Jul 05, 2025Ravie Lakshshmanannacional Seguridad / Privacidad La Oficina de Seguridad Nacional de Taiwán (NSB) advirtió que las aplicaciones desarrolladas por China como Rednote (también conocido como Xiaohongshu), Weibo, Tiktok, Wechat y Baidu Cloud representan riesgos de seguridad debido a la recopilación de datos excesivos y la transferencia de datos a China a China. La alerta se produce después de una inspección de estas aplicaciones llevadas a cabo en coordinación con la Oficina de Investigación del Ministerio de Justicia (MJIB) y la Oficina de Investigación Criminal (CIB) bajo la Agencia Nacional de Policía. «Los resultados indican la existencia de problemas de seguridad, incluida la recopilación de datos excesiva e infracción de privacidad», dijo el NSB. «Se aconseja al público que tenga precaución al elegir aplicaciones móviles». La agencia dijo que evaluó las aplicaciones contra 15 indicadores que abarcan cinco categorías amplias: recopilación de datos personales, uso de permiso excesivo, transmisión y intercambio de datos, extracción de información del sistema y acceso a datos biométricos. Según el análisis, Rednote violó los 15 indicadores, seguidos de Weibo y Tiktok que se encontró que violaron 13 indicadores. WeChat y Baidu Cloud violaron 10 y 9 de los 15 indicadores, respectivamente. Estos problemas abarcaron una amplia recopilación de datos personales, incluida la información de reconocimiento facial, capturas de pantalla, contenido del portapapeles, listas de contactos e información de ubicación. Todas las aplicaciones también se han marcado para cosechar la lista de aplicaciones instaladas y parámetros del dispositivo. «Con respecto a la transmisión y el intercambio de datos, se descubrió que dichas cinco aplicaciones devuelven los paquetes a los servidores ubicados en China», dijo el NSB. «Este tipo de transmisión ha expresado serias preocupaciones sobre el posible mal uso de los datos personales por parte de terceros». NSB también señaló que las empresas que operan en China están obligadas a entregar los datos del usuario bajo las leyes nacionales para la seguridad nacional, la seguridad pública y la inteligencia, y que el uso de estas aplicaciones puede violar la privacidad de los usuarios taiwaneses. El desarrollo se produce cuando países como India han promulgado prohibiciones contra aplicaciones hechas por chino, citando preocupaciones de seguridad. En noviembre de 2024, Canadá ordenó a Tiktok que disuelva sus operaciones en el país, aunque su destino en los Estados Unidos aún permanece en el limbo, ya que la prohibición, que se suponía que entraría en vigencia en enero de 2025, se ha extendido por tercera vez. La semana pasada, una de las autoridades de protección de datos de Alemania instó a Apple y Google a eliminar el chatbot de inteligencia artificial china (IA) de su breve de sus respectivas tiendas de aplicaciones debido a las transferencias ilegales de datos de los usuarios a China. También han sido impuestas restricciones similares por otras naciones. «El NSB aconseja al público que permanezca atento a la seguridad del dispositivo móvil y evite descargar aplicaciones hechas por China que representan riesgos de ciberseguridad, a fin de proteger la privacidad de los datos personales y los secretos comerciales corporativos», agregó. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Etiqueta: Seguridad de la red Página 2 de 9

¿Sabía que se estima que el 45% de las organizaciones en todo el mundo habrán sufrido ataques en sus cadenas de suministro de software este año?[1] El riesgo cibernético es real y sus consecuencias pueden ser devastadoras. A medida que la transformación digital continúa remodelando cómo las empresas operan a nivel mundial, las amenazas cibernéticas están aumentando a un ritmo rápido y alarmante. El término riesgo cibernético se refiere al daño planteado por estas amenazas cibernéticas. Puede manifestarse en muchas formas, desde pérdidas financieras hasta daños de reputación e incluso sanciones legales asociadas con el incumplimiento de las prácticas y regulaciones de seguridad de datos. En el mundo basado en datos actual, se estima que se generan diariamente 2.5 bytes de información.[2] Este inmenso volumen de datos, especialmente dentro de las organizaciones, incluye detalles sobre empleados y clientes, información médica y de salud, registros de identidad y otros datos altamente sensibles o confidenciales. Cuando dichos datos se comprometen o se accede incorrectamente, las organizaciones y sus clientes están expuestos. Esto pone en riesgo no solo la integridad operativa del negocio sino también la privacidad y la seguridad de todas las personas relacionadas con la organización. Tales incidentes pueden provocar daños significativos en términos de confianza y credibilidad, lo que podría poner en peligro la viabilidad y la imagen pública a largo plazo de la compañía. ¿Qué es el riesgo cibernético? El riesgo cibernético se refiere a la posibilidad de pérdida de datos, exposición, incumplimiento o fuga que puede afectar negativamente los sistemas, operaciones o reputación de una organización. Los riesgos cibernéticos abarcan una amplia gama de amenazas digitales que pueden conducir a interrupciones de servicios, pérdidas económicas, problemas de integridad de datos y sanciones regulatorias, lo que resulta en consecuencias importantes, a veces irreversibles. La creciente frecuencia y la sofisticación de los ataques cibernéticos subrayan la necesidad urgente de que las empresas adopten estrategias de gestión de riesgos fuertes e integrales. El monitoreo continuo, la detección de amenazas proactivas y los planes de respuesta a incidentes rápidos pueden reducir significativamente las vulnerabilidades y proteger los sistemas esenciales. Un enfoque eficiente de gestión de riesgos de ciberseguridad puede significar la diferencia entre la seguridad y la exposición catastrófica. Cyber Amenaza versus riesgo cibernético: ¿son lo mismo? De la definición de riesgo cibernético, surge otro término relacionado: amenaza cibernética. Aunque pueden parecer igual, representan diferentes conceptos. Como se explicó, el riesgo cibernético es el potencial de pérdida o daño debido a un ataque cibernético o violación de datos que podría afectar las operaciones de una organización. Las amenazas cibernéticas, por el contrario, son las fuentes específicas de peligro en el espacio digital que podrían explotar las debilidades o las vulnerabilidades dentro de un sistema. Estos incluyen herramientas o tácticas maliciosas como malware, esquemas de phishing y ataques distribuidos de denegación de servicio (DDoS). En términos simples, el riesgo cibernético es la probabilidad y el impacto potencial de tales amenazas, mientras que las amenazas cibernéticas son los métodos y agentes reales que se utilizan para causar daño. La ciberseguridad se centra en detectar y defender contra estas amenazas, mientras que la gestión del riesgo de ciberseguridad se centra en evaluar, comprender y mitigar los riesgos asociados con ellos. Tipos de riesgos de ciberseguridad para desarrollar un plan de ciberseguridad sólido y estratégico que ayude a minimizar el riesgo, es esencial identificar y comprender las diversas amenazas cibernéticas que su negocio puede enfrentar. Los ciberdelincuentes evolucionan constantemente y adaptan sus técnicas, y las organizaciones deben estar preparadas para contrarrestar los métodos más comunes y dañinos. Algunos de los riesgos más frecuentes incluyen: el phishing Phishing sigue siendo una de las tácticas más extendidas utilizadas por los cibercriminales. Por lo general, implica un correo electrónico o mensaje en el que alguien se hace pasar por una fuente legítima e intenta engañar al destinatario para que ingrese a sus credenciales de inicio de sesión o que abran un archivo adjunto malicioso. En esencia, Phishing se basa en el engaño para obtener acceso no autorizado a la infraestructura de TI de una empresa o sistemas sensibles. El malware de malware, o software malicioso, está diseñado para dañar, explotar o obtener acceso no autorizado a una red o datos. A menudo se introduce a través de correos electrónicos de phishing, sitios web inseguros o descargas infectadas. El malware puede tomar muchas formas, incluidos virus, keyloggers, spyware, gusanos y ransomware. Se usa comúnmente para robar datos confidenciales, tomar el control de los sistemas o bloquear el acceso hasta que se paga un rescate. Ransomware El ransomware es un tipo específico de malware que cifra los archivos en una computadora o red, lo que los hace inaccesibles. Los piratas informáticos demandan un pago a cambio de la clave de descifrado. Si no se realiza ningún pago, los atacantes pueden eliminar los datos, robarlos o publicarlos en línea, causando un inmenso daño de reputación y pérdidas financieras. Los ataques de fuerza bruta estos ataques involucran programas automatizados que intentan adivinar contraseñas a través de intentos repetidos hasta que tengan éxito. Una vez que un hacker rompe una contraseña, obtiene acceso a sistemas y datos confidenciales, que pueden explotar o vender en la web oscura. La denegación distribuida de servicio (DDoS) ataca un ataque DDoS inunda el servidor central de una compañía con un número abrumador de solicitudes de datos simultáneas, lo que hace que el servidor se bloquee o se congele. Estos ataques se pueden utilizar para extorsionar a las compañías, exigiendo un rescate para detener el asalto, o para crear una distracción, mientras que otras actividades maliciosas se llevan a cabo en paralelo. ¿Qué es el riesgo cibernético en la banca? Uno de los sectores más vulnerables al riesgo cibernético es la industria financiera. Las instituciones financieras se encuentran consistentemente entre los principales objetivos para los ataques cibernéticos debido a los valiosos datos que almacenan y procesan. Asegurar la protección de los datos del cliente no es solo un requisito regulatorio sino también una cuestión de confianza y supervivencia para los bancos. Para salvaguardar los datos financieros confidenciales, los bancos deben permanecer atentos e implementar medidas de seguridad avanzadas para defenderse de las amenazas. Esto incluye utilizar las últimas actualizaciones de software, encriptación robusta y educar a todos los empleados sobre el manejo seguro de datos y las prácticas de transacción seguras. En última instancia, construir y mantener una fuerte seguridad cibernética es indispensable para proteger los datos de los clientes, garantizar la integridad de las transacciones financieras y preservar la transparencia y la estabilidad dentro del sector bancario. Gestión de riesgos de nivel y cibernético Un marco de gestión de riesgos de ciberseguridad sólido y bien estructurado es vital para defender los recursos organizacionales y mantener la confianza del cliente. Al identificar, evaluar y neutralizar las amenazas cibernéticas, las empresas pueden proteger sus activos críticos y fomentar relaciones a largo plazo basadas en la confianza y la confiabilidad. Para ser efectivos, las empresas deben mantenerse alertas y adaptables, evolucionando continuamente sus estrategias de ciberseguridad para abordar las amenazas emergentes en el entorno digital. En LevelBlue, nos paramos como su socio de confianza para defenderse de los ataques cibernéticos. Nuestra experiencia radica en ayudar a las organizaciones a administrar el riesgo cibernético a través de enfoques estratégicos personalizados. La gestión efectiva va más allá de simplemente cumplir con los requisitos de cumplimiento, exige una evaluación constante, agilidad y toma de decisiones proactivas. Al anticipar el panorama cambiante de las amenazas cibernéticas y aprovechar las tecnologías de vanguardia, las empresas no solo pueden protegerse a sí mismas sino también fortalecer su reputación y profundizar la lealtad de los clientes a través de la confianza duradera. Referencias 1. Gartner. (2023, agosto). Tendencias de ciberseguridad: resiliencia a través de la transformación. Gartner. 2. Domo. (2022, agosto). Los datos nunca duerme 10.0. DOMO Inc. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.

Jul 04, 2025Ravie Lakshmananzero-Day / Cyber Espionage Investigadores de seguridad cibernética han arrojado luz sobre un actor de amenaza previamente indocumentado llamado Nighteagle (también conocido como APT-Q-95) que se ha observado dirigido a los servidores de intercambio de Microsoft como una parte de una cadena de exploy cero diseñada para el gobierno objetivo, la defensa y los sectores tecnológicos en China. Según el equipo RedDrip de Qianxin, el actor de amenaza ha estado activo desde 2023 y ha cambiado de infraestructura de red a un ritmo extremadamente rápido. Los hallazgos se presentaron en Cydes 2025, la tercera edición de la Exposición y Conferencia de Seguridad Cibernética Nacional de Malasia celebrada entre el 1 y el 3 de julio de 2025. «Parece tener la velocidad de un águila y ha estado operando por la noche en China», dijo el Vendor de seguridad cibernética, explicando la ración detrás de la noche adversaria. Los ataques montados por el actor de amenaza han señalado entidades que operan en los semiconductores de alta tecnología, la tecnología cuántica, la inteligencia artificial y las verticales militares con el objetivo principal de recopilar inteligencia, agregó Qianxin. La compañía también señaló que comenzó una investigación después de descubrir una versión a medida de la utilidad de cincel basada en GO en uno de los puntos finales de sus clientes que se configuró para comenzar automáticamente cada cuatro horas como parte de una tarea programada. «El atacante modificó el código fuente de la herramienta de penetración de intranet de cincel de código abierto, codificados por los parámetros de ejecución, utilizó el nombre de usuario y la contraseña especificados, estableció una conexión de calcetines con el final 443 Fin de la dirección C&C especificada y lo asignó al puerto especificado del host C&C para lograr la función de penetración Intranet», dijo en un informe en un informe. Se dice que el troyano se entrega mediante un cargador .NET, que, a su vez, se implanta en el servicio de Información de Información de Internet (IIS) del servidor Microsoft Exchange. Un análisis posterior ha determinado la presencia de un día cero que permitió a los atacantes obtener la máquina de ametralladoras y obtener acceso no autorizado al servidor de Exchange. «El atacante utilizó la clave para deserializar el servidor de Exchange, implantando así un troyano en cualquier servidor que cumpla con la versión de intercambio y leyendo de forma remota los datos del buzón de cualquier persona», dijo el informe. Qianxin afirmó que la actividad era probablemente el trabajo de un actor de amenaza de América del Norte dado que los ataques tuvieron lugar entre las 9 pm y las 6 de la mañana. Hacker News se ha comunicado con Microsoft para obtener más comentarios, y actualizaremos la historia si recibimos una respuesta. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Background ClickFix se ha convertido rápidamente en una táctica de ingeniería social desenfrenada. Observado por primera vez en octubre de 2023, su objetivo es engañar a los usuarios para que pegue los comandos en el cuadro de diálogo Ejecutar bajo la apariencia de verificar la conexión y la autenticidad del usuario al dominio. Dada su facilidad de uso y capacidad para evitar medidas de seguridad técnica, la adopción de ClickFix ha estado creciendo a un ritmo alarmante. [1]
Resumen ejecutivo Esta investigación comenzó después de que se observó a un usuario navegar a un sitio web legítimo que llevó al usuario con un mensaje falso de Captcha. Una vez que se realizaron las instrucciones de inmediato de Captcha Fake, un comando para un dominio malicioso condujo a scripts maliciosos y descargas de archivos en el activo del usuario. El grupo de ransomware entrelazado se observó por primera vez en septiembre de 2024. A diferencia de la mayoría de los grupos de ransomware vistos hoy que emplean ransomware como modelos de servicio (RAA), este era un grupo independiente. Obtuvieron notoriedad en octubre de 2024 cuando se atribuyeron la responsabilidad del incidente del Centro de Ciencias de la Salud de la Universidad de Texas que comprometieron los datos de aproximadamente 1,5 millones de pacientes. En enero de 2025, los investigadores de Sekoia observaron un enclavamiento expandiendo sus tácticas y aprovechando la técnica de ingeniería social ahora conocida como ClickFix. [2]
Investigación El equipo de nivel MDR de nivel observó dos alarmas en el mismo punto final del Sentinel uno que provocó una mayor investigación. Durante la investigación, nuestros analistas descubrieron las tácticas, técnicas y procedimientos de los actores de amenaza (TTP) e identificaron indicadores de compromiso (IOC) asociados con el grupo de ransomware de enclavamiento. Debido a la rápida acción del equipo MDR Levelblue, el ataque estaba contenido, y los hashes de la investigación se agregaron a la lista de bloques dentro de Sentinelone. Lea el blog completo y aprenda conclusiones clave de la investigación de LevelBlue, incluidas las recomendaciones para evitar que estos ataques afecten a su organización. Lea todo el blog
[1] https://www.group-ib.com/blog/clickfix-the-social-ingineering-technique-hackers-use-to-manipulate-victims
[2] https://blog.sekoia.io/interlock-ransomware-evolucionando- bajo- the-radar El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.

Jul 04, 2025Ravie Lakshmanananmobile Seguridad / privacidad Google ha sido ordenado por un tribunal en el estado de los Estados Unidos de California que pague $ 314 millones por los cargos que utilizó mal los datos celulares de los usuarios de dispositivos de Android cuando estaban inactivos para enviar pasivamente información a la compañía. El veredicto marca el final de una queja legal de acción de clase que se presentó originalmente en agosto de 2019. En su demanda, los demandantes argumentaron que el sistema operativo Android de Google aprovecha los datos celulares de los usuarios para transmitir una «variedad de información a Google» sin su permiso, incluso cuando sus dispositivos se mantienen en un estado inactivo. «Aunque Google podría hacer que estas transferencias ocurran solo cuando los teléfonos están conectados a Wi-Fi, Google diseñó estas transferencias para que también puedan tener lugar a través de una red celular», dijeron. «El uso no autorizado de Google de sus datos celulares viola la ley de California y requiere que Google compense a los demandantes por el valor de los datos celulares que Google usa para su propio beneficio sin su permiso». Las transferencias, argumentaron los demandantes, ocurren cuando las propiedades de Google están abiertas y operan en segundo plano, incluso en situaciones en las que un usuario ha cerrado todas las aplicaciones de Google, y su dispositivo está inactivo, lo que apropia mal los subsidios de datos celulares de los usuarios. En un caso, los demandantes encontraron que un dispositivo Samsung Galaxy S7 con la configuración predeterminada y las aplicaciones precargadas estándar, y conectadas a una nueva cuenta de Google, envió y recibió 8.88 MB/día de datos celulares, de las cuales el 94% de las comunicaciones estaban entre Google y el dispositivo. El intercambio de información ocurrió aproximadamente 389 veces en un lapso de 24 horas. La información transferida consistió principalmente en archivos de registro que contenían métricas del sistema operativo, estado de red y la lista de aplicaciones abiertas. «Los archivos de registro generalmente no son sensibles al tiempo, y la transmisión de ellos podría retrasarse fácilmente hasta que Wi-Fi esté disponible», según documentos judiciales. «Google también podría programar Android para permitir a los usuarios habilitar transferencias pasivas solo cuando están en conexiones Wi-Fi, pero aparentemente ha elegido no hacerlo. En cambio, Google ha elegido simplemente aprovechar las asignaciones de datos celulares de los demandantes». Eso no es todo. La denuncia de la corte también citó otro experimento de 2018 que encontró que un dispositivo Android que estaba «externamente latente y estacario» pero tenía la aplicación de navegador web Chrome y en segundo plano dio como resultado aproximadamente 900 transferencias pasivas en 24 horas. En comparación, un iPhone estacionario e intacto con el navegador Safari abierto en segundo plano envió «significativamente menos información», y señaló que el sistema operativo de Apple brinda a los usuarios un mayor control cuando se trata de transferencias de información pasiva. Tras un juicio que comenzó el 2 de junio de 2025, el jurado se puso del lado de los demandantes, afirmando que el gigante tecnológico era responsable de realizar estas transferencias de datos pasivos y hacer que ellos dijeron lo que dijeron eran «cargas obligatorias e inevitables. […] Para el beneficio y la conveniencia de Google. «En un comunicado a Reuters, Google dijo que apelaría la decisión y sostuvo que las transferencias de datos están relacionadas con» servicios que son críticos para la seguridad, el rendimiento y la confiabilidad de los dispositivos Android «. La compañía también apuntó a que revele las transferencias en sus términos de acuerdo y obtenga consentimiento para ellos. Texas que lo acusó de rastrear la ubicación personal de los usuarios y mantener sus datos de reconocimiento facial sin consentimiento. efectividad, e impone un modelo de negocio potencialmente inviable «, dijo la compañía.» Esto pasa por alto la realidad comercial de que, en una economía de mercado, meta merece una compensación justa por los servicios valiosos e innovadores que los usuarios eligen usar, un principio esencial para mantener la innovación y el crecimiento económico. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

El phishing sigue siendo una de las mayores amenazas cibernéticas en circulación hoy. Se envían miles de millones de correos electrónicos todos los días y juntos reclaman miles de víctimas, ya sean empresas o particulares. Sin embargo, si el ataque de phishing es tan conocido, ¿por qué la mayoría de las personas todavía se enamoran del truco? CSO Online informa que el 80% de todos los incidentes de seguridad se atribuyen al phishing[1]. El error humano continúa desempeñando el papel principal en este tipo de violación, por lo que aprender a reconocer el peligro es esencial para reducir el riesgo. ¿Qué es el phishing? El phishing es un ataque cibernético de impersonación de identidad que permite a los delincuentes capturar información confidencial de sus víctimas. La mayoría de las campañas exitosas engañan a los usuarios para que abran enlaces o archivos adjuntos maliciosos al pretender provenir de una fuente confiable. Los atacantes generalmente van después de las credenciales de inicio de sesión y los detalles de la tarjeta de pago. Aunque la mayoría de los usuarios han oído hablar de la estafa, defenderlo es difícil porque los nuevos tipos de phishing parecen constantemente. A medida que la tecnología evoluciona, también lo hacen los métodos y técnicas diseñados para engañar a los usuarios que, la mayoría de las veces, quedan atrapados simplemente por falta de conciencia. Los seis tipos más comunes de phishing y cómo detectarlos reconocen los diferentes tipos de estafas de phishing pueden reducir drásticamente el riesgo de convertirse en una víctima. Ahora hay una gran variedad de ejemplos en circulación. ¿Quieres saber los casos más frecuentes? Aquí están. 1. Correo electrónico Spliting Phishing Topa esta lista como una de las formas de ataque más antiguas y generalizadas. Los delincuentes se disfrazan de entidades de confianza y envían correos electrónicos a granel a tantas direcciones como puedan cosechar. Los piratas informáticos especializados copian la marca exacta de una organización legítima e incluyen un enlace malicioso, documento o archivo de imagen con la intención de persuadir al destinatario para confirmar la información personal o, en algunas campañas, activar una descarga automática. Estos mensajes se entregan con alta urgencia, exigiendo respuestas inmediatas y datos confidenciales. 2. Spear Phishing Spear Phishing es una forma de phishing que se dirige a individuos u organizaciones específicas. Los atacantes usan información legítima sobre su objetivo para convencer al destinatario de tener una conexión real. El objetivo es el mismo que en el clásico phishing de correo electrónico: a través de mensajes falsos, atrae a la víctima a hacer clic en una URL fraudulenta y entregar datos personales. Tanto el phishing de correo electrónico a granel como el phishing de spear se pueden mitigar proporcionando capacitación en seguridad a los empleados, desalentando a los usuarios de publicar detalles confidenciales en las redes sociales y alentar a todos a analizar los saludos, los errores gramaticales y de ortografía, y las URL sospechosas. 3. Ataques de ballenas (ballenas) ballenería es la práctica de perseguir a los altos ejecutivos. Este tipo de ciberataque se basa en la inteligencia de código abierto (OSINT), realizando una investigación exhaustiva sobre las prácticas comerciales de una empresa y la presencia en las redes sociales. Los atacantes digitales «Harpoon» un ejecutivo clave. ¿Cómo funciona en la práctica? Los hackers realizan una llamada telefónica cuidadosamente elaborada a través de una agencia de confianza para ganar la confianza de la víctima y luego enviar correos electrónicos creíbles que parecen provenir de socios confiables de la organización. Una vez que la cuenta del ejecutivo se ha comprometido, los atacantes pueden exfiltrar información confidencial, ordenar transferencias bancarias y filtrar los datos fiscales de los empleados en la web oscura. La vulnerabilidad corporativa puede amplificarse severamente. 4. Vishing Beyond Correo electrónico, los ciberdelincuentes usan otros canales para ejecutar sus ataques. Vishing es una forma de phishing basada en el teléfono. El estafador explota los servidores VOIP (Voice Over Internet Protocol), una tecnología sofisticada que permite a los delincuentes falsificar las identificaciones de llamadas para que la llamada parezca originarse en una fuente legítima. Durante la conversación, se le dice a la víctima que se requiere una acción urgente y que la investigación no puede proceder sin su información personal. Estos datos suelen ser números de tarjeta de pago y otras credenciales que se pueden usar para robar fondos o identidades de cosecha. 5. Smishing SMS Phishing, o «Smishing», es similar a Vishing, pero utiliza mensajes de texto que contienen enlaces o archivos adjuntos. El «gancho» es disfrazar estos mensajes como ofertas especiales, descuentos o premios. Debido a que los números de teléfono personal tienden a ser menos accesibles públicamente, las personas están más inclinadas a confiar en los mensajes de texto. Sin embargo, con los teléfonos inteligentes de hoy, es igual de fácil para los hackers robar datos personales a través de las URL integradas en SMS. 6. Las redes sociales de phishing de redes sociales no son la excepción. El phishing en las redes sociales consiste en hacerse pasar por marcas conocidas e incorporar a las víctimas a compartir información personal y confidencial sobre sus perfiles, rastrear sus preferencias y opciones, y finalmente invitarlas a hacer clic en enlaces maliciosos. Con tantos datos personales expuestos, los atacantes pueden combinar fácilmente los ataques de ingeniería social para obtener acceso a información confidencial. Consejos para identificar y prevenir los ataques de phishing a medida que los canales y los métodos para el phishing se multiplican casi a diario, las empresas deben adoptar medidas que les permitan identificar y prevenir incidentes. La asociación con expertos en ciberseguridad profesionales experimentados será una piedra angular en su camino hacia una organización más segura. Mientras tanto, el siguiente consejo práctico puede ayudar: 1. desconfianza por defecto La primera y más fundamental regla es sospechar. La desconfianza y el estado de alerta constante son dos puntos clave para la prevención y la detección. Cada uno de nosotros sabe con quién nos comprometemos regularmente para trabajar mejor que nadie, así que si tiene dudas, verifique lo que está sucediendo. 2. Verifique antes de hacer clic en el primer signo de sospecha, y antes de responder o hacer clic en cualquier enlace, el enfoque correcto es confirmar que el mensaje es legítimo. Intente llegar al supuesto remitente a través de otro canal y verifique que enviaran la comunicación. Si eso no es posible, comuníquese con su departamento de TI o un supervisor que pueda ayudar a llevar a cabo los cheques necesarios. 3. Endurecer las organizaciones de postura de seguridad de su empresa deben implementar tecnología avanzada de seguridad cibernética para bloquear los intentos de phishing. La puerta de entrada por correo electrónico con controles anti-phishing y anti-spam puede marcar la diferencia. También es importante emplear fuertes métodos de autenticación y verificación, software antivirus y firewalls, para mantener cada dispositivo actualizado y utilizar soluciones avanzadas con inteligencia artificial integrada. 4. Capacitación y educación como se mencionó, la mayoría de los ataques cibernéticos tienen éxito debido al error humano. La única forma de cerrar esa brecha es ofrecer una capacitación exhaustiva de seguridad cibernética a los empleados. Las empresas también deben regular el uso de dispositivos personales, proporcionar conexiones seguras de trabajo remoto y comunicar procedimientos claros para responder a un presunto ataque de phishing. No dejes que te «phish» en enero de 2025, casi la mitad de todos los correos electrónicos de phishing (48%) contenían archivos adjuntos maliciosos[2]. El número es casi inimaginable. Saber cómo detectar estas amenazas es el primer paso para evitar el fraude. Entrenar a su fuerza laboral es la segunda. Tener un socio de seguridad cibernética confiable que le brinde tranquilidad de que sus datos e información están protegidos, ya sea el tercer paso o simplemente una necesidad siempre presente, ciertamente está en el podio de las prioridades. Referencias 1. Keepnet. Top 58 Estadísticas y tendencias de phishing que debe conocer en 2025. (2024, 14 de octubre) .cso en línea. 2. Keepnet. Top 58 Estadísticas y tendencias de phishing que debe conocer en 2025. (2024, 14 de octubre). Guardia. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.

Según un nuevo informe de Human, se ha interrumpido una operación de fraude publicitaria móvil denominada Iconads que consistió en 352 aplicaciones de Android, según un nuevo informe de Human. Las aplicaciones identificadas fueron diseñadas para cargar anuncios fuera de contexto en la pantalla de un usuario y ocultar sus íconos del lanzador de pantalla de inicio del dispositivo, lo que dificulta que las víctimas los eliminen, según el equipo de investigación e inteligencia de amenazas e investigación de Satori de la compañía. Las aplicaciones tienen

Resumen A medida que las organizaciones corren para adoptar la inteligencia artificial, muchas pasan por alto un factor de éxito clave: la gestión del cambio organizacional (OCM). Si bien los marcos de gobernanza y cumplimiento de la IA proporcionan la estructura (pilotos, controles y supervisión, OCM aborda los factores humanos que dan vida a estos marcos. La gobernanza de IA requiere más que controles técnicos; Exige la alineación cultural, la conciencia ética y el cambio de comportamiento en toda la empresa. Ahí es donde OCM se vuelve crítico. Ayuda a las partes interesadas a comprender los riesgos y responsabilidades del uso de la IA, impulsa la adopción de las políticas de gobernanza y genera confianza en los sistemas de IA a través de la transparencia y la educación. Sin OCM, incluso el programa de cumplimiento de IA de IA mejor diseñado puede detenerse. La resistencia, la falta de comunicación y la falta de responsabilidad pueden socavar las iniciativas destinadas a proteger la privacidad, prevenir el sesgo y garantizar la alineación regulatoria. OCM une esta brecha al alinear a las personas, procesos, cultura y políticas. Equipa a los líderes y equipos con las estrategias de mentalidad, capacitación y comunicación necesarias para adaptarse a la rápida evolución de la IA, garantizar que la gobernanza no solo se aplique sino que se abraza. El gobierno exitoso de la IA no se trata solo de lo que controlas, se trata de cómo se adapta tu organización. Es por eso que OCM no es opcional. Es fundamental. A continuación se presentan algunos ejemplos. 1. La gobernanza de la IA requiere un cambio de comportamiento, no solo los controles técnicos: la gobernanza de la IA implica gestionar el riesgo, garantizar la transparencia, mitigar el sesgo y la alineación con los estándares éticos y regulatorios. Estos objetivos no se pueden lograr únicamente a través de algoritmos o documentos de política. Requieren que las personas (desarrolladores, usuarios, equipos de cumplimiento y líderes empresariales) cambien cómo diseñan, implementan y monitorean los sistemas de IA. OCM guía este cambio de comportamiento a través de comunicación estructurada, capacitación y participación de las partes interesadas. 2. OCM genera confianza y transparencia: la confianza en la IA depende de la comunicación clara sobre lo que está haciendo la IA, por qué se está utilizando y cómo se toman las decisiones. OCM asegura que los líderes de cambio fomenten una cultura de apertura, colaboración y responsabilidad, crítica para garantizar la transparencia y la equidad, especialmente en industrias reguladas como la atención médica, las finanzas y los servicios públicos. 3. OCM alinea equipos interfuncionales en torno a los objetivos de gobernanza: la gobernanza de IA toca múltiples disciplinas: IT, legal, cumplimiento, ciencia de datos y recursos humanos. OCM ayuda a romper silos, alinear equipos y establecer la propiedad compartida de las responsabilidades de gobernanza de la IA. A través de redes de cambio, bucles de retroalimentación y estrategias de alineación de las partes interesadas, OCM permite la coordinación efectiva y la adopción de políticas. 4. OCM mantiene el cumplimiento a largo plazo y la mejora continua: los sistemas de IA evolucionan rápidamente. Sin apoyo continuo de cambio, los esfuerzos de gobernanza pueden estancarse. OCM asegura que las organizaciones permanezcan ágiles, se adapten a las nuevas regulaciones y reevalúen regularmente los marcos de gobernanza para reflejar los cambios en las prioridades comerciales y las expectativas sociales. 5. Integración de ética de IA: OCM asegura que los principios éticos de IA como la equidad, la transparencia, la responsabilidad y el diseño centrado en el ser humano se integren en políticas, cultura y comportamiento. La gobernanza de AI requiere alinear las prácticas organizacionales con principios éticos (por ejemplo, la Ley de la UE AI, NIST AI RMF, OECD AI Principios). OCM facilita la internalización de estos valores a través de la participación de liderazgo, la capacitación y los incentivos de desempeño. AI Gobernance Enfoque OCM Contribución de implicaciones éticas/políticas Modelo de transparencia y capacitación de responsabilidad, adopción de documentación, aclaración de roles permite supervisión ética; Previene el cambio de proceso de mitigación de sesgo de sistemas de caja negra, la cultura de prueba inclusiva se alinea con la equidad y el cumplimiento de la justicia social (por ejemplo, GDPR, NIST AI RMF) Los controles de incrustación en flujos de trabajo reducen el riesgo regulatorio; Se alinea con el interés público de interés humano en el bucle (HITL), la creación de calificación, la escalada de escalada preserva los derechos humanos y la confianza del debido proceso en los sistemas de IA, los sistemas cambian las narrativas, la participación de las partes interesadas construye legitimidad y licencia social para operar 6. Navegación de la complejidad política y estatista: la OCM: OCM proporciona una forma estructurada de equilibrio para el poder, el facultad de la facilidad y la resolución y la resolución de la innovación. La implementación de sistemas de inteligencia artificial desencadena desafíos políticos e intereses competitivos a través de legales, cumplimiento, negocios y TI, y evoca preguntas sobre la autoridad de toma de decisiones algorítmicas frente a la supervisión humana. 7. Hacer cumplir la gobernanza y alineación regulatoria: OCM traduce regulaciones externas (por ejemplo, GDPR, HIPAA, AI ACT) y políticas internas en los comportamientos diarios y los controles a nivel de sistema. Esto es crítico para la documentación del modelo, el seguimiento de la responsabilidad y las evaluaciones de impacto (p. Ej., AI Explicabilidad, DPIAS). Los agentes de capacitación y cambio comprometido ayudan a garantizar que las prácticas de AI GRC estén integradas en los ciclos de vida del desarrollo, no modificados. 8. Creación de confianza y supervisión humana: el éxito de la IA depende de la confianza de los usuarios, los empleados, los reguladores y el público. OCM respalda esto al garantizar la comunicación transparente, la capacitación y la revisión humana significativa de las salidas de IA de alto riesgo (por ejemplo, médicos, contratación, decisiones financieras). OCM también mitiga la resistencia a través de la seguridad psicológica y las prácticas de diseño inclusivas. Referencias Jobin, Ienca y Vayena (2019). El panorama global de las pautas de ética de IA. Inteligencia de la máquina de la naturaleza. Marco de gestión de riesgos NIST AI (AI RMF 1.0), enero de 2023. • Crawford, Kate (2021). Atlas de Ai. Yale University Press: discute la IA como una forma de poder y política laboral. Cio.com. (2023). Por qué OCM es crítico para la adopción de IA y la mitigación de riesgos. Orientación de ICO sobre IA y Protección de Datos (Oficina del Comisionado de Información del Reino Unido). Programa de aseguramiento de AI HITRUST: destaca el papel de los controles organizacionales en la gobernanza modelo. Harvard Business Review (2021). La IA puede cambiar el juego, si los líderes están listos para adaptarse. Future of Life Institute – Principios para la IA beneficiosa. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.

Se ha observado que los actores de amenaza con lazos con Corea del Norte dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el lenguaje de programación NIM, subrayando una evolución constante de sus tácticas. «Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la versión con TLS cifrada del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticias de los hackers. «Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema». La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña. Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de mensajería como Telegram para programar una reunión de zoom a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Zoom junto con instrucciones para ejecutar un script de actualización de zoom SDK para garantizar que estén ejecutando la última versión del software de videoconferencia. Este paso da como resultado la ejecución de un AppleScript que actúa como un vehículo de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al usuario a un enlace de redirección de zoom legítimo. El script recién descargado posteriormente desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y lanzar información de robo de información. En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (también conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 lanza objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, después de lo cual se reanuda la ejecución del proceso suspendido. El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan recopilar información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo actual. Los resultados de la ejecución se devuelven al servidor. Trojan1_arm64, por su parte, es capaz de descargar dos cargas más útiles, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram. También se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de lanzamiento para CoreKitagent, que monitorea para los intentos del usuario de matar el proceso de malware y garantiza la persistencia. «Este comportamiento asegura que cualquier terminación iniciada por el usuario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas», dijeron los investigadores. El malware también inicia un AppleScript que saca cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la lista de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor. Los hallazgos demuestran cómo los actores de amenaza de Corea del Norte están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para actuar como una puerta trasera posterior a la explotación para cumplir con sus objetivos de recopilación de datos. «Los actores de amenaza alineados en Corea del Norte han experimentado previamente con GO y Rust, combinando de manera similar los guiones y compilado binarios en cadenas de ataque de varias etapas», dijeron los investigadores. «Sin embargo, la capacidad bastante única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento complejo en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función». El uso de Kimsuky de ClickFix continúa la divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, Genians, expuso el uso continuo de Kimusky de la Táctica de Ingeniería Social de ClickFix para ofrecer una variedad de herramientas de acceso remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al grupo de piratería norcoreana. Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad nacional en Corea del Sur, implican el uso de correos electrónicos de phishing de lanza disfrazados de solicitudes de entrevistas para un periódico comercial legítimo en alemán y engañarlos para que abran un enlace malicioso que contiene un archivo falso de raros. Presente dentro del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para abrir un archivo de documentos de Google señuelo en el navegador web del usuario, mientras que, en segundo plano, el código malicioso se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha. Los ataques posteriores observados en marzo de 2025 han hecho pasar por un alto funcionario de seguridad nacional de EE. UU. Para engañar a los objetivos para abrir un archivo adjunto PDF que incluía una lista de preguntas relacionadas con una reunión durante la supuesta visita del funcionario a Corea del Sur. «También intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para acceder a un documento seguro», dijo Genians. «Si bien la táctica original ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta variante modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para acceder a un documento seguro». Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos. Una vez que se ejecuta el comando malicioso de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código malicioso que establece una comunicación persistente con un servidor C2 para recopilar datos y entregar cargas útiles adicionales. Una segunda variante de la estrategia ClickFix implica el uso de un sitio web falso que imita un portal de trabajo de investigación de defensa legítimo y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para abrir el dialog de Windows y ejecutar un comando PowerShell. El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto de Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 «Kida.plusdocs.kro[.]KR. «Los genianos dijeron que descubrió una vulnerabilidad de un listado de directorio en el servidor C2 de que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur. El servidor C2 también incluyó una dirección IP de China, que se ha encontrado que contiene un registro de keylogging para una cadena de enlace de protección de protón que aloja un archivo zip que se usa para el babyky de Babyskark en el malware en el último malking de Windows por medio de una cadena de ataque múltiple de KIMS, como el último mes de enlace de KImy, se utiliza recientemente, el último mes, es el último mes, es el último mes de Kimsu, es el último mes de Kimsu. Para haber inventado otra variante de ClickFix en la que los actores de amenaza implementan las páginas de verificación de la Captcha Phony para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ej. appears to be another case of publicly available methods being adapted for malicious use.» In recent weeks, Kimsuky has also been linked to email phishing campaigns that seemingly originate from academic institutions, but distribute malware under the pretext of reviewing a research paper. «The email prompted the recipient to open a HWP document file with a malicious OLE object attachment,» AhnLab said. «The document was password-protected, and the recipient had to enter the password provided in the email body to view the document.» Opening the weaponized document activates the infection process, leading to the execution of a PowerShell script that performs extensive system reconnaissance and the deployment of the legitimate AnyDesk software for persistent remote access. The prolific threat actor that Kimsuky is, the group is in a constant state of flux regarding its tools, tactics, and techniques for malware delivery, with some of the cyber attacks also Aprovechar a Github como un stager para propagar un troyano de código abierto llamado Xeno Rat. Comience con los correos electrónicos de phishing de lanza con archivos adjuntos de archivo comprimidos que contienen un archivo de acceso directo de Windows (LNK), que, a su vez, se usa para soltar un script de PowerShell que luego descarga y inicia el documento Decoy, así como ejecuta Xeno Rat y un PowerShell Information Stoaler a Otry Attack Secureby a Otry AttleBbox a Otros secuencias de AttleBbox. Xeno Rat. de las operaciones de Kimsuky, incluido su uso de Github y Dropbox como parte de su infraestructura «. Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, junto con Konni, que representa el 5% de todos los 44 Grupos de Attre -Atting Atting Attain Attain Attain Attain Attain Atente. Kimsuky, Sidewinder y Konni.

Si el término «amenaza cibernética» por sí sola es suficiente para poner nerviosa a cualquier compañía, imagine un sofisticado ciberataque diseñado no solo para infiltrarse sino para permanecer oculto dentro de una red durante períodos prolongados. Estas amenazas son reales, pero también pueden ser contrarrestadas. Permítanos presentarle los infames aptos o amenazas persistentes avanzadas. ¿Qué es un apto? Una amenaza persistente avanzada (APT) es un ciberataque altamente sofisticado y sostenido. Se basa en técnicas de ataque sigilosas que permiten que un intruso mantenga una presencia no detectada dentro de una red y robe datos confidenciales durante un período prolongado. Se planifica y ejecuta cuidadosamente un ataque adecuado, lo que requiere una estrategia específica para evitar medidas de seguridad y evitar la detección. Llevar a cabo un ataque APT implica un nivel mucho más alto de personalización y sofisticación que un ciberataque típico. La característica definitoria de esta amenaza es la persistencia de su actividad: los atacantes establecen una presencia a largo plazo dentro de un sistema o red mientras permanecen ocultos. Estos ataques a menudo tienen un respaldo sustancial y comúnmente están impulsados por motivos como el espionaje político, el sabotaje o la búsqueda de ventajas estratégicas. Etapas APT: una amenaza en constante evolución para prevenir, detectar y contrarrestar estas amenazas, es crucial comprender cómo funcionan. La mayoría de los APT siguen el mismo ciclo de vida básico, compuesto de fases progresivas e interdependientes. Etapa 1: Infiltración Para ingresar al sistema, los cibercriminales a menudo usan archivos infectados, correos electrónicos de spam, aplicaciones vulnerables o debilidades en la red. Por ejemplo, un correo electrónico de phishing puede ser cuidadosamente elaborado y dirigido selectivamente al personal de alto rango. El mensaje puede parecer provenir de un miembro del equipo de confianza y hacer referencia a un proyecto en curso para mejorar la credibilidad. Etapa 2: escalada y movimiento lateral Una vez que se obtiene el acceso inicial, los atacantes despliegan malware para iniciar la siguiente fase: expansión. Este proceso de «plantación» les permite configurar una red de túneles y puertas traseras para moverse alrededor del sistema sin detectar. A partir de ahí, se mueven lateralmente para mapear la red y recopilar credenciales como nombres de cuentas y contraseñas, lo que permite el acceso a información comercial crítica. Con una infiltración más profunda, los piratas informáticos pueden navegar por la red a voluntad. También pueden intentar acceder a otros servidores, dispositivos o áreas aseguradas de la infraestructura. Etapa 3: Observe, aprender y persistir en preparación para la tercera fase, los cibercriminales generalmente almacenan los datos robados en una ubicación segura dentro de la red hasta que se haya recopilado una cantidad suficiente. Luego, lo extraen o exfiltran sin prender alarmas. Las tácticas como los ataques de denegación de servicio (DOS) pueden distraer al equipo de seguridad y mantener ocupado al personal de la red mientras se exfiltran los datos. Los piratas informáticos generalmente dejan la red comprometida, lista para reingresar cuando lo deseen. Cómo prevenir amenazas persistentes avanzadas La detección avanzada de amenazas persistentes implica una combinación estratégica de diferentes medidas de seguridad. Conocerlos a todos puede ser abrumador, pero no tiene que ser solo su responsabilidad. En LevelBlue, ofrecemos los servicios y expertos que necesita para modernizar la seguridad de su red y darle a su empresa la confianza y la tranquilidad que merece. La implementación de controles de seguridad preventivos como WAF y NGFW Web Application Firewalls (WAFS) y firewalls de próxima generación (NGFWS) son soluciones preventivas esenciales que ayudan a proteger a las organizaciones de los APT. WAFS actúa como una barrera de seguridad para aplicaciones web mediante el filtrado y el monitoreo del tráfico HTTP entre la aplicación web e Internet. Esto ayuda a detectar amenazas web comunes y limita la capacidad de un APT para explotar las vulnerabilidades de la capa de aplicación. Los NGFW mejoran los firewalls tradicionales al incorporar características avanzadas como la prevención de la intrusión y el control de la aplicación. Esto les permite detectar y bloquear amenazas más sofisticadas, incluidos los APT. Al monitorear el tráfico de la red, los NGFW pueden identificar patrones o comportamientos inusuales que pueden indicar una infiltración APT. El uso de herramientas de simulación de incumplimiento y simulación de ataque de incumplimiento y ataque de ataque puede ayudar significativamente a las organizaciones mediante la automatización de la emulación de comportamientos adversos. Estas herramientas simulan las acciones de varios actores de amenaza de una manera controlada y no disruptiva, lo que permite a las organizaciones evaluar sus defensas de manera realista. La capacitación y la educación de los equipos avanzadas amenazas persistentes a menudo comienzan con los ataques de phishing. Por lo tanto, la capacitación de usuarios para reconocer y evitar correos electrónicos potencialmente dañinos es vital para una estrategia de defensa sólida. Los programas de concientización que ayudan a los empleados a identificar mensajes sospechosos pueden prevenir los intentos de infiltración inicial. El diseño de una lista blanca de la lista blanca implica designar un conjunto específico de aplicaciones o dominios como confiables. Solo el tráfico de aplicaciones y dominios aprobados está permitido a través de la red. Esta herramienta reduce significativamente el número de vectores de ataque potenciales y ayuda a hacer cumplir un perímetro de seguridad más estricto. Implementación de entornos de sandbox Otro método efectivo para prevenir los ataques es el sandboxing. Cuando se implementa un protocolo Sandbox, una aplicación específica está restringida a un entorno aislado donde se puede analizar un comportamiento sospechoso. Si se ejecuta el código malicioso, solo afecta el entorno de sandbox protegido, manteniendo el resto del sistema a salvo del daño. Las industrias más vulnerables a los ataques APT, ciertas industrias son inherentemente más propensas a amenazas persistentes avanzadas. Esta «selección» generalmente se basa en su importancia estratégica, la sensibilidad de sus datos y el potencial para causar una interrupción generalizada. Las agencias gubernamentales y los departamentos cibernéticos apuntando a gobiernos extranjeros no solo ocurren en las películas de espías. Estas agencias poseen grandes cantidades de información confidencial, desde datos de seguridad nacional hasta detalles de política económica y exterior, lo que los convierte en objetivos muy atractivos. La industria de defensa y los contratistas gubernamentales, estas entidades a menudo manejan información confidencial y clasificada relacionada con la seguridad nacional, el armamento avanzado y la tecnología de vanguardia. Dichos datos son muy valiosos para los adversarios que buscan ventajas estratégicas. Las entidades de organizaciones críticas de infraestructura en sectores como energía, agua, transporte, telecomunicaciones y atención médica tienen el potencial de causar una interrupción social significativa si se compromete. Los ataques APT contra estos sectores podrían paralizar servicios esenciales, causar daños físicos o incluso poner en peligro vidas. Industrias de alta tecnología y manufactura El sector de alta tecnología es un objetivo frecuente debido a su propiedad intelectual, datos de I + D y secretos comerciales. Los ataques APT pueden conducir a pérdidas financieras significativas y dañar la ventaja competitiva de una empresa. Los bancos de servicios financieros, las compañías de seguros y los procesadores de pagos son objetivos atractivos no solo por las ganancias monetarias que ofrecen sino también debido a los datos confidenciales de los clientes y los historiales de transacciones que almacenan. Estos datos pueden explotarse en una amplia gama de actividades ilícitas. Industria de la salud El sector de la salud está cada vez más dirigido debido a la gran cantidad de datos personales y médicos que posee. La información, como los registros de pacientes y la investigación sobre nuevos tratamientos, se puede explotar por robo de identidad, extorsión o espionaje comercial. Cómo LevelBlue puede ayudar a las amenazas cibernéticas está evolucionando y está más avanzado todos los días. Lo que distingue a los apts es que se adaptan y refinan sus tácticas a medida que se infiltran en su sistema. Si se quedan sin control, toda su infraestructura podría verse comprometida. La clave es rastrear y detectar un APT antes de que llegue a las áreas más seguras de su red. En LevelBlue, proporcionamos tecnología avanzada que amplía la visibilidad y permite una respuesta proactiva a las técnicas de ataque emergentes. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.