Hoy es el Día de Internet más seguro , ¿y qué mejor manera de celebrar / rendir homenaje que sumergirse en la investigación sobre lo último en malware, exploits, PUP, amenazas web y privacidad de datos? Sucede que tenemos el contenido justo para comenzar la fiesta porque hoy publicamos los resultados de nuestro estudio anual sobre el estado del malware, el Informe del Estado del Malware 2020, y como de costumbre, es un desastre.

Desde un aumento en las amenazas centradas en la empresa hasta la diversificación de técnicas sofisticadas de piratería y sigilo, el panorama de amenazas de 2019 fue moldeado por una industria de delitos cibernéticos que tenía como objetivo mostrar que todo ha crecido y persigue a las organizaciones con mayor venganza.

El Informe del Estado del Malware 2020 presenta conjuntos de datos recopilados de telemetría de productos, macetas, inteligencia y otras investigaciones realizadas por analistas y reporteros de amenazas de Malwarebytes para investigar las principales amenazas entregadas por ciberdelincuentes a consumidores y empresas en 2019.

Nuestro análisis incluye una mirada a las amenazas para PC con Mac y Windows, Android e iOS, así como ataques basados ​​en el navegador. Además, examinamos las detecciones de consumidores y empresas sobre amenazas a regiones e industrias específicas en todo el mundo. Finalmente, analizamos el estado de la privacidad de los datos en 2019, incluida la legislación estatal y federal, así como las fallas de privacidad de algunas grandes empresas tecnológicas en yuxtaposición contra las políticas progresistas de otros .

Aquí hay una muestra de lo que encontramos:

• Las amenazas de Mac aumentaron exponencialmente en comparación con las de las PC con Windows. Si bien el volumen general de amenazas de Mac aumentó año tras año en más del 400 por ciento, ese número se ve afectado de alguna manera por una mayor base de usuarios de Malwarebytes para Mac en 2019. Sin embargo, cuando se calcula en amenazas por punto final, las Macs aún superaron a Windows en casi 2: 1)
• El volumen de amenazas globales contra los puntos finales empresariales ha aumentado en un 13 por ciento año tras año, con adware agresivo, troyanos y HackTools liderando el paquete.
• Una vez más, las organizaciones fueron golpeadas con Emotet y TrickBot , dos troyanos convertidos en botnets que aparecieron entre las cinco principales amenazas para casi todas las regiones del mundo, y en las principales detecciones para las industrias de servicios, comercio minorista y educación. Las detecciones de TrickBot en particular aumentaron más del 50 por ciento respecto al año anterior.
• La nueva actividad neta de ransomware está en su punto más alto contra las empresas, con familias como Ryuk y Sodinokibi que aumentan hasta un 543 y 820 por ciento, respectivamente.

Para obtener más información sobre las principales amenazas del año para Mac, Windows, Android y la web, así como el estado de la privacidad de los datos en el comercio y la legislación, consulte el Informe completo sobre el estado de malware de 2020 aquí .

«No tengo idea de cómo funciona esta aplicación de mi banco, y no confío en lo que no entiendo». Josh no es un viejo cascarrabias o ludita. Tiene 42 años con una comprensión decente de la tecnología. Sin embargo, los cambios en fintech han llegado demasiado rápido para él. No es que no confíe en su banco. No confía en sí mismo para usar y administrar la aplicación bancaria de forma segura.

El mundo en el que vivimos ha experimentado algunos cambios notables en la última década. Esto es ciertamente cierto para la industria bancaria, que se ha aferrado al concepto de fintech como casi intercambiable con las finanzas . Sin embargo, la tecnología financiera (o programas informáticos y otras tecnologías utilizadas para respaldar la banca y otros servicios financieros) es el sector de más rápido crecimiento en capital de riesgo. Puede abarcar desde criptomonedas hasta aplicaciones de pago móvil.

Se sentaron las bases para el surgimiento de fintech a través de una serie de incidentes importantes en los últimos 10 años. Éstos incluyen:

• La crisis bancaria y la posterior Gran Recesión de 2007–2009. Si le hubieras dicho a alguien hace 15 años que varios bancos de renombre no sobrevivirían a la década, se habrían reído de ti. Sin embargo, la lista es larga.
• Nuevas monedas introducidas en el campo de juego, especialmente las criptomonedas. Bitcoin comenzó en 2009, y desde entonces cientos de otras criptomonedas han seguido su ejemplo.
• Tasas de interés negativas. Los depósitos en efectivo incurren en un cargo por almacenamiento en un banco en lugar de ganar intereses. Algunos bancos tienen que pagar dinero para almacenar su excedente en fondos en bancos nacionales debido a las tasas de interés negativas. Algunos bancos incluso cobran a sus clientes con este interés negativo.
• Nuevos jugadores han entrado en el campo que son diferentes del establecimiento. Algunos están relacionados con el desarrollo de las criptomonedas, pero otros simplemente miran los negocios financieros de una manera nueva y única.
• Los clientes esperan cada vez más que sus pagos lleguen a su cuenta de destino el mismo día. Esto también ayuda al banco en sí, ya que reduce la cantidad que necesitan almacenar contra un interés negativo.

¿Qué es fintech?

El hardware y el software utilizados en el mundo financiero generalmente se conoce como fintech. Pero la expresión también se usa para describir las nuevas empresas en el mundo financiero. En este artículo se utilizará para describir la tecnología, ya que muchas de las instituciones financieras establecidas sienten que necesitan adaptarse a la misma tecnología nueva que las nuevas empresas ofrecen a sus clientes. Debido a esto, podemos encontrar estas nuevas características en aplicaciones bancarias y otras aplicaciones financieras tanto en las aplicaciones de firmas exitosas como en las de las nuevas finanzas.

Seguridad Fintech

Si bien puede ser menos sorprendente que las startups de Fintech estén luchando con la seguridad, a veces los nombres establecidos nos sorprenden con la facilidad con la que son víctimas de violaciones de datos, ataques de malware o aplicaciones comprometidas.

Una de las razones por las cuales algunas de las nuevas empresas fintech tienen tanto éxito radica en su capacidad para ofrecer alternativas a las soluciones financieras convencionales a través de criptomonedas, préstamos en línea y P2P. A lo largo viene una variedad de desafíos y uno de estos desafíos despierta nuestro interés: la ciberseguridad. Por nombrar un aspecto, el gran crecimiento en la cantidad y el tamaño de las plataformas en línea hace que esta industria sea muy vulnerable a las brechas de seguridad.

Algunos de los problemas

La introducción de nuevas funciones a veces parece que se hicieron rápidamente y sin tener en cuenta cuán seguras son y cuán inteligentes delincuentes podrían abusar de ellas. Por ejemplo, una aplicación de banca móvil que permitía a los usuarios agregar un teléfono adicional para controlar su cuenta simplemente escaneando un código QR terminó limpiando algunas cuentas bancarias. Los impostores inteligentes engañaron a las personas para que agregaran su teléfono dejando al impostor en control total de la cuenta.

Las solicitudes de pago que conducen a sitios web falsos son una amenaza en rápido aumento a medida que los bancos están implementando esta función. Como siempre con la tecnología más nueva, los estafadores se benefician del desconocimiento de la víctima de cómo funcionan exactamente las cosas. Alguien que pretende comprarle en un mercado en línea puede enviarle una solicitud de pago por la cantidad que espera. Todo lo que tiene que hacer es hacer clic en «Aceptar» e ingresar su pin. Y luego descubre que les pagaste en lugar de al revés.

Los sitios web de bancos falsos en general han sido un problema durante muchos años y esto probablemente seguirá siendo un problema por algún tiempo. La mayoría de las veces, estos sitios falsos están diseñados para obtener credenciales de inicio de sesión y pago de las víctimas visitantes. Y son muy difíciles de distinguir de los sitios web de bancos reales, ya que los actores de la amenaza simplemente copian todo el contenido y el diseño de los sitios originales. E instar a los clientes a buscar el candado verde ya no es un consejo útil.

Los proveedores de pagos y las tiendas en línea están plagados de skimmers web. Como hemos informado con frecuencia, especialmente hay varios grupos de Magecart que son muy activos en este frente. Los pagos son interceptados y la información de la tarjeta de pago es robada usando sitios de comercio electrónico comprometidos.

Y luego está el dinero virtual, o dado que la mayoría del dinero actual es virtual en algún nivel, hablemos de las criptomonedas en particular. Si bien la introducción de las criptomonedas tenía la intención de abrir un mundo completamente nuevo de opciones de pago, también abrió un pozo negro de opciones para ser defraudadas. La ausencia de una autoridad central dio paso a tipos de fraude y robo que no se conocían en el mundo bancario de la vieja escuela. Enormes robos de los mercados, propietarios de bancos que se ejecutan con los fondos que se les han confiado, credenciales de billetera robadas, y no olvidemos conducir por minería. Cubrimos muchos de estos crímenes en nuestro blog sobre Bankrobbers 2.0 .

Las finanzas de todo tipo han sufrido violaciones de datos en todo tipo y tamaño. Desde enormes como Equifax y Capital One hasta los igualmente dolorosos, para los involucrados, como el del banco P&N donde se derramó información confidencial de la cuenta.

Los operadores de ransomware son particularmente aficionados a las finanzas, ya que generalmente pueden permitirse pagar grandes sumas y están invertidos para que las operaciones vuelvan a funcionar rápidamente. Travelex tomó el camino y se negó a pagar la demanda de rescate realizada después de ser golpeado con Ransom.Sodinokibi .

Preocupaciones sobre la privacidad

Dado que los gobiernos solicitan la divulgación completa de los ahorros tanto en el exterior como internos, y por otro lado hacen cumplir las leyes de privacidad, se espera que las instituciones financieras equilibren estas demandas mientras mantienen a sus clientes a bordo.

Con GDPR en Europa a la vanguardia, las finanzas deben estar listas o preparadas para cumplir con GDPR o leyes similares que se aplican a ellos y a su base de clientes.

Contramedidas

La industria financiera se considera una infraestructura vital y por buenas razones. Cuando perdemos la confianza en nuestras instituciones financieras, pone a nuestra sociedad patas arriba. Cuando el papel ya no vale el número impreso en él, o no puede retirar dinero de su cuenta, eso sacude las bases de nuestra economía.

Fintech necesita adaptar un enfoque más centrado en la seguridad para desarrollar nuevas funciones, especialmente en sus aplicaciones móviles. Tampoco estaría de más proporcionarles a los clientes instrucciones detalladas sobre cómo usar de manera segura la nueva aplicación o las nuevas funciones de la aplicación.

Como startup financiera, quieres crecer rápido. Pero crecer rápido viene con sus propios problemas. Es imprescindible asegurarse de que sus medidas de seguridad puedan escalar junto con su crecimiento. A menos que desee verse restringido en su crecimiento o notar su seguridad para comenzar a agrietarse en las costuras.

Por frustrante que resulte, las finanzas deben pensar en una mejor gestión y control de la identidad. ¿Es suficiente cuando alguien inicia sesión en una cuenta para permitir que esa entidad controle completamente la cuenta? O bien, debemos agregar otro factor para acciones especiales como aumentar el monto máximo, permitir retiros al exterior, o incluso para transacciones que son más grandes de lo normal.

Las startups de Fintech no pueden esperar salirse con la suya con errores de seguridad que otras startups podrían cometer. Estar en el sector financiero conlleva diferentes responsabilidades y expectativas.

Como he escrito antes: es clave que nuestras instituciones financieras protejan nuestros dólares y nuestros datos para que podamos seguir invirtiendo nuestro dinero y nuestra confianza en ellos.

El desfile constante de la legislación de privacidad de datos de EE. UU. Continuó el mes pasado en Washington con la introducción de una ley mejorada que otorgaría a los residentes del estado los derechos de acceso, control, eliminación y transferencia de sus datos, así como la exclusión voluntaria de la venta de datos.

El proyecto de ley, llamado Washington Privacy Act , también mejora su versión anterior de 2019, brindando garantías más fuertes sobre el uso de la tecnología de reconocimiento facial. Según algunos analistas, en comparación con la ley de privacidad de datos de su vecino costero, la Ley de Privacidad del Consumidor de California, que entró en vigencia este año, la Ley de Privacidad de Washington se destaca.

El CEO de Future of Privacy Forum, Jules Polonetsky, calificó el proyecto de ley como «la legislación estatal más completa sobre privacidad propuesta hasta la fecha».

«Incluye disposiciones sobre minimización de datos, limitaciones de propósito, evaluaciones de riesgo de privacidad, requisitos contra la discriminación y límites en la creación de perfiles automatizados que otras leyes estatales no», dijo Polonetsky .

Introducida el 20 de enero por el senador estatal Reuven Carlyle, la Ley de Privacidad de Washington crearía nuevas responsabilidades para las compañías que manejan los datos del consumidor, incluida la implementación de procesos de protección de datos y el desarrollo y publicación de políticas de privacidad.

Ya, el proyecto de ley ha recibido una cálida recepción de actores corporativos y sin fines de lucro. Microsoft, el gigante tecnológico con sede en Washington, dijo que estaba alentado , y Consumer Reports acogió con beneplácito el impulso de la ley, al tiempo que instó a que se realicen aún más mejoras .

«Este nuevo borrador es definitivamente un paso en la dirección correcta hacia la protección de los datos personales de los residentes de Washington», dijo Justin Brookman, Director de Política de Privacidad y Tecnología del Consumidor de Consumer Reports. «Esperamos ver más mejoras para eliminar las lagunas inadvertidas que quedan en el texto».

Lo que haría la Ley de Privacidad de Washington

Al igual que las muchas facturas de privacidad de datos de EE. UU. Presentadas en los últimos 18 meses, la Ley de Privacidad de Washington aborda el problema de la falta de privacidad de datos con dos púas: mejores derechos para los consumidores, restricciones más estrictas para las empresas.

Del lado del consumidor, la Ley de Privacidad de Washington otorgaría varios derechos nuevos a los residentes de Washington, incluidos los derechos de acceso, corrección, eliminación y transferencia de sus datos. Además, los consumidores recibirían el derecho de «optar por no participar» en el uso de sus datos personales de múltiples maneras potencialmente invasivas. Los consumidores podrían decir que no a que se vendan sus datos y que se usen para «publicidad dirigida», la práctica algo inevitable que resulta en anuncios de un par de zapatos, un suéter atractivo o un televisor 4K que sigue a los usuarios de un dispositivo a otro. . 

Los consumidores pueden ejercer sus derechos con simples solicitudes a las empresas que manejan sus datos. Según el proyecto de ley, estas solicitudes requerirían una respuesta dentro de los 45 días. Si una empresa no puede cumplir ese plazo, puede solicitar una extensión, pero debe notificar al consumidor sobre la extensión y por qué no pudo cumplir con el plazo.

Además, las solicitudes no cumplidas no son un callejón sin salida para los consumidores: las empresas también deben ofrecer un proceso de apelación a los consumidores cuyas solicitudes niegan o no cumplen. Las solicitudes también deben ser respondidas de forma gratuita, hasta dos veces al año por consumidor.

Quizás una de las disposiciones más bienvenidas en el proyecto de ley son sus reglas contra la discriminación. Las empresas no pueden, según el proyecto de ley, tratar a los consumidores de manera diferente debido a sus opciones para ejercer sus derechos de privacidad de datos. En la superficie, eso hace que las ideas peligrosas como los esquemas de » pago por privacidad» sean mucho más difíciles de implementar.

Con respecto a las nuevas regulaciones comerciales, la Ley de Privacidad de Washington separa los tipos de compañías a las que se aplica en dos categorías: «controladores» y «procesadores». Los dos términos, tomados del Reglamento General de Protección de Datos (GDPR) de la Unión Europea , tienen significados simples. Los «controladores» son los tipos de entidades que realmente toman las decisiones sobre cómo se recopilan, comparten o utilizan los datos del consumidor. Entonces, ¿una pequeña empresa con un solo empleado que decide vender datos a terceros? Eso es un controlador. ¿Una gran empresa que decide recopilar datos para enviar anuncios dirigidos? Ese también es un controlador.

Los procesadores, por otro lado, son similares a los contratistas y subcontratistas que realizan servicios para los controladores. Entonces, ¿un procesador de pagos que simplemente procesa transacciones de comercio electrónico y nada más? Eso es un procesador.

Las nuevas reglas de la Ley de Privacidad de Washington se centran principalmente en los «controladores»: Facebook, Amazonas, Twitter, Google, Airbnbs y Oráculos del mundo.

Los controladores tendrían que publicar políticas de privacidad que sean «razonablemente accesibles, claras y significativas» e incluirían la siguiente información:

• Las categorías de datos personales procesados ​​por el controlador
• Los fines para los que se procesan las categorías de datos personales
• Cómo y dónde los consumidores pueden ejercer sus derechos
• Las categorías de terceros, si los hay, con quienes el controlador comparte datos personales

Si los controladores venden datos personales a terceros, o los procesan para publicidad dirigida, la factura requiere que esos controladores revelen claramente esa actividad, junto con instrucciones sobre cómo los consumidores pueden optar por no participar en esas actividades.

Por separado, los controladores tendrían que realizar «evaluaciones de protección de datos», en las que la empresa analiza, documenta y considera los riesgos de cualquier procesamiento de datos personales que implique publicidad dirigida, venta y «creación de perfiles».

La regulación del «perfil» es nueva en las facturas de privacidad de datos. Es admirable.

De acuerdo con el proyecto de ley, el «perfil» es cualquier forma de procesamiento automatizado de datos personales para «evaluar, analizar o predecir aspectos personales relacionados con la situación económica, salud, preferencia personal, intereses, confiabilidad, comportamiento, ubicación o ubicación de una persona identificada o identificable». movimientos «.

En la actual economía de publicidad en línea cada vez más invasiva, la elaboración de perfiles es omnipresente. Las empresas recopilan datos y crean «perfiles» de consumidores que, sí, pueden no incluir un nombre exacto, pero aún incluyen lo que se consideran predictores vitales sobre el estilo de vida y el comportamiento de ese consumidor. 

Estas nuevas regulaciones hacen que la Ley de Privacidad de Washington se destaque entre sus contemporáneos, dijo Stacey Gray, abogada principal del Foro Future of Privacy.

«El panorama general del proyecto de ley es que incluye los mismos derechos individuales que la Ley de Privacidad del Consumidor de California (de acceso, venta, etc.) y más», dijo Gray. «El derecho a corregir sus datos, a optar por no recibir publicidad dirigida y por la creación de perfiles, eso está más allá del lado de los derechos individuales».

Gray agregó que las obligaciones comerciales del proyecto de ley también van más allá de las de la CCPA, nombrando las evaluaciones de riesgo de datos discutidas anteriormente.

La Ley de Privacidad de Washington incluye varias obligaciones comerciales más, que se suman a protecciones significativas de datos para los consumidores. Por ejemplo, las empresas tendrían que comprometerse con los principios de minimización de datos, solo recolectando los datos personales de los consumidores que sean necesarios para fines expresos. Las compañías también necesitarían obtener el consentimiento afirmativo y de aceptación de los consumidores antes de procesar cualquier «información confidencial», que es cualquier información que pueda revelar enfermedades o diagnósticos de raza, etnia, religión, salud mental o física, orientaciones sexuales o ciudadanía e inmigración. estados.

Pero quizás lo más intrigante en la Ley de Privacidad de Washington es su regulación de la tecnología de reconocimiento facial.

Disposiciones de reconocimiento facial.

En 2019, los legisladores del estado de Washington elaboraron un proyecto de ley destinado a mejorar las protecciones de privacidad de los datos de los consumidores. Lo llamaron … la Ley de Privacidad de Washington. Ese proyecto de ley original , que ahora ha sido sustituido por la versión 2020, incluía disposiciones sobre el uso comercial del reconocimiento facial.

A primera vista, las nuevas reglas se veían bien: las empresas que usaban tecnología de reconocimiento facial para fines comerciales tendrían que obtener el consentimiento de los consumidores «antes de implementar los servicios de reconocimiento facial».

Desafortunadamente, la siguiente oración del proyecto de ley original hizo que ese consentimiento casi no tuviera sentido.

Según ese proyecto de ley, el «consentimiento» del consumidor podría obtenerse no preguntándole al consumidor si acordó que se registraran sus datos faciales, sino publicando un letrero en las instalaciones de la empresa.

Como decía el proyecto de ley:

“La colocación de un aviso visible en un local físico o en línea que transmita claramente que los servicios de reconocimiento facial se están utilizando constituye el consentimiento del consumidor para usar dichos servicios de reconocimiento facial cuando ese consumidor ingresa a esos locales o procede a usar los servicios en línea que tienen dicho aviso , siempre que exista un medio por el cual el consumidor pueda elegir entre los servicios de reconocimiento facial «.

La longitud del explicador es tan amplia como la excepción que permite.

Esta escapatoria molestó a varios defensores de los derechos de privacidad que, en febrero de 2019, enviaron una carta a los legisladores clave de Washington.

«[Aunque] el proyecto de ley supuestamente requiere el consentimiento del consumidor para el uso de la tecnología de reconocimiento facial, en realidad permite a las empresas sustituir la notificación para solicitar el consentimiento, dejando a los consumidores sin una oportunidad real de ejercer la elección o el control», dice la carta . Fue firmado por Consumer Reports, Common Sense, Electronic Frontier Foundation y Privacy Rights Clearinghouse.

El proyecto de ley 2020 cierra este vacío legal, en su lugar requiere un consentimiento afirmativo y de aceptación para el uso de reconocimiento facial comercial, junto con notificaciones obligatorias, como letreros, en espacios que usan tecnología de reconocimiento facial. El nuevo proyecto de ley también requiere que los procesadores abran sus herramientas de procesamiento de datos a investigaciones y pruebas externas, en un esfuerzo por erradicar lo que el proyecto de ley llama «diferencias de rendimiento injustas en subpoblaciones distintas», como minorías, personas discapacitadas y ancianos.

Avanzando la Ley de Privacidad de Washington

A pesar de que la Ley de Privacidad de Washington de 2019 obtuvo una rápida aprobación en el Senado dos meses después de su presentación en enero, el proyecto de ley finalmente no llegó a la Cámara. Múltiples factores llevaron al fracaso del proyecto de ley, incluidas las definiciones del proyecto de ley para ciertos términos, su enfoque para la aplicación y su tratamiento del reconocimiento facial.

Gray dijo que algunos de esos mismos obstáculos podrían surgir para el proyecto de ley 2020.

«Si este proyecto de ley no se aprueba este año, es allí donde podríamos ver una fuente de conflicto, ya sea con las disposiciones de reconocimiento facial o con la aplicación», dijo Gray. Para que se imponga la ejecución, Gray dijo que la oficina del Fiscal General, encargada de la regulación, necesitará una mayor financiación y personal. Además, es probable que haya oposición a la falta de «derecho de acción privado» del proyecto de ley, lo que significa que los consumidores no podrán presentar demandas individuales contra las compañías que, según alegan, violaron la ley. Este problema ha sido un punto de conflicto para la legislación de privacidad de datos durante años .

Aún así, dijo Gray, el proyecto de ley muestra una mejora con respecto a su versión 2019, lo que podría ayudar a impulsarlo.

«Aparte de todo», dijo Gray, «somos más optimistas que el año pasado sobre su aprobación».

La semana pasada en Malwarebytes Labs, analizamos las fortalezas y debilidades del modelo Zero Trust , le brindamos información sobre el phishing de lanza y profundizamos en el mundo de la seguridad del proveedor de servicios administrados (MSP) .

Otras noticias de ciberseguridad

• ONU comprometida a través del truco de Sharepoint: una historia extraordinaria que destaca que absolutamente nadie está a salvo cuando suceden cosas malas y luego se cubren . (Fuente: The Register)
• TA505 regresa: un conocido ataque de phishing financiero ha regresado de una pausa para causar caos una vez más. (Fuente: Bleeping Computer)
• SMS phishing, también conocido como smishing: se advierte a los residentes del condado de Pitt que tengan cuidado con las falsas notificaciones de FedEx enviadas por mensaje de texto. (Fuente: Canal de noticias 12)
• El refuerzo de las redes sociales se encuentra con el caos de contraseñas: otra organización descubre demasiado tarde que las contraseñas de texto sin formato no son una gran idea . (Fuente: TechCrunch)
• La violación de Ashley Madison vuelve a perseguirnos: cinco años después, está causando problemas en todas las formas nuevas, alimentando una nueva estafa de extorsión . (Fuente: VadeSecure)
• Hackear en Hong Kong: ESET analiza cómo el grupo Winnti apunta a dos universidades de Hong Kong . (Fuente: ESET)
• Microsoft lanza un nuevo programa de recompensas de errores: si te gustan los juegos, esto puede ser justo lo que estás buscando . (Fuente: Ayuda Net Security)
• Gran incumplimiento, grandes números: un compromiso podría incluir una gran cantidad de información de tarjeta de crédito (más de 30 millones) . (Fuente: Krebs sobre seguridad)
• Han llegado los estafadores de virus del mundo real: los documentos de Word atrapados por explosivos que empujan el troyano Emotet están siendo enviados a los buzones de las personas, disfrazados de advertencias sobre el coronavirus. (Fuente: TechRepublic)
• Phishing complicado: puede ser el caso de que no seamos tan buenos para detectar estafas como creemos que somos. (Fuente: ZDNet)

En un tribunal de justicia de los Estados Unidos, los acusados ​​se consideran inocentes hasta que se pruebe su culpabilidad. En un modelo de seguridad Zero Trust, lo contrario es cierto. Todo y todos deben considerarse sospechosos (cuestionados, investigados y verificados) hasta que podamos estar absolutamente seguros de que es seguro permitirse.

Zero Trust es un concepto creado por John Kindervag en 2010 durante su tiempo como vicepresidente y analista principal de Forrester Research . Al observar las fallas dentro de las organizaciones para detener los ataques cibernéticos, especialmente los movimientos laterales de amenazas dentro de sus redes, Kindervag se dio cuenta de que el modelo de seguridad tradicional operaba con el supuesto anticuado de que todo lo que se encuentra dentro de la red de una organización podía ser confiable. En cambio, Zero Trust invierte ese modelo, dirigiendo a los equipos de TI de acuerdo con el principio rector de «nunca confiar, siempre verifique» y redefiniendo el perímetro para incluir usuarios y datos dentro de la red.

En los últimos 10 años, más y más empresas se han movido hacia el modelo Zero Trust, demoliendo la vieja mentalidad de castillo y foso y aceptando la realidad de las amenazas internas . Echamos un vistazo a Zero Trust, incluidas sus fortalezas y debilidades, para ayudar a las organizaciones a evaluar si deben adoptar la filosofía dentro de sus propios muros o considerar diferentes métodos.

Definición de confianza cero

Zero Trust es un marco de seguridad de la información que establece que las organizaciones no deben confiar en ninguna entidad dentro o fuera del perímetro de su red en ningún momento. Proporciona la visibilidad y los controles de TI necesarios para asegurar, administrar y monitorear cada dispositivo, usuario, aplicación y red que pertenece o es utilizada por la organización y sus empleados y contratistas para acceder a los datos comerciales.

El objetivo de una configuración de confianza cero debe ser claro: restringir el acceso a datos confidenciales, aplicaciones y dispositivos según sea necesario. Los empleados en finanzas necesitan software de contabilidad; todos los demás deben estar excluidos. Los trabajadores remotos deberían usar VPN; debería prohibirse el acceso desde Internet abierto. El intercambio de datos debe ser limitado y controlado. El flujo libre de información que alguna vez fue una de las piedras angulares de Internet debe limitarse para proteger las redes de la penetración, los clientes de las violaciones de privacidad y las organizaciones de los ataques a la infraestructura y las operaciones.

La estrategia en torno a Zero Trust se reduce a examinar cualquier tráfico entrante o saliente. Pero la diferencia entre este y otros modelos de seguridad es que incluso el tráfico interno, es decir, el tráfico que no cruza el perímetro de la organización, también debe tratarse como un peligro potencial.

Si bien esto puede parecer grave, considere los cambios en el panorama de amenazas en los últimos 10 años : los cientos de filtraciones e infracciones de datos públicos; ataques de ransomware que detuvieron las operaciones en miles de puntos finales en ciudades, escuelas y organizaciones de atención médica; o millones de información de identificación personal de usuarios robada de bases de datos comerciales. A medida que los delincuentes cibernéticos continúan centrando su atención en los objetivos comerciales en 2020, Zero Trust parece un enfoque inteligente para frustrar un número creciente de ataques.

Implementando Zero Trust

Implementar un modelo de seguridad Zero Trust en una organización no es simplemente un cambio de mentalidad. Se requerirá una visión clara de las funciones dentro de los departamentos de la compañía, el software implementado actualmente, los niveles de acceso y los dispositivos, y cómo se verá cada uno de esos requisitos en el futuro.

A menudo, construir una red Zero Trust desde cero es más fácil que reorganizar una red existente en Zero Trust porque la red existente deberá permanecer funcional durante todo el período de transición. En ambos escenarios, los equipos de TI y seguridad deben idear una estrategia acordada que incluya la infraestructura final ideal y una estrategia paso a paso sobre cómo llegar allí.

Por ejemplo, al configurar centros de datos y recursos, las organizaciones pueden tener que comenzar casi desde cero, especialmente si los sistemas heredados son incompatibles con el marco de Zero Trust, y a menudo lo son. Pero incluso si las empresas no tienen que comenzar desde cero, es posible que deban reorganizar funciones específicas dentro de su política de seguridad, como la forma en que implementan el software o los empleados a bordo, o qué métodos de almacenamiento utilizan.

Fortalezas de la confianza cero

La creación de Zero Trust en los cimientos de la infraestructura de una organización puede fortalecer muchos de los pilares sobre los que se basan la TI y la seguridad. Ya sea para reforzar las políticas de identificación y acceso o segmentar los datos, al agregar algunas barreras simples de entrada y permitir el acceso según sea necesario, Zero Trust puede ayudar a las organizaciones a fortalecer su postura de seguridad y limitar su superficie de ataque.

Aquí hay cuatro pilares de Zero Trust que creemos que las organizaciones deberían adoptar:

• Identificación sólida de usuarios y políticas de acceso
• Segmentación de datos y recursos.
• Fuerte seguridad de datos en almacenamiento y transferencia
• Orquestación de seguridad

Identificación de usuario y acceso

El uso de una combinación segura de factores en la autenticación multifactor (MFA) debería proporcionar a los equipos información suficiente sobre quién realiza una solicitud, y una estructura de política bien pensada debería confirmar a qué recursos pueden acceder en función de esa identificación.

Muchas organizaciones bloquean el acceso a datos y aplicaciones al optar por plataformas en la nube de identidad como servicio (IDaaS) que utilizan servicios de inicio de sesión único. En un modelo de Zero Trust, ese acceso se protege aún más al verificar quién solicita el acceso, el contexto de la solicitud y el riesgo del entorno de acceso antes de otorgar la entrada. En algunos casos, eso significa limitar la funcionalidad de los recursos. En otros, podría estar agregando otra capa de autenticación o tiempos de espera de sesión.

Segmentación

Sin embargo, las políticas de acceso sólidas no tendrán sentido sin una segmentación adecuada de datos y recursos. La creación de un gran conjunto de datos donde todos los que pasan la prueba de acceso pueden participar y tomar lo que quieran, no protege los datos confidenciales de ser compartidos, ni impide que los iniciados utilicen mal las herramientas de seguridad u otros recursos .

Al dividir segmentos de la red de una organización en compartimentos, Zero Trust protege la propiedad intelectual crítica de usuarios no autorizados, reduce la superficie de ataque al mantener bien protegidos los sistemas vulnerables y evita el movimiento lateral de amenazas a través de la red. La segmentación también puede ayudar a limitar las consecuencias de las amenazas internas, incluidas las que pueden provocar un peligro físico para los empleados .

Seguridad de datos

Incluso con la restricción del acceso a los datos y la reducción de la superficie de ataque a través de la segmentación, las organizaciones están abiertas a violaciones, fugas de datos e interceptación de datos si no aseguran sus datos en el almacenamiento y en tránsito. El cifrado de extremo a extremo, los datos cifrados, las copias de seguridad automáticas y la seguridad de los depósitos con fugas son formas en que las organizaciones pueden adoptar Zero Trust en su plan de seguridad de datos.

Orquestación de seguridad

Finalmente, dibujar un hilo a través de todos estos pilares es la importancia de la orquestación de seguridad. Incluso sin un sistema de gestión de seguridad, las organizaciones que usan Zero Trust necesitarían garantizar que las soluciones de seguridad funcionen bien juntas y cubran todos los posibles vectores de ataque. La superposición no es un problema en sí misma, pero puede ser complicado encontrar la configuración correcta para maximizar la eficiencia y minimizar los conflictos.

Desafíos de la estrategia Zero Trust

Zero Trust se presenta como un enfoque integral para asegurar el acceso a través de redes, aplicaciones y entornos de usuarios, dispositivos de usuarios finales, API, IoT, microservicios, contenedores y más. Si bien tiene como objetivo proteger a la fuerza laboral, las cargas de trabajo y el lugar de trabajo, Zero Trust se enfrenta a algunos desafíos. Éstos incluyen:

• Más y diferentes tipos de usuarios (en oficina y remotos)
• Más y diferentes tipos de dispositivos (móviles, IoT, biotecnología)
• Más y diferentes tipos de aplicaciones (CMS, intranet, plataformas de diseño)
• Más formas de acceder y almacenar datos (unidad, nube, borde)

Los usuarios

En un pasado no muy lejano, era común que la gran mayoría de la fuerza laboral pasara la totalidad de sus horas de trabajo en su lugar de trabajo. No es cierto hoy, donde, según Forbes, al menos el 50 por ciento de la población de los EE. UU. Se dedica a alguna forma de trabajo remoto. Eso significa acceder a los datos de las direcciones IP, enrutadores o Wi-Fi público, a menos que use un servicio VPN.

Pero los usuarios no están necesariamente limitados a una fuerza laboral. Los clientes a veces necesitan acceder a los recursos de una organización, dependiendo de la industria. Considere a los clientes que desean seleccionar pedidos para su próxima entrega, verificar el inventario, participar en demostraciones o ensayos y, por supuesto, acceder al sitio web de una empresa. Los proveedores y las empresas de servicios de terceros pueden necesitar acceso a otras partes de la infraestructura de una organización para verificar las operaciones, la seguridad y el progreso.

Todas estas instancias apuntan a una amplia variación en la base de usuarios y a un mayor número de puntos de acceso para cubrir. Elaborar políticas específicas para cada uno de estos grupos e individuos puede llevar mucho tiempo, y mantener la afluencia constante de nuevos empleados y clientes agregará una carga de trabajo considerable para quien maneje esta tarea en el futuro.

Dispositivos

En esta era de políticas BYOD y equipos de IoT, además de la mentalidad de «siempre activo» que a veces afecta a los empleados remotos, las organizaciones deben permitir una gran variación en los dispositivos utilizados para el trabajo, así como los sistemas operativos que vienen con ellos. Cada uno de estos dispositivos tiene sus propias propiedades, requisitos y protocolos de comunicación, que deberán ser rastreados y asegurados bajo el modelo Zero Trust. Una vez más, esto requiere un poco más de trabajo por adelantado, pero probablemente arroje resultados positivos.

Aplicaciones

Otro factor desafiante a tener en cuenta al adoptar una estrategia Zero Trust es la cantidad de aplicaciones en uso en toda la organización para que las personas y los equipos colaboren y se comuniquen. La más versátil de estas aplicaciones está basada en la nube y se puede usar en múltiples plataformas. Sin embargo, esta versatilidad puede ser un factor complicado al decidir qué desea permitir y qué no.

¿Se comparten las aplicaciones con servicios, agencias o proveedores de terceros? ¿Las plataformas de comunicación están orientadas hacia el exterior, y no solo para los empleados? ¿Es esta aplicación necesaria solo para un departamento en particular, como finanzas, diseño o programación? Todas estas preguntas deben formularse y responderse antes de adoptar ciegamente una pila de 60 aplicaciones para toda la fuerza laboral.

Datos

Una razón por la cual las antiguas políticas de seguridad están creciendo en desgracia es que no hay una ubicación fija que deba protegerse por más tiempo. Las organizaciones no solo pueden proteger los puntos finales o las redes corporativas. Cada vez se almacenan más recursos, datos e incluso aplicaciones en entornos basados ​​en la nube, lo que significa que se puede acceder a ellos desde cualquier lugar y que pueden depender de granjas de servidores en varias ubicaciones globales.

Esto se complica aún más por el posible cambio a la informática de punta, que requerirá que los equipos de TI cambien de una infraestructura centralizada de arriba hacia abajo a un modelo de confianza descentralizado. Como hemos visto en nuestra serie sobre recursos en la nube con fugas ( buckets de AWS y servidores elásticos ), la configuración de la infraestructura de datos en los servicios en la nube y más allá tendrá que ser perfecta si las empresas no quieren que termine como el eslabón más débil en su Estrategia de confianza cero.

Confiar o no confiar

La revisión a un marco de seguridad Zero Trust no se logra fácilmente, pero creemos que es una fortaleza para la postura y la conciencia de seguridad general de una organización. Los equipos de TI que buscan convencer a los ejecutivos de la vieja guardia pueden buscar oportunidades principales, entonces, para argumentar. Por ejemplo, si ya hay un movimiento planificado hacia recursos basados ​​en la nube, es un buen momento para sugerir también adoptar Zero Trust.

Los cambios en el panorama de amenazas, incluidas las vulnerabilidades recientes en VPN y Citrix, más el ransomware que se entrega a través del Protocolo de escritorio remoto (RDP), podrían alentar a más organizaciones a investigar una solución de Confianza Cero, aunque solo sea para la gestión de identidad y acceso. Estas organizaciones tendrán que permitir un período de transición y estar preparados para algunos cambios importantes.

Un marco apropiado de Zero Trust que no permita automáticamente el tráfico dentro del perímetro ciertamente obstaculizará el movimiento de amenaza lateral que los piratas informáticos usan para apretar su agarre en una red violada. Las principales amenazas centradas en el negocio, como Emotet y TrickBot, se verían obstaculizadas de propagarse, ya que no podrían trabajar de un servidor a otro en una red segmentada. Dado que el punto de infiltración generalmente no es la ubicación objetivo de un atacante, la configuración de los perímetros internos también puede limitar la gravedad de un ataque exitoso.

Agregue a estas capas una fuerte higiene de la seguridad de los datos y una orquestación inteligente que brinde una amplia cobertura en todos los tipos de amenazas, sistemas operativos y plataformas, y las empresas tienen un marco de seguridad que sería bastante difícil de superar hoy en día. A nuestros ojos, eso hace que Zero Trust sea un héroe.

El phishing , un método de ataque cibernético tan antiguo como los virus y los príncipes nigerianos, sigue siendo uno de los medios más populares para iniciar una violación contra individuos y organizaciones, incluso en 2020. La táctica es tan efectiva que ha generado una multitud de submétodos , incluyendo smishing (phishing a través de SMS), pharming y la técnica del día para este blog: spear phishing.

Pero primero, una parábola rápida.

Un amigo mío recibió una avalancha de correos electrónicos en el transcurso de unos días, todos orientados hacia su cuenta de Netflix.

Click para agrandar

Las pistas que indicaban que algo no estaba bien eran numerosas:

• Hubo media docena de correos electrónicos en lugar de solo uno.
• Todos ellos requerían información de pago, pero cada correo daba una razón diferente de por qué.
• Hubo errores ortográficos en abundancia.
• Los correos electrónicos no fueron personalizados de ninguna manera.

Incluso sin detectar la URL completamente falsa, no HTTPS vinculada desde el cuerpo del correo electrónico, este amigo nunca hubiera caído en la trampa. Por supuesto, tienen un conocimiento decente de los conceptos básicos de seguridad. Sin embargo, considere si el atacante había hecho esto:

• Tomé algunos datos personales de un volcado de datos
• Cazado en línea para cuentas que pertenecen a esta persona, tal vez en las redes sociales
• Comprobado para ver si tenían una cuenta con Netflix
• Diseñó una dirección de correo electrónico de Netflix de imitación
• Se dirigió a la víctima potencial directamente por su nombre
• Incluyó parte o la totalidad de su domicilio
• Hizo uso del corrector ortográfico
• Configure un sitio web HTTPS gratuito
• Usó la versión más actual del logotipo de Netflix

¿Ver la diferencia? Si bien el primer conjunto de correos electrónicos no pasaría bien con un usuario con poco conocimiento, el segundo sería mucho más difícil de detectar como falso.

Y eso es lo que se conoce en el negocio como spear phishing .

¿Qué es el spear phishing?

El único propósito de Spear Phishing es meterse en la cabeza del destinatario y hacerles creer que los mensajes a los que responden son 100% legítimos, logrados debido a toques personales diseñados para hacerles pensar que lo que están tratando es el verdadero negocio.

Si bien podría argumentar que las alarmas deben sonar cuando se le solicitan los detalles de la tarjeta de crédito, con toda honestidad, una vez que el estafador ha arrojado algunos detalles personales en la mezcla, como el nombre y la dirección, puede ser demasiado tarde.

Imagínese si el estafador monitorea las fuentes de las redes sociales para ver cuál muestra su objetivo, y luego dijo algo como «Por favor, asegúrese de que sus datos sean correctos para continuar disfrutando de The Witcher». Ahora agregue una foto de Henry Cavill con un aspecto genial.

Juego. Terminado.

Como es de esperar, este tipo de ataque es bastante difícil de combatir. No ayuda cuando las tonterías completamente aleatorias, como el intento de phishing de Netflix mal hecho, regularmente causan grandes pérdidas en las organizaciones de todo el mundo, a pesar de ser bastante terrible.

¿Cuántas veces hemos visto instalaciones de atención médica e incluso gobiernos municipales locales que no cumplen con el ransomware a través de fingir archivos adjuntos de hojas de cálculo en correos electrónicos falsos de impuestos de recursos humanos? No se equivoquen, este es un problema muy real e inmediato para aquellos atrapados.

Dado que el phishing genérico ya está causando enormes dolores de cabeza tanto a las empresas como a los consumidores, los ciberdelincuentes que utilizan volcados de datos combinados por expertos con técnicas profesionales de ingeniería social tienen una probabilidad cada vez mayor de éxito. Y eso es antes de considerar otras formas de spear phishing, como el secuestro de conversación (más sobre esto más adelante) o los ataques que usan el spear phishing como plataforma de lanzamiento para infectar redes con malware y otras amenazas digitales.

¿Veamos algunos números?

Mira esas verticales

Hace unos años, el costo promedio de la prevención del phishing durante 12 meses fue de $ 319,327 frente al costo significativamente más alto de cualquier ataque exitoso, que pesó $ 1,6 millones . En 2019, las estadísticas que se inclinan fuertemente hacia el spear phishing hablan por sí mismas, y los grandes pagos para los estafadores están a la orden del día.

Los pagos de $ 40 millones, $ 50 millones e incluso $ 70 millones y más son comunes , y eso es antes de llegar al costo de la limpieza y las demandas colectivas . Agregue un poco de daño de reputación y una tormenta de fuego de relaciones públicas, y tendrá todos los ingredientes para una violación exitosa. Para las víctimas, no tanto.

Con la suplantación de identidad (phishing), la más mínima información puede provocar la caída de una organización a medida que corta todas sus defensas de seguridad que de otro modo serían completamente funcionales.

Evolución de la lanza phish

La suplantación de identidad no solo se deja en el ámbito de los correos electrónicos. Los ataques altamente dirigidos también se ramifican en otras áreas, especialmente aquellas llenas de información voluntaria. El secuestro de conversaciones de soporte al cliente en Twitter es un gran ejemplo de esto : los estafadores crean cuentas de soporte de imitación y luego entran en la conversación, llevando a la víctima al centro de phishing. Es un movimiento hábil.

Es discutible la cantidad de estas estafas dirigidas, teniendo en cuenta que están haciendo su ataque sobre la marcha, en lugar de meterse con el conocimiento previamente adquirido. La diferencia aquí es que el reconocimiento está dirigido a la persona a la que la víctima potencial está siendo ayudada , a diferencia de la víctima misma. Tomar nota de cuándo la cuenta de atención al cliente está activa, mirar los Tweets iniciales para que puedan fingir ser la misma persona que ayudó antes, y adoptar algunos de sus gestos del habla / habla corporativa ayudan a crear una ilusión convincente.

En ese momento, todo lo que realmente estamos tratando es un correo electrónico de imitación perfectamente diseñado pero en forma humana, y con la capacidad de interactuar con la víctima. ¿El spear phishing ha visto alguna vez una forma tan potente de ir a la ofensiva? Cuando las personas están felices de utilizar el servicio de atención al cliente para usarlo en su contra, es realmente algo para sentarse y considerar.

Luchando contra la creciente ola de spear phishing

Cualquiera puede ser un objetivo, pero los ejecutivos, especialmente a nivel de CEO, es donde está en términos de grandes puntajes para los delincuentes (una forma de ataque a veces llamada caza de ballenas). Por necesidad, la mayoría de los ejecutivos de las organizaciones están configurados para ser visibles públicamente, y los estafadores se aprovechan de esto. Como se ha mencionado, esta es una de las formas de ataque más difíciles de defender.

Si el componente de ingeniería social está diseñado para abrir la red al abuso de malware , entonces también debemos considerar la infraestructura de seguridad general. El software de seguridad , las actualizaciones, los cortafuegos y más se convierten en herramientas importantes en la guerra contra la suplantación de identidad (phishing), especialmente teniendo en cuenta lo que puede venir después del ataque inicial de la puerta.

Las herramientas como el filtrado y la detección de correo no deseado son excelentes para ataques casuales aleatorios, pero dada la naturaleza directa de la suplantación de identidad, puede ser un puente demasiado lejos para que la automatización lo señale como sospechoso. La capacitación continua y dedicada es importante en todos los niveles del negocio, además de no acostumbrarse a culpar a los empleados y a terceros cuando las cosas salen mal (y eventualmente lo harán). No desea que las personas tengan menos probabilidades de denunciar incidentes por temor a meterse en problemas: no es productivo y no ayudará a nadie.

Las herramientas para ayudar a informar ataques de phishing, ya sea aplicaciones dedicadas o algo basado en la web dentro de la red, siempre son útiles. También es bueno asegurarse de que los departamentos tengan al menos una idea de cuán importantes son los procesos comerciales en otros departamentos. Asegurar la organización es un poco más fácil cuando el departamento A no relacionado es una capa adicional de defensa para el departamento B. No relacionado Preste atención a los recursos humanos, la contabilidad y la interacción ejecutiva de primera línea.

Si su organización aún no ha considerado qué bloquear , nunca ha habido un mejor momento. El informe EC3 de Europol sobre spear phishing se publicó a fines del año pasado y contiene una gran cantidad de información sobre el tema para aquellos que quieran profundizar.

Considere todas las formas de phishing , vea cuáles pueden ser el mayor peligro para su organización y sus empleados, y comience a descubrir la mejor manera de abordar el problema. No te arrepentirás, pero los estafadores ciertamente lo harán.

El periódico de Florida The Tampa Bay Times sufrió un ataque de ransomware Ryuk el jueves, convirtiéndose en la última víctima importante de la notoria familia de ransomware que sigue aumentando en popularidad.

Curiosamente, el periódico es al menos la tercera víctima de Ryuk con sede en Florida en el último año.

El ataque, que The Tampa Bay Times informó sobre sí mismo , no resultó en ningún dato violado. La información confidencial del cliente, como las direcciones de los suscriptores y los detalles de la tarjeta de crédito, no se reveló en la violación, dijo el periódico.

El director digital del Tampa Bay Times , Conan Gallaty, dijo que el periódico tenía «muchos planes para sistemas que se caen», y que su prioridad era restaurar y asegurar las operaciones.

«El enfoque para nosotros es recuperarnos por completo y luego trabajar en nuevas medidas preventivas», dijo Gallaty.

El periódico no respondió a los actores de la amenaza, y Gallaty dijo que el periódico habría rechazado cualquier pago de rescate exigido. Esta oposición incondicional se está volviendo menos común hoy en día, ya que cada vez más empresas se ven obligadas a elegir entre la pérdida de varios cientos de miles de dólares en pagos de rescate o varios cientos de miles de dólares en recuperación de bases de datos y operaciones.

Además, cuando algunas empresas contratan la ayuda de empresas externas de recuperación de malware, pueden suscribirse, silenciosamente, a negociaciones de ransomware. Una investigación de ProPublica el año pasado descubrió que al menos dos empresas de ciberseguridad que promocionaban soluciones tecnológicas supuestamente avanzadas, de hecho, pagarían los rescates exigidos por los actores de amenazas que violaron a sus clientes .

La investigación de dos empresas encontró que:

“Las empresas [de ciberseguridad] son ​​similares en otros aspectos. Ambos cobran a las víctimas honorarios sustanciales además de los montos de rescate. También ofrecen otros servicios, como sellar infracciones para proteger contra futuros ataques. Ambas empresas han utilizado alias para sus trabajadores, en lugar de nombres reales, para comunicarse con las víctimas «.

Aunque The Tampa Bay Times no reveló el vector de ataque del ransomware Ryuk, Gallaty dijo que creía que era poco probable que el periódico fuera un objetivo específico para los actores de la amenaza. Eso es difícil de conciliar con la historia de Ryuk: ya ha sido responsable de paralizar las operaciones de entrega de al menos cuatro periódicos estadounidenses importantes , incluidos The Chicago Tribune y The Los Angeles Times .

Al hablar con The Tampa Bay Times , el investigador senior de seguridad de Malwarebytes, JP Taggart, explicó el cálculo detrás de los posibles objetivos de ransomware Ryuk:

«Están mirando a las personas que tienen más que perder».

Eso es cierto cuando se mira a las víctimas recientes de Ryuk.

En junio de 2019, el gobierno de Lake City, Florida, se detuvo, con teléfonos y sistemas informáticos paralizados después de que los actores de la amenaza implantaran con éxito una variante de Ryuk en la red de la ciudad. Incapaces de solucionar el problema, incluso con la ayuda del FBI, la ciudad tuvo que tomar una decisión. Decidió pagar $ 460,000 . Una situación similar ocurrió meses después, en octubre, cuando el Sistema de Salud DCH con sede en Alabama se vio obligado a cerrar parcialmente tres de sus hospitales después de un ataque de Ryuk. Nuevamente, incapaz de resolver el problema e incapaz de continuar rechazando a todos los pacientes menos a los más críticos, el operador del hospital decidió priorizar la atención al paciente, pagando una cantidad no revelada a los actores de la amenaza.

Esos pagos se suman. Según CrowdStrike, los equipos de despliegue de Ryuk han acumulado más de $ 3.7 millones en rescates pagados .

Sin embargo, cuando los actores de la amenaza de Ryuk no han logrado un gran día de pago, todavía han logrado hacer un daño enorme. En abril de 2019, el Condado de Imperial, California, se negó a pagar un enorme rescate de $ 1.3 millones por un ataque de Ryuk, pero, según The Wall Street Journal , la ciudad ha gastado $ 1.6 millones en esfuerzos de recuperación . A fines de diciembre, la Guardia Costera de Estados Unidos anunció públicamente que sufrió un ataque de Ryuk que cerró una instalación marítima durante 30 horas .

Las campañas de ransomware se volvieron tan comunes que el FBI advirtió al público que los actores de amenazas habían utilizado Ryuk para atacar a más de 100 empresas estadounidenses e internacionales desde su aparición en agosto de 2018.

Según los nuevos datos de Malwarebytes, esos ataques han continuado. Del 1 al 23 de enero de 2020, Malwarebytes registró un total de 724 detecciones de Ryuk. Las detecciones diarias fluctuaron, con el recuento de detección más bajo a los 18 años el 6 de enero y el recuento de detección más alto a los 47 el 14 de enero.

El ransomware con frecuencia funciona junto con Emotet y TrickBot en ataques de varias etapas. Esas familias separadas de malware también han estado activas en el nuevo año, con pequeños picos en las miles de detecciones. Emotet, particularmente, se puso en marcha nuevamente a partir del 13 de enero .

Como explicamos antes en nuestro foco de amenaza sobre Ryuk :

“La primera etapa del ataque comienza con un archivo de documento armado de Microsoft Office, es decir, contiene un código macro malicioso, adjunto a un  correo electrónico de phishing . Una vez que el usuario lo abre, la macro maliciosa se ejecutará  cmd y ejecutará un comando de PowerShell. Este comando intenta descargar  Emotet .

Una vez que Emotet se ejecuta, recupera y ejecuta otra carga maliciosa, generalmente  TrickBot, y recopila información sobre los sistemas afectados. Inicia la descarga y ejecución de TrickBot al contactar y descargar desde un host malicioso remoto preconfigurado.

Una vez infectados con TrickBot, los actores de la amenaza verifican si el sistema es parte de un sector al que se dirigen. Si es así, descargan una carga útil adicional y usan las credenciales de administrador robadas con TrickBot para realizar movimientos laterales para alcanzar los activos que desean infectar.

Los actores de la amenaza comprueban y establecen una conexión con los servidores en vivo del objetivo a través de un  protocolo de escritorio remoto (RDP) . A partir de ahí, dejan caer a Ryuk.

El Tampa Bay Times no especificó qué sistemas, o cuántas computadoras, fueron interrumpidas en el ataque del jueves. En cambio, el único indicio de inconveniente en la rutina del periódico fue el reconocimiento de que el periódico del viernes se publicaría con una fecha límite anterior.

En un raro ejemplo de apuro legislativo, se introdujeron aproximadamente una docena de proyectos de ley estatales y federales en los últimos 12 meses para regular las falsificaciones profundas, la tecnología relativamente moderna que algunos temen podría anular la democracia.

Aunque las propuestas federales aún tienen que avanzar, los proyectos de ley estatales han tenido un rápido éxito en casa. Ya tres estados, California, Virginia y Texas, han promulgado leyes falsas, y hay legislación pendiente en Massachusetts, Nueva York y Maryland, que presentó su propia ley el 16 de enero de este año.

Las leyes y la legislación pendiente varían en alcance, sanciones y enfoque.

La ley de Virginia modifica la ley penal actual sobre el porno de venganza, por lo que es un delito, por ejemplo, insertar la imagen digital de una mujer en un video pornográfico sin su consentimiento. La ley de Texas, por otro lado, prohíbe el uso de falsificaciones profundas para la interferencia electoral, como hacer un video que muestra fraudulentamente a un candidato político en un mitin neonazi un mes antes de una elección.

Un proyecto de ley de Nueva York aborda un tema completamente diferente: cómo tratar la imagen digital de una persona fallecida, una realidad que está llegando a una pantalla cerca de usted (protagonizada por James Dean). Y dos leyes estatales potencialmente abordan la creciente amenaza de «fraudes baratos», fraudes digitales de baja tecnología que no requieren herramientas de inteligencia artificial para hacer.

Se espera esta experimentación legislativa para una tecnología emergente, dijo Matthew F. Ferraro, asociado senior de la firma de abogados WilmerHale que asesora a clientes sobre seguridad nacional, seguridad cibernética y gestión de crisis.

«De alguna manera, este es [un ejemplo] de los laboratorios de la democracia», dijo Ferraro, citando una idea popularizada hace décadas por el juez de la Corte Suprema Louis Brandeis. «Esto es lo que la gente anima».

Pero una categoría de legislación de falsificación profunda se ha ganado más malestar que otras, del tipo que únicamente regula la posible interferencia electoral. Grupos como la Unión Americana de Libertades Civiles, Electronic Frontier Foundation y First Draft, que investiga y combate la desinformación, advierten sobre amenazas a la libertad de expresión.

Además, priorizar la legislación política de falsificaciones profundas podría, en efecto, desestabilizar el problema más grande de la pornografía de falsificación profunda, que representa un enorme 96 por ciento del material de falsificación profunda en línea hoy , dijo Adam Dodge, fundador de la organización sin fines de lucro End Technology-Abuse, o EndTAB.

«Creo que es importante que abordemos el daño futuro, simplemente no quiero que eso ocurra a expensas de las personas que se ven perjudicadas en este momento», dijo Dodge. «Tenemos cuatro leyes profundas en los libros en los Estados Unidos, y el 50 por ciento de ellas no abordan el 96 por ciento del problema».

Hoy, Malwarebytes ofrece una visión más detallada de la legislación y las leyes de deepfakes en los Estados Unidos, siguiendo nuestro análisis la semana pasada de las primeras reglas federales de deepfake del país . Mucho más allá de lo que requiere ese lenguaje, los siguientes proyectos de ley y leyes exigen sanciones civiles y penales, y abordan directamente las preocupaciones de desinformación política y pornografía no consensuada.

Legislación federal de falsificaciones profundas ante el Congreso

Ante los legisladores en Washington, DC, hay al menos cuatro proyectos de ley federales falsos tanto en la Cámara de Representantes de Estados Unidos como en el Senado. Son:

• La Ley de Identificación de Salidas de Redes Adversarias Generativas (IOGAN)
• La Ley del Informe Deepfake de 2019
• Un proyecto de ley para exigir al Secretario de Defensa que realice un estudio sobre la explotación cibernética de los miembros de las Fuerzas Armadas y sus familias y para otros fines
• La defensa de todas y cada una de las falsas apariencias manteniendo sujeto de explotación (FALSAS PROFUNDAS) a la Ley de Responsabilidad

Los proyectos de ley en gran medida el uno al otro. La Ley IOGAN, por ejemplo, requeriría que los directores de la Fundación Nacional de Ciencia y el Instituto Nacional de Estándares y Tecnología presenten informes al Congreso sobre posibles oportunidades de investigación con el sector privado del país para detectar falsificaciones profundas.

La Ley de Informe de Deepfake requeriría que el Departamento de Seguridad Nacional presente un informe al Congreso sobre las tecnologías utilizadas para crear y detectar las falsificaciones. El proyecto de ley de «explotación cibernética» del senador Ben Sasse requeriría que el Secretario de Defensa estudie las vulnerabilidades potenciales de los miembros de las fuerzas armadas de EE. UU. A la explotación cibernética, incluidas «imágenes y videos malversados, así como falsificaciones profundas».

Sin embargo, la Ley de Responsabilidad FALSA PROFUNDA se extiende más allá de los requisitos de informes e investigación. Si se aprueba, el proyecto de ley requeriría que cualquiera que haga una falsificación profunda, ya sea imagen, audio o video, etiquete la falsificación profunda con una «marca de agua» que muestre la fraudulencia de la falsificación profunda.

Pero Dodge dijo que las marcas de agua y las etiquetas no ayudarían a nadie cuya imagen se use en un video porno falso sin consenso.

«La realidad es que, cuando se trata de la batalla contra las falsificaciones profundas, todos se centran en la detección, en desacreditar y desenmascarar un video como una falsificación profunda», dijo Dodge. «Eso no ayuda a las mujeres, porque a las personas que miran esos videos no les importa que sean falsas».

La Ley de Responsabilidad de FALSAS PROFUNDAS convertiría en delito dejar de proporcionar esa marca de agua, castigada con hasta cinco años de prisión. Además, el proyecto de ley impondría una multa civil de hasta $ 150,000 por cada falla intencional de proporcionar una marca de agua en una falsificación profunda.

Según Electronic Frontier Foundation, esas son sanciones severas por actividades que el proyecto de ley en sí mismo no define por completo. Por ejemplo, hacer una falsificación profunda con la intención de «humillar» a alguien se convertiría en un delito, pero no hay una definición clara de lo que significa ese término, o si esa humillación requeriría daño. En el intento del proyecto de ley para detener la actividad engañosa y maliciosa, dijo la organización, puede haber llegado demasiado lejos.

«La [Ley de Responsabilidad de FALSIDAD PROFUNDA] subraya una pregunta clave que debe ser respondida: desde una perspectiva legal y legislativa, ¿cuál es la diferencia entre un video malicioso ‘deepfakes’ y una sátira, parodia o entretenimiento?» , Escribió la organización . «Lo que los legisladores han discutido hasta ahora muestra que no saben cómo hacer estas distinciones».

En todo el estado, las preocupaciones cambian a si la legislación de falsificación profunda tendrá el efecto deseado.

Leyes y leyes estatales de deepfakes

El verano pasado, las advertencias sobre la democratización de la tecnología de deepfakes se hicieron realidad: una nueva aplicación ofrecida de forma gratuita en Windows brindaba a los usuarios la capacidad de quitar la ropa de las fotos cargadas de mujeres . La aplicación, llamada DeepNude, fue descubierta por primera vez por Motherboard. Se cerró solo horas después de que el medio publicó su primer artículo .

Menos de una semana después, entró en vigencia una nueva ley de falsificación profunda en Virginia. Los legisladores estatales lo aprobaron meses antes, en marzo.

Única en comparación con las leyes estatales de deepfake posteriores, la ley de Virginia no creó un nuevo delito para la creación y distribución de deepfake, sino que amplió su ley actual sobre el porno de venganza para incluir material de deepfakes. Ahora, en Virginia, cualquiera que comparta o venda imágenes y videos de desnudos o sexuales, incluidos los falsos, con la intención de «coaccionar, acosar o intimidar», es culpable de un delito menor de Clase 1.

Dodge dijo que apreciaba el enfoque de Virginia.

«La ley de Virginia es interesante porque es la única ley que ha tomado la sección existente del código penal de pornografía no consensuada y la ha modificado para incluir la pornografía profunda», dijo Dodge, «y eso me gusta».

Poco después de que Virginia promulgara su ley de falsificación profunda, Texas la aprobó y aprobó una ley que se centró en la interferencia electoral. De acuerdo con la ley, el acto de crear y compartir un video falso dentro de los 30 días de una elección con la intención de «dañar a un candidato o influir en el resultado de una elección» es ahora un delito menor de Clase A. La definición de la ley de una falsificación profunda es amplia: un video «creado con la intención de engañar, que parece representar a una persona real realizando una acción que no ocurrió en la realidad».

La ley ya recibió un caso de uso de alto perfil: el alcalde de Houston Sylvester Turner le pidió al fiscal de distrito que investigara la campaña de su oponente para hacer un anuncio de televisión que mostrara fotos editadas del alcalde, junto con un texto supuestamente falso que envió.

En octubre, California siguió tanto a Virginia como a Texas, aprobando dos leyes: una para prohibir la pornografía no consensuada de pornografía profunda y la otra para prohibir las falsificaciones profundas utilizadas para afectar el resultado de una próxima elección.

El autor de los proyectos de ley, el miembro de la Asamblea Marc Berman, dijo que escribió el último proyecto de ley después de que alguien creó y compartió un video alterado de Nancy Pelosi, que parecía mostrarla como discapacitada o borracha. Pero el video distaba mucho de ser falso. En cambio, su creador simplemente tomó imágenes del Presidente de la Cámara de Representantes y lo desaceleró, haciendo lo que ahora se conoce como una «falsificación barata».

Sin embargo, Ferraro dijo que tratar de aprobar legislación para evitar falsificaciones baratas será difícil.

«Va a ser muy difícil redactar un proyecto de ley que capture todos los llamados falsos baratos, porque la edición regular de videos podría caer dentro de una definición que es demasiado amplia», dijo Ferraro, explicando que las entrevistas estándar de transmisión diaria incorporan innumerables ediciones que pueden cambiar la impresión general de la entrevista para el público, incluso cuando las ediciones se realizan por razones no maliciosas, como separarse de un candidato político para dar un discurso para mostrar a su audiencia.

«Ese es el tipo de problema de la fake barato: la edición simple puede dar impresiones muy diferentes, en función del contenido», dijo Ferraro.

Mientras California, Texas y Virginia trabajan en la aplicación de sus leyes, Maryland, Nueva York y Massachusetts están considerando sus propios enfoques para legislar falsificaciones profundas.

El 16 de enero, Maryland presentó un proyecto de ley dirigido a las falsas influencias políticas. El proyecto de ley, que tiene una audiencia programada para principios de febrero, prohíbe que las personas «influyan o intenten influir intencionalmente o deliberadamente en la decisión de un votante de ir a las urnas o de votar por un candidato en particular mediante la publicación, distribución o difusión de una falsificación profunda». en línea dentro de los 90 días de una elección «.

La legislación de falsificación profunda de Massachusetts penalizaría el uso de falsificaciones profundas por «conducta criminal o tortuosa», lo que en efecto haría ilegal el uso de falsificaciones profundas junto con la realización de otros delitos. Entonces, ¿cometer fraude? Eso es un crimen ¿Pero desplegar una imitación profunda para ayudar a cometer ese fraude? Bueno, eso también sería un crimen.

Finalmente, en Nueva York, los legisladores estatales están tratando de legislar un aspecto diferente de las falsificaciones profundas y las recreaciones digitales: los derechos a la imagen digital de un individuo. El proyecto de ley se presentó el año pasado, expiró y luego se volvió a presentar. Protegería la imagen digital de una persona 40 años después de su muerte. El proyecto de ley también crearía un registro para los familiares sobrevivientes para registrar su control de la semejanza de un pariente fallecido.

La Screen Actors Guild ‐ American Federation of Television and Radio Artists apoyó el proyecto de ley.

«La sólida comunidad de desempeño del estado no debería tener que soportar años de litigios costosos para proteger sus medios de vida básicos y su legado artístico», dijo el grupo .

Los principales estudios cinematográficos, incluidos Disney, Warner Bros. y NBCUniversal se opusieron al proyecto de ley. Aunque los cineastas de Disney dijeron que recibieron la aprobación del patrimonio del difunto actor Peter Cushing para usar su imagen en la película de 2017 Star Wars: Rogue One, no es difícil ver por qué la aprobación requerida para futuros proyectos sería un obstáculo para Hollywood.

¿Qué sigue?

La oposición a las leyes de falsificación profunda es clara: tales leyes podrían ser excesivas, desinformadas y, en su intento de regular un problema, en realidad pisotear los derechos protegidos de los estadounidenses.

La pregunta más importante es, ¿ha tenido éxito la oposición? En una palabra, no.

Texas aprobó su ley de falsificación de interferencias electorales sin votos de oposición registrados ni en la Cámara ni en el Senado (aunque dos miembros de la Cámara fueron un «sin voto» y cuatro se abstuvieron). De manera similar, California aprobó su ley de falsificación de interferencia electoral en una votación de 67-4 en la Asamblea y una votación de 29-7 en el Senado . Después de la votación, la ACLU de California escribió al gobernador de California, pidiéndole un veto. No funcionó.  

Sin embargo, en Washington, DC, la situación podría ser diferente, ya que el mes pasado se aprobaron nuevas reglas federales sobre la investigación de falsificación profunda. Esas reglas requieren que el Director de Inteligencia Nacional presente un informe al Congreso en 180 días sobre las capacidades de falsificación profunda en todo el mundo y las posibles contramedidas en los Estados Unidos. Hasta que se presente ese informe, los senadores y representantes podrían tener poco apetito para avanzar.

Al igual que el alcance general de las leyes de privacidad de datos el año pasado, el futuro de las leyes falsas depende de la voluntad política, la popularidad y si los legisladores tienen tiempo para redactar y aprobar dicha legislación. Es, después de todo, un año electoral.

¿Cómo saben sus marcas favoritas usar su nombre en la línea de asunto de sus correos electrónicos? ¿Por qué parece obtener descuentos y ofertas especiales en productos que ha comprado recientemente? Las empresas pueden personalizar sus mensajes de marketing gracias al enriquecimiento de datos.

El enriquecimiento de datos se aplica al proceso de mejorar, refinar y mejorar los datos sin procesar. Por lo general, es el último paso en la construcción de un conjunto de datos para una campaña de marketing, pero se puede utilizar para varios otros objetivos.

El enriquecimiento por contacto es la forma más común de enriquecimiento de datos. El enriquecimiento de contactos es el proceso de agregar información adicional a los contactos existentes para obtener datos más completos.

Considere, por ejemplo, el escenario en el que una base de datos contiene nombres y direcciones, pero le faltan números de teléfono que los equipos de ventas necesitarán para comunicarse con los posibles clientes. Una opción es aplicar el enriquecimiento de contactos que puede hacer coincidir los datos que contiene la base de datos existente con los números de teléfono que figuran en otra base de datos.

Definición de enriquecimiento de datos, extendido

El enriquecimiento de datos se define como la fusión de datos de terceros de una fuente autorizada externa con una base de datos existente de datos de clientes de terceros. Algunas organizaciones hacen esto para mejorar los datos que ya poseen para que puedan tomar decisiones más informadas.

En términos más generales, el enriquecimiento de datos se refiere a los procesos utilizados para mejorar, refinar o mejorar los datos sin procesar. En este contexto, abarca toda la estrategia y el proceso necesarios para mejorar las bases de datos existentes. Esta idea y otros conceptos relacionados son esenciales para hacer de los datos un activo valioso para casi cualquier empresa moderna.

Procesos de enriquecimiento de datos.

Aunque el enriquecimiento de datos se puede lograr de varias maneras diferentes, muchas de las herramientas utilizadas para refinar datos en un conjunto de datos se centran en corregir errores o completar datos incompletos. Un proceso común de enriquecimiento de datos, por ejemplo, corregiría errores ortográficos probables o errores tipográficos en una base de datos mediante el uso de algoritmos de precisión diseñados para ese propósito. Y algunas herramientas de enriquecimiento de datos también podrían agregar información a tablas de datos simples.

Otra forma en que el enriquecimiento de datos puede funcionar es extrapolando datos. A través de metodologías como la lógica difusa, los ingenieros pueden producir información adicional a partir de un conjunto de datos brutos dado. Este y otros proyectos similares también pueden describirse como actividades de enriquecimiento de datos.

El enriquecimiento de datos también puede incluir la fusión de tablas de datos en un nuevo conjunto de datos mediante el uso de los campos correspondientes. En términos simples: las empresas pueden comprar el acceso a otras bases de datos y buscar información adicional sobre sus clientes, agregando esa información a su propia base de datos.

Preocupaciones sobre la privacidad

La fusión o combinación de datos casi nunca ocurre después de que se le haya pedido permiso a un sujeto. Esto plantea un problema de privacidad, ya que los usuarios suelen tener una idea razonable sobre qué información han proporcionado a una organización específica, pero si las organizaciones agregan información de otras bases de datos, esta imagen será sesgada. La organización tendrá información sobre ellos de la cual no están al tanto.

Mientras esta sea información generalmente disponible, el problema es menor. Pero considere el famoso ejemplo de su compañía de seguros obteniendo los datos recopilados en la tarjeta de cliente de su supermercado. Saber lo que compra y consume puede ser algo que preferiría ocultarles.

Existen algunas normas de privacidad que limitan el enriquecimiento de datos por este mismo motivo. El Reglamento General de Protección de Datos (GDPR) es un reglamento sobre protección de datos y privacidad en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). También aborda la transferencia de datos personales fuera de las áreas de la UE y el EEE. GDPR permite a los clientes preguntar qué información está presente sobre ellos en la base de datos de una organización y eliminar registros o partes de los registros.

Dado que GDPR también regula el intercambio y la transferencia de datos personales, esto puede limitar severamente la elección de una organización de proveedores de enriquecimiento de datos. En la terminología GDPR, cualquier proveedor de datos que utilice es un «Procesador de datos». Para enviar los datos de los ciudadanos de la UE a cualquier Proveedor de datos para cualquier propósito, incluido el enriquecimiento, debe tener un Acuerdo de procesamiento de datos (DPA) firmado con el vendedor.

Un DPA es un contrato legalmente vinculante que establece los derechos y obligaciones de cada parte con respecto a la protección de datos personales. Son obligatorios para establecer una cadena de responsabilidad por el uso y la seguridad de los datos personales.

Pasos para el enriquecimiento exitoso de datos

Hay algunas cosas que hacer antes de embarcarse en un proceso exitoso de enriquecimiento de datos:

• Desinfecte sus propios datos, o terminará pagando por datos que nunca usará. Obtener información adicional sobre personas no existentes o agregar a registros incompletos es un desperdicio.
• Determine sus objetivos y propósito para el ejercicio de enriquecimiento de datos. Nuevamente, evite pagar por datos que resulten inútiles. No pague por tablas de datos solo porque están disponibles. Si no los va a usar, omítalos.
• Determine qué procesos admitirán los datos enriquecidos. ¿El rendimiento proyectado superará el costo?
• Determine su mercado objetivo en términos de perfiles de cuenta y personas. ¿Desea los datos de un subconjunto de clientes que cumplen con ciertos criterios, o le gustaría, por ejemplo, excluir a los residentes de los países que aplican el RGPD?

Desinfectar no solo significa eliminar duplicados, sino también verificar la validez de los datos más antiguos y la utilidad de las entradas que fueron completadas por clientes o posibles clientes, en su sitio web, por ejemplo.

Una vez que haya determinado sus objetivos y haya decidido qué datos son cruciales para lograr estos objetivos, comience a buscar un proveedor de datos. Algunos pueden ser más caros pero más fuertes en un determinado campo de datos. Puede maximizar su éxito al encontrar el proveedor de datos que mejor se adapte a sus necesidades.

No todo el enriquecimiento de datos te hace rico

Tenga en cuenta que comprar y almacenar los datos adicionales le costará. Es necesario hacer una copia de seguridad y proteger los datos, y los costos de almacenamiento pueden ascender a una suma considerable dependiendo del tamaño de los conjuntos de datos. Y si los datos no se mantienen actualizados, es posible que pronto pierdan su valor.

Finalmente, si alguna vez se viola, la cantidad y el tipo de datos filtrados son factores determinantes para la consiguiente pérdida de reputación.

Si alguna vez se encuentra en el extremo receptor de un ataque de rootkit, comprenderá por qué hoy en día se consideran una de las amenazas cibernéticas más peligrosas.

Los rootkits son un tipo de malware diseñado para permanecer sin ser detectado en su computadora. Los ciberdelincuentes usan rootkits para acceder y controlar su máquina de forma remota, enterrándose profundamente en el sistema como una garrapata enganchada. Los rootkits generalmente infectan las computadoras a través del correo electrónico de phishing , engañando a los usuarios con un correo electrónico de aspecto legítimo que en realidad contiene malware, pero a veces se pueden entregar a través de kits de explotación.

Este artículo proporciona una descripción general de los diferentes tipos de rootkits y explica cómo puede evitar que infecten su computadora.

¿Qué es un rootkit?

Originalmente, un rootkit era una colección de herramientas que permitían el acceso administrativo a una computadora o red. Hoy en día, los rootkits están asociados con un tipo de software malicioso que proporciona acceso privilegiado a nivel de raíz a una computadora mientras oculta su existencia y sus acciones. Los hackers usan rootkits para ocultarse hasta que deciden ejecutar su malware malicioso.

Además, los rootkits pueden desactivar el software antimalware y antivirus y dañar gravemente las aplicaciones en modo de usuario. Los atacantes también pueden usar rootkits para espiar el comportamiento del usuario, lanzar ataques DDoS , escalar privilegios y robar datos confidenciales.

Posibles resultados de un ataque de rootkit

Hoy en día, los autores de malware pueden comprar fácilmente rootkits en la web oscura y usarlos en sus ataques. La siguiente lista explora algunas de las posibles consecuencias de un ataque de rootkit.

Datos confidenciales robados

Los rootkits permiten a los piratas informáticos instalar software malicioso adicional que roba información confidencial, como números de tarjetas de crédito, números de seguridad social y contraseñas de usuarios, sin ser detectados.

Infección de malware

Los atacantes usan rootkits para instalar malware en computadoras y sistemas sin ser detectados. Los rootkits ocultan el software malicioso de cualquier anti-malware o antivirus existente, a menudo desactivando el software de seguridad sin el conocimiento del usuario. Como resultado del software antimalware y antivirus desactivado, los rootkits permiten a los atacantes ejecutar archivos dañinos en computadoras infectadas.

Eliminación de archivos

Los rootkits otorgan acceso a todos los archivos y comandos del sistema operativo. Los atacantes que usan rootkits pueden eliminar fácilmente directorios, claves de registro y archivos de Linux o Windows.

Espionaje

Los ciberdelincuentes aprovechan los rootkits para explotar redes no seguras e interceptar información personal del usuario y comunicaciones, como correos electrónicos y mensajes intercambiados por chat.

Control remoto 

Los hackers usan rootkits para acceder de forma remota y cambiar las configuraciones del sistema. Luego, los piratas informáticos pueden cambiar los puertos TCP abiertos dentro de los firewalls o cambiar los scripts de inicio del sistema. 

Tipos de ataques de rootkit

Los atacantes pueden instalar diferentes tipos de rootkit en cualquier sistema. A continuación, encontrará una revisión de los ataques rootkit más comunes.

Rootkits de aplicaciones

Los rootkits de aplicaciones reemplazan archivos legítimos con archivos rootkit infectados en su computadora. Estos rootkits infectan programas estándar como Microsoft Office, Notepad o Paint. Los atacantes pueden obtener acceso a su computadora cada vez que ejecuta esos programas. Los programas antivirus pueden detectarlos fácilmente, ya que ambos operan en la capa de aplicación.

Kits de root del kernel

Los atacantes usan estos rootkits para cambiar la funcionalidad de un sistema operativo insertando código malicioso en él. Esto les da la oportunidad de robar fácilmente información personal.

Rootkits del cargador de arranque

El mecanismo del gestor de arranque es responsable de cargar el sistema operativo en una computadora. Estos rootkits reemplazan el cargador de arranque original con uno infectado. Esto significa que los rootkits del cargador de arranque están activos incluso antes de que el sistema operativo esté completamente cargado.

Rootkits de hardware y firmware

Este tipo de rootkit puede obtener acceso al sistema BIOS de la computadora o a los discos duros, así como a enrutadores, chips de memoria y tarjetas de red.

Rootkits virtualizados

Los rootkits virtualizados aprovechan las máquinas virtuales para controlar los sistemas operativos. Fueron desarrollados por investigadores de seguridad en 2006 como prueba de concepto.

Estos rootkits crean una máquina virtual antes de que se cargue el sistema operativo, y luego simplemente toman el control de su computadora. Los rootkits virtualizados operan a un nivel más alto que los sistemas operativos, lo que los hace casi indetectables.

Cómo prevenir un ataque de rootkit

Los ataques de rootkits son peligrosos y dañinos, pero solo infectan tu computadora si de alguna manera lanzaste el software malicioso que lleva el rootkit. Los consejos a continuación describen los pasos básicos que debe seguir para prevenir la infección de rootkit.

Escanea tus sistemas

Los escáneres son programas de software destinados a analizar un sistema para deshacerse de los rootkits activos.

Los escáneres de rootkits suelen ser eficaces para detectar y eliminar rootkits de aplicaciones. Sin embargo, no son efectivos contra el kernel, el gestor de arranque o los ataques de firmware. Los escáneres a nivel de núcleo solo pueden detectar código malicioso cuando el rootkit está inactivo. Esto significa que debe detener todos los procesos del sistema e iniciar la computadora en modo seguro para escanear el sistema de manera efectiva.

Los expertos en seguridad afirman que un solo escáner no puede garantizar la seguridad completa de un sistema, debido a estas limitaciones. Por lo tanto, muchos aconsejan usar múltiples escáneres y eliminadores de rootkits . Para protegerse completamente contra los ataques de rootkits a nivel de arranque o firmware, debe hacer una copia de seguridad de sus datos y luego reinstalar todo el sistema.

Evitar intentos de phishing

El phishing es un tipo de ataque de ingeniería social en el que los piratas informáticos utilizan el correo electrónico para engañar a los usuarios para que hagan clic en un enlace malicioso o descarguen un archivo adjunto infectado.

El correo electrónico fraudulento puede ser cualquier cosa, desde estafas de príncipes nigerianos que solicitan recuperar oro a mensajes falsos de Facebook solicitando que actualice sus credenciales de inicio de sesión. Los archivos adjuntos infectados pueden ser documentos de Excel o Word, un programa ejecutable normal o una imagen infectada.

Actualiza tu software

Muchos programas de software contienen vulnerabilidades y errores que permiten a los ciberdelincuentes explotarlos, especialmente el software heredado más antiguo. Por lo general, las empresas lanzan actualizaciones periódicas para corregir estos errores y vulnerabilidades. Pero no todas las vulnerabilidades se hacen públicas. Y una vez que el software ha alcanzado cierta edad, las compañías dejan de apoyarlos con actualizaciones.

Las actualizaciones continuas de software son esenciales para mantenerse a salvo y evitar que los piratas informáticos lo infecten con malware. Mantenga todos los programas y su sistema operativo actualizados, y puede evitar los ataques de rootkits que aprovechan las vulnerabilidades.

Use antivirus de última generación

Los autores de malware siempre intentan estar un paso por delante de la industria de la ciberseguridad. Para contrarrestar su progreso, debe usar programas antivirus que aprovechen las técnicas de seguridad modernas, como la detección de anomalías basada en el aprendizaje automático y la heurística del comportamiento. Este tipo de antivirus puede determinar el origen del rootkit en función de su comportamiento, detectar el malware y evitar que infecte su sistema.

Monitoree el tráfico de red

Las técnicas de monitoreo de tráfico de red analizan los paquetes de red para identificar el tráfico de red potencialmente malicioso. El análisis de red también puede mitigar las amenazas más rápidamente al tiempo que aísla los segmentos de red que están bajo ataque para evitar que el ataque se propague.

La prevención del rootkit supera la limpieza

Un rootkit es uno de los tipos de malware más difíciles de encontrar y eliminar. Los atacantes los usan con frecuencia para controlar remotamente su computadora, espiar su comunicación de red o ejecutar ataques de botnet . 

Este es un tipo de malware desagradable que puede afectar seriamente el rendimiento de su computadora y provocar el robo de datos personales. Como es difícil detectar un ataque de rootkit, la prevención suele ser la mejor defensa. Use los consejos ofrecidos en este artículo como punto de partida para su estrategia de defensa. Para garantizar una protección continua, continúe aprendiendo. Los ataques siempre cambian, y es importante mantenerse al día.