ATP: Amenazas avanzadas persistentes [Advanced Persistent Threat]

Que son los APT'S?

 Según definición del Instituto Nacional de Normas y Tecnología de los EE.UU (NIST):

“La amenaza persistente avanzada es un ataque dirigido con niveles sofisticados de pericia y recursos que le permiten a los atacantes por medio del uso de múltiples vectores de ataque (malware, vulnerabilidades, Ingeniería Social, entre otras), generar oportunidades para alcanzar sus objetivos, que habitualmente son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información de organizaciones con el objetivo de filtrar información hacia el exterior continuamente o minar o impedir aspectos importantes de una misión, un programa o una organización, o ubicarse en una posición que le permita hacerlo en el futuro. Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo, adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción necesario para ejecutar sus objetivos”.

Este tipo de ataques aun en Latinoamerica no son tan sofisticados, pero ya esta parte del mundo esta en la mira!-.-! [algo de ello se habla en la Deep Web] así que debemos estar preparados y protegernos, no esperemos a que pase un incidente si podemos estar atento a ello.

Pero por que se llaman ATP'S?

Me gusto la definición dada por ESET en una de sus entradas, así que la comparto:

Amenaza: Se trata de una amenaza porque existe un atacante (o grupo de atacantes) con un objetivo ilícito bien establecido.

Persistente: Es persistente porque se da en un largo período de tiempo. Estos tipos de ataques se difieren de las típicas campañas de phishing, por ejemplo, donde el atacante trata de robar toda la información que puede antes de ser detectado. Las APT pueden permanecer activas por años, e incluso muchas veces quedan ocultas (sin ser detectadas y sin causar daños) en la red de las víctimas por meses o años esperando obtener datos específicos, para entonces actuar, robando la información que buscaba.

Avanzada: Es avanzada porque los atacantes que participan de estos tipos de ataques suelen tener conocimiento avanzado de programación y seguridad de la información, así que no solamente hacen uso de malware conocido, técnicas de Ingeniería Social muy utilizadas (como elphishing) y vulnerabilidades viejas, sino que también explotan vulnerabilidades previamente desconocidas, ataques 0-day además de técnicas novedosas que ellos mismos tienen la habilidad y conocimientos para desarrollar.

Bueno si habeis leido, es posible que hoy en día tu equipo, o tu empresa puede ya estar infectado -.-, y el ciberdelincuente solo espera encontrar esa información vital.

Son como las minas anti-personas, 

están ahí ocultas esperando ser activadas.

tal ves dirás ¿bueno y que puedo hacer?

bueno para ello les comparto mi TOP5:

1. Conciencia!: Si, para mi es la primera medida que debemos tomar, ser conscientes de que la seguridad si es importantes seamos grande o pequeña empresa, porque nuestra información es importante o no?; y no es solo uno, debe estar toda la empresa consciente de esto, capacita a tu personal, enséñales porqué debe haber seguridad detrás del escritorio, enséñales que la información es valiosa y siempre hay alguien detrás de ella. recuerda que la cadena siempre se rompe por el eslabón mas débil. 

2. Actualizate-parchea: Manten actualizados tus sistemas operativos, instala los parches mas recientes, no le temas a la actualizacion en windows y menos en linux.

3. Contar con soluciones de seguridad integrales.

4. Sistemas de autenticación integral: NO uses solo usuario y contraseña, recuerda que las contraseñas se leen y son muy vulnerables. Recuerda que uno de los mejores sistemas de autenticación es saber: Que tengo, que soy, y que conosco. (o por lo menos doble autenticación).

5. Audita tu propia seguridad: si no tienes personal contrata especialistas (SIYI CO jejeje }:)), y hazlo por lo menos una ves al mes.

Sigue estos consejos y podrás minimizar tus riesgos! :) 

No olvides comentar y compartir.

[In] Seguridad Puntos de Atención al Cliente (ATC - SAC) Vulnerables.

Me encontraba realizando diligencias (vueltas) en algunas entidades privadas y publicas, y me llevo la gran sorpresa de que para ellos la seguridad de la información no es importante.

Al tan solo sentarme en el escritorio para ser atendido, el computador que tiene a cargo el funcionario no esta protegido físicamente, todos las entradas/salidas de la parte trasera del equipo quedan en dirección hacia mi (hacia el usuario), ademas de ello podía ver todo el acceso en la pantalla, la cual queda muy visible al usuario donde fácilmente podría grabar, o tomar fotos, o simplemente ver la dirección URL y el ingreso de usuario y contraseña.

Y aun hay mas!, ademas de todos esos errores fatales, toda la documentación física de otros usuarios esta al aire libre! expuesta!! donde los datos personales (sensibles) podían ser tomados por cualquiera y simplemente hacer una suplantación de identidad fácilmente trabajo.

y por si fuera poco esa fea costumbre de los funcionarios de pegar los documentos de identidad olvidados en las ventanillas de su puesto de trabajo

Como podemos ver, es demasiado fácil suplantar una identidad, gracias a todas aquellas empresas que no piensan ni son conscientes de la seguridad de la información y mas aun de sus clientes.

Fácilmente, se podrá instalar un keylogger u otro dispositivo de ataque en los computadores de estos establecimientos, para robar información, ataques de DDoS,infiltraciones en la red,  en fin miles de ataques!!!!

y así de simple tener el control total de una organización, así de simple burlar la seguridad de infraestructura, así de simple!



Finalmente traté de comunicarme con algún encargado del área de TI, y al respuesta fue: "Gracias por tu opinión, pero solo nos encargamos de la red interna" :{o

Esto me da a entender que falta mucho por recorrer y que aun sigue siendo el personal el eslabón mas débil de toda la cadena de seguridad informática y de la información.  imagínense todas estas brechas e intentado algo de ingeniería social? que tanto no lograríamos?, les dejo esa inquietud,


Saludos, No olvides Comentar y Compartir.!

CTF DragonJARCON 2016

Hola a todos!,  DRAGONJARCON 2016  estuvo de lujo, que estuvo genial. el mejor evento realizado en Colombia de Seguridad Informática por Colombianos.

La asistencia fue de participantes y ponentes de toda LatinoAmerica. Increible el talento y profesionalismo que tenemos en este lado del mundo.

Gracias a todo el Equipo DRAGONJAR SAS que hace posible todo esto!.

Les comparto el enlace del CTF realizado en el evento, el cual aun sigue abierto al publico.
Que esperas! Juega y Diviertete!

Recuerda comentar, y compartir.! ;)

La información, ¿estás seguro de que es segura?

Actualmente las empresas invierten en seguridad informática, adquiriendo software de alta calidad, sofisticados y muy seguros, y eso esta muy bien, pero realmente aunque se compre el software mas caro, el mejor del mercado, nuestra información privada y laboral ¿está segura?

¿Te has hecho esa pregunta alguna vez?

Si ya te haz preguntado esto, y has tomado las medidas necesarias, excelente te felicito; pero para aquellos que nunca lo han hecho laboralmente, porque dicen: "Y ¿para que?, para eso esta el área de TI"; simplemente les digo:

El área de TI se encarga de la disponibilidad y confidencialidad de la información de aquellos sistemas o software que se utilizan en la empresa, de velar por la seguridad de la INTRANET o VPN remotas, del soporte de cada uno de los sistemas de información, del soporte técnico de los equipos de computo, de administrar el antivirus, el FIREWALL, el PROXY, las DMZ, y claro con todo esto  porque no pensar de que la información en la empresa esta segura; pero nada es 100% seguro!,

Si todo lo dicho anteriormente solo y solo si lo maneja el área de TI con software y/o herramientas la empresa podría estar vulnerable a un fuga de información e inclusive a un ataque informático dirigido, pero te preguntaras ¿y porque?

Esto pasa porque simplemente descuidamos uno de los activos mas importantes de la empresa, "el ser humano", si aunque no lo creas, el ser humano (el recurso humano de la empresa) en el tema de seguridad informática es la parte mas importante que se debe cuidar.

No basta que tengamos el software o la herramienta si el personal que lo utiliza no esta bien capacitado, no basta que el área de TI lo administre de la mejor forma si los usuarios de otras áreas no están capacitados, no basta si nadie en una empresa u organización es consciente de la seguridad de la información que se maneja.

Fácilmente un empleado puede difundir información valiosa aun si este conocerlo, pero ¿como? te preguntaras, es muy sencillo por ejemplo: imprimir documentación confidencial, o informes de solo interés de la alta dirección, al imprimir este tipo de documentación queda expuesta a que el papel físico se pierda, que se le pueda tomar fotos fácilmente, e inclusive escanear y enviar por correo electrónico, o simplemente se da la orden de imprimir y no se recoge en el instante dicha documentación; otro ejemplo claro es la de compartir claves de acceso, y creeanme si se comparte este tipo de información, pero vuelves y te preguntas ¿Como? asi de sencillo: En las empresa y/o organizaciones ademas de una relacion laboral entre los empleados siempre existe algo mas alla y se crean relaciones de gran amistad entre si, esto hace ganar la confianza uno con el otro, y al tener confianza podes hacer lo que se quiera, como por ejemplo: Se bloquea el usuario de acceso al sistema de información, el area de TI no responde eficientemente la solicitud de restablecer contraseña, el empleado toma la via mas fácil, "Compañero me prestas tu clave de acceso para generar el reporte para el jefe, es que el área de TI se demora mucho......" esto ocurre muy a menudo, y facilmente cualquier persona que quiera hacer un daño porque se siente aburrido y cansado de trabajar tanto tiempo sin un aumento sin ascenso o simplemente no es consciente sobre la importancia de la seguridad de la información tanto personal como laboral, lo podrá hacer, y que daño podrá hacer? compartir datos privados, correos corporativos, campañas, entre muchas otras cosa mas ya sea a la competencia o algún ciberdelincuente.

Estos y muchos mas ejemplos suceden dentro de una empresa y/o organizacion, no esperes a que suceda un incidente,  !toma ya! las medidas necesarias, capacita a todo tu personal a todo incluyendo la alta direccion, crea politicas de seguridad, crea habitos de seguridad, realiza campañas de sensibilizacion y concienciacion, realiza buenas practicas de seguridad basadas en normas (ej: ISO 27001), protege el recurso humano, quien es el eslabon mas debil,

La seguridad debe ser lo primero

Saludos, No olvides comentar y compartir.