisper de la Universidad de Tel Aviv y el Instituto Volcánico, que probará el diagnóstico genético de virus y bacterias en misiones espaciales en condiciones de microgravedad. Además, se simulará un experimento médico a distancia -detección del estrés y seguimiento del bienestar de los astronautas en remoto- a cargo de “Sheba Medical Center”, que reconoce el desarrollo de la angustia emocional y las situaciones de estrés a través de una app. La aplicación analizará el estado emocional de los visitantes, al igual que el de los astronautas en la estación espacial. El área inspiradora “No Dream Too Far” es una exposición fotográfica especial que muestra la “Coppola”, es decir, la ventana a través de la cual los astronautas observan la Tierra desde la Estación Espacial Internacional.

La entrada El software de Check Point Software apoya la misión de Rakia al espacio se publicó primero en Technocio.

Trickbot infecta más de 140.000 equipos de clientes de Amazon, Microsoft, Google y otras 57 empresas a nivel mundial.

Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. ha descubierto nuevos detalles de la ejecución de Trickbot. Este conocido troyano bancario, roba y compromete los datos de víctimas de alto perfil. Check Point Research ha contabilizado más de 140.000 equipos infectados por Trickbot desde noviembre de 2020, muchos de los cuales son clientes de conocidas compañías, como Amazon, Microsoft, Google y PayPal. En total, se han documentado 60 corporaciones cuyos compradores han sido víctimas de este troyano a lo largo de los últimos 14 meses.

Figura 1. Varias empresas cuyos clientes son el objetivo de Trickbot

Los ciberdelincuentes están atacando selectivamente objetivos de alto perfil para robar y comprometer sus datos confidenciales. Además, la infraestructura de este ciberataque puede ser utilizada por varias familias de malware para causar más daño en los equipos infectados. Check Point Research recomienda a los ciudadanos que solo abran documentos de fuentes de confianza, ya que los autores de Trickbot están aprovechando las técnicas de anti-análisis (que impiden o dificultan que el malware sea analizado) y anti-desfusión (dificultar la lectura de un código) para permanecer dentro de las unidades. El porcentaje de organizaciones afectadas por este troyano en cada región son:

Figura 2 – Porcentaje de empresas afectadas por Trickbot (cuanto más oscuro es el color, mayor es el impacto)

Puntos clave de la ejecución de Trickbot

• El troyano es muy selectivo a la hora de elegir sus objetivos.

• Los diversos métodos implementados en los módulos -incluyendo anti-análisis y la anti-desfusión demuestran la gran experiencia técnica de los ciberdelincuentes.

• La infraestructura de Trickbot puede ser utilizada por otras familias de malware para causar más daño en los equipos infectados.

• Este ataque es sofisticado y versátil con más de 20 módulos que pueden descargarse y ejecutarse bajo demanda.

Cómo funciona Trickbot

• Los ciberdelincuentes reciben una base de datos de correos electrónicos robados y envían documentos maliciosos a las direcciones elegidas.

• El usuario descarga y abre dicho documento, permitiendo su ejecución en el proceso.

• Se ejecuta la primera etapa del malware y se descarga la carga útil principal.

• La carga útil principal del troyano se ejecuta y establece su persistencia en el equipo infectado.

• Los módulos auxiliares de Trickbot pueden ser cargados en el ordenador infectado a petición de los ciberdelincuentes; la funcionalidad de dichos módulos puede variar: puede ser la propagación a través de una red corporativa comprometida, el robo de credenciales corporativas, la obtención de datos de acceso a webs bancarios, etc.

«Las estadísticas de Trickbot han sido sorprendentes. Hemos documentado más de 140.000 ataques dirigidos a los clientes de algunas de las mayores y más reputadas empresas del mundo. Seguimos observando que los ciberdelincuentes tienen la habilidad de abordar el desarrollo de malware desde un nivel muy bajo y prestar atención a los pequeños detalles. Trickbot ataca a víctimas de alto perfil para robar las credenciales y proporcionar a sus operadores acceso a los portales con datos sensibles donde pueden causar aún más daño. Al mismo tiempo, sabemos que los ciberdelincuentes que están detrás de la infraestructura también tienen mucha experiencia en el desarrollo de malware a alto nivel. La combinación de estos dos factores es lo que permite que Trickbot siga siendo una amenaza peligrosa desde hace más de 5 años. Recomiendo encarecidamente a los usuarios que sólo abran documentos de fuentes fiables y que utilicen diferentes contraseñas en distintos sitios web», destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Consejos de seguridad

1. Abrir sólo los documentos que se reciben de fuentes de confianza. No se debe habilitar la ejecución en macro dentro de los documentos.

2. Hay que asegurarse de tener las últimas actualizaciones del sistema operativo y del antivirus.

3. En los distintos sitios web, utilizar contraseñas diferentes.

Apéndice – Listado de empresas afectadas

Check Point Software ofrece protección Zero-Day a través de su red, la nube, los usuarios y las soluciones de seguridad de acceso. Tanto si está en la nube, en el centro de datos o en ambos, las soluciones de seguridad de red de Check Point Software simplifican su seguridad sin afectar al rendimiento de la red, proporcionan un enfoque unificado para agilizar las operaciones y le permiten escalar para un crecimiento empresarial continuo. Quantum proporciona la mejor protección zero-day a la vez que reduce la sobrecarga de seguridad.

La entrada 140.000 equipos infectados por Trickbot desde noviembre de 2020 se publicó primero en Technocio.

Una nueva encuesta de Check Point Software muestra que el 26% de las empresas no dispone de una solución para endpoints que pueda detectar y detener automáticamente los ataques de ransomware.

Check Point Software Technologies Ltd. presenta los resultados de una nueva encuesta llevada a cabo entre 1.200 profesionales de la ciberseguridad de todo el mundo, en la que examina cómo el trabajo remoto ha modificado las prácticas de protección de las organizaciones en relación con los usuarios, los dispositivos y los accesos. A medida que el panorama de las amenazas evoluciona y los ciberataques son cada vez más sofisticados, sorprendentemente muchas empresas no han implementado soluciones de seguridad para los empleados remotos.

La pandemia del COVID-19 ha cambiado para siempre la forma en que se trabaja, y aunque muchas empresas han adoptado el trabajo a distancia, en lo que respecta a la seguridad todavía hay muchas lagunas que deben ser subsanadas. Las compañías se enfrentan al reto de encontrar un equilibrio entre la productividad de los trabajadores en líneas y la invulnerabilidad de los dispositivos, el acceso y los activos corporativos.

Según Check Point Software, hay cinco soluciones de seguridad necesarias para proteger a los usuarios remotos contra los ataques, que incluyen el filtrado de URL, la reputación de URL, el desarme y la reconstrucción de contenidos (CDR), el zero phishing y la protección de credenciales. Sin embargo, sólo el 9% de las empresas encuestadas utiliza las cinco protecciones y el 11% no utiliza ninguno de los métodos enumerados para asegurar el acceso remoto a las aplicaciones corporativas.

Los resultados más importantes a nivel mundial son:

• La brecha de seguridad en el acceso remoto: el 70% de las compañías permite el acceso a las aplicaciones corporativas desde los dispositivos personales, tales como los que no están controlados o los que se traen sus propios dispositivos (BYOD). Solo el 5 % de los encuestados afirma que utiliza todos los métodos de seguridad de acceso remoto recomendados.

• Necesidad de garantizar la protección en el acceso a Internet: el 20% de los encuestados afirma no utilizar ninguno de los cinco métodos mencionados para proteger a los trabajadores remotos mientras utilizan la red, y sólo el 9% utiliza los cinco métodos para protegerse de los ciberataques basados en internet.

• Falta de defensa contra el ransomware: el 26% de los consultados no dispone de una solución para endpoints que pueda detectar y detener automáticamente los ataques de ransomware. El 31% no utiliza ninguno de los métodos mencionados para evitar que los datos empresariales sensibles se filtren fuera de la organización.

• Seguridad del correo electrónico y de los dispositivos móviles: sólo el 12% de las entidades que permiten el acceso corporativo desde dispositivos móviles utilizan una solución de defensa contra amenazas móviles. Esto pone de manifiesto lo expuestas que están las empresas a los ciberataques de quinta generación que se dirigen a los trabajadores que trabajan a distancia.

«Aunque muchas compañías han adoptado los nuevos modelos de trabajo híbrido y remoto, no han incluido todas las soluciones críticas necesarias para asegurar a su personal que ahora está teletrabajando. Esta encuesta confirma que las organizaciones tienen una brecha cuando se trata de usuarios, dispositivos y seguridad de acceso», destaca Eusebio Nieva, director técnico de Check Point Software para España y Portugal. «Para salvar esta brecha, las compañías deberían progresar hacia una arquitectura Secure Access Service Edge (SASE). Los modelos SASE proporcionan un acceso rápido y sencillo a las aplicaciones corporativas, para cualquier usuario y desde cualquier dispositivo, y protegen a los empleados remotos de todas las amenazas de Internet».

En 2021, los investigadores han observado un aumento del 50% de ataques por semana en las redes corporativas. A medida que los ciberataques se vuelven más sofisticados y explotan el entorno de trabajo remoto, las empresas necesitan una solución de ciberseguridad consolidada que refuerce sus defensas y mejore su agilidad contra los ataques. Check Point Harmony es una solución de protección unificada para usuarios, dispositivos y accesos. La solución proporciona a las organizaciones una protección integral y robusta para la plantilla, al unificar 5 productos de seguridad que proporcionan una protección completa para los usuarios remotos, todo ello en una única herramienta fácil de usar, gestionar y comprar.

Para más información sobre los resultados de la encuesta: 2022 Workforce Security Report.

La entrada El 70% de las compañías permite acceder a aplicaciones corporativas desde dispositivos personales se publicó primero en Technocio.

CPR decidió investigar a OpenSea tras observar informes de robo de criptocarteras online.

CPR ha demostrado que era posible sustraer las criptocarteras de los usuarios aprovechando las vulnerabilidades de seguridad críticas encontradas en la plataforma de OpenSea.

Durante las últimas semanas, los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies Ltd. han detectado varios casos de usuarios tuiteados sobre la pérdida del saldo de su cartera de criptomonedas tras recibir un mensaje con un enlace ofreciendo un regalo del marketplace OpenSea.

OpenSea es el mayor mercado actual peer-to-peer para cripto coleccionables y tokens no fungibles, también conocidos como NFT. OpenSea llegó a registrar 3.400 millones de dólares en volumen de transacciones solo en agosto de 2021, y ha crecido hasta convertirse en el mayor mercado de tokens no fungibles del mundo.

El hecho de que las criptomonedas no estén reguladas en muchos países del mundo deja a estos monederos de los consumidores como un objetivo atractivo para los ciberdelincuentes. De hecho, últimamente, han surgido varios informes que afirman que algunas carteras digitales de diferentes compradores han desaparecido, lo que ha hecho que los coleccionistas pierdan cientos de miles de dólares en NFT. Los informes especulaban con que el ataque podía comenzar tras recibir un mensaje con un regalo gratuito de un desconocido, o un enlace a OpenSea:

En los informes se teorizaba, además, con que al aceptar dicho regalo o pulsar el enlace a OpenSea, el receptor perdía todas sus criptomonedas. Este ejemplo, junto con otros que informaron de diferentes estafas dentro de este mercado, ha motivado a los investigadores a buscar y encontrar vulnerabilidades dentro de la plataforma, que podrían haber permitido a los ciberdelincuentes a secuestrar las cuentas y robar las criptomonedas de las carteras digitales.

Desde Check Point Research fueron capaces de identificar fallos de seguridad críticos en OpenSea, demostrando que una NFT maliciosa podría utilizarse para secuestrar cuentas y robar estos monederos. La explotación exitosa de las vulnerabilidades habría requerido los siguientes pasos:

• El atacante crea y regala una NFT maliciosa a la víctima.

• La víctima ve la NFT maliciosa, lo que desencadena una ventana emergente del dominio de almacenamiento de OpenSea, solicitando la conexión a la cartera de criptomonedas (este tipo de ventanas emergentes son comunes en la plataforma en otras actividades).

• Tras hacer clic para conectar su billetera, con el fin de realizar una acción en la NFT regalada, permitiendo así el acceso al monedero.

• El ciberdelincuente puede obtener el dinero de la cartera activando una ventana emergente adicional, que también se envía desde el dominio de almacenamiento de OpenSea. El usuario está obligado a pinchar en la ventana emergente, si no se da cuenta de la nota en la misma que describe la transacción.

• El resultado final podría ser el robo de toda la cartera de criptomonedas del usuario.

«Nuestro interés en OpenSea surgió cuando vimos que se hablaba de carteras de criptomonedas robadas en Internet. Especulamos sobre la existencia de un método de ataque en torno a OpenSea, así que iniciamos una investigación exhaustiva de la plataforma. El resultado fue el descubrimiento de un método para robar las criptocarteras de los usuarios, simplemente enviando una NFT maliciosa a través de la misma. Inmediatamente y de forma responsable revelamos nuestros hallazgos a OpenSea, que rápidamente trabajó con nosotros para desplegar una solución. Creo que los datos de nuestra investigación, y la rápida actuación de OpenSea, evitarán los robos de carteras de criptomonedas de los usuarios”, explica Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point Software.

“La innovación de la cadena de suministro (blockchain) está en pleno desarrollo y las NFT están aquí para quedarse. Dado el enorme ritmo de la innovación, existe un desafío inherente a la integración segura de las aplicaciones de software y los mercados de criptomonedas. La comunidad de ciberseguridad debe dar un paso adelante para ayudar a las tecnologías pioneras de blockchain a proteger los criptoactivos de los consumidores. Advertimos seriamente a la comunidad de OpenSea que esté atenta a las actividades sospechosas que puedan conducir al robo”, concluye Vanunu.

Check Point Research comunicó a OpenSea de forma inmediata y responsable sus hallazgos detectados el pasado 26 de septiembre. En menos de una hora después de la notificación, OpenSea solucionó el problema y verificó la solución. CPR trabajó estrechamente y en colaboración con su equipo para garantizar que la solución funcionara correctamente. OpenSea se mostró muy receptivo y compartió los archivos svg que contenían objetos iframe de su dominio de almacenamiento, para que CPR pudiera revisarlos juntos y asegurarse de que todos los vectores de ataque estuvieran cerrados.

Declaración de OpenSea:

«La seguridad es fundamental para OpenSea. Apreciamos que el equipo de CPR nos informara de esta vulnerabilidad y colaborara con nosotros mientras investigábamos el caso e implementábamos una solución una hora después de que se nos informara. Estos ataques se basaban en que los usuarios autorizaran la actividad maliciosa a través de un proveedor de monederos de terceros, conectando su cartera aportando una firma para la transacción maliciosa. No hemos podido identificar ningún caso en el que se haya explotado esta vulnerabilidad, pero estamos actuando directamente con los monederos de terceros que se integran en nuestra plataforma para ayudar a los usuarios a identificar mejor las solicitudes de firma maliciosas, así como otras iniciativas para que los usuarios puedan frustrar las estafas y los ataques de phishing con mayor eficacia. También estamos redoblando la educación de la comunidad en torno a las mejores prácticas de seguridad y hemos puesto en marcha una serie de posts en el blog sobre cómo mantenerse a salvo en la web. Animamos tanto a los nuevos miembros como a los veteranos a leer esta serie. Nuestro objetivo es capacitar a la comunidad para detectar, mitigar y denunciar ataques en el ecosistema blockchain, como el demostrado por CPR”.

Cómo protegerse frente a estos ciberataques

Los investigadores de Check Point Research recomiendan extremar las precauciones cuando se reciban solicitudes para firmar su cartera online. Antes de aprobar una solicitud, se debe revisar cuidadosamente lo que se solicita, y considerar si la solicitud es anormal o sospechosa. En caso de tener alguna duda, conviene rechazar la solicitud y examinarla más a fondo, antes de dar dicha autorización.

La entrada Check Point Software evita el robo de carteras de criptomonedas en OpenSea se publicó primero en Technocio.

Contar con diferentes combinaciones en cada cuenta, valerse de un gestor de contraseñas o implantar la autenticación en dos pasos: las normas básicas para mantener a salvo nuestras contraseñas

Cada año, el primer jueves de mayo, se celebra el Día Mundial de la Contraseña, que en este 2021 de trabajo remoto generalizado cobra aún más relevancia. Muchos usuarios tienen la falsa creencia de que un ciberdelincuente no tiene por qué tener ningún interés en su persona o su equipo.  Por este motivo, Check Point® Software Technologies Ltd. quiere recordar en esta fecha la importancia de la educación en ciberseguridad y el uso eficaz de las contraseñas.

El aumento del trabajo en remoto eleva notablemente las posibles brechas de seguridad en una empresa y, es por esta razón que la robustez y firmeza de las claves de acceso son más importantes que nunca. Las contraseñas continúan siendo el sistema más utilizado para mantener a salvo los datos personales o para permitir el acceso a un servicio, tanto personal como profesionalmente y, por tanto, un blanco claro para los ciberdelincuentes. Check Point Software quiere alertar sobre las principales tácticas que utilizan para robar contraseñas y aportar los consejos necesarios para evitar que cualquier persona o empresa se convierta en su víctima:

• Ataque de phishing o suplantación de identidad: esta metodología se ha convertido en una de las herramientas más utilizadas para el hurto de contraseñas y nombres de usuario. Su funcionamiento es sencillo: enviar un correo electrónico que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que, en realidad, pretenden manipular al receptor para robar información confidencial. En este sentido, una de las mejores recomendaciones es optar por habilitar la autenticación de dos pasos. Esta capa de seguridad extra solicita al usuario introducir una segunda clave que, por lo general, llega a través de un SMS. De esta forma, se evita el acceso a una cuenta incluso aunque tengan información previa de sus credenciales.

• Por fuerza bruta o con el diccionario del hacking: este tipo de ciberataque consiste en intentar descifrar una contraseña mediante la repetición, literalmente a base de ensayo y error. Los ciberdelincuentes prueban distintas combinaciones al azar, conjugando nombres, letras y números, hasta que dan con el patrón correcto. Para impedir que logren su objetivo, es imprescindible implantar una clave complicada para ponérselo difícil. Para ello, es necesario dejar de lado nombres, fechas o palabras muy comunes. En su lugar, lo más recomendable es crear una consigna única de al menos ocho caracteres que combine letras (tanto mayúsculas como minúsculas), números y símbolos.

• Keyloggers: estos programas son capaces de permitir registrar cada tecleo que se realiza desde un ordenador e incluso lo que se ve en la pantalla para, a continuación, enviar toda la información registrada (contraseñas incluidas) a un servidor externo. Estos ciberataques suelen ser parte de algún tipo de malware ya presente en el equipo. Lo peor de estos ataques es que, muchas personas suelen utilizar la misma clave y usuario para diferentes cuentas, y una vez vulnerado uno, el ciberdelincuente llega a tener acceso a todos los que tienen la misma. Para frenarlos es fundamental usar una única opción en cada uno de distintos perfiles. Para ello, se puede emplear un gestor de contraseñas, que permiten tanto administrar como generar diferentes combinaciones de acceso robustas para cada servicio basadas en las pautas decididas.

“A la hora de garantizar el máximo nivel de ciberseguridad, es igual de relevante contar con las tecnologías más avanzadas como prevenir riesgos como el robo de contraseñas”, señala Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point. “Tanto el phishing, como los Keylogger son dos tipos de ataques que se emplean en cientos de dispositivos. Este riesgo puede remediarse fácilmente configurando combinaciones variadas y robustas de 8 caracteres que como mínimo que intercalen letras, símbolos y signos de puntuación. De esta forma, los cibercriminales tendrán mucho más difícil adueñarse de las claves y garantizaremos el más alto nivel de seguridad en nuestros equipos”, concluye Amador.

La entrada Check Point Software explica cómo evitar el robo de contraseñas se publicó primero en Technocio.

La nueva solución, totalmente automatizada, permite a las empresas proteger todas sus aplicaciones nativas en cloud contra ataques conocidos y de día cero, utilizando la tecnología de IA que supera los WAF tradicionales

Check Point® Software Technologies Ltd. ha ampliado las capacidades de su plataforma CloudGuard, dedicada a la seguridad de aplicaciones nativas en la nube. Para ello, la compañía lanza CloudGuard Application Security (AppSec), una solución de protección de aplicaciones web nativas en cloud y API totalmente automatizada que proporciona a las empresas protección contra ataques conocidos y de día cero. CloudGuard AppSec, que forma parte de las soluciones de CloudGuard Workload Protection, elimina la necesidad de ajuste manual y la alta tasa de alertas falsas asociadas a los firewalls de aplicaciones web (WAF) antiguos, usando la inteligencia artificial para evitar que los ciberataques afecten a las aplicaciones en la nube.

Los WAFs basados en reglas no pueden alcanzar la velocidad de evolución actual de las aplicaciones nativas cloud, por lo que las brechas en las aplicaciones web se duplicaron en 2020. Estos enfoques de primera generación dependen de las amenazas de firmas y de un complejo ajuste manual de las reglas. El problema se magnifica a medida que las empresas ejecutan aplicaciones en contenedores: un estudio sobre el uso de estos contenedores en 2020 reveló que el 49% están activos durante menos de 5 minutos, y el 21% no llega a los 10 segundos. Estos cambios tan rápidos hacen que los WAFs de versiones heredadas produzcan una sobrecarga de falsos positivos, lo que muchas veces obliga a los responsables de seguridad a mantener estas soluciones en estado de “solo alerta”.

«Cada vez más, las aplicaciones web son objetivo de los delincuentes, pero los WAF tradicionales no pueden seguir la velocidad a la que cambian las aplicaciones en la nube hoy en día y exigen una gestión manual constante, lo que deja a las organizaciones peligrosamente expuestas a los ataques y a las brechas», señala TJ Gonen, Head of Cloud Product Line en Check Point Software. «Nuestra estrategia es ayudar a las empresas a asegurar sus cargas de trabajo más críticas -sus aplicaciones y datos- con una plataforma unificada que las protege todas, incluyendo las funciones sin servidor y los contenedores, desde el código hasta el tiempo de ejecución de la aplicación, todo ello a la velocidad de DevOps. CloudGuard AppSec automatiza la seguridad de las aplicaciones, sin prácticamente necesidad de gestión, en cualquier entorno o infraestructura de la nube.»

«Proteger las cargas de trabajo y las aplicaciones en la nube requiere un conjunto holístico de capacidades», explica Frank Dickson, vicepresidente de Programa de Security & Trust de IDC Research. «Sin embargo, el camino hacia la protección de las cargas de trabajo comienza con la seguridad de las aplicaciones web y las API. Check Point aborda esta necesidad de seguridad integrada de las aplicaciones y demuestra su perspicacia en la nube con la introducción de la nueva capacidad de CloudGuard que incluye la seguridad automatizada de las aplicaciones».

Las funciones de CloudGuard AppSec son:

• Protección continuada para las aplicaciones conforme van evolucionando: CloudGuard AppSec bloquea los ataques a las aplicaciones, desfiguración del sitio, la fuga de información, el secuestro de la sesión del usuario y los 10 principales riesgos de seguridad de las aplicaciones web de OWASP. El motor de IA de la solución se adapta continuamente a los cambios de las aplicaciones y se auto actualiza para garantizar una seguridad constante.

• Prevención avanzada de ataques a APIs: a medida que las aplicaciones evolucionan, crean y exponen más APIs. CloudGuard AppSec bloquea automáticamente a los ciberdelincuentes que aprovechen las API para exponer datos sensibles, inyectar comandos o extraer claves de API.

• Protección automática ante bots: CloudGuard AppSec utiliza el análisis del comportamiento para distinguir entre las interacciones humanas y las no humanas con las aplicaciones. Así evita los ataques de fuerza bruta y el scraping de sitios, y ofrece una protección personalizable para gestionar los bots web no maliciosos.

«Necesitábamos proteger nuestra aplicación y los datos que procesa en nuestro complejo y dinámico entorno de Google Kubernetes», comentó Mark Unak, CTO de Harqen.ai. «Gracias a la solución de seguridad de aplicaciones CloudGuard de Check Point, ahora tenemos la mejor prevención automatizada contra las amenazas de seguridad más avanzadas de Internet».

La entrada Check Point Software lanza CloudGuard Application se publicó primero en Technocio.

Una organización en América Latina está siendo atacada 731 veces por semana, en comparación con 489 ataques por organización a nivel mundial

El 75% de los expertos en ciberseguridad temen un aumento de los ciberataques en la nueva realidad que combina trabajo presencial y teletrabajo

Check Point® Software Technologies Ltd. dio a conocer el estado actual de la seguridad cibernética junto con el actual impacto de la pandemia en los entornos TI, además de las predicciones y los aprendizajes para las industrias, empresas y usuarios finales en este mundo hiperconectado.

Ramón Ray Jiménez, Regional Vice President, Sales & Operations de Latinoamérica y Francisco Robayo Head of Engineering Latin America, de Check Point Software Technologies, analizaron las claves de la ciberseguridad en la nueva realidad de trabajo mixto (presencial y teletrabajo) posterior a la pandemia, los principales riesgos asociados y retos que tienen ante sí las empresas.

“La nueva realidad de trabajo mixto es una situación completamente novedosa para el entorno corporativo, por lo que nos encontramos en una fase de adaptación a este nuevo entorno,” afirma Ray Jiménez. “En líneas generales las empresas no están preparadas para hacer frente a los retos y peligros que supone la combinación del trabajo presencial y telemático.”

En este camino a la nueva realidad, “las prioridades de las empresas no sólo deben centrarse en implementar las herramientas y métodos de trabajo que permitan mantener su negocio activo, sino que estos procesos deben ir acompañados de una estrategia de ciberseguridad consolidada, hiper escalable y enfocada en la accesibilidad y movilidad de los datos”, destacó Ray Jiménez.

Los desafíos son varios para las empresas en América Latina al igual que para las diferentes industrias de negocio, que entre las más afectadas se destacan gobiernos, infraestructuras críticas, instituciones de salud, proveedores de servicios y por supuesto los usuarios finales. Justamente las organizaciones en América Latina están siendo atacadas 731 veces por semana, en comparación con 489 ataques por organización a nivel mundial, lo que permite pensar en una acelerada necesidad por una postura de prevención de parte de las empresas, en este caso Prevención NO Detección, lema de Check Point.

Una encuesta realizada a más de 270 profesionales en el sector tecnológico, la cual arrojó que el 79% de las compañías en el mundo, tiene como principal prioridad reforzar sus niveles de ciberseguridad y prevenir ciberataques, puesto que 3 de cada 4 expertos en ciberseguridad temen un aumento de amenazas como consecuencia de la nueva modalidad mixta de trabajo presencial y en remoto.

Panorama latinoamericano de desafíos cibernéticos

Francisco Robayo, Head of Engineering Latin America, señaló los principales desafíos para Latinoamérica donde Emotet es el principal malware en estas naciones de acuerdo a las investigaciones de Check Point.

Como consecuencia del nuevo escenario hacia el que las empresas Latinoamericanas se dirigen, las vías de comunicación son uno de los principales canales a securizar, no sólo en el caso de uso de aplicaciones de videollamada, sino también en servicios corporativos como el mail. De hecho, desde Check Point advierten que en un 46% de los ataques que han sufrido las empresas durante el último mes el email ha sido el vector de ataque, lo que refleja una vez más cómo las bandejas de entrada unidos a la falta de formación y de conciencia de ciberseguridad de los empleados tienen un peso muy relevante dentro de esta ecuación.

Proteger los entornos Cloud y los dispositivos móviles, pilares básicos de la seguridad post-pandemia

Según los datos de la encuesta de Check Point, más del 86% de los participantes afirman que el mayor desafío en materia de TI durante la pandemia ha sido la migración hacia el teletrabajo, mientras que un 62% identificó los accesos en remoto a la información, seguido de la protección de los end point (52%). Por este motivo, es de primordial atención la necesidad de diseñar e implementar una estrategia de ciberseguridad basada en la proactividad y prevención de amenazas que permita proteger todos los dispositivos dentro de una red corporativa.

“En la actualidad, nos enfrentamos a la 5ª y 6ª generación de ciberamenazas, las más avanzadas de la historia, que destacan por ser multivectoriales, capaces de propagarse a gran escala y lo suficientemente sofisticadas como para evadir las principales medidas de seguridad. señala Francisco Robayo. “En este sentido, uno de los principales objetivos de los cibercriminales se centra en la nube, una tecnología que emplea más del 90% de las empresas en todo el mundo, así como los dispositivos móviles. Es fundamental que las compañías entiendan que el campo de ataque que los cibercriminales tienen disponible ha aumentado, por lo que contar con herramientas de ciberseguridad capaces de hiper escalar y ofrecer nuevas capas de protección para más dispositivos y puntos de conexión es fundamental”, reitero Robayo.

Es en este contexto es que el 75% de las empresas en el mundo señalan que la migración a la nube pública es una de sus principales preocupaciones y retos. A partir de estos datos es que los expertos Check Point señalaron las cuatro principales vulnerabilidades de la nube pública: Mala configuración (68%), acceso no autorizado (58%), interfaces inseguras (52%) y secuestro de cuentas (50%).

La entrada Check Point Software alerta sobre “La nueva normalidad” para la próxima crisis global: la ciber pandemia se publicó primero en Technocio.