Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El impacto de este incidente ha sido considerable, tanto a nivel político como de seguridad nacional
en Chile. La ministra de Defensa, Maya Fernández, suspendió su viaje a la ONU para gestionar la
crisis y el General Paiva, responsable del EMCO, presentó su renuncia.
Para mitigar tales riesgos en el futuro, se sugiere implementar controles como: mantenimiento
constante y actualización de los sistemas operativos y aplicaciones, implementación de seguridad en
múltiples niveles del sistema, establecimiento de un sistema eficaz de monitoreo y detección de
amenazas, desarrollo de un plan sólido de respuesta a incidentes y recuperación, y capacitación
continua de los empleados en prácticas de seguridad. (Concientización).
Este caso ilustra la importancia de una gestión de riesgos eficiente y de mantener los sistemas
actuales.
Guacamaya editar
El diagrama representa el flujo del ataque y las medidas de mitigación. Comienza con el grupo
Guacamaya explotando la vulnerabilidad ProxyShell en los sistemas de EMCO. Esto lleva a la
exfiltración de datos, que luego se publican en Enlace Hacktivista y Twitter. El impacto de este
incidente incluye la interrupción de las operaciones, la divulgación de datos sensibles y la pérdida de
confianza. El riesgo asociado con este incidente incluye la exposición de datos confidenciales, la
interrupción de las operaciones y el daño a la reputación. Para mitigar estos riesgos, se sugiere la
implementación de varias medidas de seguridad y gestión de riesgos.
Caso de estudio: Ataque a SONDA con Medusa Locker
SONDA, una empresa de tecnología con sede en América Latina especializada en la integración de
sistemas, outsourcing y desarrollo de software, experimentó un ataque cibernético en septiembre de
2019. Sin embargo, no se detectó hasta octubre del mismo año. Los atacantes utilizaron malware
para robar información confidencial, como nombres, direcciones y números de identificación de los
clientes.
Agente de la amenaza: Los atacantes eran un grupo de ciberdelincuentes que buscaban obtener un
beneficio económico robando información confidencial.
Descripción del ataque: Una vez detectado el ataque en octubre de 2019, SONDA informó a sus
clientes sobre el incidente y cómo había afectado a sus sistemas. El ransomware, identificado como
MedusaLocker, afectó las operaciones en varios países de América Latina, incluyendo Chile, Brasil,
Ecuador, Costa Rica, México y Colombia.
Efecto adverso: Este ataque interrumpió servicios críticos, como centros de datos, servicios en la
nube y consultoría, dañando la reputación de la empresa e inquietando a sus clientes. Además,
SONDA tuvo que invertir recursos significativos en la investigación y reparación de los daños.
Riesgo: El riesgo inherente a este tipo de ataques es muy alto. Las empresas de tecnología y sus
proveedores de servicios están expuestos a riesgos importantes debido a su dependencia de
sistemas informáticos y la valiosa información que gestionan.
Antecedentes del riesgo: El riesgo de ciberataques ha ido en aumento en los últimos años debido a la
creciente sofisticación de los atacantes, el incremento en la conectividad y la adopción de la nube.
Controles: Para enfrentar estos desafíos, SONDA debería haber implementado controles de
seguridad más fuertes, incluyendo:
Además, es fundamental que las organizaciones realicen análisis de riesgos y desarrollen planes de
respuesta ante ciberataques, monitoreen la efectividad de las medidas de seguridad implementadas,
establezcan mecanismos de comunicación efectiva con las partes interesadas y fomenten una cultura
de seguridad en la organización.
La fuente de la amenaza son los actores de amenaza que explotan una vulnerabilidad en el Protocolo
de Escritorio Remoto (RDP).
Esta acción representa el evento de amenaza que afecta a la vulnerabilidad en los sistemas de
SONDA.
El impacto adverso de este evento es la instalación de MedusaLocker, que cifra los datos y roba
información.
Esto representa un riesgo organizacional significativo, incluyendo la interrupción de servicios y daño
a la reputación de SONDA.
Para mitigar este riesgo, SONDA implementa controles de seguridad.
Las condiciones predisponentes, como la interrupción de servicios y el daño a la reputación,
subrayan la importancia de la gestión proactiva de la ciberseguridad para prevenir futuros ataques.
Caso de estudio: Ataque WannaCry
El ataque WannaCry, lanzado en mayo de 2017, es uno de los más notorios en la historia de la
ciberseguridad. Se aprovechó de una vulnerabilidad en versiones antiguas del sistema operativo
Windows, resultando en la infección de más de 200,000 computadoras en todo el mundo.
Descripción del ataque: Una vez desplegado, WannaCry cifró los archivos en las computadoras
infectadas y exigió un rescate para liberarlos. Los sistemas críticos en hospitales, empresas y
gobiernos se vieron afectados, causando un gran caos.
Efecto adverso: El principal efecto adverso fue la pérdida de datos y la interrupción de los sistemas
críticos, lo que resultó en grandes costos y una disminución en la confianza del público en las
organizaciones afectadas.
Riesgo: El riesgo principal asociado con el caso WannaCry es la interrupción y pérdida de acceso a
sistemas y datos críticos de las organizaciones afectadas. Además, el rescate exigido para recuperar
el acceso a los archivos cifrados puede resultar en costos financieros significativos para las víctimas.
Antecedentes del riesgo: Los antecedentes de riesgo en el caso WannaCry incluyen la falta de
actualizaciones de seguridad en sistemas Windows y la falta de conciencia y educación en
ciberseguridad, lo que aumentó la probabilidad de éxito del ataque.
Este caso subraya la importancia de mantener sistemas y software actualizados y parcheados para
evitar posibles ataques de malware. También destaca los riesgos asociados con los ataques de
ransomware, incluida la pérdida de acceso a datos críticos y la interrupción de las operaciones
comerciales, así como los costos financieros significativos que pueden resultar del rescate exigido
por los operadores del ransomware. Las organizaciones deben tomar medidas para proteger sus
sistemas y datos de posibles ataques de ransomware, como la implementación de políticas de
seguridad sólidas, la realización de copias de seguridad regulares y la educación de los empleados
sobre las amenazas de seguridad en línea.
Wanna cry editar
Fuente de Amenaza: Grupo Shadow Brokers: Este grupo de cibercriminales lanzó el ataque
WannaCry utilizando la herramienta de hacking EternalBlue.
Evento de Amenaza: Lanzamiento del ataque WannaCry: El ataque explotó una vulnerabilidad en el
protocolo SMB versión 1 de Microsoft.
Vulnerabilidad: Protocolo SMB versión 1 de Microsoft: Esta vulnerabilidad causó un impacto adverso,
incluyendo la pérdida de datos y la interrupción de sistemas críticos.
Impacto Adverso: Pérdida de datos, interrupción de sistemas críticos: Este impacto adverso condujo
a un riesgo organizacional, incluyendo la interrupción y pérdida de acceso a sistemas y datos críticos,
y costos financieros significativos.
Riesgo Organizacional: Interrupción y pérdida de acceso a sistemas y datos críticos, costos
financieros significativos: Este riesgo puede ser mitigado por varios controles de seguridad.
Controles de Seguridad: Aplicación de parches de seguridad, políticas de respaldo de datos y
recuperación de desastres, educación a los usuarios sobre el phishing y otras tácticas de ingeniería
social, plan de respuesta a incidentes: Estos controles pueden ayudar a prevenir y mitigar los efectos
de ataques similares en el futuro.
Condiciones Predisponentes: Falta de actualizaciones de seguridad en sistemas Windows, falta de
conciencia y educación en ciberseguridad: Estas condiciones facilitaron el evento de amenaza.
Caso de estudio: Bruno Fritch
La línea de tiempo del caso Bruno Fritsch S.A. contra Sujeto A y Sujeto B es la siguiente:
3 de abril: Sujeto A suplanta la identidad de Javier Trucco, gerente general de Bruno Fritsch,
utilizando una cédula de identidad adulterada para abrir una cuenta digital en el Banco Bice.
Semana posterior al 3 de abril: Sujeto B, usando otra cédula falsa de Trucco, cambia el número de
teléfono asociado a la cuenta y logra instalar la aplicación BICEPass en el dispositivo.
Fecha desconocida: Sujeto A y Sujeto B acceden al sitio privado de Javier Trucco, logrando acceder
a la cuenta de la empresa Bruno Fritsch S.A.
Fecha desconocida: Banco Bice detecta el fraude y restituye el monto total de las transferencias a la
cuenta de Bruno Fritsch S.A.
Fecha desconocida: Banco Bice presenta una querella criminal contra los perpetradores, buscando
su identificación y condena.
Las lecciones que se pueden extraer de este caso para prevenir futuras situaciones similares son:
1. Control interno: Es vital tener controles internos robustos que aseguren la seguridad de la
información, especialmente en los procesos de validación de la identidad de los clientes y en
las operaciones financieras.
2. Capacitación: Los empleados deben ser capacitados sobre los posibles riesgos y
amenazas, incluyendo la suplantación de identidad y el fraude cibernético.
3. Políticas de control de acceso: Se deben establecer políticas sólidas para gestionar el
acceso a los sistemas y datos de la empresa.
4. Monitoreo y auditoría: Es necesario tener sistemas de monitoreo y auditoría que permitan
detectar actividades inusuales o sospechosas en tiempo real.
5. Fortalecimiento de la seguridad tecnológica: Se debe utilizar la tecnología de seguridad
más avanzada y actualizada, como la autenticación multifactor y sistemas de reconocimiento
biométrico más robustos.
6. Cultura de ética y denuncia: Se debe fomentar una cultura organizacional que promueva la
integridad, la transparencia y la denuncia de actividades sospechosas.
7. Revisiones y evaluaciones periódicas: Es importante realizar revisiones y evaluaciones de
riesgos de forma regular para identificar y corregir posibles debilidades en los sistemas de
seguridad.
Las soluciones a los problemas identificados en este caso se encuentran principalmente en las áreas
de prevención de fraude, seguridad de la información y gestión de riesgos. Al establecer controles
más fuertes en estas áreas, las organizaciones pueden protegerse mejor contra ataques similares en
el futuro.
Editar diagrama acá
Este caso de estudio demuestra la importancia de tener controles de seguridad robustos y una
cultura de conciencia de seguridad en una organización. La falta de estos elementos puede facilitar
eventos de amenazas como la suplantación de identidad y el fraude, lo que puede resultar en un
impacto adverso significativo, como la pérdida financiera y el daño a la reputación. Para mitigar estos
riesgos, las organizaciones deben implementar una serie de controles de seguridad, incluyendo
controles internos, capacitación, políticas de control de acceso, monitoreo y auditoría, seguridad
tecnológica, y una cultura de ética y denuncia. Además, las organizaciones deben realizar revisiones
y evaluaciones periódicas de sus sistemas de seguridad para identificar y corregir cualquier debilidad.
Caso de estudio: Prilex.
El grupo de ciberdelincuentes conocido como Prilex ha demostrado una considerable capacidad para
adaptarse a los cambios en el entorno de la ciberseguridad, cambiando sus tácticas y objetivos para
maximizar su rentabilidad. Originalmente centrado en los cajeros automáticos, este grupo ha
evolucionado hacia un enfoque en los sistemas de Punto de Venta (PoS), utilizando malware
sofisticado para robar información financiera y personal. El resurgimiento de Prilex, junto con su
adaptación a las estrategias de defensa actuales, representa un importante desafío para las
organizaciones que buscan protegerse de estas amenazas.
Desarrollo:
Para protegerse contra estos ataques, las organizaciones pueden tomar una serie de medidas:
• Concientización y capacitación del personal: Los empleados deben estar informados sobre las
tácticas de ingeniería social utilizadas por Prilex y se les debe enseñar a identificar y reportar estos
intentos.
• Uso de autenticación y cifrado: Las organizaciones deben implementar autenticación y cifrado para
proteger las comunicaciones entre el software de PoS y los dispositivos de PIN.
A pesar del desafío que representa Prilex, con la debida preparación y medidas de seguridad, las
organizaciones pueden protegerse de este y otros grupos ciberdelincuentes. La educación del
personal, la actualización regular de la seguridad, el uso de autenticación y cifrado, y la colaboración
con proveedores de seguridad son aspectos clave para garantizar la seguridad en un entorno de
ciberseguridad cada vez más complejo y desafiante.
Diagrama:
Prilex acá
Vulnerabilidad: Los iPhones en la red de Kaspersky estaban expuestos a un exploit Zero-Day que se
utilizó para infiltrar malware en los dispositivos a través de iMessage. Este tipo de vulnerabilidad es
particularmente peligroso porque es previamente desconocido para los desarrolladores y los expertos
en seguridad, y por lo tanto, aún no se han implementado soluciones.
Descripción del Ataque: Los actores de amenazas comprometieron varios iPhones dentro de la red
de Kaspersky utilizando un exploit Zero-Click a través de iMessage. El software malicioso se instaló
sin requerir ninguna interacción del usuario. Una vez instalado, el malware adquirió privilegios de
administrador, recolectó información del sistema y del usuario, y permitió a los atacantes mantener el
control sobre los dispositivos comprometidos.
Riesgo: El ataque pone en peligro la privacidad y seguridad de los datos en los dispositivos afectados
y en la red de Kaspersky en general. Existe el riesgo de que la información confidencial recopilada
pueda ser utilizada para futuros ataques, amenazando aún más la seguridad de la organización y de
sus clientes.
Antecedentes del Riesgo: El uso de exploits Zero-Day ha aumentado en los últimos años como un
medio eficaz de comprometer los sistemas y evadir la detección. Este incidente refuerza la necesidad
de medidas de seguridad robustas y de estrategias proactivas para la detección y mitigación de
vulnerabilidades Zero-Day.
Controles: Kaspersky recurrió al kit de herramientas de verificación móvil para analizar y entender el
ataque. También proporcionaron una lista de dominios asociados con la actividad maliciosa para
ayudar a otros a verificar los registros DNS en busca de signos de explotación. A largo plazo, el
fortalecimiento de la seguridad de los dispositivos móviles, la vigilancia continua para detectar
actividad sospechosa, y la rápida respuesta a los incidentes de seguridad son vitales para prevenir y
mitigar los ataques de este tipo.
Kaspersky editar
Grupo de Amenazas (ScarCruft): Este grupo de amenazas avanzadas explotó una vulnerabilidad
Zero-Day en los iPhones en la red de Kaspersky.
iPhones en la red de Kaspersky: Los dispositivos fueron comprometidos a través de la instalación de
malware.
Compromiso de datos y control del dispositivo: El malware recopiló información del sistema y del
usuario, lo que resultó en un riesgo para la privacidad y seguridad de los datos.
Riesgo para la privacidad y seguridad de los datos: La información recopilada podría ser utilizada
para futuros ataques, aumentando el riesgo de seguridad para la organización y sus clientes.
Kaspersky: La empresa utilizó herramientas de verificación móvil para analizar y entender el ataque,
proporcionó una lista de dominios asociados con la actividad maliciosa para ayudar a otros a verificar
los registros DNS, fortaleció la seguridad de los dispositivos móviles, y mantuvo una vigilancia
continua y una rápida respuesta a los incidentes de seguridad para prevenir y mitigar futuros ataques.