Qué son las herramientas EDR y cómo ayudan a mejorar la seguridad informática

Las empresas han sido uno de los objetivos prioritarios de los ciberdelincuentes, por lo que cada vez se necesitan herramientas más sofisticadas con las que protegerlas y mejorar la eficiencia en la gestión de todos los equipos. Estas herramientas quedan englobadas bajo las siglas EDR o Endpoint Detection and Response. Estas herramientas actúan como un HUB que conectan a todos los equipos de la empresa para gestionar y analizar las amenazas y políticas de protección desde un solo panel de control.

Los Endpoints son los equipos finales o, dicho de otra forma, los equipos que utiliza todo el personal de la empresa para llevar a cabo su trabajo. Cada uno de esos equipos cuenta con su propio sistema de protección avanzada que se encarga de proteger la seguridad de la empresa en la operativa cotidiana de la empresa: mientras el usuario está navegando, cuando recibe un correo, cuando descarga archivos, etc.

Las soluciones de protección para endpoints son la primera línea de defensa frente a todo tipo de ataques por ransomware, malware o robo de credenciales a los que las empresas se encuentran constantemente expuestas.

¿Qué son las soluciones EDR y para qué sirven?

Las soluciones EDR son recursos para luchar de forma global contra todas esas amenazas contra la seguridad informática de las empresas.

Las herramientas EDR actúan en varias áreas de la seguridad informática haciendo más eficientes los sistemas de alerta temprana, mejorando la capacidad de respuesta a los ataques gracias a la administración centralizada de todos los equipos corporativos y la compartición de información de lo que sucede en cada uno de los endpoints.

las soluciones EDR ofrecen una fotografía más global de la seguridad empresarial, permitiendo detectar vulnerabilidades que pueden pasar inadvertidas cuando se producen en un solo equipo, pero que pueden convertirse en una seria amenaza cuando se replica en otros equipos y se mira desde un punto de vista global.

Las soluciones EDR se implementan como una capa adicional a los sistemas de seguridad para endpoints que ya se han instalado en los equipos corporativos, servidores de correo, etc.

Cómo funciona una solución EDR

Decir que una solución de seguridad mejora la detección de amenazas y agiliza la aplicación de soluciones es casi una obviedad, por lo que lo mejor es ver un ejemplo de cómo actúan estas herramientas.

ESET es una empresa europea con más de 30 años de experiencia en el desarrollo de soluciones de seguridad y cuentan en su catálogo de soluciones EDR con ESET Dynamic Threat Defense y ESET Enterprise Inspector.

Cada una de ellas realiza una tarea diferente dentro de lo que se considera en ámbito EDR. Por ejemplo, como su propio nombre indica, ESET Dynamic Threat Defense está más orientado a la detección de potenciales amenazas que todavía no han sido registradas y que, por lo tanto, no existe una herramienta específica para luchar contra ellas. Son las conocidas como Zero Days.

Cuando ESET Dynamic Threat Defense está activo, monitoriza la actividad de los endpoints donde realiza un cribado de archivos clasificándolos como seguros, peligrosos o como desconocidos. El sistema no duda cómo actuar ante los archivos clasificados como seguros o como peligrosos y directamente los bloquea o admite según su condición, pero ¿y los que marca como “desconocidos”?

Cuando detecta archivos sospechosos en uno de los endpoints de la empresa, como un archivo adjunto sospechoso, automáticamente lo envía a la nube, donde una inteligencia artificial lo aísla en un entorno de pruebas emulado, y lo ejecuta imitando el comportamiento que tendría un usuario (ejecutar, aceptar permisos, etc.) mientras un sistema de machine learning observa y aprende del comportamiento de la amenaza.

Tras esa observación se determina si finalmente es seguro, o por el contrario es potencialmente peligroso, por lo que se toman medidas al respecto bloqueando ese archivo en todos los equipos de la empresa. De ese modo, cuando la solución de seguridad instalada en cualquiera de los endpoints detecte de nuevo ese archivo, directamente lo bloqueará impidiendo su ejecución.

Es decir, un archivo que ha sido detectado en un solo equipo, ha servido para poner en alerta al resto de equipos de la empresa evitando que esa amenaza pueda afectar a cualquier otro equipo de la empresa.


fuente https://www.businessinsider.es/herramientas-edr-como-ayudan-mejorar-seguridad-informatica-529151

Una campaña agresiva de virus informáticos amenaza al Principado

Una campaña agresiva de virus informáticos amenaza al sistema informático de la Administración del Principado. El servicio de Seguridad Informática y Seguridad de la Dirección General de Sector Público, Seguridad y Estrategia Digital ha dado la voz de alarma tras detectar este virus que se propaga a través de un correo electrónico que contiene uno o más ficheros adjuntos maliciosos. Este departamento ha adoptado los mecanismos a su alcance para tratar de proteger los equipos y evitar la propagación del virus. Pero, además, ha reclamado la colaboración de todos los trabajadores de la Administración. Les solicita que extremen la precaución. Como los atacantes se esconden detrás de correos con apariencia inofensiva, reclaman a los funcionarios que estén prevenidos para evitar caer en la trampa de abrir esos mensajes.

La noticia ha corrido entre la plantilla de trabajadores del Principado. El portal web de la Consejería de Educación, Educastur, ha colgado una serie de recomendaciones para la los docentes y para el personal de administración y servicios. ¿Cómo actúa el virus que está atacando el Principado? A los correos de la administración llega a través del correo. No hay un único sino varios con formatos diferentes. El servicio de Seguridad informática ha difundido varios ejemplos. En el asunto incluye términos como «nueva plantilla, solicitud, nueva cesión de datos, privacidad, facturas,….». Los documentos adjuntos suelen ser en formato Word, con nombres del tipo datos de factura, cesión de datos o propuestas. Si alguno cede a la tentación de intentar abrir el adjunto, entonces solicita al usuario habilitar las macros de Microsoft Office, en caso de que éstas se encuentren deshabilitadas por defecto. Si las macros están ya habilitadas por defecto, o el usuario procede a aceptar la habilitación de las mismas, el virus capturará información de la agenda de contactos del Outlook y logrará remitir a dichos contactos un correo malicioso, que parecerá dirigido desde la dirección de la persona que ha sido infectada. Los informáticos del Principado han dado una serie de instrucciones para contener este ataque. Aconseja no abrir los ficheros adjuntos, no pulsar en ningún enlace sospechoso, no habilitar permisos que solicite un mensaje e, incluso, borrar el mensaje de la bandeja de entrada y de la carpeta de elementos eliminados.Si ya es demasiado tarde, y el trabajador ha abierto algún mensaje sospechoso, entonces el Servicio de Seguridad les ordena crear una incidencia para que los técnicos de seguridad puedan analizar la situación y ver si existe algún peligro.

Fuente: https://www.lavozdeasturias.es/noticia/asturias/2019/11/06/principado-atacado-campana-agresiva-virus-informatica/00031573033816229468551.htm

Hackean una cuenta de Correos en Twitter

Correos denunció este martes el hackeo de su cuenta de Twitter @CorreosAtiende. A primera hora de la mañana en este perfil de la empresa estatal comenzaron a aparecer mensajes de contenido inapropiado: “Si necesitas enviar droga en tus paquetes, no dudes en usar nuestro servicio”, afirmaba uno de los primeros. Aún no se ha identificado al autor de los hechos y la cuenta cambió de nick a @CorreosAtiende_ .

Mientras tanto, desde la cuenta principal de Correos en esta red social se enviaron mensajes alertando del hackeo y se pidió a todos los usuarios que ignorasen cualquier contenido que pueda haber aparecido en el perfil robado y que no respondan a ningún mensaje directo. Según informaron fuentes de la compañía, la misma mañana del martes se habían puesto en contacto con los responsables de Twitter en España para abordar el problema y mientras estaban trabajando para recuperar el perfil.

La cuenta @CorreosAtiende  (ahora @CorreosAtiende_) es el perfil oficial del servicio de atención al cliente de la compañía, en la que se responde a las dudas y reclamaciones de los usuarios y que antes del incidente contaba con más de 18.000 seguidores. Algunos medios citaron fuentes cercanas a la empresa para señalar que los equipos de seguridad informática de Correos no creen posible que los atacantes hayan accedido a información de ningún cliente a través de los mensajes directos de Twitter, ya que Correos Atiende nunca pide los datos sino simplemente la información de pedido.

Antecedentes
El hackeo ha ocurrido sólo unos días después de que se detectase otro ciberataque que también afecta a Correos. En este caso se trataba de una estafa de phising por SMS en el que los delincuentes envían una notificación de entrega e invitan a hacer clic en un enlace para poder recibir un paquete. El texto que se envía es el siguiente: Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones: http://f60.me/. Una vez en la página de este enlace se piden los datos bancarios. Aunque Correos ha advertido a sus clientes que extremen las precauciones y recuerda que nunca solicita este tipo de datos por SMS.

Por otro lado, no es tampoco el único caso reciente de robo de identidad de un organismo público. La Universidad Pública de Navarra y el Servicio de Empleo de Andalucía han sido víctimas de ataques similares en las últimas semanas. En el caso del segundo, al robo de identidad se sumó la difusión de mensajes y amenazas contra políticos.

Riesgo para las empresas
El phising y la ingeniería social suponen un problema para la seguridad de las empresas, ya que los cibercriminales sólo necesitan manipular a un empleado para entrar en la red o, como en este caso, robar perfiles. Hay algunas cosas que puedes hacer al respecto, aunque más allá de las buenas prácticas es recomendable disponer de una solución de ciberseguridad avanzada, que permite dar una respuesta continua e inmediata.

La verificación en dos pasos no puede depender de un SMS. Si el mensaje es interceptado los hackers tendrían acceso directo a tus cuentas o perfiles.
Utiliza contraseñas (dinámicas) de un solo uso. Puedes recurrir a la tecnología One-Time Password Algorithm, que proporciona una contraseña solo válida para la autenticación.
Duda, pregunta y confirma. Ante cualquier duda o comportamiento inusual conviene ponerse en contacto los responsables de ciberseguridad.
Establece un protocolo de comunicación. Se debe formar a todos los empleados para que sean conscientes de que hay información que nunca se debe compartir por mail o SMS, incluso si parece que ha sido solicitada por un compañero.

https://www.pandasecurity.com/spain/mediacenter/noticias/hackean-twitter-correos/

10-N: Anonymous y Tsunami planean un ciberataque

El Gobierno ha articulado, como hizo en los comicios de abril, a través de los órganos competentes de la Administración del Estado, las «barreras» necesarias para evitar que cibertaques de hackivistas o grupos organizados puedan poner en peligro el funcionamiento de instalaciones críticas y todo lo relacionado con el proceso electoral del 10-N. Según han informado a LA RAZÓN fuentes conocedoras del asunto (los aspectos fundamentales se mantienen en secreto para no dar facilidades a los «enemigos») ya se han producido algunos ataques, que se han quedado en intentos debido a que las referidas barreras han demostrado su efectividad. Uno de los objetivos del movimiento insurreccional (según reconocen los que lo promueven) en Cataluña es el de provocar el caos con efectos que desestabilicen a la sociedad. Las citadas instalaciones y, sobre todo, lo que rodea a los comicios, en especial el recuento de votos (encargado, como en algunas otras ocasiones, a la empresa INDRA) es un objetivo preferente. Resulta complicado detectar quiénes pueden ser los «actores» de los ataques ya que utilizan una serie de barreras.

Sin embargo, sí se sabe que Anonymous Catalunya y Tsunami Democratic forman «tamdem» para tratar de enturbiar el proceso en la medida de sus posibilidades. Los investigadores que, por orden de la Audiencia Nacional, tratan de identificar a la persona o personas que están detrás de Tsunami se han topado con algunas dificultades y la falta de colaboración empresas multinacionales afincadas en América del Norte, como, inexplicablemente, sucede con relativa frecuencia. La Guardia Civil, tras recibir la orden de la Audiencia Nacional, pidieron al juez competente un mandamiento para solicitar a la empresa GitHub (perteneciente a Microsoft) que impidiera a Tsunami su funcionamiento. Los investigadores habían detectado que utilizaban esta plataforma para la distribución de su APP.

Las diligencias están declaradas secretas, pero lo cierto es que Tsunami sigue operando desde el exterior y sigue accesible desde localizaciones fuera de España o desde mecanismos relativamente sencillos de navegación y sobre los que los promotores de Tunami han facilitado instrucciones a través de sus grupos de Telegram. Además, llamó poderosamente la atención que los propios responsables de GitHub hicieran público detalles del mandamiento judicial, promovido por la Benemérita, lo que sirvió para que se tratara de organizar un «escándalo mediático» con la pantalla de que era un ataque contra la libertad de expresión.

Resulta descorazonador la falta de sensibilidad de la compañía Microsoft y su filial GitHub con los problemas de defensa de los principios constitucionales en España, atropellados desde un nacionalismo excluyente, cuando no afectan directamente a los intereses nacionales del país donde reside su sede social. La petición estaba absolutamente justificada ya que los promotores de Tsunami publicitan estos accesos para descargar la aplicación desde GitHub y en Telegram. Estamos ante una investigación por delitos muy graves (por ello se ha solicitado una Comisión Rogatoria Internacional) que han conllevado que una organización haya incitado, promovido y coordinado las acciones de desórdenes públicos más graves y violentos de nuestra democracia en los últimos tiempos, como ha quedado acreditado en las diligencias presentadas por las Fuerzas de Seguridad.

Con estos precedentes, los responsables de la seguridad cibernética de España tienen que actuar con la peor de las hipótesis, ya que la voluntad de provocar el caos y, si pudieran, generar black out parciales en algunas zonas, para dejarlas absolutamente incomunicadas y sin los servicios esenciales, no cristaliza gracias a las barreras que coloca el Estado. Los que han diseñado el dispositivo de defensa de ciberataques durante el proceso del 10-N son conscientes de que es un objetivo «tentador» para quienes utilizan el ciberespacio con fines ilícitos de distinto tipo.

El Ministerio del Interior, que es el encargado de que el proceso electoral se desarrolle sin disfunciones, ha reforzado las alertas que tradicionalmente mantiene. El encargado de este cometido es el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) y la Oficina de Coordinación Cibernética (OCC), ambos encuadrados en la Secretaría de Estado de Seguridad.

El Estado dispone de sofisticados sistemas de seguridad, mediante «barreras», «cortafuegos», etcétera, cuyo funcionamiento, para mantener su operatividad, permanecen en secreto.

La SER y Everis, víctimas de un ciberataque

La Cadena SER ha sufrido esta madrugada un ataque de virus informático del tipo ransomware, (un programa que cifra los archivos del equipo e impide que se pueda acceder a ellos), que ha tenido una afectación "grave y generalizada" de todos sus sistemas informáticos, según ha informado la propia emisora. Everis también ha sido afectada y Accenture niega haber sufrido este ataque.

Según informa el DNS, el ataque ha afectado "a empresas estratégicas en España", mientras que otras "han solicitado a sus empleados el apagado preventivo de los equipos y han bloqueado todo el correo entrante y la navegación en sus redes para evitar infecciones".

Al parecer, el ataque no estaba dirigido específicamente a estas empresas, sino que ha sido "un ataque lanzado de forma masiva que afecta a equipos vulnerables de todo el mundo", si bien más tarde eliminaron esta afirmación de su comunicado.

De este modo, la cadena ha explicado que, siguiendo el protocolo establecido en ciberataques, la SER se ha visto "en la necesidad de desconectar todos sus sistemas informáticos operativos". Cuando un ordenador es infectado por uno de estos virus, el usuario únicamente ve un mensaje que en el que se solicita el pago de una cantidad determinada para volver a acceder a los archivos del equipo. Además, puede afectar a otros ordenadores conectados a la misma red.

En este momento, la emisión de la SER queda garantizada desde su sede central en Madrid, apoyada en equipos autónomos", ha asegurado la emisora. Asimismo, han explicado que sus técnicos "trabajan ya para la recuperación progresiva de la programación local de cada una de sus emisoras".

El DNS recomienda "desconectar de las redes aquellos equipos que no dispongan de las últimas actualizaciones para, de manera preventiva, evitar nuevas infecciones".

ESPAÑA, EN EL TOP DE PAÍSES DE LA UE CON MAYOR RIESGO DE SER HACKEADOS

España, en la zona UE de riesgo por malware

No son precisamente buenas noticias, al revés: es preocupante el saber el índice tan bajo de protección que España tiene con respecto a las cientos de amenazas malware diarias -¿o son miles?- que nos afectan y ponen en riesgo. El informe de Check Point conforma un Top 7 de países UE que están ‘vendidos’ ante los ataques hackers con malware, y que en caso de sufrir otro Wannacry seríamos de los primeros en caer.

El Top 7 es el siguiente:

1. Grecia: 77,9% de riesgo de infección por malware
2. Lituania: 69,9%
3. Letonia: 52,8%
4. España: 52,3%
5. Francia: 43,4%
6. Alemania: 32,8%
7. Reino Unido: 31,1%

Los malwares más buscados en España

El informe de seguridad también clasifica los malwares más buscados y peligrosos que tenemos en nuestro país. Un listado que comienza por:

• El cryptojacker XMRig
• El cryptojacker Jsecoin
• El troyano Darkgate



XMRig, descubierto en mayo de 2017, se usa para minar la criptomoneda ‘monero’ y ha atacado a un 12,42% de las empresas en España. Jsecoin por su parte mina la criptodivisa minero directamente en el navegador prometiendo a los usuarios una experiencia de navegación sin anuncios, monedas para juegos y otros incentivos falsos, afectando a un 9,11% de las organizaciones españolas.

En cuanto al tercero de la lista, Darkgate, Check Point califica al tercer 'malware' como una "amenaza completa" que se instala de manera sigilosa y provoca problemas operativos e incapacidad para ejecutar ciertos servicios o aplicaciones. Y ha logrado afectar al 8,07% de las empresas españolas.

TIPS PARA NO SER HACKEADO

o de más para no conectarse a redes de dudosa procedencia y activar estas fu Usa Wi-Fi y Bluetooth cuando sea imprescindible

 Empezamos con uno de los malos hábitos más generalizados entre los usuarios, dejar encendido de forma permanente el Wi-Fi o el bluetooth del móvil. Si acostumbras a dejar encendidas estas funciones de forma habitual, las probabilidades de sufrir un ataque con malware, espionaje y el robo de información como fotos, mensajes, claves personales e incluso información financiera, se incrementa exponencialmente. Motivo de más para no conectarse a redes de dudosa procedencia y activar estas funciones de forma puntual, en redes domésticas y sólo cuando sea necesario.

Crea una contraseña inteligente

El uso de un administrador de contraseñas te puede resultar muy útil para no tener que recordar cada una de ellas, ya que este tipo de programas almacena todas nuestras contraseñas en línea de forma segura.Puedes utilizar apps como el gestor de contraseñas LastPass o Password Safe que además permite encriptar todas las contraseñas en nuestro dispositivo. En cualquier caso, conviene cambiar cada contraseña cada cierto tiempo –generalmente una vez al año– como medida de seguridad.

Usa la doble autenticación

Los expertos aseguran que ya no es suficiente con disponer de una contraseña, por eso muchos servicios de correo electrónico y redes sociales ya incorporan la autenticación en dos pasos, que consiste básicamente en crear una segunda capa de protección adicional en forma de contraseña temporal.

Su funcionamiento resulta muy eficaz frente al bloqueo de posibles puertas de entrada a información confidencial almacenada en estos servicios. Consiste en la obtención de un segundo código temporal de acceso de seis dígitos que llega a nuestro dispositivo en forma de mensaje de texto, cada vez que inicias sesión en un dispositivo nuevo.

Usa HTTPS mientras navegas por Internet

La herramienta HTTPS Everywhere permite encriptar la información compartida entre nuestro dispositivo y lo sitios web a través del navegador utilizado. Por eso, conviene que compruebes si aparece o no HTTPS en la barra de direcciones cada vez que accedas a tus datos bancarios a través del móvil, por ejemplo, ya que de lo contrario cualquiera podría espiar tu sesión de Internet.

Evita ocultar tu red Wi-Fi doméstica

Aunque parezca incongruente, ocultar el SSID de tu red doméstica podría incrementar el riesgo de que tu dispositivo se conecte de forma accidental a otras redes abiertas de dudosa procedencia. Esto ocurre porque al ocultar la red se obliga a los dispositivos a escanear de forma más exhaustiva la red doméstica que hemos ocultado, sin poder evitar la búsqueda continua de otras redes Wi-Fi cercanas que podrían resultar poco seguras..

Protege tu red Wi-Fi doméstica con una contraseña propia
Para finalizar, cambia la contraseña por defecto del módem. Parece que el robo de la señal Wi-Fi por parte de los amigos de lo ajeno ha incentivado el cambio de la contraseña predeterminada del módem. Si no la has cambiado aún, conviene que lo hagas cuanto antes y que cambies el estándar de encriptación por defecto WEP –Wired Equivalent Privacy– o WPA –Wireless Protected Access– por el estándar WPA-2, mucho más seguro.

puntual, en redes domésticas y sólo cuando sea necesario.