Español | English
rss facebook linkedin Twitter

CARBANAK APT: Ciberataque dirigido a cajeros (ATM)

En octubre de 2014, una investigación de la organización policial internacional Interpol alertó de un nuevo tipo de malware bancario denominado Tyupkin, que facilitaba a los criminales la obtención de control completo sobre los cajeros automáticos, permitiéndoles el robo de importantes cantidades de dinero en efectivo sin necesidad de uso de tarjetas de crédito o débito (para más información puede consultar nuestro blog post).

Lejos de ser un caso aislado, recientes eventos muestran un aumento de los ataques basados en malware dirigidos al entorno de cajeros automáticos, con una variedad de vectores de ataques que comparten un objetivo, el robo del dinero almacenado en efectivo, atacando directamente al banco sin necesidad de involucrar a los clientes.

El último incidente que ha atraido el interés de la industria es el denominado Carbanak APT (también conocido como Anunak), un sofisticado cibertatque que afecta a entidades financieras en más de 30 países con una pérdidas acumuladas cercanas a los mil millones de dólares.

El vector de ataque consiste en el compromiso de la red de la víctima mediante el envío de emails de spear phishing que permitían la descarga del código malicioso que a posteriori se propagaba por sistemas críticos.

Habiendo infectado a usuarios clave, los atacantes les espiaban para obtener un conocimiento detallado de las herramientas y procedimientos de trabajo internos, posibilitándoles copiar estos procedimientos para llevar a cabo sus actividades fraudulentas sin ser detectados por las contramedidas de seguridad del banco.

Aunque los cibercriminales utilizaron múltiples rutas, una de las más relevantes fue el control de la red de cajeros automáticos.

Control de una red de cajeros con  Carbanak

Una vez que la APT  Carbanak comprometía satisfactoriamente la red de la víctima, los atacantes ganaban acceso a la infraestructura de gestión de la red de cajeros infectando esos sistemas con su propio malware.


Campaña masiva de Dalexis + CTB-Locker

Campaña

En los últimos días se ha detectado una campaña masiva de SPAM en la que está siendo distribuido el downloader conocido como Dalexis. Debajo de estás lineas se puede apreciar una captura de pantalla de uno de los correos fraudulentos:




Los archivos adjuntos al correo de spam son ficheros comprimidos con extensiones .zip o .cab. En su interior contienen un archivo .scr que una vez ejecutado mostrará uno de los siguientes documentos:


  • Documento 1


  • Documento 2



  • Documento 3


Este downloader está vinculado al Ransomware CTB-Locker. Este cripto malware  se caracteriza por cifrar entre otras las siguientes extensiones de archivos: pdf, xls, ppt, txt, py, wb2, jpg, odb, dbf, md, js, pl, etc.

Así mismo es capaz de cifrar aquellas unidades de disco que estén mapeadas y sean accesibles como unidades locales.



Una vez cifrados los archivos la siguiente nota de rescate será mostrada:


Esta nota se mostrará dependiendo de la localización de la víctima en uno de los siguientes idiomas: francés, inglés, italiano, alemán y holandés. Los criminales han añadido información para guiar a la víctima en los pasos para realizar el pago del rescate




La descarga del ransomware se hace mediante un a petición a la red TOR (The Onion Router) con el fin de ocultar el contenido de la comunicación e impedir la inspección de los paquetes, esta petición se hace mediante una pasarela por lo que a simple vista parece una sesión de TLS normal.
El fichero descargado está a su vez cifrado siendo el downloader responsable de descifrarlo y lanzarlo a ejecución.

Hasta el momento hemos identificado los siguientes dominios :

•    hxxp[s]://voigt-its.de/fit/pack.tar.gz
•    hxxp[s]://scolapedia.org/histoiredesarts/pack.tar.gz
•    hxxp[s]://pleiade.asso.fr/piwigotest/pack.tar.gz
•    hxxp[s]://maisondessources.com/assets/pack.tar.gz
•    hxxp[s]://jbmsystem.fr/jb/pack.tar.gz
•    hxxp[s]://breteau-photographe.com/tmp/pack.tar.gz
•    hxxp[s]://www.cpeconsultores.com/tmp/pack.tar.gz
•    hxxp[s]://siestahealthtrack.com/media/pack.tar.gz
•    hxxp[s]://peche-sportive-martinique.com/wp-includes/pack.tar.gz
•    hxxp[s]://microneedle.com/menu_files/pack.tar.gz
•    hxxp[s]://hotel-mas-saint-joseph.com/css/pack.tar.gz
•    hxxp[s]://springtree.cba.pl/modules/cario.tar.gz
•    hxxp[s]://smartoptionsinc.com/data-test/nero.tar.gz
•    hxxp[s]://ppc.cba.pl/cache/nero.tar.gz
•    hxxp[s]://mmadolec.ipower.com/me/cario.tar.gz
•    hxxp[s]://masterbranditalia.com/downloader/cario.tar.gz
•    hxxp[s]://integritysites.net/files/nero.tar.gz
•    hxxp[s]://evalero.com/img/cario.tar.gz
•    hxxp[s]://compassfx.com/OLD/cario.tar.gz
•    hxxp[s]://collection-opus.fr/_gfx/cario.tar.gz
•    hxxp[s]://cargol.cat/IESABP/nero.tar.gz
•    hxxp[s]://bikeceuta.com/templates/nero.tar.gz
•    hxxp[s]://www.lamas.si/picture_library/upupup.tar.gz
•    hxxp[s]://wcicinc.org/flv/dostanes_do_drzky.tar.gz
•    hxxp[s]://thinkonthis.net/style/dostanes_do_drzky.tar.gz
•    hxxp[s]://stmarys-andover.org.uk/audio_files/upupup.tar.gz
•    hxxp[s]://sp107.home.pl/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://ohayons.com/dostanes_do_drzky.tar.gz
•    hxxp[s]://fotocb.de/php/upupup.tar.gz
•    hxxp[s]://dequinnzangersborne.nl/language/upupup.tar.gz
•    hxxp[s]://dariocasati.it/logs/dostanes_do_drzky.tar.gz
•    hxxp[s]://thomasottogalli.com/webtest/sancho.tar.gz
•    hxxp[s]://ourtrainingacademy.com/LeadingRE/sancho.tar.gz
•    hxxp[s]://m-a-metare.fr/media/sancho.tar.gz
•    hxxp[s]://locamat-antilles.com/memo/sancho.tar.gz
•    hxxp[s]://joefel.com/easyscripts/sancho.tar.gz
•    hxxp[s]://cds-chartreuse.fr/locales/sancho.tar.gz

Recuperación de los archivos infectados:

CTB-Locker usa un algoritmo de cifrado basado en curvas elípticas por lo que se puede considerar lo bastante fuerte como para garantizar que los ficheros no podrán ser recuperados, al menos a corto plazo.

Contramedidas

Como de costumbre la prevención es la mejor contramedida, el no abrir ficheros adjuntos en correos no solicitados y establecer una política adecuada que limite los permisos de los usuarios en las unidades compartidas de red.

Así mismo el impedir que una vez infectado el downloader pueda descargar el binario del ransomware. S21Sec analiza diariamente miles de muestras de malware la información extraída de dichas muestras alimenta el servicio de listas negras y la solución Lookwise Threat Intelligence para la detección de amenazas en la red interna de la organización.

Campaña de TorrentLocker afectando a España e Italia

En los últimos días S21sec ha detectado una campaña de spam centrada en España e Italia con la finalidad de distribuir el malware conocido como TorrentLocker.

TorrentLocker pertenece a la variedad de malware conocida como ransomware, este tipo de amenaza bien bloquea el escritorio o bien cifra los ficheros de las víctimas. En ambos casos los criminales exigen el pago de un rescate a cambio de la liberación del equipo. Este pago se suele exigir en Bitcoins o en otro tipo de divisa digital.

Durante los dos últimos años han aparecido diversas amenazas con similar funcionalidad, tanto para equipos de sobremesa como para teléfonos móviles: CryptoLocker, Reventon, Netra, CryptoWall, Decode@india, TorLocker, Urausy…


El malware

TorrentLocker afecta a sistemas operativos Microsoft Windows y guarda semejanzas, si bien solo superficiales, con el desaparecido CryptoLocker. Este parecido no se trata de una casualidad ya que los creadores de TorrentLocker utilizan el nombre del mucho más conocido ransomware en la nota de extorsión. 



Sin embargo si se examinan ambas implementaciones se pueden ver diferencias sustanciales que hacen patente que no nos encontramos ante la misma amenaza.

El ransomware que nos ocupa cifrará cualquier archivo contenido en unidades de disco mapeadas y que tenga una extensión de las abajo mostradas.



Esto quiere decir que no cifrará las carpetas compartidas a menos que estas se encuentren accesibles como si fueran unidades de disco locales. Así mismo no cifra las particiones de recuperación si estas no son accesibles desde el sistema de ficheros.

Una vez infectado el equipo TorrentLocker establece una sesión TLS con su servidor de comando y control (C&C) en la que este le proporciona la clave con la que se procederá a cifrar los archivos. Si la comunicación con el C&C no se realiza el malware no realizará ninguna acción.

Actualmente se han detectado dos versiones del troyano que se diferencian fundamentalmente en el modo en que los ficheros son cifrados.

Primeras versiones

Las primeras noticias de la versión original de TorrentLocker se tuvieron en agosto del 2014 y la campaña de difusión se centró en Australia con una campaña de Spam suplantando al servicio postal del país.

Esta primera variante utilizaba un algoritmo de cifrado bastante rudimentario que se limitaba a aplicar una mascara XOR con una clave estática. Este algoritmo tan solo cifraba los 2 primeros MB de cada fichero, con lo cual si se disponía de una copia anterior al cifrado del archivo era posible extraer la clave y recuperar el resto de ficheros del sistema usando la siguente herramienta.

Es debido a este cifrado débil por lo que creemos que adoptaron la apariencia de CryptoLocker con la esperanza de que la reputación de éste les ayudara a conseguir que sus víctimas pagaran el rescate.

TorrentLocker AES

A principios del mes de diciembre de 2014 aparece una nueva variante del troyano que pasa a utilizar AES (Advanced Encryption Standard). que al tratarse de un algoritmo de cifrado robusto invalida el método de recuperación de archivos mencionado anteriormente.

En este caso la recuperación de los archivos cifrados pasaría por utilizar herramientas de tipo file carving ya que el malware no elimina los ficheros de forma segura (p. ej. sobreescribiéndolos) por lo que es recomendable evitar el seguir trabajando con el sistema tras la infección y montar el disco del sistema afectado en modo "solo lectura" de cara a intentar recuperar los datos. 

Para más información sobre el malware se puede consultar el análisis original del troyano llevado a cabo por iSHIGHT Partners.

La campaña

La campaña que nos ocupa comenzó a principios de diciembre y permaneció activa hasta el día 5 a las 20:09 (GMT+1) momento en el que los servidores de C&C dejaron de mostrar actividad.

Correos de Spam

Durante la campaña se han usado varios correos con la finalidad de inducir a los usuarios a descargar archivos adjuntos. Si bien no es una aproximación muy sofisticada resulta bastante efectiva. Hemos identificado al menos tres correos "tipo" dirigidos contra usuarios españoles

Correo 1 

Correo 2

Correo 3


Los enlaces servían archivos .zip que, una vez descomprimidos, contenían ejecutables con los siguientes nombres:

   Informe.Pdf_____________________________________________________________.exe
   Perfil.Pdf _____________________________________________________________.exe
   Processing.Pdf_____________________________________________________________.exe
   Mensaje.pdf_____________________________________________________________.exe


De nuevo, los atacantes usan una técnica rudimentaria -pero a juzgar por los resultados efectiva- para ocultar la extensión del archivo.

Impacto por países

Durante el curso de la investigación fuimos capaces de identificar al menos 6.000 víctimas de esta campaña distribuidas de la siguiente manera: 



Como se puede ver, más del 80% de los afectados se encuentran en España e Italia con afectación marginal en otros países. Como nota curiosa, hemos localizado afectados incluso dentro del Estado de la ciudad del Vaticano.

Adicionalmente hemos detectado otra campaña en curso enfocada en Turquía que está utilizando un patrón similar al usado para España e Italia.


Conclusión

Debido a su fácil monetización y la relativa simplicidad de la infraestructura necesaria para darles soporte estamos viendo un incremento en el número de infecciones ocasionadas por las diferentes variedades de ransomware.

En estos casos, la prevención es la mejor herramienta para el usuario ya que como hemos visto puede resultar muy difícil llegar a recuperar los datos una vez cifrados. En redes corporativas es importante limitar el acceso y nivel de privilegios  de los usuarios a las unidades compartidas con el fin de limitar el alcance de estas amenazas.

Dridex aprende un nuevo truco: P2P sobre HTTP



Después de varios meses por fin tenemos una respuesta a la pregunta lanzada por nuestro amigo Roman en este post sobre la saga Cridex/Feodo/Geodo/Dridex. Entonces presenciamos el nacimiento de una nueva versión de de Feodo bautizada como Dridex y hace unos días el departamento de Ecrime de S21Sec detectó una nueva variante de Dridex que incorporaba cambios evidentes.


Mas allá del cifrado de la configuración (previamente esta siempre se encontraba en texto plano), el cambio que inmediatamente capto nuestra atención fue la presencia de una nueva etiqueta dentro del XML intercambiado durante la comunicación del troyano con el panel de control.

La muestra fue detectada por nuestro sistema de seguimiento para la botnet de Dridex cuando este falló en actualizar automáticamente la actualización de los binarios del C&C. Quedamos sorprendidos al comprobar que la versión de este nuevo binario era 2.0.17 (131089), lo que supone un gran salto respecto a actualizaciones anteriores las cuales habían incrementado gradualmente la versión desde 1.0.135 (65671) a 1.0.158 (65694).


En la siguiente imagen se puede apreciar como se hace referencia a la nueva etiqueta dentro en el código de la muestra:


Otro cambio evidente es que la nueva variante ejecuta un servidor de HTTP que se sitúa a al escucha en el puerto 80.

Como se puede comprobar en la captura del Wireshark bajo estas lineas, los nodos usan un esquema básico de autenticación para conectarse.


El bot notifica su existencia al resto de nodos su existencia enviando el siguiente mensaje:



Durante los últimos tres días, todas las peticiones enviadas a esta botnet han resultado en una respuesta vacía. Por ello asumimos que se está utilizando el protocolo de comunicación tanto para la administración como para la actualización de la botnet.

Nos gustaría señalar que la comunicación P2P se realiza sobre HTTP. Solo podemos conjeturar los motivos de los sus desolladores para hacerlo así, pero partimos de la base que no ha sido para incrementar el rendimiento o eficiencia sino para incrementar la resistencia de la botnet ante intentos de cierre e así como incrementar el sigilo de la misma.

Hasta donde hemos podido ver, los ficheros de configuración actualizados afectan a más de 120 entidades en más de 20 paises, incluyendo muchos del Sudeste Asiático, afectando a diversos sectores más allá del bancario tales como: medios digitales, hosting y publicidad online.

Como se puede ver los des arrolladores de malware siguen mejorando su código y añadiendo nuevas funcionalidades para dificultar el cierre y seguimiento de las botnets. Esta vez ha sido Dridex, sin embargo hemos apreciado cambios en otras familias que esperamos discutir en futuras publicaciones



El verdadero peligro de BadUSB

En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.

Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.

Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en la propia charla, por ejemplo:
  1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
  2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.


Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.

Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.

El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.


Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.

Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.

Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
  1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
  2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
  3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.

Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.

Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.

Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.

Ramón Pinuaga
S21sec assessment


Fórmate como profesional en el ámbito de la seguridad industrial

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) en su informe de 2011,”Protecting Industrial Control Systems. Recommendations for Europe and Member States”, estableció en su recomendación número 4 la necesidad de promocionar la capacitación y la sensibilización en materia de ciberseguridad en sistemas de automatización y control industrial. En particular, esta recomendación destaca la necesidad de que las iniciativas que se lleven a cabo se focalicen en estándares y buenas prácticas de seguridad y aborden, entre otros, temas transversales como tecnologías, soluciones de seguridad, etc. Así mismo, recomienda que los principios rectores sean tres: i) destacar aspectos particulares de distintos sectores; ii) evitar duplicidades con otras iniciativas similares; iii) garantizar la calidad de los colaboradores, e identifica a los organismos públicos como posibles líderes en este ámbito.

Atendiendo a las necesidades identificadas por ENISA, INTECO ha desarrollado un curso MOOC sobre ciberseguridad en sistemas de control y de automatización industrial. Esta iniciativa es uno de los resultados de las medidas definidas dentro del Plan de Confianza en el Ámbito Digital para España que pretende construir un ecosistema de captación y generación de talento en torno a INTECO, en colaboración con las universidades y el sector privado y buscando siempre la acción complementaria de las iniciativas que otros agentes están desarrollando para la capacitación de profesionales.

Miguel Rego

Miguel Rego, Director General de INTECO en el vídeo de bienvenida al curso

El curso está principalmente orientado a profesionales de Tecnologías de la Información (TI) con conocimientos de nivel medio en gestión de la seguridad de TI, análisis de vulnerabilidades y soluciones de seguridad (seguramente, si estás leyendo esta publicación, te habrás sentido identificado). A lo largo de sus siete unidades didácticas se aborda el estudio de conceptos fundamentales de los sistemas de automatización y control industrial y de infraestructuras, y en particular de las redes eléctricas inteligentes, incluyendo PLCs, RTUs, sistemas SCADA, MES, BATCH entre otros, así como de los aspectos fundamentales de ciberseguridad que les afectan. Se cubren aspectos como vulnerabilidades, amenazas, riesgos, técnicas de ataque, así como las principales buenas prácticas, principios de defensa e iniciativas de seguridad existentes en la actualidad.

Si estás interesado, encontrarás el contenido completo del curso.

Capturas del recorrido virtual a un entorno de media y baja tensión
SCADA
El curso ha sido desarrollado en colaboración con S21secLogitek y Tecnalia, empresas de referencia internacional en el ámbito de seguridad en sistemas de automatización y control y punteras en el ámbito de los propios sistemas de automatización y control y las soluciones de seguridad existentes, así como en la Smart Grid, Además, gracias a la contribución del Centro de Ciberseguridad Industrial, se ha contado con la colaboración de profesionales de la talla de Ayman Al-IssaPatrick Miller o Rubén Santamarta.

El curso, de carácter gratuito, es completo y único en España y se imparte a través de la filosofía MOOC (Massive Open Online Courses), es decir, en línea, de forma masiva, y abierto a todo el mundo. Bajo este paradigma, compartir información entre la comunidad de alumnos y la colaboración entre todos ellos es clave para la superación del curso. El curso se ofrece a través de la nueva plataforma formativa de INTECO, plataforma que se basa en este novedoso paradigma formativo, siendo la ciberseguridad industrial el primero de los muchos temas para los que se ofertarán cursos. Si decides inscribirte, has de saber que esta plataforma pone a tu disposición recursos educativos como presentaciones, vídeo tutoriales, documentación descargable, ejercicios de autoevaluación, foros donde plantear dudas y aprender con tus futuros compañeros, espacios donde crear apuntes colaborativos (wikis), y herramientas para la corrección colaborativa (P2P) de ejercicios de evaluación. Además podrás obtener niveles de reputación (karma) dentro de la comunidad en función de tu participación en los espacios de interacción entre alumnos (p. ej. foro y wiki) y una vez superadas las actividades obligatorias del curso, dispondrás de un diploma que certificará la superación del curso.

Creemos que esta es una oportunidad única para ti, por lo que te animamos a que te registres en la plataforma y te inscribas en el curso cuanto antes (el día 27 de octubre se abrirán ya los contenidos y el plazo de inscripción finalizará el 3 de noviembre). Verás además que este curso está disponible tanto en español como en inglés, reforzando así la vocación internacional de las iniciativas formativas de INTECO. Esperamos que sea de tu agrado y disfrutes tanto como nosotros hemos disfrutado preparándolo.

Lo que debemos aprender del ataque a JP Morgan

Desde finales de agosto que se hizo público, han pasado ya meses del ciberataque que recibió JP Morgan en el que se vio expuesta información de 76 millones de cuentas de cliente, y que, conforme continua la investigación, parece afectar a otras nueve entidades.

Según avanza la investigación, se va deduciendo que existe una previsible implicación del cibercrimen ruso en este ataque. Una nueva vuelta de tuerca al estado de la ciberseguridad de Estados Unidos, donde se invierten millones de dólares por parte de las grandes empresas para prevenir este tipo de situaciones.

Desde Europa y más concretamente, desde España, este ataque contra uno de los grandes financieros de USA se ve desde la barrera de la seguridad que da el no ser un objetivo prioritario en estos momentos y más concretamente para este tipo de ataques, a la espera de que la sofisticación del mismo sea alta, pero se espera que al ver las barbas del vecino afeitar, posiblemente nos empuje a meter nuestras mesadas barbas hasta las orejas en la palangana y nos obligue a replantearnos los riesgos a los que estamos siendo sometidos, y quizás cuando veamos que los riesgos de aquellos que invierten millones de dólares en seguridad no han servido para evitar un ataque, nos replanteemos nuestra filosofía de ciberseguridad.

Se puede decir que en ciberseguridad nunca hay una relación directa entre la cantidad de inversión y la menor exposición ante incidentes de seguridad. Sin embargo sí que la hay en el concepto de calidad de la inversión y la exposición ante incidentes de seguridad.

Históricamente han sido los análisis de riesgos los que identificaban aquellos activos más valiosos para el negocio o la continuidad del mismo, así como el impacto de los mismos. Esos análisis de riesgos han ido evolucionando para admitir y estudiar los nuevos vectores de ataque, su probabilidad y este cúmulo de “nuevas” amenazas.

Conforme la complejidad de los negocios crece, su exposición a los riesgos varía, ahora vemos el BYOD como un riesgo, más que como una oportunidad y a los usuarios de los sistemas como el nuevo perímetro. Se dice que detrás de todo incidente de seguridad siempre existe la certeza del error humano, lo que ha creado el estereotipo del usuario que ya denunciaba Hal 9000, "Sólo puede ser atribuible a un error humano". El usuario pincha en cualquier lado, descarga software sin control, introduce sus contraseñas donde no debe, desarrolla inadecuadamente, pone de contraseña el nombre de su gato, etc.

En un ejercicio de responsabilidad, deberíamos de descargar de parte de la culpa al usuario y entender que a veces las tecnologías, los procesos y las normativas deben asumir su parte.

S21sec

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login