Entradas Por :

Prestigia Seguridad

Ransmoware
Reparar un equipo infectado con Ransomware
940 529 Prestigia

Infección por un Ransomware

Los ataques de tipo Ransomware son a día de hoy uno de los negocios más productivos de la industria del cibercrimen. Su crecimiento es exponencial y cada vez está más que asegurado, no parando de aumentar diariamente la infección a usuarios y compañías, los cuales son uno de los riesgos a los que nos enfrentamos a diario, como ya vimos en este artículo sobre los riesgos de seguridad en las Pymes.

Las principales razones son las siguientes:

  • Ataques de Phishing: Estos ataques, se lanzan una vez utilizando algún tipo de campaña de phishing o ingeniería social, con el fin de obtener víctimas. El equipo de la víctima, infectado cifra habitualmente los datos, consumiendo recursos de procesamiento del propio dispositivo infectado. De igual modo, la víctima debe tomar la iniciativa de solucionar el problema, es decir, en ese momento, la victima a priori solamente contemplaría la opción de pagar el rescate de sus datos, con el fin de que el atacante le haga llegar la llave que permitiría descifrar los datos. Existen estudios que afirman que cerca del 30% de las víctimas infectadas han pagado por una infección de Ransomware, no han recibido la clave para descifrar sus archivos.
  • Al alcance de cualquiera: No es necesario tener grandes conocimientos técnicos para realizar una campaña de Ransomware ya que a día de hoy, la industria del cibercrimen tiene a la venta herramientas para realizar estas campañas. Como dato curioso, por poco más de 200 dólares, un CdC (Centro de Control) desde el que gestionar los ataques únicamente apretando unos botones. Los vendedores del software malicioso obtienen un porcentaje de los beneficios obtenidos por los pagos de las víctimas, y el resto va para el cibercriminal.
  • Los datos: El ataque se realiza hacia lo más sensible, los propios datos del dispositivo ya sea de un usuario final o hacia los de una compañía. De este modo, lo más valioso queda “secuestrado”, por ejemplo, la contabilidad, documentación, fotografías y un largo etc.

Desde Prestigia Seguridad, vemos este tema muy interesante y hemos decidido dedicar este artículo de hoy a una pequeña guía sobre que herramientas utilizar si por desgracia nuestros sistemas han sido infectados por un Ransomware.

Que herramienta utilizar para recuperar nuestros datos

Aunque existen multitud de variantes de Ransomware, cada uno realiza un cifrado distinto, por ello que existen multitud de herramientas dependiendo de la versión del Malware, ya que los datos se recuperarían de forma distinta.

Para ello, tenemos disponible el acceso gratuito a la herramienta MalwareHunterTeam, a la cual tendremos que adjuntar una muestra de un archivo cifrado y la nota adjunta la cual nos habrá hecho llegar el cibercriminal. Esta herramienta online, intentará identificar el tipo de familia perteneciente al Ransomware, y adicionalmente puede indicar la existencia de software de recuperación. Una vez lo tengamos identificado, podemos ponernos manos a la obra.

A continuación, conociendo la familia, vamos a focalizarnos en exponer una serie de herramientas gratuitas, las cuales se pueden obtener fácilmente, para ayudar a recuperar los datos infectados por algunos de los Ransomware conocidos.

Infección por tipos de Ransomware

Nos dirigirnos a NoMoreRansom, un servicio ofrecido por Kaspersky junto a otras organizaciones mundiales siendo esta hoy en día, la base de datos más completa de herramientas de reparación para infecciones de Ransomware.

En la sección “Decryption Tools”, identificamos el tipo de Ransomware que nos ha infectado para a ver si ya existe software para la recuperación. La herramienta nos realizará un guiado identificando los ficheros infectados y permitiendo obtener los originales, recuperando su estado previo. Si no lo encontramos en este sitio, existen otros servicios como DRWeb u otros antivirus que puedan realizar la desinfección, pero en este caso será de pago seguramente.

Normalmente, este tipo de Antivirus de pago, permiten subir una muestra de archivo infectado, y si es capaz de recuperarla, podemos plantearnos comprar la herramienta siempre que nos interese realizar la inversion.

Datos irrecuperables y estadísticas

En el caso de que no hayamos sido capaces de recuperar nuestros datos, podemos pedir información a la oficina del internauta de INCIBE. En este sentido INCIBE puso en 2018 un teléfono gratuito para ciudadanos y empresas para realizar este tipo de consultas con el fin de recibir asesoramiento al Internauta referentes a ciberseguridad.

Para finalizar este artículo, como dato, en el año 2018 el Malware de tipo Ransomware constituyo el 3,5% y 3,7% de los nuevos archivos maliciosos identificados en los diez primeros meses del año. Esto supuso un aumento del 43% para el Ransomware (de 2.198.139 en 2017 a 3.133.513 en 2018) y del 44% para los backdoors (2.272.341 en 2017 a 3.263.681 en 2018) en comparación con el periodo anterior, según datos de Kaspersky Lab.

Por último, desde Prestigia Seguridad no queremos dejar de aconsejar como lectura recomendada la entrada sobre 6 consejos para mejorar tu seguridad, donde fijo que te ayudan a protegerte de este tipo de ataques.

Borrado de datos en dispositivos
Cómo realizar un borrado efectivo de nuestros dispositivos
1020 690 Prestigia

Los datos tras borrar nuestros discos

Un proceso correcto de borrado de información, sobrescribe datos en nuestros dispositivos de almacenamiento con el fin de eliminar su contenido, lo que significa que no se pueden recuperar los datos previamente almacenados. El proceso de borrado de datos sensibles es importantísimo, ya que no se suele tener en cuenta un correcto borrado a la hora de desechar dispositivos obsoletos, lo cual podría permitir a un tercero el acceso a nuestra información tras haber realizado este proceso.

Existen muchos métodos de borrado de datos que no pasarían una auditoría. Estos incluyen el formateo simple de unidades de disco, el formateo de datos, la restauración de la configuración de fábrica o la destrucción de archivos a la papelera de reciclaje.

Para asegurarse de que su organización haya estandarizado correctamente este proceso, debemos comenzar con revisar y mejorar los procesos implementado. A partir de aquí, se deben realizar pruebas de fuerza bruta de recuperación, realizando auditorías internas periódicas tras ciertas solicitudes de eliminación. Como compañía, debemos asegurarnos de que todos los datos que se borren en nuestra compañía de forma segura, no se puedan recuperar.

A nivel legal, todas las empresas que manejan información privada podrían ser objeto de robo de información y tienen la obligación legal de cumplir con la LOPD, y adicionalmente, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD).

Como realizar un borrado de datos efectivo

A continuación, vamos a focalizarnos en realizar un borrado efectivo y seguro de nuestros dispositivos con herramientas OpenSource.

El borrado de archivos y datos desde los métodos tradicionales de Windows no es nada seguro, esto es debido a que los archivos que supuestamente han sido borrados, pueden estar al alcance de muchas aplicaciones de recuperación de datos, obteniendo de nuevo el contenido en cuestión de minutos. Por este motivo, proponemos un borrado seguro con la utilización de algoritmos de borrado mediante una aplicación OpenSource, gratuita, llamada Darik’s Boot and Nuke (DBAN).

Para su uso, descargamos la distribución en formato ISO y dependiendo de su uso, ya bien en entorno virtual cargándola directamente o mediante un dispositivo USB por ejemplo. Tras esto, ponemos en marcha el dispositivo a formatear.

Nota: Si no lo detecta a la primera, deberemos elegir la opción USB o  CD en el Boot Menu de la BIOS, dependiendo del dispositivo donde lo hayamos copiado.

La primera opción visible de DBAN ya nos da una advertencia que este software sirve para la destrucción de los datos de manera irrecuperable, es por esto que, por motivos legales, no ofrece ninguna garantía.

Partiendo de este punto, disponemos de cuatro opciones diferentes:

  • Pulsando la tecla F2 dispondremos de una breve descripción sobre qué es DBAN.
  • Con la tecla F3 veremos una lista de comandos básicos y rápidos.
  • Con F4 veremos una advertencia donde se indica que DBAN no es compatible con dispositivos RAID.
  • Con la tecla F1 volveremos al menú principal.

Las opciones más prácticas del menú inicial son el modo interactivo, modo que se inicia al pulsar la tecla ENTER.

Tras la selección del modo interactivo de DBAN nos mostrará la lista de unidades de almacenamiento detectadas para eliminar su borrado seguro.

Darik's Boot and Nuke

Realizamos la selección del disco a eliminar con la tecla ESPACIO y elegimos un método de borrado seguro pulsando la tecla M.

La herramienta DBAN ofrece seis métodos distintos, cada cual más complejo. El más elemental y rápido es Borrado rápido o Quick Erase, que realiza un simple borrado de un paso.

  1. Quick Erase: One pass zeros (1 borrado)
  2. Canadian RCMP TSSIT OSP-II (7 borrados, con verificación)
  3. DoD Short: US DoD 5220.22-M (3 borrados, con verificación)
  4. US DoS 5220.22-M (ECE) (7 borrados, con verificación)
  5. Peter Gutmann (35 borrados, con verificación)
  6. PRNG Stream: método aleatorio. Su nivel de eficiencia dependerá de la cantidad de borrados que asignemos.

Al finalizar, la herramienta nos mostrará un mensaje indicando la correcta finalización, permitiendo tras reiniciar el dispositivo reinstalar el sistema, continuar con su utilización de almacenamiento o desechar el dispositivo obsoleto de forma segura.

Casos reales de pérdidas de datos

Un reciente estudio de la agencia británica de protección de datos reveló que el 48 por ciento de los dispositivos de almacenamiento ubicados en el mercado de segunda mano contienen datos residuales, y un 11 por ciento de estos, son datos personales de consumidores finales y ficheros corporativos con información confidencial.

Este informe confirma con este estudio, otros realizados en Estados Unidos tras el análisis de numerosos discos duros vendidos a través del conocido portal de venta eBay, detectando todo tipo de datos confidenciales y empresariales en el 40 por ciento de ellos.

Adicionalmente, en estos estudios, se analizaron dispositivos móviles y almacenamiento portátil como USB, descubriendo tasas similares. Tras finalizar la investigación se encontraron 34.000 ficheros con información personal o corporativa, algunos de estos sin previo borrado y otros con borrados simples, fácilmente recuperables utilizando herramientas software de uso público.

Esperamos que este artículo haya sido de ayuda para aprender a realizar un borrado efectivo de datos en tus dispositivos. En Prestigia Seguridad, ofrecemos soluciones para el borrado de datos sensibles. ¡contáctanos para obtener información sin compromiso! 🙂

Sectores mas vulnerables a ciberataques
Cuáles son los sectores más vulnerables a sufrir ciberataques
1020 690 Prestigia

La protección de datos masivamente en determinados sectores, los hace más vulnerables a sufrir ciberataques. En la mayoría de ocasiones, los ciberdelincuentes intentarán obtener datos sensibles e información confidencial como contraseñas o números de tarjetas de crédito.

La pérdida de datos personales, por ejemplo, a causa de una brecha de seguridad, supone una pérdida financiera y de credibilidad y reputación para la empresa. En el reportaje Impida que una brecha de seguridad acabe con su pyme, en el que participó nuestro CTO José María Muntané, vimos que el 40% de pymes que ha sufrido un ciberataque, ha tenido que interrumpir su actividad a raíz del incidente.

Los 3 sectores más vulnerables a sufrir ciberataques

Sector bancario

La competitividad con empresas tecnológicas como Google, Apple, Microsoft o Facebook, hace que la transformación digital en el sector financiero, esté avanzando a pasos de gigante. La mayoría de entidades bancarias, utilizan la nube como servidor de los datos personales de sus clientes, y eso, las transforma en empresas más vulnerables. La gran cantidad de datos sensibles que mueve el sector, lo convierte en uno de los principales objetivos de los ciberdelincuentes.

Las investigaciones del Grupo NCC, revelaron que las vulnerabilidades de seguridad en el sector bancario, han aumentado en más del 400% desde 2013. Entre los ataques más utilizados encontramos el DDoS, utilizado para saturar los sistemas y acompañado de un posterior ataque de phishing hacia los usuarios de la entidad bancaria.

La banca en línea de Reino Unido HSBC, reveló que sus servicios en línea habían sido blanco de cibercriminales, utilizando un ataque DDoS, aunque afirmó que se había defendido con éxito.

Sector sanitario

El sector sanitario también está en pleno proceso de transformación digital. Hoy en día, ya es algo normal recibir los resultados de nuestras pruebas médicas directamente a nuestro teléfono móvil, e incluso podemos realizar consultas o solicitar atención médica vía smartphone. El sector sanitario en Estados Unidos sufre de media 32.000 ciberataques diarios, según fortinet.

Este es uno de los sectores más vulnerables por el hecho de mover millones de datos muy sensibles y críticos, de todos y cada uno de nosotros. Hay que tener en cuenta también, que la mayoría del software que utilizan, no está actualizado acorde con los ciberataques que pueden sufrir hoy en día, dado que la seguridad no se tomó como parte del proceso del desarrollo en la mayoría de las ocasiones.

A los ciberdelincuentes les sería muy fácil realizar un ataque de Ransomware, pidiendo un rescate para eliminar la restricción de la plataforma sanitaria. Incluso, con la cantidad de datos que podrían recopilar, podrían realizar un ataque phishing a los pacientes, incluyendo sus datos personales, para darle veracidad.

Por otra parte, los dispositivos médicos conectados a internet, son extremadamente vulnerables a sufrir ciberataques, debido a la información personal que transmiten.

Sector jurídico

Los despachos de abogados son un gran atractivo para los ciberdelincuentes. La gran cantidad de datos sensibles que almacenan, entre ellos números de cuenta bancaria, se intentan sustraer mediante ataques de phishing por correo electrónico. 

Según Law, en Inglaterra el 73% de bufetes de abogados sufrió un ciberataque durante el 2016, aumentando un 60% respecto al 2015.

El ciberataque más utilizado por los delincuentes dentro del sector jurídico, es el ataque Ransomware, exigiendo así al bufete de abogados, un rescate para la recuperación de los datos personales de los clientes. En españa, según INCIBE, durante el año 2017, al menos 70 bufetes de abogados fueron víctimas de un ataque de este tipo.

El despacho de abogados Araoz & Rueda sufrió un ciberataque en 2017 y, comunicó a sus clientes, que si en los próximos días recibían un correo electrónico sospechoso, ignoraran cualquier hipervínculo y se pusieran en contacto con ellos.

Que tu empresa no esté incluida en ninguno de los sectores de los que hemos hablado, no significa que no sea vulnerable a sufrir ciberataques. En nuestro blog, puedes encontrar una guía con 10 consejos para mejorar la ciberseguridad de tu pyme.

Recuerda, en Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso! 🙂

Historia del Hacking español
Historia del hacking Español
640 364 Prestigia

Cada grupo de hackers tiene su propia historia, es imposible saber de todas, sobre todo la de aquellos cuya labor no ha sido exhibida o no ha transcendido, no porque no fuese lo suficientemente interesante o relevante, sino porque su actividad se ha mantenido en la sombra y es posible que jamás salga a la luz.

Sin embargo, sí que existe a lo largo de la historia documentación sobre grupos de hackers famosos por sus hazañas a nivel nacional. Al menos, nos parece interesante recopilar aquellas historias de grupos que nos atrevemos a denominar «famosos» dado que sus hazañas se conocen e incluso han sido dadas a conocer en medios de comunicación como diarios o incluso televisión.

En este post, vamos a recopilar una lista de, nada más y nada menos que, los grupos de hackers que más relevancia han tenido en el panorama nacional a lo largo de la historia, donde algunos de sus antiguos integrantes, hoy día son directivos o responsables de seguridad de grandes multinacionales. Os lo contamos a continuación.

Grupos de hackers

Comenzamos con ¡Hispahack, este es, sin la menor duda, el grupo de hackers más conocido en España, debido al boom mediático que desencadenó la detención de algunos de sus integrantes, en el año 1998. Este grupo también era conocido con las siglas !H. Fue un grupo de hackers, la mayoría catalanes, activo entre los años 1992 y 2002. Éste fue, sin duda, uno de los grupos de hackers de más calidad del «underground». Hemos de destacar también sobre !Hispahack su vocación internacional. Sin ser este un grupo admirado a nivel mundial, como lo pudo ser 29A, destacaba su gran relación con otros grupos de la escena hacker Europea de gran relevancia, como “Chaos Computer Club” o “The Hackers Choice”.

Continuamos con otro grupo llamado Apòstols, este fue el nombre del grupo de hackers de Barcelona, Lleida, Zaragoza, Alicante y Tenerife que nació en 1989. A lo largo de su historia, su mayor época de actividad fue entre 1989 y 1991. Sus principales retos como grupo eran el phreaking (hacking telefónico) y el hacking, preferiblemente en las redes X25. Hemos de destacar su actividad en el ámbito del phreaking, donde aprovechando deficiencias de los sistemas de telefonía de la época, fueron capaces de realizar llamadas gratuitas.

El grupo conocido por las siglas !dSR, también llamado Digital Security Research o Digitalsec, fue un grupo de hackers españoles, fue famoso por sus intrusiones y modificaciones ilegítimas de páginas web (defacement), podemos destacar la intrusión a las máquinas del grupo Alemán Chaos Computer Club (CCC), en el año 2004. Ese año y aprovechando una vulnerabilidad que aún no era pública en la comunidad (0-day) en el wiki del grupo Chaos Computer Club, el equipo de !dSR consiguió acceder a sus sistemas y publicó en Internet una lista de todos los participantes en el congreso de 2003 del CCC, incluidos datos personales como correos y contraseñas. Este grupo se fundó aproximadamente en el año 2000, su actividad no cesó hasta 2006 y en la actualidad está en “stand-by”, aunque su web oficial aún funciona.

Actualidad

Aun así, aunque hemos comentado algunos de los más conocidos grupos de hackers de la escena Española ya disueltos, vamos a hacer referencia al panorama actual, y queremos cerrar este original post hablando de Anonymous, en concreto de “La nueve de Anonymous”.

Los ciberactivistas deben su nombre a la compañía de soldados republicanos que ayudaron en la liberación de París del nazismo en 1944. Son el grupo de hackers responsable de filtraciones de datos de carácter personal de compañías como El Corte Inglés, Ayuntamientos, iDental, etc.

Como ya contamos en nuestro blog, ‘La nueve de Anonymous’ fue quien descubrió la Brecha de seguridad en la web de la Alhambra.

Este grupo de ciberactivistas o mejor llamado, Hacktivistas utilizan sus conocimientos en el ámbito de la seguridad informática, en concreto del hacking para expresar sus ideologías políticas sobre todo con el fin de dar notoriedad a las mismas, mediante los hackeos a webs, denegación de servicio o robos y publicación de información.

Hemos visto a lo largo de los años la cantidad de grupos que ha tenido la escena Española y algunos que actualmente continúan, dado el incremento incesante de ataques que se realizan año tras año, estaremos expectantes de ver el crecimiento de estos grupos en los próximos años.

Y tú, ¿conocías la historia del hacking español?, ¿conocías alguno de estos grupos de hackers?, ¿sabes qué es el hacking ético? Si tienes alguna duda sobre el hacking o seguridad en entornos web, aquí estamos para ayudarte 😊

mejorar ciberseguridad pymes clud backup
Consejos para mejorar la ciberseguridad de tu pyme
1020 690 Prestigia

El 60% de las pymes caen en quiebra pasados los 6 meses de sufrir un ciberataque. Un dato muy preocupante, teniendo en cuenta que en 2018 se registraron aproximadamente 120.000 ciberataques dirigidos a pymes.

Hace aproximadamente un año, en nuestro blog, escribíamos sobre los principales riesgos de ciberseguridad a los que te enfrentas si eres una pyme. Hoy vamos a redactar un post para mejorar la ciberseguridad de tu pyme.

Es muy posible que pienses que por ser una pequeña empresa, la ciberseguridad no debería preocuparte a ser foco de un ataque informático, pero eso no es así: el 70% de los ciberataques en España se dirigen contra las pymes.

¿Cómo mejorar la ciberseguridad de tu pyme?

Como mencionamos en nuestro post, 10 errores en la gestión de la seguridad en la empresa, con un antivirus y un firewall no estás completamente protegido, aun siendo dos factores esenciales para la protección. Para proteger a una pyme de ciberdelincuentes, hay que estar muy bien preparado, estos son algunos consejos para mejorar la ciberseguridad de tu empresa:

  • Realizar una auditoría de ciberseguridad. Consiste en simular un ataque informático para evaluar el estado de los sistemas informáticos y su fortaleza ante posibles ciberataques.
  • Preparar un plan de ciberseguridad. Vamos a redactar en este plan, las herramientas, protocolos, y medidas que vamos a tomar en caso de un fallo de ciberseguridad. Es imprescindible que en este se incluya un plan de contingencia, para garantizar la recuperación del negocio y, buenas prácticas que deberán cumplir los empleados tanto de la organización, como terceros que colaboren en esta. 
  • Mantener la red segura. La conexión a internet u otro tipo de redes, expone nuestros sistemas y tecnología a los ciberdelincuentes atacantes y a fugas de información. Utilizar contraseñas WPA2 para acceder a la red, utilizar el filtrado de direcciones MAC o gestionar la configuración de la red únicamente desde la red cableada o 802.1x para autenticación en red, bloqueando el acceso desde la red WiFi, son algunas de las medidas que podemos tomar para mantener la red de nuestra pyme más segura.
  • Utilizar contraseñas complejas. El uso de contraseñas robustas por nuestra parte y la de nuestros empleados en los ámbitos relacionados con la empresa, ayudan a mantener nuestras cuentas seguras. Adicionalmente invitamos a utilizar 2 factores de autenticación para sistemas o aplicaciones.
  • Gestionar los privilegios de los empleados. Es muy importante no proporcionar privilegios innecesarios y gestionar los accesos de nuestros empleados a información sensible. Cada usuario debe tener solo los accesos necesarios para poder ejecutar bien su trabajo.
  • Realizar operaciones seguras. Utilizar métodos de encriptación o plataformas seguras de pago, para realizar transferencias de dinero, de documentos u otras operaciones que requieran un plus en seguridad.
  • Realizar copias de seguridad. Se deben realizar copias de seguridad cada cierto tiempo, dependiendo de la cantidad de información generada y de su carácter más o menos crítico. Realizar copias de seguridad en servidores seguros de terceros tiene ventajas como poseer las copias de seguridad fuera de la empresa, nos asegura disponibilidad en cualquier momento y las copias están protegidas de cualquier ciberataque dirigido a la pyme.
  • Formación y concienciación para empleados. Es imprescindible independientemente del cargo que uno ocupe dentro de la pyme, conocer los riesgos a los que podemos enfrentarnos, para saber cómo actuar y cuáles son los protocolos y medidas marcados por nuestro plan de ciberseguridad.
  • Cumplir la normativa. En nuestro post, Prevención y reacción frente a los ciberataques,  comentábamos que las pymes deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras.
  • Realizar el mantenimiento técnico.  Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revisen los sistemas operativos del servidor, actualizarlos siguiendo un calendario programado y de forma inmediata cuando se detecten fallos de seguridad foco de ataques.

Esperamos que estos consejos hayan sido de ayuda para mejorar la seguridad de tu pyme, así tener una menor vulnerabilidad a sufrir ciberataques. En Prestigia Seguridad ofrecemos servicios de ciberseguridad para cada cliente, proyecto o negocio, ¡contáctanos para obtener información sin compromiso!

Wordpress
Cómo pueden infectar nuestro WordPress
750 450 Prestigia

Recientes estudios indican que WordPress ha alcanzado una cuota de mercado de un 65% de uso en España y un 30% a nivel mundial.

El uso generalizado de este CMS (Content Management System) hace que cuando se detecta una vulnerabilidad en el “CORE” de la aplicación, tiemble Internet y sea utilizado para realizar ataques de DDoS (Distributed Denial of Service), Phishing, etc. Sin embargo, no debemos dejar otro punto de lado y estos son los plugins utilizados por el “CORE”, los cuales son el principal foco de ataque para intentar atacar este más que conocido CMS.

Es posible que en el momento menos esperado, nuestro dominio legítimo que utiliza WordPress aparezca indexado en buscadores como Google o Bing haciendo referencias a productos que quizá nada tuvieran que ver con nuestro contenido, podrían ser productos farmacéuticos o de otro tipo, el primero que comentamos el más usual. Además, es posible que Google catalogue nuestro sitio como fraudulento, creando un daño a nivel de reputación a la imagen de nuestra marca. En este post comentaremos qué ha podido ocurrir.

Tipos de infecciones

A continuación, vamos a focalizarnos en los tipos de infecciones que podrían afectar a nuestro sistema WordPress.

Usualmente, los atacantes al tener acceso ilegítimo a nuestro sistema WordPress, modifican el tema principal para realizar una redirección automática a un dominio externo, con lo cual, aunque accedamos a nuestra URL original, automáticamente seremos transferidos al dominio malicioso.

A continuación exponemos un ejemplo de un caso real de infección con una redirección a un sitio de venta de productos farmacéuticos proveniente de una URL de un sistema WordPress considerado confiable:

Además, otro tipo de ataque distinto, consistiría en el famoso minado de criptomonedas utilizando el explorador del usuario, el más utilizado es CoinHive. A raíz de esto, podríamos estar navegando tranquilamente por un sistema WordPress infectado que a priori parece legítimo, sin embargo, este habría sido infectado con librerías JavaScript maliciosas que utilizarían mediante nuestro explorador un consumo de CPU excesivo, utilizado para alimentar el minado de los atacantes. Con esto el atacante tendría una pequeña red de usuarios que realizarían el minado por él, cuyos beneficios irían a su cartera virtual en forma de Bitcoins por ejemplo o la famosa criptomoneda llamada Monero, las más utilizada en este tipo de ataques.

Por último, queremos reseñar un ataque muy usual que podrían aprovechar los atacantes con nuestro sistema WordPress infectado. Éste consistiría en crear directorios ocultos para crear páginas de Phishing. Normalmente este tipo de ataques son clonados de páginas de entidades bancarias o Paypal idénticas a las originales pero hospedadas en nuestro sistema infectado, con el fin de recopilar usuarios, passwords o incluso tarjetas de crédito de clientes.

El peligro de esta última infección podría incluso repercutir en acciones legales contra nosotros, al hospedar este tipo de páginas ilegales.

Mantener un WordPress seguro

Asegúrate siempre de que tu WordPress trabaja con la última versión disponible al igual que sus plugins, ya que eso te librará de un ataque de tipo 0-day.

También puedes seguir los consejos que ofrecíamos en este post sobre los plugins: cuales son los mejores plugins de seguridad para WordPress.

Qué hacer si hemos sido infectados

El CMS WordPress es lo suficientemente maduro hoy en día, teniendo un ratio mínimo de deficiencias de seguridad en su “CORE” en los últimos tiempos, si utilizas versiones actualizadas al igual que una correcta política de contraseñas, incluso con doble factor de autenticación. No deberían existir problemas a priori.

Si hemos detectado que nuestro sistema ha podido ser infectado, es posible utilizar el servicio web de diagnóstico de Google para verificar si hemos podido ser infectados y que no seamos penalizados en el SEO de Google o utilizar servicios públicos como Virustotal el cual utiliza varias fuentes para conocer si estado de nuestro sistema WordPress ha podido ser comprometido.

También, se recomienda analizar el equipo con aplicaciones Anti-Virus locales que permitan identificar ficheros potencialmente infectados, esto nos podrá ayudar a conocer los ficheros que deberemos restaurar al igual que conocer si su integridad ha sido modificada.

Aun así, en el momento que hayas sido infectado, no desesperes, puedes poner tu sistema WordPress en “modo mantenimiento” y solicitar el asesoramiento de profesionales de seguridad de la información para mediante técnicas de forense y hacking ético, conocer las deficiencias de seguridad que pudieran tener el sistema WordPress, de cara a restaurarlo a su estado original completamente seguro y fortificarlo.

Buscador para hackers Puertas de acceso
Shodan, el buscador de los hackers
1020 690 Prestigia

En el momento que conectamos cualquier dispositivo en la gran red llamada Internet, con el fin de aportar ciertas funcionalidades o servicios de forma remota, hemos de ser conscientes de las implicaciones y peligros que esto puede conllevar. La exposición y visibilidad desde el exterior. Cuando un dispositivo se expone a Internet a través del Router que nos da acceso, se ve accesible a todo lo que pasa en la red y cualquiera podría acceder a este.

No todos los usuarios de Internet son personas físicas, gran parte proviene de robots (bots). Si analizáramos todo lo que llega a nuestro Router, que nos da acceso a Internet, podremos ver que hay mucha actividad de estos mismos. Cuando abrimos un puerto o servicio para dar acceso a Internet a un dispositivo, a su vez estos bots también intentarán conectarse al mismo.

Entre los bots, hay algunos que son inocuos (por ejemplo los de buscadores como Google, que indexan Internet para que en nuestras búsquedas salgan las webs). Sin embargo, existen otros con propósitos más delictivos. Estos bots malintencionados buscan ganar acceso al sistema para poder comprometerlo y tenerlo bajo su control, formando parte en la mayoría de las ocasiones de una Botnet. Tras conocer esto, vamos a explicar de qué forma pueden indexar nuestros dispositivos expuestos en internet.

¿Cómo funciona Shodan?

En este artículo nos vamos a centrar en una herramienta llamada Shodan (www.shodan.io), conocida como “el Google de los hackers”, que utilizando sus bots, analiza las diferentes direcciones IP expuestas, comprobando qué puertos y servicios están abiertos y son accesibles desde Internet. Este motor de búsqueda nos permitirá saber qué estamos exponiendo en Internet para poder gestionar su seguridad de forma apropiada.

Tras observar algunos de los resultados que proporciona, es bastante preocupante conocer los dispositivos que se puede llegar a encontrar: servidores, cámaras de seguridad, sistemas de control industrial, dispositivos IoT, etc.

Logo Shodan Hackers

Cada vez más, seguimos la tendencia de incorporar el acceso a Internet sobre nuestros dispositivos, lo cual, ha hecho que crezca la exposición y los elementos vulnerables indexados ese motor de búsquedas. Podemos pensar que la seguridad en el Internet de las cosas (IoT) no es una prioridad para los fabricantes, y muchas veces tampoco para sus propietarios, puesto que en pocas ocasiones, en la fase de diseño, se contempla la seguridad, permitiendo que comprometer este tipo de dispositivos no sea complejo.

Pero no nos equivoquemos, en Shodan no solo encontraremos dispositivos IoT expuestos. Podremos encontrar, entre otros, Firewalls o Routers con contraseñas por defecto, servicios de gestión como podría ser SSH o paneles de gestión, sistemas de llamadas de voz sobre IP (VoIP)… Imaginemos hackear estos últimos, permitiendo llamadas a números premium, lo que podría acarrear a la compañía graves perjuicios económicos.

Además, la herramienta online Shodan nos permite geo localizar las direcciones IP, con lo cual podremos realizar búsquedas de dispositivos por país, permitiendo a los atacantes focalizar ataques dirigidos a ciertos países.

Otros buscadores que también te pueden indexar

El famoso motor de búsqueda de Google puede ser usado de forma maliciosa, con el fin de detectar elementos vulnerables, ya que como sabemos, éste indexa páginas web publicadas en Internet para poder realizar búsquedas.

Esta técnica se conoce como “Google hacking” sirve para realizar ciertas búsquedas con los operadores que permite Google y poner de manifiesto la falta de protección en algún elemento expuesto a Internet. Este tipo de búsquedas pueden modificarse para focalizar aún más el resultado, pudiendo dirigirse contra organizaciones concretas, dominios, tecnologías específicas, etc.

Como evitar que nuestros activos estén expuestos

Cualquier activo que se conecta a Internet, por sencillo que sea, se expone a este tipo de riesgos. Uno de los dispositivos más comprometidos, por ejemplo, son las cámaras IP. Existe tal volumen de cámaras desprotegidas que una de las mayores botnets del mundo, llamada Mirai, utilizaba este tipo de dispositivos para realizar ataques de Denegación de Servicio

Desde Prestigia Seguridad, cuando realizamos un Hacking Ético, realizamos este tipo de tareas con el fin de poder detectar dispositivos indexados de nuestros clientes, con el fin de poder elaborar un informe con las fugas de información que pudieran tener, parte fundamental de la fase de Footprinting en la búsqueda de vulnerabilidades.

Si aún no tienes protegida la seguridad de tu empresa, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. Puedes contactar con nuestros especialistas en ciberseguridad.

Huella seguridad digital
Impida que una brecha de seguridad acabe con su pyme
660 371 Prestigia

[Reproducimos a continuación reportaje de Jesús de las Casas para Expansión, contando con las aportaciones de Prestigia Seguridad.]

Las pymes se encuentran entre las compañías con más exposición a los ciberataques. El plan de acción requiere prevención, con la tecnología como aliado para aumentar la seguridad.

¿Se imagina no poder acceder, sin previo aviso, a toda la información de su negocio? Parece un mal sueño, pero cientos de empresas lo experimentan a diario. Pese a que las pymes suelen considerar que su tamaño las convierte en invisibles al radar de los hackers, los datos demuestran que la amenaza es muy real.

Durante 2017, el Instituto Nacional de Ciberseguridad (Incibe) registró una cifra récord de 123.000 incidentes. Según Cepyme (Confederación Española de la Pequeña y Mediana Empresa), más de la mitad de las pymes españolas sufrieron algún ciberataque.

Sus consecuencias son letales: el 40% de ellas tuvo que interrumpir su actividad a raíz del incidente, con el consiguiente impacto sobre su cifra de negocio. Entre otros problemas, las organizaciones perdieron información confidencial y vieron afectada la calidad de sus productos o servicios.

En comparación con las grandes compañías, la menor cantidad de recursos a disposición hace que «las pymes suelan protegerse de manera reactiva y, en muchos casos, solo necesitan un mal día para ver cómo todo el negocio puede correr peligro de la noche a la mañana», explica Ricardo Maté, director general de Sophos Iberia, multinacional británica de software y hardware de seguridad.

Además, el daño reputacional es otra de las consecuencias de estos ataques sobre las empresas. El perjuicio para la imagen de la pyme es crítico «si pone en peligro la información sensible de sus clientes», explica Maté. En términos operativos, hace énfasis en que estos ataques pueden incluso llegar a paralizar por completo la empresa y hacer que incurra en multas o indemnizaciones cuantiosas.

Soluciones

Aunque la tecnología ha multiplicado los riesgos a las que se enfrentan las compañías, también proporciona herramientas para combatirlos.

«La innovación cada vez está más presente en nuestro día a día y debe convertirse en nuestro aliado para incrementar la seguridad», considera José María Muntané, CTO de Prestigia Seguridad, firma especializada en la seguridad en Internet.

"La innovación cada vez está más presente en nuestro día a día y debe convertirse en nuestro aliado para incrementar la seguridad" Share on X

Por un lado, las compañías especializadas en servicios de seguridad emplean soluciones de inteligencia artificial para mejorar la detección de incidentes, una fórmula que les permite repeler ataques y minimizar sus daños.

En paralelo, la seguridad alcanza cada punto de las propias empresas. «Los dobles factores de autenticación, el cifrado y los sistemas de validación que facilitan al usuario la tarea de no tener que memorizar una contraseña son medidas que refuerzan la seguridad de la organización«, indica Maté.

En este sentido, los sistemas biométricos ya se han extendido como mecanismo de control de acceso en organismos públicos, empresas y domicilios particulares.

Su aplicación permite que el usuario se identifique sin necesidad de usar contraseñas en distintas situaciones, desde dispositivos móviles hasta el ámbito bancario y los medios de pago. Esta identificación biométrica introduce una mayor seguridad y elimina el riesgo que implican las contraseñas.

No obstante, la prevención debe ser el principal eje de la estrategia de seguridad de todas las compañías. En particular, «se debe conocer el estado de los propios sistemas informáticos; con una auditoría o un test de intrusión que permita evaluar su situación y su fortaleza ante posibles ataques intrusivos», apunta Muntané, que recomienda que las compañías cuenten con especialistas para proteger sus activos.

Los expertos recomiendan designar la figura de un responsable de ciberseguridad -interno o externo- que active y controle el plan corporativo.

Además, «la formación y concienciación al empleado es el punto de partida para que cale la cultura de la ciberseguridad en la organización: el eslabón más débil de la cadena es el humano», apunta Carlos Rodríguez, director del área de seguridad de la información de Sistel.

Riesgos a evitar

El tamaño de las compañías no es un freno para los ciberdelincuentes, que son conscientes de que los sistemas de seguridad de las pymes suelen ser más vulnerables que los de las grandes empresas. Éstos son los principales errores:

  • «La información de mi empresa no le interesa a nadie». Confiarse y no tomar las precauciones adecuadas es crítico. No se debe infravalorar la confidencialidad.
  • «La seguridad es un tema sólo informático». Lejos de ser así, su gestión trasciende los controles técnicos e informáticos. De hecho, la ingeniería social es una de las causas más habituales de incidentes.
  • «Con un antivirus y un cortafuegos ya estoy protegido». Son dos herramientas básicas, pero no bastan para cubrir todas las amenazas.
  • «Los problemas de seguridad vienen del exterior». Los riesgos no son ajenos: un USB infectado o un enlace malicioso en el correo compromete la seguridad de toda la organización.

Así son los ataques que comprometen a las pymes

Tras la psicosis provocada por el virus ‘WannaCry’ en 2017, la concienciación por parte de las empresas ha aumentado.

Entonces, la propagación del ‘ransomware’ -un secuestro de datos que exige el pago de un rescate para acceder al sistema– infectó millones de ordenadores en todo el mundo y alcanzó a compañías como Telefónica, Gas Natural, Vodafone e Iberdrola.

En la actualidad «las pymes sufren varios tipos de ataques y todos, de una u otra manera, utilizan técnicas de ingeniería social», indica Ricardo Maté, de Sophos Iberia. Maté explica que el ‘ransomware’ sigue siendo la principal amenaza, pero ha evolucionado.

«Antes eran masivos pero hoy son ataques personalizados: saben a quién quieren llegar y cuáles son sus hábitos y debilidades»

Ricardo Manté – Sophos Iberia

Otra de las estrategias que suele afectar a las pymes es el llamado ‘timo del CEO’, el ‘hacker’ se hace pasar por alguien con ‘autoridad’ para reclamar un pago o transferencia.

En cuanto al origen, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.

Además, otro factor de riesgo es «la falta de mantenimiento de los servidores y equipos«, afirma José María Muntané, de Prestigia Seguridad.

Después de que los ciberataques coparan los titulares, muchas empresas han incorporado «cortafuegos que utilizan inteligencia artificial para mejorar la prevención, además de la creación de copias de seguridad que permitan una recuperación rápida de los servidores en caso de infección».

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.