PROPUESTA DE MEJORA EN

CIBERSEGURIDAD

COMPAÑÍA: LEXCORP S.A.

L A U R A L I N A R E S F O N T
CONTENIDO

01 Situación

02 Objetivo

03 Acciones realizadas por la empresa

04 Informe del analisis del malware

05 Acciones realizadas por el atacante

06 Propuesta de solución

07 Conclusión
 Situación

El día 20 al 23 de septiembre de 2021 LexCorp S.A fue víctima de un malware (ataque) que provocó el acceso de un atacante al
sistema.

Como medida preventiva inicial los técnicos tomaron la decisión de identificar las máquinas afectadas y apagarlas hasta tener mayor detalle
de la situación. Se llevó a cabo la restauración de los sistemas afectados por el ataque contando con un backup de la fecha 19 de
septiembre (fecha de último backup disponible previo al ataque).

Guardaron una muestra del malware.

Apagaron, el mismo día 23 de septiembre, las máquinas que se habían identificado como afectadas durante el incidente.
En las máquinas que disponían de copia de seguridad (back-up), restauraron al estado correspondiente al día 19 de septiembre (fecha
de último backup disponible previo al ataque). Solo un 10% del Parque contaba con backup.
El 24 de septiembre, LexCorp S.A solicita los servicios de un analista de ciberseguridad para analizar una muestra y emitir
recomendaciones para su infraestructura de red y mejorar su postura de ciberseguridad.
LexCorp S.A solicita la elaboración de un informe de análisis del ataque, que tipo de malware es y el vector de ataque para aportar más
detalles sobre el incidente y el nivel de compromiso derivado del mismo.
OBJETIVO
Estaremos realizando un estudio más detallado
del incidente, tomando en cuanto las acciones
que se tomaron por parte del equipo de
seguridad de Lexcorp S.A

Se identificaron qué acciones llevadas por el área de

soporte técnico son correctas/incorrectas.

Se identificó la muestra de malware (Tipo),

comportamiento y posibles vectores de ataque.

Se trató de determinar las posibles acciones que

realizó el atacante en los sistemas.

Basándonos en toda esta información se solicitó llevar a

cabo una propuesta de solución para evitar este tipo de
incidente mejorando la seguridad de la empresa y evitar
estos posibles ataques a futuro.

ACCIONES REALIZADAS POR EL ÁREA DE SOPORTE TÉCNICO DE
LA COMPAÑÍA
ACCION
Guardar muestra del
malware
(que veremos más adelante en el análisis) al
Apagar las máquinas
afectadas
Restaurar el sistema de los
dispositivos afectados con
un backup del 19 de
septiembre
Solicita los servicios de un
analista de ciberseguridad
para analizar una muestra y
emitir recomendaciones
Solicita la elaboración
de un informe de
análisis del ataque
MÉTODO PRETEXTO
Esto permite al equipo de seguridad poder realizar el análisis necesario para poder identificar el
tipo de malware que afectó a los dispositivos con el fin de poder aprender lo suficiente de su
Correcto comportamiento para mejorar la defensa de la empresa (y evitar que vuelva a suceder)
Comprendiendo el procedimiento del mismo nos ayuda a mejorar nuestra táctica.
En este caso particular y tratándose de un Troyano
apagar los dispositivos afectados se pudo evitar que el malware se propague y cause más daño.
Incorrecto Cabe destacar que no es una solución, el malware todavía puede estar presente en el sistema
y puede reanudar sus actividades maliciosas una vez que se encienda la computadora de nuevo.
Si bien restaurar el sistema a un estado anterior puede ayudar de una manera superficial, con
este tipo de malware es poco probable que la previa acción elimine en su totalidad la amenaza.
En este caso hubiese sido de gran utilidad aislar la red los equipos afectados para evitar la
Incorrecto
propagación en el sistema, dándonos mayores chances de análisis del atacante(Contemplando
que únicamente poseían un back-up de solo el 10% de los dispositivos).
Con toda la información que se pueda llegar a recopilar del ataque, al elaborar este tipo de
Correcto informes también se puede dimensionar cómo está operando la compañía, qué sistemas están
utilizando para resguardarse y con ello recibir mayor capacitación para evitar el acceso
indeseado de atacantes al sistema.
Siempre que se presentan este tipo de incidencias es recomendable contar con agentes
Correcto capacitados que puedan dimensionar la gravedad de la situación y poder categorizar el
ataque.Estas acciones nos permiten evitar posibles ataques a futuro.
INFORME CON ANALISIS DEL MALWARE
REALIZADO CON Any.run y Sandbox.

Para acceder al análisis completo del Malware haga click aquí.

 Tenemos conocimiento que el acceso del ataque se debió al accionar
humano al realizar la apertura de un correo electrónico el cual contenía un
archivo zip adjunto.

Un troyano de estas características, le permite al atacante conectarse

ACCIONES remotamente al equipo infectado. Una vez que el atacante accede al
ordenador del usuario, el mismo puede ejecutarse en segundo plano sin
QUE REALIZO ser detectado, lo que permite el control del sistema de forma remota y
realizar acciones maliciosas, como robo de datos, espionaje, denegación
EL ATACANTE de servicio, eliminar o modificar archivos, ejecución de archivos, etc.

EN EL
SISTEMA
PROPUESTA DE SOLUCIÓN PARA MEJORAR LA
CIBERSEGURIDAD DE LA COMPAÑÍA
Para evitar la vulnerabilidad de la empresa ante posibles ataques en un futuro estaremos expresando las
diferentes tecnologías que consideramos serán más efectivas aplicar para su prevención, teniendo en
consideración la estructura y presupuesto de la empresa “Lexcorp S.A”.

Actividad de la Actualmente
empresa: cuenta con:
1 Red Corporativa.
2 servidores (Windows Server
LexCorp S.A es una plataforma de 2003 y Windows server 2012).
cobranzas y ofrece servicios de 280 dispositivos conectados a la
procesamiento de pagos a red.
pequeñas y grandes empresas en BackUp del 10% del total de los
la Argentina dispositivos (28).
Cumple con el estándar de
seguridad de datos para la
Industria de Tarjeta de Pago
(PCI Compliance).
 TECNOLOGIAS RECOMENDADAS

Software Antivirus.
Esta herramienta tiene como objetivo principal el detectar y bloquear acciones maliciosas en el equipo, generadas por cualquier tipo de
malware y en caso de que se haya producido una infección/ataque, eliminarla.
Los antivirus incorporan una gran cantidad de funciones en este caso vamos a recalcar 2 tipos de protección:

Reactiva: Proactiva/Heurística:

Se fundamenta en bases de datos de firmas (una El funcionamiento de los algoritmos heurísticos

forma de identificar el malware), generadas por el
fabricante, también conocidas como vacunas. El
posible archivo malicioso se compara con la base
de datos y si existe una coincidencia entonces se
trata de malware.
basa su comportamiento en diferentes criterios
que determinarán si un archivo es malicioso,
como por ejemplo, que se modifique el registro o se
establezca una conexión remota con otro
dispositivo. A cada uno de esos criterios se le
asigna un puntaje. Si este supera un determinado
umbral se le considerará una amenaza.

Podemos considerar la utilización de Kaspersky Antivirus, Avast Antivirus, Bitdefender Total Security, ESET NOD32 Antivirus entre otros.
 TECNOLOGIAS RECOMENDADAS

Segmentación de Red.
Al segmentar la red, se puede aislar cualquier problema de seguridad o de rendimiento en una parte de la red y reducir
la propagación a otras partes de la red. También permite una mejor administración de la red al facilitar la identificación y el
control de los dispositivos conectados. La segmentación de red se puede lograr mediante la creación de VLAN (redes de
área local virtuales), subredes, firewalls, routers y otros dispositivos de red.

(IDS) Sistema de detección de intrusos.

Un IDS protege al sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red,
auditar las configuraciones de la red y sistemas por vulnerabilidades, analizar la integridad de los datos, etc. Dependiendo
de los métodos de detección que seleccione utilizar, existen numerosos beneficios directos e incidentales de usar un
IDS (no toma ninguna medida de protección o bloqueo, simplemente notifica).

(IPS) Sistemas de prevención de intrusiones.

Se trata de un software que se utiliza para proteger al sistemas de ataques e intrusiones, el mismo previene que los
intrusos logren entrar a nuestro ordenador y/o sistema. Se trata de un conjunto de instrucciones especializadas, que
permiten monitorizar el tráfico de cada bit de un paquete de datos que ingrese a nuestra red. Estos sistemas llevan a
cabo un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a
producir un incidente, identificando ataques según patrones, anomalías o comportamientos sospechosos y permitiendo el
control de acceso a la red, implementando políticas que se basan en el contenido del tráfico monitorizado, es decir, el IPS
además de lanzar alarmas, puede descartar paquetes y desconectar conexiones.
 TECNOLOGIAS RECOMENDADAS

Firewall.
Este es un paso esencial ya que basamos la seguridad según los
requisitos a cumplimentar por parte de las normas PCI, que dictan
“instalar y mantener un firewall configurado para proteger los datos
de los titulares de tarjeta.”

Dicho esto, este sistema de seguridad nos sirve para bloquear

accesos no autorizados a un ordenador mientras sigue permitiendo
la comunicación de tu dispositivo con otros servicios autorizados.
También se utilizan en redes de ordenadores, especialmente en
intranets o redes locales, si el tráfico entrante o saliente cumple con
una serie de reglas, entonces podrá acceder o salir de nuestra red u
ordenador sin restricción alguna. En caso de no cumplir las reglas
el tráfico entrante o saliente será bloqueado.

El Firewall permite configurar filtros para diferentes tipos de tráfico,

por ejemplo, permitir únicamente las conexiones a servidores de
direcciones IP concretas, descartando el resto por seguridad. Al
poder analizar el tráfico saliente, también pueden llegar a detectar si
hay algún malware comunicándose con la red, monitorizando el uso
de redes empresariales, o filtrando el tráfico. A su vez, se puede
configurar para que sólo el navegador de los ordenadores de una
empresa pueda conectarse a Internet, bloqueando el acceso del resto
de aplicaciones por seguridad.
 TECNOLOGIAS RECOMENDADAS

(WAF) Firewall de Aplicaciones web.

Es un sistema de seguridad diseñado con el fin de controlar, filtrar y revisar el tráfico de red entre los servidores.
Es importante saber que no es lo mismo que un firewall (programa informático que controla el acceso de una computadora a
la red), ya que este sistema de seguridad controla el tráfico de red entre los servidores.
A diferencia de los firewalls tradicionales, estos poseen la capacidad de analizar el flujo de comunicaciones para detectar
patrones de ataques en sitios de internet y controlar el tráfico en aplicaciones web de forma mucho más específica,
volviéndose un elemento clave para la protección y ciberseguridad de una empresa. Facilita que un servidor cuide a detalle
la identidad de una computadora gracias a un intermediario, y es así que el servidor no queda expuesto, pues cada usuario
debe pasar por el WAF antes.De esta manera se bloquean los intentos de ciberataques que sucederán en él, pero no en
las computadoras de los usuarios, convirtiéndolos en un tipo de proxy inverso que protege al servidor. En el momento en que
se perciba algún ataque, falla, intrusión o fuga de información, se bloquea el tráfico web, descartando la petición o respuesta
HTTP para evitar que los ataques afecten a la aplicación web.
En el caso de no detectar peticiones maliciosas, las solicitudes y respuestas HTTP fluyen con normalidad. Esto quiere decir
que estas son analizadas antes de que lleguen a las aplicaciones web o a los usuarios de las aplicaciones.
 TECNOLOGIAS RECOMENDADAS

Página web HTTPs.

El protocolo de transferencia de hipertexto seguro (HTTPs) es la versión encriptada de HTTP. Se utiliza para una
comunicación segura a través de Internet o de una red. El protocolo de comunicación se cifra mediante Transport Layer
Security (TLS) o, anteriormente, Secure Sockets Layer (SSL).
Con HTTPS, los datos de las tarjetas de crédito, las contraseñas, los datos privados/sensibles de los usuarios y los datos
personales se cifran con una capa alta de seguridad.
 TECNOLOGIAS RECOMENDADAS

(EDR) Endpoint Detection and Response.

Es una herramienta que proporciona monitorización y análisis
continuo del endpoint y la red. La finalidad es identificar, detectar y
prevenir amenazas avanzadas (APT) con mayor facilidad.
EDR monitoriza la actividad de los endpoints y realiza una
clasificación de los archivos según sean seguros, peligrosos o
«desconocidos».
Cuando detecta archivos sospechosos (desconocidos) en uno de los
endpoints (Ej: un adjunto en un correo) automáticamente lo envía a la
nube. Permanece aislado en un entorno de pruebas, y lo ejecuta
imitando el comportamiento que tendría un usuario.
De ese modo, si en el futuro se detecta de nuevo ese archivo en
cualquiera de los endpoints, directamente lo bloqueará impidiendo su
ejecución.

Algunos ejemplos: BitDefender, Kaspersky, Sophos, Trend Micro,

Panda Security o Symantec también incorporaron el EDR en sus
propuestas.
 TECNOLOGIAS RECOMENDADAS
Back-up de los dispositivos(Copias de seguridad).
Siempre es recomendable contar con copias de seguridad del 100% de los dispositivos siendo utilizados.
Un back-up del sistema es una copia de seguridad de todo el sistema operativo y los archivos importantes que se encuentran en un dispositivo, como
una computadora o un servidor. La creación de back-ups del sistema es una práctica común para asegurar la disponibilidad de los datos críticos en
caso de una falla del hardware, una eliminación accidental de archivos o una infección de malware.
Es muy importante que las copias de seguridad no se almacenen en un único sitio. Esta medida es relevante porque si, por ejemplo, una empresa
guarda doscopias de seguridad en una misma nube y es atacada, ya no se tiene ninguna copia disponible. Asimismo, este mismo problema
puede suceder con el almacenamiento local. Por ello, es necesario que estén en dos ubicaciones distintas.

Las copias de seguridad pueden encontrarse almacenadas en:

La nube: Suele presentarse en modelo SaaS. Por lo tanto, la empresa que almacena sus back-ups en la nube deberá pagar dependiendo del volumen
de almacenamiento que ocupan los datos. Algunos sectores y/o empresas no permiten este tipo de almacenamiento de las copias de seguridad. No
obstante, si una empresa va a tener sus copias en la nube, tiene que tener dos elementos en cuenta: lo primero es decidir si esa nube que se va a
contratar va a ser pública o privada; y, lo segundo, es que es muy importante firmar un buen Acuerdo de Nivel de Servicio (ANS) que garantice el
funcionamiento y disponibilidad de las copias. Algunas de las nubes más conocidas son: AWS Backup, Azure Backup y Cloud Backup de IBM.

Local: El almacenamiento en este caso está en el hardware de la propia empresa. Este hardware se compone de servidores, puertos USB, cabinas de
discos duros (HDD, Hard Disk Drive, o SSD, Solid State Drive, etc.), cintas, entre otros. Las cabinas de discos duros son una posibilidad. Sin embargo,
los back-ups locales también tienen algunas desventajas, como el riesgo de pérdida de datos debido a problemas de hardware, robo o desastres
naturales.

En estos casos recomendamos el modo híbrido. Lexcorp S.A puede almacenar una copia de seguridad en la nube y la otra en local. De esta manera,
si la empresa se encuentra sin conexión a internet, puede obtener la copia del almacenamiento local y si el almacenamiento local ha sufrido daños, la
copia se puede recuperar gracias al almacenamiento en la nube
 TECNOLOGIAS RECOMENDADAS

Protocolos de seguridad interna.

La documentación e implementación de la habilitación o deshabilitación de cuentas/accesos con nuevo/viejos empleados
de la compañía, al tener acceso a datos sensibles de los clientes termina siendo un paso fundamental para evitar filtrado o
robo de información, ya sea por error como por acto malicioso.

Capacitación interna a todos los usuarios.

La capacitación de todos los empleados también es otro paso fundamental para proteger la información tanto de la empresa
Lexcorp S.A como de los clientes que hacen uso de la plataforma de cobranzas que ofrece la compañía. Estas
capacitaciones previenen el filtrado de información y la posibilidad de caer ante un ataque que provoque la entrada al
sistema con el fin malicioso de robo de datos sensibles (como es el de medios de pagos).
Tener empleados conscientes de las dimensiones del daño que podría provocar un ataque ayuda a comprender mejor las
acciones que estos pueden realizar para prevenir caer ante un posible malware.
 CONCLUSION

Teniendo en cuenta todo lo previamente mencionado es esencial tener una política que contemple la seguridad de
la información para todo el personal.
Los tres pilares principales de la seguridad de la información son el factor humano, los procesos y la tecnología.
Cada uno es tan importante como el siguiente, sin embargo, el factor humano es el pilar más vulnerable de cualquier
sistema de gestión de seguridad. Los procesos son el segundo pilar más susceptible. La tecnología suele ser el pilar
más firme.
La clave para lograr un sistema de gestión de seguridad de la información exitoso es lograr obtener una armonía entre
estos 3 pilares mencionados, ya que todos están conectados entre sí.
La combinación de las tecnologías que presentamos, más la capacitación de los empleados como también las buenas
prácticas presentadas, nos aseguran que Lexcorp S.A tendrá una defensa más sólida ante amenazas futuras.
 PROYECTO FINAL
CODERHOUSE

CIBERSEGURIDAD
LAURA LINARES FONT