Noticias de DotForce

Breach & Attack Simulation: por qué es la evolución del Pentesting

Abr 11, 2023 | Marcas, Seguridad

El primer paso para entender el concepto “Breach & Attack Simulation” (BAS por sus siglas en inglés) es conocer lo que es el Pentesting, también conocido como Test de Penetración o Prueba de Penetración. En los últimos años, el Pentesting se ha convertido en una piedra angular del proceso de gestión de la seguridad de los datos en las empresas.

Cierto es que validar concretamente el nivel de resistencia frente a una amplia gama de vulnerabilidades bien conocidas, mejora significativamente la postura de seguridad. Sin embargo, las amenazas no sólo crecen en cantidad, sino también en calidad: la explotación de vulnerabilidades menos conocidas o difíciles de remediar hace necesario validar la seguridad cada vez con más frecuencia, con especial incidencia en los vectores de ataque más complejos.

Estas son las razones que han conducido al desarrollo de las modernas herramientas de simulación de ataques, llamadas BAS por su nombre en inglés (Breach & Attack Simulation). Los BAS son soluciones de software altamente automatizadas, capaces de lanzar ataques realistas contra una red y de superar muchas de las limitaciones de las pruebas de penetración tradicionales.

Diferencia entre Test de Penetración y Breach & Attack Simulation

El Test de Penetración se basa en el enfoque de la detección de todas las vulnerabilidades que podrían permitir a un atacante potencial obtener accesos o privilegios no deseados dentro de una infraestructura informática. Para ello, se intentan varias técnicas con un enfoque eficaz, con el fin de detectar la mayor cantidad posible de vulnerabilidades. Por lo tanto, no se adoptan criterios específicos para que los sistemas de defensa detecten esta actividad, ya que el objetivo es una exploración de gran alcance, realizada en el mayor número posible de activos. De hecho, a menudo esta tarea se coordina con el Blue Team de la empresa, quienes pueden definir reglas de exclusión adecuadas, para evitar que la actividad del pentester sea identificada como malévola y obstaculizada por los programas de defensa instalados.

En resumen, un Test de Penetración no suele trabajar en profundidad, ya que de lo contrario sería necesario interactuar con el Blue Team para eliminar todas las barreras que el pentester se esfuerza por superar después de haber lanzado ciertas técnicas, a menudo eficaces pero fácilmente detectables por las herramientas de defensa.

“Breach & Attack Simulation” o BAS hace referencia a una metodología que permite a las organizaciones simular toda una cadena de ciberataques en su infraestructura de red. A diferencia de los tests de penetración, que suelen ser realizados por un hacker ético humano, la automatización permite a las soluciones BAS garantizar resultados coherentes y reproducibles, reduciendo así tanto el coste como el tiempo necesarios para realizar las actividades de Red Teaming.

Red Teaming, un enfoque más realista

Es precisamente la idea de Red Teaming la que constituye la segunda diferencia clave entre Pentesting y Breach & Attack Simulation. BAS adopta en su lugar la filosofía de evaluación del Red Team: al igual que en un escenario de ataque real, el software tiene como objetivo atacar determinados puntos críticos, eludiendo las defensas y dejando poco o ningún rastro. Los sistemas de protección de la red se mantienen normalmente activos, con el fin de evaluar su eficacia más allá de la posible presencia de vulnerabilidades clasificables según un CVE (Common Vulnerabilities and Exposures). Hoy en día, estas vulnerabilidades no son el recurso más utilizado por los ciberdelincuentes más peligrosos, que en su lugar realizan ataques selectivos.

Concretamente, muchas soluciones BAS simulan escenarios de ataque típicos de distintos grupos cibercriminales, siguiendo las secuencias técnicas predeterminadas de técnicas, y funcionan de acuerdo al modelo de la Lógica Difusa, ampliamente utilizada actualmente. En cambio, las soluciones más innovadoras pueden realizar un razonamiento contextual, basado en la información que obtienen, y crear un escenario dinámico, emulando el comportamiento de un atacante experimentado, a veces incluso utilizando algoritmos de IA y ML. Evaluar la eficacia de los sistemas de defensa en la identificación y neutralización de comportamientos inusuales es el principal objetivo de la validación por parte de un BAS, que de hecho restringe la gama de técnicas probadas, seleccionando sólo aquellas con mayores probabilidades de éxito, y realiza las comprobaciones más indirectas posibles antes de intentar un ataque, con el fin de reducir la posibilidad de que los sistemas de defensa lo descubran, incluso antes del inicio del ataque.

Los actores de la simulación: Red Team, Blue Team y Purple Team

Podemos encontrar una buena definición de la expresión “Red Team” en el libro “Red Team Development and Operations” de Joe Vest y James Tubbervill:

“Red Teaming es el proceso de utilizar tácticas, técnicas y procedimientos (TTPs) para emular una amenaza del mundo real, con el objetivo de medir la eficacia de las personas, procesos y tecnologías utilizadas para defender un entorno”.

Para simular correctamente todos estos procedimientos, y evaluar así la capacidad de reacción de la organización, el Red Team deberá alcanzar su objetivo sin que el personal encargado de proteger a la organización de los ciberataques lo detecte. Este equipo, que podríamos catalogar como el “adversario” del Red Team, es lo que se denomina “Blue Team”.

Una vez más, en “Red Team Development and Operations” de Joe Vest y James Tubberville se ofrece una buena definición de este proceso:

“Los Red Teams se utilizan para medir la eficacia de las personas, los procesos y la tecnología utilizados para defender una red, formar o medir a un Blue Team (operaciones de seguridad defensiva), y probar y comprender amenazas específicas o escenarios de amenazas”.

Además, en los últimos años ha surgido otro actor, el Purple Team. Su papel principal es supervisar la actividad de los otros dos equipos, con el fin de optimizar los resultados. Esto no sólo implica ser un mediador entre el Red Team y el Blue Team, sino que también garantiza una visión de conjunto desde una perspectiva, que es diferente tanto de la posición del atacante como de la del defensor. Gracias a esta metodología menos conocida pero no por ello menos importante, la organización puede tener una idea mucho más clara de su exposición a un ataque objetivo y de su reacción ante el mismo.

Por último, el siguiente gráfico muestra la cobertura IPDRR (Identificar, Proteger, Detectar, Responder, Recuperar), en función de la metodología adoptada por la organización

Brecha de origen interno y externo

Todo lo dicho hasta ahora se refiere en particular a los aspectos relacionados con una actividad interna, en la que se supone que se ha producido una intrusión (brecha). En realidad, el ataque a menudo se lleva a cabo externamente, a través de un sistema de Command & Control, que intenta establecer una conexión con las máquinas comprometidas dentro de la red, con el fin de realizar nuevos ataques y extraer datos sensibles.

Este último escenario es poco probable que ocurra con un Test de Penetración: normalmente, en el caso de un Pentesting Interno la actividad se limita a la ejecución de técnicas desde dentro de la red, mientras que un Test de Penetración Externo evalúa las vulnerabilidades que podrían conducir a una brecha, y no las consecuencias reales de la misma. Por el contrario, un BAS simula una brecha, poniendo a prueba la capacidad de los mecanismos de defensa para impedir la extracción de datos, así como para dificultar la conexión de un atacante desde el exterior.

Plan de remediación y mitigación

Tanto el Test de Penetración como el BAS conducen a un Plan de Remediación como resultado final, es decir, un plan de acción sugerido para mitigar las vulnerabilidades detectadas. En el caso del Test de Penetración, esas vulnerabilidades se refieren en la mayoría de los casos a errores de software, sistemas obsoletos y políticas por actualizar: por lo tanto, suele ser posible eliminar con precisión y casi en su totalidad las fugas identificadas.

En el caso de BAS, la principal herramienta de mitigación está representada por los sistemas de “Detección y Respuesta” instalados, ya que en la mayoría de los casos se realizan técnicas que explotan vulnerabilidades difícilmente controlables y corregibles. Esto puede dar lugar a la necesidad de adoptar soluciones de defensa alternativas, que además se adapten mejor a las características de la propia infraestructura, o de revisar la configuración de las existentes, para hacerlas más sensibles a actividades inusuales, como las que se llevan a cabo durante un BAS.

Estas medidas aumentan la capacidad de defensa de forma complementaria a un Test de Penetración. Es por ello que la utilización de un software BAS es cada vez más decisiva para determinar el nivel de seguridad de una infraestructura informática.

Cómo puedo probar una solución Breach & Attack Simulation

Si deseas conocer más a fondo lo que un BAS puede ofrecerte, te recomendamos que visites la página sobre ZAIUX® Evo. ZAIUX® Evo es la última solución de Pikered que permite a cualquier MSP o MSSP realizar un Breach & Attack Simulation sin necesidad de tener conocimientos sobre ciberseguridad. Además, si eres un MSSP con un equipo capacitado para realizar la remediación de amenazas y brechas de seguridad, ¡ZAIUX® Evo te ayudará a incrementar tus ingresos y a ahorrar tiempo!

Artículo basado en las siguientes publicaciones:
Why Breach & Attack Simulation is the evolution of Penetration Test
Red Team and Penetration Test: differences and objectives

Caballo de Troya como servicio, patrocinado por China

Feb 22, 2023 | Autenticación, Marcas, Seguridad

Hace un par de días leí la noticia “Olvídate de los globos. ¿Están los chinos espiando a todo el mundo a través de cámaras de vigilancia convencionales?” (en inglés). Este artículo relata las sospechas del Gobierno de Australia de que el Partido Comunista Chino y el Gobierno Chino están recibiendo imágenes capturadas con esas cámaras de vigilancia. De hecho, el senador australiano James Patterson afirmó en un tweet que “Hay casi 1.000 cámaras vinculadas al Partido Comunista Chino instaladas en algunos de nuestros departamentos y organismos más sensibles del Gobierno de la Commonwealth.”. La “crisis de los globos” ha generado gran preocupación en todo Occidente, pero quizá la mayor amenaza no sea tan fácilmente visible. Quizá el mayor peligro tenga forma de un “Caballo de Troya como servicio” en dispositivos en los que invertimos para proteger nuestro entorno.

Durante mucho tiempo nadie le daba importancia a que un país tan autoritario y opaco como China fuera el origen de la mayoría de los dispositivos tecnológicos de seguridad en funcionamiento en Occidente. Y eso que es de sobra conocido que el Gobierno Chino está detrás de diversas APT y multitud de ciberataques a organizaciones públicas y privadas en todo Occidente. Estos son solo algunos ejemplos de los muchos casos recientes: [1] [2] [3], incluso hay un artículo en Wikipedia sobre la “Ciberguerra de China” y desde Australia se asegura que China es responsable de 2 de cada 3 ciberataques patrocinados por estados. Por suerte, cada vez hay más conciencia del peligro que supone confiar en tecnología que proviene de países donde los Gobiernos controlan a las empresas y que buscan, potencialmente, comprometer a empresas y organismos públicos legítimos mediante un Caballo de Troya escondido en un dispositivo de seguridad.

Detectar un Caballo de Troya en un dispositivo no es tarea fácil

El reto de detectar cuándo un dispositivo está comprometido es difícil de superar. Normalmente, los indicios solo aparecen después de detectar un ataque, y muchos de ellos pueden pasar desapercibidos durante mucho tiempo. Es por eso que tenemos que exigir transparencia en el proceso de fabricación. Y cuando hablo de fabricación, no lo limito al desarrollo del software, ni siquiera al procedimiento de ensamblado, sino a la fabricación de todos los componentes electrónicos. Un procedimiento de fabricación realmente transparente debe incluir la trazabilidad de los componentes electrónicos del dispositivo.

No es mi intención señalar a ningún fabricante de hardware concreto, pero en este punto me veo en la obligación de hablar de lo que creo que es un error de, no un fabricante de hardware, sino un gigante tecnológico que está entre las 4 mayores empresas del mundo, Google, y que podría poner en peligro a multitud de organizaciones legítimas. Igual que le hemos agradecido repetidamente a Google que fuera, junto con Yubico, el principal impulsor de la creación de FIDO U2F, el estándar que revolucionó el MFA hace ya casi 10 años, ahora toca darle un tirón de orejas al gigante con sede en Mountain View.

Google comercializa unas llaves de seguridad fabricadas por una compañía china, y las vende con la marca “Google”. Google asegura que sus llaves incluyen un firmware diseñado por sus ingenieros que impide que la llave sea comprometida. No obstante, multitud de expertos en ciberseguridad consideran esta acción insuficiente para garantizar que las llaves no están comprometidas [4] [5] [6]. Esto ya ha ocurrido con el hardware de otras compañías en el pasado que incluían un Caballo de Troya, llegando a afectar en algún caso a compañías como Amazon o Apple, según publicó Bloomberg.

La transparencia es la clave para confiar en un dispositivo

La muestra de que las cosas se pueden hacer de otra forma la tenemos muy cerca. En DotForce hemos apostado muy fuerte por Yubico, un fabricante de llaves de seguridad de origen europeo con una política de transparencia ejemplar.

Yubico apuesta firmemente por la transparencia en el proceso de fabricación y solo fabrica sus llaves en Suecia y Estados Unidos. Además, los componentes electrónicos utilizados son fabricados en la Unión Europea. Sus estándares de calidad son muy altos, al igual que los de seguridad. Un ejemplo es que, al igual que otros fabricantes, Yubico desarrolló una llave de seguridad Bluetooth, pero tras exhaustivas pruebas, desechó comercializar ese producto, a pesar de haber realizado una inversión importante en este desarrollo. El motivo fue que la tecnología inalámbrica Bluetooth presenta unos inconvenientes que pueden comprometer la seguridad y usabilidad de un dispositivo de seguridad.

Además, en el marco de su programa “Secure it Forward“, por cada 20 llaves vendidas Yubico dona una llave para proteger a entidades y organizaciones amenazadas y sin ánimo de lucro que protegen a periodistas en países autoritarios, organizaciones de derechos humanos, redes que luchan por preservar la integridad democrática y organizaciones que trabajan para fomentar la diversidad en la tecnología y la seguridad.

En conclusión, es importante que las organizaciones de todo tipo sean conscientes del riesgo asociado con los dispositivos fabricados en países con regímenes autoritarios como China, que habitualmente seducen a los compradores por su precio más bajo.

Es responsabilidad de los fabricantes y los gobiernos garantizar que los dispositivos sean seguros y no comprometan los derechos fundamentales de los usuarios. Los fabricantes deben ser transparentes sobre los países en los que se fabrican sus dispositivos y tomar medidas para garantizar la seguridad y la privacidad de los usuarios.

Criptografía post-cuántica: definición y situación actual

Feb 3, 2023 | Marcas

La criptografía post-cuántica o PQC (también conocida como criptografía a prueba de computación cuántica, segura frente a la computación cuántica o resistente a la computación cuántica) es aquella que es realizada se refiere a algoritmos criptográficos, generalmente algoritmos de clave pública, que se espera que sean seguros frente a un ataque cripto-analítico por parte de un ordenador cuántico.

Criptografía Post-Cuántica explicada

Más allá de la definición anterior, para entender la criptografía post-cuántica tenemos que explicar lo que es un ordenador o computador cuántico. Los ordenadores cuánticos son máquinas que utilizan procesos de mecánica cuántica para resolver problemas matemáticos difíciles o irresolubles para los ordenadores binarios convencionales. Para determinadas tareas, los ordenadores cuánticos funcionan mucho más rápido que los ordenadores binarios tradicionales, basados en una lógica fundamentada en 3 estados. Tienen el potencial de revolucionar la informática, las comunicaciones y la inteligencia artificial. Sin embargo, si esta tecnología cae en las manos equivocadas, será capaz de descifrar información cifrada con criptografía asimétrica, utilizada hoy en día para el cifrado de información. Los ordenadores cuánticos romperían muchos de los criptosistemas de clave pública en uso, comprometiendo la privacidad y la seguridad de las comunicaciones digitales en Internet y otros lugares.

El objetivo de la criptografía post-cuántica es crear sistemas criptográficos que sean seguros. Pero no solo frente a los ordenadores cuánticos sino también frente a los convencionales. Además, y al mismo tiempo, deben ser compatibles con los protocolos y redes de comunicación existentes. El Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos está en proceso de selección, evaluación y normalización de algoritmos de criptografía post-cuántica. El objetivo de este programa es producir algoritmos de criptografía post-cuántica que sean resistentes a los ataques de los ordenadores cuánticos y puedan incorporarse fácilmente a las plataformas informáticas existentes.

Soluciones resistentes a la Computación Cuántica en la actualidad

En consonancia con las actividades del NIST, Utimaco proporciona soluciones a prueba de computación cuántica en línea con el estado actual de la técnica. Esto permite a las empresas proteger sus sistemas contra ataques basados en ordenadores cuánticos. Un diseño criptoágil permite a los usuarios actualizarse rápidamente a algoritmos mejorados de forma eficaz y con el mínimo esfuerzo, cuando estos estén disponibles. Tales optimizaciones incrementales son probables, ya que los ordenadores cuánticos apenas están emergiendo. Lo más probable es que las pruebas, las vulnerabilidades de día cero y las lecciones aprendidas produzcan actualizaciones periódicas.

La extensión de firmware Q-safe 1.0, combinada con el HSM CryptoServer de Utimaco, permite el uso de nuevos algoritmos desarrollados para resistir a los ordenadores cuánticos. En consecuencia, el doble cifrado, complementado con algoritmos de calidad industrial, garantizará el cumplimiento normativo y reglamentario.

Artículo basado en el texto What is Post Quantum Cryptography (PQC)? de Utimaco.

DNS sobre HTTPS, cómo y por qué debes activarlo

Ene 11, 2023 | Seguridad

Cuando tu navegador accede a un sitio web, primero necesita traducir la URL amigable (como dotforce.es) a la dirección IP del servidor público que aloja ese sitio web. Esto se conoce como búsqueda DNS. El DNS tradicional no está cifrado, a diferencia del tráfico web HTTPS moderno, que hoy en día está cifrado para protegernos de los ciberdelincuentes.

Dado que HTTPS cifra tus comunicaciones con los sitios web una vez que has establecido una conexión, puede que te preguntes por qué importa que la búsqueda inicial de DNS permanezca sin cifrar. El problema es que, con DNS sin cifrar, los atacantes que consigan acceder a tu red pueden ver en qué sitios web estás navegando y, potencialmente, redirigir tus búsquedas DNS a sitios web maliciosos y realizar ataques de phishing.

Cómo funciona HTTPS sobre DNS

DNS sobre HTTPS (DoH) se introdujo para evitar que los atacantes controlen tus hábitos de navegación o te redirijan a sitios web maliciosos con solo espiar el tráfico DNS. DoH combina las consultas DNS con el poder de cifrado de HTTPS en lugar de comunicarse en texto plano. Las búsquedas DNS tradicionales se realizan sin cifrar a través del puerto 53, pero las búsquedas DoH se producen dentro del tráfico HTTPS a través del puerto 443. A partir de Windows Server 2022, el cliente DNS es compatible con DNS-over-HTTPS; se puede habilitar para todos los equipos de Active Directory aplicables a través de la directiva de grupo.

Esta es la visión simple y de alto nivel de DNS sobre HTTPS, pero es todo lo que realmente necesitas saber desde la perspectiva del usuario final. Es una buena práctica habilitar DNS sobre HTTPS cuando sea posible, que es lo que vamos a describir a continuación para Windows 10/11.

¿Solo para Windows?

Aunque en este artículo nos centraremos en Windows 10, siguiendo estos pasos se puede configurar en Windows 11, ya que el procedimiento es muy similar. Además, aunque no lo veremos en este artículo, desde el verano de 2020, iOS y macOS también soportan DNS sobre HTTPS (DoH), así que si eres un usuario de algún producto de Apple, también puedes habilitar DNS sobre HTTPS en tu Mac, iPhone y iPad. Y si, en cambio, eres usuario de Android, este Sistema Operativo es compatible desde su versión Android 9, lanzada en 2018 (inicialmente como DNS sobre TLS -DoT-, y como DoH desde Android 11). Por último, los usuarios de Linux también disponen de múltiples opciones para activarlo.

Por otro lado, muchos navegadores web, incluidos Firefox y los basados en Chromium (como Google Chrome y Microsoft Edge), también son compatibles con DoH si prefieres habilitarla a nivel de aplicación en lugar de a nivel de sistema operativo. Sin embargo, habilitar DoH en tu sistema operativo protege a las aplicaciones que no soportan DoH de forma nativa al darles esa funcionalidad desde el sistema operativo. Además, las búsquedas DNS han sido tradicionalmente una función que corresponde al sistema operativo más que a los navegadores web.

Cómo habilitar DNS sobre HTTPS en Windows 10

Habilitar DNS sobre HTTPS en Windows 10 proporciona la funcionalidad para todos los usuarios y aplicaciones que solicitan búsquedas DNS, incluyendo todos los navegadores web. Ten en cuenta que Windows 10 debe estar actualizado para garantizar que la función DoH esté disponible.

Método 1: Habilitar DoH en el Registro de Windows 10 (recomendado para equipos personales con Windows 10)

Para habilitar DNS sobre HTTPS en el registro de Windows 10 (Compilación 19628 o superior):

Abre Inicio y escribe Editor del Registro para abrir el editor.

Navega a:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

Crea un nuevo DWORD llamado “EnableAutoDoh” y dale un valor de 2.
Reinicia el equipo.
Si los servidores DNS principal y alternativo de tu conexión de red no son compatibles con DNS sobre HTTPS, cambia a servidores compatibles en las propiedades del Protocolo de Internet versión 4 (TCP/IPv4) de tu adaptador en la configuración de red.

Las siguientes direcciones de servidor son actualmente compatibles con DNS sobre HTTPS en Windows 10:

Cloudflare — Principal: 1.1.1.1, Alternativo: 1.0.0.1
Google — Principal: 8.8.8.8, Alternativo: 8.8.4.4
Quad9 — Principal: 9.9.9.9, Alternativo: 149.112.112.112

Método 2: Habilitar DoH en la configuración de red del Sistema Operativo (solo para usuarios de Windows Insider o equipos con Windows 11)

Para activar DNS sobre HTTPS en el menú Configuración > Red e Internet (Compilación 20185 o superior):

1. Selecciona Configuración en el menú Inicio.
2. Abre Red e Internet.
3. En Estado de red, pulsa el botón Propiedades de la conexión a Internet deseada.
4. Haz clic en Editar en Configuración DNS.
5. Selecciona la opción Manual y, a continuación, especifica las direcciones IP DNS principal y DNS alternativa. Los proveedores de DNS actualmente soportados por Windows 10 son:
  - Cloudflare – Principal: 1.1.1.1, Alternativo: 1.0.0.1
  - Google – Principal:8.8.8.8, Alternativo: 8.8.4.4
  - Quad9 – Principal: 9.9.9.9, Alternativo: 149.112.112.112
6. Selecciona Sólo cifrado (DNS sobre HTTPS) para el cifrado en DNS preferido y DNS alternativo.
7. Si lo deseas, puede configurar lo mismo para IPv6 (los pasos anteriores eran para IPv4).

Según Microsoft, “Una vez habilitado el cifrado, puedes confirmar que funciona mirando los servidores DNS aplicados en las propiedades de red y verlos etiquetados como servidores ‘(Cifrados)'”.

Método 3: Habilitar DoH mediante Directivas de Grupo (GPO) (recomendado para entornos corporativos)

Desde Windows Server 2022, es posible habilitar DNS sobre HTTPS a nivel de dominio, cambiando la configuración de forma global mediante la directiva Configurar resolución de nombres DNS sobre HTTPS (DoH), que se encuentra en el Editor de directivas de grupo, en la sección Configuración del equipo\Políticas\Plantillas administrativas\Red\Cliente DNS:

Si deseas añadir un nuevo servidor DoH a la lista de servidores conocidos, puedes utilizar el cmdlet de PowerShell Add-DnsClientDohServerAddress.

Puedes comprobar la lista de servidores DoH utilizados para la resolución de nombres a través de PowerShell con el siguiente comando: Get-DNSClientDohServerAddress.

Preguntas Frecuentes

¿Qué es DNS sobre HTTPS (DoH)?

DNS sobre HTTPS (DoH) es un protocolo para realizar la resolución remota del Sistema de Nombres de Dominio (DNS) a través del protocolo HTTPS.

¿Debo utilizar DoH?

Con DoH activado, podrás eludir la censura, mejorar la seguridad del tráfico de tu red y aumentar la privacidad de tu red.

¿Está DoH activado por defecto?

No, tendrás que habilitarlo manualmente en tu estación de trabajo o a través de la directiva de grupo.

¿Cómo habilito DoH?

En este artículo hemos creado una guía para activarlo en Windows 10. En Windows 11 es muy similar. Para activarlo en MacOS, iOS, Android o Linux, may multitud de tutoriales online.

¿Cómo puedo comprobar la configuración de DoH?

Para comprobar la configuración de DoH en Windows, abre la sección Red e Internet en Configuración, ve a Estado, haz clic en Propiedades y selecciona Editar asignación de IP o Editar asignación de servidor DNS.

¿Es Windows 10 compatible con DNS sobre HTTPS?

DoH es compatible con Windows 10 builds 19628 o superiores.

Artículo basado en la publicación de Dan Piazza en el blog de Netwrix.

Información sobre los productos de Netwrix/Stealthbits en castellano.

Las contraseñas seguras no existen

Oct 20, 2022 | Autenticación

Hoy he leído un artículo en el que se recomienda utilizar contraseñas seguras, escrito por una conocida y reputada empresa de ciberseguridad. De hecho, no es el primer artículo de este tipo que he leído, aparecen de vez en cuando.

¿Existen las contraseñas seguras?

¿Hay contraseñas más seguras que otras? Sí, por supuesto. Hasta ahí todos estamos de acuerdo. Pero lo que no podemos decir es que existen las contraseñas seguras. No lo son. Ni una sola lo es. Las contraseñas, por muy seguras que sean, son una vulnerabilidad. Pueden verse comprometidas a través de múltiples vías como robos, spyware, ingeniería social, phishing, ataques Man-in-the-Middle, etc, e incluso pueden descifrarse con las técnicas existentes, que cada vez son más sofisticadas.

En resumen, las contraseñas, por definición, son vulnerables porque pueden ser comprometidas. De hecho, y por desgracia, son comprometidas continuamente. Todos los días surgen nuevas brechas de seguridad en las que se roban miles de contraseñas. Hay una alternativa a las contraseñas: no utilizarlas.

¿Y si utilizo una OTP como 2FA?

Hay que tener en cuenta que incluso las contraseñas de un solo uso (OTP), que dependen de los secretos compartidos para crear estos códigos temporales, son vulnerables a los ataques de suplantación de identidad y Man-in-the-Middle, por varios motivos.

El primero es que no utilizan criptografía de clave pública, sino que utilizan claves simétricas, esos secretos compartidos que acabo de mencionar y que son los mismos en ambos extremos. Por lo tanto, en caso verse comprometido uno de los extremos, un ciberdelincuente puede generar nuestras OTP siempre que quiera.

Otro problema de las OTP es el método de autenticación. Las OTP no dejan de ser contraseñas, y por lo tanto padecen la mayoría de las vulnerabilidades de las contraseñas estáticas. Por ejemplo, se pueden interceptar, capturar por un keylogger y se pueden robar mediante phishing u otros métodos de ingeniería social.

¿Estamos preparados para eliminar las contraseñas seguras?

Hay datos que así lo afirman. Por ejemplo, Gartner predecía que, para finales de este año, “el 60% de las empresas grandes y globales, y el 90% de las medianas, implementarán métodos sin contraseña en más del 50% de los casos de uso”. Un ejemplo es Microsoft. La compañía que dio luz a Windows, Office o Azure ya no utiliza contraseñas para autenticar a sus empleados.

No obstante, debemos estudiar muy bien el camino que vamos a elegir para implementar la autenticación Passwordless (sin contraseñas). En muchos casos se recurre a métodos que también tienen vulnerabilidades, como las notificaciones push. Las notificaciones push siguen siendo vulnerables a los ataques de phishing y otros ataques de ingeniería social, así que no es recomendable limitar a las notificaciones push la autenticación Passwordless por una cuestión de seguridad, entre otros motivos.

Con FIDO2 por fin tenemos autenticación segura

En este contexto nace el proyecto FIDO2, bajo el cual se ha creado el estándar WebAuthn, que elimina nuestra dependencia de las contraseñas. FIDO2 fue creado por la Alianza FIDO, con Yubico y Microsoft como principales impulsores, y se puede incorporar fácilmente a cualquier aplicación o sistema Cloud.

FIDO2 es la mejora natural de FIDO U2F, el primer estándar 2FA de la FIDO Alliance lanzado en 2013 e impulsado principalmente por Google y Yubico. Este sistema ya utiliza criptografía de clave pública y, por tanto, aporta seguridad en aquellas aplicaciones que lo utilizan. Como referencia, Google lleva más de 10 años utilizándolo y, según han publicado ellos mismos, es el único sistema 2FA / MFA que han utilizado que no ha sufrido ni un solo robo de cuentas. No obstante, FIDO U2F es un 2FA que requiere que el usuario introduzca la contraseña en primer lugar. Al no ser tan cómodo como FIDO2, cuando ambos están disponibles, el sistema solicitará al usuario de forma automática que utilice FIDO2.

Actualmente hay cientos de aplicaciones que han adoptado los estándares de la FIDO Alliance, y continuamente se añaden nuevas aplicaciones al catálogo.

La YubiKey es compatible con cientos de aplicaciones, principalmente a través de los estándares FIDO U2F y WebAuthn (FIDO2).

¿Qué fabricantes utilizan FIDO2?

Existen tokens de hardware y software de varios proveedores que utilizan FIDO2 / WebAuthn para autenticar a los usuarios sin contraseñas. Funcionan de forma similar al chip de las tarjetas de crédito que utilizamos para realizar pagos y sacar dinero de los cajeros automáticos. La única manera de que puedan ser comprometidas es que alguien acceda físicamente a nuestro dispositivo de autenticación y conozca la contraseña o el PIN para desbloquearlo.

Te recomendamos que eches un vistazo a las soluciones de Yubico y HYPR, disponibles en nuestro catálogo y que te ayudarán a deshacerte de las contraseñas y de todas las vulnerabilidades, costes y dolores de cabeza asociados a ellas. También puedes ver las grabaciones de los webinars y los vídeos sobre casos de uso de este tipo de tokens en español en dotforce.es/youtube.

Visítanos en las XVI Jornadas STIC CCN-CERT del 29 de noviembre al 1 de diciembre, donde haremos una demostración de las llaves de seguridad de Yubico.

Active Directory, ese extraño desconocido para el XDR

May 24, 2022 | Ciberataque, Seguridad

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD), en particular, protección de Active Directory con StealthDEFEND. Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El factor tiempo es de vital importancia, ya que de acuerdo con los datos de Stealthbits, el tiempo medio para identificar un ataque es de 197 días, mientras que las empresas que consiguieron contener una brecha en menos de 30 días, ahorraron más de 1 millón de dólares de media.

Las limitaciones de los XDR para proteger Active Directory

Por sorprendente que parezca, en su carrera por desarrollar o adquirir herramientas de seguridad de respuesta automatizada, los proveedores de soluciones XDR se han olvidado de proteger Microsoft Active Directory desde dentro. Las soluciones XDR se basan en logs y en la telemetría de la red para detectar comportamientos anómalos una vez que se ha producido una brecha de seguridad en AD.

La R de XDR significa Respuesta y la D, Detección. En cambio, la X viene de eXtendida, y se refiere a una serie de soluciones de ciberseguridad como SOAR, SIEM, NDR, EDR, etc. Cuando una organización sufre un ciberataque, la solución XDR primero debe detectar el ataque para, posteriormente, responder para intentar detenerlo antes de que cause daños.

Netwrix StealthDEFEND, detección y respuesta desde el propio AD

Netwrix StealthDEFEND for Active Directory complementa las soluciones XDR, colocando un agente ligero en los controladores de dominio que detecta los ataques a Active Directory en tiempo real, antes de que aparezcan en los logs o en el tráfico de red que el XDR está monitorizando, utilizando Inteligencia Artificial o Machine Learning.

StealthDEFEND detecta y detiene los ataques en el lugar en el que suceden, sin depender de logs. La respuesta está guiada por un conjunto de reglas y Playbooks que se invocan automáticamente para responder a los tipos más comunes de ataques a AD como los ataques de fuerza bruta, movimiento lateral, elevación de privilegios, Golden Ticket, Kerberoasting, DCShadow o DCSync entre otros. De esta forma, StealthDEFEND podría responder a los ciberataques incluso antes de que el XDR reciba los logs relacionados con ese ataque.

StealthDEFEND utiliza Inteligencia Artificial y Machine Learning para detectar cualquier comportamiento fuera de lo normal y lo bloquea en tiempo real, antes de que se produzca el ataque. Por eso, la protección de Active Directory con StealthDEFEND es tan eficiente.

Playbooks, la jugada maestra de respuesta automatizada

Actualmente, es imposible para cualquier equipo de seguridad pueda analizar por sí mismo la ingente cantidad de eventos que suceden en una organización. Recuerdo que, en el XI Foro de Ciberseguridad del ISMS Forum celebrado el 12 de mayo de 2022 en Madrid, Lesley Kipling, asesora jefe de ciberseguridad de Microsoft EMEA, reveló que Microsoft recopila nada menos que 24 billones de eventos de seguridad al día. Sí, 24 billones españoles, con 12 ceros después del 24. ¡En un solo día! ¿Os imagináis cómo sería realizar una búsqueda manual entre todos ellos?

Para responder a estos ataques disponemos de los Playbooks, parte esencial de la automatización en ciberdefensa. Se diseñan para anticiparse a los ataques y responder automáticamente. La automatización de la ciberdefensa es una necesidad, porque hace tiempo que los ciberataques se automatizaron, y son tan abundantes que abruman a los equipos de seguridad que utilicen herramientas manuales o incluso semiautomáticas para responder a los ataques.

StealthDEFEND para AD, con su potente funcionalidad de detección y sus Playbooks incorporados, ofrece una capa adicional de seguridad a la protección que proporcionan las soluciones XDR, con la ventaja de que la seguridad se presta desde dentro del AD. Es más, se puede utilizar incluso en ausencia de un XDR. Después de todo, es más efectivo proteger AD en tiempo real desde dentro que esperar a que una solución externa lo haga.

StealthDEFEND también para servidores de archivos

Los cibercriminales buscan dos cosas: credenciales y datos. Por ello Stealthbits también dispone de la solución Netwrix StealthDEFEND for File Systems, que igualmente recurre a Playbooks automatizados para detectar y bloquear en tiempo real actividades sospechosas directamente en los sistemas de archivos como fuga de datos, ransomware, acceso inusual a datos confidenciales o borrado masivo entre otros, sin depender de los logs o de la telemetría de la red y mucho antes de que se detecte desde el XDR.

Conclusión

La ciberseguridad es un campo cada vez más especializado. Con la creciente sofisticación de los ciberataques, una solución XDR no puede responder de forma óptima a todas las amenazas. Si queremos proteger lo más importante, debemos elegir soluciones a medida para detectar los ciberataques y hacerlo lo antes posible para que la respuesta sea efectiva y la infraestructura de la organización permanezca segura.

Para más información sobre Protección de Active Directory con StealthDEFEND visita dotforce.es/sb.

Y si eres distribuidor o MSSP, ¡únete al programa de partners de Stealthbits!

« Entradas más antiguas