Descargo de responsabilidad: este art\u00edculo tiene como objetivo brindar informaci\u00f3n sobre las amenazas cibern\u00e9ticas tal como las ve la comunidad de usuarios de CrowdSec.<\/i><\/p>\n
\u00bfQu\u00e9 pueden decirnos decenas de miles de m\u00e1quinas sobre las actividades ilegales de los piratas inform\u00e1ticos?<\/p>\n
\u00bfRecuerdas esa escena en Batman – The Dark Knight, donde Batman usa un sistema que agrega datos de sonido activos de innumerables tel\u00e9fonos m\u00f3viles para crear una fuente de metasonar de lo que est\u00e1 sucediendo en un lugar determinado? <\/p>\n
Es una analog\u00eda interesante con lo que hacemos en CrowdSec. Al agregar se\u00f1ales de intrusi\u00f3n de nuestra comunidad, podemos ofrecer una imagen clara de lo que est\u00e1 sucediendo en t\u00e9rminos de pirater\u00eda ilegal en el mundo.<\/p>\n
Despu\u00e9s de 2 a\u00f1os de actividad y analizando 1 mill\u00f3n de se\u00f1ales de intrusi\u00f3n diariamente de decenas de miles de usuarios en 160 pa\u00edses, comenzamos a tener una fuente global precisa de amenazas cibern\u00e9ticas “Batman sonar”. Y hay algunos puntos interesantes para resumir.<\/p>\n
Una ciberamenaza con muchas caras <\/strong><\/h2>\nEn primer lugar, la amenaza cibern\u00e9tica global es muy vers\u00e1til. \u00bfQu\u00e9 vemos cuando observamos los tipos de ataques reportados, su origen y los Sistemas Aut\u00f3nomos (SA) detr\u00e1s de las direcciones IP maliciosas?<\/p>\n
Los esc\u00e1neres y los intentos de fuerza bruta siguen siendo los vectores de intrusi\u00f3n m\u00e1s populares que ve nuestra comunidad y ocupan el primer lugar. Bastante l\u00f3gico, ya que la vigilancia es el primer paso para una intrusi\u00f3n m\u00e1s avanzada. Las actividades de escaneo vistas por nuestra comunidad son principalmente escaneos de puertos o sondeos basados \u200b\u200ben HTTP.<\/p>\n
Entre los diferentes tipos de intrusi\u00f3n utilizados por los piratas inform\u00e1ticos, los intentos de fuerza bruta en servicios confidenciales (SSH, correo electr\u00f3nico, URL de administraci\u00f3n, etc.) son el n\u00famero 2. No es informaci\u00f3n revolucionaria, pero cuando los estudios muestran que los ataques de fuerza bruta representan el 6% de los ataques cibern\u00e9ticos<\/a> en el mundo, no sorprende verlo como dominante, especialmente porque sigue siendo uno de los m\u00e1s f\u00e1ciles y econ\u00f3micos de automatizar e implementar (hola script kiddies). Debido a que es bastante f\u00e1cil de contrarrestar, uno pensar\u00eda que rara vez funciona, pero \u00a1hey, 6%!<\/p>\n![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215234_846_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\nLog4J a\u00fan no es un trato hecho<\/strong><\/h2>\nEntre los intentos de explotaci\u00f3n m\u00e1s populares que ve nuestra comunidad, tenemos Log4j. De hecho, disfrut\u00f3 de la tormenta del a\u00f1o pasado sobre c\u00f3mo una simple utilidad de registro de c\u00f3digo abierto para Apache con una vulnerabilidad se apoder\u00f3 del mundo de la ciberseguridad y caus\u00f3 interminables dolores de cabeza a los expertos en ciberseguridad. Y, por supuesto, el mundo criminal estaba m\u00e1s que feliz de explotarlo con bots de escaneo autom\u00e1tico en busca de servicios vulnerables.<\/p>\n
Bueno, nuestra comunidad ha sido testigo de la tormenta. Una vez que pas\u00f3 el pico de diciembre despu\u00e9s de la divulgaci\u00f3n, las cosas se calmaron un poco, pero las actividades de escaneo de Log4j comenzaron nuevamente, aunque a un nivel m\u00e1s bajo pero constante, impulsado por bots. <\/p>\n
![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215234_774_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\nEl mensaje clave es que si cree que est\u00e1 protegido porque pas\u00f3 la tormenta del “marketing”, pi\u00e9nselo dos veces.<\/p>\n
Todav\u00eda hay una actividad muy agresiva que busca usar la vulnerabilidad.<\/p>\n
Por ejemplo, hace un par de semanas, se escane\u00f3 un amplio espectro de nuestra comunidad cuando m\u00e1s de 500 usuarios informaron la direcci\u00f3n IP 13.89.48.118 en menos de 12 horas. Se uni\u00f3 a m\u00e1s de 20000 direcciones IP en la lista de bloqueo de la comunidad para su remediaci\u00f3n.<\/p>\n
![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215235_521_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\n![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215235_198_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\nDirecciones IP: principal recurso de los ciberdelincuentes<\/strong><\/h2>\nLas direcciones IP rara vez son mal\u00e9volas para siempre y su reputaci\u00f3n puede cambiar de un d\u00eda para otro. Dado que la comunidad comparte constantemente informaci\u00f3n sobre ellos, cualquier actualizaci\u00f3n se puede transferir instant\u00e1neamente a los usuarios. A la larga, proporciona datos invaluables sobre la duraci\u00f3n de la agresividad de las direcciones IP.<\/p>\n
Esta es una instant\u00e1nea de la cantidad de direcciones IP que llegaron a los lagos de datos de CrowdSec (marcadas como maliciosas). Lo que es interesante notar es que los ciberdelincuentes est\u00e1n cambiando las direcciones IP que usan para cometer sus ataques:<\/p>\n
* solo el 2,79% de estos son miembros permanentes de nuestra base de datos<\/p>\n
* 12,63% de todas las IP recopiladas cambian cada semana<\/p>\n
* La tasa de renovaci\u00f3n diaria se sit\u00faa en el 1,8 %<\/p>\n
![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215235_812_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\n**Los sistemas aut\u00f3nomos tienen diferentes enfoques para mitigar las IP comprometidas**<\/p>\n
Cada IP forma parte de un pool de direcciones gestionadas por un AS (Sistema Aut\u00f3nomo). Un AS es una red extensa o un grupo de redes que tienen una pol\u00edtica de enrutamiento unificada. Cada computadora o dispositivo que se conecta a Internet est\u00e1 conectado a un AS. Por lo general, cada AS es operado por una sola organizaci\u00f3n grande, como un proveedor de servicios de Internet (ISP), una gran empresa de tecnolog\u00eda empresarial, una universidad o una agencia gubernamental y, como tal, es responsable de las direcciones IP.<\/p>\n
Cada IP agresiva compartida por la comunidad CrowdSec se enriquece con su AS. Esto, combinado con los datos sobre la duraci\u00f3n de la agresividad, puede proporcionar una imagen clara de c\u00f3mo los AS administran las IP comprometidas.<\/p>\n
![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1657215235_734_La-era-de-la-seguridad-colaborativa-de-lo-que-son.jpg\" "\\"Seguridad")
<\/div>\nSi bien mirar simplemente la cantidad de activos comprometidos podr\u00eda ser un \u00e1ngulo, no ser\u00eda necesariamente justo. No todos los operadores tienen el mismo tama\u00f1o, y algunos alojan servicios “m\u00e1s riesgosos” (hola PHP CMS obsoleto) que otros. <\/p>\n
La duraci\u00f3n promedio mal\u00e9vola de todas las IP en el mismo AS indica la diligencia debida del operador para identificar y tratar los activos comprometidos. La distribuci\u00f3n de la duraci\u00f3n promedio se muestra con flechas que apuntan a la posici\u00f3n del AS m\u00e1s informado para los principales proveedores de nube. Por ejemplo, en AWS, las direcciones comprometidas permanecen comprometidas durante un promedio de 3 d\u00edas. Azul 9 d\u00edas. Al final del gr\u00e1fico, AS de China o Rusia (sorpresa\u2026) “son menos r\u00e1pidos” para actuar sobre las IP comprometidas.<\/p>\n
Este art\u00edculo tiene como objetivo brindar una descripci\u00f3n general de la actividad de amenazas y la inteligencia que los usuarios de CrowdSec ven a diario. Por favor consulta la versi\u00f3n completa del informe aqu\u00ed si quieres m\u00e1s detalles.<\/a><\/p>\n<\/p>\n<\/div>\n
<\/div>\nLog4J a\u00fan no es un trato hecho<\/strong><\/h2>\nEntre los intentos de explotaci\u00f3n m\u00e1s populares que ve nuestra comunidad, tenemos Log4j. De hecho, disfrut\u00f3 de la tormenta del a\u00f1o pasado sobre c\u00f3mo una simple utilidad de registro de c\u00f3digo abierto para Apache con una vulnerabilidad se apoder\u00f3 del mundo de la ciberseguridad y caus\u00f3 interminables dolores de cabeza a los expertos en ciberseguridad. Y, por supuesto, el mundo criminal estaba m\u00e1s que feliz de explotarlo con bots de escaneo autom\u00e1tico en busca de servicios vulnerables.<\/p>\n
Bueno, nuestra comunidad ha sido testigo de la tormenta. Una vez que pas\u00f3 el pico de diciembre despu\u00e9s de la divulgaci\u00f3n, las cosas se calmaron un poco, pero las actividades de escaneo de Log4j comenzaron nuevamente, aunque a un nivel m\u00e1s bajo pero constante, impulsado por bots. <\/p>\n
<\/div>\nEl mensaje clave es que si cree que est\u00e1 protegido porque pas\u00f3 la tormenta del “marketing”, pi\u00e9nselo dos veces.<\/p>\n
Todav\u00eda hay una actividad muy agresiva que busca usar la vulnerabilidad.<\/p>\n
Por ejemplo, hace un par de semanas, se escane\u00f3 un amplio espectro de nuestra comunidad cuando m\u00e1s de 500 usuarios informaron la direcci\u00f3n IP 13.89.48.118 en menos de 12 horas. Se uni\u00f3 a m\u00e1s de 20000 direcciones IP en la lista de bloqueo de la comunidad para su remediaci\u00f3n.<\/p>\n
<\/div>\n<\/div>\nDirecciones IP: principal recurso de los ciberdelincuentes<\/strong><\/h2>\nLas direcciones IP rara vez son mal\u00e9volas para siempre y su reputaci\u00f3n puede cambiar de un d\u00eda para otro. Dado que la comunidad comparte constantemente informaci\u00f3n sobre ellos, cualquier actualizaci\u00f3n se puede transferir instant\u00e1neamente a los usuarios. A la larga, proporciona datos invaluables sobre la duraci\u00f3n de la agresividad de las direcciones IP.<\/p>\n
Esta es una instant\u00e1nea de la cantidad de direcciones IP que llegaron a los lagos de datos de CrowdSec (marcadas como maliciosas). Lo que es interesante notar es que los ciberdelincuentes est\u00e1n cambiando las direcciones IP que usan para cometer sus ataques:<\/p>\n
* solo el 2,79% de estos son miembros permanentes de nuestra base de datos<\/p>\n
* 12,63% de todas las IP recopiladas cambian cada semana<\/p>\n
* La tasa de renovaci\u00f3n diaria se sit\u00faa en el 1,8 %<\/p>\n
<\/div>\n**Los sistemas aut\u00f3nomos tienen diferentes enfoques para mitigar las IP comprometidas**<\/p>\n
Cada IP forma parte de un pool de direcciones gestionadas por un AS (Sistema Aut\u00f3nomo). Un AS es una red extensa o un grupo de redes que tienen una pol\u00edtica de enrutamiento unificada. Cada computadora o dispositivo que se conecta a Internet est\u00e1 conectado a un AS. Por lo general, cada AS es operado por una sola organizaci\u00f3n grande, como un proveedor de servicios de Internet (ISP), una gran empresa de tecnolog\u00eda empresarial, una universidad o una agencia gubernamental y, como tal, es responsable de las direcciones IP.<\/p>\n
Cada IP agresiva compartida por la comunidad CrowdSec se enriquece con su AS. Esto, combinado con los datos sobre la duraci\u00f3n de la agresividad, puede proporcionar una imagen clara de c\u00f3mo los AS administran las IP comprometidas.<\/p>\n
<\/div>\nSi bien mirar simplemente la cantidad de activos comprometidos podr\u00eda ser un \u00e1ngulo, no ser\u00eda necesariamente justo. No todos los operadores tienen el mismo tama\u00f1o, y algunos alojan servicios “m\u00e1s riesgosos” (hola PHP CMS obsoleto) que otros. <\/p>\n
La duraci\u00f3n promedio mal\u00e9vola de todas las IP en el mismo AS indica la diligencia debida del operador para identificar y tratar los activos comprometidos. La distribuci\u00f3n de la duraci\u00f3n promedio se muestra con flechas que apuntan a la posici\u00f3n del AS m\u00e1s informado para los principales proveedores de nube. Por ejemplo, en AWS, las direcciones comprometidas permanecen comprometidas durante un promedio de 3 d\u00edas. Azul 9 d\u00edas. Al final del gr\u00e1fico, AS de China o Rusia (sorpresa\u2026) “son menos r\u00e1pidos” para actuar sobre las IP comprometidas.<\/p>\n
Este art\u00edculo tiene como objetivo brindar una descripci\u00f3n general de la actividad de amenazas y la inteligencia que los usuarios de CrowdSec ven a diario. Por favor consulta la versi\u00f3n completa del informe aqu\u00ed si quieres m\u00e1s detalles.<\/a><\/p>\n<\/p>\n<\/div>\n
<\/div>\nEl mensaje clave es que si cree que est\u00e1 protegido porque pas\u00f3 la tormenta del “marketing”, pi\u00e9nselo dos veces.<\/p>\n
Todav\u00eda hay una actividad muy agresiva que busca usar la vulnerabilidad.<\/p>\n
Por ejemplo, hace un par de semanas, se escane\u00f3 un amplio espectro de nuestra comunidad cuando m\u00e1s de 500 usuarios informaron la direcci\u00f3n IP 13.89.48.118 en menos de 12 horas. Se uni\u00f3 a m\u00e1s de 20000 direcciones IP en la lista de bloqueo de la comunidad para su remediaci\u00f3n.<\/p>\n
<\/div>\n<\/div>\nDirecciones IP: principal recurso de los ciberdelincuentes<\/strong><\/h2>\nLas direcciones IP rara vez son mal\u00e9volas para siempre y su reputaci\u00f3n puede cambiar de un d\u00eda para otro. Dado que la comunidad comparte constantemente informaci\u00f3n sobre ellos, cualquier actualizaci\u00f3n se puede transferir instant\u00e1neamente a los usuarios. A la larga, proporciona datos invaluables sobre la duraci\u00f3n de la agresividad de las direcciones IP.<\/p>\n
Esta es una instant\u00e1nea de la cantidad de direcciones IP que llegaron a los lagos de datos de CrowdSec (marcadas como maliciosas). Lo que es interesante notar es que los ciberdelincuentes est\u00e1n cambiando las direcciones IP que usan para cometer sus ataques:<\/p>\n
* solo el 2,79% de estos son miembros permanentes de nuestra base de datos<\/p>\n
* 12,63% de todas las IP recopiladas cambian cada semana<\/p>\n
* La tasa de renovaci\u00f3n diaria se sit\u00faa en el 1,8 %<\/p>\n
<\/div>\n**Los sistemas aut\u00f3nomos tienen diferentes enfoques para mitigar las IP comprometidas**<\/p>\n
Cada IP forma parte de un pool de direcciones gestionadas por un AS (Sistema Aut\u00f3nomo). Un AS es una red extensa o un grupo de redes que tienen una pol\u00edtica de enrutamiento unificada. Cada computadora o dispositivo que se conecta a Internet est\u00e1 conectado a un AS. Por lo general, cada AS es operado por una sola organizaci\u00f3n grande, como un proveedor de servicios de Internet (ISP), una gran empresa de tecnolog\u00eda empresarial, una universidad o una agencia gubernamental y, como tal, es responsable de las direcciones IP.<\/p>\n
Cada IP agresiva compartida por la comunidad CrowdSec se enriquece con su AS. Esto, combinado con los datos sobre la duraci\u00f3n de la agresividad, puede proporcionar una imagen clara de c\u00f3mo los AS administran las IP comprometidas.<\/p>\n
<\/div>\nSi bien mirar simplemente la cantidad de activos comprometidos podr\u00eda ser un \u00e1ngulo, no ser\u00eda necesariamente justo. No todos los operadores tienen el mismo tama\u00f1o, y algunos alojan servicios “m\u00e1s riesgosos” (hola PHP CMS obsoleto) que otros. <\/p>\n
La duraci\u00f3n promedio mal\u00e9vola de todas las IP en el mismo AS indica la diligencia debida del operador para identificar y tratar los activos comprometidos. La distribuci\u00f3n de la duraci\u00f3n promedio se muestra con flechas que apuntan a la posici\u00f3n del AS m\u00e1s informado para los principales proveedores de nube. Por ejemplo, en AWS, las direcciones comprometidas permanecen comprometidas durante un promedio de 3 d\u00edas. Azul 9 d\u00edas. Al final del gr\u00e1fico, AS de China o Rusia (sorpresa\u2026) “son menos r\u00e1pidos” para actuar sobre las IP comprometidas.<\/p>\n
Este art\u00edculo tiene como objetivo brindar una descripci\u00f3n general de la actividad de amenazas y la inteligencia que los usuarios de CrowdSec ven a diario. Por favor consulta la versi\u00f3n completa del informe aqu\u00ed si quieres m\u00e1s detalles.<\/a><\/p>\n<\/p>\n<\/div>\n
<\/div>\n**Los sistemas aut\u00f3nomos tienen diferentes enfoques para mitigar las IP comprometidas**<\/p>\n
Cada IP forma parte de un pool de direcciones gestionadas por un AS (Sistema Aut\u00f3nomo). Un AS es una red extensa o un grupo de redes que tienen una pol\u00edtica de enrutamiento unificada. Cada computadora o dispositivo que se conecta a Internet est\u00e1 conectado a un AS. Por lo general, cada AS es operado por una sola organizaci\u00f3n grande, como un proveedor de servicios de Internet (ISP), una gran empresa de tecnolog\u00eda empresarial, una universidad o una agencia gubernamental y, como tal, es responsable de las direcciones IP.<\/p>\n
Cada IP agresiva compartida por la comunidad CrowdSec se enriquece con su AS. Esto, combinado con los datos sobre la duraci\u00f3n de la agresividad, puede proporcionar una imagen clara de c\u00f3mo los AS administran las IP comprometidas.<\/p>\n
<\/div>\nSi bien mirar simplemente la cantidad de activos comprometidos podr\u00eda ser un \u00e1ngulo, no ser\u00eda necesariamente justo. No todos los operadores tienen el mismo tama\u00f1o, y algunos alojan servicios “m\u00e1s riesgosos” (hola PHP CMS obsoleto) que otros. <\/p>\n
La duraci\u00f3n promedio mal\u00e9vola de todas las IP en el mismo AS indica la diligencia debida del operador para identificar y tratar los activos comprometidos. La distribuci\u00f3n de la duraci\u00f3n promedio se muestra con flechas que apuntan a la posici\u00f3n del AS m\u00e1s informado para los principales proveedores de nube. Por ejemplo, en AWS, las direcciones comprometidas permanecen comprometidas durante un promedio de 3 d\u00edas. Azul 9 d\u00edas. Al final del gr\u00e1fico, AS de China o Rusia (sorpresa\u2026) “son menos r\u00e1pidos” para actuar sobre las IP comprometidas.<\/p>\n
Este art\u00edculo tiene como objetivo brindar una descripci\u00f3n general de la actividad de amenazas y la inteligencia que los usuarios de CrowdSec ven a diario. Por favor consulta la versi\u00f3n completa del informe aqu\u00ed si quieres m\u00e1s detalles.<\/a><\/p>\n <\/p>\n<\/div>\n