Inicio Nosotros Servicios Blog

Nuestro blog de ciberseguridad

Si usted es dueño de una PyME o participa en una ONG y quiere entender porqué su organización podría estar en riesgo

Lea: Los ciberataques más comunes a PyMEs y ONGs

¿Qué pasó con CrowdStrike?

El viernes 19 de Julio de 2024, cerca de 8,5 millones de sistemas Windows cayeron en uno de las más importantes "caídas de sistema" de la historia. La causa fue una actualización que contenía una falla en la configuración del software de seguridad "CrowdStrike Falcon", generando la temida "Pantalla azul de la muerte" (BSOD) en todas las máquinas afectadas. Tomando en cuenta el foco del CrowdStrike Falcon Enterprise, el impacto fue enorme, afectando numerosos sistemas críticos en diversos sectores.

Impacto global

La caídas afectaron diversas áreas incluyendo aeropuertos, hospitales, bancos, centrales de energía, agencias de noticias y organizaciones gubernamentales. Las consecuencias fueron de largo alcance:

  • Aeropuertos: Muchos aviones vieron impedido su despegue multiples países
  • Servicios de emergencia: los números de emergencia como el 911 o 999 no pudieron prestar servicios
  • Hospitales: Procedimientos médicos tuvieron que ser cancelados
  • Bancos: Miles de cajeros automáticos offline
  • Mercado de valores: El comercio detenido
  • Transporte público: Buses y trenes demorados
  • Puertos: Naves estancadas
  • Controles de aduana: Operaciones detenidas
  • Servicios Online: ICANN y otros servicios basados en Windows se vieron afectados
  • Plantas Nucleares: Se reportan impactos aún no confirmados
  • Rusia: Incluso en el gigante ruso se reportan diversos problemas relacionados

    • Enfrentado los retos de recuperación

    La tarea de restaurar los sistemas no fue algo simple, los usuarios tuvieron que iniciar en modo a prueba de fallos para borrar archivos en forma manual mientras Microsoft liberaba una herramienta que permitió crear un USB de recuperación, cada sistema afectado requirió intervención manual. En algunos casos, reiniciar las máquinas repetidas veces permitió solucionar el problema, pero esto no es en ningún caso una solución confiable.

    Caída Económica

    La demora en difundir la información para corregir el problema significó que algunas de las compañías más grandes del mundo tuvieran que detener sus operaciones, potencialmente perdiendo billones de dólares en el proceso. Reddit está lleno de historias sobre administradores de TI perdiendo sus trabajos, enfrentando amenazas legales o trabajando 24 horas tratando de restaurar sus sistemas. Muchas compañías vieron miles de sistemas afectados.

    Reacciones y Lecciones

    No sorprende que internet vió, como siempre, una tormenta de llamados a botar literalmente los productos de seguridad de CrowdStrike debido a potenciales nuevos problemas. Pero en cualquier caso, no hay que olvidar, que ha habido similares eventos que implican a otras marcas incluyendo Panda Security, Kapersky y McCafee. Irónicamente, George Kurtz, co fundador de CrowdStrike, era gerente técnico de McCafee justo en el incidente mencionado.

    Detalles técnicos

    El post-mortem inicial de CrowdStrike, identificó el problema con el archivo C-00000291*.sys, diseñado para preparar el Falcon EDR para que detectara malware aprovechando una vulnerabilidad de Windows al utilizar "Named pipes" para la comunicación C2. Desafortunadamente esta actualización causó un error de lógica a nivel del kernel de Windows provocando la temida BSOD. Tan pronto como la actualización se fue propagando, los sistemas comenzaron a fallar.

    ¿Cuáles son Los tipos de ataque más típicos hoy en día?

    1. 01. Malware
    2. 02. Denegación de servicios (DOS)
    3. 03. Phishing
    4. 04. Spoofing
    5. 05. Inyección de código
    6. 06. Ingeniería Social
    7. 07. DNS Poisoning
      8.

    Malware

    Malware o “software malicioso” es un término amplio que describe cualquier programa o código malicioso que es dañino para los sistemas. El malware hostil, intrusivo e intencionadamente desagradable intenta invadir, dañar o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles, a menudo asumiendo el control parcial de las operaciones de un dispositivo. Al igual que la gripe, interfiere en el funcionamiento normal. La intención del malware es sacarle dinero al usuario ilícitamente. Aunque el malware no puede dañar el hardware de los sistemas o el equipo de red —con una excepción que se conozca (vea la sección Android de Google)—, sí puede robar, cifrar o borrar sus datos, alterar o secuestrar funciones básicas del ordenador y espiar su actividad en el ordenador sin su conocimiento o permiso.

    Denegación de servicios (DOS)

    Una de las modalidades de ataque más antigua y que aprovecha una "vulnerabilidad" que la da el comportamiento nativo de un servicio, que es obviamente, responder a los requerimientos, el ataque consiste en hacer peticiones recurrentes y concurrentes a un servidor de tal forma que el servidor termine por agotar sus recursos y deje de responder.

    Existen dos modalidades básicas de denegación de servicios: DoS y DDoS. El primero se realiza desde una ip, el segundo, el más complejo, se realiza en forma concurrente desde muchas IPs, un ejemplo clásico hoy en día es las famosas "botnets" que son redes de muchos computadores "robot" que realizan múltiples ataques en forma simultánea. Asimismo, muchos de estos robots son capaces de inyectar malware en las máquinas atacadas, convirtiéndolas a su vez en "robot".

    Phishing

    Denominamos Phishing al conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por otra persona u organización de confianza (suplantado efectivamente la identidad de este tercero de confianza), para manipularla y hacer que realice acciones que no debería (por ejemplo, revelar información confidencial o hacer click en un enlace).

    Para que el engaño sea eficiente, habitualmente se hace uso de la ingeniería social explotando los instintos sociales de la gente como es de ayudar o un otro. También mediante la vaniddad inherente a todo ser humano, explotando por ejemplo su necesidad de ser reconocido, baja autoestima, o incluso su necesidad de un nuevo empleo. La forma más efectiva de llegar a la víctima es por ejemplo, enviando correos electrónicos o mostrando avisos publicitarios desde una "web válida y conocida" donde se le invita a seguir un enlace. A veces también explotan vulnerabilidades de su browser, teléfono celular u otros. Habitualmente el objetivo es robar información, pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes. El phising está considerada una de las técnicas de robos de datos sensiblesmás utilizada.

    Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas. Pero dado el caracter "social" y "humano" de este tipo de ataque, nada parecer ser efectivo.

    Spoofing

    El spoofing o suplantación de identidad, hace referencia al uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. Conocemos varios tipos de suplantación:

    1. Suplantación de IP Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar. Esto se consigue generalmente gracias a programas destinados a ello y puede ser usado para cualquier protocolo dentro de TCP/IP como ICMP, UDP o TCP. Hay que tener en cuenta que las respuestas del host que reciba los paquetes alterados irán dirigidas a la IP original. Por ejemplo si se envía un ping (paquete icmp echo request) suplantado, la respuesta será recibida por el host al que pertenece la IP legalmente.
    2. Suplantación de ARP La suplantación de identidad por falsificación de tabla ARP se trata de la construcción de tramas de solicitud y respuesta ARP modificadas con el objetivo de falsear la tabla ARP (relación IP-MAC) de una víctima y forzarla a que envíe los paquetes a un host atacante en lugar de hacerlo a su destino legítimo.
    3. Suplantación de DNS Suplantación de identidad por nombre de dominio. Se trata del falseamiento de una relación entre nombre de dominio y una IP ante una consulta de resolución de nombre, es decir, resolver con una dirección IP falsa un cierto nombre DNS o viceversa. Esto se consigue falseando las entradas de la relación nombre de dominio e IP de un servidor DNS, mediante alguna vulnerabilidad del servidor en concreto o por su confianza hacia servidores poco fiables (DNS Rogue). Las entradas falseadas de un servidor DNS son susceptibles de infectar (envenenar) la caché DNS de otro servidor diferente.
    4. Suplantación de web Suplantación de una página web real (no confundir con phishing). Enruta la conexión de una víctima a través de una página falsa hacia otras páginas web con el objetivo de obtener información de dicha víctima (páginas web vistas, información de formularios, contraseñas etc.). La página web falsa actúa a modo de proxy, solicitando la información requerida por la víctima a cada servidor original y saltándose incluso la protección SSL. El atacante puede modificar cualquier información desde y hacia cualquier servidor que la víctima visite. La víctima puede abrir la página web falsa mediante cualquier tipo de engaño, incluso abriendo un simple enlace. La suplantación de web es difícilmente detectable; quizá la mejor medida es algún complemento del navegador que muestre en todo momento la IP del servidor visitado: si la IP nunca cambia al visitar diferentes páginas web significará que probablemente se esté sufriendo este tipo de ataque. Este ataque se realiza mediante una implantación de código el cual robará la información. Usualmente se realizan páginas fantasmas en las cuales se inyectan estos códigos para poder sacar información de las víctimas.
    5. Suplantación de correo electrónicoSuplantación de la dirección de correo electrónico de otras personas o entidades. Esta técnica es usada con asiduidad para enviar bulos por correo electrónico como complemento perfecto para la suplantación de identidad y para enviar mensajes basura, ya que es sencilla y solo requiere utilizar un servidor SMTP configurado para tal fin. Para protegerse se debería comprobar la IP del remitente (para averiguar si realmente esa ip pertenece a la entidad que indica en el mensaje) y la dirección del servidor SMTP utilizado. Las medidas recomendadas para prevenir estos ataques son crear registros SPF y firmas digitales DKIM.

    Inyección de código

    Llamamos Inyección de código a la posibilidad de "inyectar" código arbitrariamente a una aplicación, fuera de las instrucciones que tiene definidas por programación y ocurre cuando es posible enviar datos inesperados a un intérprete de código. Estos problemas son muy comunes en código antiguo. Se encuentran frecuentemente en consultas SQL, LDAP, Xpath o NoSQL; comandos de sistema operativo; analizadores sintácticos de XML; cabeceras SMTP; parámetros de funciones; etc. Estos defectos son fáciles de encontrar cuando se examina el código, sin embargo son difíciles de descubrir mediante pruebas funcionales. Existen utilidades de escaneo que pueden ayudar a encontrar estos problemas. Una inyección de código puede resultar en la pérdida o corrupción de datos, falla de respuesta a acciones o denegación de acceso. Una inyección puede incluso tomar control total de un sistema. Las técnicas de inyección de código son populares en el hacking y cracking para conseguir acceder a información restringida, para escalar privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques pueden ser usados con objetivos malintencionados para conseguir diversos fines como por ejemplo:

    1. Modificar valores arbitrariamente en una base de datos mediante inyección de SQL. El impacto de esta acción puede ir desde cambios en la apariencia de una página web hasta comprometer datos sensibles.
    2. Instalar malware o ejecutar código malintencionado en un servidor mediante la inyección de código de scripting (como PHP o ASP).
    3. Aumentar los privilegios como superusuario utilizando vulnerabilidades del sistema operativo.
    4. Atacar a usuarios de páginas web con inyecciones de código HTML o scripts.

    DNS poisoning (Envenenamiento DNS)

    El Envenenamiento de caché DNS o envenenamiento de DNS (DNS cache poisoning o DNS poisoning) es una situación creada de manera maliciosa o no deseada que provee datos de un servidor de nombres de dominio (DNS) que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseños inapropiados de software, falta de configuración de nombres de servidores y escenarios maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y los almacena temporalmente para futuros incrementos de desempeño, es considerado envenenado, extendiendo el efecto de la situación a los clientes del servidor. Normalmente, un computador conectado a Internet utiliza un servidor DNS proporcionado por el proveedor de servicios de Internet (ISP). Este DNS generalmente atiende solamente a los propios clientes del ISP y contiene una pequeña cantidad de información sobre DNS almacenada temporalmente por usuarios previos del servidor. Un ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede afectar a los usuarios atendidos directamente por el servidor comprometido o indirectamente por los servidores dependientes del servidor. Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la dirección IP de un servidor que él controla. Luego, el atacante crea entradas falsas para archivos en el servidor que él controla con nombres que coinciden con los archivos del servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o malwar. Un usuario cuyo computador ha referenciado al servidor DNS envenenado puede ser engañado al creer que el contenido proviene del servidor objetivo y sin saberlo descarga contenido malicioso.

    Ingeniería Social

    La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de usuarios legítimos. Es un conjunto de técnicas que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar daños a la persona u organismos comprometidos y es utilizado en diversas formas de estafas y suplantacion de identidad. El principio que sustenta la ingeniería social es el de que, en cualquier sistema, los usuarios son el "eslabón más débil de la cadena". Investigaciones recientes realizadas en 2020 han indicado que la ingeniería social será uno de los desafíos más destacados de la próxima década. Tener competencia en ingeniería social será cada vez más importante para las organizaciones y los países, debido también al impacto en la geopolítica. La ingeniería social plantea la cuestión de si nuestras de cisiones estarán informadas con precisión si nuestra información primaria está diseñada y está sesgada.

    Los ciberataques más comunes en PyMEs y ONGs

    El cada vez más en auge mundo digital abre un abanico enorme de posibilidades para los ciberataques, que buscan cualquier vulnerabilidad, para poder introducir software malicioso en equipos ajenos, suplantar identidades, atacar servidores de empresas, etc. Hoy en día es imposible lograr el cien por cien de seguridad informática, pero si se implementan soluciones especializads y se gestionan los riesgos y amenazas en forma racional, es posible garantizar la continuidad del negocio y evitar un gran número de ataques, esto que parece en principio un riesgo de inversión enorme en realidad no lo es tanto. Existe un sinnúmero de soluciones gratuitas y razonablemente seguras, comparables a las comerciales que se pueden implementar a un costo razonable y que a corto, mediano y largo plazo, aseguran la continuidad de negocio evitando pérdidas mayores. A continuación los más comunes:

    Ransomware

    Es uno de los ataques más temidos por las empresas. Se trata de un software malicioso que bloquea los equipos desde una ubicación remota y encripta los archivos. Esto hace que sea imposible acceder a ellos, salvo si se paga un rescate económico.

    Phishing

    Este ataque no pasa de moda y cada vez es más frecuente. Consiste en la suplantación de identidad de una empresa para hacerse con las claves de los usuarios. Es especialmente delicado en el caso de contraseñas bancarias. Suele producirse a través de una landing page, anuncios falsos o mensajes de correo electrónico.

    Living Off the Land (LotL)

    En este caso, no se necesita introducir archivos maliciosos desde cero. Los atacantes entran en los sistemas a través de programas de confianza que no despiertan sospechas, e introducen malware en ellos.

    Denegación de servicio (DoS y DDoS)

    Uno de las modalidades de ataque más antigua y que aprovecha una "vulnerabilidad" que la da el comportamiento nativo de un servicio, que es obviamente, responder a los requerimientos, el ataque consiste en hacer peticiones recurrentes y concurrentes a un servidor de tal forma que el servidor termine por agotar sus recursos y deje de responder. Existen dos modalidades básicas de denegación de servicios: DoS y DDoS. El primero se realiza desde una ip, el segundo, el más complejo, se realiza en forma concurrente desde muchas IPs, un ejemplo clásico hoy en día es las famosas "botnets" que son redes de muchos computadores "robot" que realizan múltiples ataques en forma simultánea. Asimismo, muchos de estos robots son capaces de inyectar malware en las máquinas atacadas, convirtiéndolas a su vez en "robot".

    El impacto de los ciberataques

    Un 77,6% de los ciberataques que se producen en el mundo se dirigen a empresas. El 22,4% restante, a particulares y ONGs. Hoy por hoy cualquier empresa llega a recibir una media de 80 ciberataques efectivos al año. La resolución de los problemas producidos por efecto de un código malicioso derivado de un ataque efectivo, puede tardar más de dos meses con todo lo que ello implica en términos operativos y de continuidad de negocio. En el caso de ransomware, serían 32 días, y la media para recuperarse de un ataque de phishing está en 30,6 días. Las pérdidas por este tipo de ciberataques son millonarias. Pero no solo eso, se calcula que el 60% de las pymes que son atacadas mediante ransomware desaparecen en menos de un año.

    Hay ciertas medidas que se pueden recomendar para limitar el daño que puede causar un ciberataque:

    1. 1. Capacitaciones a los empleados / colaboradores
    2. 2. Contratar un servicio de ciberseguridad o certificar a su personal de TI
    3. 3. Adoptar una cultura orientada a la ciberseguridad
    © Sysops Consulting 2024 - Powered by Dancer2 1.1.0

    contacto@sysops.cl