Qué son las herramientas EDR y cómo ayudan a mejorar la seguridad informática

Las empresas han sido uno de los objetivos prioritarios de los ciberdelincuentes, por lo que cada vez se necesitan herramientas más sofisticadas con las que protegerlas y mejorar la eficiencia en la gestión de todos los equipos. Estas herramientas quedan englobadas bajo las siglas EDR o Endpoint Detection and Response. Estas herramientas actúan como un HUB que conectan a todos los equipos de la empresa para gestionar y analizar las amenazas y políticas de protección desde un solo panel de control.

Los Endpoints son los equipos finales o, dicho de otra forma, los equipos que utiliza todo el personal de la empresa para llevar a cabo su trabajo. Cada uno de esos equipos cuenta con su propio sistema de protección avanzada que se encarga de proteger la seguridad de la empresa en la operativa cotidiana de la empresa: mientras el usuario está navegando, cuando recibe un correo, cuando descarga archivos, etc.

Las soluciones de protección para endpoints son la primera línea de defensa frente a todo tipo de ataques por ransomware, malware o robo de credenciales a los que las empresas se encuentran constantemente expuestas.

¿Qué son las soluciones EDR y para qué sirven?

Las soluciones EDR son recursos para luchar de forma global contra todas esas amenazas contra la seguridad informática de las empresas.

Las herramientas EDR actúan en varias áreas de la seguridad informática haciendo más eficientes los sistemas de alerta temprana, mejorando la capacidad de respuesta a los ataques gracias a la administración centralizada de todos los equipos corporativos y la compartición de información de lo que sucede en cada uno de los endpoints.

las soluciones EDR ofrecen una fotografía más global de la seguridad empresarial, permitiendo detectar vulnerabilidades que pueden pasar inadvertidas cuando se producen en un solo equipo, pero que pueden convertirse en una seria amenaza cuando se replica en otros equipos y se mira desde un punto de vista global.

Las soluciones EDR se implementan como una capa adicional a los sistemas de seguridad para endpoints que ya se han instalado en los equipos corporativos, servidores de correo, etc.

Cómo funciona una solución EDR

Decir que una solución de seguridad mejora la detección de amenazas y agiliza la aplicación de soluciones es casi una obviedad, por lo que lo mejor es ver un ejemplo de cómo actúan estas herramientas.

ESET es una empresa europea con más de 30 años de experiencia en el desarrollo de soluciones de seguridad y cuentan en su catálogo de soluciones EDR con ESET Dynamic Threat Defense y ESET Enterprise Inspector.

Cada una de ellas realiza una tarea diferente dentro de lo que se considera en ámbito EDR. Por ejemplo, como su propio nombre indica, ESET Dynamic Threat Defense está más orientado a la detección de potenciales amenazas que todavía no han sido registradas y que, por lo tanto, no existe una herramienta específica para luchar contra ellas. Son las conocidas como Zero Days.

Cuando ESET Dynamic Threat Defense está activo, monitoriza la actividad de los endpoints donde realiza un cribado de archivos clasificándolos como seguros, peligrosos o como desconocidos. El sistema no duda cómo actuar ante los archivos clasificados como seguros o como peligrosos y directamente los bloquea o admite según su condición, pero ¿y los que marca como “desconocidos”?

Cuando detecta archivos sospechosos en uno de los endpoints de la empresa, como un archivo adjunto sospechoso, automáticamente lo envía a la nube, donde una inteligencia artificial lo aísla en un entorno de pruebas emulado, y lo ejecuta imitando el comportamiento que tendría un usuario (ejecutar, aceptar permisos, etc.) mientras un sistema de machine learning observa y aprende del comportamiento de la amenaza.

Tras esa observación se determina si finalmente es seguro, o por el contrario es potencialmente peligroso, por lo que se toman medidas al respecto bloqueando ese archivo en todos los equipos de la empresa. De ese modo, cuando la solución de seguridad instalada en cualquiera de los endpoints detecte de nuevo ese archivo, directamente lo bloqueará impidiendo su ejecución.

Es decir, un archivo que ha sido detectado en un solo equipo, ha servido para poner en alerta al resto de equipos de la empresa evitando que esa amenaza pueda afectar a cualquier otro equipo de la empresa.


fuente https://www.businessinsider.es/herramientas-edr-como-ayudan-mejorar-seguridad-informatica-529151

Una campaña agresiva de virus informáticos amenaza al Principado

Una campaña agresiva de virus informáticos amenaza al sistema informático de la Administración del Principado. El servicio de Seguridad Informática y Seguridad de la Dirección General de Sector Público, Seguridad y Estrategia Digital ha dado la voz de alarma tras detectar este virus que se propaga a través de un correo electrónico que contiene uno o más ficheros adjuntos maliciosos. Este departamento ha adoptado los mecanismos a su alcance para tratar de proteger los equipos y evitar la propagación del virus. Pero, además, ha reclamado la colaboración de todos los trabajadores de la Administración. Les solicita que extremen la precaución. Como los atacantes se esconden detrás de correos con apariencia inofensiva, reclaman a los funcionarios que estén prevenidos para evitar caer en la trampa de abrir esos mensajes.

La noticia ha corrido entre la plantilla de trabajadores del Principado. El portal web de la Consejería de Educación, Educastur, ha colgado una serie de recomendaciones para la los docentes y para el personal de administración y servicios. ¿Cómo actúa el virus que está atacando el Principado? A los correos de la administración llega a través del correo. No hay un único sino varios con formatos diferentes. El servicio de Seguridad informática ha difundido varios ejemplos. En el asunto incluye términos como «nueva plantilla, solicitud, nueva cesión de datos, privacidad, facturas,….». Los documentos adjuntos suelen ser en formato Word, con nombres del tipo datos de factura, cesión de datos o propuestas. Si alguno cede a la tentación de intentar abrir el adjunto, entonces solicita al usuario habilitar las macros de Microsoft Office, en caso de que éstas se encuentren deshabilitadas por defecto. Si las macros están ya habilitadas por defecto, o el usuario procede a aceptar la habilitación de las mismas, el virus capturará información de la agenda de contactos del Outlook y logrará remitir a dichos contactos un correo malicioso, que parecerá dirigido desde la dirección de la persona que ha sido infectada. Los informáticos del Principado han dado una serie de instrucciones para contener este ataque. Aconseja no abrir los ficheros adjuntos, no pulsar en ningún enlace sospechoso, no habilitar permisos que solicite un mensaje e, incluso, borrar el mensaje de la bandeja de entrada y de la carpeta de elementos eliminados.Si ya es demasiado tarde, y el trabajador ha abierto algún mensaje sospechoso, entonces el Servicio de Seguridad les ordena crear una incidencia para que los técnicos de seguridad puedan analizar la situación y ver si existe algún peligro.

Fuente: https://www.lavozdeasturias.es/noticia/asturias/2019/11/06/principado-atacado-campana-agresiva-virus-informatica/00031573033816229468551.htm

Hackean una cuenta de Correos en Twitter

Correos denunció este martes el hackeo de su cuenta de Twitter @CorreosAtiende. A primera hora de la mañana en este perfil de la empresa estatal comenzaron a aparecer mensajes de contenido inapropiado: “Si necesitas enviar droga en tus paquetes, no dudes en usar nuestro servicio”, afirmaba uno de los primeros. Aún no se ha identificado al autor de los hechos y la cuenta cambió de nick a @CorreosAtiende_ .

Mientras tanto, desde la cuenta principal de Correos en esta red social se enviaron mensajes alertando del hackeo y se pidió a todos los usuarios que ignorasen cualquier contenido que pueda haber aparecido en el perfil robado y que no respondan a ningún mensaje directo. Según informaron fuentes de la compañía, la misma mañana del martes se habían puesto en contacto con los responsables de Twitter en España para abordar el problema y mientras estaban trabajando para recuperar el perfil.

La cuenta @CorreosAtiende  (ahora @CorreosAtiende_) es el perfil oficial del servicio de atención al cliente de la compañía, en la que se responde a las dudas y reclamaciones de los usuarios y que antes del incidente contaba con más de 18.000 seguidores. Algunos medios citaron fuentes cercanas a la empresa para señalar que los equipos de seguridad informática de Correos no creen posible que los atacantes hayan accedido a información de ningún cliente a través de los mensajes directos de Twitter, ya que Correos Atiende nunca pide los datos sino simplemente la información de pedido.

Antecedentes
El hackeo ha ocurrido sólo unos días después de que se detectase otro ciberataque que también afecta a Correos. En este caso se trataba de una estafa de phising por SMS en el que los delincuentes envían una notificación de entrega e invitan a hacer clic en un enlace para poder recibir un paquete. El texto que se envía es el siguiente: Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones: http://f60.me/. Una vez en la página de este enlace se piden los datos bancarios. Aunque Correos ha advertido a sus clientes que extremen las precauciones y recuerda que nunca solicita este tipo de datos por SMS.

Por otro lado, no es tampoco el único caso reciente de robo de identidad de un organismo público. La Universidad Pública de Navarra y el Servicio de Empleo de Andalucía han sido víctimas de ataques similares en las últimas semanas. En el caso del segundo, al robo de identidad se sumó la difusión de mensajes y amenazas contra políticos.

Riesgo para las empresas
El phising y la ingeniería social suponen un problema para la seguridad de las empresas, ya que los cibercriminales sólo necesitan manipular a un empleado para entrar en la red o, como en este caso, robar perfiles. Hay algunas cosas que puedes hacer al respecto, aunque más allá de las buenas prácticas es recomendable disponer de una solución de ciberseguridad avanzada, que permite dar una respuesta continua e inmediata.

La verificación en dos pasos no puede depender de un SMS. Si el mensaje es interceptado los hackers tendrían acceso directo a tus cuentas o perfiles.
Utiliza contraseñas (dinámicas) de un solo uso. Puedes recurrir a la tecnología One-Time Password Algorithm, que proporciona una contraseña solo válida para la autenticación.
Duda, pregunta y confirma. Ante cualquier duda o comportamiento inusual conviene ponerse en contacto los responsables de ciberseguridad.
Establece un protocolo de comunicación. Se debe formar a todos los empleados para que sean conscientes de que hay información que nunca se debe compartir por mail o SMS, incluso si parece que ha sido solicitada por un compañero.

https://www.pandasecurity.com/spain/mediacenter/noticias/hackean-twitter-correos/

10-N: Anonymous y Tsunami planean un ciberataque

El Gobierno ha articulado, como hizo en los comicios de abril, a través de los órganos competentes de la Administración del Estado, las «barreras» necesarias para evitar que cibertaques de hackivistas o grupos organizados puedan poner en peligro el funcionamiento de instalaciones críticas y todo lo relacionado con el proceso electoral del 10-N. Según han informado a LA RAZÓN fuentes conocedoras del asunto (los aspectos fundamentales se mantienen en secreto para no dar facilidades a los «enemigos») ya se han producido algunos ataques, que se han quedado en intentos debido a que las referidas barreras han demostrado su efectividad. Uno de los objetivos del movimiento insurreccional (según reconocen los que lo promueven) en Cataluña es el de provocar el caos con efectos que desestabilicen a la sociedad. Las citadas instalaciones y, sobre todo, lo que rodea a los comicios, en especial el recuento de votos (encargado, como en algunas otras ocasiones, a la empresa INDRA) es un objetivo preferente. Resulta complicado detectar quiénes pueden ser los «actores» de los ataques ya que utilizan una serie de barreras.

Sin embargo, sí se sabe que Anonymous Catalunya y Tsunami Democratic forman «tamdem» para tratar de enturbiar el proceso en la medida de sus posibilidades. Los investigadores que, por orden de la Audiencia Nacional, tratan de identificar a la persona o personas que están detrás de Tsunami se han topado con algunas dificultades y la falta de colaboración empresas multinacionales afincadas en América del Norte, como, inexplicablemente, sucede con relativa frecuencia. La Guardia Civil, tras recibir la orden de la Audiencia Nacional, pidieron al juez competente un mandamiento para solicitar a la empresa GitHub (perteneciente a Microsoft) que impidiera a Tsunami su funcionamiento. Los investigadores habían detectado que utilizaban esta plataforma para la distribución de su APP.

Las diligencias están declaradas secretas, pero lo cierto es que Tsunami sigue operando desde el exterior y sigue accesible desde localizaciones fuera de España o desde mecanismos relativamente sencillos de navegación y sobre los que los promotores de Tunami han facilitado instrucciones a través de sus grupos de Telegram. Además, llamó poderosamente la atención que los propios responsables de GitHub hicieran público detalles del mandamiento judicial, promovido por la Benemérita, lo que sirvió para que se tratara de organizar un «escándalo mediático» con la pantalla de que era un ataque contra la libertad de expresión.

Resulta descorazonador la falta de sensibilidad de la compañía Microsoft y su filial GitHub con los problemas de defensa de los principios constitucionales en España, atropellados desde un nacionalismo excluyente, cuando no afectan directamente a los intereses nacionales del país donde reside su sede social. La petición estaba absolutamente justificada ya que los promotores de Tsunami publicitan estos accesos para descargar la aplicación desde GitHub y en Telegram. Estamos ante una investigación por delitos muy graves (por ello se ha solicitado una Comisión Rogatoria Internacional) que han conllevado que una organización haya incitado, promovido y coordinado las acciones de desórdenes públicos más graves y violentos de nuestra democracia en los últimos tiempos, como ha quedado acreditado en las diligencias presentadas por las Fuerzas de Seguridad.

Con estos precedentes, los responsables de la seguridad cibernética de España tienen que actuar con la peor de las hipótesis, ya que la voluntad de provocar el caos y, si pudieran, generar black out parciales en algunas zonas, para dejarlas absolutamente incomunicadas y sin los servicios esenciales, no cristaliza gracias a las barreras que coloca el Estado. Los que han diseñado el dispositivo de defensa de ciberataques durante el proceso del 10-N son conscientes de que es un objetivo «tentador» para quienes utilizan el ciberespacio con fines ilícitos de distinto tipo.

El Ministerio del Interior, que es el encargado de que el proceso electoral se desarrolle sin disfunciones, ha reforzado las alertas que tradicionalmente mantiene. El encargado de este cometido es el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) y la Oficina de Coordinación Cibernética (OCC), ambos encuadrados en la Secretaría de Estado de Seguridad.

El Estado dispone de sofisticados sistemas de seguridad, mediante «barreras», «cortafuegos», etcétera, cuyo funcionamiento, para mantener su operatividad, permanecen en secreto.

La SER y Everis, víctimas de un ciberataque

La Cadena SER ha sufrido esta madrugada un ataque de virus informático del tipo ransomware, (un programa que cifra los archivos del equipo e impide que se pueda acceder a ellos), que ha tenido una afectación "grave y generalizada" de todos sus sistemas informáticos, según ha informado la propia emisora. Everis también ha sido afectada y Accenture niega haber sufrido este ataque.

Según informa el DNS, el ataque ha afectado "a empresas estratégicas en España", mientras que otras "han solicitado a sus empleados el apagado preventivo de los equipos y han bloqueado todo el correo entrante y la navegación en sus redes para evitar infecciones".

Al parecer, el ataque no estaba dirigido específicamente a estas empresas, sino que ha sido "un ataque lanzado de forma masiva que afecta a equipos vulnerables de todo el mundo", si bien más tarde eliminaron esta afirmación de su comunicado.

De este modo, la cadena ha explicado que, siguiendo el protocolo establecido en ciberataques, la SER se ha visto "en la necesidad de desconectar todos sus sistemas informáticos operativos". Cuando un ordenador es infectado por uno de estos virus, el usuario únicamente ve un mensaje que en el que se solicita el pago de una cantidad determinada para volver a acceder a los archivos del equipo. Además, puede afectar a otros ordenadores conectados a la misma red.

En este momento, la emisión de la SER queda garantizada desde su sede central en Madrid, apoyada en equipos autónomos", ha asegurado la emisora. Asimismo, han explicado que sus técnicos "trabajan ya para la recuperación progresiva de la programación local de cada una de sus emisoras".

El DNS recomienda "desconectar de las redes aquellos equipos que no dispongan de las últimas actualizaciones para, de manera preventiva, evitar nuevas infecciones".