23.8.16

La detección y respuesta en endpoints, una tendencia con futuro. Por Edgar Vásquez Cruz

 Es un día viernes y un hombre joven, con conocimientos de programación, empleado de una empresa, llega a casa, enciende su computadora, se conecta a Internet, después entra a la Deep Web con un programa y luego va más lejos, entra a un sitio en la Dark Web y busca un servicio que le permite crear un nuevo código malicioso, un ransomware con el cual, está decidido, va a ganar mucho dinero extorsionando personas, que no conoce, en varios países.

Las amenazas digitales no han dejado de aumentar en Internet, cada día surgen variantes más poderosas de antiguo malware a las que los cibercriminales agregan características nuevas para que no sean detectadas y evadir así la protección que exista en los puntos terminales de las redes locales o LAN (Local Area Network) de las empresas.   
Podemos llamarle Juan (o cualquier otro nombre), lo importante es que decidió cometer un delito: hace unas semanas compró una base de datos con millones de correos electrónicos y después de pagar con bitcoins por un servicio para lanzarlos, acompañados con un ransomware “nuevo” disfrazado de una invitación “gratis” (palabra que siempre funciona para las futuras víctimas hagan clic en un correo) a un sitio para adultos.
Por si el creciente número y la complejidad de los ataques fueran poco, las amenazas están siendo diseñadas para golpear varios puntos a la vez para intentar conseguir acceso a sistemas valiosos así como a datos por medio de diferentes accesos, lo cual los hace difíciles de ser contenidos con una sola aplicación o sistema.
Juan ya había creado previamente un sitio web con fotografías de mujeres (compradas en un precio muy bajo en la Dark web) que “quieren ser tus amigas”, como dice el cuerpo del correo que ya tiene listo desde hace algunos días.
Entonces ¿qué debe hacer una compañía no sólo para detener la avalancha de amenazas sino para detectarlas al mismo tiempo que se protege contra ellas? Se requiere, primero, que los responsables de la seguridad digital obtengan tanto conocimientos para entender las amenazas, como la capacidad necesaria para automatizar la protección.
La inversión de tiempo y dinero que hizo “Juan” no es poca, pero está seguro, no sólo de recuperarla, sino de obtener unas ganancias considerables porque su ransomware es indetectable (al menos eso le aseguraron en la “tienda” dentro de la dark web).
La seguridad de las empresas requiere que contar con detección y respuesta a amenazas para puntos terminales, conocida  como EDR por sus siglas en inglés (endpoint detection and response), la cual puede reforzar la seguridad centralizada ya existente con protección extra en el acceso a su red local para detener las amenazas, además de parar aquellos intentos para tener acceso a la entrada.
Además Juan confía en que muchos usuarios y empresas no están preparados para un ataque como el que ha iniciado.
Con todo el checklist de su “arsenal” revisado y verificado, Juan inicia el ataque y oprime el botón que dará inicio a uno más de los miles de ataques que ocurren a diario en la web. 
¿Qué características debe tener una solución EDR? De acuerdo con Gartner[i] debe ser capaz de:
  • Descubrir incidentes de seguridad.
  • Parar cualquier posible amenaza en el punto terminal para que la información que circula por la red o los procesos que estén ejecutándose sean controlados a distancia.
  • Tener capacidad de examinar incidentes de seguridad.
  • Reparar los endpoints a fondo para que puedan recuperar el estatus anterior a ser infectados.

En otras palabras, una solución que permita la detección y respuesta a amenazas en puntos terminales no sólo debe detener ataques sino identificarlos con detalle, informar cuáles están siendo atacados, cuál es la vulnerabilidad de los datos y ser capaz de reparar los daños rápidamente para así reducir la ventana de exposición.

Para conseguir que las soluciones protejan el punto terminal como antivirus, sistemas detectores de intrusos (IPS), gateways y firewalls, y estos a su vez puedan trabajar en conjunto, compartir información y responder rápidamente, es necesario, además, tener una arquitectura común integrada que permitirá a estas soluciones colaborar y responder rápidamente, disminuir la complejidad y evitar que se superpongan.

Hay tres factores esenciales de la detección y respuesta a amenazas para puntos terminales de Intel Security, que son la base para lograr una prevención efectiva: automatización, adaptabilidad y monitoreo continuo:

Automatización: la solución crea trampas y activadores, utilizando la lógica, que se basan en varios parámetros. Cuando un indicador de ataque es detectado la solución de seguridad para puntos terminales activa acciones especiales que son definidas por el usuario con el fin de gestionar adecuadamente cada evento.

Adaptabilidad: luego de informar a los administradores de un indicador de ataque, la solución para puntos terminales elige y enciende una respuesta adaptable de acuerdo con el tipo de ataque encontrado.

Monitoreo continuo: nuestra tecnología persistente determina activadores y alertas para cada ataque, con lo que mantiene a su empresa al día de cualquier evento.

La propuesta de Intel security para lograr la detección y respuesta a amenazas para puntos terminales es una solución EDR que incluye:

McAfee Endpoint Security 10, la cual utiliza tecnologías con capacidad no sólo para  comunicar, sino para aprender unas de las otras en tiempo real y así luchar contra las amenazas avanzadas, además de entregar conocimiento con análisis forenses de amenazas accionables. Además esta solución es extensible pues fue creada pensando en el futuro, lo cual permite administrar más sus soluciones de endpoint de manera centralizada conforme crece su empresa.

Por su lado, McAfee Active Response puede integrarse perfectamente con antivirus, gateway y sistemas de detección de intrusiones, lo cual además de fortalecer las inversiones hechas por las empresas, hace más fácil intercambiar inteligencia de seguridad con base en la actividad en diferentes ubicaciones de endpoint y conocimiento accionable proveniente del intercambio de inteligencia de amenazas de la compañía

22.8.16

¿Qué podría salir mal con Pokémon?

Si usted es como yo, su feed de Facebook (y Twitter, Instagram, Vine, etc.), probablemente ha sido bombardeado con todas las cosas relativas a Pokémon estos últimos días. Si se pregunta por qué, es debido al lanzamiento de Nintendo de Pokémon Go para Android e IOS el 7 de julio. Para los no iniciados, Pokémon Go pone al jugador en el papel de un entrenador Pokémon, viajando por el mundo para encontrar un nuevo Pokémon (un diminutivo japonés de "monstruo de bolsillo") y capturarlo. A diferencia de las versiones anteriores de este juego extremadamente popular (los últimos 2 juegos de Pokémon vendieron más de 25 millones de copias), esta versión es una aplicación de "realidad aumentada" que es una superposición sobre Google Maps.

En vez de usar un controlador para mover su personaje en el juego, usted mueve su personaje moviéndolo en vida real. ¿Ve un Pokémon en la calle desde su casa? ¡Pues salga y vaya por él! Es una interesante forma de conseguir que la gente salga y esté activa; sin embargo, a veces la las personas pueden enfocarse demasiado viendo la pantalla para observar el mundo que les rodea mientras localizan un nuevo Pokémon para luchar.

Los Peligros del Mundo Real
Por desgracia, no sólo los jugadores han notado la popularidad de Pokémon Go. 

A menos de 2 días después del lanzamiento de iOS, la policía de Missouri manifestó que tienen una investigación en curso de una serie de robos a mano armada en la que los ladrones colocan una señal en el juego para atraer a jugadores confiados a un área fuera de camino con el fin de asaltarlos. La policía indicó que había varios robos a mano armada en St. Louis y St. Charles utilizando esta técnica. ¡Señuelos virtuales para las víctimas del mundo real!. Este hecho también puede llevar a delitos más tradicionales. Mientras hablaba sobre esto con un amigo, me informó que uno de sus conocidos fue asaltado al caminar en el sur de California a las 10pm en la noche del lanzamiento. Por suerte solo le costó su teléfono y cartera.

Clones de Malware Infectados

Típicamente, un juego se lanzará en fechas diferentes en todo el mundo. Esto normalmente se realiza para ayudar a reducir el impacto el día del lanzamiento en los servidores del juego. Pokémon Go siguió esta estrategia sin estar disponible en todas las tiendas de aplicaciones desde el primer día. No obstante, los creadores de malware fueron muy rápidos para tomar ventaja de esto y un clon del juego infectado fue encontrado circulando en internet. Ésta versión con malware del juego puede hacer cualquier cosa: desde robar mensajes SMS, registros de llamadas, listas de contactos, historial de navegación, geo-localización y que las aplicaciones instaladas ejecuten comandos de forma remota para tomar fotos, grabar video, grabar las llamadas, o enviar un mensaje SMS.

Cómo Ser un Entrenador Pokémon Seguro
Me encanta la idea de un gran juego como Pokémon Go haciendo que la gente salga a la calle y sea más activa. Aunque sólo sea un poco de ejercicio puede hacer una gran diferencia en su vida, así que por supuesto que yo nunca le diría a la gente que no juegue este juego. Sin embargo, hay algunas cosas a tener en mente mientras usted o sus seres queridos lo hacen:

Esté atento a su entorno. La gente tiene la tendencia a observar sus pantallas mientras camina, lo que puede dar lugar a algunas situaciones muy peligrosas. Cuando vivía en Tokio, regularmente veía gente corriendo entre ellos (y a veces objetos), mientras miraban su pantalla por lo que al añadir la búsqueda de un nuevo Pokémon la distracción se vuelve aún mayor. Mantenga una vigilancia constante sobre su entorno, no vaya a lugares que usted normalmente no iría, sólo para tener un Pokémon. La pantalla de carga en efecto le advierte sobre mantenerse alerta ¡Siga este consejo!.

¡Esté atento a la falsificación de aplicativos! Evite esto permaneciendo en tiendas de aplicativos oficiales.

¡No caiga en trampas! Una táctica común en torno a los juegos populares es la creación de aplicaciones engañosas o sitios web que prometen darle moneda adicional del juego o desbloquear personajes ocultos. A menudo, estos sitios web o aplicaciones están plagados de malware y/o recogerán su información de contacto para otros usos. ¡El tiempo que ahorra usando una de estas aplicaciones engañosas puede costarle!.

Instale un software de seguridad. Si termina de descargar algún tipo de versión infectada de la aplicación, teniendo software anti-virus en su dispositivo móvil puede evitar que le roben su información o comprometer su dispositivo.
Pokémon Go tiene el potencial de ayudar a las personas a salir, socializar y hacer más ejercicio.  Como cualquier cosa buena, habrá personas fuera tratando de obtener ventaja de esto en su propio beneficio, por lo que usando un poco de sentido común puede mantenerse seguro y ayudarle a disfrutar este gran juego

Defecto en Facebook Messenger podría haber permitido a ciberdelincuentes interceptar y modificar mensajes. Por Gary Davis.

Cuando nos referimos a las comunicaciones cotidianas, digámoslo de una manera sutil, estamos casados con nuestras aplicaciones de mensajería. Por ello es preocupante cuando los investigadores descubren defectos de seguridad en las principales herramientas de mensajería. Y eso es exactamente lo que sucedió recientemente, cuando los investigadores identificaron un defecto puntual de la aplicación Facebook Messenger.

El defecto podría dar a un ciberdelincuente acceso irrestricto a los registros de conversación de la víctima, lo que le permitiría modificar, suprimir y generar imágenes, enlaces y textos fraudulentos. Este defecto también podría ser utilizado para propagar malware, ransomware y más y aunque el ataque es limitado, ya que sólo afecta a la aplicación Messenger en dispositivos Android, sigue siendo un tema delicado.

De manera sencilla, un atacante puede modificar el historial de mensajes como parte de una campaña negativa, ya sea diciendo falsamente que la víctima accedió a hacer algo o culpando a la víctima de un crimen que no cometió. Los ciberdelincuentes también podrían utilizar este defecto en particular para propagar ransomware, espiar las conversaciones de negocios y mucho más.

Facebook fue notificado de este defecto mucho antes de que fuera anunciado el 7 de junio por lo que de manera profesional sus equipos arreglaron la vulnerabilidad inmediatamente. De manera que las personas no tendrían que preocuparse de esta vulnerabilidad siempre y cuando su aplicación Facebook Messenger esté actualizada hacia la versión más reciente.

Sin embargo, esto es un buen recordatorio para que estemos siempre conscientes de lo que decimos y hacemos en todo momento online. Después de todo, otra vulnerabilidad podría estar acechando a la vuelta de la esquina.
Así que, ¿qué hacer para asegurarse de no ser víctima de este tipo de ataques en el futuro? Usted puede emprender algunas medidas:

  • No responda a mensajes de desconocidos. Es un muy buen consejo para todos los aspectos de la vida, pero aquí usted se podría salvarse de una larga pelea por fraude de identidad y de infecciones de malware. Si alguien que usted no conoce le está enviando mensajes y enlaces, incluso si parece ser amistoso, ignórelo.
  • Tenga cuidado al hacer clic. Al igual que muchos ataques de phishing, los ataques de mensajería tienen signos claros. Mala ortografía, redacción diferente, comportamiento sospechoso y enlaces hacia direcciones URL bien conocidas, pero mal escritas, son cosas con las que debe tener cuidado cuando revise mensajes. Si algo parece raro, salga de la conversación.
  • Use seguridad completa. Muchos de los ataques de mensajería, todavía tendrían que pasar por los programas de seguridad para infectar un dispositivo, es decir, considerando que tenga uno instalado. Es por eso que usted debe utilizar un servicio de seguridad integral, como McAfee LiveSafe™ , para analizar enlaces potencialmente problemáticos y mensajes para detectar amenazas.