Para casi cualquier empresa, la información es de vital importancia: documentos, contactos, contratos, correspondencia, cuentas, etc. Las tecnologías modernas ayudan no solo a gestionar los datos más importantes de la compañía, sino también a perderlos en un abrir y cerrar de ojos. Para la mayoría de las empresas, perder el acceso a los datos significa la suspensión de todos los procesos comerciales, lo que inevitablemente conduce a la pérdida de ganancias, daños en la reputación y el coste de recuperación.

Puedes estar seguro de que hay una gran variedad de situaciones ahí fuera que generan la pérdida de datos, y casi ninguna de ellas tiene que ver con la calidad de tu equipo. A continuación, te dejamos con tan solo algunas de estas situaciones.

Ransomware

Un empleado puede hacer clic en un archivo malicioso descargado de Internet o en un archivo adjunto en un correo electrónico enviado por un grupo de ciberdelincuentes. Al hacerlo, no solo cifra los datos del equipo local; el ransomware tiene la mala costumbre de corromper todo aquello que esté comunicado con el ordenador de la víctima (unidades de red conectadas, medios externos, etc.). En teoría, si pagas el rescate, te devuelven tus datos. Pero, en la práctica, no hay ninguna garantía de que esto suceda.

El año pasado, una simple infección de ransomware paralizó los sistemas informáticos de la administración de la ciudad de Baltimore, Maryland, que, al decidir no pagar, sufrió daños por valor de 18 millones de dólares.

Robo de dispositivos

Las pymes a menudo almacenan cierta información crítica de la empresa (a veces incluso toda) en el disco duro del CEO. Las más afortunadas lo hacen en un equipo de la oficina, pero, como los negocios modernos se rigen por la movilidad, es más probable que este disco esté ubicado en un ordenador portátil que viaje con el CEO a reuniones y viajes de negocios. El problema es que alguien podría robarlo fácilmente, en una habitación de hotel, un taxi o lo que sea.

Sobrecalentamiento

En climas cálidos, la carga de cualquier hardware del ordenador aumenta, a menudo llevando al límite los sistemas de refrigeración. No todos los fabricantes proporcionan un sistema de ventilación aislado para los discos duros, y algunos incluso diseñan los ordenadores portátiles de forma que el aire que fluye de las almohadillas de refrigeración externas no llegue a los medios de almacenamiento. Eso puede provocar errores en el disco duro debido a un simple sobrecalentamiento. Los dueños de mascotas peludas se encuentran en una categoría de riesgo especial. Como orgulloso propietario de varios gatos, doy fe de que tengo que limpiar el ventilador de mi ordenador portátil al menos una vez al año, de lo contrario, se sobrecalienta, incluso en invierno.

Venganzas en el trabajo

Los conflictos en el trabajo no son poco frecuentes. Un colega que no esté de acuerdo con una decisión administrativa podría dimitir y acabar eliminando información crítica. Y, cuantas menos copias de seguridad haya, mayor será la probabilidad de éxito de este intento de sabotaje.

Cómo almacenar la información crítica de la compañía

De acuerdo con nuestros colegas, el coste medio de un incidente de pérdida de datos es de 1,23 millones de dólares para las grandes empresas y 120.000 dólares para las pequeñas. Por lo tanto, recomendamos:

  • Hacer copias de seguridad de, como mínimo, tus datos más importantes, pero preferiblemente de todos.
  • Hacer copias de seguridad regularmente y, si es posible, de forma automática; de lo contrario, es muy fácil quedarse atascado con las tareas rutinarias y olvidarse de las copias de seguridad.
  • Realizar al menos dos copias de seguridad, preferiblemente una almacenada en un medio físico de la empresa y la otra en una nube de confianza.

Nuestra solución para pequeñas empresas realiza copias de seguridad de los datos importantes en local y en la nube. También te permite configurar copias de seguridad automáticas. Para más información sobre Kaspersky Small Office Security, visita la página dedicada a la solución.

Pensar que el ransomware “de menudeo” que infecta a usuarios y pide un rescate es un peligro, no conoce el ransomware utilizado contra las redes de las empresas, porque tras unos años entre nosotros, el ransomware ha “mejorado” su manera de atacar a equipos vulnerables. Se ha industrializado, especializado y sofisticado contra unas víctimas mucho más lucrativas. Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo están evolucionado. Veamos qué trucos utiliza y por qué.

Ha sido Carbon Black quien ha analizado una nueva versión de Conti, descubriendo nuevos niveles de sofisticación. Debido a que la acción y la verdadera innovación en el malware es en los ataques dirigidos a empresas. Estos ataques entran a través de mensajes de correo con adjuntos, habitualmente Excel o Word con macros o que aprovechan vulnerabilidades de Office.

Realizan movimientos laterales hasta situarse en un servidor donde se “agazapan” esperando su oportunidad. Desde ahí lanzan ataques de secuestro de datos y piden rescates millonarios para que la compañía continúe con su operativa. En comparación, el ransomware “casero” que afecta a los sistemas de usuario prácticamente es una broma pesada.

Veamos por qué Conti es el más rápido del Oeste…

El más rápido del Oeste

Conti utiliza 32 hilos simultáneos de CPU. Esto permite que cifre muy rápido todo el disco duro o cualquier fichero que se le ponga delante. Sería como lanzar 32 copias de un ransomware “normal” en paralelo. ¿Por qué hacen esto, para qué quieren ir tan rápido?

Suelen lanzar este ataque cuando ya están en uno de esos servidores potentes en la red de la compañía con bastantes privilegios (normalmente el controlador de dominio local). El sistema se presupone potente en CPU y capaz de lanzar todas esas hebras. También permite atacar a sistemas con un gran disco duro, con muchos datos (también de backup). Cuanto más rápido es el ransomware, antes puede pasar desapercibido ante cualquier sistema de alerta, desde los reactivos hasta los preventivos. Siempre será demasiado tarde.

Tira la piedra y esconde la mano

Otra característica interesante de Conti es que, de nuevo “agazapado” en un servidor, puede atacar a la red colindante y cifrar las unidades compartidas de sistemas vecinos. De este modo, los administradores de red no sabrán de dónde les viene el ataque porque lo natural es pensar que la máquina con los ficheros cifrados es la infectada. Nada de eso: el paciente cero puede andar muy lejos, lanzando cifrados muy rápidos a diestro y siniestro.

Evita hacer ruido usando ARP

Para saber qué máquinas se encuentran a tu alrededor, tienes dos opciones: analizar las IPs de la propia red  y recorrer el rango o usar un ARP-a y saber con qué máquinas has contactado recientemente. Esto último es justo lo que hace Conti.

Para Conti, un fichero bloqueado no es un problema

Si estás en un servidor con una base de datos robusta, normalmente sus datos estarán siempre “bloqueados” por el sistema operativo o la propia base de datos. Cifrarlos será imposible porque no puedes tocar un fichero que pertenece a un proceso que lo tiene en exclusiva. Desde el punto de vista de los atacantes ¿Cómo cifrarlo entonces?

Primero Conti mata cualquier proceso que tenga “sql” en su nombre. Muy pocas familias utilizan además el truco que usa este ransomware para cifrar los archivos, que es valerse del Restart Manager, la fórmula que utiliza el propio Windows para matar limpiamente los procesos antes de apagar el sistema operativo. Es como si matara procesos limpiamente como si fuera Windows antes de reiniciar, pero sin necesidad de reiniciar.

Y aquí es donde también hace falta velocidad y la razón de tener 32 hebras. Matar un proceso crítico es muy ruidoso, los administradores se darán cuenta enseguida de que algo va mal. Desde el punto de vista del malware, si tienes un buen montón de ficheros pesados por delante, lo mejor es cifrarlos rápido tras matar al proceso padre si quieres conseguir tu objetivo.

Cifra todas las extensiones menos exe, dll, lnk, y sys

Conti es muy agresivo. La mayoría del ransomware “casero” busca extensiones potencialmente valiosas para la víctima. Documentos, fotografías, datos, etc. Conti lo cifra todo menos los ejecutables, binarios y drivers. Para agilizar, evita algunos directorios de sistema.

Por supuesto, todo esto no impide que el ransowmare cuente con las tecnologías habituales para este tipo de ataques. Desde el borrado de las shadow copies (aunque de forma especial) hasta las claves púbicas que cifran la clave AES de 256 bits incrustada en cada fichero cifrado.

Por último, el mérito del análisis de esta muestra es mayor cuando se conoce que ofusca su propio código de una manera especial. Conti intenta ocultar cada string, cada llamada a API de sistema usando un algoritmo diferente para ello con claves diferentes… y así hasta 277 funciones (algoritmos) usados internamente solo para desofuscarse a sí mismo on the fly.

En la tarde del martes realizaron una reunión por vía zoom entre funcionarios del DANE y ICBF.

El país está conmocionado por el abuso sexual de una menor a manos de soldados y es una situación que por supuesto amerita la inclusión de todas las entidades del país.

Pero de repente un intruso estaba en medio de la importante reunión.

El hombre tenía máscara de Anonymous, que además está muy de moda en estos días y decía “todos serán hackeados” mientras que los presentes, no supieron cómo proteger la seguridad de su reunión y reaccionaron haciendo un llamado a la cordura.

Y este es un tema de nunca acabar, a diario hay Trols metiéndose en todo tipo de reuniones, clases, entre otras.

Más allá de lo gracioso que pueda parecer, hablamos de la incursión en una conversación de tipo privado, que estaba buscando soluciones de tipo social para la situación del país.

Entonces nos preguntamos, que pasa con la Ciberseguridad en Colombia, si bien es cierto que un gran número de empresas no le prestan atención al tema, por desconocimiento, desinterés o por presupuesto, ¿el estado hace lo mismo?

Es increíble que se presenten tantos episodios de ataques a la Seguridad de la Información a entidades del estado y privadas y que no se haga nada para reglamentar y tomar prevenciones.

Por lo menos DANE e ICBF pudieron detectar el intruso, lograron hacerle un rastreo y llevarlo a la ley, al menos se tiene claro qué delito cometió, al parecer no, se limitaron a esperar que la persona los dejara seguir trabajando.

Las empresas en Colombia se están tomando la Ciberseguridad muy despreocupadamente sin darse cuenta de los riesgos que corren y de las graves consecuencias que lleva tener la puerta abierta a los Ciberdelincuentes.

Es necesario que el estado empiece a dar ejemplo en estas prevenciones y que las empresas incluyan dentro de sus costos y planes de acción la Seguridad de la Información, si es que pretenden sobrevivir en esta era virtual que apenas comienza.

La pandemia de Covid19 nos tomó casi por sorpresa, vimos venir los problemas desde Asia y Europa pero no logramos visualizar todas las dificultades que traería.

Las empresas grandes, medianas y pequeñas enviaron a sus empleados a la casa y todos a la fuerza hemos aprendido sobre teletrabajo. Claro, las reuniones son claves para mantener el contacto entre empleados, el control del jefe con su equipo, para saber que pasa en el área de los demás y por supuesto la herramienta de moda ‘Zoom’ que incremento el uso de su plataforma en un gran porcentaje.

Sin embargo en la primera semana de abril Zoom alerto a su comunidad sobre una vulnerabilidad para los usuarios de Windows que abriría la puerta a los ciber-delincuentes para el robo de información.

Las autoridades en Estados Unidos se pusieron alerta y pidieron a la empresa entregar información detallada de los datos que el sistema permite obtener. Inclusive el periódico The New York Times ha dicho que esta aplicación tenía función de minería de datos desde el inicio de la sesión.

La alerta apareció cuando muchos de los usuarios empezaron a notar que desde la aplicación podían consultar perfiles de LinkedIn de los otros usuarios, a lo que Eric S. Yuan, CEO de la compañía, dijo que estás opciones iban a quedar congeladas durante 90 días.

Pero eso no es todo, al parecer este espacio se convirtió en un parque de diversiones para enviar malware en los archivos compartidos y ni qué decir de los trolls que se han entrometido en conferencias a las que no han sido invitados solo para molestar, inclusive para enviar imágenes pornográficas en medio de las más serias reuniones.

Por ahora la empresa Zoom se ha defendido indicando que no vende la información que es posible obtener a través de su aplicación, que respeta las leyes de privacidad y que no controla a sus usuarios. A pesar de que se han encontrado opciones de identificar quienes están activos en video llamadas y quienes no y algunos extraños con aparentes perfiles empresariales han quedado copiados en correos que solo le incumben a un grupo de funcionarios. El mayor problema que enfrenta en este momento Zoom es que la aplicación no está cifrado de punta a punta.

Fuerza Bruta

Así se denominó a los que los hackers han hecho para ingresar a las video llamadas, Zoom asigna un número que es entregado a los participantes para poder unirse, en la mayoría de las veces no se pide contraseña, lo que ha facilitado el camino de ciber-delincuentes que prueban muchos números hasta que logran entrar a una reunión donde puedan llevarse algo interesante.

Entonces si en tus reuniones laborales están usando zoom, ¿qué puedes hacer para garantizar la seguridad de la información de la compañía?

1. Configurar la reunión de forma que solo el administrador pueda compartir la pantalla, así se cierra una puerta de intrusión.

2. Hacer actualizaciones, siempre que sea posible, esto permite corregir errores que los desarrolladores vayan detectando.

3.  Utilizar la sala de espera, así cuando los usuarios se van conectando esperan hasta que el administrador les da la entrada, de esa forma quien coordina puede verificar que cada uno de los participantes realmente pertenezca al grupo.

4. La más importante de todas, las reuniones deben tener contraseña, debe ser enviada por otro medio con anterioridad y así se disminuye la posibilidad de ciber-intrusos.

Ahora más que nunca la información de las empresas está en riesgo y es necesario revisar las bondades que la Ciberseguridad ofrece.

Para saber cómo proteger tu empresa de Ciberdelincuentes, visita nuestras redes sociales o escríbenos al WhatsApp 57-3112319565.

En estos días de crisis, donde las empresas se han visto obligadas a tomar medidas de teletrabajo obligatorias y sin estar preparados, la Ciberseguridad se pone en riesgo, pero no es tan difícil, le contamos las cosas que puede hacer para evitar correr riesgos cibernéticos.

1. La información privada de su empresa permanece resguardad en sus instalaciones, si sus empleados van a llevar, equipos de cómputo, archivos a su casa o se van a conectar de forma remota hágales firmar un acuerdo de confidencialidad, que aunque no asegura la fuga de información le blinda frente a la ley como empresa. (Para obtener un modelo del formato escribanos al WhatsApp 57-3112319565)

2. Debe habilitar un canal de comunicación seguro para el envío de información desde y hacia los equipos de los empleados, desde y hacia los servidores de la empresa. Este canal seguro deberá hacerse a través de una VPN.

3. Los equipos que los empleados utilicen en sus casas, deberán tener los debidos controles de ciberseguridad, como antivirus licenciados (la empresa deberá proveer una licencia temporal al empleado si va a utilizar su equipo personal de casa), sistemas operativos actualizados, soporte técnico por parte de la empresa 24/7. Si bien el empleado está trabajando desde su casa, está manipulando información de la empresa, por lo tanto deberá contar con el apoyo del área de soporte técnico de la organización que puede ser virtual.

4. Aplicar controles y políticas de seguridad a los equipos como firewalls y servidores de la empresa, de tal manera que le permita a los empleados acceder de manera ágil y segura a los recursos tecnológicos de la empresa.

5. Este es un buen momento para preguntarse si su política de Ciberseguridad está actualizada y cubre todos los posibles frentes.

6. Puede implementar software de seguimiento a los trabajadores, que le permitan medir su productividad, si es que le preocupa la falta de compromiso de algunos de ellos.

7. Prevenir es mejor que lamentar, haga copia de seguridad de todos los equipos que vaya a mover nunc a se sabe que puede pasar.

8. Si tiene información extremadamente delicada puede cifrarla, de esa forma protege la información, su empresa y a su empleado.

9. Al volver a la normalidad, cambie todas las contraseñas, póngalas más robustas.

Recuerde que la Ciberseguridad no requiere inversiones millonarias, actualmente encuentra en el mercado Firewalls y herramientas de diferentes presupuestos y tamaños, con seguridad encontrará una a su medida.

¿Su empresa está protegida de los riesgos virtuales?
Si se puede y es necesario, le contamos como hacerlo:

Muchos se preguntan qué es eso de ciberseguridad o cómo me afecta a mi o a mi empresa. Otros piensan que es un tema exclusivo de bancos, multinacionacionales o que no pasa en su entorno.
Pues les cuento que la delincuencia digital cada día está más cerca de todos, no es un tema exclusivo de hackers sacados de películas y el estado cada día se preocupa por regular más estos peligros y de enseñar a las empresas a protegerse
Desde mi experiencia en seguridad, les estaré contando consejos para que apliquen en sus emprendimientos, pequeñas, medianas o grandes empresas, consejos de seguridad en redes sociales y en general todo lo que deberíamos saber del tema.
Así que si quieren recibir más información déjenos su correo electrónico o siga nuestras redes sociales y estaremos conversando de este importante tema para todos.

WhatsApp WhatsApp us