{"id":618275,"date":"2023-02-10T11:36:36","date_gmt":"2023-02-10T11:36:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/3-infracciones-de-ciberseguridad-pasadas-por-alto\/"},"modified":"2023-02-10T11:36:38","modified_gmt":"2023-02-10T11:36:38","slug":"3-infracciones-de-ciberseguridad-pasadas-por-alto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/3-infracciones-de-ciberseguridad-pasadas-por-alto\/","title":{"rendered":"3 infracciones de ciberseguridad pasadas por alto"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Estas son tres de las peores infracciones, t\u00e1cticas y t\u00e9cnicas de atacantes de 2022, y los controles de seguridad que pueden proporcionarles una protecci\u00f3n de seguridad empresarial eficaz.<\/p>\n

#1: 2 ataques RaaS en 13 meses<\/h2>\n

El ransomware como servicio es un tipo de ataque en el que el software y la infraestructura del ransomware se alquilan a los atacantes. Estos servicios de ransomware se pueden comprar en la web oscura de otros actores de amenazas y bandas de ransomware. Los planes de compra comunes incluyen comprar la herramienta completa, usar la infraestructura existente pagando por infecci\u00f3n o permitir que otros atacantes realicen el servicio mientras comparten los ingresos con ellos.<\/p>\n

En este ataque, el actor de amenazas consiste en uno de los grupos de ransomware m\u00e1s frecuentes, que se especializa en el acceso a trav\u00e9s de terceros, mientras que la empresa objetivo es un minorista de tama\u00f1o mediano con docenas de sitios en los Estados Unidos.<\/p>\n

Los actores de amenazas utilizaron ransomware como un servicio para violar la red de la v\u00edctima. Pudieron explotar las credenciales de terceros para obtener acceso inicial, progresar lateralmente y rescatar a la empresa, todo en cuesti\u00f3n de minutos.<\/p>\n

La rapidez de este ataque fue inusual. En la mayor\u00eda de los casos de RaaS, los atacantes suelen permanecer en las redes durante semanas y meses antes de exigir el rescate. Lo que es particularmente interesante de este ataque es que la empresa fue rescatada en minutos, sin necesidad de descubrimiento ni semanas de movimiento lateral.<\/p>\n

Una investigaci\u00f3n de registros revel\u00f3 que los atacantes se dirigieron a servidores que no exist\u00edan en este sistema. Resulta que la v\u00edctima fue violada inicialmente y rescatada 13 meses antes de este segundo ataque de ransomware. Posteriormente, el primer grupo de atacantes monetiz\u00f3 el primer ataque no solo a trav\u00e9s del rescate que obtuvo, sino tambi\u00e9n vendiendo la informaci\u00f3n de la red de la empresa al segundo grupo de ransomware.<\/p>\n

En los 13 meses entre los dos ataques, la v\u00edctima cambi\u00f3 su red y elimin\u00f3 servidores, pero los nuevos atacantes no estaban al tanto de estas modificaciones arquitect\u00f3nicas. Los scripts que desarrollaron fueron dise\u00f1ados para el mapa de red anterior. Esto tambi\u00e9n explica c\u00f3mo pudieron atacar tan r\u00e1pido: ten\u00edan mucha informaci\u00f3n sobre la red. La lecci\u00f3n principal aqu\u00ed es que los ataques de ransomware pueden ser repetidos por diferentes grupos, especialmente si la v\u00edctima paga bien.<\/p>\n

“Los ataques RaaS como este son un buen ejemplo de c\u00f3mo la visibilidad total permite alertas tempranas. Un sistema global, convergente y plataforma SASE nativa de la nube<\/b><\/a> que admite todos los per\u00edmetros, como Cato Networks, proporciona una visibilidad completa de la red en los eventos de la red que son invisibles para otros proveedores o que pueden pasar desapercibidos como eventos benignos. Y, ser capaz de contextualizar completamente los eventos permite la detecci\u00f3n temprana y la remediaci\u00f3n.<\/p>\n

#2: El ataque a la infraestructura cr\u00edtica en las redes de alerta de radiaci\u00f3n<\/h2>\n

Los ataques a la infraestructura cr\u00edtica son cada vez m\u00e1s comunes y peligrosos. Las fallas en las plantas de suministro de agua, los sistemas de alcantarillado y otras infraestructuras similares podr\u00edan poner a millones de residentes en riesgo de sufrir una crisis humana. Estas infraestructuras tambi\u00e9n son cada vez m\u00e1s vulnerables, y las herramientas de gesti\u00f3n de la superficie de ataque para OSINT, como Shodan y Censys, permiten a los equipos de seguridad encontrar dichas vulnerabilidades con facilidad.<\/p>\n

En 2021, se sospechaba que dos piratas inform\u00e1ticos ten\u00edan como objetivo las redes de alerta de radiaci\u00f3n. Su ataque se bas\u00f3 en dos personas con informaci\u00f3n privilegiada que trabajaban para un tercero. Estos expertos deshabilitaron los sistemas de alerta de radiaci\u00f3n, lo que debilit\u00f3 significativamente su capacidad para monitorear los ataques de radiaci\u00f3n. Luego, los atacantes pudieron eliminar el software cr\u00edtico y deshabilitar los indicadores de radiaci\u00f3n (que son parte de la infraestructura misma).<\/p>\n

\"Violaciones<\/div>\n

“Desafortunadamente, buscar sistemas vulnerables en infraestructura cr\u00edtica es m\u00e1s f\u00e1cil que nunca. Si bien muchas de estas organizaciones tienen m\u00faltiples capas de seguridad, todav\u00eda utilizan soluciones puntuales para tratar de defender su infraestructura en lugar de un sistema que pueda analizar de manera integral el ciclo de vida completo del ataque. Las infracciones nunca son solo un problema de phishing, un problema de credenciales o un problema de sistema vulnerable: siempre son una combinaci\u00f3n de m\u00faltiples compromisos realizados por el actor de amenazas “, dijo Etay Maor, director s\u00e9nior de estrategia de seguridad en Cato Networks<\/b><\/a>.<\/p>\n

#3: El ataque de ransomware de tres pasos que comenz\u00f3 con phishing<\/h2>\n

El tercer ataque tambi\u00e9n es un ataque de ransomware. Esta vez, constaba de tres pasos:<\/p>\n

1. Infiltraci\u00f3n<\/strong> – El atacante pudo acceder a la red a trav\u00e9s de un ataque de phishing. La v\u00edctima hizo clic en un enlace que gener\u00f3 una conexi\u00f3n a un sitio externo, lo que result\u00f3 en la descarga de la carga \u00fatil.<\/p>\n

2. Actividad de la red<\/strong> – En la segunda fase, el atacante progres\u00f3 lateralmente en la red durante dos semanas. Durante este tiempo, recopil\u00f3 contrase\u00f1as de administrador y us\u00f3 malware sin archivos en memoria. Luego, en la v\u00edspera de A\u00f1o Nuevo, realiz\u00f3 el cifrado. Se eligi\u00f3 esta fecha porque se asumi\u00f3 (con raz\u00f3n) que el equipo de seguridad estar\u00eda de vacaciones.<\/p>\n

3. Exfiltraci\u00f3n<\/strong> – Finalmente, los atacantes cargaron los datos fuera de la red.<\/p>\n

Adem\u00e1s de estos tres pasos principales, se emplearon t\u00e9cnicas secundarias adicionales durante el ataque y las soluciones de seguridad de punto de la v\u00edctima no pudieron bloquear este ataque. <\/p>\n

\"Violaciones<\/div>\n

“Un enfoque de m\u00faltiples cuellos de botella, uno que mira horizontalmente (por as\u00ed decirlo) al ataque en lugar de como un conjunto de problemas verticales e inconexos, es la forma de mejorar la detecci\u00f3n, mitigaci\u00f3n y prevenci\u00f3n de tales amenazas. Contrariamente a la creencia popular, el el atacante debe tener raz\u00f3n muchas veces y los defensores solo necesitan tener raz\u00f3n una sola vez. Las tecnolog\u00edas subyacentes para implementar un enfoque de cuello de botella m\u00faltiple son la visibilidad completa de la red a trav\u00e9s de una red troncal nativa de la nube y una pila de seguridad de un solo paso que es basado en ZTNA<\/b><\/a>\u201d, dijo Etay Maor, director s\u00e9nior de estrategia de seguridad en Cato Networks.<\/p>\n

\u00bfC\u00f3mo se comparan las soluciones de punto de seguridad?<\/h2>\n

Es com\u00fan que los profesionales de la seguridad sucumban a la “falacia del punto \u00fanico de falla”. Sin embargo, los ataques cibern\u00e9ticos son eventos sofisticados que rara vez involucran una sola t\u00e1ctica o t\u00e9cnica que sea la causa de la violaci\u00f3n. Por lo tanto, se requiere una perspectiva integral para mitigar con \u00e9xito los ataques cibern\u00e9ticos. Las soluciones de punto de seguridad son una soluci\u00f3n para puntos \u00fanicos de falla. Estas herramientas pueden identificar riesgos, pero no conectar\u00e1n los puntos, lo que podr\u00eda y ha llevado a una brecha. <\/p>\n

Esto es lo que hay que tener en cuenta en los pr\u00f3ximos meses<\/h3>\n

Seg\u00fan la investigaci\u00f3n de seguridad en curso realizada por el equipo de seguridad de Cato Networks, han identificado dos vulnerabilidades adicionales e intentos de explotaci\u00f3n que recomiendan incluir en sus pr\u00f3ximos planes de seguridad: <\/p>\n

1. Log4j<\/h4>\n

Mientras Log4j<\/b><\/a> hizo su debut en diciembre de 2021, el ruido que est\u00e1 haciendo no se ha calmado. Los atacantes todav\u00eda utilizan Log4j para explotar los sistemas, ya que no todas las organizaciones han podido parchear sus vulnerabilidades de Log4j o detectar ataques de Log4j, en lo que se conoce como “parcheo virtual”. Recomiendan priorizar la mitigaci\u00f3n de Log4j. <\/p>\n

2. Cortafuegos y VPN mal configurados<\/h4>\n

Las soluciones de seguridad como los cortafuegos y las VPN se han convertido en puntos de acceso para los atacantes. Parcharlos se ha vuelto cada vez m\u00e1s dif\u00edcil, especialmente en la era de la arquitectura en la nube y el trabajo remoto. Se recomienda prestar mucha atenci\u00f3n a estos componentes ya que son cada vez m\u00e1s vulnerables.<\/p>\n

C\u00f3mo minimizar su superficie de ataque y ganar visibilidad en la red<\/h3>\n

Para reducir la superficie de ataque, los profesionales de la seguridad necesitan visibilidad de sus redes. La visibilidad se basa en tres pilares:<\/p>\n