Categoría: Noticias de Actualidad

Entérate de lo último en ciberseguridad , bienvenido a nuestro blog de nioticias, donde encontrarás la información técnica más relevante y de calidad, Bienvenido.

En una noticia reciente hablábamos del aumento de incidentes derivados de un uso inadecuado de las tecnologías de la información asociadas al teletrabajo . Frente a las técnicas basadas en Phising, donde salvo una debilidad manifiesta de todo el sistema que permita la dispersión de un Ransonware o la implementación de un componente de conexión reversa, la entrada a través de mecanismos de acceso remoto, brindan al atacante la oportunidad para moverse por la red, hasta conseguir la máxima capacidad de daño que le sea posible.

Pero una vez lograda la intrusión inicial ¿cómo se mueve? ¿qué herramientas emplean?

En las intervenciones de incidentes en las que ha participado el equipo especialista de Sidertia en este último año, hemos podido constatar que uno de los mecanismos que emplean habitualmente los atacantes es la herramienta Cobalt Strike. Por qué de esta herramienta, es una de las respuestas que vamos a dar en este artículo.

Nacida como una solución para los ejercicios de Red Team, con el objeto de poner a prueba la seguridad de los sistemas internos y sus mecanismos de protección, presenta unas características altamente flexibles, siendo a la vez una herramienta muy estable. Aunque es una aplicación de pago desarrollada para ejercicios entrenamientos y test de penetración, se identificó especialmente a lo largo del año 2020, un aumento significativo del empleo de la solución asociada a campañas de Ransomware y la acción de determinados grupos de APT.

Cómo siendo una herramienta de pago, lo estaban empleando, organizaciones orientadas al cibercrimen. Pues básicamente lo que vino a revelar el grupo de investigación de Cisco Talos es que se habían logrado descifrar todas las funciones de Cobalt Strike, haciéndolas disponibles en los sitios de market y foros de redes Darktnet.

El modelo funcional de la aplicación toma como punto fuerte su maleabilidad y la capacidad para llevar a cabo intrusiones dentro de un sistema. Es altamente versátil y presenta funcionalidades desde las más simples a las más altamente complejas y potentes. Dentro de sus capacidades base, se encuentran las siguientes:

  • Detección y reconocimientos

    Permite evaluar software en puestos de trabajo y servidores, para identificar vulnerabilidades con los que llevar a cabo acciones de elevación de privilegios o movimientos laterales.

  • Módulo de paquetes de Ataque

    Proporciona diferentes módulos para llevar a cabo la implementación de los plantones tipo del código dañino. Por ejemplo, llevar a cabo ataques de ingeniería social o la generación de ejecutables y librerías con los que llevar a cabo la implantación de los clientes.

  • Solución de colaboración

    Va a permitir la compartición de información entre grupos atacantes, permitiendo incluso el intercambio o transferencia de equipos comprometidos.

  • Post explotación

    Una vez llevado a cabo la intrusión permite un número significativo de acciones para llevar a cabo en los equipos atacados, empleando funciones propias de los sistemas, sin necesidad incluso de elementos externos al propio S.O..

  • Comunicaciones camufladas

    El tráfico, especialmente de salida, está basado en protocolos tipo como HTTP, HTTPS, DNS o SMB.

  • Pivoting de los navegadores

    Funcionalidad empleada entre otras cosas para llevar a cabo un bypass del doble factor de autenticación.

La operativa base de CS, está basado en una arquitectura típica cliente/servidor.
El servidor (C&C) denominado TeamServer, actúa en modalidad reversa para interactuar con la pieza que se instala en el lado de cliente. Esta operación que es algo muy habitual en aplicaciones tipo troyano reverso u otros mecanismos de explotación o explotación, no constituye en sí mismo algo que haga diferenciable a esta aplicación de otras tantos. ¿Dónde estriba la diferencia entonces?

Posiblemente la popularidad de la aplicación está basada en tres elementos:

  • La versatilidad de los Payload, para incluso llegar a camuflarlos de forma exitosa vinculándose a procesos del sistema.
  • La capacidad para realizar la conexión con el TeamServer.
  • La capacidad nativa para emplear las propias funciones de los Sistemas Operativos Windows con los que llevar a cabo acciones administrativas.

Que la tecnología, y como no, como parte de ella también la ciberseguridad, está en un proceso constante de evolución es algo absolutamente constatable. Hay que adaptarse a las situaciones y la defensa contra las amenazas es una de las necesidades más que evidentes. Aunque es algo que desafortunadamente vemos mucho, las organizaciones hoy en día no pueden plantearse mecanismos de defensa del año 2010, para confrontar frente a las amenazas actuales.

A finales del mes pasado tuvo lugar el III encuentro del Esquema Nacional y las X Jornadas SAT, ambas promovidas por el Centro Criptológico Nacional. Tal y como ya avanzamos Sidertia fue patrocinador estratégico de las mismas. Aunque hubo ponencias muy diversas, cabe destacar como elemento común la necesidad de evolución, la de dar un paso adelante para anticiparse a las amenazas. En general, para ser más proactivos.

Ese cambio, se reflejará como no en la evolución del Esquema Nacional de Seguridad, mediante una actualización de dicha norma, que está en sus procesos finales de evaluación. Vigilancia, perfilado, protección de la cadena de suministros, … son elementos en los cuales en Sidertia ya llevamos trabajando desde hace algún tiempo y son foco fundamental de esta evolución. Sirvan como ejemplo destacado de ese cambio, lo expuesto en las dos primeras ponencias del encuentro.

En la primera de ellas Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de la SGAD, y Javier Candau, Jefe del Departamento de Ciberseguridad del CCN, daban cuenta, además de las cifras en relación con la ciberseguridad en el Sector Público, de los cambios que deparará la actualización del Esquema Nacional de Seguridad

De la evolución de esta norma nos espera una revisión de las medidas, una adaptación para promover la capacidad preventiva, de promover acciones para estar más alerta y asegurar adecuadamente los sistemas de la información frente a los vectores de entrada que emplean hoy en día los atacantes. Ya lo indicábamos al principio, hay que adaptarse, porque queramos o no el grueso fundamental de medidas del Esquema Nacional de Seguridad, data del año 2010.

En general hay una tendencia al incremento de las exigencias. 25 medidas que recoge el actual ENS las van a sufrir, bien de forma considerables o bien de manera moderada, frente a solo 8 en las que se simplificarán. Se eliminarán medidas, más bien se adaptan o se incluyen en otras, y aparecerán 7 nuevas. Entre las medidas de nuevo cuño el concepto de prestación de servicios de nube, la vigilancia o la interconexión de sistemas, son algunas de la cuales las organizaciones deberán dar entrada y enfocar sus esfuerzos.

La segunda de las ponencias, “Prevención proactiva” , fue conducida por Pablo López, Jefe del área de Normativa y Servicios de Ciberseguridad del CCN. A través de una visión basada en lecciónes aprendidas, mostró como habían ido evolucionando las acciones en el mundo de la ciberseguridad. Incluso cómo desde el año 2017 el propio Centro Criptológico Nacional iba aprendiendo y cambiando algunas de las metodologías que empleaban hasta esa fecha. Fue interesante como incidió que la experiencia adquirida en determinados incidentes mostró el camino para cambios en las metodologías. Tanto en cómo debían afrontarse el entendimiento de las amenazas, como en los medios que había que disponer para anticiparse a las mismas.

En las circunstancias actuales no vale esperar a ver si pasa algo, hay que ser más proactivos, más vigilantes y tener más capacidad adaptativa. Hay que conocerse más que nunca. Que una organización sea consciente de su superficie de exposición, implica que tendrá mejor capacidad para anticiparse a una amenaza, y como no, también para dosificar loa esfuerzos.

No vale hoy en día alinear el riesgo a parámetros fijos, que encorseten las medidas a aplicar. Sirva el siguiente ejemplo de dogma antiguo y como debe enfocarse los esfuerzos para ser más eficaces.

Supongamos un sistema altamente crítico, por el tipo de información que se maneja. Inicialmente a buen seguro la organización enfocará muchos esfuerzos en protegerlo debido a la sensibilidad de los datos que se manejan. Pero qué pasa si indicamos que este sistema está totalmente aislado y que hay unos procedimientos operacionales de seguridad, que limitan muchísimo la posibilidad de la exfiltración de información. Por lo tanto, si su superficie de exposición es tan baja, por qué dedicar todos los esfuerzos en blindar a cal y canto, algo que a priori, y si se siguen los procedimientos adecuadamente, es prácticamente inaccesible.

En las circunstancias actuales no vale esperar a ver si pasa algo, hay que ser más proactivos, más vigilantes y tener más capacidad adaptativa.

Por el contrario, la misma organización tiene un sistema altamente interconectado, pero que maneja información de menor sensibilidad. Muy probablemente la tendencia debido a la menor criticidad de los datos pueda ser dotarla de menos recursos en materia de seguridad. Sin embargo, con toda probabilidad, su superficie de ataque sea mayor y por lo tanto su riesgo considerablemente más alto, a pesar de que en apariencia sea menos sensible por la información manejada. Además, toda esa interconexión determina que, si el sistema se ve amenazado, no solo se pone en riesgo su propia seguridad, sino la de todos aquellos otros sistemas con los cuales puede estar conectados.

El riesgo por lo tanto no debe entenderse ya como algo fijo. Si no, plantear una posición más dinámica, más adaptada a las circunstancias a las que se enfrentan las organizaciones. El perfilado para entender las situaciones y adaptar las medidas a aplicar, deben considerarse como una máxima a lograr. Las medidas de seguridad, que tienen que adaptar las organizaciones tendrán una base común mínima, pero a partir de ahí deberán perfilarse en función de su riesgo y este estará basado tanto en la superficie de exposición como en sus casuísticas, ambas revestidas de una visión lo más dinámica posible.

Las medidas pueden cambiar en función de las necesidades de los cambios, de las amenazas, de las vulnerabilidades, de la exposición, … Pero para ello hay que hacer un correcto cribado, un Triaje, para abordar de forma adecuada una situación determinada. Por qué ante un incidente, se intenta corregir todo lo que, durante años no se ha realizado. Por qué aplicar todas las actualizaciones ante una situación de alto estrés, donde la aplicación de actualizaciones o subidas de versiones pueden estar afectando a una producción, que además probablemente y derivado del incidente, ya está lo suficientemente mermado. Es momento de actuar con criterio, con una lógica orientada a la situación, de hacer el correcto Triaje, para acometer las medidas adecuadas al momento que ocupa el escenario. Tiempo habrá de corregir todo lo que durante años no había sido afrontado.

Además, en esta segunda de las ponencias de las que nos hacemos eco, se hizo una Preview de una de las aplicaciones en las que está trabajando conjuntamente Sidertia con el Centro Criptológico Nacional y de la que a buen seguro hablaremos en noticias futuras.

En menos de dos meses, Microsoft ha reconocidos la existencia de dos vulnerabilidades relacionados con el servicio de la cola de impresión. Este servicio necesario para los procesos de impresión es innecesario en muchos servidores y puestos de trabajo, pero sin embargo es habitual encontrárselo activo.

A principios de junio, Microsoft registraba la vulnerabilidad con el código CVE-2021-1675, “Windows Print Spooler Elevation of Privilege Vulnerability”. Esta vulnerabilidad que cambió su estado ya avanzado junio permite la elevación de privilegios y la ejecución de código en el contexto del servicio. Afortunadamente Microsoft sacó una solución para la misma.

A finales de la semana pasada, se hizo pública una nueva vulnerabilidad relacionada con el mismo servicio: la cola de impresión. Aunque en apariencia son vulnerabilidades similares por el contexto de la ejecución y las posibilidades que brinda su explotación, realmente son diferentes. La nueva vulnerabilidad ha sido referenciada con el código  CVE-2021-34527, Windows Print Spooler Remote Code Execution Vulnerability”.

Simplemente ambas vulnerabilidades comparten el vector de ataque de un mismo servicio.

La realidad de esta nueva vulnerabilidad es que se hizo pública junto a una prueba de concepto sobre cómo llegar a explotar la debilidad existente. Aparentemente la publicación constituye un fallo de comunicación entre el equipo de investigación que identificó el problema y Microsoft. Pero a la postre ha resultado en la publicación de un código de explotación totalmente funcional sin una solución válida emitida por el propio fabricante, salvo la de deshabilitar el servicio.

¿Por qué consideramos desde Sidertia esta situación una tormenta perfecta?

Es una vulnerabilidad que permite la elevación de privilegios y la ejecución de código, en un contexto privilegiado.

Existe una prueba de explotación totalmente funcional para esta segunda vulnerabilidad, que ya está circulando activamente por Internet.

Microsoft no ha publicado una solución efectiva más allá de deshabilitar el servicio. Sin embargo esto no es posible en determinados servidores como son los de impresión o algunos puestos de trabajo que tienen configuradas impresoras locales.

Han aparecido dos vulnerabilidades recientes relacionados con el mismo servicio y solo una de ella tiene una remediación efectiva. Puede que muchos administradores incluso las confundan y consideren que la aplicación de los parches para la vulnerabilidad CVE-2021-1675, corrigen ambos fallos de seguridad y esto no es así.

La época estival hace que los departamentos IT tengan el personal reducido. Muchas organizaciones ante esta situación no son proclives a realizar cambios para evitar afectar a la producción. Sin embargo, los atacantes no entienden de esta circunstancia. Al contrario, son totalmente conscientes de este hecho y lo aprovechan en su beneficio.

Screenshot printer windows vulnerability

Esta vulnerabilidad por lo tanto se convierte es un caldo de cultivo idóneo para ataques laterales y explotar código dañino como ransomware. A buen seguro, muchos atacantes que están ya en redes ajenas y donde hasta la fecha no habrían conseguido todavía privilegios máximos, estarán aprovechando esta debilidad buscando objetivos claves en las infraestructuras, con el objeto de causar el mayor daño posible.

Debido al contexto privilegiado en el que necesita ejecutarse el servicio de cola de impresión, poco queda hacer hasta que Microsoft saque un parche que corrija el problema. Simplemente lo que queda es reducir la superficie de exposición, desactivando el servicio donde no sea necesario

Es especialmente crítico que esto se haga en aquellos servidores como los controladores de dominio donde el control de dicho servidor supone un riesgo extremo para la organización. También aconsejamos que los servidores que tienen este tipo de servicios se empleen cuentas con contraseñas diferentes al del resto de servidores. Y por supuesto la administración remota no realizarla nunca con administradores de dominio, sino con cuentas de dominio específicas con privilegios para este tipo de servidores.

Allí donde sea posible, como en puestos de trabajo, se considera adecuado activar un firewall local para limitar el impacto de ejecución remota. Pero debe tenerse en cuenta que la explotación más habitual para el contexto de un equipo tipo cliente es la de aprovechar la vulnerabilidad a través de ejecución local por una navegación inadecuada o por la apertura de adjuntos en correos electrónicos ilícitos.

Estas medidas que realmente no evitan el problemalimitan la posibilidad ante una explotación efectiva, de que el atacante consiga más privilegios en la red de los necesarios, circunscribiendo el impacto a unos servidores o puestos de trabajo concretos.

Hace ya algunos años la Unión Europea inició un proyecto altamente ambicioso pero a la vez apasionante consistente en el despliegue de un sistema europeo de navegación y posicionamiento por satélite: Galileo

Motivado por diversos problemas de los sistemas GPS o GLONASS, la Unión Europea junto a la Agencia Espacial Europea empezó a barajar a finales del siglo XX la idea de disponer de un sistema propio. La idea fue desarrollándose poco a poco y en el año 2003 se anunció oficialmente dicho programa.

 

A lo largo de los años, el sistema ha ido evolucionando y cogiendo cuerpo, tanto por el lanzamiento de los diferentes satélites que son elemento funcional del programa, como de los diferentes componentes que hacen que a día de hoy el Sistema Global de Navegación por Satélite sea una realidad.

 

El proyecto dada su envergadura es sumamente complejo y está compuesto de múltiples componentes. La empresa GMV tras haber resultado adjudicataria de un contrato de la Agencia de la Unión Europea para el Programa Espacial (EUSPA), será responsable de las principales actividades para el suministro del generador de datos de alta precisión (HADG) de Galileo. Este será el sistema encargado de generar las correcciones de alta precisión para la prestación del Servicio Inicial de Alta Precisión (HAS). 

A través de este se garantizará la continuidad de datos empleados para la corrección de órbitas de los satélites, sincronización de relojes, obtención de los indicadores de calidad o los parámetros de servicio entre otros.

 

 

Posicionamiento Sonda Galileo

Galileo: el Sistema Global de Navegación por Satélite Europeo

GMV cuenta con Sidertia Solutions, y su capacidad en materia ciberseguridad, para llevar a cabo procesos de evaluación de seguridad TIC.

El proyecto que está en una fase de cualificación es un hito muy importante que dará paso a la validación anticipando la entrada del sistema en servicio, prevista para el 2022. La incorporación de este sistema supondrá un hito muy importante para la evolución del proyecto Galileo.

Desde Sidertia queremos agradecer a GMV la confianza depositada y estamos orgullosos de poder trabajar en una de las iniciativas estratégicas de la Unión Europea: el proyecto Galileo.

Tal y como se ha ido constatando con el paso del tiempo, el acceso remoto ha constituido un mecanismo ampliamente utilizado por las organizaciones para garantizar la continuidad de las operativas durante la pandemia.

El resultado en general ha sido bastante satisfactorio y por lo tanto el teletrabajo a buen seguro se va a mantener como una de las metodologías para la operación fuera de las instalaciones de la organización.

Sin embargo, también hay que indicar que el número de incidente, provocados por una mala configuración de los sistemas de acceso remoto, ha aumentado significativamente en este último año. El uso de tecnologías empleadas para el teletrabajo indudablemente aumenta la “Superficie de Exposición”. Sin el adecuado refuerzo de seguridad con una orientación hacia el “acceso remoto seguro” las entidades se exponen a situaciones de amenazas que una vez materializadas causan un considerable perjuicio.

Sidertia ha participado durante este año en diversos incidentes de ciberseguridad que vienen derivados de configuraciones de seguridad inadecuadas. El uso ineficaz de los métodos de autenticación, la falta de segregación de roles, el acceso ilimitado a los activos internos de la red, configuraciones erróneas de los mecanismos de intercambio de datos y un largo etcétera de fallos de seguridad, son aprovechados por lo atacantes para la intrusión en los sistemas tecnológicos internos.

¿Cómo aprovecha el atacante dicha situación?

Normalmente el atacante aprovecha de forma inicial una debilidad en los mecanismos de autenticación de los servicios de acceso remoto. El uso de un único factor de autenticación, suele ser uno de los puntos críticos y habitualmente empleados por el atacante para la entrada al sistema. Credenciales robadas, contraseñas reutilizadas o usuarios no segregados son algunos de los problemas que tienen habitualmente las organizaciones con respecto a este tipo de servicios. En las redes Darknet se ha incrementado los procesos de venta de credenciales robadas a usuarios y que pueden ser empleados para acceder remotamente a las entidades.

Aunque lo habitual es que el atacante emplee la debilidad en la autenticación para entrar en el sistema, no es lo único. Otro mecanismo es tomar el control, sin conocimiento del mismo, de un equipo doméstico empleado por un usuario para acceder remotamente al sistema corporativo. Empleado ese equipo como elemento de salto, implantará con posterioridad un sistema de conexión reversa para poder acceder a la infraestructura independientemente del equipo de salto empleado en primera instancia.

Una vez que el acceso se ha realizado, el atacante tendrá como objetivo realizar movimientos laterales para escalar privilegios y llegar al verdadero objetivo del ataque: los datos de la corporación. Es muy habitual que para ello empleen herramientas tales como Cobalt Strike o PowerShell Empire.

Lograda dicha elevación, tendrá en su mano la posibilidad de llevar con éxito diversas acciones:

  • Exfiltrar los datos con el objetivo de venderlos, de realizar una extorsión o incluso de materializar ambas.
  • Iniciar un proceso para degradar el sistema, incluyendo en ello la manipulación de servicios críticos como son los vinculados a las copias de seguridad, preparando el terreno para la última de las acciones a llevar a cabo.
  • Poner en marcha un Ransonware para paralizar la producción, buscando en ello un pago económico por liberar la información secuestrada o la recuperación de los servicios paralizados.
 
 

El uso de tecnologías empleadas para el teletrabajo indudablemente aumenta la “Superficie de Exposición”. Sin el adecuado refuerzo de seguridad con una orientación hacia el “acceso remoto seguro” las entidades se exponen a situaciones de amenazas que una vez materializadas causan un considerable perjuicio.

Pero las organizaciones deben tener en cuenta que el ataque no se circunscribe a estas acciones únicamente. Los ciberdelincuentes van a querer perpetuarse y sin un plan adecuado de expulsión del atacante, la problemática podría llegar a darse nuevamente pasado unos meses.

Sidertia ha contribuido durante este año y medio a analizar los riesgos y a disminuir las amenazas a las que se enfrentan las organizaciones. Disponemos de herramientas para medir la “Superficie de Exposición”, identificar los riesgos TIC a los que se enfrenta la entidad y diseñar un plan de adecuación en materia de seguridad. Este plan tendrá en cuenta diversos factores tales como la definición de una hoja de ruta de remediación a corto, medio y largo plazo, el aprovechamiento de los medios existentes o la definición de procedimientos operacionales de seguridad adecuados para la organización.

Si tu compañía ha sufrido un incidente de seguridad, ¡sabemos a lo que te enfrentas! Hemos participado tanto en la propia coordinación como en el apoyo en las tareas de los propios incidentes. También como no en tareas que derivan en los procesos post incidentes. Con procedimientos reglados, metodologías para la expulsión del atacante o la recuperación de los servicios esenciales y auxiliares, el personal de Sidertia ha ayudado a solventar situaciones altamente críticas.

Una vez que la situación se ha estabilizado y está garantizado que el atacante no tiene ningún control efectivo sobre los sistemas de la información, es momento de ponerse manos a la obra; para mejorar la seguridad corporativa, para evitar que lo que ha pasado vuelva a suceder y al final que con el paso del tiempo, que todo quede en un mal recuerdo.

 
ANA
ANA (Automatización y Normalización de Auditorías) es un sistema de auditoría continua desarrollado por el CCN-CERT que tiene por objetivo incrementar la capacidad de vigilancia y conocer la superficie de exposición. Con esta herramienta se pretende reducir los tiempos en la gestión de la seguridad, mediante una gestión eficiente de la detección de vulnerabilidades y de la notificación de alertas, así como ofreciendo recomendaciones para un tratamiento oportuno de las mismas.

La Agencia Española de Cooperación Internacional para el Desarrollo (AECID) organiza entre el 28 de junio y el 9 de julio del 2021 un Encuentro Internacional en el que se abordará el reto actual de la Administración de Justicia y la puesta en marcha de programas que fomenten y procuren la transformación digital de la Justicia.

En un marco de cooperación de España con diferentes países de Centro y Sudamérica, se abordará el evento teniendo de eje fundamental, cómo la digitalización de la Justicia en España ha sido clave para afrontar la situación devenida de la pandemia.

 

AECID Agencia Española de Cooperación Internacional para el Desarrollo
AECID Agencia Española de Cooperación Internacional para el Desarrollo

Dicho encuentro se llevará a cabo abordando diferentes dimensiones tecnológicas. Ente ellas cabe citar la transformación para el uso del teletrabajo y la operativa en remoto, el refuerzo de la seguridad como elemento catalizador, la capacitación y concienciación, la vigilancia, el seguimiento continuo o el establecimiento de indicadores que permitan evaluar la situación y llevar a cabo la toma de decisiones más adecuada.

Sidertia que ha participado activamente para dicha transformación digital colaborará junto al propio Ministerio y otras entidades en dicho encuentro, a través de una mesa redonda donde se expondrán las contribuciones llevadas a cabo para el acceso remoto seguro y la operativa en modalidad de teletrabajo.

Sidertia una vez más somos Patrocinadores Estratégicos de la #IIIEncuentroENS organizadas por el CCN-CERT Centro Criptológico Nacional  los próximos 24 y 25 de Junio  en Madrid.

El evento tendrá lugar a puerta cerrada con retransmisión en streaming de las diferentes sesiones programadas,  siendo el objetivo principal, continuar ofreciendo un marco común de seguridad al sector público y promover, al mismo tiempo, el intercambio de conocimiento entre las administraciones públicas españolas.

más información

Hackend se trata de una iniciativa puesta en marcha por el Instituto Nacional de Ciberseguridad (INCIBE) para concienciarnos sobre los posibles vectores de ataque y medidas que tenemos que tener en cuenta para proteger el activo más importante de una organización:

El dato.

Prevenir, Detectar y Responder ante las amenazas, hace de tu organización un sitio mas seguro. protege el activo mas importante de tu organización, protege tu dato.

Sidertia

Cada misión está asociada a una situación del día a día en una pyme: la elaboración de un presupuesto, el uso del correo electrónico, la presentación de un nuevo producto en un congreso, un viaje de trabajo, etc. Al principio de cada misión un video cuenta un incidente que ha sucedido en la empresa de Max (fuga de datos, ataque de ingeniería social, infección por malware,…) en el que la información o algún recurso de la empresa se han visto comprometidos.

A esta empresa le pasa de todo: les «fusilan» una oferta, les «mangan» la base de datos de clientes, se infectan con un troyano, acceden a sus sistemas sin permiso, reciben cargos en el banco sin comprar nada,… En cada caso tendrás que ayudar a Max a identificar lo que ha fallado, poner remedio y capturar al cibervillano. Por eso cada misión tiene tres fases:

En la primera fase en la que tendrás que identificar dónde o por qué se ha podido originar el incidente, es decir, las vulnerabilidades que ha aprovechado el ciberdelincuente.
Cuando encuentres las vulnerabilidades podrás comenzar la segunda fase donde ayudarás a Max a redactar un correo a sus empleados. Tendrás que seleccionar las precauciones que han de tomar para que esto no vuelva a ocurrir.
En la tercera fase debes perseguir al cibervillano en sus viajes por todo el mundo dónde podrás obtener pistas hasta que des con él, o ella.


Durante todo el juego tendrás a tu disposición la ayuda de un asistente, CIB, que te dará consejos para conseguir tus objetivos.

Este juego gratuito ha recibido el premio al «Mejor Serious Game» del 2016 en el Fun&Serious Game Festival, dónde también fueron galardonados entre otros: Uncharted 4, Watch Dogs 2, Dark Souls 3, FIFA 17, Forza Horizon 3, Pokémon GO o Civilization.

Hackend Aprende ciberseguridad con INCIBE

Antes de nada expliquemos en que consiste: 

El domain shadowing consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administración de modo que sea posible crear registros DNS para nuevos subdominios. Creando multitud de subdominios, el atacante configura una lista lo más amplia posible. Este comportamiento ha demostrado ser altamente efectivo para evitar técnicas de bloqueo típicas como el blacklisting y/o sinkholing de sitios o direcciones IP.

A diferencia de fast-flux donde se cambia rápidamente la IP asignada a un único dominio, domain shadowing rota subdominios asociados a un dominio. Esos subdominios pueden apuntar bien a una única IP, o aun conjunto de ellas según las necesidades y circunstancias.

Cómo podemos evitar ataques de camuflaje de dominios?

A la hora de navegar por Internet, entrar a una página web o un dominio que ha sufrido un ataque previamente, debemos saber que ese sitio podría ser peligroso y llevarnos a un subdominio desde donde iniciar la descarga de un exploit malicioso. 

Vamos a ver qué podemos hacer para evitar problemas.

Contar siempre con un buen antivirus

Contar con herramientas de seguridad puede protegernos en caso de sufrir algún tipo de problema como este que mencionamos.

Ya sabemos que hay muchas variedades de ataques y software malicioso que de una u otra forma podrían comprometer el buen funcionamiento de los sistemas. Tener un antivirus capaz de prevenir este problema y eliminarlo en caso de necesidad, es muy importante.

Mantener los sistemas actualizados

Por supuesto también debemos mantener en todo momento los sistemas acualizados con las últimas versiones de nuestro software.

En muchas ocaciones los exploits maliciosos que pueden atacar un equipo a través del camuflaje de dominios podrían aprovecharse de vulnerabilidades que existan.

Comprobar los dominios visitados y no exponer datos

Tener en cuenta en todo momento los dominios que estamos visitando también podrían ayudarnos a prevenir este tipo de problemas. Es esencial reconocer aquellos que puedan ser un peligro. Además, debemos evitar exponer datos más allá de lo necesario cuando navegamos por páginas que no sean del todo fiables.

Sentido común o lógica

Por último, aunque quizás lo más importante, el sentido común

  • Evitar errores al navegar,
  • Evitar abrir archivos adjuntos que puedan ser maliciosos
  • Cuidar los enlaces que visitamos

En definitiva, los ataques de camuflaje de dominios podrían comprometer seriamente una página web fiable y convertirla en un sitio peligroso. Es importante que siempre mantengamos la seguridad a la hora de navegar y evitar así problemas que puedan alterar el buen funcionamiento de nuestros dispositivos.

Tras la controversia surgida en torno a la plataforma de videoconferencia Zoom, debido al descubrimiento de una vulnerabilidad que conculca la privacidad del usuario, el Centro Criptológico Nacional CCN-CERT ha redactado un informe para el uso de la aplicación de una forma privada y segura.

En el se detallan algunas de las pautas de seguridad a seguir y las diferentes opciones de la aplicación para su correcto uso.

Con una configuración adecuada, la plataforma puede ser una buena alternativa para realizar servicios de videoconferencia en estos días donde el teletrabajo es de especial relevancia dada la situación de crisis por el COVID19.

Cabe señalar que las vulnerabilidades encontradas en el software han sido parcheadas y corregidas, ya que la pretensión de la empresa desarrolladora es continuar mejorando el servicio. Para ello, realiza webinars semanales para proporcionar actualizaciones sobre privacidad y seguridad a sus usuarios.

Aquí os dejamos toda la información publicada por el CCN-CERT necesaria para su correcto uso e instalación de la aplicación.

Más información:
[1] Blog
[2] Zoom. Webinar
[3] White Paper
[4] Eff.org
[5] Ciberconsejo

ver informe

Adaptamos la
Ciberseguridad 360º
a tu organización.

Distintivo_ens_certificacion_MEDIA
CCN-CERT Acreditación Difusión Limitada
CCN CERT
SidertiaSolutionsIso9001
Sidertia obtiene el certificado en Administración de sistemas por IQNET
Sophos Partner Sidertia Solutions

Copyright © 2022

cookies-sidertia
Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.
Entendido