viernes, 1 de noviembre de 2019

La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas

La simulación de Phishing de oro, o cómo interpretamos de manera incorrecta los resultados de nuestras pruebas


Las simulaciones de Phishing se utilizan para medir el comportamiento de los usuarios de nuestra organización frente a engaños que podrían culminar en una fuga de información o instalación de malware, afectando la seguridad de la información tanto a nivel personal como organizacional.

En este sentido, las simulaciones son una herramienta muy útil, siempre y cuando hagamos una interpretación correcta de sus resultados.

La simulación de Phishing de oro

En muchas organizaciones suele existir el preconcepto de que cada campaña de Phishing debe ser “perfecta” entendiéndose por esto que: 
  • Sea recibida de manera correcta por todos los usuarios
  • Despierte el interés de todos ellos
  • Engañe efectivamente a quienes poseen comportamientos inseguros
  • No sea sesgada por ningún factor externo a la simulación

Lo que sucede en la vida real con las simulaciones es que son más un arte que una ciencia exacta, lo cual convierte en una utopía lograr esta prueba perfecta. 

La realidad

El grado de efectividad de una campaña depende en realidad de muchos factores, siendo alguno de ellos:
  • El interés que despierte a cada usuario el asunto del correo electrónico, remitente y temática del mensaje recibido.
  • Las técnicas de persuasión que utilice la trampa, las cuales son muy variadas, no pueden estar todas en un único correo y pueden tener distintos efectos en cada persona. Cada usuario será más o menos propenso a verse influido por la técnica utilizada y por lo tanto a caer o no en la simulación realizada.
  • La cantidad de correos que cada usuario tenga por leer además del correspondiente a la simulación.
  • La carga de trabajo de cada usuario, por ejemplo, si se encuentra en un día repleto de actividades o es un día de trabajo relajado, o bien si se encuentra de vacaciones o en un viaje de trabajo, por mencionar algunos casos.
  • El medio por el cual cada usuario controle su correo electrónico, como por ejemplo un ordenador o dispositivo móvil.
  • La situación personal de cada usuario, lo cual incluye su situación económica, sentimental, estado anímico, etc.
  • La conformidad y grado de satisfacción de cada usuario respecto a la organización en la que lleva a cabo su actividad laboral.
  • El grado de atención y concienciación de cada usuario.
  • El grado de interacción de cada usuario con sus compañeros de trabajo.
  • La posibilidad de que la campaña sea detectada por alguna herramienta tecnológica y en algún momento de su ciclo de vida comience a mostrar algún tipo de advertencia a los usuarios.
  • Etc.

Una única simulación de Phishing, nos brindará un resultado sesgado por todos los factores mencionados y más. Es común desear que una campaña sea perfecta y represente de manera fiel y objetiva el estado de nuestra capa de seguridad humana, pero esto no se corresponde con la realidad.

Imaginemos, considerando lo analizado hasta ahora, si deseamos medir una línea base o justificar la inversión en concienciación con una única simulación de Phishing, por dar un ejemplo. Podremos concluir rápidamente que esta no es la mejor manera de lograrlo.

Cómo proceder frente a esta realidad

Ya hemos concluido que una simulación aislada no nos será de demasiada utilidad. Es por esto que en cambio debemos realizar un conjunto de simulaciones dentro del período que deseemos evaluar.

Estas campañas deben variar en cuanto a su temática, día y horario en que son enviadas, grupo de usuarios destinatarios, tipo de engaño, grado de personalización, etc.

De esta manera, lograremos un conjunto de estadísticas por cada simulación que podremos sumarizar y así, podremos lograr un resultado promedio que se corresponda de manera más fiel a la realidad de nuestra organización. Esto es así ya que cada simulación habrá sido sesgada por diferentes factores, pero en su conjunción, estaremos disminuyendo la influencia que cada factor pudo tener en dicho sesgo y lograremos así un resultado más representativo.

Esta forma de trabajar, nos permitirá además obtener métricas valiosas sobre nuestros usuarios, como los escenarios a los cuales son más sensibles o los horarios en los cuales son más propensos a caer en un engaño, por mencionar sólo algunas.

Como punto extra, nuestros usuarios se encontrarán más atentos, debido a que estaremos enviándoles simulaciones con una frecuencia suficiente como para que vayan tomando la costumbre y desarrollando el hábito de pensar dos veces antes de realizar una acción dentro de su correo electrónico.

Hay vida más allá de la simulación de Phishing

Dada su popularidad, la simulación de Phishing parece ser lo único que hay que hacer a la hora de concienciar.

¡Nada más lejos de la realidad!

Exámenes, encuestas, módulos interactivos, newsletters, momentos educativos, gamificación, son elementos de gran utilidad en el mundo de la concienciación.

Las personas pasan su día manejando información con niveles de sensibilidad distintos en diferentes medios y situaciones, siendo el Phishing sólo una de las amenazas a las cuales se enfrentan, si bien es una de las más efectivas y recurrentes.

Es por eso que una estrategia de concienciación, además de ser un esfuerzo continuo dentro de las organizaciones, debe hacer uso de diversas herramientas para cubrir en un mayor porcentaje todos los frentes posibles.
Leer Más

martes, 15 de octubre de 2019

La siembra está lista, ¡hora de cosechar direcciones de email!

La siembra está lista, ¡hora de cosechar direcciones de email!


El correo electrónico es un medio utilizado frecuentemente por los ciberdelincuentes para lanzar sus ataques de Ingeniería Social. Éstos disponen de distintas técnicas para obtener las direcciones de email de los usuarios de nuestra organización para luego enviarles sus correos de Phishing.

Entre ellas, una de las más sencillas y efectivas consiste en buscar directamente los correos de nuestros usuarios en Internet, haciendo uso de técnicas de OSINT. Esto es así ya que las que se encuentren de esta manera tienen una probabilidad alta de ser direcciones reales de un usuario. Otras técnicas, como la enumeración de direcciones de correo electrónico mediante el uso de diccionarios y fuerza bruta, pueden generar una gran cantidad de correos que no son válidos.

Inteligencia de fuentes abiertas

El término OSINT, por sus siglas en inglés de Open Source Intelligence, se refiere a datos recopilados de fuentes disponibles públicamente para ser utilizados en un contexto de inteligencia [1]. Básicamente, las fuentes de información OSINT hacen referencia a cualquier información desclasificada y públicamente accesible en Internet de forma gratuita [2].

Utilizando estas fuentes, los ciberdelincuentes pueden simplemente buscar la presencia de correos corporativos de nuestra organización en foros, redes sociales, comunidades en línea, comentarios en periódicos, etc.

Fruto de comportamientos inseguros

Si no generamos conciencia de manera continua a los usuarios de nuestra organización, éstos pueden llevar a cabo comportamientos inseguros como utilizar su correo corporativo para acciones inapropiadas que terminen dando lugar a la filtración del mismo en sitios públicos de Internet.

Una vez hecho esto, es solo cuestión de tiempo para que un ciberdelincuente comience a utilizar dicho correo para enviar trampas de Ingeniería Social.

Incluso, al analizar la estructura de un correo filtrado, es posible inferir correos de otros usuarios de mayor interés, como el del CEO de una organización. Por ejemplo, si el correo filtrado es nombre.apellido@organización.com, es muy probable que conociendo el nombre del CEO de dicha organización (que se puede conseguir por ejemplo en LinkedIn) un ciberdelincuente ya disponga de su correo.

Existen otros motivos por los cuales se puede filtrar un correo electrónico, como por ejemplo la fuga de información causada por ataques informáticos. Es por esto que siempre se recomienda tener más de una capa de seguridad para afrontar cada posible riesgo que afecte a nuestra información.

Qué hacer ante esta situación

Controlar

Por un lado, es una buena idea conocer el grado de exposición que poseen las cuentas de correo electrónico de nuestra organización actualmente. Para esto, en SMARTFENSE dejamos a disposición una herramienta gratuita que brinda un listado de los correos electrónicos que se encuentran públicos en Internet con el dominio de nuestra organización, analizando para esto diversas fuentes abiertas como Google, Bing, LinkedIn, Twitter, Duckduckgo, etc.

Identificados estos correos, es menester alertar específicamente a los usuarios correspondientes para prevenirlos en caso de recibir algún ataque de Ingeniería Social. Además, podemos solicitar que den de baja el servicio en específico que estén utilizando con su correo corporativo.

Prevenir

Por otro lado, es necesario que realicemos acciones continuas que aumenten la conciencia involucrando a todos los usuarios de nuestra organización.

De esta manera, podremos inculcar comportamientos seguros como el uso responsable de las cuentas de correo corporativo o la identificación y correcta reacción frente a las trampas de Phishing que pudieran recibir.

Esto permitirá disminuir la probabilidad de que nuestros usuarios filtren nuevas direcciones corporativas a la vez de reducir el riesgo de sufrir una fuga de información o instalación de Malware por medio de un ataque de Ingeniería Social.

Referencias

Leer Más

viernes, 11 de octubre de 2019

¿Cuáles son los riesgos de colocar archivos en la nube?

¿Cuáles son los riesgos de colocar archivos en la nube?


Estar por las nubes tiene sus riesgos, y no nos referimos a estar distraído o abstraído, aunque también está relacionado ya que el mayor peligro es mostrarse despistado ante las amenazas que nos acechan. Dicho esto, queremos centrarnos en un importante riesgo para las compañías: que un usuario coloque información confidencial en nubes públicas sin consentimiento.

Actualmente, en unos pocos minutos y sin gastar dinero, cualquier usuario puede crearse una cuenta en un servicio en una nube pública. Si estas nubes son utilizadas para almacenar y compartir datos de la compañía estaremos en problemas, ya que se trata de un elemento externo fuera de nuestro control.

Nuevas modalidades de trabajo, nuevos desafíos

En la década pasada, las compañías podían plantearse medidas de restricción técnicas para que los usuarios no empleen este tipo de servicios. Pero en la actualidad, es impensado que un empleado no tenga acceso a Internet, pues es muy común que lo necesite para su trabajo.

El problema de utilizar soluciones de intercambio de archivos de terceros es que los datos generalmente se extraen del entorno de TI de nuestra organización, lo que significa que las preferencias de privacidad de éstos están fuera de nuestro control. De esta manera, una gran cantidad de información que se suponía que no debía compartirse podría terminar siendo expuesta públicamente o ante ciberdelincuentes

La fuga de información, el principal riesgo

La nube pública es un proveedor externo. Si un usuario coloca información confidencial de nuestra organización allí, ésta se encontrará en peligro de ser accedida por dicho proveedor, lo cual dependerá de las propias prácticas de privacidad y seguridad de éste. Además, es posible que dicho proveedor sufra un ataque informático o incluso que las cuentas sean comprometidas por los propios usuarios de la nube, por ejemplo, a través de una trampa de phishing.

También es posible que un cibercriminal realice prácticas de snooping para conseguir acceso a los dispositivos electrónicos de la víctima, en concreto, aquellos donde están configuradas sus cuentas de servicios en la nube que pueden ser de índole personal o profesional: correo electrónico, Dropbox, Google Drive, etc.

Medidas de protección

  1. Informar a los usuarios sobre cuáles son las reglas organizacionales con respecto al intercambio y almacenamiento de archivos. Aquí claramente debe indicarse cuáles son las tecnologías y proveedores autorizados, y cuáles no.
  2. Concienciar sobre los riesgos que implica utilizar esos servicios tanto para la organización como para ellos mismos, ya que muchas veces solo conocen los beneficios de los servicios de la nube pública pero no los peligros.
  3. Dar a conocer cuáles son los mecanismos para que la información sea resguardada correctamente frente al uso de servicios autorizados, como por ejemplo la utilización de herramientas de cifrado, contraseñas fuertes, autenticación de dos factores (2FA), entre otros.
  4. Utilizar controles técnicos como el cifrado de archivos y soluciones de gestión de derechos de acceso (IRM por sus siglas en inglés: Information Rights Management) que permiten a los usuarios disponer de una forma ágil pero segura de manejar archivos que excedan la frontera de la organización. 

Trabajando con capas de seguridad

Las medidas de protección mencionadas anteriormente no pueden ser suficientes por sí mismas, sino que se necesita la combinación de ellas para lograr un nivel de riesgo aceptable para la organización.

En seguridad de la información no existen las soluciones mágicas, y la seguridad en capas es siempre la mejor opción.

CTO at AceroDocs
Leer Más

domingo, 6 de octubre de 2019

Cómo hacen spoofing a un dominio que posee SPF, DKIM y DMARC correctamente configurados

Cómo hacen spoofing a un dominio que posee SPF, DKIM y DMARC correctamente configurados


Si nuestro servidor de correo electrónico no se encuentra configurado correctamente, es posible que un ciberdelincuente se conecte al mismo y envíe emails dentro del dominio de nuestra organización utilizando como emisor y receptor cualquier dirección de correo electrónico que exista dentro de dicho dominio. Todo esto sin necesidad de autenticarse mediante el uso de credenciales.

De esta manera, es posible saltar protocolos de seguridad como SPF, DKIM y DMARC, así como también otras soluciones de seguridad implementadas como filtros anti SPAM o listas negras, ya que el correo lo envía el propio servidor de correo electrónico de la organización de manera interna.

¿Cómo es esto posible?

Open Relay

Un servidor SMTP configurado para permitir que cualquier usuario de Internet lo utilice para enviar un correo electrónico a través de él se denomina Open Relay.

Esta solía ser la configuración por defecto en muchos servidores de correo, pero esto cambió debido a su explotación por parte de ciberdelincuentes, principalmente para el envío de SPAM. Actualmente, un servidor configurado de esta manera es incluido directamente en listas anti SPAM debido a su potencial mal uso.

¿Combatiendo el SPAM?

Para no ser considerado abierto, un servidor de correo SMTP debe estar configurado para aceptar y reenviar solo los siguientes mensajes:

  1. Mensajes provenientes de direcciones IP locales a buzones locales
  2. Mensajes provenientes de direcciones IP locales a buzones no locales
  3. Mensajes provenientes de direcciones IP no locales a buzones locales
  4. Mensajes provenientes de clientes autenticados y autorizados

En definitiva, con el fin único de combatir el SPAM, el servidor no debe aceptar ni reenviar correos electrónicos arbitrarios desde direcciones IP no locales a buzones no locales por parte de un usuario no autenticado o no autorizado.

Cualquier otra regla que un administrador decida hacer cumplir debe ser añadida a las mencionadas, sin reemplazarlas. De lo contrario, el servidor se considerará abierto y por lo tanto será añadido a listas negras de SPAM.

Mirando de cerca el punto 3

Si observamos con atención, el punto 3 de la configuración mencionada, permite que el servidor de correo SMTP acepte mensajes provenientes de direcciones IP no locales siempre que éstos tengan como destinatarios a buzones locales.


De esta manera, sin dudas se combate el envío masivo de SPAM, porque sólo se podrá utilizar cada servidor para enviar SPAM únicamente a los buzones locales del mismo, lo cual no es rentable en el mundo del correo no deseado.

Pero esto, sin embargo, abre la puerta a los ciberdelincuentes para llevar adelante el conocido Fraude del CEO (BEC por sus siglas en inglés) con gran facilidad. Esto es así ya que, si no se realizó ninguna configuración adicional, el ciberdelincuente podrá enviar correos electrónicos a cualquier usuario de una organización, utilizando el propio servidor de correos de la misma, suplantando la identidad de cualquier miembro, incluido el CEO. Por ejemplo, es posible enviar un correo desde ceo@dominio-organizacion.com hacia finanzas@dominio-organizacion.com sin ningún problema.


Si un usuario no se encuentra correctamente concienciado, es muy susceptible a confiar en un correo electrónico cuyo emisor sea una persona de autoridad de su organización. De hecho, este tipo de engaños demuestra ser muy efectivo y de manera cotidiana se pueden ver nuevos casos en las noticias [1] [2] [3].

Compruebe la configuración de su servidor

En SMARTFENSE dejamos a su disposición una herramienta gratuita que le permitirá conocer si la configuración de su servidor de correo SMTP permite que cualquier persona se conecte y realice los pasos necesarios para enviar un correo de suplantación de identidad (spoofing).

Compruebe la configuración de su servidor de correo y conciencie a sus usuarios para detectar este tipo de engaños.

Referencias

Leer Más

viernes, 9 de agosto de 2019

Protege cuanto quieras tu dominio, utilizaré uno similar para mis trampas

Protege cuanto quieras tu dominio, utilizaré uno similar para mis trampas



Ya hemos visto en este blog cómo proteger un dominio de falsificaciones de manera de disminuir el riesgo de que un ciberdelincuente suplante la identidad de nuestra organización utilizando nuestro mismo dominio en sus correos de Phishing.

Esto, sin embargo, no detendrá a un ciberdelincuente. Lo más común en este caso es que, frente a la protección del dominio original, utilice un dominio similar, pero no igual.

Por lo general este es un camino fácil, y puede llegar a ser igual de efectivo que utilizar el dominio real de la organización.

Técnicas utilizadas

Existen muchas técnicas que pueden ser utilizadas por un ciberdelincuente para derivar nombres de dominio alternativos que sean similares en su estructura, fonética y sintaxis al original.

Entre ellas, podemos mencionar:

Addition / Omission

La técnica Addition consiste en añadir alguna letra extra al dominio en cuestión.

Por ejemplo para smartfense.com, tenemos:
  • smartfensee.com
  • smarttfense.com

Una técnica similar es la de Omission, consistente en eliminar una letra del dominio en cuestión.

Por ejemplo para smartfense.com, tenemos:
  • smarfense.com
  • smartense.com

Bitsquatting

Consiste en un nombre de dominio que difiere en un carácter al nombre original. Frecuentemente esta diferencia puede ser vista como un error aleatorio de tipeo.

Por ejemplo para smartfense.com, tenemos:
  • smartf3nse.com
  • snartfense.com

Homoglyph

En ortografía y tipografía, un homoglifo es un carácter o una cadena de caracteres con formas que aparentan ser idénticas o no pueden distinguirse mediante una inspección visual rápida

Un típico caso de esto es la utilización de una letra ‘r’ seguida de una letra ‘n’ para simular una letra ‘m’.

Por ejemplo para smartfense.com, tenemos:
  • srnartfense.com
  • srrartfense.com

Subdomain

Consiste en dividir el dominio en subdominios, separando el mismo en algún lugar de su cadena de caracteres mediante un punto.

Por ejemplo para smartfense.com, tenemos:
  • sma.rtfense.com
  • smar.tfense.com

Cómo proceder frente a este riesgo

En SMARTFENSE poseemos una herramienta gratuita llamada DNSTwist que permite:
  • Obtener una lista de dominios similares al consultado, utilizando las técnicas mencionadas y otras extra.
  • Conocer, por cada dominio, si se encuentra registrado o no, y obtener detalles de los registros DNS involucrados.

¿Qué significa que un dominio similar se encuentre registrado?

Esta situación no siempre significa que el dominio ha sido registrado por un ciberdelincuente. Es posible que se trate de un dominio utilizado de manera legítima

Sin embargo, es una buena idea revisar este tipo de reportes de manera periódica ya que pueden aparecer dominios registrados con intenciones maliciosas y podemos encontrar en ellos contenido que comprometa nuestra organización.

¿Podemos lograr un control absoluto de los dominios similares al nuestro?

Como menciona el creador de la herramienta DNSTwist, la imaginación de los ciberdelincuentes no tiene límites.

Es imposible que logremos un control absoluto de todas las posibilidades que puede manejar un ciberdelincuente a la hora de buscar un dominio para sus engaños.

Como todo en seguridad, esta es una capa más que aportará a la disminución del riesgo de sufrir una suplantación de identidad de nuestra organización.
Leer Más

viernes, 26 de julio de 2019

No More Ransom: 108 millones de razones para celebrar su tercer aniversario

No More Ransom: 108 millones de razones para celebrar su tercer aniversario



En el año 2016 comenzaba la alianza de SMARTFENSE con No More Ransom, el mismo año en que esta gran iniciativa salía a la luz para unir al mundo en la lucha contra el Ransomware.

Hoy se cumple el tercer aniversario de su lanzamiento, y desde entonces, No More Ransom ha ayudado a más de 200000 víctimas de Ransomware a recuperar sus archivos de forma gratuita

Con visitantes de 188 países, el proyecto se ha convertido en una parada obligatoria para las víctimas de Ransomware, registrando ya más de 3 millones de visitas individuales en su corto período de vida. 

Gracias a la cooperación de más de 150 partners, desde que la iniciativa fue lanzada, el modelo de negocio delictivo detrás del Ransomware se ha visto gravemente afectado, habiéndose evitado que aproximadamente 108 millones de dólares caigan en manos de ciberdelincuentes.

Con 14 nuevas herramientas añadidas en 2019, el portal tiene la capacidad de descifrar 109 tipos diferentes de infecciones de Ransomware, un número que sigue creciendo mensualmente. 

Los esfuerzos contra el Ransomware GandCrab, considerado uno de los ataques más agresivos del año 2018, hablan de este éxito: desde el lanzamiento de la primera herramienta GandCrab, casi 40000 personas han desencriptado sus archivos con éxito, evitando así el pago de aproximadamente 50 millones de dólares en rescates.

No More Ransom, lanzado inicialmente en inglés, ya está disponible en otros 35 idiomas. El inglés, coreano, holandés, ruso y portugués figuran entre los 5 principales idiomas, seguidos del francés, chino, alemán, español e italiano. Esta variedad de idiomas da fe de la naturaleza global del Ransomware.

Steven Wilson, Director del Centro Europeo de Ciberdelincuencia (EC3) de Europol, dijo: «Cuando observamos de cerca el Ransomware, vemos lo fácil que puede infectar un dispositivo en cuestión de segundos. Con un clic incorrecto, las bases de datos, imágenes y una vida de recuerdos pueden desaparecer para siempre. No More Ransom ofrece esperanza a las víctimas, una ventana real de oportunidades, pero también transmite un mensaje claro a los delincuentes: la comunidad internacional se encuentra unida con un objetivo común y los éxitos operativos están y seguirán llevando a los delincuentes ante la justicia».

No More Ransom es la primera asociación público-privada de su tipo que ofrece a las víctimas de Ransomware una solución ante la pérdida de sus valiosos archivos y brinda una alternativa al pago del dinero exigido por los delincuentes

SMARTFENSE se enorgullece de formar parte de esta gran iniciativa, junto con otras 42 agencias de la ley, 5 agencias de la UE y 100 entidades públicas y privadas que se han ido sumando a No More Ransom con el correr de los años.

Para cerrar este artículo, dejamos a disposición la infografía oficial de No More Ransom con los datos estadísticos mencionados:



Leer Más

lunes, 20 de mayo de 2019

¿Es mi dominio Spoofeable?

¿Es mi dominio Spoofeable?


Breve introducción al spoofing

El spoofing o suplantación en el ámbito de la seguridad de la información se define como:

el uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. [Wikipedia]
Una de las técnicas de Phishing más utilizadas por los ciberdelincuentes consiste justamente en hacer spoofing de direcciones de correo electrónico. Puntualmente, reemplazan el remitente (campo FROM) de sus correos electrónicos por otro falso.

¿Qué correos pueden utilizar?

Prácticamente puede suplantar con éxito cualquier correo, siempre y cuando su dominio no esté protegido correctamente.

Por lo tanto, sin las medidas adecuadas, un ciberdelincuente podría hacerse pasar por cualquier persona de cualquier organización en sus correos electrónicos.

¿Cómo proteger un dominio de falsificaciones?

Existen protocolos de seguridad que sirven para prevenir la suplantación de identidad. Dichos protocolos son:
  • SPF: Identifica los servidores SMTP autorizados a enviar correos en un dominio.
  • DKIM: Añade una firma digital a los correos legítimos mediante el uso de criptografía.
  • DMARC: Permite aplicar políticas de cuarentena y rechazo frente a aquellos correos que no cumplen correctamente con los protocolos SPF y DKIM.
En el anexo de este post, se puede encontrar más información sobre cómo implementar cada uno de ellos.

Implementados correctamente, pueden prácticamente mitigar el riesgo de spoofing de nuestro dominio. Esto no quita que los ciberdelincuentes utilicen un dominio similar pero no igual al de nuestra organización para su suplantación de identidad. Una técnica menos efectiva, pero similar en su concepción.

A continuación, dos capturas de la herramienta de Simulación de Phishing de SMARTFENSE, donde se demuestra que no es posible suplantar el dominio de linkedin.com, pero sí es posible enviar correos de simulación de Phishing a nombre de linkediin.com sin problemas.


El dominio linkedin.com se encuentra correctamente protegido frente al spoofing



El dominio linkediin.com no está protegido frente al spoofing

¿Cómo saber si un dominio es spoofeable?

Para conocer si alguien puede hacer spoofing en un dominio, existe la herramienta gratuita de SMARTFENSE que realiza un checkeo del mismo contra los protocolos SPF y DMARC.

Se considerarán spoofeables los dominios que cumplan con una o más de las siguientes condiciones:
  • Falta de un registro SPF o DMARC
  • Registro SPF que no especifica los atributos ~all o -all
  • Registro DMARC cuya política está establecida en p=none o directamente no está definida
Por lo tanto, para que se pueda pasar con éxito este test, debe configurarse SPF y DMARC de manera correcta.

Anexo

Los siguientes enlaces han sido publicados en el webinar "Phishing y Ransomware últimas tendencias de protección" y contienen toda la información que necesita saber sobre los protocolos SPF, DKIM y DMARC, como así también asistentes recomendados para cada uno de los registros.

Chequeo de SPF y DMARC

SPF

Documentación oficial:http://www.openspf.org/

DKIM

Asistentes:
Documentación oficialhttp://www.dkim.org/index.html#docs

DMARC

Asistentes: En la página de recursos de la web oficial del estándard existen varios asistentes que le ayudarán a crear un registro DMARC. Por ejemplo esteeste o este otro.
Documentación oficialhttps://dmarc.org/wiki/FAQ



Leer Más

miércoles, 8 de mayo de 2019

La ciberseguridad, asunto de todos

La ciberseguridad, asunto de todos

Por fortuna, el tópico de la seguridad informática cobra mayor relevancia día a día. Esto queda demostrado en la sucesión de eventos que transcurren en diferentes partes del mundo, congregando a especialistas en la materia y generando espacios de discusión sobre las mejores alternativas para enfrentar las complejas amenazas que atentan contra la información más sensible.

Durante el mes de abril asistimos a eventos en 4 ciudades diferentes, en 3 países distintos. Cada uno con sus particularidades, todos aportaron oportunidades y visiones para ocuparse de la ciberseguridad. 

“La transformación digital de los negocios requiere políticas de seguridad acordes”




La ciudad costera de Porto, en el noroeste de Portugal, fue testigo de la International Cybersecurity Conference 2019 el pasado 3 de abril, gestionado por el IDC. El evento congregó más de 500 asistentes y reunió 20 oradores de diferentes organismos y compañías, quienes disertaron en torno a las soluciones de seguridad que pueden ayudar en la transformación digital de los negocios. Nuevas amenazas aparecen diariamente y la reforma regulatoria presiona a los altos mandos a tomar cartas en el asunto. 

SMARTFENSE brindó su apoyo auspiciando el espacio del auditorio donde los asistentes podían atender todas las disertaciones en un ambiente de concentración. Las presentaciones estuvieron focalizadas en las soluciones de seguridad exitosas, promoviendo su ejecución en base a los resultados comerciales positivos que favorecieron su aceptación por parte de los altos mandos en las empresas que las implementaron. 

“El gran reto en la nueva era digital es cómo transformar a las organizaciones” 




Coincidiendo en fecha y en objetivos, el 3 de abril también inició el Congreso & Expo ASLAN en el Palacio Municipal de Congresos de Madrid, organizado por la asociación ASLAN con el apoyo de empresas asociadas y las principales instituciones del sector.

En esta vigésimo sexta edición, el evento reunió más de 6.000 interesados en conocer las soluciones tecnológicas de los principales fabricantes internacionales y la visión de especialistas en «servicios, aplicaciones e infraestructuras conectadas para hacer posible la Transformación Digital». CyberSecurity, Data Management, Artificial intelligence, IoT Platforms, Cloud, Mobility, Collaboration Solutions, son algunas de las categorías que agrupaban las últimas innovaciones tecnológicas. Cómo transformar las organizaciones es el gran reto en la nueva era digital y el foco principal del Congreso.

SMARTFENSE compartió el espacio de stand con Lidera Network, mayorista de valor agregado distribuidor de SMARTFENSE en España, aunando los esfuerzos por brindar las mejores soluciones en seguridad informática ajustadas a las necesidades de las diferentes industrias. 

Durante la segunda jornada del evento, nuestro CEO Mauro Graziosi expuso su presentación “Fortalece la Capa de Seguridad más importante: el Usuario”. Las acciones de capacitación y concienciación favorecen los hábitos seguros en los usuarios finales, y ayudan a cumplir con la actual normativa europea en protección de datos -GDPR-.

“La ciberseguridad es un tema serio, pero puede discutirse con una cerveza de por medio”




Vicon es una propuesta diferente. Según cuentan sus creadores, todo comenzó en julio de 2017, cuando en Vigo se hizo por primera vez aquello del Hack&Beers. La idea era generar un clima de charlas distendidas sobre seguridad informática, donde los asistentes además de aprender, disfrutaran de una buena cerveza, con su posterior networking entre ponentes y asistentes.

El asunto fue cobrando relevancia y atrajo participantes de diferentes ámbitos, no solo tecnológico, sino también personal de fuerzas y cuerpos de seguridad del estado, así como abogados especialistas en nuevas tecnologías. 

SMARTFENSE patrocinó esta tercera edición realizada el 13 de abril, donde asistimos atentos a todas las exposiciones. Obviamente, no faltó oportunidad para degustar las ricas comidas y charlar con grandes profesionales, entre quienes podemos nombrar a nuestro colega José A. Cascallana.

“Se debe trabajar en las condiciones para crear un ciberespacio como espacio de paz”




Del otro lado del continente, SegurInfo se erige como el principal Congreso anual de seguridad de la información, que incluye un intensivo programa de sesiones de seguimiento y actualización en la materia. Los ponentes provienen de las esferas públicas, el campo académico y la industria. En esta ocasión, el evento contó con la presencia de la Ministra de Seguridad de la Nación, Patricia Bullrich. 

Al igual que otros años, auspiciamos la edición del 23 de abril realizada en Argentina, y organizada por la Asociación USUARIA. "La estrategia nacional de cara al futuro es generar planes de capacitación y concientización, desarrollar recursos preparados, y crear un marco normativo acorde que permita un ciberespacio como espacio de paz", aseguraron Pablo Lázaro, Director de Investigaciones de Ciberdelito del Ministerio de Seguridad de la República Argentina y Leandro de la Colina, Responsable de Ciberseguridad en la Secretaría de Modernización de la Nación Argentina. 

Cierre

Estas jornadas son el espacio de encuentro de expertos abocados a garantizar la seguridad de la información en sus diferentes aristas y profesionales interesados en resguardar sus activos más sensibles de las amenazas del mundo de hoy. El intercambio favorece el enriquecimiento mutuo. Nuestro compromiso es seguir nutriéndonos de los eventos y continuar trabajando para garantizar la mejor solución a las necesidades reales
Leer Más

lunes, 29 de abril de 2019

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness (II)

Hora de arremangarse: Empujando a Moodle para realizar Security Awareness (II)


En esta segunda entrega y continuando con el primer artículo de la serie, hablaremos con más detalle del gran esfuerzo que tiene que realizar cualquier organización para que su plataforma Moodle funcione de manera correcta y segura cuando es empleada como plataforma de concienciación en ciberseguridad.

Errores de calidad y de seguridad

Como veremos, una aplicación web como Moodle (o cualquier sistema de gestión de aprendizaje genérico o LMS) necesitará de recursos humanos dedicados que le proporcionen una supervisión continua para poder mantenerla libre de errores ya sean de calidad (suelen afectar funcionalidades de la aplicación) o de seguridad (implican habitualmente la extracción o modificación no autorizada de datos o dejar la plataforma inaccesible).

Vulnerabilidades

Los sistemas de gestión de aprendizaje o simplemente gestores de aprendizaje son aplicaciones web complejas, habitualmente con multitud de módulos y complementos, muchos de los cuales no son implementados por el desarrollador del propio gestor.

Lo anterior provoca que haya más posibilidades de que aparezcan errores de seguridad debido a que tenemos una mayor superficie de ataque. Puede comprobarse cómo un gran porcentaje de ataques en el pasado han tenido como vector de entrada el aprovechamiento de un error de seguridad debido a un módulo o complemento desactualizado.

Los errores de seguridad, también denominados vulnerabilidades, son los errores más temidos por los responsables de seguridad de las organizaciones, ya que podrían permitir a un ciberdelincuente realizar diferentes acciones que, en última instancia, podrían afectar a la actividad normal de la organización o incluso hacer que su valor se redujese y en los casos más extremos hacer que la propia organización desapareciera.

Sólo en los últimos 7 años, el portal CVE Details que recopila las vulnerabilidades públicas notificadas a MITRE, ha listado un total de 292 vulnerabilidades de seguridad para la plataforma Moodle. Haciendo cálculos, esta cifra supone que ha aparecido de media, prácticamente, una vulnerabilidad de seguridad cada semana en los últimos 7 años.

Número de vulnerabilidades de la plataforma Moodle de las tipologías más frecuentes en los últimos 7 años. Fuente: CVE Details.

Si la tendencia de aparición de vulnerabilidades se mantiene (no hay datos que indiquen lo contrario), el personal técnico a cargo del mantenimiento del Moodle de la organización tendría que hacer, por lo tanto, un sobreesfuerzo para mantenerlo saludable y libre de errores y conseguir de esta manera, no sólo que la aplicación web funcione correctamente, sino que, por ejemplo, datos sensibles de la misma o de sus empleados no caigan en manos indeseadas.

Mantenimiento

Una vez desplegado el gestor de aprendizaje, en principio, podría parecer que la única preocupación sería la gestión misma de los contenidos de aprendizaje, pero nada más lejos de la realidad. Se deberán realizar ciertas labores de mantenimiento de manera periódica para que la plataforma se encuentre libre de todo tipo de errores.

En el caso de Moodle, por ejemplo, las labores de mantenimiento implicarían, al menos, la realización de las siguientes acciones:
  • Realización de copias de respaldo
  • Parcheo de la plataforma
  • Actualizaciones importantes de la plataforma (en ocasiones implica una instalación completa del gestor)
  • Actualización de complementos 

Como vimos, en nuestro caso, prácticamente cada semana habría que parchear la plataforma, lo que conllevaría además una indisponibilidad asociada. Así mismo, después de cada actualización o parcheo, habría que comprobar que la plataforma está operando con normalidad y que no han aparecido nuevos problemas, como por ejemplo, incompatibilidades con algún complemento o comportamientos inesperados.

Todas estas acciones implican un gran esfuerzo humano y por lo tanto, económico, que en muchas ocasiones las organizaciones no pueden permitirse.

Conclusión

Puede resultar muy apetecible utilizar un gestor de aprendizaje genérico para realizar concienciación en ciberseguridad pero hay que medir las consecuencias que van aparejadas a dicha decisión.

La constante aparición de vulnerabilidades, unida a la complejidad de los actuales gestores de aprendizaje, hará que el proceso de mantenimiento del gestor corporativo sea una labor difícil y costosa

Además hay otras acciones que van ligadas al uso de un LMS que añadirán un esfuerzo extra tales como la realización de copias de seguridad o la preocupación por la disponibilidad del servicio.

En cualquier caso, será la propia organización la que valore en última instancia si le compensa o puede permitirse el sobreesfuerzo de usar un sistema de gestión de aprendizaje como plataforma corporativa de concienciación en ciberseguridad.
Leer Más