Noticias de DotForce

Red Eléctrica detecta ataques a sistemas OT antes de la brecha

Red Eléctrica detecta ataques a sistemas OT antes de la brecha

Los ciberataques contra infraestructuras críticas y sistemas físicos van en aumento. En 2022, se detectaron 605 grandes ataques de ransomware OT dirigidos a organizaciones industriales, lo que supone un aumento del 87 % en comparación con el año anterior. Lo que también es preocupante es que el 83% del total de vulnerabilidades analizadas residen en lo más profundo de la red ICS.

Caso práctico: Red Eléctrica y la Tecnología del Engaño para obtener CiberInteligencia con ataques a sistemas OT

Por desgracia, los servicios críticos como los suministros de gas, comunicaciones o, como es el caso que vamos a tratar, electricidad, son objetivo prioritario para los cibercriminales más peligrosos del planeta. Por ello, estos servicios críticos deben contar con protección avanzada que permita defenderse de los Ciberenemigos mejor preparados.

Uno de los mejores casos es el de Red Eléctrica, que utiliza la tecnología The Edge™ de CounterCraft para detectar ataques a sistemas OT antes de que se produzcan daños en la infraestructura de la organización.

Descarga el caso práctico

¿Quieres saber más? Descarga el caso práctico para obtener más información sobre cómo protegemos los sistemas de control industrial de las organizaciones frente a los ataques, y en concreto, cómo Red Eléctrica fue capaz de atraer y desviar al adversario hacia una subestación eléctrica señuelo, al tiempo que protegía sus redes ICS/OT y aprendía de cada movimiento del adversario.

Introduce tus datos en el siguiente formulario y podrás descargar el caso práctico:

"*" señala los campos obligatorios

Persona de Contacto*
Empresa u organización*
Este campo es un campo de validación y debe quedar sin cambios.

Tendencias de CiberSeguridad tras los últimos webinars

Tendencias de CiberSeguridad tras los últimos webinars

Esperamos que hayas regresado de las vacaciones de verano con nuevos bríos y listo para aprender y ponerte al día sobre las últimas innovaciones que hemos cubierto en nuestros webinars entre marzo y julio. En estos webinars, contamos con la participación de grandes expertos que nos hablaron de las últimas tendencias del sector. Así que si no pudiste asistir a alguno de estos webinars, puedes encontrar en este artículo un resumen de cada uno de ellos y los enlaces para verlos en el canal de YouTube de DotForce.

Pero antes de entrar a sintetizar esos webinars, nos gustaría señalar que se está produciendo un gran cambio en el Threat Intelligence. Está evolucionando más allá de limitarse a ver las amenazas genéricas para crear un perfil de los ciberenemigos que apuntan directamente a tu organización.

SpyCloud, VMRay, Pikered, Netwrix, Utimaco

Con SpyCloudVMRay y Pikered podrás concentrarte en lo que es relevante e importante para defender a tu organización. Así, podrás centrarte en identificar los puntos débiles clave para poder reforzarlos, y olvidarte de las amenazas que no te afectan directamente. Es la mejor estrategia para asegurárte de que haces el mejor uso de tus limitados recursos de ciberseguridad.

Y como en ciberseguridad no todo es Threat Intelligence, en los webinars sobre Netwrix y Utimaco descubrirás soluciones que refuerzan tus defensas para mitigar los ciberataques en tiempo real y para asegurar una buena higiene de seguridad respectivamente.

SpyCloud – Descubre tu exposición en la capa más profunda de la Darknet

SpyCloud - Las capas de la Dark WebLa Darknet tiene múltiples capas. La mayoría de las soluciones de Threat Intelligence se centran en la capa superior, la más superficial. En ella, las credenciales robadas que se pueden encontrar son antiguas y menos valiosas para los ciberdelincuentes. Otras soluciones van más allá, hasta las capas intermedias e inferiores, pero ninguna llega hasta el núcleo ni actúa tan rápido como SpyCloud.

SpyCloud, con sede en Austin, Texas, dispone de un equipo humano de inteligencia de élite que se infiltra en las redes de los ciberdelincuentes. Su objetivo es recuperar, no sólo las credenciales robadas, sino también un gran nivel de detalle sobre las máquinas y aplicaciones infectadas, cookies robadas (incluyendo las cookies de sesión), el historial de navegación, etc. Estos datos pueden utilizarse contra tu organización incluso después de limpiar los dispositivos infectados y cambiar las credenciales.

SpyCloud llega directamente a las partes más profundas de la DarkNet en la etapa más temprana de la infección, antes de que los datos expuestos se distribuyan ampliamente en las otras capas de la Darknet. En el webinar “El iceberg del ransomware” entenderás por qué clientes como el CCN-CERT, Google, Apple, Amazon y muchos otros confían en SpyCloud para anticiparse a las amenazas y evitar los ataques.

VMRay – Sandbox de red de Última Generación

vmrayEl malware y los ataques de día cero están diseñados para engañarte, pero los disfraces son ineficaces contra VMRay. La tecnología revolucionaria de VMRay no deja lugar para que un malware se esconda con tácticas evasivas. VMRay te da inteligencia valiosa analizando toda la infraestructura maliciosa y los artefactos asociados, incluidos los ejecutables fileless (sin archivo), las URL, las páginas web, los scripts y los servidores C2, entre otros. El malware incluso será incapaz de saber que ha aterrizado en un sandbox. Descubre esto y mucho más en el webinar ”El malware y los ataques de día cero no tienen dónde esconderse con VMRay”.

Pikered – Breach & Attack Simulation (BAS)

Pikered Breach & Attack Simulation (BAS)Pikered ZAIUX® Evo actúa como si fuera un verdadero hacker malicioso gracias a un potente, sigiloso e inofensivo Malware Ético a tu servicio, diseñado especialmente para entornos Microsoft Active Directory, que no necesita privilegios administrativos en la red objetivo de la prueba. Como resultado, ZAIUX® Evo genera completos informes sin falsos positivos, con las evidencias concluyentes de cada brecha realizada en los sistemas analizados, e incluyendo planes de remediación para resolver las amenazas detectadas. Si quieres ver a este Malware Ético en acción, no te pierdas el webinar “Descubre el Malware Ético con ZAIUX Evo”.

Netwrix – Higiene y Orden

Netwrix capasUna buena higiene nos mantiene sanos y fuertes. El orden nos permite funcionar de forma óptima. Lo mismo ocurre con los sistemas IT. Netwrix se dedica a garantizar que tu entorno IT esté extremadamente limpio y ordenado. Y si un patógeno te ataca, será detectado y eliminado antes de que pueda afectar a la salud de los sistemas IT de tu organización. Como parte de la amplia cartera de soluciones innovadoras de Netwrix encontrarás Netwrix Privilege Secure, que ha cambiado por completo las reglas del juego en lo que respecta a la gestión de cuentas privilegiadas. Netwrix ha eliminado la necesidad de que los administradores utilicen cuentas privilegiadas permanentes. Todo ello está explicado en esta serie de webinars de Netwrix:

Utimaco – Cifrado como infraestructura

Netwrix capasA pesar de que hayas tomado numerosas medidas de seguridad para evitar las brechas de datos, si la información sensible y valiosa de tu organización está en texto claro y sufres un ciberrobo o una fuga de datos, podrías enfrentarte a graves problemas. Sin embargo, si la información está cifrada, no les serviría de nada a los ciberdelincuentes. En el webinar “El cifrado como infraestructura para proteger tus datos”, verás cómo puedes convertir el cifrado en una parte integral de tu infraestructura de procesamiento de la información. Además, esto puedes hacerlo para datos en reposo y en tránsito. Y también descubrirás cómo las soluciones de cifrado pueden garantizar la integridad de tus operaciones críticas.

Futuro del mundo conectado

Permanece atento a los próximos webinars que se celebrarán en 2023 sobre nuevas e innovadoras soluciones centradas en la evolución del Threat Intelligence, que se está convirtiendo rápidamente no solo en una forma de anticiparse a las amenazas, sino también de dar la vuelta a la tortilla y hacer inútiles los esfuerzos de los ciberatacantes y estafadores contra tu organización, proporcionándote los medios no solo para bloquearlos, sino también para impedir que continúen con sus actividades delictivas.

Breach & Attack Simulation: por qué es la evolución del Pentesting

Breach & Attack Simulation: por qué es la evolución del Pentesting

El primer paso para entender el concepto “Breach & Attack Simulation” (BAS por sus siglas en inglés) es conocer lo que es el Pentesting, también conocido como Test de Penetración o Prueba de Penetración. En los últimos años, el Pentesting se ha convertido en una piedra angular del proceso de gestión de la seguridad de los datos en las empresas.

Cierto es que validar concretamente el nivel de resistencia frente a una amplia gama de vulnerabilidades bien conocidas, mejora significativamente la postura de seguridad. Sin embargo, las amenazas no sólo crecen en cantidad, sino también en calidad: la explotación de vulnerabilidades menos conocidas o difíciles de remediar hace necesario validar la seguridad cada vez con más frecuencia, con especial incidencia en los vectores de ataque más complejos.

Estas son las razones que han conducido al desarrollo de las modernas herramientas de simulación de ataques, llamadas BAS por su nombre en inglés (Breach & Attack Simulation). Los BAS son soluciones de software altamente automatizadas, capaces de lanzar ataques realistas contra una red y de superar muchas de las limitaciones de las pruebas de penetración tradicionales.

Diferencia entre Test de Penetración y Breach & Attack Simulation

El Test de Penetración se basa en el enfoque de la detección de todas las vulnerabilidades que podrían permitir a un atacante potencial obtener accesos o privilegios no deseados dentro de una infraestructura informática. Para ello, se intentan varias técnicas con un enfoque eficaz, con el fin de detectar la mayor cantidad posible de vulnerabilidades. Por lo tanto, no se adoptan criterios específicos para que los sistemas de defensa detecten esta actividad, ya que el objetivo es una exploración de gran alcance, realizada en el mayor número posible de activos. De hecho, a menudo esta tarea se coordina con el Blue Team de la empresa, quienes pueden definir reglas de exclusión adecuadas, para evitar que la actividad del pentester sea identificada como malévola y obstaculizada por los programas de defensa instalados.

En resumen, un Test de Penetración no suele trabajar en profundidad, ya que de lo contrario sería necesario interactuar con el Blue Team para eliminar todas las barreras que el pentester se esfuerza por superar después de haber lanzado ciertas técnicas, a menudo eficaces pero fácilmente detectables por las herramientas de defensa.

“Breach & Attack Simulation” o BAS hace referencia a una metodología que permite a las organizaciones simular toda una cadena de ciberataques en su infraestructura de red. A diferencia de los tests de penetración, que suelen ser realizados por un hacker ético humano, la automatización permite a las soluciones BAS garantizar resultados coherentes y reproducibles, reduciendo así tanto el coste como el tiempo necesarios para realizar las actividades de Red Teaming.

Red Teaming, un enfoque más realista

Es precisamente la idea de Red Teaming la que constituye la segunda diferencia clave entre Pentesting y Breach & Attack Simulation. BAS adopta en su lugar la filosofía de evaluación del Red Team: al igual que en un escenario de ataque real, el software tiene como objetivo atacar determinados puntos críticos, eludiendo las defensas y dejando poco o ningún rastro. Los sistemas de protección de la red se mantienen normalmente activos, con el fin de evaluar su eficacia más allá de la posible presencia de vulnerabilidades clasificables según un CVE (Common Vulnerabilities and Exposures). Hoy en día, estas vulnerabilidades no son el recurso más utilizado por los ciberdelincuentes más peligrosos, que en su lugar realizan ataques selectivos.

Concretamente, muchas soluciones BAS simulan escenarios de ataque típicos de distintos grupos cibercriminales, siguiendo las secuencias técnicas predeterminadas de técnicas, y funcionan de acuerdo al modelo de la Lógica Difusa, ampliamente utilizada actualmente. En cambio, las soluciones más innovadoras pueden realizar un razonamiento contextual, basado en la información que obtienen, y crear un escenario dinámico, emulando el comportamiento de un atacante experimentado, a veces incluso utilizando algoritmos de IA y ML. Evaluar la eficacia de los sistemas de defensa en la identificación y neutralización de comportamientos inusuales es el principal objetivo de la validación por parte de un BAS, que de hecho restringe la gama de técnicas probadas, seleccionando sólo aquellas con mayores probabilidades de éxito, y realiza las comprobaciones más indirectas posibles antes de intentar un ataque, con el fin de reducir la posibilidad de que los sistemas de defensa lo descubran, incluso antes del inicio del ataque.

Los actores de la simulación: Red Team, Blue Team y Purple Team

Podemos encontrar una buena definición de la expresión “Red Team” en el libro “Red Team Development and Operations” de Joe Vest y James Tubbervill:

“Red Teaming es el proceso de utilizar tácticas, técnicas y procedimientos (TTPs) para emular una amenaza del mundo real, con el objetivo de medir la eficacia de las personas, procesos y tecnologías utilizadas para defender un entorno”.

Para simular correctamente todos estos procedimientos, y evaluar así la capacidad de reacción de la organización, el Red Team deberá alcanzar su objetivo sin que el personal encargado de proteger a la organización de los ciberataques lo detecte. Este equipo, que podríamos catalogar como el “adversario” del Red Team, es lo que se denomina “Blue Team”.

Una vez más, en “Red Team Development and Operations” de Joe Vest y James Tubberville se ofrece una buena definición de este proceso:

“Los Red Teams se utilizan para medir la eficacia de las personas, los procesos y la tecnología utilizados para defender una red, formar o medir a un Blue Team (operaciones de seguridad defensiva), y probar y comprender amenazas específicas o escenarios de amenazas”.

Además, en los últimos años ha surgido otro actor, el Purple Team. Su papel principal es supervisar la actividad de los otros dos equipos, con el fin de optimizar los resultados. Esto no sólo implica ser un mediador entre el Red Team y el Blue Team, sino que también garantiza una visión de conjunto desde una perspectiva, que es diferente tanto de la posición del atacante como de la del defensor. Gracias a esta metodología menos conocida pero no por ello menos importante, la organización puede tener una idea mucho más clara de su exposición a un ataque objetivo y de su reacción ante el mismo.

Por último, el siguiente gráfico muestra la cobertura IPDRR (Identificar, Proteger, Detectar, Responder, Recuperar), en función de la metodología adoptada por la organización

Cobertura de observación y medición del IPDRR (Identificar, Proteger, Detectar, Responder y Recuperar)

Brecha de origen interno y externo

Todo lo dicho hasta ahora se refiere en particular a los aspectos relacionados con una actividad interna, en la que se supone que se ha producido una intrusión (brecha). En realidad, el ataque a menudo se lleva a cabo externamente, a través de un sistema de Command & Control, que intenta establecer una conexión con las máquinas comprometidas dentro de la red, con el fin de realizar nuevos ataques y extraer datos sensibles.

Este último escenario es poco probable que ocurra con un Test de Penetración: normalmente, en el caso de un Pentesting Interno la actividad se limita a la ejecución de técnicas desde dentro de la red, mientras que un Test de Penetración Externo evalúa las vulnerabilidades que podrían conducir a una brecha, y no las consecuencias reales de la misma. Por el contrario, un BAS simula una brecha, poniendo a prueba la capacidad de los mecanismos de defensa para impedir la extracción de datos, así como para dificultar la conexión de un atacante desde el exterior.

Plan de remediación y mitigación

Tanto el Test de Penetración como el BAS conducen a un Plan de Remediación como resultado final, es decir, un plan de acción sugerido para mitigar las vulnerabilidades detectadas. En el caso del Test de Penetración, esas vulnerabilidades se refieren en la mayoría de los casos a errores de software, sistemas obsoletos y políticas por actualizar: por lo tanto, suele ser posible eliminar con precisión y casi en su totalidad las fugas identificadas.

En el caso de BAS, la principal herramienta de mitigación está representada por los sistemas de “Detección y Respuesta” instalados, ya que en la mayoría de los casos se realizan técnicas que explotan vulnerabilidades difícilmente controlables y corregibles. Esto puede dar lugar a la necesidad de adoptar soluciones de defensa alternativas, que además se adapten mejor a las características de la propia infraestructura, o de revisar la configuración de las existentes, para hacerlas más sensibles a actividades inusuales, como las que se llevan a cabo durante un BAS.

Estas medidas aumentan la capacidad de defensa de forma complementaria a un Test de Penetración. Es por ello que la utilización de un software BAS es cada vez más decisiva para determinar el nivel de seguridad de una infraestructura informática.

Cómo puedo probar una solución Breach & Attack Simulation

Si deseas conocer más a fondo lo que un BAS puede ofrecerte, te recomendamos que visites la página sobre ZAIUX® Evo. ZAIUX® Evo es la última solución de Pikered que permite a cualquier MSP o MSSP realizar un Breach & Attack Simulation sin necesidad de tener conocimientos sobre ciberseguridad. Además, si eres un MSSP con un equipo capacitado para realizar la remediación de amenazas y brechas de seguridad, ¡ZAIUX® Evo te ayudará a incrementar tus ingresos y a ahorrar tiempo!

Artículo basado en las siguientes publicaciones:
Why Breach & Attack Simulation is the evolution of Penetration Test
Red Team and Penetration Test: differences and objectives

Caballo de Troya como servicio, patrocinado por China

Caballo de Troya como servicio, patrocinado por China

Hace un par de días leí la noticia “Olvídate de los globos. ¿Están los chinos espiando a todo el mundo a través de cámaras de vigilancia convencionales?” (en inglés). Este artículo relata las sospechas del Gobierno de Australia de que el Partido Comunista Chino y el Gobierno Chino están recibiendo imágenes capturadas con esas cámaras de vigilancia. De hecho, el senador australiano James Patterson afirmó en un tweet que “Hay casi 1.000 cámaras vinculadas al Partido Comunista Chino instaladas en algunos de nuestros departamentos y organismos más sensibles del Gobierno de la Commonwealth.”. La “crisis de los globos” ha generado gran preocupación en todo Occidente, pero quizá la mayor amenaza no sea tan fácilmente visible. Quizá el mayor peligro tenga forma de un “Caballo de Troya como servicio” en dispositivos en los que invertimos para proteger nuestro entorno.

Durante mucho tiempo nadie le daba importancia a que un país tan autoritario y opaco como China fuera el origen de la mayoría de los dispositivos tecnológicos de seguridad en funcionamiento en Occidente. Y eso que es de sobra conocido que el Gobierno Chino está detrás de diversas APT y multitud de ciberataques a organizaciones públicas y privadas en todo Occidente. Estos son solo algunos ejemplos de los muchos casos recientes: [1] [2] [3], incluso hay un artículo en Wikipedia sobre la “Ciberguerra de China” y desde Australia se asegura que China es responsable de 2 de cada 3 ciberataques patrocinados por estados. Por suerte, cada vez hay más conciencia del peligro que supone confiar en tecnología que proviene de países donde los Gobiernos controlan a las empresas y que buscan, potencialmente, comprometer a empresas y organismos públicos legítimos mediante un Caballo de Troya escondido en un dispositivo de seguridad.

Detectar un Caballo de Troya en un dispositivo no es tarea fácil

El reto de detectar cuándo un dispositivo está comprometido es difícil de superar. Normalmente, los indicios solo aparecen después de detectar un ataque, y muchos de ellos pueden pasar desapercibidos durante mucho tiempo. Es por eso que tenemos que exigir transparencia en el proceso de fabricación. Y cuando hablo de fabricación, no lo limito al desarrollo del software, ni siquiera al procedimiento de ensamblado, sino a la fabricación de todos los componentes electrónicos. Un procedimiento de fabricación realmente transparente debe incluir la trazabilidad de los componentes electrónicos del dispositivo.

No es mi intención señalar a ningún fabricante de hardware concreto, pero en este punto me veo en la obligación de hablar de lo que creo que es un error de, no un fabricante de hardware, sino un gigante tecnológico que está entre las 4 mayores empresas del mundo, Google, y que podría poner en peligro a multitud de organizaciones legítimas. Igual que le hemos agradecido repetidamente a Google que fuera, junto con Yubico, el principal impulsor de la creación de FIDO U2F, el estándar que revolucionó el MFA hace ya casi 10 años, ahora toca darle un tirón de orejas al gigante con sede en Mountain View.

Google comercializa unas llaves de seguridad fabricadas por una compañía china, y las vende con la marca “Google”. Google asegura que sus llaves incluyen un firmware diseñado por sus ingenieros que impide que la llave sea comprometida. No obstante, multitud de expertos en ciberseguridad consideran esta acción insuficiente para garantizar que las llaves no están comprometidas [4] [5] [6]. Esto ya ha ocurrido con el hardware de otras compañías en el pasado que incluían un Caballo de Troya, llegando a afectar en algún caso a compañías como Amazon o Apple, según publicó Bloomberg.

La transparencia es la clave para confiar en un dispositivo

La muestra de que las cosas se pueden hacer de otra forma la tenemos muy cerca. En DotForce hemos apostado muy fuerte por Yubico, un fabricante de llaves de seguridad de origen europeo con una política de transparencia ejemplar.

Yubico apuesta firmemente por la transparencia en el proceso de fabricación y solo fabrica sus llaves en Suecia y Estados Unidos. Además, los componentes electrónicos utilizados son fabricados en la Unión Europea. Sus estándares de calidad son muy altos, al igual que los de seguridad. Un ejemplo es que, al igual que otros fabricantes, Yubico desarrolló una llave de seguridad Bluetooth, pero tras exhaustivas pruebas, desechó comercializar ese producto, a pesar de haber realizado una inversión importante en este desarrollo. El motivo fue que la tecnología inalámbrica Bluetooth presenta unos inconvenientes que pueden comprometer la seguridad y usabilidad de un dispositivo de seguridad.

Además, en el marco de su programa “Secure it Forward“, por cada 20 llaves vendidas Yubico dona una llave para proteger a entidades y organizaciones amenazadas y sin ánimo de lucro que protegen a periodistas en países autoritarios, organizaciones de derechos humanos, redes que luchan por preservar la integridad democrática y organizaciones que trabajan para fomentar la diversidad en la tecnología y la seguridad.

En conclusión, es importante que las organizaciones de todo tipo sean conscientes del riesgo asociado con los dispositivos fabricados en países con regímenes autoritarios como China, que habitualmente seducen a los compradores por su precio más bajo.

Es responsabilidad de los fabricantes y los gobiernos garantizar que los dispositivos sean seguros y no comprometan los derechos fundamentales de los usuarios. Los fabricantes deben ser transparentes sobre los países en los que se fabrican sus dispositivos y tomar medidas para garantizar la seguridad y la privacidad de los usuarios.