Fran 🐝 Brizzolis

hace 4 años · 11 min. de lectura · visibility ~100 ·

chat Contactar con el autor

thumb_up Relevante message Comentar

Insiders – Outsiders: Los peores ataques suelen venir desde dentro, o bien desde fuera, vinculados a personas de nuestra confianza, pero casi siempre vendrán cuándo, y desde dónde y quién menos te lo esperes

Insiders – Outsiders:  Los peores ataques suelen venir desde dentro, o bien desde fuera, vinculados a personas de nuestra confianza, pero casi siempre vendrán cuándo, y desde dónde y quién menos te lo esperesGANA UN CHEQUE REGALO ZARA

UN CHEQUE REGALO ZARA DE

VES



ec6fd6e9.jpg   

Un gran error que cometen muchas empresas es asegurar su perímetro con el pensamiento de que los ataques se originarán siempre de forma a externa a su red. Pero existe la posibilidad de que ataques intencionados o no intencionados se produzcan por diversas situaciones desde el interior de la propia empresa.


Un “insider” es una persona que posee gran conocimiento de una empresa porque trabaja o trabajó en ella, y que, por su situación actual en relación a la empresa, busca cierta venganza. Esta persona es capaz de realizar acciones como el cambio de credenciales importantes, un uso inadecuado de dispositivos, etc.


Cuando nos referimos a una amenaza interna estamos hablando de un compromiso de credenciales y sistemas por parte de una entidad externa. En este caso, un empleado que no pertenece a nuestra empresa, pero que tiene acceso a la misma por algún motivo, un empleado de una subcontrata, personal que realiza los mantenimientos, etc.; ejecuta acciones que podrían perjudicarnos, como la introducción de malware dentro de la red, cambio de credenciales sin los permisos pertinentes, etc.


La motivación de estas acciones, realizadas por empleados descontentos o por amenazas internas, puede ser:


Dinero: El atacante está motivado por la posibilidad de obtener una suma de dinero por las acciones que va a realizar.


Espionaje industrial: Puede darse el caso de que las acciones realizadas estén motivadas por otra empresa de la competencia para obtener información privilegiada de sus procesos.


Venganza: En este caso, el descontento suele ser la mayor motivación. Un despido en el que las 2 partes no están de acuerdo o problemas con los compañeros de trabajo, pueden motivar a que un exempleado realice acciones perjudiciales para la empresa de la que ha sido despedido. El exempleado no busca ganancias económicas ni favorecer a otras empresas, simplemente quiere que las cosas dejen de ir bien para la empresa que le ha despedido.


Distracción: Una amenaza interna puede originarse como distracción para realizar otras acciones maliciosas y evitar que el objetivo principal de la operación sea desvelado.


Desconocimiento. Puede darse el caso de que un empleado deje públicos unos servicios que no deberían serlo o realice acciones sin conocer a fondo sus efectos.


Detección y protección frente a estas amenazas

Dada la naturaleza de estas amenazas, su detección es bastante compleja ya que pocas veces las empresas pueden imaginarse un ataque originado desde el interior de sus sistemas. En muchos sitios el uso de vigilancia con cámaras tampoco está permitido. Entonces, ¿podríamos anticiparnos a un ataque de este tipo o protegernos frente al mismo? La respuesta es que no podemos protegernos al cien por cien, pero sí podemos poner medidas para evitarlos. En base a controles que pueden encontrarse en normas como la ISO 27001, se han clasificado los siguientes consejos o buenas prácticas a realizar para detectar y proteger nuestra empresa de un posible “insider”.


Detección

Uso de software para la detección de anomalías en la red. Monitorizar a los usuarios no es una buena práctica, pero la monitorización de la red en la que se encuentran permite detectar los intentos de conexión sospechosos.


Encuestas de satisfacción. La realización de este tipo de encuestas puede ayudar a detectar empleados que no están contentos dentro de la empresa, permitiendo mejorar su situación o al menos hablar con ellos sobre el problema que tengan.


Inventario de activos. Un inventario de activos actualizado proporciona un mayor control sobre los activos pertenecientes a la empresa y permite detectar de forma rápida robos o desapariciones.


Protección

Uso de antivirus y listas blancas. Con el uso de estas medidas podremos evitar la ejecución de malware y la instalación de programas que no deberían estar presentes en determinados dispositivos.


Gestión de roles y usuarios. El control de usuarios es muy importante ya que, si una persona es despedida, la baja de su perfil dentro de la empresa evitará el acceso a los sistemas. Del mismo modo, una buena gestión de roles evita que los usuarios tengan acceso a ciertas partes del sistema y que no puedan realizar todo tipo de acciones sin control alguno. En esta parte se podría aplicar el principio del mínimo privilegio por el cual se dotaría a los empleados sólo de los privilegios básicos que necesitan para desempeñar sus tareas dependiendo de su cargo dentro de la empresa y de sus responsabilidades.


Cortafuegos y proxy de navegación. Para evitar conexiones anómalas originadas internamente hacía el exterior (navegaciones por Internet fuera de lo normal, uso de puertos no permitidos, etc.), el uso de cortafuegos con filtros de navegación o proxy (proxy inverso) ayudará a que los empleados no puedan realizar ciertas acciones.


Uso de DLP (Data Leak/Loss Prevention) y UAM (User Activity Monitoring). Para evitar la pérdida de datos y las actividades de acceso a sitios no permitidos por parte de algún usuario a través de un proxy de navegación. Al igual que en el punto anterior, estas medidas servirán como protección frente a actividades anómalas e intentos para filtrar datos.


Casos Reales

Uno de los casos más conocidos sobre empleados descontentos es el sucedido en la planta de tratamiento de aguas de Maroochy, en Australia. En este caso, el empleado descontento utilizó un ordenador portátil provisto con un software de control adecuado y un módem de radio. La forma de acceder al sistema consistía en conectar el ordenador al sistema de estación de bombeo tratando de no ser detectado. El resultado de estas intrusiones fueron litros y litros de aguas residuales vertidas en ríos y parques, además de la pérdida de imagen de la empresa encargada de gestionar el alcantarillado. El empleado fue condenado a 2 años de cárcel por el acceso ilegal al sistema de control de alcantarillado del Condado, práctica que realizaba por el descontento que tenía tras ser despedido de la empresa para la que trabajaba.


Un inventario de activos actualizado con la información relevante de los dispositivos en uso, la eliminación de usuarios del sistema cuando la relación contractual cesa, una revisión de permisos al realizar un cambio de departamento y un control de las comunicaciones vía radio serían algunas medidas que podrían haber evitado este problema en la planta de tratamiento de aguas de Maroochy.


Otro caso, esta vez más reciente (Febrero 2017), fue el ocurrido en la fábrica de papel “Georgia Pacific paper” de Louisiana, donde un empleado fue condenado a 34 meses de cárcel por manipular el sistema informático de la empresa tras ser despedido, causando pérdidas por valor de 1,1 millones de dólares al provocar múltiples fallos en el sistema y originando latencias en la producción. El exempleado tenía un amplio conocimiento de los sistemas presentes en la planta de producción y trabajó alrededor de 15 años escribiendo código para las máquinas que fabricaban el papel. Aunque la pérdida de dinero fue cuantiosa, podía haber sido peor: el empleado podía haber manipulado el proceso de producción de papel, originando diferentes impactos como son un producto defectuoso, fallo de equipamiento o problemas medioambientales al verter material tóxico.


Controlar las comunicaciones externas a los sistemas de la empresa mediante el uso de cortafuegos y la configuración de VPN asociadas a cada empleado para tener un control de quién se conecta al sistema. Sumado a esto, la eliminación de las cuentas de usuario cuando finaliza el contrato o al realizar un cambio de departamento hubiesen sido medidas suficientes para evitar el ataque. En este caso, el cambio de credenciales periódico en los dispositivos no hubiese podido mitigar el ataque puesto que se realizó inmediatamente tras ser despedido y no al cabo de un tiempo.


Departamentos aislados, contraseñas en los ordenadores y archivos encriptados son algunas de las prudencias que una organización debe tener para impedir que sus propios empleados roben documentación sensible.


Las ciberamenazas están continuamente presentes en el día a día de las empresas. Por ello, los directivos son cada vez más conscientes e intentan tomar todas las medidas que sean necesarias para evitar un hack externo. ¿Pero qué pasa si el hacker actúa utilizando un intermediario? Las amenazas no sólo se pueden planear desde el exterior, sino que es posible atacar desde dentro si la empresa no está bien organizada. Y qué mejor intercesor que un empleado de la propia compañía.


Cualquier trabajador –por razones desconocidas- podría colaborar con un ciberdelincuente para robar documentos confidenciales o legales. Sólo se tendría que proveer al empleado de un USB cargado de malware, el cual está diseñado para extraer información del sistema deseado. El asalariado espera a que el ordenador objetivo esté despejado, introduce el pendrive para insertar el programa malicioso y obtiene todos los archivos ansiados.


Este ataque no debería de ocurrir si una organización está bien estructurada en cuanto a seguridad. Para empezar, los departamentos donde se tengan información delicada deben estar aislados y fuera de alcance de cualquiera que no forma parte de ellos. Se puede poner, por ejemplo, una puerta con seguro para que solo aquellos que trabajan allí puedan acceder a ese espacio. También, es importante que los ordenadores estén programados para que, si no se utilizan, la sesión se apague y sea necesaria una contraseña para volver a entrar.


Por supuesto, los departamentos de las compañías deberían estar preparadas para poder detectar si alguien está copiando, descargando o eliminando documentación importante. Además, se debe requerir una contraseña cuando se quiera manipular algunos de esos archivos sensibles. Aun así, nadie debería ser capaz de utilizar el almacenamiento USB ya que se controla fácilmente con una apropiada configuración de Windows. Y, cuando se permita el uso, todos los datos escritos en la unidad USB deben estar encriptados. De esta manera, el acceso a esos archivos sería difícil o imposible.


En los últimos tiempos, los hackers también han aprovechado las redes sociales para llevar a cabo estafas, conseguir datos e información de usuarios o preparar ataques ‘dirigidos’. Algunas de ellas han sido la del perfil falso de Zara en Facebook, la de los mensajes directos de Twitter o las estafas a través de WhatsApp.


66040d92.jpg


Los expertos en seguridad recomiendan seguir siempre estos puntos, y yo también os lo recomiendo, es algo que deberíamos convertir en una rutina, sin paranoias ni malos rollos, los ciberataques son algo habitual, y debemos concienciarnos ante la posibilidad real de que podemos sufrirlos, sin que eso nos meta el miedo en el cuerpo hasta el punto de “volvernos desconfiados y solitarios”. Siempre la “buenas prácticas” nos evitarán muchos disgustos.


1. Comprobar si un perfil es auténtico. Para ello se puede por ejemplo ver si en Facebook un perfil tiene excesivos amigos –los perfiles falsos tienen 5 veces más amigos que los normales– o si se trata de una empresa, si el perfil ha sido creado hace pocos días.


2. No dar ningún dato personal. No basta con no decir cuál es el número de cuenta bancaria, sino también hay que ser muy cuidadoso con los números de teléfono, los datos de la compañía en la que se trabaja… Los hackers aprovechan los datos que tienen por ejemplo para enviar supuestos mails de empresa que infectan ordenadores y provocan pérdidas millonarias.


3. En caso de que se descubra un perfil falso, es importante denunciarlo y avisar a otros usuarios.


4. Las soluciones de prevención de amenazas son imprescindibles, y el software debe estar siempre actualizado para evitar vulnerabilidades.


5. Estar muy atentos a la información que se comparte porque los cibercriminales pueden descubrir las preguntas de control de distintas webs, como por ejemplo tu equipo de fútbol preferido o el nombre de tu perro, para restablecer una contraseña y tener acceso a las cuentas.


Debido a que actualmente es muy común el uso de las redes sociales, los atacantes recientemente han recurrido a hacer uso de las mismas para ejecutar diversos ataques.


Las redes sociales son un vector muy grande de ataque, y es cada vez más difícil encontrar personas que no están utilizando las redes en un entorno empresarial.


En la actualidad existen diferentes amenazas que atentan contra las distintas redes sociales y cada día se desarrollan nuevos ataques en contra de las mismas.


Una amenaza relacionada con Facebook consistió en un correo electrónico por medio del cual se les informaba a los usuarios de un supuesto cambio de contraseña de su cuenta. El correo indicaba que debido a que la contraseña del usuario es insegura, ésta tuvo que ser modificada de manera automática por los sistemas de protección de la red social. En dicho correo les adjuntan la nueva contraseña y las medidas de seguridad que deben seguir y cuando descargan el archivo, el equipo del usuario se infectaba con un malware llamado Mal/Zbot-AV que fue muy usado en ataques de ingeniería social.


Otro ataque a esta red social es una invitación a los usuarios a que visiten un sitio mediante el cual podrán saber quién visita su perfil. Las indicaciones que se dan son acceder al sitio “espiaface.com” para posteriormente abrir el sitio de Facebook en una nueva ventana, tras esto se debe reemplazar en la barra de navegación la dirección de la red por cierto código. Lo que el usuario realmente no sabe es que está cargando una aplicación externa que contiene código malicioso y que hace solicitud de permisos de la cuenta del usuario con los que toma el control de la cuenta.


Lo que realiza la aplicación es enviar la invitación al evento “Averigua quién visita tu perfil” a cada uno de los contactos del usuario engañado, de esta manera la amenaza se distribuye velozmente dentro de la red social.


Otro ataque muy común, aunque no todos los usuarios se percatan de él, es el hackeo de las cuentas. A tal grado ha llegado esto que la página de Facebook de Mark Zuckeberg, creador de la compañía, fue hackeada por un fan que lo confrontó en cuanto a cómo opera el modelo de financiamiento de la red social. El atacante colocó un mensaje apócrifo, como si fuera el mismo Zuckerberg, retándolo a obtener financiamiento de los usuarios y no de capitales privados, de una forma social. Estos ataques no son raros, y se ha hablado acerca de la inseguridad de la red social, sin embargo, Facebook ignoró dichas recomendaciones diciendo que la compañía trabajaba para mantener seguros tanto a sus usuarios como a la red misma. Aunque con estos ataques queda evidenciada la inseguridad de la red.


Twitter también ha sido víctima de diversos ataques. Uno fue la distribución de un falso antivirus. Se trataba de un ataque que utilizaba el servicio de acortamiento de direcciones web de Google para ocultar el destino de los links. Los enlaces enmascarados dirigían al usuario a un dominio de máximo nivel de Ucrania que, a su vez, éste lo redirigía a una dirección IP asociada a otras estafas de software antivirus, según explicó en su día Kaspersky Lab en un blog corporativo.


Como conclusión se puede mencionar que de acuerdo con diversos estudios que han realizado las diferentes empresas de seguridad en tecnologías de la información, los medios elegidos para la distribución de malware en años anteriores e inicialmente fueron algunas redes sociales. Igualmente, los expertos están de acuerdo en que conforme la tecnología avanza, los perpetradores se están mudando a los dispositivos actuales, pasando de la computadora a los teléfonos y demás dispositivos móviles. Cabe destacar que este mismo año se ha dado el posicionamiento de falsas webs (llamado BlackHatSEO) y el aprovechamiento de vulnerabilidades zero-day.


Los programas de IA normalmente son más sencillos que los motores de búsqueda. La Inteligencia Artificial puede identificar objetos en las imágenes y sus entornos, adivinar una descripción del contenido de la imagen, así como la edad de las personas que aparecen, el género o la expresión facial. Y estas herramientas son cada vez más precisas.


Es por esto que, aunque redes sociales como Facebook, Twitter y Linkedin podrían parecer, a priori, inofensivas para los usuarios, pueden revelar una gran cantidad de información importante para un ciberdelincuente.


Los peligros que encierra el desarrollo del fraude cibernético en las redes sociales. Por ejemplo, los hackers pueden escanear un feed de Twitter para encontrar información sobre las preferencias y gustos de un empleado. Si ese mismo gerente publicase frecuentemente comentarios sobre su nuevo dispositivo móvil, el hacker podría crear una estafa de phising basada en un anuncio de producto de ese smartphone. De repente, el truco es más efectivo porque el atacante sabe que existe un interés que previamente ha verificado por las redes sociales.


El aumento de la segmentación de los medios de comunicación social y correo electrónico personal evita muchas de la red, como la exploración de email o el filtrado de URL. Uno de los aspectos más peligrosos es que el atacante está manipulando a la víctima usando ofertas de empleo o contenido ilícito, llevando a las víctimas a no revelar el incidente al equipo de seguridad de su organización.


Por supuesto, gran parte del problema es que las redes sociales son un vector muy grande de ataque. Facebook tiene 1.790 millones de usuarios y Twitter tiene 317 millones. Es cada vez más difícil encontrar personas que no están utilizando las redes en un entorno empresarial.


 ¿Son tan fáciles de hackear?

Los atacantes de redes sociales también se basan en técnicas antiguas, según confirman muchos expertos en ciberseguridad. Debido a que sitios como Facebook se consideran más un entorno de ‘consumo’ para muchos usuarios, los empleados no piensan tanto en la seguridad, por lo que no se molestan en utilizar técnicas más seguras de identificación. Además, los trabajadores suelen conceder acceso a innumerables aplicaciones de terceros que pueden no ser seguras.


Así se crea un objetivo fácil, especialmente porque los usuarios olvidan qué sitios han aprobado como capaces de publicar información, publicar en su nombre y conectarse a otros servicios. Un hacker podría no ser capaz de entrar en una cuenta de Twitter, pero sí podría tener más éxito con un panel de control que almacena sus datos de autenticación en un portal menos seguro.


Otro de los posibles ataques es tan sencillo que ya podría haber sucedido a muchos empleados. Un hacker utiliza la imagen de empleado de una red social y envía un mensaje de phising.


¿Cómo deberíamos actuar?

La mayoría de los servicios de redes sociales como Facebook y Twitter ofrecen la autenticación de dos factores, por lo que los empleados deben ser instruidos sobre cómo habilitar y utilizar esas características. Además, los trabajadores también deben ser extremadamente cuidadosos en distribuir las credenciales a sitios de terceros.


Es importante entender cómo se usan los datos hackeados. Debemos saber que esa información puede revelar un tesoro de datos sobre una empresa que puede ser utilizada por los piratas informáticos con fines nefastos. Así mismo, los usuarios deberíamos estar atentos a posibles cambios inusuales en nuestra actividad en las redes.






Referencias:

https://www.welivesecurity.com/wp-content/uploads/2014/01/documento_redes_sociales_baja.pdf

https://www.aenor.es/aenor/certificacion/seguridad/seguridad_27001.asp

https://delitosinformaticosie.blogspot.com.es/

http://tecnofor.es/que-es-un-vector-ataque-ciberseguridad

http://www.elladodelmal.com/2015/07/los-malicious-insiders-y-el-control-de.html

http://www.segu-info.com.ar/ataques/tipos.htm

https://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/

http://securityaffairs.co/wordpress/56396/cyber-crime/paper-maker-georgia-pacific-hacked.html

http://www.elmundo.es/happy-fm/2014/02/18/53039be2e2704e7e118b4579.html

http://vida20.com/atencion-engano-se-propaga-por-twitter-utilizando-mensajes-directos/

http://www.elmundo.es/f5/2016/09/13/57d7cc6ce5fdea49778bfeda.html

http://www.enigmasoftware.com/es/falso-correo-electronico-confirmacion-cambio-contrasena-facebook-contiene-troyano-bredolab/

http://www.pandasecurity.com/spain/mediacenter/malware/twitter-utilizado-para-distribuir-falsos-antivirus/

https://www.genbeta.com/seguridad/asi-es-como-han-evolucionado-el-timo-del-falso-soporte-tecnico

https://es.wikipedia.org/wiki/Black_hat_SEO

https://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero

https://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

http://www.kpmgciberseguridad.es/ciberinteligencia-en-las-redes-sociales/

http://www.redseguridad.com/especialidades-tic/ciberseguridad/modelos-y-enfoques-de-ciberseguridad-en-las-redes-sociales-virtuales



"""
thumb_up Relevante message Comentar
Comentarios

Fran 🐝 Brizzolis

hace 4 años #8

Pues si..... Pero lamentablemente debemos irnos acostumbrando a hscer back ups y tener unas buenas practicas

Fran 🐝 Brizzolis

hace 4 años #7

Te invito a que leas mi humilde homenaje....

Fran 🐝 Brizzolis

hace 4 años #6

Gracias por el share Jos\u00e9 Ram\u00f3n \ud83d\udc1d L\u00f3pez

Fran 🐝 Brizzolis

hace 4 años #5

#4
Pues sí también el aburrimiento es un vector ataque.... Ya lo dice el refrán: "Cuando el diablo no tiene nada que hacer... Con el rabo mata moscas."

Fran 🐝 Brizzolis

hace 4 años #4

#5
Ya lo sé.... Tranqui yo seguiré publicando mis cosas y dandote la vara (jajaja)... Lo haremos y lo haremos genial! Cuando se pueda. Las prioridades ahora mismo son otras como tu bien dices, y yo estoy completamente de acuerdo. Ya llegará el momento. Un abrazo Federico \ud83d\udc1d \u00c1lvarez San Mart\u00edn y gracias por tanto!

Fran 🐝 Brizzolis

hace 4 años #3

#6
Celebro que te haya gustado @Julio Angel \ud83d\udc1dLopez Lopez

Fran 🐝 Brizzolis

hace 4 años #2

#2
Graciaaas... Muchiiiiiiiiiisimas gracias!!!!.... OK por mí sin problemas, pero ese articulo hay que desarrollarlo en equipo.... Ya que sois vosotros los que teneis los datos de primera mano.

Fran 🐝 Brizzolis

hace 4 años #1

Mi humilde aportación Federico \ud83d\udc1d \u00c1lvarez San Mart\u00edn. Gracias por vuestro apoyo y seguimiento.

Más artículos de Fran 🐝 Brizzolis

Ver blog
hace 2 años · 2 min. de lectura

En continua formación

¡Hola abejas! · Como habréis podido observar, esto ...

hace 3 años · 3 min. de lectura

Cazando amenazas - ¿Sabes qué es un HONEYPOT?

¡Hola abejas!... Aquí sigo intentando recuperar el ...

hace 3 años · 3 min. de lectura

Controles imprescindibles para una buena ciberseguridad

La seguridad de la información está cada día entra ...