Noyb, el Centro Europeo para los Derechos Digitales con sede en Austria, ha presentado una queja contra OpenAI ante la autoridad de protección de datos (DSB) de su país de origen. La organización sin fines de lucro acusó a la compañía de inteligencia artificial de no garantizar la exactitud de los datos personales proporcionados por ChatGPT, según un comunicado publicado el 29 de abril. Noyb dijo que OpenAI era consciente de que su chatbot impulsado por inteligencia artificial había proporcionado a sus usuarios información personal falsa. información durante meses, pero no ha logrado abordar el problema. “OpenAI admite abiertamente que no puede corregir información incorrecta en ChatGPT. Además, la empresa no puede decir de dónde provienen los datos o qué datos almacena ChatGPT sobre personas individuales”, indicó Noyb. “La empresa es muy consciente de este problema, pero no parece importarle. En cambio, OpenAI simplemente argumenta que ‘la precisión fáctica en grandes modelos de lenguaje (LLM) sigue siendo un área de investigación activa’”. Noyb afirmó que estas fallas significan que OpenAI está infringiendo el Reglamento General de Protección de Datos (GDPR) de la UE. En su denuncia, la organización sin fines de lucro solicitó al DSB que llevara a cabo las siguientes acciones: Investigar el procesamiento de datos de OpenAI y las medidas tomadas para garantizar la exactitud de los datos personales procesados en el contexto de ChatGPT. Obligar a la empresa de inteligencia artificial a cumplir con la solicitud de acceso del denunciante. alinear su procesamiento con el RGPD Imponer una multa para garantizar el cumplimiento futuro Maartje de Graaf, abogado de protección de datos de Noyb, comentó en una declaración pública: “Está claro que las empresas actualmente no pueden hacer que chatbots como ChatGPT cumplan con la legislación de la UE. al procesar datos sobre individuos. Si un sistema no puede producir resultados precisos y transparentes, no puede utilizarse para generar datos sobre individuos. La tecnología debe cumplir con los requisitos legales y no al revés”. El procesamiento de datos personales falsos es ilegal según el RGPD Noyb explicó que, aunque la información inexacta puede ser tolerable para ciertos usos (cuando un estudiante usa ChatGPT para ayudarlo con su tarea, por ejemplo), se vuelve ilegal en la UE cuando los datos inexactos son información personal. “Desde 1995, la legislación de la UE exige que los datos personales sean exactos. Actualmente, esto está consagrado en el artículo 5 del RGPD”, argumentó la organización sin fines de lucro. Según el mismo reglamento, el artículo 16 del RGPD otorga a los ciudadanos de la UE el derecho de rectificación si los datos son inexactos. También pueden solicitar que se elimine la información falsa. Finalmente, según el “derecho de acceso” del artículo 15 del RGPD, las empresas deben poder mostrar qué datos tienen sobre las personas y cuáles son sus fuentes. Noyb citó un ejemplo de una figura pública que requirió repetidamente a OpenAI que rectificara o borrara la fecha de nacimiento falsa que ChatGPT proporcionó sobre ellos, pero sus esfuerzos fueron en vano. “Es claramente posible mantener registros de los datos de entrenamiento utilizados, al menos tener una idea sobre las fuentes de información. Parece que con cada ‘innovación’ otro grupo de empresas piensa que sus productos no tienen por qué cumplir la ley”, afirmó De Graaf. Los esfuerzos anteriores de varias autoridades de protección de datos de la UE han sido «infructuosos», señaló Noyb. Noyb fue fundada en 2017 por el activista austriaco de privacidad Max Schrems, quien ha estado luchando contra los abusos de privacidad de datos desde principios de la década de 2010.
Categoría: Ciberseguridad Página 2 de 73
We Live Progress ChatGPT probablemente diría «¡Definitivamente no!», pero ¿aprenderemos alguna lección de la prisa por regular la IoT en el pasado? 11 dic 2023 • , 3 min. leer El ritmo acelerado del avance de la tecnología es un desafío para cualquiera de nosotros, especialmente para los formuladores de políticas del sector público que tradicionalmente siguen en lugar de liderar. La semana pasada, la conferencia Black Hat Europe celebrada en Londres brindó la oportunidad de escuchar directamente a varios empleados del gobierno del Reino Unido y otras personas responsables de asesorar al gobierno del Reino Unido sobre la política de ciberseguridad. Regulaciones tardías y caballos perdidos Todos los gobiernos parecen sufrir por su reacción: cerrar la puerta del establo después de que el caballo se ha escapado es una buena expresión para describir la mayoría de las políticas. Tomemos como ejemplo las conversaciones actuales sobre inteligencia artificial (IA); Los políticos están expresando abiertamente la necesidad de regular y legislar para garantizar que la IA se utilice de forma ética y en beneficio de la sociedad. Pero esto se produce después de que la IA ya existe desde hace muchos años y se utiliza de alguna forma en muchas tecnologías. Entonces, ¿por qué esperar a que surja y esté ampliamente disponible para una audiencia masiva para iniciar una discusión sobre estándares éticos? ¿No deberíamos haber hecho eso antes? Otro ejemplo, y quizás mejor, es la legislación que rodea a los dispositivos de Internet de las cosas (IoT) centrados en el consumidor. El gobierno del Reino Unido publicó una regulación en 2023 que establece requisitos de ciberseguridad específicos que deben cumplir los fabricantes de dispositivos, han surgido leyes similares en la Unión Europea y California implementó requisitos para los fabricantes en 2020. Establecer estándares y pautas para los fabricantes de dispositivos IoT Lo que sigue probablemente debería haber sucedido en 2010, cuando había menos de mil millones de dispositivos conectados a IoT; esperar hasta que hubiera 10 mil millones de dispositivos en 2020, o peor aún, cuando haya cerca de 20 mil millones de dispositivos en 2023, hace que la aplicación de la ley sobre lo que Ya está en el mercado imposible. ¿Lecciones aprendidas o errores por cometer? La discusión del equipo del gobierno del Reino Unido en Black Hat incluyó que ahora se están centrando en los estándares necesarios para los dispositivos de IoT empresariales. Estoy seguro de que la mayoría de las empresas ya han realizado importantes inversiones en dispositivos conectados clasificados como IoT, y que cualquier estándar que se adopte ahora es imposible de imponer retrospectivamente y tendrá poco o ningún efecto sobre los miles de millones de dispositivos que ya están en uso. Las normas y las políticas tienen un propósito y un elemento importante es la educación de la población sobre el uso y la adopción correctos de la tecnología. Usando el ejemplo anterior de IoT para el consumidor, estoy seguro de que la mayoría de los consumidores ahora entienden que es necesario establecer una contraseña única en cada dispositivo y que es posible que necesite actualizaciones frecuentes de software para garantizar la seguridad. ¡Tengo curiosidad por ver si adoptan el consejo! La cuestión de la política y el hecho de que el caballo ya se haya escapado podría ser que los votantes no entenderían por qué su gobierno se centra en cosas de las que nunca han oído hablar. Imagínese si los formuladores de políticas comenzaran a legislar sobre IoT o dispositivos conectados allá por 2008, antes de que la mayoría de nosotros siquiera hubiésemos considerado que podríamos llenar nuestros hogares con dispositivos conectados en tiempo real. Los medios y los votantes habrían considerado que los legisladores estaban desperdiciando el dinero de los contribuyentes en algo de lo que nunca habíamos oído hablar. Sin embargo, en un mundo perfecto, 2008 habría sido un buen momento para establecer estándares para los dispositivos de IoT. De la misma manera, el uso ético de la IA debería haberse discutido cuando las empresas tecnológicas comenzaron a desarrollar soluciones que aprovechan la tecnología, no una vez que comenzaron a lanzar productos y servicios al mercado. Pensamientos de última hora Esta sesión de la conferencia se dividió en dos partes; la primera mitad se utilizó para explicar en qué políticas y áreas se está centrando el gobierno del Reino Unido, mientras que la segunda mitad fue una sesión abierta de preguntas y respuestas con los asistentes. Se consideró que esta segunda mitad estaba «en la sala», lo que permitió a los responsables de las políticas mantener debates abiertos con los asistentes sin la amenaza de que lo discutido pasara al dominio público. Por lo tanto, de acuerdo con los deseos de los oradores y de los demás asistentes, me abstendré de comentar lo que se discutió después de que se hiciera la declaración «en la sala». Sin embargo, para que conste, y como no expresé esto en la sala, no estoy de acuerdo con la implementación de una puerta trasera de cifrado. Antes de ir: Conferencia RSA 2023: cómo la IA se infiltrará en el mundo
26 de abril de 2024Sala de prensaSeguridad móvil/Cibercrimen Se están utilizando actualizaciones falsas del navegador para impulsar un malware de Android no documentado anteriormente llamado Brokewell. «Brokewell es un típico malware bancario moderno equipado con capacidades de robo de datos y control remoto integradas en el malware», dijo la firma de seguridad holandesa ThreatFabric en un análisis publicado el jueves. Se dice que el malware está en desarrollo activo y agrega nuevos comandos para capturar eventos táctiles, información textual que se muestra en la pantalla y las aplicaciones que inicia la víctima. La lista de aplicaciones de Brokewell que se hacen pasar por Google Chrome, ID Austria y Klarna es la siguiente: jcwAz.EpLIq.vcAZiUGZpK (Google Chrome) zRFxj.ieubP.lWZzwlluca (ID Austria) com.brkwl.upstracking (Klarna) Como otras aplicaciones Android recientes Brokewell, una de las familias de malware de este tipo, es capaz de eludir las restricciones impuestas por Google que impiden que las aplicaciones descargadas soliciten permisos de servicios de accesibilidad. El troyano bancario, una vez instalado y ejecutado por primera vez, solicita a la víctima que conceda permisos al servicio de accesibilidad, que posteriormente utiliza para conceder automáticamente otros permisos y llevar a cabo diversas actividades maliciosas. Esto incluye mostrar pantallas superpuestas sobre aplicaciones específicas para robar las credenciales de los usuarios. También puede robar cookies iniciando un WebView y cargando el sitio web legítimo, después de lo cual las cookies de sesión se interceptan y transmiten a un servidor controlado por el actor. Algunas de las otras características de Brokewell incluyen la capacidad de grabar audio, tomar capturas de pantalla, recuperar registros de llamadas, acceder a la ubicación del dispositivo, enumerar las aplicaciones instaladas, registrar cada evento que sucede en el dispositivo, enviar mensajes SMS, realizar llamadas telefónicas, instalar y desinstalar aplicaciones. , e incluso desactivar el servicio de accesibilidad. Los actores de amenazas también pueden aprovechar la funcionalidad de control remoto del malware para ver lo que se muestra en la pantalla en tiempo real, así como interactuar con el dispositivo mediante clics, deslizamientos y toques. Se dice que Brokewell es obra de un desarrollador que se hace llamar «Baron Samedit Marais» y gestiona el proyecto «Brokewell Cyber Labs», que también incluye un cargador de Android alojado públicamente en Gitea. El cargador está diseñado para actuar como un cuentagotas que evita las restricciones de permisos de accesibilidad en las versiones 13, 14 y 15 de Android utilizando una técnica previamente adoptada por ofertas de cuentagotas como servicio (DaaS) como SecuriDropper e implementa el implante troyano. De forma predeterminada, las aplicaciones de carga generadas a través de este proceso tienen el nombre de paquete «com.brkwl.apkstore», aunque el usuario puede configurarlo proporcionando un nombre específico o habilitando el generador de nombres de paquetes aleatorios. La disponibilidad gratuita del cargador significa que podría ser adoptado por otros actores de amenazas que busquen eludir las protecciones de seguridad de Android. «En segundo lugar, las ofertas existentes de ‘Dropper-as-a-Service’ que actualmente brindan esta capacidad como característica distintiva probablemente cerrarán sus servicios o intentarán reorganizarse», dijo ThreatFabric. «Esto reduce aún más la barrera de entrada para los cibercriminales que buscan distribuir malware móvil en dispositivos modernos, facilitando que más actores entren en este campo». Actualización Un portavoz de Google compartió la siguiente declaración con The Hacker News: «Los usuarios de Android están protegidos automáticamente contra versiones conocidas de este malware mediante Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Google Play Services. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes fuera de Play». ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Crédito: Shutterstock Si posee una computadora, mira las noticias o pasa prácticamente cualquier tiempo en línea en estos días, probablemente haya escuchado el término «phishing». Nunca en un contexto positivo… y posiblemente porque tú mismo has sido víctima. El phishing se refiere a una variedad de ataques que tienen como objetivo convencerlo de que entregue datos confidenciales a un impostor. Estos ataques pueden adoptar diversas formas; desde el phishing (que se dirige a un individuo específico dentro de una organización) hasta la caza de ballenas (que va un paso más allá y se dirige a altos ejecutivos o líderes). Además, los ataques de phishing se llevan a cabo a través de múltiples canales o incluso entre canales; desde los ataques más tradicionales basados en correo electrónico hasta los que utilizan la voz (vishing) y los que llegan a través de mensajes de texto (smishing). Independientemente del tipo o canal, la intención del ataque es la misma: explotar la naturaleza humana para obtener el control de información confidencial (cita 1). Estos ataques suelen utilizar varias técnicas, incluidos sitios web suplantados, atacante intermedio y retransmisión o reproducción para lograr el resultado deseado. Debido a su eficacia y simplicidad, los ataques de phishing se han convertido rápidamente en la herramienta elegida por los malos de todo el mundo. Como táctica, la utilizan todos, desde delincuentes de bajo nivel que buscan cometer fraude hasta sofisticados atacantes de estados nacionales que buscan afianzarse dentro de una red empresarial. Y, si bien se puede atacar casi cualquier tipo de información, a menudo los ataques más dañinos se centran en su contraseña, PIN o códigos de acceso de un solo uso: las claves de su reino digital. La combinación puede ser catastrófica. El Informe de investigaciones de violaciones de datos de Verizon 2022 enumera el phishing y las credenciales robadas (que pueden recopilarse durante ataques de phishing) como dos de las cuatro “vías clave” que las organizaciones deben estar preparadas para abordar para evitar violaciones (cita 2). En reconocimiento de la amenaza que representa el phishing, el Memorándum 22-09 de la Oficina de Administración y Presupuesto “Moviendo al gobierno de EE. UU. hacia principios de ciberseguridad de confianza cero” prioriza la implementación de autenticadores resistentes al phishing (cita 3). Entonces, ¿cómo evitas que tus llaves caigan en las manos equivocadas? ¿Qué constituye un autenticador resistente al phishing? La publicación especial del NIST DRAFT 800-63-B4 lo define como «la capacidad del protocolo de autenticación para detectar y evitar la divulgación de secretos de autenticación y resultados válidos del autenticador a una parte impostor que confía sin depender de la vigilancia del suscriptor». Para lograr esto, los autenticadores resistentes al phishing deben abordar los siguientes vectores de ataque asociados al phishing: Sitios web suplantados: los autenticadores resistentes al phishing evitan el uso de autenticadores en sitios web ilegítimos (conocidos como verificadores) a través de múltiples medidas criptográficas. Esto se logra mediante el establecimiento de canales protegidos autenticados para las comunicaciones y métodos para restringir el contexto de uso de un autenticador. Por ejemplo, esto se puede lograr mediante la vinculación de nombres, donde un autenticador solo es válido para un dominio específico (solo puedo usarlo para un sitio web). También se puede lograr mediante la vinculación a un canal de comunicación, como en TLS autenticado por el cliente (solo puedo usar esto a través de una conexión específica). Atacante en el medio: los autenticadores resistentes al phishing impiden que un atacante en el medio capture datos de autenticación del usuario y los transmita al sitio web de confianza. Esto se logra mediante medidas criptográficas, como aprovechar un canal protegido autenticado para el intercambio de información y firmar digitalmente datos y mensajes de autenticación. Entrada de usuario: los autenticadores resistentes al phishing eliminan la necesidad de que un usuario escriba o ingrese manualmente datos de autenticación a través de Internet. Esto se logra mediante el uso de claves criptográficas para la autenticación que se desbloquean localmente mediante un biométrico o pin. Ninguna información ingresada por el usuario se intercambia entre el sitio web de confianza y el autenticador. Repetición: los autenticadores resistentes al phishing evitan que los atacantes utilicen datos de autenticación capturados en un momento posterior. El soporte de controles criptográficos para restringir el contexto y prevenir escenarios de atacantes en el medio también previene los ataques de repetición, en particular la autenticación y los datos de mensajes firmados digitalmente y con marca de tiempo. Por complicado que parezca, hoy en día existen varios ejemplos prácticos de autenticadores resistentes al phishing. Para los empleados federales de EE. UU., la forma más ubicua de autenticador resistente al phishing es la tarjeta de Verificación de Identidad Personal (PIV); aprovechan la criptografía de clave pública para proteger los eventos de autenticación. Comercialmente, los autenticadores FIDO combinados con la API de autenticación web del W3C son la forma más común de autenticadores resistentes al phishing ampliamente disponibles en la actualidad. Estos pueden tomar la forma de claves de hardware independientes o integrarse directamente en plataformas (por ejemplo, su teléfono o computadora portátil). La disponibilidad, practicidad y seguridad de estos “autenticadores de plataforma” ponen cada vez más en manos de los usuarios autenticadores fuertes y resistentes al phishing sin la necesidad de factores de forma o dongles adicionales. No todas las transacciones requieren autenticadores resistentes al phishing. Sin embargo, para aplicaciones que protegen información confidencial (como información de salud o datos confidenciales de clientes) o para usuarios que tienen privilegios elevados (como administradores o personal de seguridad), las organizaciones deben implementar, o al menos ofrecer, autenticadores resistentes al phishing. Las personas deben explorar la configuración de seguridad de sus cuentas en línea más confidenciales para ver si hay autenticadores resistentes al phishing disponibles y utilizarlos si lo están. En realidad, estas herramientas suelen ser más fáciles, rápidas y convenientes que el MFA (como los códigos de texto SMS) que pueden estar utilizando actualmente. Al final, los autenticadores resistentes al phishing son una herramienta fundamental para la seguridad personal y empresarial que debe adoptarse. Sin embargo, no son una panacea. Los autenticadores resistentes al phishing solo abordan un foco de los ataques de phishing: el compromiso y la reutilización de autenticadores como contraseñas y códigos de acceso de un solo uso. No mitigan los intentos de phishing que pueden tener objetivos alternativos, como instalar malware o comprometer información personal para utilizarla en otros lugares. Los autenticadores resistentes al phishing deben combinarse con un programa integral de prevención de phishing que incluya concientización y capacitación del usuario, controles de protección del correo electrónico, herramientas de prevención de pérdida de datos y capacidades de seguridad de la red.
Imagine una etiqueta de «Información de privacidad» en las aplicaciones, dispositivos y sitios web que utiliza. Como una versión digital de la “Información nutricional” en los costados de las cajas de cereales y de otros alimentos que compra. Con un vistazo rápido, podrá ver qué recopila la empresa detrás de esa aplicación, dispositivo o sitio web y qué hace con ello. Lamentablemente, no existe tal etiqueta. La realidad de la privacidad hoy en día es que requiere trabajo descubrir cómo las aplicaciones, dispositivos y sitios web que utiliza recopilan su información y datos personales. Para descubrir esos detalles, tendrá que revisar las políticas de privacidad, que son conocidas por su densa jerga legal. Y pueden volverse bastante vagos. Palabras como «puede» y «podría» dejan la puerta abierta a lo que realmente hacen las empresas con la información y los datos personales que recopilan. «Pueden» compartirlo con otras partes y «podrían» venderlo también a otras partes. Mientras tanto, esas otras partes “pueden” o “podrían” utilizarlo para sus propios fines. Otras partes que usted desconoce en gran medida, si no completamente desconocidas, porque no son reveladas. Como resultado, una vez que su información y datos personales salen a la luz, tienen una forma de circular. La recopilación de datos e información impulsa Internet, lo que constituye un factor más de la privacidad. Sin embargo, esa colección tiene sus límites legales y éticos. Y esos límites vuelven a estar en primer plano en este Día de la Privacidad de Datos. El Día de la Privacidad de Datos nos brinda la oportunidad de considerar la importancia de respetar la privacidad, proteger los datos y generar confianza. Especialmente en Internet, donde los datos son la moneda del reino. Tiene un gran valor. Las empresas quieren que mejore sus servicios y marketing. Los malos actores quieren que cometa fraude y robo, o que lo venda en mercados oscuros. Su conjunto de datos e información personal tiene una etiqueta de precio. Eso hace que valga la pena protegerlo. Por supuesto, pensamos en la privacidad todos los días. El valor que tiene. La importancia de protegerlo. Y cómo podemos hacer que esa protección sea más fuerte y más fácil para usted. Eso es algo que tenemos muy presente en una época en la que la gente dice tener poca idea de qué datos e información personal se recopilan. De hecho, muchas personas se están rascando la cabeza acerca de su privacidad en línea. Los hallazgos de Pew Research en 2023 mostraron que aproximadamente tres cuartas partes de los estadounidenses encuestados dijeron que sentían que tenían poco o ningún control sobre la recopilación de datosi. Además, el 67% de ellos dijo que entiende poco o nada sobre lo que las empresas hacen con sus datos personales. Eso es un 8% más que el 59% en 2019ii. En cuatro cortos años, más personas sienten que proteger su privacidad está fuera de sus manos. Ni siquiera los efectos dominó del Reglamento General de Protección de Datos (RGPD)iii de la Unión Europea y las estrictas leyes de privacidad del consumidor en aproximadamente una docena de estados de EE.UU.iv han aumentado su confianza. Sólo el 61% de los estadounidenses cree que cualquier cosa que hagan marcará una gran diferencia cuando se trata de gestionar su privacidad en línea. Sin embargo, algo más ha sucedido en esos cuatro años. El software de protección en línea se ha vuelto más poderoso. Especialmente cuando se trata de privacidad. Incluso si las cosas parecen diferentes, usted realmente puede tomar medidas importantes que marquen la diferencia en su privacidad. En lo que respecta a nuestro software de protección en línea, ofrece varias formas simples y poderosas de proteger su privacidad. McAfee+ incluye Limpieza de datos personales y Limpieza de cuentas en línea: dos formas de tomar control de sus datos e información. Con ellos, usted puede: Eliminar sus datos e información de sitios de intermediarios de datos riesgosos. También elimine sus datos e información de cuentas antiguas, lo que las convierte en un objetivo menos para una violación de datos. Además, McAfee+ completa las cosas con nuestra VPN. Eso lo mantiene en el anonimato frente a los anunciantes y otros recopiladores de datos, al mismo tiempo que lo protege de otras miradas indiscretas en línea. Esas pocas funciones, que forman parte de su identidad general y de su protección contra virus, pueden hacer que su privacidad sea mucho mayor. Incluso en una época de políticas de privacidad opacas y gran recopilación de datos en línea. Una vez más, nuestro objetivo es hacerlo simple y poderoso para usted. Realmente es una lástima que no exista una etiqueta para la privacidad. Claro, sería bueno si pudieras consultar los datos de privacidad de las aplicaciones, dispositivos y sitios web que utilizas. Pero la buena noticia es que el software de protección en línea puede darle control de su información y datos personales sin esos detalles. Realmente estás más a cargo de tu privacidad de lo que podrías sentir hoy en día.
[i] https://www.pewresearch.org/internet/2023/10/18/views-of-data-privacy-risks-personal-data-and-digital-privacy-laws/
[ii] https://www.pewresearch.org/internet/2023/10/18/how-americans-view-data-privacy/
[iii] https://gdpr.eu/qué-es-gdpr/
[iv] https://pro.bloomberglaw.com/brief/state-privacy-legislation-tracker/
[v] https://www.pewresearch.org/internet/2023/10/18/views-of-data-privacy-risks-personal-data-and-digital-privacy-laws/ Presentamos McAfee+ Protección contra robo de identidad y privacidad para su entorno digital life Descargar McAfee+ ahora \x3Cimg height=»1″ width=»1″ style=»display:none» src=»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\x3C /noscript>’);
Travais ‘Tee’ Sookoo aprovecha sus 25 años de experiencia en seguridad de redes, gestión de riesgos y arquitectura para ayudar a empresas de todos los tamaños, desde nuevas empresas hasta multinacionales, a mejorar su postura de seguridad. Tiene un historial comprobado de liderazgo y colaboración con equipos de seguridad y diseño de soluciones seguras para diversas industrias. Actualmente, Tee se desempeña como ingeniero de seguridad para Check Point, cubriendo la región del Caribe. Asesora a los clientes sobre estrategias proactivas de mitigación de riesgos. Le encanta aprender de cada desafío y siempre está buscando formas de contribuir a una sólida cultura de seguridad cibernética dentro de las organizaciones. En esta entrevista informativa, el experto Travais Sookoo comparte sus ideas sobre por qué las organizaciones necesitan adoptar una estrategia de confianza cero para IoT y cómo hacerlo de manera efectiva. ¡No te pierdas esto! Para nuestros lectores menos técnicos, ¿por qué querrían las organizaciones implementar confianza cero para los sistemas de IoT? ¿Cuál es el valor? ¿Qué tendencias estás viendo? Por un momento, imagine su organización como un bullicioso edificio de apartamentos. Hay inquilinos (usuarios), entregas (datos) y, por supuesto, todo tipo de dispositivos sofisticados (dispositivos IoT). En los viejos tiempos, nuestras capacidades de prevención de amenazas podrían haber implicado una sola llave para la puerta principal del edificio (el perímetro de la red). Cualquiera con esa clave podría acceder a todo; el buzón, las entregas, los gadgets. Así funcionaba la seguridad tradicional de algunos sistemas de IoT. Una vez obtenida la clave, cualquiera podía acceder. Con confianza cero, en lugar de darles a todos la clave maestra, la aplicación de confianza cero verifica cada dispositivo y usuario antes de proporcionar acceso. El mundo está cada vez más conectado y la cantidad de dispositivos IoT se está disparando, lo que significa más brechas de seguridad potenciales. Las organizaciones se están dando cuenta de que la confianza cero es una forma proactiva de mantenerse a la vanguardia y mantener seguros sus datos y sistemas. La confianza cero también permite a las organizaciones satisfacer muchos de sus requisitos de cumplimiento y adaptarse rápidamente a las regulaciones industriales en constante aumento. ¿Qué desafíos están experimentando las organizaciones al implementar la confianza cero para los sistemas IoT/OT? Si bien la confianza cero es un marco de seguridad poderoso, el mayor obstáculo del que escucho es la tecnología y el personal. En términos de tecnología, la gran cantidad y variedad de dispositivos IoT puede resultar abrumadora. Hacer cumplir fuertes medidas de seguridad con monitoreo activo en este panorama diverso no es una tarea fácil. Además, muchos de estos dispositivos carecen de la capacidad de procesamiento para ejecutar software de seguridad o monitoreo, lo que hace que las soluciones tradicionales no sean prácticas. Además, ampliar la confianza cero para gestionar las identidades y los controles de acceso de potencialmente cientos, miles e incluso millones de dispositivos puede resultar desalentador. Quizás el mayor desafío es que los sistemas OT empresariales deben priorizar el tiempo de actividad y la confiabilidad por encima de todo. La implementación de la confianza cero puede requerir tiempo de inactividad o potencialmente introducir nuevos puntos de falla. Encontrar formas de lograr la confianza cero sin comprometer la disponibilidad de los sistemas críticos requiere algunas maniobras. Y ahora el aspecto de las personas: implementar y mantener una arquitectura de confianza cero requiere experiencia especializada en ciberseguridad, que muchas organizaciones pueden no tener. La reserva de talentos para estos roles especializados puede ser limitada, lo que dificulta reclutar y retener personal calificado. Además, la confianza cero puede cambiar significativamente la forma en que las personas interactúan con los sistemas OT. Las organizaciones deben invertir en capacitar al personal sobre nuevos procedimientos y flujos de trabajo para garantizar una transición sin problemas. ¿Podría hablarnos del papel de la microsegmentación en la implementación de confianza cero para los sistemas IoT/OT? ¿Cómo ayuda a limitar el movimiento lateral y reducir la superficie de ataque? Con la microsegmentación, creamos firewalls/controles de acceso entre zonas, lo que hace que a los atacantes les resulte mucho más difícil moverse. Estamos cerrando las puertas entre cada habitación del apartamento; Incluso si un atacante ingresa a la sala (zona) del termostato, no podrá acceder fácilmente a la sala con nuestros objetos de valor (sistemas críticos). Cuantos menos dispositivos y sistemas pueda explotar un atacante, mejor. La microsegmentación reduce la superficie de ataque general y el radio potencial de explosión al limitar a qué dispositivos pueden acceder en la red. Según su investigación y experiencia, ¿cuáles son algunas de las mejores prácticas o lecciones aprendidas en la implementación de confianza cero para los sistemas de IoT y OT que puede compartir con los CISO? De las discusiones que he tenido y de mi investigación: Mi principal recomendación es comprender el panorama de los dispositivos. ¿Cuáles son los activos que tiene, su propósito y qué tan críticos son para el negocio? Al conocer el entorno, las organizaciones pueden adaptar políticas de confianza cero para optimizar tanto la seguridad como la continuidad del negocio. ¡No intentes hervir el océano! La confianza cero es un viaje, no un destino. Comience poco a poco, segmentando primero los sistemas y datos críticos. Aprenda de esa experiencia y luego amplíe la implementación para garantizar un mayor éxito con márgenes de error cada vez menores. Los sistemas OT heredados definitivamente arruinan los planes y pueden ralentizar significativamente la adopción de la confianza cero. Explore cómo integrar los principios de confianza cero sin comprometer las funcionalidades principales. Podría implicar una combinación de actualizaciones y soluciones alternativas. El principio básico de confianza cero es otorgar solo el acceso mínimo requerido para que un dispositivo o usuario funcione (privilegio mínimo). Documente quién necesita qué y luego implemente controles de acceso granulares para minimizar el daño de un dispositivo comprometido. El monitoreo continuo de la actividad de la red y el comportamiento de los dispositivos es esencial para identificar actividades sospechosas y posibles infracciones desde el principio. Asegúrese de que las herramientas de monitoreo abarquen todo y que sus equipos puedan utilizarlas de manera experta. La automatización de tareas, como la incorporación de dispositivos, la aplicación del control de acceso y la aplicación de parches de seguridad, puede reducir significativamente la carga de los equipos de seguridad y mejorar la eficiencia general. Exija revisiones periódicas y actualizaciones de políticas basadas en nuevas amenazas, necesidades comerciales y cambios regulatorios. Proteger los sistemas IoT/OT también requiere una estrecha colaboración entre los equipos de OT y TI. Fomentar el trabajo en equipo, las comunicaciones efectivas y el entendimiento entre estos departamentos para romper los silos. Nunca se insistirá lo suficiente en esto. Con demasiada frecuencia, el equipo de seguridad es el último en intervenir, a menudo cuando ya es demasiado tarde. ¿Qué papel puede desempeñar la automatización en la implementación y el mantenimiento de Zero Trust para los sistemas IoT/OT? La confianza cero se basa en otorgar acceso con privilegios mínimos. La automatización nos permite aplicar estos controles granulares ajustando dinámicamente los permisos según el tipo de dispositivo, la función del usuario y el contexto en tiempo real. Añadir nuevos dispositivos IoT puede ser un proceso tedioso y más si existen cientos o miles de estos dispositivos. Sin embargo, la automatización puede agilizar en gran medida el descubrimiento de dispositivos, la configuración inicial y las tareas de asignación de políticas, liberando así a los equipos de seguridad para que puedan centrarse en iniciativas más estratégicas. Monitorear manualmente una red compleja con numerosos dispositivos es abrumador, pero podemos automatizar procesos para monitorear continuamente la actividad de la red, el comportamiento de los dispositivos e identificar anomalías que podrían indicar una posible infracción. Y si ocurre un incidente de seguridad, podemos automatizar tareas para aislar los dispositivos comprometidos, notificar a los equipos de seguridad e iniciar procedimientos de reparación. A través del monitoreo, es posible identificar dispositivos IoT/OT que requieren parches, lo que puede ser crucial, pero también llevar mucho tiempo. Es posible automatizar la implementación de parches con verificación posterior e incluso iniciar reversiones en caso de problemas imprevistos. Si esto suena como un argumento de venta, es de esperar que esté vendido. No hay duda de que la automatización reducirá significativamente la carga de los equipos de seguridad, mejorará la eficiencia de la implementación de confianza cero y aumentará considerablemente nuestra postura general de seguridad. ¿Qué métricas recomendaría para medir la eficacia de la implementación de confianza cero en entornos de IoT y OT? Un principio fundamental de confianza cero es limitar la forma en que los atacantes se mueven entre dispositivos o realizan movimientos laterales. El número de intentos de movimientos laterales detectados y bloqueados puede indicar la eficacia de la segmentación y los controles de acceso. Si bien algunas infracciones son inevitables, una disminución significativa de los dispositivos comprometidos después de implementar la confianza cero significa un impacto positivo. Esta métrica debe rastrearse junto con la gravedad de las infracciones y el tiempo que lleva identificarlas y contenerlas. Con confianza cero, se supone que cualquier dispositivo o usuario, independientemente de su ubicación, podría verse comprometido. El tiempo medio de detección (MTD) y el tiempo medio de respuesta (MTTR) son métricas que puede utilizar para medir la rapidez con la que se identifica y contiene un incidente de seguridad. Idealmente, la confianza cero debería conducir a tiempos de detección y respuesta más rápidos, minimizando posibles daños. Las políticas de confianza cero imponen controles de acceso granulares. El seguimiento del número de violaciones de privilegios mínimos (usuarios o dispositivos que acceden a recursos no autorizados) puede exponer debilidades en la configuración de políticas o el comportamiento del usuario e indicar áreas de mejora. La postura de higiene y seguridad va más allá de los dispositivos. Incluye factores como las tasas de cumplimiento de parches y la efectividad del acceso de los usuarios. ¿Recuerdas la experiencia del usuario? El seguimiento de la satisfacción del usuario con el proceso de implementación de confianza cero y las medidas de seguridad continuas puede ayudar a identificar áreas de mejora y garantizar un equilibrio entre seguridad y usabilidad. Es importante recordar que la confianza cero es un viaje, no un destino. El objetivo es mejorar continuamente nuestra postura de seguridad y hacer que sea más difícil para los atacantes explotar las vulnerabilidades en nuestros sistemas IoT/OT. Revise periódicamente sus métricas y ajuste las estrategias de confianza cero según sea necesario. ¿Hay algo más que le gustaría compartir con la audiencia de CyberTalk.org? ¡Absolutamente! Mientras concluimos esta conversación, quiero dejar a la audiencia de CyberTalk.org con algunas conclusiones clave sobre la seguridad de los sistemas IoT y OT: La confianza cero es un enfoque proactivo para la seguridad. Al implementar principios de confianza cero, las organizaciones pueden reducir significativamente el riesgo de infracciones y proteger su infraestructura crítica. No lo haga solo: la seguridad es un esfuerzo de equipo. Fomente la colaboración entre los equipos de TI, OT y seguridad para garantizar que todos estén en sintonía cuando se trata de adoptar la confianza cero. Siga aprendiendo: el panorama de la ciberseguridad está en constante evolución. Manténgase actualizado sobre las últimas amenazas y mejores prácticas. Recursos como Cybertalk.org son un lugar fantástico para comenzar. Céntrese en lo que importa: una implementación exitosa de confianza cero requiere centrarse en los tres pilares: personas, procesos y tecnología. La capacitación en materia de seguridad para los empleados, políticas y procedimientos claramente definidos y las herramientas de seguridad adecuadas son elementos esenciales. La ayuda está en camino: la inteligencia artificial y el aprendizaje automático desempeñarán un papel cada vez más importante a la hora de automatizar los procesos de confianza cero y hacerlos aún más eficaces. Gracias, CyberTalk.org, por la oportunidad de compartir mis pensamientos. Para obtener más información sobre confianza cero, haga clic aquí. URL de la publicación original: https://www.cybertalk.org/2024/04/26/zero-trust-strategies-for-navigating-iot-ot-security-challenges/Categoría y etiquetas: TENDENCIA AHORA, Internet de las cosas, IoT ,arquitectura de red,OT,confianza cero,Arquitectura de red de confianza cero,ZT,ztna – TENDENCIA AHORA,Internet de las cosas,IoT,arquitectura de red,OT,confianza cero,Arquitectura de red de confianza cero,ZT,ztna
¿Qué lo causó? No estoy seguro… Estoy tan atrasado en los proyectos que no tengo tiempo para profundizar en cada detalle de cada problema. Me estaba conectando a una instancia de Ubuntu con xrdp y de repente ya no funciona y no sé por qué. En lugar de intentar resolverlo por todos los medios, hice una copia de seguridad, pero tampoco funcionó. De alguna manera finalmente logré que funcionara cuando hice lo siguiente: Tenía algunas actualizaciones disponibles para mi copia de seguridad: sudo apt-get updatesudo…
Según Coalition, más de la mitad (53%) de todas las reclamaciones de seguros en 2023 fueron el resultado de fraude por correo electrónico. La aseguradora analizó los datos de reclamaciones del año para elaborar su Informe de reclamaciones cibernéticas de 2024. Reveló que el compromiso del correo electrónico empresarial (BEC) y el fraude en transferencias de fondos (FTF) fueron los dos eventos principales que generaron reclamos de clientes en el período, representando el 28% del total. Por el contrario, el ransomware representó el 19%. El número de reclamaciones del FTF aumentó un 15% anualmente y el monto total reclamado aumentó un 24%, a una pérdida promedio de más de $278,000. Las reclamaciones de BEC aumentaron un 5%, pero los montos de las reclamaciones disminuyeron un 15% durante el período. Hubo muchas menos reclamaciones por ransomware, que representaron el 19 % del total recibido por Coalition en 2023. Sin embargo, su frecuencia también aumentó en 2023, un 15 %, y la gravedad de las reclamaciones aumentó un 28 % hasta una pérdida media de más de $263,000. Lea más sobre BEC: Los ataques de BEC aumentan un 81 % en 2022 En general, en 2023, las reclamaciones aumentaron un 13 % interanual (interanual) y las pérdidas aumentaron un 10 % hasta un promedio de 100 000 dólares por reclamación. Las empresas más grandes, con ingresos de entre 25 y 100 millones de dólares, experimentaron el mayor aumento interanual en la frecuencia de siniestros (32%). El informe también reveló que las organizaciones que utilizan dispositivos límite como firewalls y redes privadas virtuales (VPN) se ven cada vez más comprometidas por la explotación de vulnerabilidades. La coalición afirmó que los asegurados con dispositivos Cisco ASA expuestos a Internet tenían casi cinco veces más probabilidades de experimentar un reclamo en 2023, y aquellos con dispositivos Fortinet expuestos tenían el doble de probabilidades de experimentar un reclamo. La empresa también ha sido inequívoca en su trato a los clientes de Ivanti, dados los propios problemas del proveedor con la explotación del dispositivo. «La explotación de los dispositivos Ivanti ha dado lugar durante mucho tiempo a numerosas reclamaciones en toda la industria de los seguros cibernéticos, y durante mucho tiempo nos hemos negado a ofrecer cobertura a organizaciones que utilizan dispositivos Ivanti vulnerables sin los controles de mitigación adecuados», dijo el director ejecutivo de Coalition, Josh Motta, en una publicación de LinkedIn. recientemente. «También descubrimos que los asegurados que utilizaban el protocolo de escritorio remoto expuesto a Internet tenían 2,5 veces más probabilidades de experimentar un reclamo», dijo Shelley Ma, líder de respuesta a incidentes en la filial de Coalition, Coalition Incident Response. «Esta nueva información surge luego del descubrimiento de los investigadores de Security Labs de Coalition de un aumento del 59% en el escaneo de direcciones IP únicas en busca de protocolos de escritorio remoto abiertos durante el año pasado».
ESET Research ha descubierto un grupo de proyectos maliciosos de Python que se distribuyen en PyPI, el repositorio oficial de paquetes de Python. La amenaza se dirige a sistemas Windows y Linux y normalmente ofrece una puerta trasera personalizada. En algunos casos, la carga útil final es una variante del infame W4SP Stealer, o un simple monitor de portapapeles para robar criptomonedas, o ambos. En mayo de 2023, informamos sobre otro grupo de paquetes que encontramos en PyPI que ofrece malware para robar contraseñas y criptomonedas, pero los dos grupos parecen ser campañas diferentes. Puntos clave de esta publicación de blog: ESET Research descubrió 116 paquetes maliciosos en PyPI, el repositorio oficial de software para el lenguaje de programación Python, cargados en 53 proyectos. Las víctimas han descargado estos paquetes más de 10.000 veces. Desde mayo de 2023, la tasa de descarga es más o menos de 80 por día. El malware ofrece una puerta trasera capaz de ejecutar comandos remotos, exfiltración y tomar capturas de pantalla. El componente de puerta trasera está implementado tanto para Windows, en Python, como para Linux, en Go. En algunos casos, se entrega en su lugar el W4SP Stealer o un monitor de portapapeles que roba criptomonedas, o ambos. PyPI es popular entre los programadores de Python para compartir y descargar código. Dado que cualquiera puede contribuir al repositorio, allí puede aparecer malware (a veces haciéndose pasar por bibliotecas de códigos populares y legítimas). Encontramos 116 archivos (distribuciones fuente y ruedas) de 53 proyectos que contienen malware. Algunos nombres de paquetes se parecen a otros paquetes legítimos, pero creemos que la forma principal en que las víctimas potenciales los instalan no es a través de errores tipográficos, sino mediante ingeniería social, en la que se guía a las víctimas para que ejecuten pip install {nombre-paquete} para poder utilizar el paquete «interesante» por cualquier motivo. Durante el año pasado, las víctimas descargaron estos archivos más de 10.000 veces; consulte la Figura 1. Figura 1. Descargas de paquetes maliciosos durante el último año desde PyPI usando pip Infestación de PyPI Los paquetes PyPI pueden tomar dos formas: paquetes fuente, que contienen todo el código fuente del proyecto y se crean tras la instalación, y paquetes prediseñados (llamados ruedas), que puede contener módulos compilados para un sistema operativo específico o una versión de Python. Curiosamente, en algunos casos el código Python en la distribución fuente difiere de la distribución construida. El primero está limpio, mientras que el segundo contiene código malicioso. El administrador de paquetes de Python, pip, prefiere una rueda cuando está disponible en lugar de una distribución fuente. Como resultado, el malware se instala a menos que se solicite explícitamente lo contrario. Hemos observado a los operadores detrás de esta campaña utilizando tres técnicas para agrupar código malicioso en paquetes de Python. Módulo malicioso test.py La primera técnica consiste en colocar un módulo de “prueba” con código ligeramente ofuscado dentro del paquete. La Figura 2 muestra un archivo test.py con una función llamada graby que se define y luego se llama. Observe que la función maneja sistemas Windows y Linux. Figura 2. Código ligeramente ofuscado dentro de test.py Este módulo de prueba se importa en medio del código fuente del módulo principal del paquete (__init__.py), de modo que el código malicioso se ejecuta cada vez que se importa el paquete. La Figura 3 muestra un módulo que se hace pasar por un capturador de pantalla e importa el archivo malicioso test.py. Figura 3. En algunos paquetes, el módulo principal importa el código malicioso de PowerShell en setup.py. La segunda técnica consiste en incrustar el código de PowerShell en el archivo setup.py, que normalmente lo ejecutan automáticamente administradores de paquetes como pip para ayudar a instalar proyectos de Python. . La Figura 4 muestra un script de PowerShell que descarga y ejecuta la siguiente etapa. Figura 4. En algunos paquetes, un script de PowerShell malicioso está incrustado en el archivo setup.py. Este script de PowerShell descarga la transferencia[.]sh/eyRyPT/Updater.zip en un directorio temporal como update.zip. Luego, el script descomprime el archivo ZIP en C:\ProgramData y lo elimina del directorio temporal. A continuación, el script ejecuta el programa pip para instalar dependencias. Finalmente, ejecuta el código Python en C:\ProgramData\Updater\server.pyw. Esta técnica sólo funciona en Windows y no podrá infestar sistemas Linux. En los metadatos del paquete de la Figura 4, es posible que hayas notado que el autor del paquete es billythegoat356. Ha habido numerosos informes que asocian este apodo con actividades maliciosas, incluido un artículo de Phylum, donde revelan el vínculo potencial de Billy con W4SP Stealer. Sólo malware… En la tercera técnica, los operadores no hacen ningún esfuerzo por incluir código legítimo en el paquete, de modo que sólo está presente el código malicioso, en una forma ligeramente ofuscada. La Figura 5 muestra dos piezas de código malicioso para Windows que se escriben en archivos temporales y luego se ejecutan con pythonw.exe, que se usa en lugar de python.exe para que el código se ejecute sin abrir una ventana de consola. Figura 5. En algunos paquetes, solo hay código ligeramente ofuscado. Las siguientes etapas son paquetes, scripts o archivos binarios de Python descargados desde Dropbox o transfer.sh. Persistencia En Windows, la persistencia se logra la mayor parte del tiempo a través de un archivo codificado con VBScript (VBE), que es un archivo VBScript codificado, escrito en %APPDATA%/Pythonenv/pythenenv.vbe. La Figura 6 muestra cmd.exe ocultando el directorio %APPDATA%/Pythonenv, ejecutando pythenenv.vbe y luego programando el archivo VBE para que se ejecute cada cinco minutos bajo la tarea MicrosoftWinRaRUtilityTaskB. Figura 6. La persistencia en sistemas Windows se logra con una tarea programada. En Linux, la persistencia se logra colocando una entrada maliciosa en el escritorio, mate-user-share.desktop, en el directorio ~/.config/autostart/, como se ve en la Figura 7. . Los archivos ubicados en el directorio de inicio automático se ejecutan en cada inicio del sistema. La entrada del escritorio usa el nombre de un subproyecto MATE como nombre de archivo, pero es sólo para reducir las sospechas porque no tiene nada que ver con el entorno del escritorio. Figura 7. La persistencia en sistemas Linux se logra a través del directorio de inicio automático. La Figura 7 también muestra las descargas del módulo dl.dropbox.[.]com/s/u3yn2g7rewly4nc/proclean a ~/.config/.kde/.kdepath. Probablemente se trate de un intento de hacerse pasar por un directorio de configuración para la GUI de KDE Plasma para Linux. Al iniciar el archivo mate-user-share.desktop, se ejecuta a su vez el archivo .kdepath descargado, que es el archivo ejecutable de Linux que contiene el componente de puerta trasera. Carga útil final Normalmente, la carga útil final es una puerta trasera personalizada que permite la ejecución remota de comandos, la filtración de archivos y, a veces, incluye la capacidad de tomar capturas de pantalla. En Windows, la puerta trasera está implementada en Python. La Figura 8 muestra la puerta trasera creando una conexión de socket TCP a blazywound.ignorelist[.]com en el puerto 6001. Después de enviar el nombre de host, la dirección MAC y el nombre de usuario al servidor C&C, la puerta trasera manejará directamente algunos comandos o ejecutará cualquier otro comando en un proceso separado y devolverá la salida del comando y cualquier información de error al servidor. Figura 8. La implementación de Python de la puerta trasera En Linux, la puerta trasera se implementa en Go; ver Figura 9. Figura 9. La implementación Go de la puerta trasera En algunos casos, en lugar de la puerta trasera, la carga útil es una variante del infame W4SP Stealer, o un simple monitor de portapapeles que roba criptomonedas, o ambos. La Figura 10 muestra un monitor de portapapeles dirigido a las criptomonedas Bitcoin, Ethereum, Monero y Litecoin. El malware utiliza el paquete pyperclip legítimo para comprobar el contenido del portapapeles en busca de direcciones de billetera. Si se encuentra, el malware copia una dirección controlada por el atacante en el portapapeles con la esperanza de que la víctima pegue esta dirección en una futura transacción de criptomonedas. Figura 10. Un monitor de portapapeles simple implementado en Python Los productos ESET detectan los paquetes maliciosos de Python como variantes de Python/Agent y Python/TrojanDownloader, y la puerta trasera como Python/Agent.AOY o Linux/Spy.Agent.BB. PyPI ya había eliminado la mayoría de los paquetes en el momento de esta investigación. ESET se comunicó con PyPI para tomar medidas contra los restantes y todos los paquetes maliciosos conocidos ahora están fuera de línea. La lista completa de 116 paquetes se puede encontrar en nuestro repositorio de GitHub. Vale la pena señalar que el malware en un repositorio de proyectos PyPI no es un problema de seguridad con PyPI en sí. De hecho, el software que ejecuta PyPI fue auditado recientemente por una empresa externa que evaluó que PyPl «se ajustaba a las mejores prácticas ampliamente aceptadas». Conclusión Los ciberatacantes siguen abusando de PyPI para comprometer los dispositivos de los programadores de Python. Esta campaña muestra una variedad de técnicas que se utilizan para incluir malware en paquetes de Python. Los desarrolladores de Python deben examinar minuciosamente el código que descargan, especialmente comprobando estas técnicas, antes de instalarlo en sus sistemas. Además de seguir abusando del W4SP Stealer de código abierto, los operadores también han implementado una puerta trasera simple pero efectiva. Esperamos que este abuso de PyPI continúe y recomendamos precaución al instalar código desde cualquier repositorio de software público. Si tiene alguna consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en Threatintel@eset.com.ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence. Archivos IoCs SHA-1 Nombre de archivo Detección Descripción 439A5F553E4EE15EDCA1CFB77B96B02C77C5C388 cache.py Python/Agent.AGL Descargador de puerta trasera de Linux. /Agent.AGU Paquete con instalador de puerta trasera de Linux. AE3072A72F8C54596DCBCDE9CFE74A4146A4EF52 coloramma-4.5-py3-none-any.zip Paquete Python/Agent.AOY con puerta trasera de Windows. 70C271F79837B8CC42BD456A22EC51D1261ED0CA junk.py Python/Agent.AGM Instalador de persistencia de Windows. B0C8D6BEEE80813C8181F3038E42ADACC3848E68 puerta trasera proclean Linux/Spy.Agent.BB Linux. 07204BA8D39B20F5FCDB9C0242B112FADFFA1BB4 prov.py Python/Agent.AGL Descargador de puerta trasera de Linux. EF59C159D3FD668C3963E5ADE3C726B8771E6F54 tmp Linux/Spy.Agent.BB Puerta trasera de Linux. Para obtener una lista completa de paquetes maliciosos, consulte nuestro repositorio de malware-ioc de GitHub. Red Nombre de dominio Dirección IP Visto por primera vez Descripción blazywound.ignorelist[.]Com 204.152.203[.]78 2022-11-21 Servidor C&C para componente de puerta trasera. Técnicas de MITRE ATT&CK Esta tabla se creó utilizando la versión 14 del marco MITRE ATT&CK. ID de táctica Nombre Descripción Acceso inicial T1195.001 Compromiso de la cadena de suministro: Compromiso Dependencias de software y herramientas de desarrollo El malware se distribuye mediante el servicio de administración de paquetes PyPl de Python. Persistencia T1053.005 Tarea/trabajo programado: Tarea programada En Windows, la persistencia se logra mediante una tarea programada. T1547.013 Ejecución de inicio automático de inicio o inicio de sesión: entradas de inicio automático XDG En Linux, se crea una entrada de inicio automático para iniciar la puerta trasera cuando el usuario inicia sesión. Evasión de defensa T1036.005 Enmascaramiento: coincide con nombre o ubicación legítimos En Linux, los archivos persistentes tienen nombres similares a software legítimo Acceso a credenciales T1555.003 Credenciales de almacenes de contraseñas: Credenciales de navegadores web W4SP roba contraseñas de los navegadores web instalados. Colección T1115 Datos del portapapeles Para robar fondos durante una transacción de criptomonedas, se reemplazan los datos del portapapeles. Comando y control T1095 Protocolo de capa que no es de aplicación La puerta trasera utiliza un protocolo binario sin cifrar a través de TCP.
28 de abril de 2024Sala de prensaRelleno de credenciales/violación de datos El proveedor de servicios de gestión de identidad y acceso (IAM) Okta advirtió sobre un aumento en la «frecuencia y escala» de los ataques de relleno de credenciales dirigidos a servicios en línea. Se dice que estos ataques sin precedentes, observados durante el último mes, se ven facilitados por «la amplia disponibilidad de servicios de proxy residencial, listas de credenciales previamente robadas (‘listas combinadas’) y herramientas de secuencias de comandos», dijo la compañía en una alerta publicada el sábado. . Los hallazgos se basan en un aviso reciente de Cisco, que advirtió sobre un aumento global de ataques de fuerza bruta dirigidos a varios dispositivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH, desde al menos el 18 de marzo de 2024. «Todos estos ataques parecen originarse en nodos de salida TOR y una variedad de otros túneles y proxies anónimos», señaló Talos en ese momento, agregando que los objetivos de los ataques también incluyen dispositivos VPN de Cisco, Check Point, Fortinet y SonicWall. como enrutadores de Draytek, MikroTik y Ubiquiti. Okta dijo que su Investigación sobre amenazas de identidad detectó un aumento en la actividad de relleno de credenciales contra cuentas de usuarios del 19 al 26 de abril de 2024, probablemente desde una infraestructura similar. El relleno de credenciales es un tipo de ciberataque en el que las credenciales obtenidas a partir de una filtración de datos en un servicio se utilizan para intentar iniciar sesión en otro servicio no relacionado. Alternativamente, dichas credenciales podrían extraerse mediante ataques de phishing que redirigen a las víctimas a páginas de recolección de credenciales o mediante campañas de malware que instalan ladrones de información en los sistemas comprometidos. «Todos los ataques recientes que hemos observado comparten una característica en común: dependen de que las solicitudes sean enrutadas a través de servicios anónimos como TOR», dijo Okta. «Millones de solicitudes también fueron enrutadas a través de una variedad de servidores proxy residenciales, incluidos NSOCKS, Luminati y DataImpulse». Los proxies residenciales (RESIP) se refieren a redes de dispositivos de usuarios legítimos que se utilizan indebidamente para enrutar el tráfico en nombre de suscriptores de pago sin su conocimiento o consentimiento, lo que permite a los actores de amenazas ocultar su tráfico malicioso. Esto generalmente se logra instalando herramientas de proxyware en computadoras, teléfonos móviles o enrutadores, inscribiéndolos efectivamente en una botnet que luego se alquila a los clientes del servicio que desean anonimizar la fuente de su tráfico. «A veces, el dispositivo de un usuario está inscrito en una red proxy porque el usuario elige conscientemente descargar ‘proxyware’ en su dispositivo a cambio de un pago o algo más de valor», explicó Okta. «En otras ocasiones, el dispositivo de un usuario se infecta con malware sin su conocimiento y queda inscrito en lo que normalmente describiríamos como una botnet». El mes pasado, el equipo Satori Threat Intelligence de HUMAN reveló más de dos docenas de aplicaciones VPN maliciosas para Android que convierten dispositivos móviles en RESIP mediante un kit de desarrollo de software (SDK) integrado que incluía la funcionalidad de proxyware. «La suma neta de esta actividad es que la mayor parte del tráfico en estos ataques de relleno de credenciales parece originarse en los dispositivos móviles y navegadores de los usuarios cotidianos, en lugar del espacio IP de los proveedores de VPS», dijo Okta. Para mitigar el riesgo de apropiación de cuentas, la compañía recomienda que las organizaciones obliguen a los usuarios a cambiar a contraseñas seguras, habiliten la autenticación de dos factores (2FA), rechacen las solicitudes que se originen en ubicaciones donde no operan y direcciones IP con mala reputación, y agregue soporte para claves de acceso. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.