Etiqueta: seguridad de la información

El reto de la Gestión y Seguridad de la Identidad del usuario: la nueva frontera

Publicado el por Ricardo V. González Darkin

A medida que la sociedad se enfrenta a una muy seria pandemia, ha surgido el Teletrabajo como una alternativa viable y efectiva para continuar con la actividad en las organizaciones.  No obstante, la identidad del usuario esta seriamente amenazada a raíz del aumento del Trabajo desde casa. Antes el usuario tenía garantizada cierta seguridad dentro de las fronteras de la «intranet», pero su salida a internet esta convirtiendo su gestión por parte de los departamentos de IT en un verdadero quebradero de cabeza.

Ya sabemos cómo el nuevo coronavirus (COVID-19) esta afectando a casi todo el mundo: Las escuelas están cerradas, hay restricciones para viajar, los eventos han sido cancelados y las oficinas están vacías; todo esto con el objetivo de detener la propagación del COVID-19. En diferentes países los gobiernos han llegado a sugerir a los empleadores que establezcan políticas que permitan a sus empleados trabajar de manera remota a fin de promover el distanciamiento social. Sin perder el tiempo, las empresas han tomado rápidamente las acciones para responder a la amenaza y, como resultado, hoy hay más personas trabajando desde sus hogares que en cualquier otro momento de la historia moderna. 

 La respuesta al coronavirus no tiene precedentes y este experimento del  Teletrabajo o trabajo desde casa lleva a muchas empresas a un territorio decididamente desconocido.

La identidad del usuario, la nueva frontera de la noche a la mañana

A pesar de que el 92% de las empresas ofrece trabajo remoto, no se ha ofrecido esa opción a todos los empleados de manera equitativa. Para muchas empresas, este paso al trabajo remoto sucedió prácticamente de la noche a la mañana y les dio muy poco tiempo para una planificación adecuada. Ahora es el momento de auditar y evaluar el nuevo acceso a la red que requiere su empresa, y tener en cuenta las consecuencias que eso puede tener en la seguridad. Como Proveedores de Servicios de Seguridad administrada (MSSP), tenemos la experiencia en evaluación de seguridad y podemos ayudar a las pymes, autónomos y escuelas a lograr estar a la altura rápidamente y brindar a sus usuarios lo que necesitan.

Lo más probable es que los usuarios itinerantes de la red, que siempre están en movimiento, tengan los recursos necesarios para este largo recorrido. Para aquellos que no han trabajado tanto desde casa, es útil hacer un inventario de todos los datos y aplicaciones a las que acceden de manera regular. Con esta información, puede definir a qué es necesario acceder, quién necesita ese acceso y cuál es la mejor manera de proporcionarlo. Trabaje con los jefes de departamento para comprender las necesidades específicas de su equipo y asegúrese de que los miembros del equipo estén preparados para el éxito.

En el pasado, los equipos de escritorio, las aplicaciones empresariales y la infraestructura crítica se encontraba detrás del firewall. En la actualidad, cada vez más cosas suceden fuera de la red. Más usuarios itinerantes. Más ordenadores portátiles corporativos que acceden a Internet desde otras redes. Más aplicaciones en la nube, lo que significa que los usuarios no tienen que estar en la red corporativa para hacer su trabajo. Y más sucursales que se conectan directamente a Internet.

Para el año 2021, Gartner predice que la empresa media tendrá un 25 % de su tráfico de datos corporativo más allá del perímetro de la red. Cuando un usuario está fuera de la red, es más vulnerable y la organización no tiene visibilidad y protección. Si solo confía en la seguridad del perímetro no está completamente protegido. Estas brechas abren la puerta para el malware, ransomware y otros ataques.

La «lista de comprobación» de Watchguard de lo que la organización debe tener en cuenta para un trabajo productivo y con seguridad de acceso

Estas son algunas de las preguntas que se plantea Watchguard para establecer las bases de una lista de comprobación para la evaluación de capacidades de trabajo remoto de su empresa:

  • ¿El empleado tiene un dispositivo autorizado o debe adquirir más teléfonos o computadoras portátiles?
  • ¿Dispone de suficientes licencias de VPN para otorgarlas a quienes las requieran o necesita adquirir más?
  • ¿El empleado tiene un acceso adecuado a Internet para realizar su trabajo?
  • ¿Qué sistemas requiere el empleado para realizar su trabajo?
  • ¿El empleado requiere acceso seguro a sistemas y datos confidenciales?
  • ¿Qué aplicaciones en la nube utiliza el empleado de manera habitual?
  • ¿El empleado tiene configurada la autenticación multifactor?

Es mejor que su negocio u organización este preparado respecto a la seguridad IT

Ciertamente hay cosas que no se pueden predecir. Los líderes empresariales saben que habrá dificultades y eventos imprevistos en el camino. Entonces, ¿qué puede hacer para proteger el futuro de su empresa? Un plan de preparación no es garantía de perfección, pero puede darle herramientas para enfrentar de manera segura los desafíos y brindarle los recursos necesarios para garantizar la continuidad operativa.

Hoy se trata del brote del coronavirus, pero podría ser cualquier otra cosa y no solo catástrofes. Un importante evento como La Copa del Mundo que altera la manera en que funciona normalmente una ciudad o, incluso, un error humano puede colocar a su empresa en modo de preparación crítica. Cualquier situación que lo obligue a adaptarse rápidamente a cambios inesperados es la prueba irrefutable de la importancia de comprender realmente cómo es su organización y qué necesita. ¿Por qué? Porque les muestra a sus empleados, a sus clientes y a las partes interesadas que su empresa puede salir adelante incluso durante eventos sin precedentes. Sí, esto es grandioso para su marca, pero lo más importante es que crea un gran sentido de confianza en su comunidad. Además, tendrá una historia increíblemente valiosa por muchos años.

Solución NOVA Identity Access & Security

Como hemos podido comprobar, esta situación nos ha llevado a que los límites «seguros» de la red empresarial han sido superados, los empleados se encuentran fuera de la Seguridad Perimetral que ya estaba establecida en las organizaciones, produciéndose cada vez más ataques que ponen en riesgo los dispositivos y los usuarios, por consiguiente, la nueva frontera de la red empresarial (la identidad) es el nuevo perímetro que organizaciones de cualquier dimensión debe proteger.

En respuesta a este reto, PCNOVA ha desarrollado la Solución NOVA IAS (Identity Access & Security) que le ofrece todos los componentes necesarios para facilitar tanto la estabilidad de los dispositivos como la seguridad en el acceso a los recursos de las organizaciones. Para ello, hemos establecido alianzas tecnológicas con varios de los más importantes fabricantes del mercado, especializados en Gestión IT y seguridad

Sin sorpresas en SU FACTURA!. Siempre puede pasar que al surgir una incidencia no disponga del dinero suficiente para resolverla, pues en nuestro caso le ofrecemos un servicio con el que no tendrá sorpresas, porqué por un mínimo coste mensual disfrutará de un servicio técnico informático profesional de forma virtual en su casa u oficina, que le podrá resolver sus problemas en el momento que más lo necesite.

Que incluye la nueva Solución Nova Identity Access & Security

Nuestra nueva Solución NOVA IAS es la respuesta, como ha podido ver, al reto de la gestión y seguridad de la Identidad del usuario. Este reto lo superamos estableciendo algunas premisas muy importantes:

  1. El servicio se establece en modalidad de Pago por uso: Sabemos que continuará con nosotros durante mucho tiempo, pero no queremos que usted sienta ningún compromiso desde el primer momento. El pago le ofrece la mayor flexibilidad, no hay permanencia y los servicios pueden ser desactivados de un mes a otro.
  2. El servicio incluye, de antemano, el acceso remoto a los dispositivos protegidos a través de otro ordenador con SO Windows o Mac OSX, a través del móvil o de una Tablet con Android o iOS, a un precio sustancialmente inferior a otros servicios similares como TeamViewer o AnyDesk
  3. Se establecen 3 «Niveles», dependiendo de cuanto desee usted estar protegido respecto a las nuevas amenazas y retos en seguridad respecto a la Identidad del usuario:

Servicios Gestionados IT de seguridad incluidos en todas las Solución NOVA IAS Básica, Standard y Premium

Servicios Gestionados IT. Aunque no disponga de un departamento de informática o si desea optimizar el que ya tiene, le ofrecemos Gestión y Monitorización de su negocio con el crecimiento y el soporte técnico informático profesional que necesita.

Acceso Remoto Ilimitado. Nuestra plataforma de acceso remoto a través de SolarWinds® Take Control se ha creado para ayudarle a que disponga de un acceso y soporte remoto rápido e intuitivo en prácticamente cualquier plataforma.

2FA para máxima seguridadEl uso de credenciales robadas para vulnerar recursos de red es la principal táctica que utilizan los Cybercriminales. La autenticación multifactor es la defensa individual más importante para protegerse usted y su empresa, ya que solicita una prueba de identificación adicional, además de una simple contraseña.

Asistencia Remota, porque valoramos su tiempo.  Desde su oficina y con una simple llamada o a través de nuestra plataforma online, recibirá Servicio Técnico Informático Profesional a través de la Asistencia Remota. Disponemos de una plataforma informática de vanguardia con la cual es posible atenderle de manera remota sus requerimientos bajo Windows® en cualquiera de sus versiones, Linux y MAC OSX, solucionándole sus problemas. Sólo es necesario que disponga usted de una conexión a internet para así disfrutar de este excelente servicio. 

Condiciones inigualables para sus compras de informática. Porque le ofrecemos descuentos y condiciones especiales al comprar equipos, periféricos o consumibles informáticos en PCNOVA.

Servicios Gestionados IT de seguridad incluidos en IAS Standard y Premium

Seguridad Proactiva y Gestionada. Antivirus Gestionado, porque su Seguridad es nuestra prioridad. Seguridad como servicio para todos sus equipos, portátiles y servidores.

Patch Management – Gestión de Parches, prevenimos las vulnerabilidades del sistema . Simplificamos la aplicación de parches, recuciendo así la superficie de ataque. Patch Management es una solución de gestión de vulnerabilidades y sus correspondientes actualizaciones y parches, tanto de los sistemas operativos como de cientos de aplicaciones. Fortalece las capacidades de prevención, contención y remediación de las amenazas y de reducción de la superficie de ataque en servidores y estaciones Windows. Proporciona visibilidad de la situación de los endpoints en tiempo real en cuanto a vulnerabilidades, parches o actualizaciones pendientes y software no soportado (EoL). 

Encriptación Gestionadale garantizamos que nadie robará sus datos! El cifrado es una técnica por la cual «codificamos» los datos de su almacenamiento. 

Backup de su información más importantePorque las copias de seguridad son fundamentales para resguardar la información, ofrecemos copia de seguridad gestionada de sus datos, el intangible más valioso de las organización.. Esta copia de seguridad viaja y se almacena encriptada en nuestros servidores, para su máxima protección. 

Estamos aquí para facilitar y convertirnos en su aliado tecnológico, más aún en las actuales circunstancias que nos obligan a potenciar el Teletrabajo y la gestión remota, con la profesionalidad y el trato personalizado que nos caracteriza. Sabemos que es un gran reto, pero si lo lleva a cabo preferiblemente de la mano de un partner especializado todo será más fácil.

Usted es nuestra prioridad. Porque sabemos que su infraestructura, sea del tamaño que sea, es muy importantes y una prioridad para mantener su negocio operativo.

Si desea contactarnos, le ofrecemos nuestros medios de contacto, estaremos encantados de ayudarle:

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Proveedor de Servicios Gestionados IT: Cloud – Conectividad – Comunicación – Domótica – Impresión – Movilidad –  Seguridad – Virtualización y Web

De Proveedor de Servicios Gestionados a Proveedor de Servicios de Seguridad Gestionados. Nace PCNOVA Security & IT Defense.

Publicado el por Ricardo V. González Darkin

En PCNOVA nuestro objetivo siempre ha sido proveer los mejores Servicios Gestionados. Nuestro exclusivo programa «Iniciativa ProacTIC 2.0» se renueva para especializarnos en 7 áreas críticas del negocio IT: Cloud, Conectividad, Comunicación, Impresión, Movilidad, Seguridad y Virtualización. En cada una de ellas estamos desarrollando y mejorando nuestra oferta de soluciones, siendo así como nace PCNOVA Security & IT Defense, de Proveedor de Servicios Gestionados a Proveedor de Servicios de Seguridad Gestionados.

Siempre es importante y fundamental destacar que nuestra oferta adapta nuestros servicios y soluciones a las necesidades y capacidades de nuestros clientes, fundamentalmente autónomos y empresarios entre 1 y 75 usuarios, razón de más para la creación de esta nueva división. Lamentablemente (hasta ahora) los Proveedores de Servicios de Seguridad Gestionados estaban enfocados a empresas de mayor envergadura, pero las continuas amenazas, vulnerabilidades y ataques a infraestructuras y servicios de nuestros clientes ha requerido nuestra especialización para poder adaptarnos a esta nueva realidad.

Los delitos cibernéticos se han convertido en una amenaza global que afecta tanto a los organismos de defensa como a organismos públicos, el comercio y distribución, los operadores, la industria y todas las empresas del sector privado. Son muchos muchos los clientes de todos los sectores que ya han confiado en nuestras soluciones de Seguridad.

Network World (grupo IDG) en su artículo MSSP: La seguridad como servicio define de manera excelente nuestra tarea: «los proveedores de servicios de seguridad gestionada (MSSP) ofrecen un enfoque integral y multidisciplinar de la seguridad corporativa que abarca tanto las áreas que afectan a la organización como a los aspectos tecnológicos. Y todo ello como un servicio gestionado 24/7 a cargo de personal técnico altamente especializado. Los proveedores de servicios de seguridad gestionada (MSSP) son firmas especializadas en la provisión de todos aquellos servicios de protección de la seguridad de la información, desde los más básicos (antivirus, filtros anti-spam) a los que implican una monitorización 24/7 de la seguridad externa e interna de la empresa (para entendernos, un “Prosegur virtual”). Esta visión de la seguridad ha de ser integral y multidisciplinar, no solamente centrada en la tecnología. Este error, muy común, olvida que la gestión de la seguridad también requiere que la organización se implique en la seguridad de los procesos internos.

Para ello, la oferta de servicios de un MSSP, íntimamente relacionados y dependientes entre sí, se centra en tres áreas fundamentales:

Organizativa. La experiencia del MSSP aportará al cliente el conocimiento para organizar la empresa conforme a una buenas prácticas de seguridad. Herramientas como el análisis de riesgos determinará el grado de exposición de nuestra empresa a las riesgos y amenazas derivados de su actividad, y permitirá disponer de la información relevante para definir y priorizar nuestras actividades de gestión de la seguridad. Contribuirá, además, a priorizar la securización de unos activos y/o procesos frente a otros.
Todo este proceso deberá culminar en la formalización de un Plan Director de Seguridad, que reúna un plan de acción con unos proyectos concretos a abordar en los diversos escenarios de corto, medio y largo plazo. Para ello, la mayoría de los MSSP se basan en metodologías y estándares contrastados (ISO17799, COBIT, OSSTM, OWASP, etc) que ayudan a definir el punto de comienzo y facilitan la adopción de este “paraguas” necesario para dotar de coherencia y visión integral a todo el sistema de gestión de la seguridad.

– Tecnológica. El servicio más conocido y extendido en el mercado es el uso de herramientas antivirus, que, en sus últimas versiones, incluye soluciones contra nuevas plagas de creciente auge, como filtros anti-spam, eliminación de troyanos y spyware y sistemas de detección de intrusiones (IDS). Por encima de estas herramientas básicas se demandan cada vez más servicios de mayor sofisticación en los que, por medio de diversas pruebas de intrusión realizadas remotamente, se pretende demostrar que la defensa perimetral de una empresa es vulnerable (test de intrusión). Este tipo de tests se realizan habitualmente con poca o ninguna información sobre la topología de la empresa (enfoque de caja negra) y sin que gran parte del personal TI tenga conocimiento de la contratación del servicio, simulando lo que podría ser un ataque real por parte de un intruso.

Este servicio se diferencia de un análisis de vulnerabilidades en que éste requiere de la colaboración activa del personal de la empresa (enfoque de caja blanca), quienes facilitaran toda la información requerida por el MSSP para el descubrimiento y solución con carácter exhaustivo de cualquier vulnerabilidad que pueda ser aprovechada maliciosamente tanto externa (intruso) como internamente (deficientes controles de acceso, débil construcción de contraseñas, no activación de registros de eventos del sistema, etc.).

– Legal. El desarrollo normativo, especialmente prolífico en estos últimos años (LOPD, LSSI, Ley General de Telecomunicaciones, nueva ley de Firma Electrónica…), demanda igualmente una actualización continua en aspectos de obligado cumplimiento en cada sector. La conformidad legal se plantea como un apartado obligatorio en el desarrollo del Plan Director de Seguridad, por lo que el conocimiento exhaustivo de los requerimientos normativos deberá ser uno de los criterios exigibles a la hora de seleccionar el MSSP.»

MSSP. Nuestra Alianza Tecnológica con 4 de los mejores fabricantes de seguridad del mundo: ESET, Panda Security, Stormshield y Watchguard.

Ya comentábamos que los entornos empresariales de cualquier dimensión están cada vez más expuestos a una gran variedad de amenazas, desde ataques de intrusión para tomar el control de dispositivos hasta la grave amenaza del Ransomware. Nos formamos continuamente con los mejores a fin de Certificarnos y establecer una alianza que nos permita ofrecer los mejores servicios y soluciones de seguridad para nuestros clientes, sean del tamaño que sean.

Nuestras soluciones se dividen de acuerdo al entorno securizado:

Seguridad de los datos (Data Security)

Seguridad de los datos, encriptación y políticas de restricción de acceso. La externalización de los servicios y aplicaciones en la nube, la movilidad de los colaboradores y la multiplicación de los dispo­sitivos periféricos han expuesto a las empresas a nuevos ries­gos de seguridad.  Los datos son la verdadera riqueza de las empresas y se en­cuentran expuestos a pérdidas o robos.

Seguridad del Puesto de Trabajo (Enpoint Security)

Seguridad del puesto de trabajo, soluciones a través de agente que se ejecutan en el puesto de trabajo, ya sean pc´s, portátiles o tablets, a fin de garantizar la continuidad de negocio utilizando las más avanzadas técnicas de Ciberinteligencia para su protección.

Seguridad de Red (Network Security)

Seguridad de la red. Lo que se conoce en el lenguaje informático como «Protección perimetral». Esta solución se provee como Dispositivo virtual o como hardware y se dispone de ella mediante Solución UTM (Unified Threat Management) y Solución Firewall de próxima generación. Para ella nuestros Partner utilizan una filosofía de seguridad colaborativa, utilizando para ello la información provista por los diversos motores de seguridad que utilizan sus propias soluciones y así establecer la defensa del sistema de información en profundidad.  Adicionalmente, nuestras soluciones estan incluso certificadas por entidades tan prestigiosas como la OTAN o AIRBUS Defense (Stormshield)

Es así como actualmente somos Partners Certificados, ofreciendo servicios y soluciones de seguridad de los siguientes fabricantes:

  1. ESET: Especializada en Puesto de trabajo (Endpoint Security) y proveedora de Soluciones para Datos. Fabricante de antivirus.

  2. Panda Security: Especializada en Puesto de Trabajo (Endpoint) y Seguridad de Red (Network Security). Fabricante de antivirus y  servicios contra ataques»Zero Day», además de seguridad perimetral.

  3. Stormshield: único fabricante en proveernos soluciones para los 3 entornos, Data, Endpoint y Network Security.

  4. Watchguard: fabricante especializado en Seguridad de Red (Network Security), ahora incorporando servicios para la puesto de trabajo (Endpoint Security)

Soluciones para cualquier tamaño de cliente.

Autónomos, Escuelas, micro y pequeña Empresa: Aportamos seguridad unificada para el conjunto de equipos y dispositivos, gracias a soluciones con múltiples funcionalidades, fáciles de instalar y adaptadas al tamaño de su organización.

Mediana Empresa: Acompañamos en la fase de desarrollo de su actividad con productos y servicios concebidos para evolucionar e integrarse a la perfección en su infraestructura.

Mercados verticales: Educación, Restauración e incluso para entornos industriales especializados, para nosotros cada cliente es único. Aportamos una seguridad excepcional y soluciones específicas y adaptadas a su sector de actividad.

Security as a Service

Ofrecemos Seguridad de principio a fin. Podemos proveerle además de Seguridad como Servicio, un conjunto de soluciones que nos permite atender sus necesidades como su MSSP desde el punto de vista organizativo. Es así cómo ofrecemos a nuestros clientes las siguientes soluciones:

  • Gobierno, medición y evaluación a través de servicios de Auditoría, Formación y CISOaaS.
  • Alerta Temprana ante incidentes de seguridad
  • Monitorización, operación y análisis de los dispositivos y correlación de eventos de seguridad
  • Detección y respuesta ante ataques e intrusiones

AaaS: Auditorías como Servicio.

Medición y evaluación de la situación actual (AS-IS) con auditorías sobre el estado de la seguridad, a través de las cuales podemos detectar las vulnerabilidades, amenazas y nivel de riesgo actual a través de equipos de Hackers Éticos simulando ser intrusos maliciosos. Nos basamos en los estándares oficiales, metodologías y certificaciones profesionales de seguridad (CEH y CISA).

CISOaaS: Compliance, Gobierno y soporte al CISO

Si usted como cliente no dispone de un CISO , podemos proveerle de una Figura de CISO virtual (CISOaaS) con perfiles con más de 20 años de experiencia y certificaciones CISA, CISM, CISSP, CRISC, CDPP.

Si usted necesita una estrategia o táctica en materia de seguridad de la información, somos capaces de acompañarle y asesorarle en las tareas de definición de políticas, estándares y planes directores y de ejecución.

Normativa o garantías de cumplimiento legal? Estamos en capacidad de realizar la Planificación, Organización, Gestión, Control y Mejora para el cumplimiento normativo y las buenas prácticas.

Ante un incidente de seguridad, enviamos a nuestros expertos actuar rápidamente on site: Robos de información, ataques, fugas de datos, cualquier acción que pueda comprometer la privacidad de los datos puede ser combatida por expertos y reconocidos profesionales en seguridad.

Quedamos a la espera de sus requerimientos de Seguridad, PCNOVA Security & IT Defense esta preparado para convertirse en su MSSP. Comparta con nosotros sus necesidades y con gusto le contactaremos para asesorarle e incorporar las mejores soluciones de seguridad para su entorno informático.

[jotform id=»61704784792365″]

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Proveedor de Servicios Gestionados, Cloud – Conectividad – Comunicación – Impresión – Movilidad –  Seguridad – Virtualización. Consultoría especializada en Soluciones IT para Emprendedores, Sector Educativo, Sector Comercio /Restauración y la Pequeña y Mediana Empresa.  Servicios Gestionados para Windows, OSX y Linux , Servicios en la nube (Office 365 – Windows Intune – Windows Azure),  Conectividad (TP-LINK – DLINK – Ubiquity), Comunicaciones Unificadas, Internet y Telefonía IP (Office 365 – LCRCom – Innovaphone ), Servicios Gestionados de Impresión MPS Multimarca, Movilidad (Windows Phone – Android), Seguridad Perimetral, Seguridad del Endpoint y Seguridad de los datos, Virtualización para Empresas y Educación (NComputing).  Servicio Técnico, mantenimiento Informático y Asistencia remota.

 

 

 

 

 

 

Las Amenazas a la Seguridad Informática de las Organizaciones es Real. PCNOVA Security & IT Defense

Publicado el por Ricardo V. González Darkin

La amenaza de la Seguridad IT para todo tipo de organizaciones es real, ciertamente. No queremos alarmarlo pero lo que estamos viendo a nivel de seguridad IT no lo habíamos visto nunca antes a este nivel: Autónomos, micro y pequeña empresa. Adicionalmente y en base a la progresión de los ataques estamos convencidos de que cualquier Organización que no decida protegerse, sea del tamaño que sea, podría ser víctima a muy corto plazo.

Nuestro compromiso siempre ha sido ofrecer Soluciones Económica, fáciles y rápidamente desplegables, adaptadas a las necesidades y presupuesto de Profesionales, Emprendedores, micro, pequeña y mediana Empresa, Sector Educativo y Restauración. Éste ha sido el objetivo de PCNOVA desde sus inicios y es por ello que nace PCNOVA Security & IT Defense de la mano de 4 de los principales fabricantes de Seguridad del mundo: ESET, Panda Security, Stormshield y Watchguard.

PCNOVA Security & IT Defense. Nos convertimos en MSSP (Managed Security Service Provider o Proveedor de Servicios de Seguridad Gestionados)

Antecedentes

Solución NOVA. Control de inicios de sesion que ha permitido detectar ataques de fuerza bruta.

Como MSP (Manage Service Provider o Proveedores de Servicios Gestionados) podemos tener una visión muy amplia de los dispositivos que gestionamos: vulnerabilidades, servicios, situación del antivirus, situación del backup, etc. Todo cuanto técnicamente se ejecuta en los ordenadores, servidores, tabletas y teléfonos que gestionamos es visible en nuestro panel de control y uno de los parámetros que controlamos es el relacionado con los «inicios de sesión», por ejemplo, en un servidor. Gracias a esta capacidad ya hemos detectado casos de servidores que comenzamos a controlar y que estaban siendo atacados a través de lo que se conoce como ataques de fuerza bruta, llegándose a realizar más de 60.000 intentos para la identificación del usuario y la contraseña del administrador, en un sólo día.

Ataques_detectados_Watchguard_2016_725x300

Según El Confidencial, España es el tercer país del mundo con más ataques Cibernéticos.  Dice el ministro del Interior «estos ataques cibernéticos se dirigieron tanto a particulares como a instituciones», por tanto no crea que los ataques van dirigidos «sólo» a grandes empresas y que sus datos no son interesantes para atacarle, TODOS somos objetivo de los ciberdelicuentes, esta siendo un gran negocio de las mafias desde hace relativamente poco tiempo. Otro dato interesante lo obtenemos de Watchguard, quien gracias a sus dispositivos desplegados por todo el mundo puede darnos una cifra precisa de la cantidad de detecciones durante el 2016: más de 3MM de ataques de red y 18,7MM de variantes de Malware, por tanto en este sentido continúa el crecimiento exponencial de los ataques año a año. Como bien se nos ha comentado en el último evento que asistimos de este fabricante hace unos días: en este momento existen 2 tipos de organizaciones, las que ya han sido atacadas y afectadas por el ransomware y las que van a ser atacadas. La amenaza es muy seria y si no la tomamos así podemos ser víctimas de ella con mucha facilidad, mientras más grande sea la organización más riesgos hay de que hoy usted sea la próxima víctima.

Ataques Perimetrales detectados.

Hasta hace poco tiempo no observábamos ninguna amenaza perimetral, sobre todo en la pequeña Empresa. Esta misma semana hemos monitorizado servidores que han recibido más de 300 intentos de intrusión (logueo e intento de descubrimiento de usuario y contraseña del usuario administrador) . Me gustaría en este punto dar algunas pruebas de lo dicho. Por ejemplo, tomemos las 2 ip´s que aparecen en la imagen anterior y veamos qué aparece respecto a ellas:

110.78.146.121

212.83.152.157

-Como podemos observar, estas 2 IP´s ya han sido reportadas por algún ataque de fuerza bruta, incluso una de ellas se ha utilizado para otros ataques como escaneo de puertos, ataques de denegación de servicio, etc.

Pero esto pareciera poco para alarmarnos, vamos a trabajar varias IP´s del siguiente listado: PCNOVA – ATAQUE DE INTRUSIÓN 12-04 MAYOR ATAQUE – PCNOVA Proveedor de Servicios de Seguridad Gestionados en donde observamos:

135 ataques de intrusión por fuerza bruta de la misma ip en 15 minutos:

1.34.121.41

Ahora, 15 IP´s seleccionadas al azar de otro listado de intentos de intrusión del mismo servidor, entre el 10 y el 16/04/2017

  1. 85.154.232.195
  2. 116.54.231.8
  3. 181.24.16.35
  4. 89.165.20.193
  5. 201.177.24.228
  6. 115.199.190.118
  7. 121.34.105.169
  8. 122.114.222.114
  9. 113.253.18.198
  10. 186.192.223.85
  11. 112.194.168.54
  12. 118.68.208.124
  13. 14.10.66.96
  14. 190.48.244.119
  15. 187.94.251.3

Qué le parece? y esto es de uno de los servidores (un sencillo dispositivo para copias de seguridad que gestionamos). Imagine la cantidad de servidores publicados en internet que estan siendo atacados (posiblemente el suyo ya lo esta siendo) y que por no tenerlo debidamente configurado y gestionado no esta en capacidad de conocer su situación, quizá hoy mismo (dependiendo de la seguridad de la que disponga) esté a punto de ser hackeado, parece una película de ciencia ficción, cierto?

EL RANSOMWARE

Existen distintos tipos de ransomware, según Watchguard: Scareware, Locking ransomware, MBR Ransomware, Ransomware Policía, SMS Ransomware y Crypto RansomwareHa escuchado de Ransomware, cierto? Si no es así y es la primera vez que escucha este término, le amplío la información a través de la descripción obtenida de uno de nuestros aliados en seguridad, Panda Security. El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate. Uno de los Ransomware más famosos fue el Virus de la Policía. La vergüenza, la necesidad de recuperar sus datos y la presión ante un mensaje alarmante y desconocido, son algunos de los factores que provocan que algunos de los afectados por este tipo de virus terminen pagando el rescate de su ordenador.

Watchguard nos facilita una clasificación del Ransomware:

  • Scareware: Asusta para obtener de la víctima un pago por falsos software o servicios.
  • Locking Ransomware: Dificulta al usuario usar e interactuar con el ordenador.
  • MBR Ransomware. Muy dañino, cambia el Master boot record del disco duro e impide arrancar el equipo hasta que realice un pago.
  • Ransomware Policía: despliega un mensaje falso que le informa que esta cometiendo un delito y que debe pagar para evitarlo.
  • SMS Ransomware: demanda el pago de mensajes de texto a una tarifa premium para recuperar su sistema
  • Crypto Ransomware: Muy dañino, encripta (codifica) sus datos y solicita un pago para desencriptarlo.

Pues ahora comenzará a escuchar el término RANSOMWORM: se trata de la unión entre las capacidades de cifrado del ransomware y las de expansión de los gusanos de red, ¿Imagina el daño que puede causarle a una organización, escuela, universidad o pyme? sería relativamente sencillo (y ya ha ocurrido) que un estudiante o trabajador se infecte en su casa y traiga el malware en un usb (sin darse cuenta) a su escuela o a la empresa donde trabaja. Ya hemos tenido conocimiento de organizaciones que han tenido que pagar rescates de varios miles de Euros al haber sido atacadas por este tipo de gusano. Por tanto los datos son el elemento más importante pero a la vez menos valorado y para poder cuantificarlo sólo le hago 2 preguntas a nuestros clientes:

  • ¿Cuánto tiempo le ha llevado crear esos datos?
  • ¿Cuanto tiempo puede trabajar sin esos datos?

Visto de esta manera, generalmente sí se percibe el valor de nuestros datos. En nuestro caso tenemos información que se ha ido recopilando desde hace más de 20  años en el sector y sinceramente sería imposible poder generar una factura, un presupuesto o buscar un manual o refrescar una formación si dispusieramos de la información en cualquier dispositivo y al instante, además debidamente asegurada y con sistemas de backup automatizados y correctamente configurados. El problema de la información es que es un intangible al que es difícil ponerle valor y que sólo se hace tangible cuando no disponemos de ella.

LA SEGURIDAD DEL PUESTO DE TRABAJO (ENDPOINT SECURITY)

UNA CONSTATACIÓN: LOS PUESTOS DE TRABAJO Y LOS SERVIDORES ESTÁN TODAVÍA EN RIESGO. Así de tajante es la afirmación de Stormshield. La nueva amenaza que se ha desplegado con el Malware de tipo Ransomware (o cualquier otro ataque futuro de Día Cero) se esta convirtiendo en un peligroso riesgo de seguridad que a través de internet y el correo electrónico llega a nuestro buzón y es capaz de hacer inaccesibles nuestros datos en cuestión de minutos, además sin mayor aviso que el que conseguimos cuando intentamos abrir el archivo y nuestro dispositivo no lo reconoce, lamentablemente ya ha sido encriptado.

Se hace necesario entonces proteger a sus equipos de ataques de malware, exploits y otras amenazas sofisticadas, incluyendo ataques de Ransomware. Aunque las soluciones tradicionales de protección tipo Antivirus esten instaladas, estas se basan en librerías y listas negras de malware que sólo son capaces de detectar aquellos ataques que ya tienen registrados en sus bases de datos. Con PCNOVA Adaptive Defense o Stormshield Endpoint Security, le proveemos de una solución de seguridad que detecta el comportamiento sospechoso en tiempo real y es capaz de bloquear las amenazas más avanzadas, antes de que actúen en el PC.

NOVA Adaptive Defense. La única Solución que garantiza la Seguridad de todas las aplicaciones ejecutadas.

Las soluciones tradicionales antivirus resultan eficaces para bloquear malware conocido utilizando técnicas de detección basadas en ficheros de firmas y algoritmos heurísticos. Sin embargo, no son efectivas contra los ataques de día cero y ataques dirigidos, diseñados para aprovecharse de la ‘ventana de oportunidad del malware’ a través de herramientas, tácticas, técnicas, y procedimientos maliciosos (TTPs).

La “ventana de oportunidad” es cada vez mayor, lo que es aprovechado por los hackers para introducir virus, ransomware, troyanos y otros tipos de malware avanzado y ataques dirigidos en las empresas.

La familia de productos y servicios de Adaptive Defense es la solución de Panda Security a este tipo de ataques. Como Partner Certificado de Panda Security, PCNOVA Adaptive Defense ofrece un servicio gestionado de detección y respuesta en el endpoint capaz de clasificar cada una de las aplicaciones que se ejecutan en la organización de forma precisa, permitiendo ejecutar únicamente lo que es confiable. La ventaja de nuestra solución es que no necesita de ningún otro dispositivo, tan sólo una conexión a internet le permite disponer en pocos minutos de una herramienta eficaz y económica, que le permite estar protegido frente ataques Ransomware y de cualquier otro tipo clasificados como «Zero Day» o de Día Cero.

PCNOVA Adaptive Defense se fundamenta en un modelo de seguridad basado en tres principios: monitorización continua de las aplicaciones de los puestos y servidores de la empresa, clasificación automática mediante técnicas de Machine Learning en nuestra plataforma Big Data en la nube y, por último, el análisis en profundidad por parte de técnicos expertos de aquellas aplicaciones no clasificadas automáticamente, con el fin de conocer el comportamiento de todo aquello que se ejecuta en tu organización.

PCNOVA_Adaptive_Defense_Plataforma_de_Cyberinteligencia_basada_en_3_principios_monitorización_clasificación_y_análisis

Si desea más información puede descargarse nuestra presentación de producto: PCNOVA 2017 ADAPTIVE DEFENSE CAPACIDADES. DIFERENCIAS_AV_VS_AD

Stormshield Endpoint Security

Una afirmación, los puestos de trabajo y los servidores estan todavía en riesgo. Stormshield Endpoint Security es una solución completa de seguridad para estaciones de trabajo. Protege a sus equipos de ataques de malware, exploits y otras amenazas sofisticadas, incluyendo ataques de Ransomware.

A diferencia de las soluciones tradicionales de protección, Stormshield Endpoint Security no está basado en librerías y «listas negras» de malware. Detecta el comportamiento sospechoso en tiempo real y es capaz de bloquear las amenazas más avanzadas, antes de que actúen en el PC.

Stormshield Endpoint Security es compatible con las soluciones tradicionales de antivirus y supone una segunda línea de defensa contra las amenazas nuevas y ataques sofisticados, que las soluciones de anti-malware basadas en firmas no pueden detectar.

Herramientas tradicionales insuficientes.

A pesar de los millones invertidos, las empresas se enfrentan al fracaso de las herramien-tas de defensa tradicionales en la lucha contra los ataques dirigidos o sofisticados.
Las herramientas de tipo antivirus o HIPS proponen, en efecto, un enfoque reactivo y no proactivo para detectar los programas y los comportamientos maliciosos. Utilizan una base de firmas que se limita a las amenazas conocidas y suelen verse impotentes contra los ataques completamente nuevos. Además, los hackers ponen en práctica mecanismos de camuflaje avanzados para disi-mular sus movimientos y, de ese modo, saltarse esas protecciones basadas en firmas.

Ataques cada vez más avanzados y dirigidos.

Se considera que un ataque es sofisticado cuando es capaz de eludir los mecanismos de seguridad tradicionales. Esta sofisticación se obtiene gracias a la combinación de múltiples métodos de ataque avanzados como, por ejemplo, la explotación de una vulnerabilidad de aplicaciones (servidor web, lector de archivos PDF) y después la propagación de un software malicioso a través de la red de la empresa o obtención de la acceso a de los activos sensibles median-te la elevación de privilegios.

Stormshield_endpoint_security_le_protege_contra_los_ataques_avanzados_dirigidos

Si desea más información puede descargarse nuestra presentación de producto: StormShield Endpoint Security PCNOVA

LA SEGURIDAD PERIMETRAL (NETWORK SECURITY)

Las soluciones de seguridad perimetral protegen la red y los recursos de la organización contra amenazas, ataques y degradaciones de servicio. El portfolio que podemos ofrecer incluye las soluciones más avanzadas del mercado para proteger la red contra ataques persistentes, ataques dirigidos, exploits sofisticados, ataques DDoS, ataques de día cero y otras amenazas que las soluciones tradicionales no son capaces de detectar.

Para cumplir con este objetivo, somos Partner Tecnológico Certificado de 3 de los fabricantes más reconocidos del mercado: Panda Security, Stormshield y Watchguard. No obstante, esta protección no estaría completa si no fuesemos capaces de detectar los ataques para poder preveerlos y detenerlos, es así como nuestra exclusiva SOLUCION NOVA que ofrece servicios de gestión, monitorización y prevención, complementa nuestra oferta y como bien comentábamos al principio, ha sido capaz de proteger infraestructuras que ni siquiera tenían conocimiento de que estaban siendo atacadas para hacerse con el control de las mismas y por tanto de los valiosos datos que en estos dispositivos contenían.

Nuestro compromiso siempre ha sido y será el mismo: Ofrecer Soluciones Económica, fáciles y rápidamente desplegables, adaptadas a las necesidades y presupuesto de Profesionales, Emprendedores, micro, pequeña y mediana Empresa, Sector Educativo y Restauración. Éste ha sido el objetivo de PCNOVA desde sus inicios y es por ello nuestra alianza como Partner Tecnológico Certificado con estos 3 fabricantes de Seguridad.

Cómo puede ayudarle PCNOVA Security & IT Defense a mejorar la Seguridad Perimetral de su Organización

SOLUCIONES PARA ESCUELAS, COLEGIOS, PROFESIONALES Y LA PEQUEÑA EMPRESA

Panda Gatedefender

Con Panda Gatedefender, los Entornos de red, expuestos a una gran variedad de Amenazas, obtienen una Solución de Seguridad completa, facil de gestionar y flexible a la hora de integrar.

PROTECCIÓN

  • Protección de la red. Navegación y correo seguro
  • Acceso a contenidos de forma segura a través de WiFi
  • Protección de aplicaciones web

GESTIÓN

  • Consola de gestión centralizada desde la nube
  • Informes y Monitorización de la red en tiempo real

PRODUCTIVIDAD

  • Liberación de correo no productivo
  • Navegación por las categorías web adecuadas para el negocio
  • Acceso seguro para empleados en itinerancia, entre oficinas remotas y para dispositivos propios BYOD (Bring Your Own Device)
  • Prioridad al tráfico productivo de la empresa
  • Salida redundante a Internet 24×7 sin cortes
  • Reducción del coste total de la propiedad

FLEXIBILIDAD

Disponible en versiones Hardware, Virtual y Software

Esquema_Panda_Gatedefender_protección_total_red_cableada_wifi_ips_antivirus_firewall

StormShield Network Security

Stormshield_seguridad_multicapaArkoon y Netasq, subsidiarias 100% de Airbus Defence and Space CyberSecurity, es la propietarias de Stormshield, ofreciendo soluciones innovadores de Seguridad «end-to-end» para proteger redes (Stormshield Network Security), Estaciones de trabajo (Stormshield Endpoint Security) y datos (Stormshield Data Security).

La principal fortaleza radica en que como fabricante Europeo, implementa tecnologías certificadas al más alto nivel en Europa (RESTRICTED UE, NATO RESTRICTED, EAL3+ y ANSI EAL4 +). Las certificaciones y calificaciones otorgadas garantizan un nivel de protección adaptado a los datos estratégicos de las corporaciones y organizaciones más sensibles. Gracias a estas certificaciones, los productos de Stormshield Network Security son un componente clave para asegurar el cumplimiento de estándares, regulaciones y normas que requieren control de acceso (PCI-DSS, ISO 27001 o la Ley de Protección de Datos -próximamente RGPD, etc.).

Otro aspecto muy importante de las Soluciones de Seguridad de Stormshield consiste en la integración de todos los elementos vulnerables de una infraestructura IT: Seguridad de red (Network Securiy), Seguridad del puesto de Trabajo (Endpoint Security) y Seguridad de los datos (Data Security), convirtiéndose en uno (sino el único) fabricante de seguridad capaz de ofrecer la Seguridad Colaborativa Multicapa en todo el entorno de dispositivos informáticos, lo cual amplia su rango de acción y optimiza los procesos al disponer con un mismo fabricante de todos los componentes necesarios para mejorar la Seguridad.

El conjunto de soluciones de este fabricante destaca por:

  • SEGURIDAD PREPARADA PARA EL FUTURO: Stormshield Network Security ofrecen la modularidad necesaria y las características para mantenerse al corriente de los cambios futuros en los sistemas de información.
    SEGURIDAD SIN FISURAS:  La única manera de que la seguridad sea efectiva es cuando es perfecta para usuarios y administradores.
  • SEGURIDAD COLABORATIVA: Seguridad colaborativa de varias capas. Este modelo holístico, basado en la colaboración activa entre los motores de seguridad en nuestras diversas soluciones, marca el futuro de la defensa del sistema de información en profundidad.
    SEGURIDAD COMPROBADA:

Stormshield_solucion_integrada_network_security_endpoint_security_data_security

Si desea más información puede descargarse nuestra presentación de producto: StormShield Network Security PCNOVA

WATCHGUARD

Watchguard_gama_productos_utm_new_generation_firewall_pcnova_msspLa cúspide de la pirámide alimenticia de la seguridad de red. Un completo portfolio de seguridad avanzada en red. Soluciones para proteger las organizaciones, sus datos, sus empleados y sus clientes. Un completo portfolio con Gestion Unificada de Amenazas (UTM) y Firewall de nueva generación (NGFW) con el mayor rendimiento de red a pesar de trabajar con todos los servicios activados. Los dispositivos Wifi de Watchguard le proveen de Wi-Fi segura y Gestión en la nube de una forma Segura, sencilla e inteligente, lo cual nos permite gestionar oficinas remotas, Wi-Fi para invitados, acceso corporativo, puntos de acceso públicos y funciones de seguridad líderes en el sector, tecnología de prevención de intrusiones inalámbricas (WIPS) patentada, análisis empresariales, potentes herramientas de administración y muchas otras funciones.

Firewall de nueva generación (NGFW)

La seguridad que necesita, con capacidad suficiente para garantizar la protección de la red de las grandes empresas.

Gestión unificada de amenaza (UTM)

Máxima seguridad y rendimiento en un dispositivo integral que le permitirá contar con margen adicional para el futuro.

Redes inalámbricas seguras

Características diferenciales de Watchguard
  • Grado Empresarial: Best-in-class en servicios de seguridad sin el coste o la complejidad.
  • Simplicidad: Configuración fácil y directa de desplegar con gestión centralizada.
  • El mejor rendimiento UTM: Mejor rendimiento UTM en todos los rangos de precios.
  • Visibilidad de amenazas: Visibilidad completa de tu redcon el podr de tomar acciones inmediatamente
  • Equipos preparados para el futuro: El acceso mas rápido a las nuevos y mejorados servicios de seguridad.

 

Watchguard_utm_firewall_y_wifi_segura_una_sola_herramienta_de_gestión

 

LOGO-Adaptive-Defense-Escudo+SOLO-PCNOVA-SyD-250Es así como anunciamos la creación de la división de Security & IT Defense de PCNOVA, cuyo único objetivo es la Prevención, Detección y Visibilidad ante los crecientes ataques que estamos identificando utilizando nuestras herramientas de Monitorización y Gestión de nuestra SOLUCION NOVA.  Gracias a ellas, una vez más cumplimos nuestro compromiso de ser Proactivos y no reactivos ante los inminentes problemas de Seguridad que día a día vemos con preocupante incremento en la Pyme, una víctima fácil al estar desprotegida, ya que como muchos de nuestros clientes nos han comentado “mi información no es del interés de estas grandes mafias tecnológicas”, por tanto creen que no serán un objetivo de ataque.

Afortunadamente, así como las organizaciones criminales crecen en dimensión y efectividad, igualmente se incrementan de forma exponencial las herramientas tecnológicas de Prevención y Protección, lo que hemos denominado IT Defense. Reiteramos nuestro compromiso de proponerle Soluciones Económica, fáciles y rápidamente desplegables para proteger su Organización en el Perímetro, en el puesto de trabajo e incluso en sus datos, sobre todo ante ataques de Ransomware y cualquier otro tipo de ataque Zero Day.

No queremos alarmarle, pero en base a la progresión de los ataques ESTAMOS CONVENCIDOS de que su Organización (sea del tamaño que sea) podría ser víctima a muy corto plazo. Estamos seguros de que con esta solución (que complementa a otras incluidas en las Soluciones NOVA) incrementamos sustancialmente la Seguridad y Defensa de su Infraestructura IT. No espere a ser víctima, protéjase cuanto antes.

Ricardo González Darkin

Consultor Técnico / Especialista en Soluciones IT para Educación y la Pequeña y Mediana Empresa

Proveedor de Servicios Gestionados, Cloud – Conectividad – Comunicación – Impresión – Movilidad –  Seguridad – Virtualización. Consultoría especializada en Soluciones IT para Emprendedores, Sector Educativo, Sector Comercio /Restauración y la Pequeña y Mediana Empresa.  Servicios Gestionados para Windows, OSX y Linux , Servicios en la nube (Office 365 – Windows Intune – Windows Azure),  Conectividad (TP-LINK – DLINK – Ubiquity), Comunicaciones Unificadas, Internet y Telefonía IP (Office 365 – LCRCom – Innovaphone ), Servicios Gestionados de Impresión MPS Multimarca, Movilidad (Windows Phone – Android), Seguridad Perimetral, Seguridad del Endpoint y Seguridad de los datos, Virtualización para Empresas y Educación (NComputing).  Servicio Técnico, mantenimiento Informático y Asistencia remota.

 

Locky y TeslaCrypt inundan las bandejas de nuestros correos, escondiendo una peligrosa variante de ransomware en documentos de Office.

Publicado el por Ricardo V. González Darkin

Ya hemos tenido varias consultas de nuestros clientes respecto a estos nuevos ransomware llamados Locky y TeslaCrypt. Locky se esconde detrás de un «inocente» archivo de Office, de ahí la enorme posibilidad de que usted pueda ser infectado. TeslaCrypt utiliza el típico archivo comprimido para intentar convencerle que lo ejecute.

Locky es un Troyano que utiliza una técnica que se pensaba extinguida: el uso de macros maliciosas en documentos de Microsoft Office, algo que se consideraba más que superado desde hace años pero que se ha demostrado estar aún vigente a día de hoy. Una vez el usuario abre el fichero ofimático en forma de archivo de Word o Excel, se le solicita que permita la ejecución de macros para ver su contenido. Si el usuario accede, entonces el malware ejecuta su código malicioso, infecta el sistema y lo incluye dentro de una botnet controlada por los atacantes.

TeslaCrypt por otro lado también aumenta sus ataques y a través de un mensaje de correo que adjunta un archivo comprimido e intenta convencer al usuario indicándole que hay un problema con un pedido, una factura impagada o cualquier otra excusa.

Su objetivo es la obtención de dinero fácil por parte de los delincuentes, lo cual se ha estado incrementando durante los últimos meses. Esta es una nueva variante que ha ido acompañada de una importante campaña de propagación para intentar obtener el mayor número de víctimas posible.Es por ésto que nos hacemos eco de un artículo publicado en el Blog de Ontinet (representante del fabricante ESET en España) y que explica en detalle el funcionamiento de este nuevo ransomware:

Locky: nuevo ransomware con características comunes al troyano bancario Dridex

Propagación por email de un documento malicioso

Una de estas campañas se está produciendo durante esta semana, concretamente desde el martes 16 de febrero, a través de mensajes de correo electrónico en inglés que nos hablan de una supuesta factura. Esta factura viene adjunta al mensaje en forma de un documento de Microsoft Word, tiene como nombre InvoiceXXXXXX.doc (donde XXXXXX es un número aleatorio).

locky1

Imagen1 – Ejemplo de correo con adjunto malicioso

Los remitentes pueden ser usuarios de cualquier parte del mundo, por lo que estamos ante una campaña global, aunque, como veremos más adelante, su éxito depende del país o región que analicemos.

Si descargamos el fichero adjunto y lo descomprimimos, observaremos que aparentemente se trata de un inofensivo documento de Microsoft Word, el conocido procesador de textos de la suite de Office.

locky5

Imagen 2 – Ejemplo de documento Word malicioso

La trampa se encuentra dentro de ese documento, puesto que los delincuentes utilizan macros maliciosas para descargar y ejecutar el ransomware. Estas macros vienen desactivadas por defecto como medida de seguridad, y es que esta técnica de ejecución de malware es algo que viene existiendo desde hace casi 20 años.

Locky en acción

Si hemos sido lo suficientemente desprevenidos para descargar este documento, abrirlo y permitir la ejecución de macros, nos encontraremos con que, al cabo de unos minutos, gran parte de los ficheros de nuestro sistema estarán cifrados y aparecerá una imagen como la que vemos a continuación sustituyendo nuestro fondo de pantalla:

locky6

Imagen 3 – Fondo de pantalla avisando del secuestro de nuestros ficheros

Si nos fijamos, este tipo de instrucciones es muy similar a variantes anteriores de ransomware. En esta pantalla se nos proporcionan varios enlaces donde se explica el tipo de cifrado usado, una dirección desde donde poder recibir la clave privada correspondiente a los ficheros cifrados en nuestro sistema, e instrucciones para descargar Tor y acceder a un sitio en esta red desde donde proceder a pagar el rescate.

En este punto, los ficheros que no sean esenciales para el funcionamiento del sistema ya estarán cifrados. Los tipos de ficheros que busca Locky en nuestro sistema van desde las imágenes a los documentos y abarcan prácticamente cualquier archivo que pueda tener un mínimo valor para el usuario. Sin embargo, se cuida mucho de no cifrar aquellos archivos que resulten esenciales para el funcionamiento del sistema, de forma que la víctima pueda seguir las instrucciones.

Además, Locky no se centra únicamente en cifrar los ficheros del sistema que infecta, sino que también buscará unidades de red, aunque estas no se encuentren mapaeadas, para proceder a cifrarlas. Esta técnica se está volviendo cada vez más común, por lo que los administradores de sistemas de pequeñas y grandes empresas harían bien en revisar a qué usuarios conceden permisos de acceso a los recursos compartidos de red y bloquear lo antes posible a aquellos que ejecuten comandos de cifrados desde su sistema.

Otra característica que dificulta la recuperación de los datos es la eliminación de las Shadow Copies en el sistema. Si bien esta técnica se viene realizando desde hace tiempo, no deja de ser un problema no poder contar con las copias de seguridad generadas de forma automática por Windows.

Por último, en cada una de las carpetas donde se haya cifrado al menos un fichero, el ransomware deja un fichero de texto con instrucciones para recuperar la información, instrucciones que dirigen a la víctima a la siguiente página web para que realice el pago del rescate.

locky2b

Imagen 4 – Instrucciones para proceder al pago del rescate

Propagación de Locky a nivel mundial

Como hemos indicado anteriormente, nos encontramos ante una campaña de propagación que está afectando notablemente a varios países de todo el mundo. Los países en los que se han detectado el mayor número de muestras coinciden con algunas de las zonas más desarrolladas y encontramos, por ejemplo, a Canadá, Estados Unidos, Nueva Zelanda, Australia, Japón o buena parte de la Unión Europea.

locky4

Imagen 5 – Niveles de propagación de Locky en el mundo

En lo que respecta a España, el documento de Word con las macros maliciosas que descarga el ransomware (detectado por las soluciones de ESET como VBA/TrojanDownloader.Agent.ASL) ha obtenido elevados ratios de detección tanto el miércoles 17 como el jueves 18 de febrero. Nuestra previsión es que permanezca unos días más en el puesto número 1 de las amenazas más detectadas, por lo que recomendamos tomar medidas de protección para evitar vernos afectados.

locky3

Imagen 6 – Porcentaje de detección de Locky en España

Conexiones con otras familias de malware

Debido al diseño de este ransomware y su similitud con otras variantes avanzadas, se ha especulado mucho sobre quién podría estar detrás de esta campaña de propagación. Algunos expertos apuntan a que detrás de Locky podría estar la misma organización criminal que tanto daño ha causado con el troyano bancario Dridex.

Si bien es cierto que utiliza uno de los métodos de propagación que tan buenos resultados le ha dado a los creadores de Dridex, también hay que decir que hay muchas otras familias de malware que utilizan documentos de Microsoft Office con macros maliciosas para infectar a sus víctimas.

Además, algunos investigadores han descubierto que Locky también se está propagando usando los mismos identificadores que utiliza el kit de exploits Neutrino para propagar amenazas como Necurs. Por si fuera poco, en ambos casos los rescates apuntan a la misma cartera de Bitcoin y parece que utilizan la misma infraestructura.

Estas coincidencias pueden significar que ambas amenazas están siendo gestionadas y manejadas por el mismo grupo de delincuentes o que se está utilizando una distribución por medio de afiliados, algo bastante más probable viendo ejemplos recientes.

TESLACRYPT.

El email, de nuevo el principal vector de ataque

A pesar de que existen métodos automatizados que permiten infectar a usuarios con sistemas y aplicaciones vulnerables mediante kits de exploits, parece que los delincuentes que se encuentran detrás de esta campaña han confiado de nuevo en el correo electrónico como método principal de propagación.

De esta forma, y con un mensaje en inglés que lleva días inundando las bandejas de entrada de usuarios de todo el mundo, los delincuentes intentan convencer al usuario para que abra el fichero. Para conseguirlo, se intenta convencer al usuario indicándole que hay un problema con un pedido, una factura impagada o cualquier otra excusa.

locky_march1

Obviamente, el objetivo final es que se descomprima y ejecute el fichero adjunto, fichero que contiene un archivo Javascript y que las soluciones de ESET detectan como JS/TrojanDownloader.Nemucod. Este malware actúa en realidad como pasarela a otros códigos maliciosos, puesto que, una vez comprometido el sistema, puede descargar lo que le apetezca a los delincuentes, siendo en este caso variantes de los ransomware TeslaCrypt y Locky.

El resultado final es bien conocido por todos. El ransomware descargado por Nemucod comenzará a cifrar los archivos existentes en el sistema, eliminará los originales y cambiará el fondo de pantalla con instrucciones para pagar el rescate solicitado por los criminales.

locky6

Propagación de esta oleada de malware en el mundo

Cada vez que se observa que una variante de ransomware está infectando a una cantidad importante de usuarios, se intenta acotar su propagación y comprobar si es una campaña dirigida a un país en concreto, como la infame campaña que suplantó a Correos España durante varios meses.

En este caso, observamos que, desde la primera detección de Locky a mediados de febrero, la tasa de detecciones no ha dejado de crecer en las sucesivas oleadas de propagación de ransomware que se han producido desde entonces. En la actualidad se están observando picos de detección por encima del 40 % de las muestras enviadas a nuestros laboratorios por parte de los usuarios gracias al sistema Live Grid, integrado en las soluciones de seguridad de ESET.

locky_march3

A nivel mundial, observamos una propagación similar por países afectados en anteriores campañas de ransomware, siendo la región de Europa, Norteamérica, Australia y, especialmente, Japón, los países que más detecciones han tenido hasta el momento.

locky_march4

En lo que respecta a España, como ya hemos dicho, las detecciones de Nemucod, el malware encargado de descargar estas variantes de ransomware, ya han superado el 40 % del total de muestras detectadas. Es posible que esta cifra aumente, puesto que nos encontramos en los días en que se produce el pico de propagación, por lo que conviene extremar las precauciones.

locky_march2

Es importante recordar que estos porcentajes corresponden al número de detecciones realizadas por las soluciones de ESET instaladas en los ordenadores de los usuarios. Esto significa que el antivirus ha conseguido detectar la amenaza y, en la mayoría de ocasiones, bloquearla antes de que esta consiga infectar el sistema.

Precisamente para favorecer este tipo de detecciones tempranas, cada vez que aparece una amenaza especialmente peligrosa, recomendamos a los usuarios de ESET activar el sistema Live Grid. De esta forma, colaboran a que las detecciones se hagan más rápidamente y se protegen de forma más efectiva frente a ellas.

Recomendaciones

Tal y como venimos comentando cada vez que analizamos un caso de ransomware, especialmente si su propagación es bastante elevada (como es el caso), resulta vital tomar las medidas de prevención adecuadas. Las copias de seguridad han de estar al día y desconectadas de la red una vez finalizadas para evitar que este ransomware también las cifre. De esta forma se podrá restaurar la información afectada sin mayores pérdidas que el tiempo que tardemos en realizar esta operación.

Una vez más hacemos incapié en las Copias de Seguridad Externas como una vía segura y fiable de garantizar que sus datos (en caso de ser atacados) puedan ser recuperados en un 100%. Las Soluciones de Backup de PCNOVA le permiten disponer de una solución segura y económica para realizar copias de seguridad remotas y locales de los datos y gestionarlos a través de nuestra plataforma online. Además de ello, como Partner de ESET quedamos a su disposición para recomendar éste y cualquier otro producto relacionado con la seguridad de equipos e infraestructuras. Búsquenos a través de nuestro FORMULARIO DE CONTACTO, llámenos al 935.185.818 o visítenos en nuestro portal para conocer de ésta y otras promociones http://www.pcnova.es, 

Ricardo González Darkin

Experto en Tecnología para la Pequeña y Mediana Empresa

Proveedor de Servicios Informáticos Profesionales para emprendedores, Profesionales y Micro Empresas. Servicios Gestionados para Windows, OSX y Linux (Asistencia Remota – Monitorización – Backup – Seguridad), Servicios en la nube (Office 365 – Windows Intune- Windows Azure ), Movilidad (Windows Phone). Servicio Técnico y mantenimiento Informático Equipos  (Windows-Mac), Comunicaciones (Internet-Telefonía IP), Consultoría LOPD, Hardware y Software especializado (ClassicGes – PRIMAVERA Software)

FUENTE: Locky: nuevo ransomware con características comunes al troyano bancario Dridex – blog.protegerse.com – ONTINET

Atención Empresarios. Estas son las 10 ciberamenazas más comunes. Conócelas y define tu estrategia en la seguridad de tu información.

Publicado el por Ricardo V. González Darkin

Mucho se dice acerca de las “Ciberamenazas”. En este mundo totalmente globalizado, digitalizado e interconectado no hay descanso para esa parte digital que ahora todos llevamos con nosotros. Desde Inteco y a través de nuestra cuenta de Twitter @nogalnova nos llega este excelente resumen que nos describe de manera clara a qué nos enfrentamos en el mundo de la seguridad informática a corto plazo.

Lo más común es que creamos que “ a nosotros no nos pasa” o “yo no tengo tanta información o información importante, reservada o que pueda ser objeto de un ataque”. Pues para los que están leyendo y piensen así están muy equivocados!, si nuestra forma de pensar es esa entonces nos hemos dejado ya de por sí una capa de seguridad de nuestra información en el camino. Muchos de los ataques aquí descritos nos pueden ocurrir perfectamente: Infección a través de páginas web, Ciberhacktivistas o Ciberdelincuentes aislados pueden hacernos presa si no estamos preparados y dejamos “al azar” nuestra seguridad y la de nuestra información.

Creo que es “Responsable” hacerse eco de este tipo de documentos digitales que son “fáciles de digerir” tanto para aquellos que están en el medio de las Tecnologías de Información como para los que no, para estos últimos debe ser legible y entendible, es a ellos a quienes debemos transmitir la alerta para que no descuiden o, en todo caso, busquen en empresas como las nuestras las recomendaciones y puesta en práctica de soluciones que le permitan proteger ese activo intangible pero muy valioso: LOS DATOS.

Estas son las diez ciberamenazas más comunes

OTAN.

Robo de información crítica, suplantación de identidad, extracción de dinero o ciberespionaje gubernamental e industrial, son algunos de los más destacados por las empresas de seguridad. Ahora, Entelgy ha realizado su propio resumen de estas amenazas tomando el cuenta las más registradas el año pasado.

Según explican desde Inteco, sólo en España se registraron 54.000 ciberataques en 2013. PandaLabs daba otro dato récord de ese mismo año. En un solo año se crearon 30 millones de nuevas muestras de malware, lo que quería decir, 82.000 al día. Solo en 2013 se produjo el 20% de todo el malware registrado en la historia.

El Centro Criptológico Nacional (organismo adherido al Centro Nacional de Inteligencia) gestionó en España 7.260 ciberincidentes contra los sistemas de las Administraciones Públicas, empresas y organizaciones de interés estratégico nacional (energéticas, financieras, de seguridad y defensa, telecomunicaciones etc.).

En un mundo tan digitalizado y conectado, las estructuras son puntos claves para este tipo de ataques.

Gianluca D’Antonio, presidente de la Asociación Española de la Seguridad de la Información descataba para ABC el año pasado que la seguridad cibernética tenía que ser clave para los Estados y en España. «Nuestra visión en la Asociación Española de la Seguridad es que la ciberseguridad se tiene que convertir en un bien público, como lo es la sanidad, o la seguridad pública», dijo.

Aquí una lista con las ciberamenazas más comunes, según Entelgy.

1.- Ciberespionaje industrial: robo de información a empresas con el fin de acceder a su información más valiosa (propiedad intelectual, desarrollos tecnológicos, estrategias de actuación, bases de datos de clientes, etc.). Por ejemplo, el informe Mandiant descubrió la existencia del grupo organizado APT1 dedicado al ciberespionaje de industrias de habla inglesa claves para la economía de sus respectivos países.

2.- Ciberespionaje gubernamental: robo de información a organismos gubernamentales como la operación “Octubre Rojo” en la que se infiltraron en las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica y compañías petroquímicas de alrededor de 40 países. El objetivo era obtener información sensible y credenciales de acceso a ordenadores, dispositivos móviles y equipos de red.

3.- Ciberataques a infraestructuras críticas:, como el detectado contra Aramco, la principal compañía petrolera de Arabia Saudí, que se vio sacudida por un troyano instalado en más de 30.000 ordenadores de su red. La compañía necesitó diez días para volver a la normalidad.

4.- Cibermercenarios o grupos de hackers con conocimientos avanzados, contratados para desarrollar ataques dirigidos contra un objetivo concreto, con el objetivo de conseguir la información deseada.

5.- Ciberdelincuencia contra servicios financieros, y muy especialmente, los denominados troyanos bancarios, diseñados para el robo de datos de tarjetas de crédito y cada vez más, centrados en los dispositivos móviles. Por ejemplo, en la “Operación High Roller” se vieron afectadas 60 entidades financieras de todo el mundo, víctimas de un ciberataque en el que se extrajeron 60 millones de euros. El grado de sofisticación del malware indica que fue obra del crimen organizado porque la configuración del ataque requirió inversión para el desarrollo, muchas horas de trabajo y una logística muy importante.

6.- Ciberdelincuentes aislados que venden la información obtenida al mejor postor. Un ejemplo muy sonado fue el de la cadena estadounidense de grandes almacenes Target que reconoció el robo de información de tarjetas de crédito de alrededor de 70 millones de clientes. Pocos días después, estas tarjetas estaban siendo vendidas en el mercado negro para ser clonadas y realizar compras con ellas.

7.- Ciberdelincuentes organizados o mafias que han trasladado al mundo “virtual” sus acciones en el mundo “real”. Fraude online, clonación de tarjetas de crédito, extorsión, blanqueo de capitales, etc.

8.- Infección a través de páginas web. En 2013 se detuvo al autor de Blackole, un exploit-kit (paquete que contiene programas maliciosos) que permitía explotar vulnerabilidades de webs legítimas e infectar a los usuarios que accedían a dichas páginas, millones en todo el mundo.

9.- Ciberhacktivistas: personas o grupos que, movidos por alguna ideología, intentan socavar la estructura del oponente. El ejemplo de Anonymous es paradigmático y, en estos casos, sus ataques suelen centrarse en ataques DDoS, desfiguración de páginas web o publicación de datos comprometidos.

10.- Cibersabotaje que busca dañar la reputación de una organización y por ende su funcionamiento. Prueba de ello es la actividad del Ejército Electrónico Sirio, que lleva meses atacando a todos aquellos que, en su opinión, propagan el odio y quieren desestabilizar la seguridad en Siria, incluidas grandes empresas periodísticas de todo el mundo. Llegaron a provocar incluso una caída de 150 puntos en el Dow Jones Industrial Average (índice bursátil de las 30 mayores empresas de la Bolsa de Estados Unidos), ante una noticia falsa de un atentado en la Casa Blanca difundido por Associated Press en Twitter.

Ya sabes que cuentas con PCNOVA para tus consultas y posibles recomendaciones. No lo dejes para mañana, puede ser tarde!. Consútanos a través de todos nuestros canales: http://www.facebook.com/nogalnova, @nogalnova, http://www.pcnova.es o directamente a nuestro formulario de contacto que encontrarás AQUI.

Gracias por su lectura, nos vemos en la próxima entrega.

FUENTE: ABC TECNOLOGIA. Estas son las diez ciberamenazas más comunes. 07.04.2014.

Ricardo González Darkin

Consultor / Formador / Técnico Informático Integral

PCNOVA.es

Proveedor de Servicios Informáticos Profesionales para emprendedores, Profesionales y Micro Empresas. Servicios Gestionados (Asistencia Remota – Monitorización – Backup – Seguridad), Servicios en la nube (Office 365 – Windows Intune- Windows Azure – Sala de Conferencias), Servicio Técnico Informático de Pc´s, Portátiles (Windows-Mac) y Servidores (HP-Fujitzu-Lenovo),Comunicaciones (Internet-Telefonía IP), Consultoría LOPD, Hardware y Software especializado (ClassicGes – PRIMAVERA Software)