¿Es mi dominio Spoofeable?

Breve introducción al spoofing

El spoofing o suplantación en el ámbito de la seguridad de la información se define como:

el uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. [Wikipedia]

Una de las técnicas de Phishing más utilizadas por los ciberdelincuentes consiste justamente en hacer spoofing de direcciones de correo electrónico. Puntualmente, reemplazan el remitente (campo FROM) de sus correos electrónicos por otro falso.

¿Qué correos pueden utilizar?

Prácticamente puede suplantar con éxito cualquier correo, siempre y cuando su dominio no esté protegido correctamente.

Por lo tanto, sin las medidas adecuadas, un ciberdelincuente podría hacerse pasar por cualquier persona de cualquier organización en sus correos electrónicos.

¿Cómo proteger un dominio de falsificaciones?

Existen protocolos de seguridad que sirven para prevenir la suplantación de identidad. Dichos protocolos son:

• SPF: Identifica los servidores SMTP autorizados a enviar correos en un dominio.
• DKIM: Añade una firma digital a los correos legítimos mediante el uso de criptografía.
• DMARC: Permite aplicar políticas de cuarentena y rechazo frente a aquellos correos que no cumplen correctamente con los protocolos SPF y DKIM.

En el anexo de este post, se puede encontrar más información sobre cómo implementar cada uno de ellos.

Implementados correctamente, pueden prácticamente mitigar el riesgo de spoofing de nuestro dominio. Esto no quita que los ciberdelincuentes utilicen un dominio similar pero no igual al de nuestra organización para su suplantación de identidad. Una técnica menos efectiva, pero similar en su concepción.

A continuación, dos capturas de la herramienta de Simulación de Phishing de SMARTFENSE, donde se demuestra que no es posible suplantar el dominio de linkedin.com, pero sí es posible enviar correos de simulación de Phishing a nombre de linkediin.com sin problemas.

El dominio linkedin.com se encuentra correctamente protegido frente al spoofing

El dominio linkediin.com no está protegido frente al spoofing

¿Cómo saber si un dominio es spoofeable?

Para conocer si alguien puede hacer spoofing en un dominio, existe la herramienta gratuita de SMARTFENSE que realiza un checkeo del mismo contra los protocolos SPF y DMARC.

Se considerarán spoofeables los dominios que cumplan con una o más de las siguientes condiciones:

• Falta de un registro SPF o DMARC
• Registro SPF que no especifica los atributos ~all o -all
• Registro DMARC cuya política está establecida en p=none o directamente no está definida

Por lo tanto, para que se pueda pasar con éxito este test, debe configurarse SPF y DMARC de manera correcta.

Anexo

Los siguientes enlaces han sido publicados en el webinar "Phishing y Ransomware últimas tendencias de protección" y contienen toda la información que necesita saber sobre los protocolos SPF, DKIM y DMARC, como así también asistentes recomendados para cada uno de los registros.

Chequeo de SPF y DMARC

https://www.smartfense.com/es-ar/herramientas/spoofcheck/

SPF

Qué es: http://blog.segu-info.com.ar/2008/08/qu-es-el-spf-sender-policy-framework.html

Guia: http://codementia.blogspot.com.ar/2013/05/reglas-spf-para-validar-el-correo-lo.html

Asistente: http://www.spfwizard.net/es/

Documentación oficial:http://www.openspf.org/

DKIM

Qué es: https://returnpath.com/es/blog/como-explicar-dkim-en-espanol-claro-y-conciso/

Guia: http://www.gettingemaildelivered.com/dkim-explained-how-to-set-up-and-use-domainkeys-identified-mail-effectively

Asistentes:

• https://www.socketlabs.com/domainkey-dkim-generation-wizard/
• https://luxsci.com/extranet/dkim.html

Documentación oficial: http://www.dkim.org/index.html#docs

DMARC

Qué es: https://returnpath.com/es/blog/como-explicar-dmarc-en-espanol-claro-y-conciso/

Guía: https://support.google.com/a/answer/2466563?hl=es

Asistentes: En la página de recursos de la web oficial del estándard existen varios asistentes que le ayudarán a crear un registro DMARC. Por ejemplo este, este o este otro.

Documentación oficial: https://dmarc.org/wiki/FAQ

Leer Más

La ciberseguridad, asunto de todos

Por fortuna, el tópico de la seguridad informática cobra mayor relevancia día a día. Esto queda demostrado en la sucesión de eventos que transcurren en diferentes partes del mundo, congregando a especialistas en la materia y generando espacios de discusión sobre las mejores alternativas para enfrentar las complejas amenazas que atentan contra la información más sensible.

Durante el mes de abril asistimos a eventos en 4 ciudades diferentes, en 3 países distintos. Cada uno con sus particularidades, todos aportaron oportunidades y visiones para ocuparse de la ciberseguridad. 

“La transformación digital de los negocios requiere políticas de seguridad acordes”

La ciudad costera de Porto, en el noroeste de Portugal, fue testigo de la International Cybersecurity Conference 2019 el pasado 3 de abril, gestionado por el IDC. El evento congregó más de 500 asistentes y reunió 20 oradores de diferentes organismos y compañías, quienes disertaron en torno a las soluciones de seguridad que pueden ayudar en la transformación digital de los negocios. Nuevas amenazas aparecen diariamente y la reforma regulatoria presiona a los altos mandos a tomar cartas en el asunto. 

SMARTFENSE brindó su apoyo auspiciando el espacio del auditorio donde los asistentes podían atender todas las disertaciones en un ambiente de concentración. Las presentaciones estuvieron focalizadas en las soluciones de seguridad exitosas, promoviendo su ejecución en base a los resultados comerciales positivos que favorecieron su aceptación por parte de los altos mandos en las empresas que las implementaron. 

“El gran reto en la nueva era digital es cómo transformar a las organizaciones” 

Coincidiendo en fecha y en objetivos, el 3 de abril también inició el Congreso & Expo ASLAN en el Palacio Municipal de Congresos de Madrid, organizado por la asociación ASLAN con el apoyo de empresas asociadas y las principales instituciones del sector.

En esta vigésimo sexta edición, el evento reunió más de 6.000 interesados en conocer las soluciones tecnológicas de los principales fabricantes internacionales y la visión de especialistas en «servicios, aplicaciones e infraestructuras conectadas para hacer posible la Transformación Digital». CyberSecurity, Data Management, Artificial intelligence, IoT Platforms, Cloud, Mobility, Collaboration Solutions, son algunas de las categorías que agrupaban las últimas innovaciones tecnológicas. Cómo transformar las organizaciones es el gran reto en la nueva era digital y el foco principal del Congreso.

SMARTFENSE compartió el espacio de stand con Lidera Network, mayorista de valor agregado distribuidor de SMARTFENSE en España, aunando los esfuerzos por brindar las mejores soluciones en seguridad informática ajustadas a las necesidades de las diferentes industrias. 

Durante la segunda jornada del evento, nuestro CEO Mauro Graziosi expuso su presentación “Fortalece la Capa de Seguridad más importante: el Usuario”. Las acciones de capacitación y concienciación favorecen los hábitos seguros en los usuarios finales, y ayudan a cumplir con la actual normativa europea en protección de datos -GDPR-.

“La ciberseguridad es un tema serio, pero puede discutirse con una cerveza de por medio”

Vicon es una propuesta diferente. Según cuentan sus creadores, todo comenzó en julio de 2017, cuando en Vigo se hizo por primera vez aquello del Hack&Beers. La idea era generar un clima de charlas distendidas sobre seguridad informática, donde los asistentes además de aprender, disfrutaran de una buena cerveza, con su posterior networking entre ponentes y asistentes.

El asunto fue cobrando relevancia y atrajo participantes de diferentes ámbitos, no solo tecnológico, sino también personal de fuerzas y cuerpos de seguridad del estado, así como abogados especialistas en nuevas tecnologías. 

SMARTFENSE patrocinó esta tercera edición realizada el 13 de abril, donde asistimos atentos a todas las exposiciones. Obviamente, no faltó oportunidad para degustar las ricas comidas y charlar con grandes profesionales, entre quienes podemos nombrar a nuestro colega José A. Cascallana.

“Se debe trabajar en las condiciones para crear un ciberespacio como espacio de paz”

Del otro lado del continente, SegurInfo se erige como el principal Congreso anual de seguridad de la información, que incluye un intensivo programa de sesiones de seguimiento y actualización en la materia. Los ponentes provienen de las esferas públicas, el campo académico y la industria. En esta ocasión, el evento contó con la presencia de la Ministra de Seguridad de la Nación, Patricia Bullrich. 

Al igual que otros años, auspiciamos la edición del 23 de abril realizada en Argentina, y organizada por la Asociación USUARIA. "La estrategia nacional de cara al futuro es generar planes de capacitación y concientización, desarrollar recursos preparados, y crear un marco normativo acorde que permita un ciberespacio como espacio de paz", aseguraron Pablo Lázaro, Director de Investigaciones de Ciberdelito del Ministerio de Seguridad de la República Argentina y Leandro de la Colina, Responsable de Ciberseguridad en la Secretaría de Modernización de la Nación Argentina. 

Cierre

Estas jornadas son el espacio de encuentro de expertos abocados a garantizar la seguridad de la información en sus diferentes aristas y profesionales interesados en resguardar sus activos más sensibles de las amenazas del mundo de hoy. El intercambio favorece el enriquecimiento mutuo. Nuestro compromiso es seguir nutriéndonos de los eventos y continuar trabajando para garantizar la mejor solución a las necesidades reales. 

Leer Más

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness (II)

En esta segunda entrega y continuando con el primer artículo de la serie, hablaremos con más detalle del gran esfuerzo que tiene que realizar cualquier organización para que su plataforma Moodle funcione de manera correcta y segura cuando es empleada como plataforma de concienciación en ciberseguridad.

Errores de calidad y de seguridad

Como veremos, una aplicación web como Moodle (o cualquier sistema de gestión de aprendizaje genérico o LMS) necesitará de recursos humanos dedicados que le proporcionen una supervisión continua para poder mantenerla libre de errores ya sean de calidad (suelen afectar funcionalidades de la aplicación) o de seguridad (implican habitualmente la extracción o modificación no autorizada de datos o dejar la plataforma inaccesible).

Vulnerabilidades

Los sistemas de gestión de aprendizaje o simplemente gestores de aprendizaje son aplicaciones web complejas, habitualmente con multitud de módulos y complementos, muchos de los cuales no son implementados por el desarrollador del propio gestor.

Lo anterior provoca que haya más posibilidades de que aparezcan errores de seguridad debido a que tenemos una mayor superficie de ataque. Puede comprobarse cómo un gran porcentaje de ataques en el pasado han tenido como vector de entrada el aprovechamiento de un error de seguridad debido a un módulo o complemento desactualizado.

Los errores de seguridad, también denominados vulnerabilidades, son los errores más temidos por los responsables de seguridad de las organizaciones, ya que podrían permitir a un ciberdelincuente realizar diferentes acciones que, en última instancia, podrían afectar a la actividad normal de la organización o incluso hacer que su valor se redujese y en los casos más extremos hacer que la propia organización desapareciera.

Sólo en los últimos 7 años, el portal CVE Details que recopila las vulnerabilidades públicas notificadas a MITRE, ha listado un total de 292 vulnerabilidades de seguridad para la plataforma Moodle. Haciendo cálculos, esta cifra supone que ha aparecido de media, prácticamente, una vulnerabilidad de seguridad cada semana en los últimos 7 años.

Número de vulnerabilidades de la plataforma Moodle de las tipologías más frecuentes en los últimos 7 años. Fuente: CVE Details.

Si la tendencia de aparición de vulnerabilidades se mantiene (no hay datos que indiquen lo contrario), el personal técnico a cargo del mantenimiento del Moodle de la organización tendría que hacer, por lo tanto, un sobreesfuerzo para mantenerlo saludable y libre de errores y conseguir de esta manera, no sólo que la aplicación web funcione correctamente, sino que, por ejemplo, datos sensibles de la misma o de sus empleados no caigan en manos indeseadas.

Mantenimiento

Una vez desplegado el gestor de aprendizaje, en principio, podría parecer que la única preocupación sería la gestión misma de los contenidos de aprendizaje, pero nada más lejos de la realidad. Se deberán realizar ciertas labores de mantenimiento de manera periódica para que la plataforma se encuentre libre de todo tipo de errores.

En el caso de Moodle, por ejemplo, las labores de mantenimiento implicarían, al menos, la realización de las siguientes acciones:

• Realización de copias de respaldo
• Parcheo de la plataforma
• Actualizaciones importantes de la plataforma (en ocasiones implica una instalación completa del gestor)
• Actualización de complementos 

Como vimos, en nuestro caso, prácticamente cada semana habría que parchear la plataforma, lo que conllevaría además una indisponibilidad asociada. Así mismo, después de cada actualización o parcheo, habría que comprobar que la plataforma está operando con normalidad y que no han aparecido nuevos problemas, como por ejemplo, incompatibilidades con algún complemento o comportamientos inesperados.

Todas estas acciones implican un gran esfuerzo humano y por lo tanto, económico, que en muchas ocasiones las organizaciones no pueden permitirse.

Conclusión

Puede resultar muy apetecible utilizar un gestor de aprendizaje genérico para realizar concienciación en ciberseguridad pero hay que medir las consecuencias que van aparejadas a dicha decisión.

La constante aparición de vulnerabilidades, unida a la complejidad de los actuales gestores de aprendizaje, hará que el proceso de mantenimiento del gestor corporativo sea una labor difícil y costosa. 

Además hay otras acciones que van ligadas al uso de un LMS que añadirán un esfuerzo extra tales como la realización de copias de seguridad o la preocupación por la disponibilidad del servicio.

En cualquier caso, será la propia organización la que valore en última instancia si le compensa o puede permitirse el sobreesfuerzo de usar un sistema de gestión de aprendizaje como plataforma corporativa de concienciación en ciberseguridad.

Leer Más

Man-In-The-Email: ¿Su personal está preparado para identificar un ataque BEC?

El concepto BEC, también conocido como “El Fraude del CEO”, proviene de Business Email Compromise. Este engaño consiste en la utilización del email como medio, donde el ciberdelincuente se hace pasar por una persona de jerarquía dentro de nuestra organización, explotando su posición de influencia y la confianza de los demás. Así, un criminal impersonando al CEO por ejemplo, realizará solicitudes vía email, con el fin último de desviar fondos (como una solicitud de un pago a un nuevo proveedor, cuyos datos bancarios serán del cibercriminal).

Hablaremos de 2 grandes categorías de este ataque, a modo de simplificación:

• Spoofing de direcciones de email
• Compromiso de cuentas de email

Spoofing de direcciones de email 

Esta modalidad radica en el envío de un correo utilizando una dirección de email diferente como remitente. Esto es posible gracias a que el protocolo SMTP no provee un mecanismo para autenticación de direcciones de email. Por lo tanto, ciberatacantes pueden modificar maliciosamente el encabezado de un email para que parezca ser originado por otra persona como por ejemplo, el CEO/CTO/CISO de nuestra organización.

Otro método igualmente frecuente es utilizar direcciones de email muy similares a la de nuestra víctima. Supongamos que el email objetivo es ciso@miorganizacion.com. Un cibercriminal podría adquirir el dominio miorganizac1on.com para enviar emails con la dirección ciso@miorganizac1on.com.

En el sitio web de SMARTFENSE disponemos de diversas herramientas que permiten analizar la configuración de nuestro servidor de email para averiguar si es posible spoofear nuestras direcciones de email (Spoof Check) y por otro lado, analizar nombres de dominio similares a los de nuestra organización (DNS Twist), los cuales pueden haber sido creado por cibercriminales para posteriormente lanzar ataques de ingeniería social al personal de nuestra organización.

Compromiso de cuentas de email

Este caso ocurre cuando el ciberdelincuente consigue las credenciales de una cuenta de email. Preferentemente, tiene como objetivos aquellas cuentas de ejecutivos y personal del nivel C (CEO, CTO, CFO, etc). Para esto, el delincuente utiliza ingeniería social, malware, keyloggers y ataques de la categoría anteriormente mencionada (spoofing de direcciones de email) con el fin último de recolectar las credenciales de login de su víctima.

Una vez obtenido el acceso, el ciberdelincuente puede monitorear emails, interceptar aquellos que contengan instrucciones de pago y modificar los datos bancarios para dirigir los fondos a su bolsillo.

Si un atacante gana acceso a la cuenta de email, podría hacer algo más que acceder a su correo:

• Crear reglas para leer, responder, borrar y desviar emails a una subcarpeta, de modo que la víctima no se dé cuenta.
• Monitorear acuerdos y pagos.
• Eliminar emails de la carpeta de enviados.
• Eliminar advertencias provenientes del área de TI.
• Aprender sobre el estilo de redacción de la víctima, saludos y palabras claves.
• Descargar documentos oficiales para posteriormente editar y reenviar.

¿Cómo protegerse del BEC?

A continuación, mencionamos algunos tips para prevenir y detectar un ataque de este tipo:

• Marcar los emails provenientes de dominios externos en el asunto. Por ejemplo, [EXTERNO]- Asunto.
• Llevar adelante campañas de concienciación de seguridad, los cuales ayudarán al personal a tomar mejores decisiones sobre los emails recibidos. 
• Utilizar 2FA (Doble Factor de Autenticación) en cuentas de email.
• Siempre convalidar por una vía confiable, diferente al email, con nuestros colegas antes de enviar dinero o información confidencial.
• Estar atentos a la aparición de dominios similares a nuestra organización.
• Rotar la password de nuestras cuentas de email.

Conclusión

Debido a que estas estafas no poseen links o adjuntos maliciosos, las soluciones de seguridad tradicionales no son capaces de detectarlas. Por esto, es fundamental llevar adelante programas de concienciación que permitan a los usuarios de nuestra organización detectar este tipo de engaños y alertar a las autoridades.

Leer Más

SMARTFENSE en el Encuentro Internacional de Seguridad de la Información 12ENISE

"Ciberseguridad: un pilar de la transformación digital" fue el lema elegido para la duodécima edición del Encuentro Internacional de Seguridad de la Información (12ENISE), celebrada con total éxito los días martes 23 y miércoles 24 de octubre en el Palacio de Exposiciones de León. Más de 2.000 personas asistieron a este evento organizado por el Instituto Nacional de Ciberseguridad (INCIBE). 

Comprometidos en nuestro trabajo en pos de la concienciación en seguridad de la información, SMARTFENSE estuvo presente con stand propio y participó de varios espacios de conferencias y charlas, favoreciendo el networking y la sinergia entre los diferentes profesionales y emprendedores. 

Dos días de trabajo intenso en ciberseguridad

En un contexto de transformación digital de las organizaciones y sus procesos, el papel de la ciberseguridad es incuestionable para asegurar la integridad de la información sensible de negocio. En este sentido, el objetivo del evento fue conocer las últimas tendencias e innovaciones en el sector y cómo la ciberseguridad soporta el cambio.

Después de dos días de trabajo intenso, los números demuestran el interés de las empresas y la comunidad toda: 2.000 asistentes, más de 3.000 visualizaciones vía streaming de las conferencias, 10 inversores internacionales que mantuvieron 170 encuentros bilaterales con emprendedores, y 47 empresas expositoras que realizaron presentaciones y demostraciones de producto. 

Hardening de usuarios, la gestión de la capa faltante

Temprano por la mañana del miércoles 24, los asistentes al 12ENISE se convocaron para escuchar la presentación de Nicolás Bruna, nuestro Product Manager. La charla tenía como propósito principal generar la inclusión de los usuarios en la estrategia de seguridad de las organizaciones.

Con el objetivo de alertar a los empresarios del sector, en primer lugar se expusieron las últimas estadísticas sobre los ciberdelitos. Aprovechando los comportamientos inseguros de las personas en las organizaciones (y en sus hogares también), la falta de atención y sus desconocimientos sobre seguridad informática, los delincuentes hacen uso de estrategias de ingeniería social para obtener datos sensibles de mano de los usuarios. Se sabe que el 97% de las personas no reconoce un email de Phishing. Es así que el 93% de los ataques cibernéticos comienzan con un email de este tipo. Esto genera pérdidas millonarias para las compañías.

Nicolás Bruna explicó que las organizaciones desconocen su propio grado de exposición a este tipo de problemas, siendo motivo de esto que continúan sin incluir a sus colaboradores en sus propias estrategias y medidas de seguridad de la información.

Desde SMARTFENSE, proponemos encarar el problema sin rodeos: desarrollar y fortalecer la capa humana, última barrera frente a la información sensible. Nuestro Product Manager presentó una metodología de Hardening de Usuarios, destacando que se puede realizar de manera simple con nuestra plataforma, implicando una inversión de tiempo y esfuerzo mínima por parte del responsable de seguridad y los usuarios finales. 

Haciendo foco en investigaciones propias de SMARTFENSE, Nicolás Bruna propuso finalmente una novedosa manera de medir y representar la capa humana mediante la llamada "Fotografía de riesgo humano".

SMARTFENSE, un caso de éxito del programa de aceleración de INCIBE

Otro de los momentos destacados del 12ENISE fue el espacio asignado a la charla con emprendedores exitosos. Nuestro CEO Mauro Graziosi participó del panel de entrevistados para hablar de SMARTFENSE, la empresa ganadora del Programa Cybersecurity Ventures de INCIBE iniciado en 2017. Victoria Valbuena, integrante de León UP, moderó la mesa de debate y transmitió las preguntas de interés general. 

Mauro Graziosi contó su trayectoria en el campo de cibersguridad y explicó las motivaciones que lo llevaron a fundar esta empresa junto a sus socios, Mauro Sánchez (CTO) y Fernando Testa (COO), también expertos en la materia. 

En junio de 2017 viajaron de Argentina a España y se embarcaron en los proyectos de apoyo al emprendimiento Ciberemprende y Cybersecurity Ventures de INCIBE, buscando la aceleración tecnológica. La experiencia fue sumamente enriquecedora y potenció el crecimiento de la empresa. 

Nuestro CEO cerró su charla compartiendo algunos consejos para otros emprendedores que se estén planteando presentar su proyecto a próximas convocatorias de programas de apoyo. 

Para conocer todas las respuestas y los detalles de su exposición, puedes ver el video completo. 

International Business Forum y Speed dating con inversores, espacios de encuentro

Dentro de las iniciativas de fortalecimiento de la industria de ciberseguridad, el 12ENISE organizó el International Business Forum. Este espacio constituyó una oportunidad de encuentro directo entre compañías de otros países y empresas nacionales que presentaron su oferta de productos y servicios. 

Nuestro CTO, Mauro Sánchez, sostuvo reuniones bilaterales de 20 minutos cada una con empresas de Energía y Banca de Chile, Colombia y México.

Asimismo, Mauro también participó del Taller de Speed Dating con inversores, donde se mantuvieron reuniones 1 a 1 de 7 minutos con inversores de capital de riesgo.

El balance general fue muy positivo ya que se favoreció el intercambio y se promovió la generación de oportunidades para ambas partes.

Un cierre alentador

En la clausura del acto, el director general de INCIBE, Alberto Hernández, aseguró que 12ENISE “se ha consolidado como la gran plataforma para fomentar el emprendimiento, la competitividad empresarial y la innovación en ciberseguridad”. El evento sirvió para generar oportunidades de negocio e internacionalización para la industria española, impulsar el networking entre profesionales y poner en evidencia las oportunidades que se abren en este ámbito.

Leer Más