Los responsables de tecnología en las PyMEs frecuentemente se encuentran con dificultades para implementar medidas de seguridad de la información, y se observa que están muy distantes de las normas internacionales y mejores prácticas en la materia. En este sentido, en el ámbito de este tipo de empresas suelen producirse errores frecuentes a la hora de comprender la seguridad de la información. ¿Cuáles son los principales pecados que cometen las PyMEs en la materia?

PyME es el acrónimo de “Pequeña y mediana empresa”, y  de acuerdo con la legislación de cada país difieren las posibilidades de una empresa para inscribirse en dicha categoría. Para su categorización, en algunos casos se consideran los niveles de facturación, mientras que en otros se tiene en cuenta el número de empleados con los que cuentan.

La fuerza productiva de las PyMEs en Latinoamérica supera el 50% del conjunto de la mano de obra ocupada, siendo en algunos países incluso el 90% de la fuerza laboral local. Independientemente de la definición, las pequeñas y medianas empresas poseen algunos factores comunes que atraviesan las fronteras y la legislación, especialmente con respecto al uso y disposición de tecnologías, aspecto que las diferencian claramente de las grandes empresas. Limitación en los recursos financieros asignados a la tecnología, y por ende, restricción de recursos tecnológicos; escasez de recursos humanos y de gestión en el área tecnológica, más específicamente en la inversión en el área de seguridad de la información; son algunas de estas características comunes que se pueden enumerar.

Los responsables de tecnología en las PyMEs frecuentemente se encuentran con dificultades para implementar medidas de seguridad de la información, y se observa que están muy distantes de las normas internacionales y mejores prácticas en la materia.

Directores, gerentes, ejecutivos de sistemas, administradores de red, soporte técnico, responsables de Recursos Humanos y otros integrantes de las organizaciones relacionados con la seguridad de la información en la empresa; suelen fallar a la hora de implementar planes a largo plazo en pos de mejorar la seguridad de la información de la organización.

En este sentido, suelen producirse errores frecuentes a la hora de comprender la seguridad de la información. ¿Cuáles son los principales pecados que cometen las PyMEs en la materia?

Pecado número 1: La seguridad es un problema tecnológico

La implementación de tecnologías de seguridad tales como firewall, antivirus, detectores de intrusos, controles de acceso, u otros, es una parte necesaria pero no suficiente para la seguridad de la información en una organización. Comúnmente, por motivos de limitaciones de conocimientos, presupuestos o recursos, suele restringirse la seguridad de la información a la implementación aislada de tecnologías de seguridad. Sin embargo, este acercamiento no resulta ser completo, dado que se omiten aspectos humanos y de gestión que resultan ser indispensables para el proceso de seguridad.

La gestión de la seguridad es el componente clave y primario para un plan exitoso de protección de la información en una PyME. Sin gestión no hay controles o medidas que provoquen un aseguramiento eficiente de los datos de la organización, o que se evalúen los riesgos a los cuales se está expuesto.

Para que esta gestión sea realizada de forma exitosa, debe comprenderse a la seguridad como un proceso dinámico, y  además se tiene que trabajar en las siguientes etapas: relevar (análisis de la situación), planear (definición de un plan de controles de seguridad), ejecutar (implementación de las medidas) y monitorear (evaluar los resultados y sus posible mejoras). Finalmente, comenzar el ciclo nuevamente con el relevamiento.

Entre las principales medidas a considerar se encuentra la implementación de políticas de seguridad como componente principal del proceso de seguridad. Se define una política de seguridad como “una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán“.

Posteriormente, el proceso de gestión incluye el sub-proceso de clasificación de la información, mediante la cual se identifica la criticidad de toda la información de la organización; la definición de acuerdos y contratos, destinado a reglamentar y definir condiciones relacionadas a la seguridad; y la implementación de un plan de educación y concientización de los usuarios, destinado a acrecentar los conocimientos de los integrantes de la empresa en la materia para, de esta manera, disminuir los riesgos de exposición a diversas amenazas.

Todos estos elementos serán utilizados eficientemente si la organización y sus integrantes comprenden a la seguridad como un ciclo. Para tal fin, es indispensable la colaboración de múltiples áreas,  principalmente de la alta gerencia, como responsable final del plan de seguridad.

Continuará…

Sebastián Bortnik
Analista de Seguridad

Categories: Gestión, Informes
1 Comment »

Como se sabe existen cientos de sitios desde donde es posible descargar aplicaciones ya sea en versiones pagas, gratuitas, de prueba e, incluso, es posible la descarga de su código fuente. En este tipo de sitios de descargas legales y confiables, generalmente se ofrece algún tipo de seguridad sobre el origen de la aplicación y sus objetivos.

Pero, ¿qué sucede si no es posible identificar si un sitio es confiable o no? Por ejemplo en la siguiente página (real) se ofrecen aplicaciones y el código fuente de algunas de ellas:

Pero, en cambio en esta otra (.org falsa) se ofrece exactamente lo mismo y incluso con una copia del sitio real:

Desde este sitio falso e idéntico al real, al intentar descargar cualquier aplicación, se descarga un troyano que ESET NOD32 detecta como Win32/Agent.QOU.

Por eso es necesario comprender que sólo es recomendable descargar software desde páginas oficiales (por ejemplo descarga ESET NOD32 desde el sitio de ESET). Siempre confíe en el fabricante antes que en un tercero.

Cristian Borghello
Director de Educación

Categories: Malware
3 Comments »

En los últimos días se ha estado hablando a nivel global sobre la llamada “Operación Aurora” (también conocida como Comele o Hydraq) sin embargo ¿de qué se trata esto? Este el “nombre de combate” que recibió un ataque masivo contra varias corporaciones entre las que se encuentran Google, Adobe, Juniper, RackSpace y otras 30 que aún no se dieron a conocer.

¿Por qué recibe este nombre?

El nombre Operación Aurora fue dado por los investigadores luego de detectar en el código fuente de uno de los malware involucrados en el ataque, cadenas de caracteres que se refieren al proyecto como “aurora”.

¿Cuál fue el objetivo?

Existen varias hipótesis. Sin embargo las más firmes son dos: por un lado, que el ataque fue motivado con el ánimo de robar información de propiedad intelectual a grandes compañias; y por el otro, que su objetivo principal fue la intención de robar cuentas de Gmail de activista de derechos humanos en China.

¿Quién es el autor del malware utilizado en la operación aurora?

En función de una serie de análisis realizados sobre el código fuente del malware involucrado en la operación, se llega a la conclusión que el autor posiblemente es de origen chino, ya que en el código fuente de algunos de los componentes, se encuentran referencias del idioma chino simplificado.

¿Cuándo comenzó el ataque?

El ataque fue hecho público por Google durante la segunda semana de enero de este año, sin embargo, aparentemente comenzó a gestarse desde diciembre del 2009.

¿Qué se utilizó para llevar a cabo el ataque?

En un principio, los comentarios al respecto hablaban de un ataque utilizando un exploit del tipo 0-Day embebido en archivos PDF, como el utilizado recientemente. Sin embargo, los investigadores llegaron a la conclusión de que el ataque tiene como objeto una vulnerabilidad 0-Day de Internet Explorer identificado como CVE-2010-0249 y KB979352 (para la cual se acaba de publicar un parche).

¿Qué versiones de Internet Explorer y Windows afecta?

Originalmente el ataque utilizó un exploit diseñado para la versión 6.0 de Internet Explorer, sin embargo, las versiones 7 y 8 también son vulnerables y actualmente están siendo aprovechadas por delincuentes informáticos para propagar gran cantidad de malware y reclutar zombis para botnets.

Los sistemas operativos que se ven afectados son: Windows 2000 SP4, XP, 2003, Windows Vista y Windows 2008. En el siguiente enlace de Microsoft se encuentran detalles al respecto.

¿Cómo se llevó a cabo el ataque?

Si bien las empresas afectadas lo están investigando, se presume que el ataque tuvo como principal blanco de acceso, la propagación del exploit a través de correos electrónicos, supuestamente emitidos por entidades de confianza, cuyos destinatarios eran personas con altos cargos dentro de las compañías (ataque dirigido). Esto confirma lo dicho por ESET Latinoamérica en nuestro informe de Tendencias 2010 sobre el Crimeware.

En los últimos días también se ha detectado la propagación de esta amenaza utilizando como vector de ataque el cliente de mensajería instantánea “Misslee Messenger”, muy popular en Corea.

Como era de esperar, la vulnerabilidad esta siendo utilizada para realizar ataques a gran escala hacia usuarios por parte de los delincuentes informáticos, pero esto no guarda relación alguna con la Operación Aurora original.

¿Cómo sigue el caso?

Si bien la operación original ya no está siendo llevada a cabo, el ataque ahora ocurre en forma masiva desde distintos sitios a través de Drive-by-Download, con distintos tipos de malware y orientados a todo tipo de usuarios. ESET NOD32 detecta proactivamente estos códigos como JS/Exploit.CVE-2010-0249 y variantes de Win32/AutoRun.Delf y Win32/Agent.OBZ, orientados al robo de información confidencial.

Contramedidas

Aunque la vulnerabilidad afecta a Internet Explorer 6, 7 y 8, es recomendable actualizar el navegador a esta última versión, ya que por defecto, Internet Explorer 8 tiene activada la funcionalidad DEP, que previene la ejecución de datos, necesaria para la infección del sistema.

En el día de la fecha Microsoft ha lanzando un parche oficial MS10-002 para esta vulnerabilidad que reviste el carácter de crítico. Se debe actualizar con el mismo todas las versiones de Internet Explorer y los sistemas operativos desde Windows 2000 hasta el reciente Windows 7.

Además, es recomendable implementar en la organización una solución de seguridad en profundidad que contemple todas las capas posible para resguardar los activos. Por ejemplo, se puede implementar ESET Gateway Security o ESET Mail Security en los servidores para controlar el acceso a determinadas direcciones web o correos, detectando el malware que intente ingresar en la organización y se puede implementar ESET NOD32 en el cliente para protegerlo contra el ingreso de USB infectados.

Conclusión

Lo grave es que este tipo de ataques son muy fáciles de explotar cuando no se dan todas las condiciones necesarias de seguridad, ya que con el solo hecho de acceder a Internet a través de un navegador o abrir un correo electrónico y, si encuentra la vulnerabilidad, el atacante podrá acceder a información confidencial de la organización.

Teniendo en cuenta que fueron muchas y grandes las compañías afectadas a través de la Operación Aurora, lo primero que se cuestiona, es el hecho de que todavía se siga utilizando un navegar tan antiguo: aproximadamente el 20% aún utiliza Internet Explorer 6.0.

Esto deja en evidencia que, para asegurar los activos de cualquier tipo de organización, se debe tener en cuenta todos los mecanismos de seguridad existentes y que los mismos deben ser considerados en una política global de seguridad.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Educación, Malware
14 Comments »

El objetivo del octavo desafío era aprender a mirar y ver en el código fuente, acción que se debe llevar a cabo con atención cuando se busca sitios web o páginas comprometidas.

La respuesta correcta es “YO GANE” y se encuentra dentro del archivo de texto plano 8723g8738g73.txt codificado en formato HTML y al que había que llegar luego de algunos pasos previos.

Los pasos para encontrar la respuesta son las siguientes:

1. Al ver el código fuente del archivo desafio.html se podía encontrar información útil y mucha basura que llevaría a pistas incorrectas.
2. En su código también se puede ver un script ofuscado con una función que recibe las variables (p,a,c,k,e,d) como argumento. Este método es comúnmente utilizado por los creadores de malware para ocultar sus scripts. Más allá de ello, en pantalla puede verse una serie de números que comienzan con “61 48 52″ y finalizan con “48 68 30″. Esos son valores hexadecimales que se deben convertir a formato ASCII.
3. El valor devuelto está en Base64 y es una cadena que comienza con “aHR0…”. Nuevamente, al decodificar esta cadena a ASCII se obtiene una URL.
4. Al seguir el enlace se obtiene el archivo 8723g8738g73.txt mencionado.
5. Al decodificar el HTML de ese archivo se llega a la frase “YO GANE”.

La primera persona que ha resuelto el desafío, es Gadix, para quien van nuestras felicitaciones y la Licencia que estará recibiendo en breve.

Pronto habrá mas desafíos y los mismo irán creciendo en complejidad para que todos puedan divertirse.

Juan Sacco
Analista de Malware

Categories: Desafío
No Comments »

Como complemento a todas las iniciativas educativas que realizamos desde ESET Latinoamérica, en nuestro Centro de Amenazas podrán encontrar una serie de videos educativos. El objetivo, es mostrar en un formato visual muchas de las cosas que suelen leer aquí en el blog o en nuestros artículos.

En esta ocasión, comparto con ustedes el video educativo sobre rogue, una de las amenazas de mayor propagación en los últimos años, así como también su crecimiento. En el video podrán observar un ejemplo de cómo se infecta un equipo, con el malware detectado por ESET NOD32 como Win32/Adware.Antivirus2008:

Recuerden que pueden ver el resto de los videos en la sección correspondiente en el Centro de Amenazas.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Multimedia
1 Comment »