Resumen A medida que las organizaciones corren para adoptar la inteligencia artificial, muchas pasan por alto un factor de éxito clave: la gestión del cambio organizacional (OCM). Si bien los marcos de gobernanza y cumplimiento de la IA proporcionan la estructura (pilotos, controles y supervisión, OCM aborda los factores humanos que dan vida a estos marcos. La gobernanza de IA requiere más que controles técnicos; Exige la alineación cultural, la conciencia ética y el cambio de comportamiento en toda la empresa. Ahí es donde OCM se vuelve crítico. Ayuda a las partes interesadas a comprender los riesgos y responsabilidades del uso de la IA, impulsa la adopción de las políticas de gobernanza y genera confianza en los sistemas de IA a través de la transparencia y la educación. Sin OCM, incluso el programa de cumplimiento de IA de IA mejor diseñado puede detenerse. La resistencia, la falta de comunicación y la falta de responsabilidad pueden socavar las iniciativas destinadas a proteger la privacidad, prevenir el sesgo y garantizar la alineación regulatoria. OCM une esta brecha al alinear a las personas, procesos, cultura y políticas. Equipa a los líderes y equipos con las estrategias de mentalidad, capacitación y comunicación necesarias para adaptarse a la rápida evolución de la IA, garantizar que la gobernanza no solo se aplique sino que se abraza. El gobierno exitoso de la IA no se trata solo de lo que controlas, se trata de cómo se adapta tu organización. Es por eso que OCM no es opcional. Es fundamental. A continuación se presentan algunos ejemplos. 1. La gobernanza de la IA requiere un cambio de comportamiento, no solo los controles técnicos: la gobernanza de la IA implica gestionar el riesgo, garantizar la transparencia, mitigar el sesgo y la alineación con los estándares éticos y regulatorios. Estos objetivos no se pueden lograr únicamente a través de algoritmos o documentos de política. Requieren que las personas (desarrolladores, usuarios, equipos de cumplimiento y líderes empresariales) cambien cómo diseñan, implementan y monitorean los sistemas de IA. OCM guía este cambio de comportamiento a través de comunicación estructurada, capacitación y participación de las partes interesadas. 2. OCM genera confianza y transparencia: la confianza en la IA depende de la comunicación clara sobre lo que está haciendo la IA, por qué se está utilizando y cómo se toman las decisiones. OCM asegura que los líderes de cambio fomenten una cultura de apertura, colaboración y responsabilidad, crítica para garantizar la transparencia y la equidad, especialmente en industrias reguladas como la atención médica, las finanzas y los servicios públicos. 3. OCM alinea equipos interfuncionales en torno a los objetivos de gobernanza: la gobernanza de IA toca múltiples disciplinas: IT, legal, cumplimiento, ciencia de datos y recursos humanos. OCM ayuda a romper silos, alinear equipos y establecer la propiedad compartida de las responsabilidades de gobernanza de la IA. A través de redes de cambio, bucles de retroalimentación y estrategias de alineación de las partes interesadas, OCM permite la coordinación efectiva y la adopción de políticas. 4. OCM mantiene el cumplimiento a largo plazo y la mejora continua: los sistemas de IA evolucionan rápidamente. Sin apoyo continuo de cambio, los esfuerzos de gobernanza pueden estancarse. OCM asegura que las organizaciones permanezcan ágiles, se adapten a las nuevas regulaciones y reevalúen regularmente los marcos de gobernanza para reflejar los cambios en las prioridades comerciales y las expectativas sociales. 5. Integración de ética de IA: OCM asegura que los principios éticos de IA como la equidad, la transparencia, la responsabilidad y el diseño centrado en el ser humano se integren en políticas, cultura y comportamiento. La gobernanza de AI requiere alinear las prácticas organizacionales con principios éticos (por ejemplo, la Ley de la UE AI, NIST AI RMF, OECD AI Principios). OCM facilita la internalización de estos valores a través de la participación de liderazgo, la capacitación y los incentivos de desempeño. AI Gobernance Enfoque OCM Contribución de implicaciones éticas/políticas Modelo de transparencia y capacitación de responsabilidad, adopción de documentación, aclaración de roles permite supervisión ética; Previene el cambio de proceso de mitigación de sesgo de sistemas de caja negra, la cultura de prueba inclusiva se alinea con la equidad y el cumplimiento de la justicia social (por ejemplo, GDPR, NIST AI RMF) Los controles de incrustación en flujos de trabajo reducen el riesgo regulatorio; Se alinea con el interés público de interés humano en el bucle (HITL), la creación de calificación, la escalada de escalada preserva los derechos humanos y la confianza del debido proceso en los sistemas de IA, los sistemas cambian las narrativas, la participación de las partes interesadas construye legitimidad y licencia social para operar 6. Navegación de la complejidad política y estatista: la OCM: OCM proporciona una forma estructurada de equilibrio para el poder, el facultad de la facilidad y la resolución y la resolución de la innovación. La implementación de sistemas de inteligencia artificial desencadena desafíos políticos e intereses competitivos a través de legales, cumplimiento, negocios y TI, y evoca preguntas sobre la autoridad de toma de decisiones algorítmicas frente a la supervisión humana. 7. Hacer cumplir la gobernanza y alineación regulatoria: OCM traduce regulaciones externas (por ejemplo, GDPR, HIPAA, AI ACT) y políticas internas en los comportamientos diarios y los controles a nivel de sistema. Esto es crítico para la documentación del modelo, el seguimiento de la responsabilidad y las evaluaciones de impacto (p. Ej., AI Explicabilidad, DPIAS). Los agentes de capacitación y cambio comprometido ayudan a garantizar que las prácticas de AI GRC estén integradas en los ciclos de vida del desarrollo, no modificados. 8. Creación de confianza y supervisión humana: el éxito de la IA depende de la confianza de los usuarios, los empleados, los reguladores y el público. OCM respalda esto al garantizar la comunicación transparente, la capacitación y la revisión humana significativa de las salidas de IA de alto riesgo (por ejemplo, médicos, contratación, decisiones financieras). OCM también mitiga la resistencia a través de la seguridad psicológica y las prácticas de diseño inclusivas. Referencias Jobin, Ienca y Vayena (2019). El panorama global de las pautas de ética de IA. Inteligencia de la máquina de la naturaleza. Marco de gestión de riesgos NIST AI (AI RMF 1.0), enero de 2023. • Crawford, Kate (2021). Atlas de Ai. Yale University Press: discute la IA como una forma de poder y política laboral. Cio.com. (2023). Por qué OCM es crítico para la adopción de IA y la mitigación de riesgos. Orientación de ICO sobre IA y Protección de Datos (Oficina del Comisionado de Información del Reino Unido). Programa de aseguramiento de AI HITRUST: destaca el papel de los controles organizacionales en la gobernanza modelo. Harvard Business Review (2021). La IA puede cambiar el juego, si los líderes están listos para adaptarse. Future of Life Institute – Principios para la IA beneficiosa. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Etiqueta: Seguridad de la red Página 2 de 8
Se ha observado que los actores de amenaza con lazos con Corea del Norte dirigen a las empresas Web3 y relacionadas con las criptomonedas con malware escritos en el lenguaje de programación NIM, subrayando una evolución constante de sus tácticas. «Inusualmente para el malware de MacOS, los actores de amenaza emplean una técnica de inyección de procesos y comunicaciones remotas a través de WSS, dijeron la versión con TLS cifrada del Protocolo WebSocket», dijeron los investigadores de Sentinelone Phil Stokes y Raffaele Sabato compartido con las noticias de los hackers. «Un nuevo mecanismo de persistencia aprovecha los manejadores de señal Sigint/sigter para instalar la persistencia cuando se termina el malware o se reinicia el sistema». La compañía de seguridad cibernética está rastreando los componentes de malware colectivamente bajo el nombre de Nimdoor. Vale la pena señalar que Huntensil.it y más tarde por Huntress y Valentin documentan algunos aspectos de la campaña. Las cadenas de ataque involucran tácticas de ingeniería social, que se acercan a los objetivos en plataformas de mensajería como Telegram para programar una reunión de zoom a través de Calendly, un software de programación de citas. Luego, el objetivo se envía un correo electrónico que contiene un supuesto enlace de reunión de Zoom junto con instrucciones para ejecutar un script de actualización de zoom SDK para garantizar que estén ejecutando la última versión del software de videoconferencia. Este paso da como resultado la ejecución de un AppleScript que actúa como un vehículo de entrega para un script de segunda etapa desde un servidor remoto, mientras que aparentemente redirige al usuario a un enlace de redirección de zoom legítimo. El script recién descargado posteriormente desempaquera los archivos ZIP que contienen binarios responsables de establecer persistencia y lanzar información de robo de información. En el corazón de la secuencia de infección hay un cargador C ++ llamado inyectwithdyDarm64 (también conocido como inyectwithdyld), que descifra dos binarios incrustados llamados Target y Trojan1_arm64. InyectwithdyDarm64 lanza objetivo en un estado suspendido e inyecta el código binario de Trojan1_arm64, después de lo cual se reanuda la ejecución del proceso suspendido. El malware procede a establecer la comunicación con un servidor remoto y obtener comandos que le permitan recopilar información del sistema, ejecutar comandos arbitrarios y cambiar o establecer el directorio de trabajo actual. Los resultados de la ejecución se devuelven al servidor. Trojan1_arm64, por su parte, es capaz de descargar dos cargas más útiles, que vienen equipadas con capacidades para cosechar credenciales de navegadores web como ARC, Brave, Google Chrome, Microsoft Edge y Mozilla Firefox, así como extraer datos de la aplicación Telegram. También se suelta como parte de los ataques es una colección de ejecutables basados en NIM que se utiliza como una plataforma de lanzamiento para CoreKitagent, que monitorea para los intentos del usuario de matar el proceso de malware y garantiza la persistencia. «Este comportamiento asegura que cualquier terminación iniciada por el usuario del malware resulte en la implementación de los componentes centrales, lo que hace que el código se resilice a las acciones defensivas básicas», dijeron los investigadores. El malware también inicia un AppleScript que saca cada 30 segundos a uno de los dos servidores de comando y control (C2) codificados, al tiempo que exfiltran una instantánea de la lista de procesos de ejecución y ejecutando scripts adicionales enviados por el servidor. Los hallazgos demuestran cómo los actores de amenaza de Corea del Norte están entrenando cada vez más sus vistas en los sistemas de MacOS, armando a AppleScript para actuar como una puerta trasera posterior a la explotación para cumplir con sus objetivos de recopilación de datos. «Los actores de amenaza alineados en Corea del Norte han experimentado previamente con GO y Rust, combinando de manera similar los guiones y compilado binarios en cadenas de ataque de varias etapas», dijeron los investigadores. «Sin embargo, la capacidad bastante única de NIM para ejecutar funciones durante el tiempo de compilación permite a los atacantes combinar un comportamiento complejo en un binario con un flujo de control menos obvio, lo que resulta en binarios compilados en los que el código del desarrollador y el código de tiempo de ejecución NIM se entremezclan incluso a nivel de función». El uso de Kimsuky de ClickFix continúa la divulgación se produce cuando la compañía de ciberseguridad de Corea del Sur, Genians, expuso el uso continuo de Kimusky de la Táctica de Ingeniería Social de ClickFix para ofrecer una variedad de herramientas de acceso remoto como parte de una campaña denominada Babyshark, un clúster conocido de actividad atribuido al grupo de piratería norcoreana. Los ataques, observados por primera vez en enero de 2025 y apuntando a expertos en seguridad nacional en Corea del Sur, implican el uso de correos electrónicos de phishing de lanza disfrazados de solicitudes de entrevistas para un periódico comercial legítimo en alemán y engañarlos para que abran un enlace malicioso que contiene un archivo falso de raros. Presente dentro del archivo hay un archivo de script de Visual Basic (VBS) que está diseñado para abrir un archivo de documentos de Google señuelo en el navegador web del usuario, mientras que, en segundo plano, el código malicioso se ejecuta para establecer la persistencia en el host a través de tareas programadas y información del sistema de cosecha. Los ataques posteriores observados en marzo de 2025 han hecho pasar por un alto funcionario de seguridad nacional de EE. UU. Para engañar a los objetivos para abrir un archivo adjunto PDF que incluía una lista de preguntas relacionadas con una reunión durante la supuesta visita del funcionario a Corea del Sur. «También intentaron engañar al objetivo para que abran un manual e ingrese un código de autenticación, supuestamente requerido para acceder a un documento seguro», dijo Genians. «Si bien la táctica original ‘ClickFix’ engañó a los usuarios para que haga clic para corregir un error específico, esta variante modificó el enfoque al pedir a los usuarios que copiaran y pegar un código de autenticación para acceder a un documento seguro». Professpoint documentó una táctica similar en abril de 2025, la diferencia es que el mensaje de correo electrónico afirmado se originó en un diplomático japonés e instó al destinatario a establecer una reunión con el embajador japonés en los Estados Unidos. Una vez que se ejecuta el comando malicioso de PowerShell, un archivo de Docs de Google señuelo se usa como una distracción para ocultar la ejecución del código malicioso que establece una comunicación persistente con un servidor C2 para recopilar datos y entregar cargas útiles adicionales. Una segunda variante de la estrategia ClickFix implica el uso de un sitio web falso que imita un portal de trabajo de investigación de defensa legítimo y poblándolo con listados falsos, lo que hace que los visitantes del sitio que hacen clic en estas publicaciones se atienden con un mensaje emergente de estilo ClickFix para abrir el dialog de Windows y ejecutar un comando PowerShell. El comando, por su parte, guió a los usuarios para descargar e instalar el software de escritorio remoto de Chrome en sus sistemas, permitiendo el control remoto a través de SSH a través del servidor C2 «Kida.plusdocs.kro[.]KR. «Los genianos dijeron que descubrió una vulnerabilidad de un listado de directorio en el servidor C2 de que los datos expuestos públicamente probablemente recopilados de las víctimas ubicadas en Corea del Sur. El servidor C2 también incluyó una dirección IP de China, que se ha encontrado que contiene un registro de keylogging para una cadena de enlace de protección de protón que aloja un archivo zip que se usa para el babyky de Babyskark en el malware en el último malking de Windows por medio de una cadena de ataque múltiple de KIMS, como el último mes de enlace de KImy, se utiliza recientemente, el último mes, es el último mes, es el último mes de Kimsu, es el último mes de Kimsu. Para haber inventado otra variante de ClickFix en la que los actores de amenaza implementan las páginas de verificación de la Captcha Phony para copiar y pegar los comandos de PowerShell en el diálogo de Windows Ej. appears to be another case of publicly available methods being adapted for malicious use.» In recent weeks, Kimsuky has also been linked to email phishing campaigns that seemingly originate from academic institutions, but distribute malware under the pretext of reviewing a research paper. «The email prompted the recipient to open a HWP document file with a malicious OLE object attachment,» AhnLab said. «The document was password-protected, and the recipient had to enter the password provided in the email body to view the document.» Opening the weaponized document activates the infection process, leading to the execution of a PowerShell script that performs extensive system reconnaissance and the deployment of the legitimate AnyDesk software for persistent remote access. The prolific threat actor that Kimsuky is, the group is in a constant state of flux regarding its tools, tactics, and techniques for malware delivery, with some of the cyber attacks also Aprovechar a Github como un stager para propagar un troyano de código abierto llamado Xeno Rat. Comience con los correos electrónicos de phishing de lanza con archivos adjuntos de archivo comprimidos que contienen un archivo de acceso directo de Windows (LNK), que, a su vez, se usa para soltar un script de PowerShell que luego descarga y inicia el documento Decoy, así como ejecuta Xeno Rat y un PowerShell Information Stoaler a Otry Attack Secureby a Otry AttleBbox a Otros secuencias de AttleBbox. Xeno Rat. de las operaciones de Kimsuky, incluido su uso de Github y Dropbox como parte de su infraestructura «. Kimsuky, según los datos de NSFOCUS, ha sido uno de los grupos de amenaza más activos de Corea, junto con Konni, que representa el 5% de todos los 44 Grupos de Attre -Atting Atting Attain Attain Attain Attain Attain Atente. Kimsuky, Sidewinder y Konni.
Si el término «amenaza cibernética» por sí sola es suficiente para poner nerviosa a cualquier compañía, imagine un sofisticado ciberataque diseñado no solo para infiltrarse sino para permanecer oculto dentro de una red durante períodos prolongados. Estas amenazas son reales, pero también pueden ser contrarrestadas. Permítanos presentarle los infames aptos o amenazas persistentes avanzadas. ¿Qué es un apto? Una amenaza persistente avanzada (APT) es un ciberataque altamente sofisticado y sostenido. Se basa en técnicas de ataque sigilosas que permiten que un intruso mantenga una presencia no detectada dentro de una red y robe datos confidenciales durante un período prolongado. Se planifica y ejecuta cuidadosamente un ataque adecuado, lo que requiere una estrategia específica para evitar medidas de seguridad y evitar la detección. Llevar a cabo un ataque APT implica un nivel mucho más alto de personalización y sofisticación que un ciberataque típico. La característica definitoria de esta amenaza es la persistencia de su actividad: los atacantes establecen una presencia a largo plazo dentro de un sistema o red mientras permanecen ocultos. Estos ataques a menudo tienen un respaldo sustancial y comúnmente están impulsados por motivos como el espionaje político, el sabotaje o la búsqueda de ventajas estratégicas. Etapas APT: una amenaza en constante evolución para prevenir, detectar y contrarrestar estas amenazas, es crucial comprender cómo funcionan. La mayoría de los APT siguen el mismo ciclo de vida básico, compuesto de fases progresivas e interdependientes. Etapa 1: Infiltración Para ingresar al sistema, los cibercriminales a menudo usan archivos infectados, correos electrónicos de spam, aplicaciones vulnerables o debilidades en la red. Por ejemplo, un correo electrónico de phishing puede ser cuidadosamente elaborado y dirigido selectivamente al personal de alto rango. El mensaje puede parecer provenir de un miembro del equipo de confianza y hacer referencia a un proyecto en curso para mejorar la credibilidad. Etapa 2: escalada y movimiento lateral Una vez que se obtiene el acceso inicial, los atacantes despliegan malware para iniciar la siguiente fase: expansión. Este proceso de «plantación» les permite configurar una red de túneles y puertas traseras para moverse alrededor del sistema sin detectar. A partir de ahí, se mueven lateralmente para mapear la red y recopilar credenciales como nombres de cuentas y contraseñas, lo que permite el acceso a información comercial crítica. Con una infiltración más profunda, los piratas informáticos pueden navegar por la red a voluntad. También pueden intentar acceder a otros servidores, dispositivos o áreas aseguradas de la infraestructura. Etapa 3: Observe, aprender y persistir en preparación para la tercera fase, los cibercriminales generalmente almacenan los datos robados en una ubicación segura dentro de la red hasta que se haya recopilado una cantidad suficiente. Luego, lo extraen o exfiltran sin prender alarmas. Las tácticas como los ataques de denegación de servicio (DOS) pueden distraer al equipo de seguridad y mantener ocupado al personal de la red mientras se exfiltran los datos. Los piratas informáticos generalmente dejan la red comprometida, lista para reingresar cuando lo deseen. Cómo prevenir amenazas persistentes avanzadas La detección avanzada de amenazas persistentes implica una combinación estratégica de diferentes medidas de seguridad. Conocerlos a todos puede ser abrumador, pero no tiene que ser solo su responsabilidad. En LevelBlue, ofrecemos los servicios y expertos que necesita para modernizar la seguridad de su red y darle a su empresa la confianza y la tranquilidad que merece. La implementación de controles de seguridad preventivos como WAF y NGFW Web Application Firewalls (WAFS) y firewalls de próxima generación (NGFWS) son soluciones preventivas esenciales que ayudan a proteger a las organizaciones de los APT. WAFS actúa como una barrera de seguridad para aplicaciones web mediante el filtrado y el monitoreo del tráfico HTTP entre la aplicación web e Internet. Esto ayuda a detectar amenazas web comunes y limita la capacidad de un APT para explotar las vulnerabilidades de la capa de aplicación. Los NGFW mejoran los firewalls tradicionales al incorporar características avanzadas como la prevención de la intrusión y el control de la aplicación. Esto les permite detectar y bloquear amenazas más sofisticadas, incluidos los APT. Al monitorear el tráfico de la red, los NGFW pueden identificar patrones o comportamientos inusuales que pueden indicar una infiltración APT. El uso de herramientas de simulación de incumplimiento y simulación de ataque de incumplimiento y ataque de ataque puede ayudar significativamente a las organizaciones mediante la automatización de la emulación de comportamientos adversos. Estas herramientas simulan las acciones de varios actores de amenaza de una manera controlada y no disruptiva, lo que permite a las organizaciones evaluar sus defensas de manera realista. La capacitación y la educación de los equipos avanzadas amenazas persistentes a menudo comienzan con los ataques de phishing. Por lo tanto, la capacitación de usuarios para reconocer y evitar correos electrónicos potencialmente dañinos es vital para una estrategia de defensa sólida. Los programas de concientización que ayudan a los empleados a identificar mensajes sospechosos pueden prevenir los intentos de infiltración inicial. El diseño de una lista blanca de la lista blanca implica designar un conjunto específico de aplicaciones o dominios como confiables. Solo el tráfico de aplicaciones y dominios aprobados está permitido a través de la red. Esta herramienta reduce significativamente el número de vectores de ataque potenciales y ayuda a hacer cumplir un perímetro de seguridad más estricto. Implementación de entornos de sandbox Otro método efectivo para prevenir los ataques es el sandboxing. Cuando se implementa un protocolo Sandbox, una aplicación específica está restringida a un entorno aislado donde se puede analizar un comportamiento sospechoso. Si se ejecuta el código malicioso, solo afecta el entorno de sandbox protegido, manteniendo el resto del sistema a salvo del daño. Las industrias más vulnerables a los ataques APT, ciertas industrias son inherentemente más propensas a amenazas persistentes avanzadas. Esta «selección» generalmente se basa en su importancia estratégica, la sensibilidad de sus datos y el potencial para causar una interrupción generalizada. Las agencias gubernamentales y los departamentos cibernéticos apuntando a gobiernos extranjeros no solo ocurren en las películas de espías. Estas agencias poseen grandes cantidades de información confidencial, desde datos de seguridad nacional hasta detalles de política económica y exterior, lo que los convierte en objetivos muy atractivos. La industria de defensa y los contratistas gubernamentales, estas entidades a menudo manejan información confidencial y clasificada relacionada con la seguridad nacional, el armamento avanzado y la tecnología de vanguardia. Dichos datos son muy valiosos para los adversarios que buscan ventajas estratégicas. Las entidades de organizaciones críticas de infraestructura en sectores como energía, agua, transporte, telecomunicaciones y atención médica tienen el potencial de causar una interrupción social significativa si se compromete. Los ataques APT contra estos sectores podrían paralizar servicios esenciales, causar daños físicos o incluso poner en peligro vidas. Industrias de alta tecnología y manufactura El sector de alta tecnología es un objetivo frecuente debido a su propiedad intelectual, datos de I + D y secretos comerciales. Los ataques APT pueden conducir a pérdidas financieras significativas y dañar la ventaja competitiva de una empresa. Los bancos de servicios financieros, las compañías de seguros y los procesadores de pagos son objetivos atractivos no solo por las ganancias monetarias que ofrecen sino también debido a los datos confidenciales de los clientes y los historiales de transacciones que almacenan. Estos datos pueden explotarse en una amplia gama de actividades ilícitas. Industria de la salud El sector de la salud está cada vez más dirigido debido a la gran cantidad de datos personales y médicos que posee. La información, como los registros de pacientes y la investigación sobre nuevos tratamientos, se puede explotar por robo de identidad, extorsión o espionaje comercial. Cómo LevelBlue puede ayudar a las amenazas cibernéticas está evolucionando y está más avanzado todos los días. Lo que distingue a los apts es que se adaptan y refinan sus tácticas a medida que se infiltran en su sistema. Si se quedan sin control, toda su infraestructura podría verse comprometida. La clave es rastrear y detectar un APT antes de que llegue a las áreas más seguras de su red. En LevelBlue, proporcionamos tecnología avanzada que amplía la visibilidad y permite una respuesta proactiva a las técnicas de ataque emergentes. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Cómo configurar HotSpot 2.0 en Alta Labs Apshotspot 2.0 (HS 2.0) es un cambio de juego en las redes inalámbricas, que ofrece una conectividad perfecta para los usuarios y la gestión simplificada para los administradores de redes. La configuración de HotSpot 2.0 en ALTA Labs APS garantiza que su red inalámbrica cumpla con los estándares modernos de eficiencia, seguridad y experiencia del usuario. Este artículo lo guía a través de los pasos integrales necesarios para configurar Hotspot 2.0 en ALTA Labs APS, asegurando una red optimizada y segura. Obtenga su ALTA Labs AP6-Pro Today! Alta Labs AP6-Pro Professional WIFI inalámbrico Dual-Band Dual WiFi 6 PointhorH Why debe configurar HotSpot 2.0 en sus ALTA Labs APS APS de ALTA LABS? HotSpot 2.0, también conocido como Passpoint, está diseñado para proporcionar una experiencia Wi-Fi perfecta y segura similar a la de las redes celulares. Al configurarlo en sus APS de ALTA Labs, habilita las conexiones automáticas y seguras para sus usuarios, reduciendo la necesidad de que seleccionen manualmente redes o ingresen credenciales de inicio de sesión repetidamente. Objetivo: esta guía lo guiará a través del proceso de configuración, cubriendo la configuración de TLS, las definiciones reales y los parámetros clave para el cumplimiento de HS 2.0. Al final, tendrá una red Hotspot 2.0 completamente funcional. ¿Qué es Hotspot 2.0? #HOTSPOT 2.0 es un programa de certificación de alianza Wi-Fi que permite que los dispositivos descubran y se conecten automáticamente a las redes Wi-Fi que admiten HS 2.0. Proporciona una mayor seguridad y capacidades de roaming sin interrupciones en diferentes redes de Wi-Fi. Tenga lo siguiente: Alta Labs APS con el último firmware. Recomendado que esté en al menos firmware 2.0m o un nuevo servicio a la interfaz de administración de laboratorios de Alta.tls certificados: certificados de CA formateados PEM, certificados del cliente y claves privados del cliente. Radius Server configurado para EAP Authentication.Wifi Nombre de la red Configuración #You puede especificar cualquier cosa bajo el nombre de la red de los laboratorios de ALTA, sin embargo, se recomienda el nombre de la red de los laboratorios de ALTA, sin embargo, se recomienda algo que elija algo fideicomiso o el nombre simple o simple o el nombre de la red o el nombre simple o que coincida con el nombre de los laboratorios de ALTA. #Para esto, debe elegir Enterprise para admitir HotSpot 2.0 y Passpoint 2.0.Radius Servidor #II está utilizando RADSEC, necesitará usar 127.0.0.1 para el IP de la dirección IP aquí. 1813 respectivamente. Configuración de sitios #Sitios de configuración #Site #Uund, debe configurar todos los sitios que contengan los puntos de acceso que desea aplicar el perfil. #Ye puede establecer la VLAN en lo que desee, pero de manera predeterminada, debe configurarlo en 1.default Tipo de red (para empresas/open) Configuración #para Passpoint 2.0 y HotSpot 2.0 Configuraciones, debe seleccionar Internet (restringido a Internet) Opción y solo esta opción … no se puede especificar. Requerir la transición requerida de la transición de BSS requerida por el PMF requerible para el período de 2 GHz Dtim y el período de 5 GHz DTIM a la configuración máxima permitida, 10set WPA3 para obtener el uso de potencia de poder. Pero para Passpoint 2.0 y HotSpot 2.0, necesitamos configurar RadSecproxy (dependiendo de su entorno) y HostApd para habilitar el soporte. Las configuraciones de usuario de energía están configuradas en un formato JSON. Consulte los ejemplos a continuación. Configuración de los certificados TLS #First, configure su configuración de TLS para garantizar una comunicación segura entre los clientes y la red. You’ll need to take your pem encoded certificates and specify your CA Certificates, Certificate and Key.If you are using RADIUS and not RADSEC, you can skip this part.If you’re using Google Orion, you can get the ca certificates here{ «tls»: { «default»: { «cacerts»: { «cacert1″: » —–BEGIN CERTIFICATE—– … —–END CERTIFICATE—– «, «cacert2″: » —– Certificado de comienzo —– … —– Certificado final —– «,» Cacert3 «:» —– Certificado de comienzo —– … —– Certificado final —– «},» cert «:» —– Certificado de comienzo —– … —– Certificado final —– «,» clave «:» —– Certificado de inicio —– … —– Certificado final —– «}} Configuración de Realms #Define the Realms to Realms —– La configuración de Google Orion. {«Realms»: {«*»: {«servidores»: [«216.239.32.91», «216.239.34.91»]»TLS»: «predeterminado»}}} Configuración de la configuración HOSTAPD #La configuración de HostApd es crucial para definir cómo su AP manejará HotSpot 2.0. Personalice lo siguiente a su gusto. El ejemplo aquí es la configuración de Google Orion. {«hostApd»: «hs20 = 1 internet = 1 intermeding = 1 access_network_type = 2 disable_dgaf = 1 oce = 6 ap_isolate = 1 venerue_name = eng: orion vDing_url = https: //orion.google.com hs20_oper_friendly_name = ing: radius_request_cui = 1 Radius_acct_interim_interval = 300 roaming_consortium = F4F5E8F5F4 ANQP_3GPP_CELL_NET = 310,410; 310,280; 310,150; 313,100 NAI_REALM = 0,*. Orion.area120.com, 13[5:6]21[2:4][5:7]23[5:1][5:2]50[5:1][5:2]18[5:1][5:2]
Domain_name = http: //orionwifi.com #venerue_group = 1 #senue_type = 0 «} Hemos puesto un ejemplo disponible de la configuración completa en un github gist.key parámetros explicados: hs20 = 1: Enable hotspot 2.0.inter Roaming.disable_dgaf = 1: Desactiva DGAF para evitar el tráfico de multidifusión. el ejemplo de hostapd.conf para comprender cómo deben definirse para dispositivos ALTA Labs. Presentación de un RSSI mínimo para las solicitudes de conexión y sondeo que establece un QoS mapsando un servidor de radio de copia de seguridad (si no se usa nuestra configuración RADSEC) para que OpenRoaming, configurando los atributos de la configuración de la configuración de la configuración de la configuración de la configuración y la configuración de WMMM Multi-Band. WPA_DISABLE_EEPOL_KEY_RETRIES = 1 y WNM_SELED_MODE_NO_KEYS = 1Setting Los dispositivos máximos compatibles con los dispositivos de Disconecting con Bajo ACKTO Comprender todas las opciones de configuración de HostApd pueden tomar un tiempo. Configure esto Sin embargo, lo desee, pero recomendamos dejarlo como la configuración predeterminada. Ejecutar conectividad #connect a un dispositivo compatible: asegúrese de que el dispositivo admita HotSpot 2.0. Haga clic aquí y desplácese hacia abajo para obtener una lista de perfiles de punto de aprobación para probar la conexión automática: el dispositivo debe conectarse automáticamente sin selección manual o credenciales. Chek Security Settings: Asegurando que la conexión use WPA2-Interprise o Prise ORRIVRISRISRIR o ORRISRISRIR o ORPRISE o ORRIVRISRIR o ORPRISE o ORRIVE OR OR OR OR OR OR OR OR OR IN WPA3-ERPRISE.TROUBLOTOOTING #CONECTIVIDAD CUESTROS: verifique si los certificados TLS están correctamente instalados y válidos. Fallas de autenticación: Verifique las configuraciones del reino y la configuración del servidor de radio. Seguridad. Siguiendo los pasos descritos en esta guía, puede configurar una red Wi-Fi robusta, perfecta y segura que cumpla con los estándares de conectividad modernos.
Jul 02, 2025Ravie Lakshmananai Security / Phishing Se ha observado a los actores de amenaza desconocida Armonar V0, una herramienta generativa de inteligencia artificial (AI) de Vercel, para diseñar páginas falsas de inicio de sesión que se hacen pasar por sus contrapartes legítimas. «Esta observación señala una nueva evolución en la arma de la IA generativa por parte de los actores de amenazas que han demostrado la capacidad de generar un sitio de phishing funcional a partir de simples indicaciones de texto», dijeron los investigadores de inteligencia de amenazas de Okta Houssem Eddine Bordjiba y Paula de La Hoz. V0 es una oferta con AI desde VERCEL que permite a los usuarios crear páginas de destino básicas y aplicaciones de pila completa utilizando indicaciones de lenguaje natural. El proveedor de servicios de identidad dijo que ha observado a los estafadores utilizando la tecnología para desarrollar réplicas convincentes de páginas de inicio de sesión asociadas con múltiples marcas, incluido un cliente no identificado. Después de la divulgación responsable, Vercel ha bloqueado el acceso a estos sitios de phishing. También se ha descubierto que los actores de amenaza detrás de la campaña albergan otros recursos, como los logotipos de la compañía del imitador en la infraestructura de Vercel, probablemente en un esfuerzo por abusar de la confianza asociada con la plataforma de desarrolladores y evadir la detección. A diferencia de los kits de phishing tradicionales que requieren cierta cantidad de esfuerzo para establecer, herramientas como V0, y sus clones de código abierto en GitHub, permite a los atacantes girar las páginas falsas simplemente escribiendo un aviso. Es más rápido, más fácil y no requiere habilidades de codificación. Esto hace que sea simple que incluso los actores de amenaza de baja calificación construyan sitios de phishing convincentes a escala. «La actividad observada confirma que los actores de amenaza de hoy están experimentando activamente y armando las principales herramientas de Genai para racionalizar y mejorar sus capacidades de phishing», dijeron los investigadores. «El uso de una plataforma como V0.DEV de Vercel permite a los actores de amenaza emergente producir rápidamente páginas de phishing engañosas y de alta calidad, aumentar la velocidad y la escala de sus operaciones». El desarrollo se produce a medida que los malos actores continúan aprovechando los modelos de idiomas grandes (LLM) para ayudar en sus actividades criminales, construyendo versiones sin censura de estos modelos que están diseñados explícitamente para fines ilícitos. Una de esas LLM que ha ganado popularidad en el panorama del delito cibernético es Whiterabbitneo, que se anuncia a sí mismo como un «modelo de IA sin censura para los equipos (Dev) Secops». «Los ciberdelincuentes son cada vez más gravitantes hacia LLM sin censura, LLM diseñados por cibercrimen y LLM legítimos de jailbreak», dijo el investigador de Cisco Talos, Jaeson Schultz. «Los LLM no censurados son modelos no alineados que funcionan sin las restricciones de las barandillas. Estos sistemas generan felizmente un resultado sensible, controvertido o potencialmente dañino en respuesta a las indicaciones del usuario. Como resultado, los LLM sin censura son perfectamente adecuados para el uso cibercriminal». Esto se ajusta a un cambio más grande que estamos viendo: el phishing está siendo alimentado por AI en más de un sentido que antes. Los correos electrónicos falsos, las voces clonadas, incluso los videos de Deepfake están apareciendo en ataques de ingeniería social. Estas herramientas ayudan a los atacantes a escalar rápidamente, convirtiendo pequeñas estafas en grandes campañas automatizadas. Ya no se trata solo de engañar a los usuarios, se trata de construir sistemas enteros de engaño. ¿Encontró este artículo interesante? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
No es revelación decir que el mundo de la conectividad ha cambiado fundamentalmente desde la pandemia. Sin embargo, lo que puede ser más revelador es cómo este cambio ha creado un paisaje de ciberseguridad más complejo que nunca. ¿Por qué? A medida que las empresas adoptan cada vez más las políticas de la computación en la nube, el trabajo remoto y las políticas de BYOD (traer su dispositivo), la seguridad de los puntos finales se ha convertido en un pilar crítico para defenderse de las amenazas cibernéticas. Sin embargo, hay un desafío. Las herramientas de seguridad de punto final tradicional a menudo luchan para mantenerse al día con la creciente sofisticación y el volumen de los ataques cibernéticos modernos. Aquí es donde entra en juego la inteligencia artificial (IA). Al aprovechar los algoritmos avanzados y el aprendizaje automático, la IA puede procesar grandes cantidades de datos, identificar patrones y predecir posibles amenazas de seguridad con una precisión sin precedentes. Marca una verdadera revolución en la ciberseguridad, proporcionando protección fuerte y proactiva para los activos digitales de una empresa. La protección del punto final ya no es opcional, es esencial. El panorama de amenazas actual lo deja abundantemente claro. Según Statista, se prevé que el mercado de seguridad de punto final experimente una tasa de crecimiento de ingresos anual compuesto de 12.93% para 2029, lo que resulta en un volumen de mercado de USD 26.3 mil millones[¹]. ¿Qué es un punto final? Un punto final es un dispositivo informático remoto que se comunica a través de una red a la que está conectada. Por lo general, esto se refiere a dispositivos que las personas usan diariamente, como computadoras de escritorio, computadoras portátiles, teléfonos inteligentes, tabletas o dispositivos de Internet de las cosas (IoT). ¿Qué no es un punto final? Otros dispositivos informáticos comunes que no se consideran puntos finales son dispositivos de infraestructura. Estos incluyen equipos utilizados para administrar y monitorear redes, como servidores, enrutadores, controladores de interfaz de red (NIC), conmutadores, centros y módems. AI: Un cambio de juego para la seguridad de punto final de seguridad de punto final tiene como objetivo evitar que las amenazas comprometan la red detectando, analizando y respondiendo a posibles incidentes de seguridad. Los componentes clave de la protección del punto final incluyen software antivirus, firewalls, sistemas de detección de intrusos (IDS) y soluciones de detección y respuesta de punto final (EDR). Con su capacidad para procesar conjuntos de datos masivos a una velocidad increíble y aprender de los patrones, la IA está transformando cómo se protegen los puntos finales. Pero, ¿cómo hace exactamente eso? La detección de amenazas en tiempo real AI analiza continuamente los datos de los puntos finales en tiempo real, identificando las amenazas a medida que surgen. Usando modelos de aprendizaje automático, la IA puede descubrir anomalías y comportamientos inusuales, marcando posibles amenazas, incluso cuando no coinciden con las firmas de ataque conocidas. El análisis de comportamiento AI se puede utilizar para comprender los patrones de comportamiento de los dispositivos y los usuarios. Al establecer una línea de base para lo que constituye una actividad «normal», las herramientas basadas en IA pueden detectar rápidamente las desviaciones que podrían indicar una violación o una acción no autorizada. Por ejemplo, si el dispositivo de un empleado de repente intenta acceder a archivos confidenciales o comunicarse con una dirección IP desconocida, un sistema con IA puede alertar inmediatamente al equipo de seguridad y bloquear la actividad sospechosa. Capacidades predictivas Una de las mayores fortalezas de la IA radica en sus capacidades predictivas. Los modelos de aprendizaje automático pueden usar datos históricos para pronosticar posibles amenazas futuras. Esto permite a las empresas fortalecer proactivamente las defensas antes de que ocurra un ataque. El análisis predictivo también ayuda a identificar vulnerabilidades dentro de los puntos finales. Los sistemas automatizados de respuesta a incidentes pueden responder automáticamente a las amenazas que detectan, reduciendo drásticamente el tiempo requerido para contener un ataque. Por ejemplo, si se identifica el ransomware de un correo electrónico malicioso en un dispositivo, una solución de IA puede aislar el punto final afectado, detener el proceso malicioso y notificar a los equipos de seguridad, en segundos. La IA de inteligencia de amenazas mejorada puede agregar y analizar datos de múltiples fuentes, incluidas las bases de datos de amenazas globales y los alimentos de ataque en tiempo real. Al estudiar esta información, AI proporciona información procesable, lo que permite a las organizaciones abordar las amenazas emergentes de frente. Las mejores prácticas para implementar la IA en la protección del punto final desarrollan una estrategia de IA sólida que implementa la IA de manera efectiva en la protección del punto final requiere un enfoque claro y estratégico. El primer paso es evaluar las medidas de protección actuales e identificar dónde la IA puede ofrecer el mayor beneficio. Según esta evaluación, defina objetivos específicos, como reducir los falsos positivos o mejorar los tiempos de respuesta. Comprender estos objetivos ayudará a asignar los recursos necesarios: presupuesto, personal y tecnología. Una vez que se coloca esta base, el siguiente paso es iniciar proyectos piloto que permitan pruebas a pequeña escala de soluciones de IA en entornos controlados. Según estos resultados, se puede desarrollar un plan de implementación completo. La evaluación regular y el ajuste de la estrategia garantizarán la mejora continua del rendimiento. Asegúrese de que la calidad de los datos e integridad El éxito de cualquier sistema de IA depende en gran medida de la calidad de los datos que los alimentan. Por lo tanto, es crucial implementar técnicas que garanticen la precisión de los datos, la consistencia y la relevancia. La limpieza de datos regular y el preprocesamiento ayudan a eliminar inexactitudes, duplicados o información irrelevante. Después de esto, los controles de validación deben aplicarse para mantener la consistencia y la confiabilidad. El anonimato de datos es una herramienta poderosa cuando se trabaja con información confidencial. Protege la privacidad sin sacrificar el valor analítico del conjunto de datos. Por último, las auditorías en curso evalúan la salud del sistema y aseguran que la integridad de los datos se conserva con el tiempo. Monitoreo continuo y actualizaciones de modelos Para mantener la efectividad de los modelos de IA en la ciberseguridad, es esencial tener un proceso continuo de monitoreo y actualización. Comience rastreando las métricas de rendimiento y comparando los resultados con puntos de referencia predefinidos. La IA en sí también puede ayudar a detectar anomalías que pueden indicar una precisión o rendimiento reducido. Las actualizaciones periódicas permiten la integración de nuevos datos y mejorar la capacidad del modelo para responder a las amenazas en evolución. Además, el empleo de técnicas de aprendizaje incremental permite mejorar los modelos sin volver a capacitarlos desde cero, ahorrando tiempo y recursos. La IA y los puntos finales: mantener los cibernéticos bajo control la convergencia de la IA y la ciberseguridad representa un salto tecnológico y un compromiso renovado con la confianza, la transparencia y la adaptabilidad. La sinergia entre las tecnologías avanzadas y las prácticas responsables de los usuarios sigue siendo la piedra angular para crear entornos digitales más seguros, especialmente frente a amenazas cada vez más complejas. La seguridad del punto final, mejorada por las capacidades de IA, ofrece a las empresas una solución inteligente, proactiva y resistente para enfrentar amenazas potenciales. Permite el monitoreo en tiempo real y la identificación de amenazas rápidas. Sin embargo, configurar dicho sistema desde cero puede ser complejo y costoso. En Levelblue, estamos aquí para ayudar. Nuestros expertos en ciberseguridad están disponibles las 24 horas para ofrecer soluciones personalizadas que se alineen con los objetivos de su empresa. Referencias 1. Seguridad de punto final – en todo el mundo. (2025). Statista. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
11 de abril de 2024Sala de prensaEndpoint Security/Ransomware Un actor de amenazas rastreado como TA547 se ha dirigido a docenas de organizaciones alemanas con un ladrón de información llamado Rhadamanthys como parte de una campaña de phishing con temas de facturas. «Esta es la primera vez que los investigadores observaron que TA547 utiliza Rhadamanthys, un ladrón de información utilizado por múltiples actores de amenazas cibercriminales», dijo Proofpoint. «Además, el actor parecía utilizar un script de PowerShell que los investigadores sospechan que fue generado por un modelo de lenguaje grande (LLM)». TA547 es un prolífico actor de amenazas con motivación financiera que se sabe que está activo desde al menos noviembre de 2017, utilizando señuelos de phishing por correo electrónico para entregar una variedad de malware para Android y Windows, como ZLoader, Gootkit, DanaBot, Ursnif e incluso el ransomware Adhubllka. En los últimos años, el grupo se ha convertido en un intermediario de acceso inicial (IAB) para ataques de ransomware. También se ha observado el uso de trucos de geocercado para restringir las cargas útiles a regiones específicas. Los mensajes de correo electrónico observados como parte de la última campaña se hacen pasar por la empresa alemana Metro AG y contienen un archivo ZIP protegido con contraseña que, cuando se abre, inicia la ejecución de un script remoto de PowerShell para iniciar el ladrón Rhadamanthys directamente en la memoria. Curiosamente, el script de PowerShell utilizado para cargar Rhadamanthys incluye «comentarios gramaticalmente correctos e hiperespecíficos» para cada instrucción del programa, lo que plantea la posibilidad de que haya sido generado (o reescrito) utilizando un LLM. La hipótesis alternativa es que TA547 copió el guión de otra fuente que había utilizado tecnología de IA generativa para crearlo. «Esta campaña representa un ejemplo de algunos cambios de técnica de TA547, incluido el uso de LNK comprimidos y el ladrón de Rhadamanthys no observado previamente», dijo Proofpoint. «También proporciona información sobre cómo los actores de amenazas están aprovechando el contenido probablemente generado por LLM en campañas de malware». El desarrollo se produce cuando las campañas de phishing también han apostado por tácticas poco comunes para facilitar los ataques de recolección de credenciales. En estos correos electrónicos, los destinatarios reciben una notificación de un mensaje de voz y se les indica que hagan clic en un enlace para acceder a él. La carga útil recuperada de la URL es contenido HTML muy ofuscado que ejecuta código JavaScript incrustado en una imagen SVG cuando la página se representa en el sistema de destino. Dentro de los datos SVG hay «datos cifrados que contienen una página de segunda etapa que solicita al objetivo que ingrese sus credenciales para acceder al mensaje de voz», dijo Binary Defense, agregando que la página está cifrada usando CryptoJS. Otros ataques basados en correo electrónico han allanado el camino para el Agente Tesla, que ha surgido como una opción atractiva para los actores de amenazas debido a que «es un servicio de malware asequible con múltiples capacidades para exfiltrar y robar datos de los usuarios», según Cofense. Las campañas de ingeniería social también han adoptado la forma de anuncios maliciosos publicados en motores de búsqueda como Google que atraen a usuarios desprevenidos a descargar instaladores falsos de software popular como PuTTY, FileZilla y Room Planner para, en última instancia, implementar Nitrogen e IDAT Loader. La cadena de infección asociada con IDAT Loader es notable por el hecho de que el instalador MSIX se utiliza para iniciar un script de PowerShell que, a su vez, contacta a un bot de Telegram para buscar un segundo script de PowerShell alojado en el bot. Este script de PowerShell actúa como un conducto para entregar otro script de PowerShell que se utiliza para eludir las protecciones de la interfaz de escaneo antimalware de Windows (AMSI), así como para activar la ejecución del cargador, que posteriormente procede a cargar el troyano SectopRAT. «Los endpoints pueden protegerse de anuncios maliciosos mediante políticas de grupo que restringen el tráfico procedente de las redes publicitarias principales y menos conocidas», afirmó Jérôme Segura, investigador principal de amenazas de Malwarebytes. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
11 de abril de 2024Sala de prensaSpyware/Ciberespionaje Apple revisó el miércoles su documentación relativa a su sistema de notificación de amenazas de software espía mercenario para mencionar que alerta a los usuarios cuando pueden haber sido blanco individual de dichos ataques. También llamó específicamente a empresas como NSO Group por desarrollar herramientas de vigilancia comercial como Pegasus que son utilizadas por actores estatales para realizar «ataques dirigidos individualmente de un costo y complejidad tan excepcionales». «Aunque se implementan contra un número muy pequeño de individuos (a menudo periodistas, activistas, políticos y diplomáticos), los ataques de software espía mercenario son continuos y globales», dijo Apple. «El costo extremo, la sofisticación y la naturaleza mundial de los ataques de software espía mercenario los convierten en algunas de las amenazas digitales más avanzadas que existen en la actualidad». La actualización marca un cambio en la redacción que anteriormente decía que estas «notificaciones de amenazas» están diseñadas para informar y ayudar a los usuarios que pueden haber sido atacados por atacantes patrocinados por el estado. Según TechCrunch, se dice que Apple envió notificaciones de amenazas a usuarios de iPhone en 92 países a las 12:00 p. m. PST del miércoles, coincidiendo con la revisión de la página de soporte. Vale la pena señalar que Apple comenzó a enviar notificaciones de amenazas para advertir a los usuarios que cree que han sido atacados por atacantes patrocinados por el estado a partir de noviembre de 2021. Sin embargo, la compañía también enfatiza que no «atribuye los ataques ni las notificaciones de amenazas resultantes». a cualquier actor de amenaza o región geográfica en particular. El desarrollo se produce en medio de esfuerzos continuos de los gobiernos de todo el mundo para contrarrestar el uso indebido y la proliferación de software espía comercial. El mes pasado, el gobierno de Estados Unidos dijo que Finlandia, Alemania, Irlanda, Japón, Polonia y Corea del Sur se habían unido a un grupo inaugural de 11 países que trabajan para desarrollar salvaguardias contra el abuso de tecnología de vigilancia invasiva. «El software espía comercial ha sido utilizado indebidamente en todo el mundo por regímenes autoritarios y en democracias. […] sin autorización legal, salvaguardias o supervisión adecuadas», dijeron los gobiernos en una declaración conjunta. «El uso indebido de estas herramientas presenta riesgos significativos y crecientes para nuestra seguridad nacional, incluida la seguridad de nuestro personal, información y datos gubernamentales. sistemas». Según un informe reciente publicado por el Grupo de Análisis de Amenazas (TAG) de Google y Mandiant, los proveedores de vigilancia comerciales estaban detrás de la explotación salvaje de una parte de las 97 vulnerabilidades de día cero descubiertas en 2023. Todas las vulnerabilidades atribuidas «Las empresas del sector privado han estado involucradas en el descubrimiento y venta de exploits durante muchos años. , pero hemos observado un aumento notable en la explotación impulsada por estos actores en los últimos años», dijo el gigante tecnológico. «Los actores de amenazas están aprovechando cada vez más los días cero, a menudo con fines de evasión y persistencia, y no esperamos que esta actividad disminuya pronto». Google también dijo que el aumento de las inversiones en seguridad para mitigar exploits está afectando los tipos de vulnerabilidades que los actores de amenazas pueden utilizar como arma en sus ataques, obligándolos a eludir varias barreras de seguridad (por ejemplo, Lockdown Mode y MiraclePtr) para infiltrarse en los dispositivos objetivo. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
10 de abril de 2024Sala de prensaSeguridad móvil/Spyware Una campaña activa de malware para Android denominada eXotic Visit se ha dirigido principalmente a usuarios del sur de Asia, en particular a los de India y Pakistán, con malware distribuido a través de sitios web dedicados y Google Play Store. La empresa eslovaca de ciberseguridad dijo que la actividad, en curso desde noviembre de 2021, no está vinculada a ningún actor o grupo de amenazas conocido. Está rastreando al grupo detrás de la operación bajo el nombre de Virtual Invaders. «Las aplicaciones descargadas proporcionan una funcionalidad legítima, pero también incluyen código del Android XploitSPY RAT de código abierto», afirmó el investigador de seguridad de ESET, Lukáš Štefanko, en un informe técnico publicado hoy. Se dice que la campaña es de naturaleza muy específica, ya que las aplicaciones disponibles en Google Play tienen un número insignificante de instalaciones que oscilan entre cero y 45. Desde entonces, las aplicaciones han sido eliminadas. Las aplicaciones falsas pero funcionales se hacen pasar principalmente por servicios de mensajería como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat. Se dice que aproximadamente 380 víctimas descargaron las aplicaciones y crearon cuentas para usarlas con fines de mensajería. También se emplean como parte de eXotic Visit aplicaciones como Sim Info y Telco DB, las cuales afirman proporcionar detalles sobre los propietarios de tarjetas SIM simplemente ingresando un número de teléfono con sede en Pakistán. Otras aplicaciones se hacen pasar por un servicio de pedidos de alimentos en Pakistán, así como por un hospital indio legítimo llamado Specialist Hospital (ahora rebautizado como Trilife Hospital). XploitSPY, subido a GitHub en abril de 2020 por un usuario llamado RaoMK, está asociado con una empresa india de soluciones de seguridad cibernética llamada XploitWizer. También se ha descrito como una bifurcación de otro troyano de código abierto para Android llamado L3MON, que, a su vez, se inspira en AhMyth. Viene con una amplia gama de funciones que le permiten recopilar datos confidenciales de dispositivos infectados, como ubicaciones GPS, grabaciones de micrófonos, contactos, mensajes SMS, registros de llamadas y contenido del portapapeles; extraer detalles de notificaciones de aplicaciones como WhatsApp, Facebook, Instagram y Gmail; descargar y cargar archivos; ver aplicaciones instaladas; y comandos de cola. Además de eso, las aplicaciones maliciosas están diseñadas para tomar fotografías y enumerar archivos en varios directorios relacionados con capturas de pantalla, WhatApp, WhatsApp Business, Telegram y un mod no oficial de WhatsApp conocido como GBWhatsApp. «A lo largo de los años, estos actores de amenazas han personalizado su código malicioso agregando ofuscación, detección de emuladores, ocultación de [command-and-control] direcciones y uso de una biblioteca nativa», dijo Štefanko. El objetivo principal de la biblioteca nativa («defcome-lib.so») es mantener la información del servidor C2 codificada y oculta de las herramientas de análisis estático. Si se detecta un emulador, La aplicación utiliza un servidor C2 falso para evadir la detección. Algunas de las aplicaciones se han propagado a través de sitios web creados específicamente para este propósito («chitchat.ngrok[.]io») que proporcionan un enlace a un archivo de paquete de Android («ChitChat.apk») alojado en GitHub. Actualmente no está claro cómo se dirige a las víctimas a estas aplicaciones. «La distribución comenzó en sitios web dedicados y luego incluso se trasladó al Google Play oficial. tienda», concluyó Štefanko. «El propósito de la campaña es el espionaje y probablemente esté dirigido a víctimas en Pakistán e India». ¿Le pareció interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
10 de abril de 2024Sala de prensaSeguridad de hardware/Investigadores de ciberseguridad de Linux han revelado lo que dicen es el «primer exploit nativo de Spectre v2» contra el kernel de Linux en sistemas Intel que podría explotarse para leer datos confidenciales de la memoria. El exploit, llamado Native Branch History Inyección (BHI), se puede utilizar para filtrar memoria arbitraria del kernel a 3,5 kB/seg evitando las mitigaciones existentes de Spectre v2/BHI, dijeron investigadores del Grupo de Seguridad de Redes y Sistemas (VUSec) de la Vrije Universiteit Amsterdam en un nuevo estudio. La deficiencia se rastrea como CVE-2024-2201. BHI fue divulgado por primera vez por VUSec en marzo de 2022 y lo describió como una técnica que puede sortear las protecciones Spectre v2 en procesadores modernos de Intel, AMD y Arm. Si bien el ataque aprovechó los filtros de paquetes Berkeley (eBPF) extendidos, las recomendaciones de Intel para abordar el problema, entre otras cosas, fueron desactivar los eBPF sin privilegios de Linux. «Los tiempos de ejecución administrados privilegiados que se pueden configurar para permitir que un usuario sin privilegios genere y ejecute código en un dominio privilegiado, como el ‘eBPF sin privilegios’ de Linux, aumentan significativamente el riesgo de ataques de ejecución transitoria, incluso cuando las defensas contra el modo intramodo [Branch Target Injection] están presentes», dijo Intel en ese momento. «El kernel se puede configurar para denegar el acceso a eBPF sin privilegios de forma predeterminada, al mismo tiempo que permite a los administradores habilitarlo en tiempo de ejecución cuando sea necesario». BHI nativo neutraliza esta contramedida al mostrar que BHI es posible sin eBPF. Afecta a todos los sistemas Intel que son susceptibles a BHI. Como resultado, hace posible que un atacante con acceso a los recursos de la CPU influya en rutas de ejecución especulativas a través de software malicioso instalado en una máquina con el objetivo de extraer datos confidenciales que son asociado con un proceso diferente. «Las técnicas de mitigación existentes para deshabilitar eBPF privilegiado y habilitar (Fine)IBT son insuficientes para detener la explotación de BHI contra el kernel/hipervisor», dijo el Centro de Coordinación CERT (CERT/CC) en un aviso. El atacante puede explotar esta vulnerabilidad para filtrar memoria privilegiada de la CPU saltando especulativamente a un dispositivo elegido». Se ha confirmado que la falla afecta a Illumos, Intel, Red Hat, SUSE Linux, Triton Data Center y Xen. AMD, en un boletín, dijo que está «consciente de cualquier impacto» en sus productos. La divulgación se produce semanas después de que IBM y VUSec detallaran GhostRace (CVE-2024-2193), una variante de Spectre v1 que emplea una combinación de ejecución especulativa y condiciones de carrera para filtrar datos de arquitecturas de CPU contemporáneas. También sigue una nueva investigación de ETH Zurich que reveló una familia de ataques denominados Ahoi Attacks que podrían usarse para comprometer entornos de ejecución confiables (TEE) basados en hardware y romper máquinas virtuales confidenciales (CVM) como AMD Secure Encrypted Virtualization-Secure Nested Paging ( SEV-SNP) y extensiones de dominio Intel Trust (TDX). Los ataques, con nombres en código Heckler y WeSee, utilizan interrupciones maliciosas para romper la integridad de las CVM, lo que potencialmente permite a los actores de amenazas iniciar sesión de forma remota y obtener acceso elevado, así como realizar lecturas, escrituras e inyecciones de código arbitrarias para deshabilitar reglas de firewall y abra un shell raíz. «Para los ataques Ahoi, un atacante puede usar el hipervisor para inyectar interrupciones maliciosas en las vCPU de la víctima y engañarla para que ejecute los controladores de interrupciones», dijeron los investigadores. «Estos controladores de interrupciones pueden tener efectos globales (por ejemplo, cambiar el estado del registro en la aplicación) que un atacante puede activar para comprometer el CVM de la víctima». En respuesta a los hallazgos, AMD dijo que la vulnerabilidad tiene su origen en la implementación del kernel de Linux de SEV-SNP y que las correcciones que abordan algunos de los problemas se han trasladado al kernel principal de Linux. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.