Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EL MAGAZINE DE
CIBERSEGURIDAD DE EVERIS
NÚMERO 54 | MAYO 2021
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
Asegurando la ciberseguridad
Durante el 2020 los ciberataques sufridos han sido cada vez más sofisticados
y diseñados con un objetivo específico: provocar que las compañías que los
reciben tengan importantes pérdidas económicas, daños reputacionales o fugas
de información confidencial. Como consecuencia de ello, importantes compañías
han puesto de manifiesto la debilidad en sus sistemas de protección digital.
Existe una gran preocupación sobre las amenazas que provocaron que grandes
organizaciones tuvieran que activar sus planes de contingencia para poder
seguir con su actividad. No se debe bajar la guardia y las compañías deben
seguir invirtiendo en mejorar los procesos y sistemas de protección y mitigación
de riesgos.
Los ataques son cada vez más devastadores, por lo que lograr un alto grado de
resiliencia en materia de infraestructura IT es una de las claves para sobrevivir
con éxito a cualquier incidente de estas características.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
2
CIBERCRÓNICA
Abril comenzó con una importante fuga de información, en la que
alrededor de unos 533 millones de usuarios de Facebook vieron sus
datos comprometidos tras la publicación de su perfil en un famoso foro de
ciberdelincuentes.
Siguiendo con la parte móvil, Avast descubrió más de 200 aplicaciones en Google Play y Apple Store de
tipo fleeceware, las cuales han obtenido alrededor de 400 millones de dólares de ganancias. Este
término es bastante nuevo, tuvo su origen en el año 2019 de la mano de la empresa de ciberseguridad Sophos,
definiéndose como un tipo de aplicación móvil con malware que contiene tarifas de suscripción excesivas y
ocultas. La trampa consistía en atraer a los usuarios con pruebas gratuitas de un breve periodo de tiempo,
normalmente menos de una semana, y al finalizar la prueba se les cobra una tarifa de manera recurrente, a pesar
de que hayan desinstalado la aplicación. Para detener esta estafa habría que cancelar la suscripción en la tienda
de aplicaciones del dispositivo.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
3
Si el mes pasado el parlamento noruego se vio afectado por un ciberataque, este mes es el turno del parlamento
alemán. El ataque consistió en una campaña de Spear Phishing contra los distintos miembros del
parlamento, gracias a ello pudieron obtener al menos 38 cuentas, de las cuales 7 pertenecían a miembros del
parlamento central y 31 miembros de los parlamentos regionales alemanes. Esta amenaza persistente avanzada
(APT por sus siglas en inglés) atribuida al servicio de inteligencia ruso, destaca especialmente por tener el foco
puesto en los órganos de gobiernos de otras naciones, así como partidos políticos, atribuyéndose a estos varios
casos de ataques contra parlamentos y otros llevados a cabo contra los demócratas estadounidenses.
En otro orden de cosas, un joven de 22 años del estado norteamericano de Kansas ha sido acusado por
acceder sin autorización al sistema informático de una instalación pública de agua, poniendo en peligro
la seguridad y la salud de los residentes de la comunidad. “Al manipular ilegalmente un sistema público de agua
potable, el acusado amenazó la seguridad y la salud de toda una comunidad”, afirmó Lance Ehrig, agente especial
a cargo de la División de Investigación Criminal de la Agencia de Protección Ambiental (EPA) en Kansas.“La EPA y
sus socios encargados de hacer cumplir la ley están comprometidos a respetar las leyes diseñadas para proteger
nuestros sistemas de agua potable de daños o amenazas de daños. La acusación de hoy envía un mensaje claro
de que las personas que violen intencionalmente estas leyes serán procesadas enérgicamente”. La acusación no
especifica si el ataque tuvo éxito o cómo se detectó. Si finalmente es declarado culpable, se enfrenta hasta 25
años en una prisión federal y una multa de 500.000 dólares.
Continuamos la cibercrónica con una noticia acerca de una ejecución de código no deseada, en concreto
realizada en GitHub, el servicio de alojamiento de repositorios de código, que está investigando una
serie de ataques contra su infraestructura que habrían permitido a criminales usar sus servidores para
minado de criptomonedas. Desde finales de 2020 se vienen realizando estos ataques, y se aprovechan de
Github Actions, una característica que permite a los usuarios ejecutar flujos de trabajo de forma automática en
respuesta a un evento generado en un repositorio.
El vector de ataque comienza con la realización de un fork de un repositorio legítimo, y la creación de un flujo de
trabajo malicioso de Github Actions. Finalmente, se crea una solicitud al repositorio original de que acepte los
cambios realizados (Pull Request), momento en el que se desencadena la acción, se procesa el código malicioso
del atacante y se lanza una máquina virtual que descarga y ejecuta software de minado de criptomonedas.
GitHub está al corriente de esta actividad y, a falta de una solución definitiva, está eliminando las cuentas de
usuarios sospechosos.
Acabamos la sección comentando otra noticia relacionada con la ejecución de código, en este caso, ha sido
publicada una importante actualización de seguridad para abordar dos vulnerabilidades en el hipervisor
de alto rendimiento Citrix Hypervisor, identificadas como CVE-2021-28038 y CVE-2021-28688. Estas
podrían ser aprovechadas y explotadas por un atacante para ejecutar código privilegiado en una máquina virtual
invitada y desencadenar una denegación de servicio en el host.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
4
Ransomware, el ataque que
todos temen
By: everis Ciberseguridad
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
5
Dispositivos externos Aunque son ataques enormemente peligrosos, según
las investigaciones que ha realizado Proofpoint, se ha
Aunque son pocos frecuentes, no hay que olvidar que las
determinado que en torno a algo menos del 1% del total de
memorias USB pueden ser un posible vector de ataque
los ataques son sin interacción del usuario.
si el usuario es engañado. Gracias al uso de los archivos
«autorun.inf», un dispositivo infectado puede ejecutar Por medio de otro malware
automáticamente el ransomware e infectar dicho dispositivo.
Es bastante común que la vía de entrada de software
Es cierto que dicho archivo sólo se ejecuta en Windows, sin
malicioso al equipo se produzca mediante otro malware,
embargo dicho sistema operativo es el instalado y utilizado
previamente instalado.
en todos los dispositivos de los usuarios finales.
A su vez, es muy común que los programas destinados al
Web Exploit Kits
pirateo de software comercial estén infectados. En un primer
Cada vez es más frecuente escuchar que mucho de momento, puede parecer que dichos archivos realizan
los navegadores que utilizamos diariamente contienen correctamente su función, pero es en estos casos donde
vulnerabilidades. Tal es el caso que en el año 2020 se podría no detectarse el malware acoplado, pues el software
descubrieron un total de 18.355 vulnerabilidades en estas logra efectivamente funcionar y paralelamente infectar el
plataformas, de las cuales 2.762 se catalogaron como riesgo sistema.
bajo, 11.209 como riesgo medio y 4.384 fueron clasificadas
Por último, también puede producirse la infección por medio
como riesgo alto, suponiendo un fuerte vector de entrada
de un fichero adjunto. Esto suele realizarse cuando la víctima
para el atacante.
abre un archivo corrompido que desencadena la ejecución
Servicios RDP del código dañino, suele darse en correos electrónicos.
Se trata de un protocolo desarrollado por Microsoft que El último actor en escena
permite la comunicación en la ejecución de una aplicación
El ransomware Ryuk ya ha sido protagonista de varios
entre una terminal y un servidor Windows.
ataques a lo largo de estos dos últimos años.
Tras un aumento significativo del teletrabajo durante el último
En 2019, el ayuntamiento de Jerez de la Frontera (España)
año (de 2019 a 2020 se habla de un incremento del 316,79
fue atacado por este tipo de ransomware, dejando el
%), muchas compañías han optado por la integración de los
consistorio bloqueado y paralizando un gran número de
escritorios remotos como medio para poder continuar de
gestiones cotidianas. Se exigía un rescate de los datos para
manera normal con el trabajo del día a día.
poder liberar la información secuestrada.
Con ello, se ha producido también un incremento de
En septiembre de 2020, un hospital universitario en
un 242 % de los ataques a RDP con respecto al pasado
Dusseldorf (Alemania) fue atacado por ransomware, lo que
año, sumando a la aparición de nuevos malware como el
detuvo el sistema de salud del hospital y contribuyó a causar
TrickBot y con meses como en marzo de 2020, con más de
el fallecimiento de un paciente mientras estaba en tránsito.
19 millones de ataques a RDP. Es indudable que estamos
ante una situación en la que debemos de fortificar lo máximo En febrero de 2021 el Servicio Público de Empleo Estatal
posible este tipo de conexiones. (SEPE) fue atacado por Ryuk, al paralizar la operativa diaria
de este organismo, provocando así una gran preocupación
Ataques sin interacción del usuario
en la sociedad al pensar que estarían comprometidas las
Son ataques que se realizan sin que el usuario intervenga prestaciones y datos personales de muchos ciudadanos.
en ningún momento. Estos tipos de ataques son muy
El 30 de marzo de 2021, el Instituto Nacional de
peligrosos porque debido a que la interacción es nula no
Ciberseguridad de España (INCIBE) informaba mediante
suelen mostrar ninguna alerta o ventana, lo que dificulta la
una alerta temprana de un nuevo caso de ransomware en
tarea de determinar cuándo se realizó la infección.
la administración pública, en concreto, un ciberataque por el
Desde finales de 2017 se han empezado a utilizar métodos que parte de los sistemas de tecnologías de la información
en los que la ingeniería social ya no es necesaria, como por del Ayuntamiento de Castellón dejaron de estar en servicio,
ejemplo el uso de exploits (programas que se aprovechan así como su sede electrónica, su portal tributario y la página
de una inseguridad para poder ejecutar código arbitrario) en web municipal. Los atacantes habrían conseguido sustraer
los propios documentos ofimáticos que se ejecutan con la y filtrar finalmente un total de 119 gigabytes de información.
simple apertura de este, sin necesidad de activar macros.
A destacar de otros ransomware, Ryuk, en su ataque,
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
6
tiene una intención clara de terminar con los servicios Por último, para conseguir pasar el archivo binario y
«Audioendpointbuilder» (Windows Audio Endpoint Builder) propagarse por cada máquina identificada, el ransomware
y «Samss» (Security Accounts Manager), en dicho orden, realiza peticiones SMB intentado acceder de forma iterativa
usando el comando net stop. a las unidades públicas, probando desde la A$ hasta la Z$.
Se desconoce exactamente a qué puede ser debido y el Cómo implementar una solución de detección y respuesta
objeto de querer <<matar>> el primero de los dos procesos
La integridad, como dimensión de la seguridad, es la
(«Audioendpointbuilder»). Se intuye que puede ser debido
propiedad o característica que nos dice que un activo de
a dos posibles razones según la finalidad del ransomware:
información no ha sido alterado de manera no autorizada.
• La primera, se basa en que intenta matar a un
Debido a la frecuencia cada vez más alta con respecto a
servicio para comprobar si el sistema detecta algún
los ataques de tipo ransomware, es crucial implementar
comportamiento extraño, y acto seguido, ejecutar el
mecanismos de detección y respuesta que puedan prevenir
proceso que realmente interesa. Dicho comportamiento
muchos tipos de amenazas contra la integridad de los
es similar a cuando se roba una tarjeta de crédito:
datos. Algunos de estos riesgos se pueden reducir mediante
primero se comprueba la efectividad del robo con una
el uso de una serie de capacidades, como la supervisión
cantidad irrisoria para que no se levante sospecha
de la integridad, la detección de eventos, la gestión de las
alguna y de forma posterior se pasa a ejecutar la acción
vulnerabilidades, las capacidades de generación de informes
que realmente interesa.
y la mitigación y contención.
• La segunda razón, se piensa que en vez de basarse en
Basado en NIST Special Publication 1800-26, la arquitectura
comprobar si el sistema detecta algún comportamiento
de alto nivel se compone de las siguientes capacidades:
sospechoso, se basa en los patrones de texto, ya que
quizás internamente el Ryuk quiere matar todo servicio • Supervisión de la integridad, que proporciona
que contenga «endpoint» con la intención de eliminar capacidades para comparar los estados actuales del
cualquier tipo de antivirus que exista. sistema con las líneas base establecidas.
La segunda peculiaridad que destacar del ransomware • Detección de eventos que otorgan capacidades para
es su función de propagación lateral, a modo de gusano, detectar eventos en curso y se puede componer
sobre los recursos compartidos de las máquinas vecinas. de detección de intrusiones, detección de malware,
Para ello hace uso de la caché ARP, apoyándose en la API detección de anomalías de usuarios y otros, dependiendo
GetIpNetTable y por cada dirección que se encuentre en del modelo de amenaza establecido de la organización.
dicha caché ARP envía paquetes Wake-On-Lan (WOL). El
• Registros que graban y almacenan todos los archivos
motivo de usar estos paquetes no es más que el de intentar
de registro producidos por componentes dentro de la
encender las máquinas que ha encontrado en la caché ARP
empresa.
De forma paralela, intentará identificar las direcciones IP
• Forense/analítica, a través de técnicas que proporcionan
asignadas, teniendo en cuenta los rangos de red privados
la capacidad de sondear y analizar registros y máquinas
(10.X.X.X, 172.16.X.X, 192.168.X.X) y procederá a enviar
dentro de la empresa para aprender de eventos de
paquetes ICMP echo request en busca de respuesta de las
integridad de los datos.
máquinas.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
7
Tendencias
Añadiendo una capa extra de seguridad a
nuestras cuentas
En nuestro día a día hacemos uso de múltiples servicios que requieren de
credenciales de acceso, por lo que nos vemos altamente expuestos a que atacantes
puedan hacerse con las credenciales de nuestros servicios, ya sea por filtraciones
de credenciales masivas, ataques de phishing o descuidos entre otras. Por muy
segura que creamos que es nuestra contraseña, nunca está de más añadir capas
de seguridad adicionales que nos permitan minimizar el riesgo de que alguien pueda
acceder a nuestras cuentas. Con este propósito se creó la tecnología denominada
“Segundo Factor de Autenticación” o “2FA”.
El 2FA es un paso adicional a la hora de validar la sesión para garantizar que el
usuario que está introduciendo las credenciales de acceso a un servicio, es el
usuario legítimo.
Los primeros 2FA que entraron en funcionamiento se transmitían a través de SMS,
correo electrónico o llamada telefónica. Aunque parezca seguro recibir el doble
factor por estos medios, no es la opción más fiable, ya que simplemente con tener
activas las notificaciones en nuestro dispositivo móvil, cualquier mirada indiscreta
podría ver nuestra contraseña o token de acceso.
Existen diferentes alternativas más seguras que los métodos expuestos
anteriormente:
• Códigos de un solo uso: Constan de contraseñas de un solo uso
previamente generadas. El servicio genera y muestra una docena de
códigos que puedan utilizarse después para autentificar un inicio de sesión.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
8
acceso biométrico a la aplicación. Las aplicaciones de
autenticación más utilizadas actualmente son Google
Authenticator, Microsoft Authenticator y Authy.
• Push 2FA: Al iniciar sesión, se envía una notificación a
los dispositivos de confianza (ya sea móvil o de escritorio)
asociados a la cuenta de usuario. En respuesta a esta
notificación, se le presenta al usuario un simple mensaje de
“aceptar” o “denegar” para permitir o evitar el inicio de sesión.
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
9
Vulnerabilidades
Reciba nuestro boletín completo de parches y vulnerabilidades suscribiéndose aquí.
Cisco
CVE-2021-1451
Fecha: 07/04/2021
Node.js
CVE-2021-28918 y CVE-2021-29418.
Fecha: 06/04/2021
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
10
Parches
VMware
Fecha: 01-04-2021
Descripción. VMware ha publicado una nueva actualización de
seguridad con el objetivo de solucionar una vulnerabilidad crítica que
permitiría la omisión de autenticación por parte de un atacante. De
esta forma, se podría manipular una URL de la interfaz administrativa y
conseguir tokens de autenticación válidos. Con estos tokens se podría
acceder a la API de administración y modificar las configuraciones
pertinentes.
Enlace: https://www.vmware.com/security/advisories/VMSA-2021-
0005.html
Productos afectados.
Versiones anteriores a VMware Carbon Black Cloud 1.0.2
Solarwinds
Fecha: 25-03-2021
Enlace: https://documentation.solarwinds.com/en/
success_center/orionplatform/content/release_notes/orion_
platform_2020-2-5_release_notes.htm
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
11
Eventos
ISMG Virtual Cybersecurity TACTICAL EDGE 2021
Summit
12 - 13 de mayo | online
4 - 5 de mayo | Online
El evento será presentado por expertos que abordarán
La Serie de Cumbres Globales de ISMG tendrá tendencias importantes de ciberseguridad, desde
lugar en varios continentes y se centrará en temas la importancia de concienciación de ciberseguridad
de seguridad global, como la prevención de fraude y hasta nuevas soluciones tecnológicas utilizando
violaciones, seguridad de confianza cero, dispositivos Inteligencia Artificial y Machine Learning.
conectados y en muchas verticales clave de la
industria como la banca, ámbito gubernamentales, el Enlace: https://tacticaledge.co/registro_mayo.
comercio minorista, la energía y la salud. html
Enlace: https://asiseurope.org/?ref=infosec-
conferences.com
Enlace: https://omhconf.pl/omh-
international/?ref=infosec-conferences.com
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
12
Recursos
Ciberseguridad en línea
La ciberseguridad es uno de los campos con mayor crecimiento y demanda
en la industria de las tecnologías de la información (TI). Según Cisco Systems,
se estima que para el año 2022 habrá un déficit de cerca de 2 millones de
profesionales de ciberseguridad a nivel global, debido a la falta de personal
capacitado para cumplir con la gran demanda prevista en el área.
Enlace: https://www.udemy.com/course/ciberseguridadenlinea/
Enlace: https://www.udemy.com/course/ciberseguridad-y-privacidad-101/
Enlace: https://www.udemy.com/course/introduccion-a-la-seguridad-
informatica/
Enlace: https://miriadax.net/web/ciberseguridad-entender-los-ataques-para-
desplegar-contramedidas-2-edicion-/inicio
Enlace: https://www.incibe.es/formacion/ciberseguridad-para-micropymes-y-
autonomos
© 2021 everis Spain, S.L.U. Todos los derechos reservados. Prohibido su uso, copia, reproducción, divulgación, distribución, difusión o modificación, total o parcial, con fines comerciales sin autorización de su titular.
13
powered by the
cybersecurity everis team
everis.com