martes, 25 de julio de 2017

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

A un año de No More Ransom: La concientización sigue siendo una medida fundamental

  

No More Ransom celebra su primer año, con más de 28.000 dispositivos descifrados y más de 100 Partners alrededor del mundo

Hace un año, el 25 de julio de 2016, la iniciativa No More Ransom fue lanzada por la Policía Nacional Holandesa, Europol, McAfee y Kaspersky Lab. Al día de hoy, ya son más de 100 los Partners que se han unido a ella, mientras los principales ataques de ransomware continúan dominando las noticias y golpeando a empresas, gobiernos e individuos de todo el mundo.


La amenaza del ransomware está aumentando

El Ransomware se ha disparado desde 2012, con los criminales atraídos por la promesa de beneficios económicos y facilidad de implementación. La amenaza continúa evolucionando, volviéndose más furtiva y más destructiva, y está dirigiéndose cada vez más a las empresas por sobre las personas particulares, porque los retornos potenciales son mucho más altos.

El ataque indiscriminado de WannaCry a mediados de mayo causó más de 300.000 víctimas comerciales en 150 países en sus primeros días, paralizando infraestructuras críticas y negocios. Algunas organizaciones todavía están luchando para recuperarse de los ataques de ExPetya del 27 de junio.

El número total de usuarios que se enfrentaron a un Ransomware entre abril de 2016 y marzo de 2017 aumentó un 11,4% en comparación con los 12 meses anteriores, de 2.315.931 a 2.581.026 usuarios de todo el mundo. Las estadísticas indican que estamos en presencia de la epidemia mundial de Ransomware.


El primer año de No More Ransom en números

El sitio cuenta actualmente con 54 herramientas de descifrado, proporcionadas por 9 Partners, que cubren 104 tipos (familias) de Ransomware. Hasta el momento, estas herramientas han conseguido descifrar más de 28.000 dispositivos, privando a los cibercriminales de unos 8 millones de euros en rescates.

El portal ha contado con más de 1,3 millones de visitantes únicos. El 14 de mayo, durante la crisis de WannaCry, 150.000 personas visitaron el sitio web.

La plataforma No More Ransom ya está disponible en 26 idiomas, con las adiciones más recientes: búlgaro, chino, checo, griego, húngaro, indonesio, malayo, noruego, rumano, sueco, tamil y tailandés.


Más de 100 Partners: Sin fronteras entre privados, públicos o competidores

No More Ransom cuenta ahora con 109 Partners. Las últimas incorporaciones incluyen, desde el sector privado: Abelssoft, Ascora GmbH, Barclays, Bitsight, Universidad de Bournemouth, CERT.BE, Claranet, CERT PSE, Agencia de Seguridad Cibernética de Singapur (CSA), ESTSecurity, Fortinet, Global Forum (GFCE), InterWorks, IPA (Agencia de Promoción de la Tecnología de la Información, Japón), KISA (Korea Internet & Security Agency), Munich RE, TWCERT / CC, LLC, Universidad de Porto y vpnMentor.

Se han unido también cuatro agencias policiales, provenientes de República Checa, Grecia, Hong Kong e Irán.

El éxito de la iniciativa No More Ransom es un éxito compartido, que no puede lograrse solo por las agencias policiales ni por la industria privada. Al unir fuerzas, mejoramos nuestra capacidad para enfrentar a los criminales y poder detenerlos en su intento de dañar a personas, negocios e infraestructura crítica, de una vez por todas.


No hay mejor cura que la prevención

A pesar de todo esto, no hay mejor cura que la prevención. Los usuarios de Internet deben evitar ser víctimas, y para eso deben conocer qué es el Ransomware y ser conscientes de las consecuencias que puede tener una infección de este tipo tanto para la organización en la cual trabajan como en sus propios hogares.

Además, deben conocer las vías comunes de infección del Ransomware, y lo más importante de todo, desarrollar hábitos y conductas seguras que sirvan como barrera para evitar este tipo de infecciones. Esto es así ya que los delincuentes suelen apuntar a las personas a la hora de buscar un factor a vulnerar con el objetivo de instalar un Ransomware. La mejor forma de alcanzar todo este conocimiento y hábitos seguros para los usuarios dentro de una organización es mediante un plan de Concientización o Awareness.

Nuestro compromiso continúa

Desde SMARTFENSE continuamos profundamente comprometidos en la lucha contra el Ransomware y seguiremos, junto con todos nuestros aliados en No More Ransom, dando pelea día a día contra esta gran amenaza.
Leer Más

viernes, 21 de julio de 2017

El cambio de comportamiento y una (de muchas) técnica para lograrlo

El cambio de comportamiento y una (de muchas) técnica para lograrlo


Sobre el cambio de comportamiento

Muchas veces escuchamos hablar sobre “Concientizar a los usuarios”, pero, ¿Qué es realmente?

Mucho se ha hablado ya acerca de que los usuarios son el eslabón más débil de una organización. Esto es así cuando dichos usuarios no han pasado por un correcto proceso de concientización. Concientizar significa incluir a los usuarios de una organización en la estrategia de seguridad de la misma, y lograr un cambio de comportamiento en ellos, mediante el desarrollo de hábitos seguros. De esta manera, se logra convertir al usuario en un aliado para la Seguridad de la Información de la organización y se alcanza el desarrollo de una nueva y muy importante capa de seguridad para ella.

De todas formas, muchas veces se emprende un plan de Concientización sólo para dar cumplimiento a una norma o política interna de la organización. De esta manera, los planes (y la inversión para llevarlos adelante) se convierten en un tilde en el checklist de un auditor y una falsa apariencia de seguridad.

Este enfoque de concientizar sólo para cumplir, viene dado porque las técnicas y herramientas utilizadas para llevar adelante planes de Awareness no suelen ser las apropiadas. Esto genera un prejuicio alrededor del cambio de hábitos en los usuarios finales, donde se cree que es, o bien muy difícil de lograr, o hasta imposible. Entonces, “lo mejor” pasa a ser educar para cumplir, e intentar parchear el gran agujero de seguridad que queda con controles tecnológicos que, si bien hacen su mejor esfuerzo, no logran detener todos los ataques dirigidos a los usuarios.

Resumiendo: Concientizar es importante, ya que el usuario está continuamente en la mira de los ciberdelincuentes, y las soluciones tecnológicas por sí solas no son suficientes para detenerlos. Y muy importante: Concientizar es posible.

Dicho esto, vamos a ver una de las técnicas (de muchas) que debemos tener en nuestro portafolio a la hora de llevar adelante un cambio de comportamiento exitoso en los usuarios de nuestra organización: El Refuerzo Positivo.

nota: si estás pensando que concientizar (de verdad, no sólo para cumplir) es un proceso en el que hay que tener en cuenta muchas técnicas, herramientas y metodologías, estás en lo cierto. Pero para tu suerte, existen plataformas que integran las mejores prácticas para que hacerlo se convierta en una tarea simple y efectiva.

Corregir con lapicera verde

El Refuerzo Positivo es una forma diferente de encarar un proceso de cambio de hábitos. La mayoría de las veces, durante la enseñanza, la persona a cargo de la misma se enfoca en destacar errores, con el objetivo de que éstos se reconozcan y se eviten. Esto sucede también en la mayoría de los entrenamientos asistidos por computadora.

Si nos ponemos en el lugar de una persona cualquiera dentro de nuestra organización, con todas sus tareas, obligaciones y estrés del día, lo que menos querrá es que remarquen, continuamente, cada cosa que hace mal. Menos, tendrá interés de rehacer una capacitación en la que no logró determinada nota, o quedar "trabada" por no encontrar una solución correcta.
Aquí entra en juego el Refuerzo Positivo. Esta técnica consiste en centrar la atención en lo positivo y no limitarse sólo a destacar los errores. Tiene su origen en la Psicología, como no podía ser de otra manera, puntualmente en el "Reforzamiento".

Reforzamiento: procedimiento mediante el cual la aplicación de un estímulo (llamado reforzador) hace que aumente la probabilidad de que una conducta se repita en el futuro.
El Refuerzo Positivo entonces tiene lugar cuando una respuesta va seguida de una recompensa o cualquier otro evento positivo, y aumenta la probabilidad de que ésta vuelva a ocurrir.

Este cambio de enfoque, trae consigo una multitud de ventajas:

Afianza los conocimientos

Contribuye a afianzar lo bueno o correcto y a desechar lo negativo o incorrecto.

Estimula el esfuerzo

Al sentir que se reconoce algo que ha hecho correctamente, la persona va a valorarlo y se sentirá más predispuesta a continuar con su capacitación.

Fomenta la receptividad

Si nos limitamos a criticar y destacar los fallos, la persona acabará perdiendo el interés y abandonará su capacitación. Si la misma es obligatoria, la hará a la fuerza, pero sin asimilar ninguna enseñanza. En cambio, al incluir comentarios positivos y señalar lo que hace bien contribuiremos a que la persona esté más receptiva y asimile mucho mejor cuál es el camino correcto.

Motiva y crea conductas

A través del reconocimiento de sus aciertos ofrecemos a la persona un estímulo, despertamos sus ganas de actuar correctamente y hacer bien las cosas.

El método del refuerzo positivo contribuirá a motivar a la persona en busca del premio o aprobación por sus aciertos, pero creará también una conducta, un hábito que formará parte de su personalidad.

Cuando una persona está ya bajo el control del reforzamiento positivo, tiende a actuar sin que haya un motivo o causa antecedente o previa. De esta forma, llevará a cabo los comportamientos inducidos con "libertad". Y cuando hay sensación de libertad, no hay control aparente, lo cual es positivo ya que cuando hay control la gente se molesta, trata de huir, reclama, se queja, y ejerce la rebeldía.

Mejora la autoestima

Ayudamos a la persona a detectar sus fortalezas y mejorar su autoestima, evitamos el desánimo y la frustración y contribuimos a que construya una imagen de sí misma real y positiva. Además, logramos que la persona pase un buen momento dentro de la capacitación y su predisposición a este tipo de campañas de concientización sea positiva.

Conclusión

A la hora de elaborar una metodología para llevar adelante un Plan de Concientización tengamos en cuenta el concepto del Refuerzo Positivo. Si vamos a utilizar una herramienta para llevarlo a cabo, entonces seleccionemos una que tenga en cuenta este concepto.
Éste, será uno de varios elementos que nos ayudarán a crear un cambio de comportamiento real en los usuarios de nuestra organización y en consecuencia una capa de seguridad muy importante para ella. Y, no menos importante, hará que el área de seguridad sea vista con ojos amigables, como un aliado dispuesto a ayudar a los usuarios y reconocer de buena manera sus aciertos.

Fuentes

Leer Más

viernes, 7 de julio de 2017

El Arte de Engañar al Usuario - Parte 4: Ataques remotos

El Arte de Engañar al Usuario - Parte 4: Ataques remotos


EN ESTA CUARTA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA REMOTA, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA LOCAL, YA VISTOS EN LA PARTE 3.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma remota.

Phishing

Tal como su nombre lo indica esta técnica busca “pescar” víctimas. Generalmente se utiliza para ello el envío de correos electrónicos conteniendo adjuntos con malware, links a páginas falsas, o simples solicitudes de información, con el objetivo de tomar control del equipo de la víctima o buscando establecer una relación con la mismas (jugando con sus sentimientos).

Un ejemplo muy usado es cuando el atacante se presenta como una anciana que posee una enfermedad mortal y la misma tiene dinero (generalmente son sumas millonarias) que quiere donar para beneficencia. Al estar sola y no tener familiares, eligió a la víctima por su “buen perfil” en Internet, proponiéndole transferir el dinero a su cuenta dejándole un porcentaje siempre y cuando se cumpla la condición de que el resto del dinero sea donado con fines solidarios.

El objetivo final de este tipo de Phishing generalmente es hacerse de documentos o pasaportes válidos para seguir cometiendo fraudes con los mismos (piden a la víctima que le envíe distintos datos personales como así también fotocopia de documento para “verificar” su identidad) y además una suma pequeña de dinero (para no levantar sospechas) que la víctima tendrá que transferir al atacante en concepto de gastos de escribano, sellados, etc.

Esta técnica se vuelve aún más peligrosa y efectiva cuando es apuntada a un objetivo específico como por ejemplo un empleado que tiene acceso a diferentes sistemas dentro de su empresa. En este caso se la conoce como Spear Phishing ya que más que pescar sería cazar con un arpón.

Redes Sociales

Esta técnica tiene dos grandes objetivos, obtener información de la víctima por un lado y generar una relación con la misma por otro.

Existen muchas personas “fanáticas” de las redes sociales, las cuales dan a conocer su vida minuto a minuto, en este caso este tipo de persona es “Oro en Polvo” para los atacantes ya que si la misma es el objetivo se podrá obtener muchísima información que será de gran utilidad.

Muchas veces se piensa que esto es solo a nivel personal y no está relacionado con el trabajo pero muy lejos de la realidad está ese pensamiento ya que quizás esta misma persona (víctima) cumple al pie de la letra las políticas de seguridad de su empresa, pero a nivel personal usa las redes sociales sin concientizarse de la brecha de seguridad que está generando si un atacante lo elige como objetivo.

Telefónicos

Kevin Mitnick fue un famoso Phreaker (Hacker Telefónico), que con el sólo uso de un teléfono logró hacer cosas increíbles.

Este tipo de ataque es muy efectivo y utilizado en conjunto con las técnicas de “Pretexting” e “Impersonate” vistas en el post anterior, siendo mucho más cómodo y seguro para el Ingeniero Social usar un teléfono a contraparte de estar en forma presencial delante de su víctima.

Sobre esta serie

Este es el cuarto de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

martes, 27 de junio de 2017

Seguridad, Confianza y Garantía en la Nube [Actualizado]

Seguridad, Confianza y Garantía en la Nube [Actualizado]


Recientemente, en SMARTFENSE, hemos dado un gran paso en el compromiso con la Seguridad de la Información de nuestra plataforma, dándonos de alta en el programa CSA STAR (CSA Security, Trust & Assurance Registry).

Dicho programa, es el programa más potente de la industria para garantizar la seguridad en la nube, y abarca los principios clave de transparencia, auditoría y armonización de normas.

STAR consta de tres niveles de aseguramiento, y se basa en una lista completa de objetivos de control centrados en la nube, que recibe el nombre de Cloud Controls Matrix (CCM). CCM es el único meta-marco de controles de seguridad específicos de la nube, y está mapeado a los principales estándares, las mejores prácticas y regulaciones. Esto lo convierte en la herramienta por excelencia para las organizaciones que buscan obtener la estructura, detalle y claridad necesarios en relación con la Seguridad de la Información en la nube.

Beneficios para los usuarios de servicios en la nube

Este programa, accesible al público, está diseñado para que los usuarios de servicios en la nube evalúen a sus proveedores de nube, proveedores de seguridad y empresas de servicios de asesoría y evaluación para tomar las mejores decisiones de adquisición.

De esta manera, todas las personas interesadas en la plataforma SMARTFENSE, tendrán una fuente confiable y objetiva de información para poner sobre la balanza a la hora de evaluar la adopción de la plataforma.

Acerca de la CSA

La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones.

Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria.

SMARTFENSE Sponsor de la CSA SUMMIT 2017

De la misma manera que el pasado año, el capítulo de Argentina de la CSA vuelve a organizar una conferencia de alto nivel para aprender sobre el progreso de las empresas en el cambio de la Computación en la Nube y las nuevas tendencias clave en Seguridad de la Información.

Como no podía ser de otra manera, para remarcar nuestro compromiso con la seguridad en la nube, hemos decidido ser sponsors de este gran evento, que se llevó a cabo en la ciudad de Buenos Aires el 29 de Junio del corriente año.

Algunas fotos del evento

 

 
 
 

Leer Más

miércoles, 21 de junio de 2017

Adjuntos de emails con extensiones peligrosas: protección en capas

Adjuntos de emails con extensiones peligrosas: protección en capas



Tal como se comentó en el post Phishing y Ransomware últimas tendencias de protección (Recursos), acerca del bloqueo de archivos adjuntos a correos electrónicos con extensiones potencialmente peligrosas, en el presente post se expondrán distintas barreras de seguridad para realizar dicho bloqueo en un entorno Microsoft, con Exchange como servidor y Outlook como cliente de correo.

Cuando hablamos de extensiones peligrosas, hacemos referencia a archivos ejecutables o scripts, como ser: .exe, .bat, .vbs, .cab, .scr, .ps1, .js, entre otras.

La importancia de la seguridad en capas

La importancia de aplicar controles en diferentes puntos de la organización radica en la disminución del riesgo de ser víctima de un ataque, en este caso, a través de archivos maliciosos adjuntos en correos electrónicos. Por lo tanto, si el atacante evade algún control, habrá otros detrás que le complicarán el cumplimiento de su objetivo.

Aplicando la defensa en profundidad

La defensa en profundidad es uno de los principios de Seguridad de la Información y para este caso particular, se aplica de la siguiente manera:

Bloqueo a nivel de servidor de correo

Todos los servidores de correos actuales tienen la posibilidad de realizar el bloqueo de archivos adjuntos con extensiones peligrosas para evitar que llegue a la bandeja de entrada de los usuarios.

En el artículo para Microsoft Exchange 2016 (y anteriores) se explica cómo hacer dichos bloqueos.

Bloqueo a nivel de sistema operativo

La protección a este nivel es importante dado que, dependiendo de los permisos que tenga el usuario para descargar archivos de Internet, es posible que descargue malware, independiente a la posibilidad que le llegue un correo malicioso a la bandeja de entrada.

Para el caso de sistemas Windows, es posible realizar un bloqueo de extensiones desactivando la aplicación Windows Script Host a través del registro o creando una GPO. En este artículo se explica cómo hacerlo.

Bloqueo a nivel de cliente de correo

Otro punto importante para evitar que un correo electrónico con un adjunto malicioso llegue al buzón del usuario es realizar el filtrado en el mismo cliente de correo, en este caso, Microsoft Outlook. Este enlace proporciona información para un entorno donde no se utilice Exchange y tenga instalado Outlook Security Administrator Package.

Como información adicional, en la sección Comportamiento de datos adjuntos de este artículo, se explica cómo funciona el cliente de Microsoft Outlook 2007, 2003, 2002 y 2000, y aquí aparece un listado de las extensiones que bloquea Microsoft Outlook por defecto.

En el caso que utilice Windows Live Mail, es conveniente revisar si está activada la opción de bloqueo de archivos adjuntos potencialmente peligrosos. Para ello siga las siguientes instrucciones:

Seleccione el menú del extremo superior izquierdo -> Opciones -> Opciones de seguridad…


Diríjase a la solapa Seguridad -> Tilde la opción No permitir que se guarden ni abran datos adjuntos que puedan contener virus.

win-mail-config2.png


Políticas de Windows

En caso de administrar un entorno Windows, es posible crear un objeto de directiva de grupo (GPO) para implementar controles de forma masiva. Algunos de ellos son:

Restricción de la ejecución de archivos desde las carpetas que utilizan los clientes de correo

En varios casos se guardan en la carpeta TEMP. https://msdn.microsoft.com/es-es/library/hh994580(v=ws.11).aspx

Mostrar extensiones de archivos

Es importante conocer qué tipo de archivo estamos por abrir, ya que en caso de recibir un correo cuyo adjunto sea .pdf.exe, .doc.exe, .xls.js, etc., si no se tiene configurada esta opción, el receptor podrá visualizar que el documento es .pdf,.doc,.xls, etc. Para ello es posible configurarlo:

- Localmente en una estación de trabajo

https://support.microsoft.com/es-ar/help/865219/how-to-show-or-hide-file-name-extensions-in-windows-explorer

- Por GPO (si tiene un servidor con Active Directory)


Dirijase a Configuración de usuario -> Preferencias -> Configuración del Panel de control -> Opciones de carpeta -> Nuevo -> Opciones de carpeta (como mínimo, Windows Vista)


Destilde la opción Ocultar las extensiones para tipos de archivos conocidos


Concientización

Como venimos mencionando en otros posts de nuestro blog, es fundamental informar y educar a los usuarios, entre otros temas, respecto a la forma en que los ciberdelincuentes los pueden engañar o persuadir para que abran un archivo adjunto a un email, de manera que sepan cómo actuar en caso que los ataquen.

Conclusión

Podemos concluir que una sola medida de seguridad es insuficiente. Si queremos minimizar los riesgos de ser víctima de este tipo de ciberataques, es necesario implementar controles en diferentes capas de la infraestructura, incluidas las personas.

De esta manera, lograremos contener los intentos de infección a través de archivos adjuntos maliciosos enviados a través de correos electrónicos… ¡Manos a la obra!
Leer Más

jueves, 15 de junio de 2017

La nube y el control de accesos

La nube y el control de accesos


Este problema ya estaba resuelto...

Históricamente, ha existido el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

En muchas organizaciones, dicho problema se ha afrontado mediante un servicio de directorio, como Active Directory de Microsoft. Mediante este tipo de servicios, se pueden gestionar usuarios, servicios y recursos de una red, y controlar así en forma centralizada quién tiene acceso a qué.

...Hasta que llegó el SaaS

En la actualidad, esta solución está comenzando a quedar incompleta, debido a la llegada de las aplicaciones en la nube consumidas desde nuestras organizaciones. Con este nuevo paradigma, todo nuestro control interno logrado con la ardua implementación de un servicio de directorio, se pierde.

Al adoptar un nuevo servicio en la nube, es necesario dar de alta nuestros usuarios en dicho servicio. Esto significa que ellos manejarán nuevas credenciales y nosotros tendremos que administrar estos nuevos usuarios en forma paralela a nuestro servicio de directorio. 
Pensemos qué pasaría si la cantidad de servicios en la nube que adoptamos crece. Teniendo en cuenta la tendencia del mercado, esto va a suceder. Pensemos también qué pasaría si algún día nuestra organización contrata a un nuevo empleado y debemos darlo de alta en todos los servicios, o si algún día uno abandona la misma, y debemos darlo de baja en todos ellos.

¡Necesitamos volver a solucionarlo!

Una solución elegante, sería poder utilizar nuestro servicio de directorio ya consolidado para poder controlar en forma centralizada el acceso a todas las aplicaciones que utilicemos en la nube.

Esto, es lo que propone Microsoft por ejemplo, con Microsoft Azure AD. Si bien no es posible utilizar el conocido Active Directory Domain Services on-premise para resolver los problemas mencionados, debido a que fue concebido para otros fines, sí que es posible sincronizarlo con Microsoft Azure AD y tener así una solución de autenticación de usuarios para servicios en la nube 100% fiel a la estructura de nuestro Active Directory.

Incluso, es posible adoptar Microsoft Azure AD sin poseer previamente un Active Directory on-premise.

De esta manera, si una aplicación en la nube soporta Microsoft Azure AD, nosotros, como administradores, sólo deberemos habilitarla para que los usuarios de nuestra organización puedan utilizarla. Simplemente deberán estar logueados con su cuenta de Active Directory para poder acceder a ella.

Así, volvemos a obtener el control centralizado que deseamos, a la vez que nos significa menos esfuerzo adoptar nuevos servicios en la nube y se nos abren las puertas a todas las aplicaciones presentes en el Market de Azure, como Office 365, G-Suite, Dropbox, y miles de aplicaciones más.

En cuanto a nuestros usuarios, les estaremos simplificando el acceso a todos los servicios que decidamos implementar y les ahorraremos la tarea de gestionar múltiples contraseñas.

Cabe aclarar que previo a Microsoft Azure AD, muchos administradores de Active Directory intentaron conseguir esto mediante otros medios, pero no fue posible llegar a soluciones del nivel de Microsoft Azure AD.

Con SMARTFENSE es posible

A partir de la versión 1.4 de reciente liberación, es posible utilizar SMARTFENSE junto con Azure, logrando así todas las ventajas mencionadas en este artículo.
Leer Más

miércoles, 7 de junio de 2017

El Arte de Engañar al Usuario - Parte 3: Ataques locales

El Arte de Engañar al Usuario - Parte 3: Ataques locales


EN ESTA TERCERA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS LOS TIPOS DE ATAQUES UTILIZADOS POR LOS INGENIEROS SOCIALES DE MANERA LOCAL, DIFERENCIÁNDOLOS ASÍ DE LOS ATAQUES REALIZADOS DE MANERA REMOTA, TEMA CORRESPONDIENTE A LA PARTE 4.

Cuándo se utilizan

Tanto durante la fase de “Desarrollo de la relación” como así también la de “Explotación de la relación” el Ingeniero Social puede utilizar diferentes tipos de técnicas y ataques.

Una forma de clasificar los ataques es dividiendo los mismos entre aquellos que se realizan en forma remota, a través de internet, teléfono, u otro medio a distancia, y aquellos que se realizan en forma local.

En este post nos enfocaremos en los ataques realizados por el Ingeniero Social en forma local, es decir, personalmente.

Pretexting / Impersonate

Estas técnicas van de la mano y pueden usarse tanto en los ataques locales como así también en los remotos
Un claro ejemplo puede darse cuando el atacante se hace pasar por un empleado de soporte técnico de la empresa en la cual trabaja la víctima (impersonate), tratando de generar empatía para ganar credibilidad.
Acto seguido presenta algún tipo de excusa o pretexto (pretexting) como por ejemplo alertar a la víctima de un comportamiento inadecuado en su equipo, el cual requiere de su intervención, dando de esta manera instrucciones específicas que terminarán en la instalación de algún tipo de Malware, concretando así su objetivo (tomar el control del equipo, obtener datos sensibles, etc). 

Tailgating

Este tipo de ataque se aprovecha de la solidaridad y la buena voluntad.
Generalmente suele ejecutarse cuando un empleado (la víctima) está ingresando a su empresa, la cual posee algún tipo de restricción en su acceso físico, como por ejemplo: tarjetas RFID, molinetes, etc.
El atacante irá corriendo con una gran “sonrisa” detrás de la víctima (justo antes de que esta termine de ingresar) haciendo un gesto de haber olvidado su tarjeta de acceso o en caso de existir un molinete, ingresará junto con la víctima disculpándose por su “torpeza”. 

Baiting

El Baiting (señuelo) es una técnica muy efectiva. Generalmente se utilizan pendrives con software malicioso los cuales se dejan en el escritorio de la víctima o en el camino que la misma realice (por ejemplo en el estacionamiento, ascensor, etc). 
Para asegurarse del éxito en la explotación se estudia a la víctima previamente detectando así la vulnerabilidad a ser explotada.

Falla en controles físicos de seguridad

Este es quizás unos de los más usados ya que existen muchas empresas con fallas en sus controles físicos. 
Para graficarlo mejor supongamos que en la recepción se encuentra un guardia de seguridad o recepcionista, el/la cual solicita nombre, apellido, número de documento y el área a la cual se quiere dirigir “la visita”, pero este guardia o recepcionista no solicita el documento físico ni tampoco llama al empleado que está siendo “visitado”.
Este tipo de ataque es muy efectivo para realizar Baiting, ya que si el control falla desde el inicio es muy probable que se pueda llegar hasta las oficinas de interés para el atacante. 

Dumpster Diving

Aunque no lo crean una de las técnicas muy utilizadas es revisar la basura, ya que muchas - pero muchas - veces se arrojan papeles con información sensible sin haberlos destruidos previamente (usuarios y contraseñas que fueron anotadas en algún Postit, números de cuentas, emails impresos, etc.)
También se suelen encontrar distintos medios de almacenamiento sin su debida destrucción como pueden ser: CDs, discos rígidos, etc.

Shoulder Surfing

Esta es una técnica muy utilizada por los Ingenieros Sociales (y los curiosos también :) ). No es ni más ni menos que espiar por encima del hombro de las personas, en muchos casos para poder observar qué está tecleando la víctima y así poder dilucidar su password, PIN y patrones de desbloqueos en teléfonos, etc.

Distracción

Conocida también como Misdirection (desorientar) esta técnica es la piedra fundamental de la Magia y el Ilusionismo
Es utilizada para llevar la atención de la víctima a algo irrelevante mientras el atacante puede obtener todo lo contrario (información valiosa), pudiendo por ejemplo: sacar una foto de la pantalla o papeles con datos importantes, robar un Token, Pendrive o algún dispositivo de almacenamiento, etc.

Sobre esta serie

Este es el tercero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.
Leer Más

lunes, 29 de mayo de 2017

¡Los usuarios no tienen sentido común!

¡Los usuarios no tienen sentido común!


El buen sentido es la cosa mejor repartida del mundo, pues cada uno piensa estar tan bien provisto de ella que incluso aquellos que son los más difíciles de contentar en cualquier otra cosa no tienen en esto costumbre de desear más del que tienen.

René Descartes, El Discurso del método [1][2]

En mi día a día me resulta habitual escuchar frases como: “Si caés en trampas de Phishing, es porque no tenés sentido común”, o “Sólo se necesita sentido común para estar seguro en Internet”, y miles de variantes más que tienen como común denominador este ¿grandioso? “Sentido Común”.

Parece que dicho sentido fuese esa solución mágica frente a todo riesgo de la seguridad de la información que tantos intentan (sin éxito, ahora y por siempre) encontrar.

Sin embargo, la experiencia me demuestra que esto no es así, y que parece ser que este sentido común, no es tan común como su nombre lo indica.

Empecemos por el principio, como dicta el sentido común

Luego de leer algunas definiciones sobre el sentido común [3] [4] [5], es inmediato concluir que esto no es un concepto científico, sino filosófico, y hay tantas definiciones como autores hablan del tema.

En general, parece que el sentido común es lo que piensa o sabe la mayoría de las personas acerca de algo, algo así como un “conocimiento común aplicado”. El lector sabrá que si acerca demasiado la mano al fuego, se va a quemar. Eso es parece ser el sentido común.
Ahora bien… ¿Nació usted con sentido común?.

Si en algo coinciden todas las definiciones, es que el sentido común varía entre personas, familias, ciudades y países, y que el mismo se aprende a lo largo de la vida, a través de todo tipo de fuentes, siendo la principal la propia experiencia.

¿Cuándo lo aplicamos?

Cada vez que realizamos un juicio, nuestro sentido común toma parte en nuestra decisión.

Tomando nuestra experiencia y conocimiento general sobre cierta situación, el sentido común saldrá a darnos la respuesta más simple para que podamos tomar la decisión más correcta, simple e inmediata, según él.

Volviendo a la seguridad de la información

Las personas que mencionan que es necesario tener sentido común para proteger la información, puede que tengan razón, hablando desde su propio sentido común, que no es igual al de las otras personas.

Aquellos responsables de seguridad informática que esperan, por ejemplo, que sus usuarios tengan sentido común para no caer en trampas de Phishing, tienen que saber que a sus usuarios el sentido común NO les indica que un archivo adjunto de un correo puede ser peligroso, por mencionar un caso.

De hecho, yo diría que el sentido común, en la mayoría de las sociedades, indica a las personas conductas poco seguras respecto a la protección de la información.

Entonces, ¿el sentido común no sirve en el mundo de la seguridad?

Pienso que está muy buena la idea de lograr que el sentido común nos lleve a tener comportamientos seguros, y que sería un arma poderosa (pero no la única) contra los riesgos de seguridad de la información de la organización.

Pero, por lo ya mencionado, el responsable de seguridad de la organización debe crear este sentido común [6] proveyendo un conocimiento común a sus usuarios.

Y no es tan fácil como poner a una persona frente al fuego y mostrarle que si acerca la mano se va a quemar. Pero, con los medios adecuados, es posible. Es posible enseñar a una persona los riesgos a los cuales se expone, por ejemplo, en Internet. Es posible ponerla a prueba frente a escenarios reales para que vaya formando su propia experiencia en estas situaciones. Es posible que el comportamiento seguro se convierta en un hábito y en el sentido común de cada usuario.

Pero, es necesario dedicar tiempo y utilizar los medios y herramientas correctos para lograrlo, y no esperar que un usuario, por su sentido común, se convierta por sí solo en una capa fuerte de seguridad de la organización.

Fuentes

  1. https://es.wikipedia.org/wiki/Discurso_del_m%C3%A9todo
  2. http://www.librosmaravillosos.com/metodo/parte01.html
  3. https://www.psicoactiva.com/blog/el-sentido-comun-el-menos-comun-de-los-sentidos/
  4. https://www.significados.com/sentido-comun/
  5. http://deconceptos.com/ciencias-sociales/sentido-comun 
  6. http://es.wikihow.com/desarrollar-el-sentido-com%C3%BAn
Leer Más

lunes, 22 de mayo de 2017

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt

CharruaCon: Una conferencia de seguridad en pleno WannaCrypt


Sobre la conferencia

El 11 y 12 de mayo tuvo lugar en la ciudad de Montevideo, Uruguay, la conferencia de seguridad CharruaCon.

Desde SMARTFENSE tuvimos el agrado de ser Sponsors de este evento gratuito que brindó la oportunidad a sus más de 600 inscriptos de distintas nacionalidades de disfrutar de dos jornadas empapadas de seguridad.

Con una gran cantidad de charlas sobre ciberseguridad y dos paneles de debate llevados adelante de la mano de reconocidos expertos en la materia, la Torre de las Comunicaciones de ANTEL se convirtió durante dos días en un foco de aprendizaje y actualización para todas las personas interesadas en la seguridad de la información. Éstas, además, encontraron aquí un lugar donde extender sus relaciones profesionales, crear nuevos contactos y reencontrarse con viejos colegas.

34532082681_861459a010_k.jpg

El lugar perfecto para la tormenta

El amanecer del segundo día de la conferencia nos encontró con las primeras noticias de WannaCrypt. Pocos lugares podrían haber sido tan indicados para estar en la concepción de estas noticias que la CharruaCon.

Desde los primeros minutos, la conferencia se llenó de una gran cantidad de discusiones, charlas y especulaciones acerca de este nuevo Ransomware, del cual, hora tras hora, se iban conociendo nuevos detalles. Mientras algunos aprendían, otros se agarraban la cabeza expresando su perplejidad por cada nuevo dato que se iba obteniendo. Hubo quienes además comenzaron a analizar muestras del malware allí mismo, y las repercusiones de cada descubrimiento no tardaban en extenderse por toda la conferencia.

34500579882_33ef4e5ff1_k.jpg
Éstos son los sabores extra que tiene la asistencia a este tipo de eventos. La experiencia de no sólo informarse, aprender y actualizarse a partir de grandes referentes de la materia, sino también tener la oportunidad de estar ahí, en donde tantas personas amantes y expertas en seguridad están reunidas, en el momento que ocurre un incidente mundial de ciberseguridad que quedará en la historia.

Capturando la bandera

Una conferencia con foco en el hacking no está completa sin un reñido CTF. CharruaCon no fue la excepción y 64 participantes pelearon por obtener su lugar en el podio enfrentándose a una gran variedad de retos y teniendo el desafío de no sólo resolverlos, sino también documentar sus resoluciones.

Screenshot from 2017-05-21 21:59:30.png
Luego de una destacada actuación, el primer puesto fue para Martín Tartarelli de Infobyte, quien se llevó la Katana de la CharruaCon, una taza oficial de SecAdmin y un libro de 0xWord.

33852969573_b6fd677ac5_k.jpg

Agradecimientos

Agradecemos a Adrián Ramírez y Mateo Martínez por la organización de este evento, como así también a todas las empresas que han brindado su apoyo al mismo en calidad de Sponsors. Además, damos las gracias a todos los asistentes a la conferencia, y esperamos reencontrarnos de nuevo en una próxima edición, quién sabe con qué nuevas sorpresas que acompañen la ya de por sí excelente organización, calidad y nivel de este evento.

C_jU_agXUAArXrt.jpg:large.jpeg
Leer Más

martes, 9 de mayo de 2017

El Arte de Engañar al Usuario - Parte 2: Técnicas y herramientas

El Arte de Engañar al Usuario - Parte 2: Técnicas y herramientas



EN ESTA SEGUNDA ENTREGA DE LA SERIE “EL ARTE DE ENGAÑAR AL USUARIO” ANALIZAREMOS ALGUNAS DE LAS HERRAMIENTAS Y TÉCNICAS COMÚNMENTE UTILIZADAS POR LOS INGENIEROS SOCIALES PARA CONSEGUIR SUS OBJETIVOS.

Técnicas y Herramientas del Ingeniero Social

Imaginemos poder conocer en profundidad a una persona sin siquiera hablar con ella, detectar si miente, convencerla de casi cualquier cosa o hasta incluso descubrir relaciones secretas. Todo esto es posible utilizando técnicas y herramientas específicas, las cuales son aprovechadas dentro de la Ingeniería Social para poder realizar distintos ataques y asegurar así el éxito de los mismos.

Pasemos ahora a conocer algunas de ellas como así también a entender cómo o dentro de qué contexto un Ingeniero Social podría utilizarlas:

Expresiones faciales

Las expresiones faciales son básicamente emociones que pueden verse en el rostro de las personas debido al movimiento voluntario o involuntario de los músculos faciales.

Si bien las mismas son estudiadas desde hace mucho tiempo, éstas toman mayor relevancia a partir de diferentes estudios que publicó el científico Paul Ekman. Uno de ellos fue el de Microexpresiones que a comparación del resto estas duran una fracción de segundo y se producen cuando una persona esconde un sentimiento el cual puede ser de: alegría, tristeza, ira, asco, desprecio, sorpresa y miedo.

Como podemos ver a través de las expresiones faciales un Ingeniero Social puede conocer lo que siente una persona en algún momento dado por más que ésta quiera esconderlo.

Al poder “leer” correctamente las expresiones faciales un Ingeniero Social obtendrá innumerables beneficios. A continuación vamos a nombrar algunos de ellos:

  • Mejorar la Inteligencia emocional: al poder entender a otros con solo observar sus expresiones faciales (sean estas reprimidas o no) ayudará a manejar mejor la inteligencia emocional del Ingeniero Social.
  • Desarrollar la capacidad de empatía: estudiando las expresiones faciales de una persona en diferentes situaciones se puede llegar a saber qué cosas gustan o disgustan a la misma y de esta manera se podrá utilizar esta información para crear empatía, una acción muy importante dentro de la Ingeniería Social.
  • Detectar emociones ocultas: como comentamos al principio, observando las Microexpresiones pueden detectarse emociones ocultas y las mismas podrán servirle al Ingeniero Social para manipular a su víctima.
  • Entender a los demás: es mucho más fácil entablar “relaciones” si se puede entender a las personas. De esta manera, y con ayuda de la empatía, las víctimas se sentirán a gusto y comprendidas (algo no menor), por lo cual no se les pasará por la cabeza que el atacante está tratando de manipularlos para obtener algo de ellos.
  • Reconocer y manejar mejor sus propias emociones: es muy importante poder manejar las emociones para conservar el “poder” en todo momento y por sobre todo no delatar el ataque que estará realizando.
  • Desarrollar Habilidades Sociales: tal como lo dice la misma palabra Ingeniería “Social”, es muy importante desarrollar habilidades sociales y así poder moverse cómodamente dentro de diferentes situaciones.

Lenguaje corporal

Se dice que la mayor parte de nuestra comunicación la expresamos con el cuerpo y solo un porcentaje más pequeño de manera verbal, imagínense entonces la cantidad de cosas que podríamos saber de una persona casi sin hablar con ella.

Para poder comprender un poco más, vamos a ver algunos ejemplos de cómo nuestro cuerpo “habla”: 

  • Ansiedad: un estudio realizado por la Biblioteca Nacional de Medicina de Estados Unidos indica que los seres humanos pestañeamos normalmente unas 17 veces por minuto. Ahora si esta frecuencia aumenta a más de 30 pestañeos por minuto podremos darnos cuenta que estamos frente a una persona que posee una seria ansiedad.
  • Inseguridad: existen varias posturas que se traducen en inseguridad, una de las más conocidas es hacer el “4” con ambos brazos, esto ocurre típicamente cuando se habla por teléfono (generalmente la mano izquierda queda apoyada sobre el bicep derecho y la mano derecha toca el rostro o sostiene el teléfono).
  • Autoevaluación negativa: cuando una persona se está autoevaluando negativamente, ya sea por algún error cometido o inseguridad sobre algún suceso, tiende a colocar el dedo índice y pulgar de la mano sobre las comisuras de sus labios, asumiendo así la responsabilidad por lo sucedido.
  • Distancia entre personas al saludarse: si se desea conocer cuán “cercanas” son dos personas, solo hace falta mirar cuando éstas se saludan, ya que en relaciones distantes sus genitales permanecen distanciados. En cambio, cuanto más cerca están en el momento del saludo, mayor es la confianza que éstos individuos poseen.
  • Dominio y poder: Existe un tipo de ataque llamado “Pretexting/Impersonate” que consiste básicamente en utilizar un pretexto y/o hacerse pasar por otra persona, ya sea en forma presencial o remota. Si bien lo veremos con más detalle en un próximo post, existe una técnica para demostrar dominio y poder que podría ser usada junto con este ataque para hacerse pasar, por ejemplo, por un superior.
    Esta técnica se aplica al saludar a una persona. Lo que se realiza, en conjunto al saludo, es llevar la mano izquierda al hombro (parte superior) de la víctima separando el dedo pulgar de los demás. Esto proyecta propiedad (¡es mio!) y la víctima se sentirá en inferiores condiciones predominando así el dominio y poder sobre el atacante.

Negociación

Muchas veces la negociación es confundida con la venta y sólo pensada dentro de un ámbito comercial. En realidad la negociación está en distintos momentos de nuestras vidas como por ejemplo cuando tenemos que “negociar” un viaje o una actividad con nuestros padres, pareja, hijos, amigos, etc. También es utilizada por Abogados para llegar a un mejor acuerdo o quizás por Médicos para lograr que sus pacientes sigan un determinado tratamiento.

Como ya podemos imaginarnos esta herramienta es muy poderosa dentro de la Ingeniería Social, ya que el atacante podrá convencer a su víctima para que ésta realice alguna acción u otorgue alguna información de interés.

Veamos algunos conceptos y cómo estos se relacionan con todo lo expuesto hasta aquí:

  • Poder: tal como comentamos anteriormente, uno de los puntos importantes dentro de una negociación es el poder y ello se basa mucho en la información previa que se tenga de la contraparte. Para obtener y mantener el poder dentro de una negociación, es importante la confianza en uno mismo y mantener la calma pase lo que pase (inteligencia emocional).
  • Confianza: uno de los pilares dentro de la negociación es la confianza entre las partes y algo muy importante para ganar esta confianza es la empatía. Es por ello que muchos libros hacen referencia a “la reunión de la reunión” que no es ni más ni menos que la charla previa que se da en una reunión donde se habla de deportes, clima, familia, temas de interés general, etc., teniendo ésta muchas veces mayor duración que la reunión en sí.
  • Conocer la autoridad: es muy importante dentro de una negociación conocer los niveles de autoridad de los participantes. Para hacerlo sin preguntar, se pueden utilizar las expresiones faciales y el lenguaje corporal. No siempre tratar con la autoridad de alto nivel es lo mejor, hacerlo con el resto del equipo en determinadas ocasiones suele dar mejores resultados.
  • Impacto emocional: existen libros enteros que hablan sobre las emociones dentro de una negociación. Tal como comentamos anteriormente (poder) es muy importante saber manejar las emociones, tanto las que no se pueden contener como así también las que no se pueden demostrar.

Magia e ilusionismo

El Arte de Hackear el Cerebro”. Esta es una definición que leí una vez en un libro y me gusto mucho, ya que la Magia y el Ilusionismo se aprovechan de distintas “vulnerabilidades” que posee nuestro cerebro para poder así otorgarnos ese efecto increíble que es el asombro. Por su parte dentro de la Ingeniería Social se utiliza mucho uno de los pilares que posee la Magia y el Ilusionismo y este no es ni más ni menos que la distracción.
Veamos ahora algunas de las “vulnerabilidades” que son explotadas por este apasionante arte:

  • Multitasking = NO: nuestro cerebro no está preparado para ocuparse 100% de varias cosas a la vez. Quizás a veces nos parezca que podemos hacer 2 o más cosas a la vez, pero estemos seguros que siempre algo se nos escapa y es justo allí donde toma lugar el engaño.
  • Alterando la percepcion: existe el “efecto de la desinformación” y este es es utilizado, por ejemplo, cuando se nos da a elegir una carta de un mazo entre varios, pero de alguna manera nos fue inducido para que elijamos de uno especifico (por ejemplo elegi una carta de la derecha) y luego el mago “reconfirma” a nuestro cerebro que tuvo la oportunidad de elegir una carta de cualquier mazo diciendo: “Elegiste cualquier carta, no?”.
  • Resistencia a ser condicionada: muchas veces se utiliza la técnica de forzaje y esto es básicamente forzar a que el espectador elija lo que el mago quiere. En este caso se está aprovechando de la vulnerabilidad que tiene nuestro cerebro a resistirse ser condicionada y no poder elegir libremente.
  • Necesidad de llenar los espacios en blanco: nuestro cerebro posee la imperiosa necesidad de rellenar los espacios en blanco y es justo allí donde funciona el famoso truco de la mujer partida en dos. Al cortar y separar la caja donde se encuentra “la mujer” nuestro cerebro se niega a creer que son dos mujeres y es por ello que aunque no queramos de primera impresión (muchas veces de segunda, tercera,... :)) vamos a creer que se partió en dos realmente.
  • Cambios sutiles: se dice que nuestro cerebro solo percibe el 5% de lo que realmente está sucediendo en su entorno, mientras que el otro 95% lo descarta para no saturarse. ¡Adivinaron si!, ese cómodo 95% es aprovechado para realizar lo necesario para que el truco cause el efecto increible que el mago está buscando.

Sobre esta serie

Este es el segundo de una serie de posts sobre la Ingeniería Social. En el post anterior hemos visto la definición de Ingeniería Social y entramos en detalle en la metodología que sigue el Ingeniero Social para alcanzar sus objetivos. En las próximas publicaciones hablaremos acerca de los diferentes tipos de ataques que llevan a cabo los Ingenieros Sociales, tanto personalmente como en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.

¡Nos vemos en el próximo post!

Enlaces de Interés

Leer Más

martes, 2 de mayo de 2017

El Arte de Engañar al Usuario - Parte 1: Ciclo de atque

El Arte de Engañar al Usuario - Parte 1: Ciclo de atque


LA INGENIERÍA SOCIAL ES MUY UTILIZADA HOY EN DÍA POR LOS CIBERDELINCUENTES, YA QUE ES REALMENTE EFECTIVA EXPLOTANDO VULNERABILIDADES Y NO ESTAMOS HABLANDO DE SERVICIOS Y SISTEMAS OPERATIVOS, SINO DE ALGO MUCHO MÁS IMPORTANTE: “VULNERABILIDADES HUMANAS”.

Definición

El origen del término Ingeniería Social se remonta a fines del siglo 19, y dista mucho de lo que hoy conocemos como tal, desde entonces podemos encontrar varias definiciones del mismo. En nuestras charlas y seminarios nos gusta definirlo como: “El Arte de Engañar al Usuario” o “Human Hacking”, si bien lo acotamos únicamente al mundo IT, a lo largo de esta serie de posts vamos a poder apreciar que es utilizada en muchos otros entornos, tanto para el bien como para el mal.

Ya entrando en una definición un poco más formal, esta sería una de las más adecuadas:

“La ingeniería Social puede definirse como un conjunto de técnicas utilizadas para lograr que una persona, o un grupo de personas, tome una acción. Esta acción puede estar, o no, en contra de sus mejores intereses”.

Ciclo de Ataque

Todo buen Ingeniero Social seguirá una metodología, ya que la misma le dará un mayor porcentaje de éxito y para ello podrá apoyarse en las distintas fases dentro del siguiente ciclo de ataque:
  • Recolección de la información
  • Desarrollo de la relación
  • Explotación de la relación
  • Ejecución para lograr el objetivo
A continuación, detallamos cada una de dichas fases:

Recolección de la Información

Tal como dijo alguna vez Chris Hadnagy (escritor, instructor y Chief Human Hacker en Social-Engineer.com): “Un Ingeniero Social es tan bueno como la información que tiene o que puede conseguir”.

La búsqueda de información es tan importante que se estima que el 60% del tiempo que se emplea en un ataque de Ingeniería Social se le dedica a esta tarea.

Desarrollo de la relación

Este es un punto crítico ya que la calidad de la relación construida por el atacante determinará el nivel de la cooperación de la víctima y por consecuencia aumentará el porcentaje de éxito para lograr el objetivo.

Esta etapa puede ser tan breve como el acto de ir corriendo hacia una puerta con una gran sonrisa y generar un contacto visual con la víctima, por lo que la misma mantendrá la puerta abierta para que el atacante pueda ingresar a la empresa, conectar a nivel personal por teléfono, mostrar fotos de la familia y compartir historias con la recepcionista, etc. También puede ser tan extensa como construir una relación a través de alguna red social, generalmente valiéndose para ello de un perfil falso (hombre o mujer, dependiendo de la víctima elegida)

Explotación de la relación

En esta fase, el atacante aprovecha las relaciones construidas en la fase anterior tratando de no levantar sospechas. La explotación puede tener lugar a través de la divulgación de información aparentemente sin importancia o el acceso concedido y/o transferido al atacante.

Los ejemplos de la explotación exitosa pueden incluir:
  • La acción de la víctima al mantener abierta la puerta para permitir el ingreso del atacante a las instalaciones de la empresa.
  • La revelación de credenciales (nombre de usuario y contraseña) a través del teléfono.
  • La introducción de un Pendrive con Malware en una computadora de la empresa.
  • La apertura de un archivo adjunto infectado en el correo electrónico.
  • La exposición de secretos comerciales en una discusión con supuesto "pares".

Ejecución para lograr el objetivo

Esta fase es cuando se logra el objetivo final del ataque, o por distintos motivos el ataque termina sin levantar sospechas de lo ocurrido. En general el atacante tratará de poner fin a un ataque sin cuestionar lo sucedido, ya que de otra forma levantaría sospechas en la víctima. En cambio, tratará de dejar una sensación como si hubiera hecho algo bueno por la otra persona, permitiéndole así futuras interacciones con la misma.

Aquí es también donde trata de no dejar ningún cabo suelto, borrando las huellas digitales, información en general, etc.

Una estrategia de salida bien planificada y silenciosa es el objetivo del atacante y acto final en el ataque.

Sobre esta serie

Este es el primero de una serie de posts sobre la Ingeniería Social. En las próximas publicaciones hablaremos acerca de las diferentes técnicas y herramientas que utilizan los Ingenieros Sociales como así también de los diferentes tipos de ataques que llevan a cabo, tanto personalmente como en forma remota. Además, conoceremos las medidas de protección que las organizaciones deben tener en cuenta para proteger a su personal de esta gran amenaza y algunos datos curiosos sobre reconocidos Ingenieros Sociales.

¡Nos vemos en el próximo post!
Leer Más

miércoles, 19 de abril de 2017

OWASP Latam Tour - CIO vs CISO: OWASP al rescate

OWASP Latam Tour - CIO vs CISO: OWASP al rescate


Sobre el Tour

Recientemente se llevó a cabo en la ciudad de Córdoba, Argentina, por primera vez, el OWASP Latam Tour, específicamente en el Instituto Universitario Aeronáutico de la ciudad.

El objetivo del OWASP Latam Tour es concientizar sobre la seguridad de las aplicaciones en la región de América Latina, para que personas y organizaciones puedan tomar acciones sobre los verdaderos riesgos de seguridad de las aplicaciones.

Todo el mundo es libre de participar en OWASP y todos sus materiales están disponibles bajo una licencia de software libre y abierta.

Nuestra participación

SMARTFENSE estuvo presente en el evento y nuestro CEO, Mauro Graziosi, brindó una charla basada en la “Guía de Seguridad en Aplicaciones para CISOs” de OWASP, guía disponible en el idioma español gracias a una traducción en la que también participó nuestro CEO como revisor.

La presentación fue titulada: "CIO vs CISO: OWASP al rescate", y describió las diferentes problemáticas a las que se enfrenta un CISO en su trabajo diario, tomando en cuenta diversos escenarios posibles, y demostrando cómo esta guía de OWASP nos ayuda a la hora de resolver estas problemáticas.

Sobre la guía

Esta guía está específicamente diseñada para ayudar a los CISOs a instaurar la seguridad en las aplicaciones web de una forma permanente. Es por este motivo que se enfoca en lograr un nivel de compromiso en las inversiones de tal manera que quede institucionalizada en la organización, apoyada tanto en la gestión de riesgos como en métricas que demuestren la importancia de incorporar diferentes medidas desde etapas tempranas de desarrollo.

Está compuesta de estos cuatro capítulos:
  • Razones para invertir en Seguridad de las Aplicaciones
  • Criterios para gestionar los riesgos de seguridad en aplicaciones
  • Programa de Seguridad de Aplicaciones
  • Métricas para Gestionar Riesgos e Inversiones en Aplicaciones de Seguridad

Además, el Apéndice B permite rápidamente mapear cada una de las medidas vistas en la guía hacia un documento o proyecto dentro de OWASP, por lo que la unión entre el QUÉ y el CÓMO queda al alcance de la mano, siendo una guía que se enfoca en conseguir resultados tanto a corto como a largo plazo.

El capítulo de OWASP Córdoba

De reciente formación, el capítulo de OWASP Córdoba ya ha contado con su primer Latam Tour, el cual ha tenido una gran aceptación por parte de la comunidad de la provincia y alrededores, y del cual han surgido varias iniciativas interesantes para llevar adelante en los años venideros gracias a la buena predisposición y ganas de colaborar de todos los presentes.

En SMARTFENSE seguimos desde nuestros comienzos diferentes guías de OWASP para el desarrollo de nuestros productos y hemos brindado todo nuestro apoyo a este nuevo capítulo en el que nos hemos comprometido a participar activamente. Esperamos que el mismo continúe su crecimiento, y, si estás interesado, te invitamos a participar poniéndote en contacto con nosotros.

Leer Más

lunes, 10 de abril de 2017

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales

Aprendizaje basado en juegos: Cómo lograr un entrenamiento más divertido y eficaz para tus usuarios finales


Reza un viejo proverbio chino:

"Dime algo, y lo olvidaré. Enséñame, y lo recordaré. Hazme partícipe, y lo aprenderé."
Jugar y aprender van de la mano. Cuando estamos involucrados activamente con un juego nuestra mente experimenta el deseo de entender el funcionamiento de un nuevo sistema.

En mi artículo anterior comenté sobre la necesidad de buscar nuevos enfoques para la difícil tarea de hacer que los procesos de capacitación y concientización en seguridad de la información produzcan cambios de comportamiento genuinos en los usuarios finales, y mencioné el uso de Ludificación como una estrategia para aumentar la motivación durante éstos procesos.

Hoy quiero mencionar un par de conceptos nuevos que muy a menudo son confundidos con ludificación, se trata del Aprendizaje Basado en Juegos (Game Based Learning o GBL) y Juegos Serios (Serious Games).

Ludificación, Aprendizaje basado en juegos y juegos serios

Mientras que aplicar ludificación implica utilizar elementos motivadores que incentiven la competición entre los usuarios, el uso de GBL consiste, directamente, en presentar los contenidos de un proceso de formación a través de un videojuego. Es decir, mientras que la primer técnica implica tomar elementos de juegos e insertarlos en el proceso de capacitación, en la segunda es la persona quien es trasladada al ámbito del juego para lograr un objetivo educativo.

Los procesos de GBL generalmente van de la mano con los denominados Juegos Serios, una caracterización aplicada a los juegos cuyo objetivo principal no es el entretenimiento, sino que fueron creados con otra finalidad, como por ejemplo generar consciencia sobre un determinado tema o enseñar.

¿Qué podemos aprender de un videojuego?

El carácter educativo de los videojuegos no es algo nuevo, su utilización en dicho ámbito data de mucho tiempo atrás. Un juego bien diseñado puede transportarnos a un mundo virtual que nos resulta familiar y nos parece relevante, lo cual resulta motivador porque es fácil ver y entender la conexión entre la experiencia de aprendizaje y la experiencia de la vida real.

Dentro de un proceso efectivo de aprendizaje basado en juegos, la persona trabaja para acercarse a un objetivo, eligiendo acciones y experimentando las consecuencias de las mismas. Puede cometer errores en un entorno que resulta libre de peligros y, a través de esa experimentación, aprender y practicar la forma correcta de hacer algo. Esto lo mantiene altamente motivado en ensayar comportamientos y procesos de razonamiento que pueden transferirse fácilmente desde el entorno simulado a la vida real.

Jugando a aprender Security Awareness

En el área de seguridad de la información, aunque la lista no es demasiado grande aún, ya existen algunos videojuegos orientados al entrenamiento de usuarios finales. CyberCiege, picoCTF y Hackend son algunos ejemplos que ilustran la variedad de tópicos y los diferentes géneros que pueden abarcarse.

Aunque todavía no existen estudios rigurosos que midan con exactitud el efecto de estos juegos en usuarios finales, la inclusión de los mismos en las campañas de concientización resultan en una disminución de hábitos inseguros en dichos usuarios.

Conclusión

Los videojuegos han demostrado poseer un gran potencial como herramientas educativas. El Game Based Learning busca aprovechar dichas capacidades utilizando Juegos Serios para transmitir conocimientos, y es un proceso mediante el cual es posible lograr profundos cambios de comportamiento en las personas.

Aunque todavía queda un largo camino por recorrer en el empleo de videojuegos como herramientas para formación en Security Awareness, su uso es ciertamente una tendencia y la cantidad de juegos disponibles es cada vez mayor. Habrá que estar atentos y empezar a conocer las alternativas que pudieran resultarnos útiles para abordar determinados tópicos. ¿Se animan entonces a incluir estos videojuegos en sus programas de capacitació?
Leer Más

martes, 4 de abril de 2017

Logros y avances de No More Ransom desde Diciembre de 2016 a Abril de 2017

Logros y avances de No More Ransom desde Diciembre de 2016 a Abril de 2017


Como Partners Oficiales del proyecto No More Ransom, nos enorgullece poner a su disposición un nuevo comunicado de prensa, publicado el día de la fecha de publicación de este post, en el cual podrán conocer los avances de esta gran iniciativa en la lucha contra el Ransomware entre el mes de diciembre del año 2016 al mes de abril de 2017.

En el mencionado período, No More Ransom agregó 15 nuevas herramientas de descifrado mientras que un número récord de socios se unieron a esta iniciativa global

Nueve meses después del lanzamiento del proyecto No More Ransom (NMR), un número cada vez mayor de agentes de la ley y Partners privados se han unido a la iniciativa, permitiendo que más víctimas de Ransomware recuperen sus archivos sin pagar a los criminales.

La plataforma www.nomoreransom.org ahora está disponible en 14 idiomas y contiene 40 herramientas gratuitas de descifrado. Desde el último informe en diciembre, más de 10 000 víctimas de todo el mundo han podido descifrar sus dispositivos afectados gracias a las herramientas disponibles gratuitamente en la plataforma.

No More Ransom fue lanzado en julio de 2016 por la Policía Nacional Holandesa, Europol, y algunas empresas privadas, introduciendo así un nuevo nivel de cooperación entre las fuerzas de la ley y el sector privado para luchar juntos contra el Ransomware. Desde el lanzamiento, decenas de socios de todos los continentes se han unido. Esto demuestra que el Ransomware es un problema mundial que necesita ser, y será, enfrentado juntos.

Las estadísticas muestran que la mayoría de los visitantes de la plataforma provienen de Rusia, Holanda, Estados Unidos, Italia y Alemania.

Anteriormente disponible en inglés, holandés, francés, italiano, portugués y ruso, la página ha sido traducida al finlandés, alemán, hebreo, japonés, coreano, esloveno, español y ucraniano. Se espera que más idiomas se hagan disponibles pronto para ayudar mejor a las víctimas en todo el mundo.

Desde la última versión, se han añadido 15 herramientas a la plataforma, ofreciendo nuevas posibilidades de descifrado a las víctimas de Ransomware: 
  • AVAST: Alcatraz Decryptor, Bart Decryptor, Crypt888 Decryptor, HiddenTear Decryptor, Noobcrypt Decryptor and Cryptomix Decryptor 
  • Bitdefender: Bart Decryptor 
  • CERT Polska: Cryptomix/Cryptoshield decryptor 
  • Check Point: Merry X-Mas Decryptor and BarRax Decryptor 
  • Eleven Paths – Telefonica Cyber Security Unit: Popcorn Decryptor 
  • Emsisoft: Crypton Decryptor and Damage Decryptor 
  • Kaspersky Lab: Updates on Rakhni and Rannoh Decryptors 

Nuevos socios privados y públicos

AVAST, CERT Polska y Eleven Paths, se unirán a No More Ransom como socios asociados, lo que eleva el total a 7. 

30 Nuevos socios también han decidido apoyar el proyecto, con lo que el total a 76. 

En cuanto a fuerzas de la ley confiere, se unen a NMR Australia, Bélgica, INTERPOL, Israel, Corea del Sur, Rusia y Ucrania; otros son Acronis International GmbH, CrowdStrike, Cyber Security Canada, DataGravity, Deloitte, eco - Asociación de la Industria de Internet (eco eV), ENISA, la Global Cyber Alliance (GCA), el Japan Cyber Control Centre (JC3), KUERT Datenrettung Deutschland GmbH, KÜRT Data Recovery and Information Security Co., mnemonic AS, Neutrino S.r.l., Portugal Telecom, Secura Group Limited, SentinelOne y Verizon Enterprise Solutions.

También hay un fuerte apoyo de la comunidad CERT, representada por AfricaCERT, CSIRT del Gobierno de la Ciudad de Buenos Aires, Centro Nacional de Cibersegurança, Equipo de Respuesta a Incidentes Certego, Cybersecurity Malasia y el Japan Computer Emergency Response Team Coordination Center (JPCERTCC).

La llegada de la INTERPOL llega como resultado de la Conferencia Ciberdelincuencia INTERPOL y Europol 2016, lo que ejemplifica la naturaleza práctica y centrada en el usuario de este acontecimiento anual conjunto.

Desde SMARTFENSE felicitamos a No More Ransom por todos sus logros y avances, y seguimos apoyando día a día la lucha contra el Ransomware.

Más información y prevención consejos están disponibles en www.nomoreransom.org.
Leer Más