Entradas Etiquetadas :

ciberataque

Alhambra brecha de seguridad puerta
Brecha de seguridad en la web de la Alhambra
1020 690 Prestigia

Recientemente explicábamos en este blog qué son y qué hacer ante una brecha de seguridad, como usuarios afectados. Hoy escribimos sobre un caso reciente, una de las mayores brechas de seguridad producidas en España en los últimos años.

La web oficial de venta de tickets de la Alhambra, ha dejado expuestos los datos personales y bancarios de más de 4 millones de usuarios durante los últimos dos años.

El porqué de la brecha de seguridad

La brecha de seguridad, detectada por un grupo perteneciente a Anonymous llamado LaNueve, hacía que la web fuera vulnerable a inyecciones SQL, permitiendo a los ciberdelincuentes introducirse en el servidor web y obtener datos almacenados en él. Un ciberataque tan común que la mayoría de empresas ya tienen debidamente protegidos sus sistemas informáticos desde hace años.

La web tampoco disponía de WAF (Firewall para Aplicaciones Web), que es una capa adicional que se encarga de proteger la web frente a tráfico malicioso. Además, el histórico de ventas se almacenaba en los mismos servidores donde se almacenaba todo el contenido.

Por razones de seguridad, las transacciones suelen trasladarse a otros servidores aislados pasadas unas horas, para evitar que los ciberdelincuentes se lleven los datos si logran entrar en el sistema.

La página web utilizaba un sistema integral de venta y reserva de entradas llamado IACPOS, utilizado en el museo del Prado o el Thyssen, pero en el caso de la Alhambra, estaba desactualizado cosa que hacía aún más vulnerable la página web. Visto en conjunto, el ataque ha respondido principalmente a un mantenimiento inadecuado. Lo decimos una y otra vez: con el mantenimiento técnico de tu proyecto, no te la juegues.

Consecuencias de la brecha de seguridad

Entre los datos expuestos, se encuentran: números de teléfono, números de tarjetas de crédito o correos electrónicos, tanto de particulares como de las agencias de viajes que vendían tickets a través de la página oficial.

Todos estos datos podrían haber sido utilizados por cualquiera que hubiera encontrado el fallo en la web, aunque por el momento no hay indicios de que nadie los haya utilizado. Estos datos podrían ser utilizados por cibercriminales para elaborar sencillos ataques de phishing, como contamos en nuestro post Mi primera Sextorsión.

La empresa encargada de gestionar el sistema de ventas de la Alhambra ha indicado que el problema ya está resuelto y que han actualizado todo el sistema para evitar posibles ataques en el futuro.

Recuerda, si aún no tienes protegida la seguridad de tu empresa y quieres evitar una brecha de seguridad como la de la Alhambra, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. También puedes contactar con nuestros especialistas en ciberseguridad, cuando lo necesites.

Ransomware Calavera Hacker Hacking
Consecuencias de una mala planificación IT ante un ciberataque.
1024 693 Prestigia

Uno de los negocios más lucrativos para los delincuentes es la Ciberdelincuencia. Se considera que ya suponen un valor de alrededor de un 0,8% del PIB Mundial (entre 445.000 y 600.000 millones de dólares). Y esto es debido al anonimato y protección de internet, y a la par, a la facilidad para hacerlos. Además, los ciberdelincuentes se aprovechan de los errores humanos en la mayoría de casos para que sus ataques sean efectivos. Los últimos estudios indican que el 95% de los casos de ciberataques necesitan de un fallo humano (o más) para ser efectivos.

Uno de los ataques más efectivos (y lucrativos) son los ataques Ransomware (o también conocidos como Cryptolockers). Estos ataques aprovechan un descuido de un usuario o una mala implementación de seguridad de un entorno empresarial para poder ejecutar un programa (conocidos como Ransomware) que encriptará la información de la empresa.

Como muestra, os explicamos uno de los últimos casos que hemos conocido. En este caso fallaron muchas cosas, y los atacantes pudieron hacer uno de los ataques más efectivos que hemos visto.

Vamos a exponer desde el punto de vista técnico un ejemplo en el que la afectación ha sido importante y en que unas medidas de seguridad insuficientes y ciertos errores en la planificación IT propiciaron unos importantes quebraderos de cabeza a la empresa.

La empresa empieza a detectar ficheros encriptados, con afectación a un número importante de servidores, lo que le impide trabajar con normalidad hasta el punto de dejar la empresa totalmente inoperativa ya que dejan de estar operativos los sistemas IT. Cuando se intenta recurrir a las copias de seguridad estas también están afectadas ya que el ataque se propaga también a través del sistema de copias de seguridad que no esta correctamente aislado y además uno de los equipos de backup esta averiado.

Se identifica que el ataque se ha propagado y generado distintos códigos desde varios servidores, lo que dificulta la recuperación de los datos. Se analiza el ataque en busca de soluciones para su recuperación pero no hay ningún sistema conocido que permita esta gestión, con lo que a la empresa solo le queda la opción de contactar con el atacante y pagar el rescate, la peor de las opciones y que genera muchas dudas sobre la efectividad, a parte del alto riesgo que conlleva.

Esta gestión finalmente les permite una recuperación parcial de los datos, al ser diferentes servidores el ataque genera diferentes códigos y incluso pagando el rescate resulta complicado recuperar los datos. Con la ayuda de los especialistas técnicos en ciberseguridad se consigue agilizar la localización de las fuentes del ataque y agilizar el proceso de recuperación, así como lo mas importante de cara al futuro, que es evitar que vuelva a ocurrir este grave suceso.

Todo ello lleva a esta empresa a estar con graves afectaciones durante mas de dos semanas, y afectaciones menores que se prolongan durante meses hasta volver a la normalidad. Analizando el ataque y con una posterior auditoria podemos resumir qué ha fallado y los principales errores cometidos que han permitido esta grave afectación:

  1. Errores en la planificación de la infraestructura IT: gran cantidad de usuarios (incluso externos) con permisos de administrador que permiten al atacante llegar hasta todos los recursos y datos de la red. Insuficiente seguridad en el acceso a los datos críticos de la empresa. Configuración DNS errónea que impide identificar correctamente el origen del ataque detectado por la herramienta de seguridad perimetral y endpoint.
  2. Copias de seguridad incorrectamente configuradas: sin copia o réplica aislada y encriptada en la nube u offline en soporte externo.
  3. Ausencia de elementos adecuados de protección a nivel perimetral y endpoint. Las soluciones avanzadas permiten detectar ataques desconocidos de este tipo mediante nuevos sistemas de análisis: deep inspection, escaneo en la nube via sandboxing, análisis de comportamiento y machine learning, entre otros.
  4. Comunicaciones inseguras: accesos desde fuera de la empresa no suficientemente controlados, aun disponiendo de conexiones VPN. Wifi insegura con acceso a los datos de la empresa. Redes incorrectamente segmentadas.
  5. Carencia de formación y phishing experiment a los usuarios: es necesario que los usuarios dispongan de una formación adecuada en el uso de la tecnología y la prevención de ataques, focalizado principalmente a la detección precoz de phishing, spear phishing y spoofing. Se recomienda también testear mediante herramientas de phishing experiment y similares la efectividad de la formación realizada a los usuarios.
  6. Ausencia de plan de contingencia. El hecho de no disponer de un plan de contingencia ante este tipo de situaciones provoca una crisis importante, disponer de este plan ayudará a volver cuanto antes a la normalidad y operativa diaria en un breve plazo de tiempo.

Todos estos puntos nos permiten llegar a conclusiones sobre las acciones a realizar para minimizar las probabilidades de recibir este tipo de ataques y evitar que nos puedan afectar gravemente, ya que a día de hoy nos es posible evitarlos al 100%. El paso previo para la mayoría de empresas es realizar una auditoria de seguridad, para luego implantar las soluciones recomendadas en las conclusiones.

Hoy en día la inversión en tecnologías y concienciación en ciberseguridad es una prioridad para proteger debidamente la empresa ante afectaciones directas a tesorería, reputación y productividad y así deben valorarlo los consejos de administración y dirección de las empresas.

*Post invitado, por Jordi Bartes, IT Consultant en Infoself Grouppartner de Prestigia Seguridad

Qué son y qué hacer ante las Brechas de Seguridad
1024 576 Prestigia

Hace poco más de un año nos hacíamos eco en este blog de que la ciberseguridad era, para el Foro de Davos, un desafío global. La seguridad en Internet, decíamos, es un riesgo que tiene un coste global anual de 500.000 millones de dólares. Ahí es nada.

La inmensa mayoría de los ataques los sufren empresas corrientes, pymes como la nuestra. Así, según el INCIBE, el 70% de los ataques informáticos son dirigidos a PYMES. Con todo, también las grandes marcas se ven afectadas y nos recuerdan que ninguno estamos a salvo. En lo que llevamos de año, tenemos constancia de que han sufrido ataques Facebook, Xiaomi, Toyota, Nokia y Twitter, entre otras. Muchas de estas empresas trabajan y se nutren de nuestros datos.

Desde Prestigia Seguridad queremos recordaros cuáles son las principales medidas que hay que tomar cuando tus datos personales se ven comprometidos por una brecha de seguridad.

¿Qué es una brecha de seguridad?

Las brechas de seguridad son fallos o violaciones de seguridad en las empresas que almacenan datos personales y que conllevan la pérdida o robo de estos. Cualquier empresa es susceptible de sufrir una brecha de seguridad, siendo el factor humano la causa principal.

Los cibercriminales pueden utilizar una brecha de seguridad para conseguir datos como contraseñas, números de tarjetas de crédito, archivos personales, etc.

Hace unos días, por ejemplo, Microsoft anunciaba que unos ciberdelincuentes tuvieron acceso a cuentas personales de correo electrónico de sus usuarios a causa de una brecha de seguridad. Los hackers lo lograron gracias a la contraseña de un trabajador de la empresa. Incluso en un gigante tecnológico como Microsoft, la formación de sus empleados se ha demostrado insuficiente.

Otro ejemplo muy comentado este 2019, ha sido la brecha de seguridad que sufrió el popular videojuego multiplataforma Fortnite, donde quedaron expuestos datos personales de las cuentas de los jugadores, incluyendo los números de las tarjetas de crédito. Los atacantes pudieron hacer compras dentro del juego aprovechando los datos bancarios que obtuvieron.

La aerolínea British Airways, sufrió una brecha de seguridad entre los días 21 de agosto y 5 de septiembre del 2018, donde le robaron 300 mil números de tarjetas de crédito, de usuarios que realizaron reservas a través de la página web de la compañía y de la aplicación móvil.

Facebook, la red social con más usuarios del mundo, ha sufrido varios ciberataques desde su aparición en 2004. En septiembre de 2018 la compañía escribió una publicación en su blog, dando a conocer un fallo de seguridad que afectó a 50 millones de cuentas que los cibercriminales aprovecharon para acceder a las cuentas afectadas.

Qué hacer como usuario ante una brecha de seguridad

Lo primero que podemos hacer nosotros como usuarios es prevenir.

Como os explicamos en nuestro post sobre la sextorsión, un hacker puede aprovechar una brecha de seguridad en una web, plataforma o aplicación donde estés registrado, y con ello, conseguir tu información personal, mandarte un email utilizando alguna de tus contraseñas como gancho y pedirte dinero a cambio de no compartir tus datos personales. Así son las extorsiones modernas.

Puede que tus datos se hayan visto comprometidos y te enteres por alguna noticia aparecida en los medios, por aviso de la propia empresa afectada o por contrastarlo tú mismo usando alguna herramienta pública como ésta: https://haveibeenpwned.com

Desde Prestigia recomendamos:

Mantener la calma: cuando recibes algún chantaje o extorsión, ignora al remitente. En general, negociar con un cibercriminal que hace del engaño y el robo su medio de vida no acostumbra a ser una buena idea. Denúncialo a la Policía.

Cambia tus contraseñas en todas tus redes y dispositivos: esta es la primera medida de choque cuando tus datos se han visto comprometidos. Tus nuevas contraseñas deben ser distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas, de forma que puedas incluir mayúsculas, minúsculas, letras, números y símbolos (mínimo 8 caracteres).

¿Hemos dicho contraseñas distintas? Sí, así es. Si utilizas la misma contraseña en todas las plataformas, con solo conseguir la contraseña en un sitio, los cibercriminales pueden entrar en todos los demás donde estés registrado. De forma que deberías usar una contraseña por sitio web o aplicación. Y tener todas las contraseñas custodiadas a buen recaudo, hay distintas aplicaciones para hacerlo, pero esto daría para otro post.

Configura la verificación en dos pasos: La mayoría de grandes empresas como Google, Android, Epic Games o las bancas digitales, nos ofrecen la llamada verificación en dos pasos, es decir, nos ofrecen la posibilidad de activar una confirmación de inicio de sesión vía sms a nuestro móvil personal.

Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

Evita que te graben y te vigilen con una cubierta para tu webcam. Deshabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

Y tú, ¿has sido víctima de alguna brecha de seguridad?. ¿Cómo te has dado cuenta?. ¿Te ha notificado alguna empresa la pérdida o robo de tus datos personales?

Si aún no tienes protegida la seguridad de tu empresa, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. Puedes contactar con nuestros especialistas en ciberseguridad.

Prevencion Ciberseguridad
Prevención y reacción frente a los ciberataques
1024 692 Prestigia

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras y estar más protegidas frentes a los ciberincidentes

Según los últimos datos publicados por el Ministerio del Interior, las denuncias por incidentes en el ámbito digital han pasado de casi 50.000 denuncias en 2014 a más de 81.000 en 2017. Además, de estas últimas, solamente el 27,2 % se han esclarecido, lo cual pone de relieve las dificultades que existen para perseguir este tipo de delitos.

A medida que una organización crece en Internet, aumentan las posibilidades de sufrir un ataque, aumenta su grado de vulnerabilidad y resulta, por tanto, más necesario reforzar los mecanismos de prevención y de reacción, algunos de los cuales ya están previstos por el propio legislador.

El nuevo Reglamento General de Protección de Datos (RGPD), que consagra los principios de responsabilidad proactiva y de privacy by design en el sentido de exigir más responsabilidad a las organizaciones en el cumplimiento de la normativa, prevé una serie de herramientas que ayudan a las empresas a ser más cuidadosas con el tratamiento de los datos personales y a ser más robustas en el ámbito de la seguridad.

Las empresas deberían ver el cumplimiento de la normativa como una oportunidad para ser más seguras. Clic para tuitear

Así, actualmente, y según el RGPD, las empresas deben realizar –con carácter obligatorio– una evaluación de seguridad, que determine las medidas técnicas de seguridad más adecuadas a implantar en función de los riesgos detectados.

Además, cuando las actividades empresariales consistan en tratamientos masivos de datos sensibles o los departamentos de marketing realicen un volumen elevado de evaluaciones de perfiles (profiling), las empresas deberán someterse a un tipo de auditoría denominada “Evaluación de Impacto” que deberá determinar cómo tiene que realizarse dicho tratamiento para alinearse con los nuevos requisitos y principios de la normativa, y a designar una persona –el Delegado de Protección de Datos– que les guíe, acompañe y asista en dicho cumplimiento.

A nivel reactivo, conviene tener en cuenta que, cuando una entidad sufra un incidente o brecha de seguridad que afecte a datos personales deberá notificarlo a la Autoridad de Protección de Datos, a poder ser, en un plazo de 72 horas, siendo necesario informar previamente/sobre el asunto a los afectados, si se ha puesto en grave riesgo su intimidad.

Por otro lado, de acuerdo con el Real Decreto 12/2018, desde el pasado mes de septiembre las empresas que vendan o presten servicios en línea, de motores de búsqueda o de servicios cloud, que no sean microempresas o empresas pequeñas (esto es, que tengan más de 50 trabajadores o tengan un volumen de negocio superior a los 10 millones de euros) deberán realizar una evaluación de riesgos en materia de seguridad (distinta a la prevista por la normativa de protección de datos) que dé cobertura, como mínimo, a aspectos como la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

También deberán  notificar a las autoridades competentes (equipos de respuesta) los incidentes de seguridad que tengan efectos relevantes en la prestación de sus servicios digitales y resolver los mencionados incidentes, solicitando, en su caso, ayuda especializada, adoptar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes y comunicar su actividad a la Secretaría de Avance Digital del Ministerio de Economía.

A pesar de que ambas regulaciones prevén sanciones administrativas muy elevadas (de hasta de 20 millones o el 4% del volumen de negocio del ejercicio fiscal anterior, en el ámbito de los datos y de hasta 10 millones de euros, en el ámbito de la ciberseguridad) las empresas deben ver el cumplimiento de dichas obligaciones no únicamente como una vía para evitarlas, sino como una oportunidad para ser más seguras y estar más protegidas frente a los ciberincidentes.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.