Con el inicio de un nuevo año escolar en el país para los colegios de calendario B, se destaca el creciente uso de la tecnología en la educación y la necesidad de promover hábitos digitales saludables en los hogares. En este sentido, un reciente estudio global realizado por Kaspersky, reveló que la mayoría de los padres muestran preocupación por el comportamiento digital de sus hijos y desean gestionarlo y supervisarlo de manera efectiva.

Sin embargo, a la hora de la verdad, las cifras demuestran lo contrario: menos de la mitad de los padres colombianos (48%) utiliza aplicaciones de control parental, mientras que el 56% comprueba regularmente el historial de Internet de los niños. Además, el 67% de los padres afirma que sus hijos utilizan los dispositivos digitales bajo la supervisión de uno de los padres o de un familiar.

Aunque recientemente se restringió el uso de dispositivos móviles en 27 colegios asociados a Uncoli en Bogotá, los niños y adolescentes continúan utilizando estos aparatos cuando llegan a casa, a menudo sin la supervisión parental adecuada, ya sea para realizar tareas o simplemente entretenerse. De igual forma, en otros departamentos del país no existe, por el momento, alguna restricción para el uso de dispositivos móviles en los planteles educativos. 

Dado que los padres son los principales responsables de regular el comportamiento de los niños y adolescentes en el espacio digital, según el 93% de los encuestados en Colombia, es crucial disponer de herramientas que faciliten funciones como monitorear, proteger y orientar a sus hijos sobre buenas prácticas de higiene digital.

“El avance de la tecnología ha facilitado el acceso a nuevas herramientas educativas, pero también es crucial que los padres puedan supervisar la actividad en línea de sus hijos para garantizar su seguridad. Los niños de hoy son digitalmente adeptos desde una edad temprana, con fácil acceso a dispositivos. Por lo tanto, es fundamental que los padres puedan asegurarse de la seguridad y protección de sus hijos en Internet mediante el uso de aplicaciones de control parental”, aseguró Carolina Mojica, gerente de producto para el consumidor para las regiones Norte y Sur de América Latina en Kaspersky.

Para que los padres de familia ayuden a sus hijos a tener un regreso a clases ciberseguro, Kaspersky aconseja: 

• Es importante hablar con sus hijos sobre posibles situaciones que pueden ocurrir mientras navegan en Internet, y usted mismo puede dar ejemplos. Mientras los niños utilizan sus dispositivos, es posible que carezcan de conocimientos sobre ciberhigiene y seguridad en línea.
• Si sus hijos son usuarios activos de redes sociales y comparten mucho contenido (teniendo en cuenta que muchas veces estas aplicaciones son los puentes de contacto para realizar tareas u ocupaciones escolares), es importante hablar con ellos sobre los riesgos de compartir en exceso y la importancia de proteger la privacidad de sus datos. Es fundamental revisar siempre las geoetiquetas de las fotos para asegurarse de que no revelen información confidencial, así como verificar los comentarios y las descripciones. Además, predicar con el ejemplo les enseñará cómo compartir de manera segura información con sus seguidores en línea mientras mantienen su privacidad.
• Es recomendable instalar una aplicación de control parental y explicarles a los hijos las razones de esta medida, de modo que puedan comprender su importancia. Tal es el caso de Kaspersky Safe Kids, una herramienta diseñada para que los padres protejan a sus hijos mientras navegan por Internet. Esta permite obtener información sobre la ubicación de los hijos las 24 horas del día, controlar la actividad digital y el tiempo que pasan frente a pantallas, además de recibir notificaciones sobre comportamientos preocupantes. 

Esta herramienta es clave para mejorar la experiencia de uso de niños y adolescentes al bloquear contenido peligroso y promover hábitos digitales positivos. Esto ayuda a equilibrar el tiempo en línea con actividades fuera de la pantalla, como tareas, hobbies y tiempo en familia.

La entrada Estudio revela que solo el 48% de los padres colombianos utiliza aplicaciones de control parental se publicó primero en Tecnogus.

IBM anunció la incorporación de capacidades de inteligencia artificial generativa a sus  servicios gestionados de detección y respuesta a amenazas,  utilizados por los analistas de IBM Consulting para mejorar y optimizar las operaciones de seguridad de los clientes. Basado en la plataforma de inteligencia artificial y datos watsonx de IBM, el nuevo Asistente de ciberseguridad de IBM Consulting está diseñado para acelerar y mejorar la identificación, la investigación y la respuesta a amenazas de seguridad críticas.

Además de estar incluido en la práctica de detección y respuesta a amenazas de IBM Consulting, el Asistente de Ciberseguridad será parte de IBM Consulting Advantage , la plataforma de servicios de IA con activos de IA diseñados específicamente para capacitar a los consultores de IBM para brindar valor a los clientes con consistencia, repetibilidad, calidad y velocidad.

«A medida que los incidentes cibernéticos evolucionan de crisis inmediatas a eventos multidimensionales y de meses de duración, los equipos de seguridad se enfrentan al desafío constante de demasiados ataques y no contar con el tiempo o el personal suficiente para defenderse de ellos», afirmó Mark Hughes , socio gerente global de servicios de ciberseguridad de IBM Consulting. «Al mejorar nuestros servicios de detección y respuesta a amenazas con IA generativa, podemos reducir las investigaciones manuales y las tareas operativas de los analistas de seguridad, lo que les permite responder de manera más proactiva y precisa a las amenazas críticas y ayudar a mejorar la postura de seguridad general de los clientes».

Los servicios de detección y respuesta ante amenazas (TDR) de IBM  pueden escalar o cerrar automáticamente hasta el 85 % de las alertas ¹ ; y ahora, al combinar las capacidades de IA y automatización existentes con las nuevas tecnologías de IA generativa, los analistas de seguridad globales de IBM pueden acelerar la investigación de las alertas restantes que requieren acción. En concreto, las nuevas capacidades ayudaron a reducir los tiempos de investigación de alertas en un 48 % para un cliente. El nuevo Cybersecurity Assistant ofrece lo siguiente:

Acelere las investigaciones y la solución de amenazas con el análisis de correlación histórica
El Cybersecurity Assistant está diseñado para ayudar a acelerar las investigaciones de amenazas complejas mediante el análisis de correlación histórica de amenazas similares. Integrada en los servicios TDR de IBM , la nueva capacidad correlaciona de forma cruzada las alertas y mejora los conocimientos de SIEM , red, EDR , vulnerabilidad y telemetría para proporcionar un enfoque de gestión de amenazas holístico e integrador.

Al analizar los patrones de actividad de amenazas históricas específicas de cada cliente, los analistas de seguridad estarán preparados para ser más proactivos y precisos. Para ayudarlos a comprender mejor las amenazas críticas, los analistas tendrán acceso a una vista cronológica de las secuencias de ataque, lo que los ayudará a comprender mejor el problema y brindar más contexto a las investigaciones. El asistente también recomendará acciones automáticamente en función de los patrones históricos de actividad analizada y los niveles de confianza preestablecidos, lo que acelerará los tiempos de respuesta para los clientes y ayudará a reducir el tiempo de permanencia de los atacantes. Con la capacidad de aprender continuamente de las investigaciones, se espera que la velocidad y la precisión del Asistente de ciberseguridad mejoren con el tiempo.

Tareas operativas optimizadas con un motor conversacional avanzado
El Cybersecurity Assistant incluye un motor conversacional de IA generativo que proporciona información en tiempo real y soporte sobre tareas operativas tanto a los clientes como a los analistas de seguridad de IBM. Además de responder a solicitudes como abrir o resumir tickets, la función conversacional puede activar automáticamente acciones relevantes, como ejecutar consultas, extraer registros, explicar comandos o enriquecer la inteligencia sobre amenazas. Al explicar eventos y comandos de seguridad complejos, el servicio TDR puede ayudar a reducir el ruido y aumentar la eficiencia general del SOC para los clientes.

«Con los avances de IBM en sus servicios de seguridad gestionados, las empresas pueden obtener un nuevo nivel de conocimiento sobre amenazas críticas y beneficiarse de una tecnología que aprende continuamente de las acciones que se toman dentro de su entorno específico. Esto ayuda a impulsar un ciclo de investigaciones de amenazas cada vez más precisas y rápidas, lo que es especialmente crucial hoy en día, cuando las empresas enfrentan una escasez de recursos de seguridad y un excedente de riesgos y vulnerabilidades de seguridad», afirmó Craig Robinson, vicepresidente de investigación de la Práctica de investigación de servicios de seguridad de IDC.

Desarrollado en colaboración con IBM Research, el nuevo IBM Consulting Cybersecurity Assistant aprovecha las capacidades de inteligencia artificial generativa más amplias de IBM, basadas en los modelos básicos Granite de la empresa, perfeccionadas para la producción dentro de IBM watsonx.ai y que aprovechan IBM watsonx Assistant para la interfaz de chat conversacional.

La entrada IBM presenta un nuevo asistente de ciberseguridad basado en inteligencia artificial generativa para servicios de detección y respuesta a amenazas se publicó primero en Tecnogus.

SonicWall, proveedor de protección de ciberseguridad para fuerzas de trabajo remotas, móviles y en la nube, ha anunciado que el equipo de investigación de amenazas de SonicWall Capture Labs ha identificado archivos PDF con códigos QR que están siendo explotados por ciberdelincuentes.

Cada año se crean más de 2,5 billones de archivos PDF, un formato creado en 1993 por Adobe System y que sigue siendo extremadamente popular. En 2023, el 98% de las empresas afirmaron que utilizarían este formato para compartir documentos internos y externos. Un estudio basado en búsquedas de Google indica que, en 2014, PDF era el formato más utilizado en el mundo, seguido de .DOC y .XLS, una evolución de este estándar es el creciente uso de los códigos QR en el universo PDF.

Además de los pagos y la retroalimentación, los códigos QR tienen una amplia gama de aplicaciones en diversas industrias, como el marketing, el comercio minorista, la educación, la salud, la hostelería, el transporte, el sector inmobiliario, los servicios públicos, el entretenimiento, las operaciones comerciales, el uso personal, etc.

Los creadores de programas maliciosos aprovechan esta popularidad. «Hemos notado que muchos archivos PDF provienen de correos electrónicos (fax) que contienen códigos QR que piden a los usuarios escanearlos con la cámara de su smartphone. Algunos dicen ser actualizaciones de seguridad, mientras que otros contienen enlaces de SharePoint para firmar documentos», explica Juan Alejandro Aguirre, director de Soluciones de Ingeniería de SonicWall Latinoamérica.

Archivos PDF maliciosos con código QR

Tras escanear el código QR, aparece una URL de phishing en la que el host, en este caso, es bing.com. «Se trata de una estrategia para evitar detecciones de seguridad», explica Aguirre. Desde ahí, el usuario es redirigido a la página de phishing creada por los delincuentes digitales.

“hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==”

El enlace de suplantación de identidad abre una página web muy similar a la página de inicio de sesión oficial de Microsoft.

Captura de pantalla de Fiddler mostrando la URL de phishing redireccionado a partir de bing.com.

El siguiente paso consiste en pedir a los usuarios que introduzcan las credenciales de su cuenta de Microsoft, como el ID de usuario y la contraseña. «El objetivo de los delincuentes es recopilar estas credenciales con fines maliciosos, como el acceso no autorizado al correo electrónico del usuario, información personal y datos corporativos sensibles», afirma Aguirre.

Página de phishing de Microsoft con el nombre de usuario rellenado previamente.

Escanear un código QR malicioso puede acarrear una amplia gama de consecuencias graves; en estos casos, se pide a los usuarios que escaneen el código con un smartphone.

Captura de pantalla de escaneado de un código QR en un smartphone.

La funcionalidad de escaneado de códigos QR en dispositivos móviles puede aprovecharse para llevar a cabo acciones sin el consentimiento explícito del usuario.

Esto incluye:

• Descarga e instalación automática de aplicaciones maliciosas.
• Suscripción de los usuarios a servicios de SMS de tarificación adicional, con los consiguientes gastos inesperados.
• Inicio de llamadas a números de tarificación adicional, con los consiguientes costos elevados.
• Robo de credenciales.
• Ataques de explotación.
• Compromiso de la red.
• Daños a la reputación.

Protección de SonicWall

«Gracias a la experiencia de nuestros técnicos de SonicWall Capture Labs, pudimos dar a conocer rápidamente no sólo el exploit creado por los delincuentes, sino también la solución a esta amenaza», afirma Aguirre. Para que los clientes de SonicWall estén preparados ante cualquier brecha que pueda producirse debido a este malware, están disponibles las siguientes firmas:

• MalAgent.A_1998 (Trojan)
• MalAgent.A_1999 (Trojan)

La entrada Los archivos PDF con código QR son el objetivo del malware  se publicó primero en Tecnogus.

Colombia enfrenta grandes desafíos en materia de ciberseguridad, así se evidenció en la última edición del 2024 Cyber Security Report de Check Point, en el cual el país se posiciona como el segundo más amenazado en términos digitales de Latinoamérica.

Bernardino Cortijo Fernández, director del Máster en Ciberdelincuencia de la española Universidad Nebrija, resalta que “desde la pandemia se ha notado un incremento en los ataques a las pymes hasta la actualidad, junto con los de usuarios individuales, debido a que sus datos suelen estar menos protegidos que los de las grandes empresas. Es por ello que los negocios de hostelería, administraciones, proveedores de servicios, empresas de alimentación, sanitarias y de gestión de activos, que manejan grandes cantidades de información, suelen ser las víctimas predilectas”.

En la era actual, proteger los datos de los clientes, proveedores y empleados se ha vuelto cada vez más relevante para las empresas, especialmente para las pymes, las cuales han sufrido aproximadamente 30 millones de intentos de ataques en 2023, algunos de los cuales logró bloquear Kaspersky, empresa de ciberseguridad.

Estos ataques suelen realizarse con el fin de robar datos de forma directa, que permiten la entrada a los sistemas y generan caídas en los servidores. Esto se logra a través de ataques de denegación de servicio, lo cual significa solicitar excesiva información desde muchos sitios para provocar la caída de los sistemas. Esto puede causar una inutilización de los equipos y sistemas de control de facturación para proveedores y clientes.

Para evitar ser víctima de un ataque cibernético, el Dr. Cortijo recomienda hacer un estudio de los riesgos que pueda experimentar la organización antes de que se produzcan y, a partir de ahí, estructurar un plan de respuesta. Cada empresa es diferente, por lo tanto, se deben diseñar tácticas que se acomoden a las debilidades y necesidades de su sistema.

Sin embargo, el Dr. Cortijo afirma que el plan no es una solución definitiva, es una manera de mitigar los daños. Por lo tanto, si una empresa sospecha que ha sido víctima de un ataque, se debe recurrir a un profesional experto en ciberseguridad o cibercrimen para que le proporcione las pautas de comportamiento y así minimizar el impacto.

Los datos son el tesoro de las empresas, es por eso que el proceso de ciberprotección de una compañía, sea grande o pequeña, no debe basarse solamente en obtener productos como licencias de software, sino en una metodología que permita reducir la probabilidad de que los ataques sean exitosos. Así mismo, se debe formar y concientizar a los empleados y clientes respecto a lo que pueden hacer para protegerse a sí mismos y a la organización.

La entrada Hostelería, alimentación, salud, administraciones y gestión de activos, víctimas predilectas de los ciberataques se publicó primero en Tecnogus.

Los investigadores de Kaspersky han identificado una nueva campaña de software espía que distribuye el malware Mandrake a través de Google Play bajo la apariencia de aplicaciones legítimas relacionadas con criptomonedas, astronomía y herramientas de utilidad. Los expertos de Kaspersky han descubierto cinco aplicaciones de Mandrake en Google Play, que estuvieron disponibles durante dos años, con más de 32,000 descargas. Las últimas muestras cuentan con técnicas avanzadas de ofuscación y evasión, lo que les permite pasar desapercibidos para los proveedores de seguridad.

Si bien estas aplicaciones maliciosas ya no están disponibles en Google Play, fueron comercializadas en una amplia gama de países y la mayoría de las descargas se realizaron en México, Perú, Canadá, Alemania, Italia, España y el Reino Unido.

Identificado por primera vez en 2020, el software espía Mandrake es una sofisticada plataforma de espionaje de Android que ha estado activa desde al menos 2016. En abril de 2024, los investigadores de Kaspersky descubrieron una muestra sospechosa que sugería una nueva versión de Mandrake con funcionalidad mejorada. Estas nuevas muestras presentan técnicas avanzadas de ofuscación y evasión, incluido el cambio de funciones maliciosas a bibliotecas nativas ofuscadas usando OLLVM, la implementación de fijación de certificados para una comunicación segura con servidores de comando y control (C2) y la realización de comprobaciones exhaustivas para detectar si Mandrake está funcionando en un dispositivo rooteado. o dentro de un entorno emulado.

La característica distintiva clave de la nueva variante de Mandrake es la adición de técnicas avanzadas de ofuscación diseñadas para eludir los controles de seguridad de Google Play y obstaculizar el análisis. Los expertos de la compañía identificaron cinco aplicaciones que contenían el software espía Mandrake, descargadas en conjunto más de 32,000 veces. Estas aplicaciones, todas publicadas en Google Play en 2022, estuvieron disponibles para descargar durante al menos un año. Se presentaron como una aplicación para compartir archivos a través de Wi-Fi, una aplicación de servicios de astronomía, un juego Amber para Genshin, una aplicación de criptomonedas y una aplicación con acertijos de lógica. En julio de 2024, ningún proveedor ha detectado ninguna de estas aplicaciones como malware, según VirusTotal.

Teniendo en cuenta las similitudes de la campaña actual y anterior con los dominios C2 registrados en Rusia, asumimos con gran confianza que el actor de la amenaza es el mismo que se indica en el  primer informe de detección de Bitdefender.

“Después de evadir la detección durante cuatro años en sus versiones iniciales, la última campaña de Mandrake permaneció sin ser detectada en Google Play durante dos años más. Esto demuestra las habilidades avanzadas de los actores de amenazas involucrados. También destaca una tendencia preocupante: a medida que las restricciones se endurecen y los controles de seguridad se vuelven más rigurosos, aumenta la sofisticación de las amenazas que penetran en las tiendas de aplicaciones oficiales, lo que las hace más difíciles de detectar”, comenta Tatyana Shishkova, investigadora principal de seguridad en el Equipo Global de Investigación y Análisis de Kaspersky.

Para mantenerse a salvo de amenazas como el software espía Mandrake, los expertos de Kaspersky recomiendan:

• Descarga aplicaciones únicamente desde tiendas oficiales: evita las tiendas de aplicaciones de terceros, ya que el riesgo de que alberguen apps maliciosas o comprometidas es mayor. Ten en cuenta que incluso las plataformas oficiales pueden alojar aplicaciones maliciosas. Siempre verifica las reseñas y calificaciones antes de descargar.
• Utiliza un software de seguridad confiable: instala y mantén un software antivirus y antimalware confiable en tus dispositivos. Escanea periódicamente tus equipos en busca de posibles amenazas y actualiza tu software de seguridad de forma regular. 
• Infórmate sobre las estafas comunes: mantente informado sobre las últimas amenazas, técnicas y tácticas cibernéticas. Ten cuidado con ofertas sospechosas, descargas no solicitadas o demandas urgentes de información personal o financiera.
• El software de terceros de fuentes populares a menudo no tiene garantía: Ten en cuenta que dichas aplicaciones pueden contener implantes maliciosos, por ejemplo, debido a ataques de la cadena de suministro.

La entrada Kaspersky descubre una nueva campaña del spyware Mandrake en Google Play se publicó primero en Tecnogus.

Los Juegos Olímpicos de París 2024 están marcando un hito en la historia de los eventos deportivos al integrar la inteligencia artificial (IA) en sus sistemas de seguridad. Esta tecnología de vanguardia ayuda a detectar patrones de comportamiento inusuales, identificar objetos sospechosos y predecir amenazas potenciales con una precisión nunca antes vista.

Desde la vigilancia en tiempo real de grandes multitudes hasta la protección de infraestructuras críticas, la inteligencia artificial actúa como un escudo invisible, garantizando la seguridad de atletas, espectadores y personal durante todo el evento. Por su parte, los sistemas de videovigilancia que emplean IA se utilizan en diversos escenarios como en los perímetros de los estadios, parques olímpicos y centros de transporte, los cuales están bajo constante monitoreo para identificar las actividades inusuales y prevenir amenazas.

Las áreas públicas, zonas peatonales, atracciones turísticas y de transporte público, están vigiladas para garantizar la seguridad de todos los asistentes. Además,los centros de comando y control encargados de monitorear las transmisiones de las cámaras y coordinar las respuestas a incidentes, están equipados con tecnología de IA para asegurar una toma de decisiones rápida y precisa.

Simbad Ceballos, CEO de OlimpIA, empresa de tecnología líder en inteligencia artificial señala que: “La IA se está consolidando como una herramienta indispensable para reforzar la ciberseguridad,gracias a sus capacidades de detección y prevención que superan ampliamente a los métodos tradicionales. Su implementación en la videovigilancia durante los Juegos Olímpicos estará respaldada por grandes bases de datos que facilitan el reconocimiento de personas mediante algoritmos, con el fin de fortalecer la seguridad durante el evento”.  

La implementación de la IA en estas justas deportivas ofrece múltiples ventajas, entre ellas se destaca la presencia visible de cámaras equipadas con IA para disuadir a los delincuentes de cometer actos en contra de la ley. De igual manera, la protección integral de activos se logra gracias a que la IA puede utilizarse para monitorear áreas restringidas y cuidar la infraestructura crítica de posibles sabotajes.

“A través de una investigación eficiente de incidentes es posible identificar a los responsables y reconstruir eventos con mayor precisión,pues las imágenes captadas por las cámaras pueden ser analizadas por IA. La detección temprana de amenazas identifica comportamientos sospechosos en tiempo real, facilitando una respuesta inmediata de los sistemas de seguridad”, subrayó Ceballos.

Los Juegos Olímpicos de París 2024 es un evento que marca la historia debido a la implementación de la inteligencia artificial, una tecnología con el potencial de transformar la ciberseguridad de grandes eventos, haciéndolos más seguros y eficientes para los involucrados.

“Con la capacidad para detectar y prevenir amenazas en tiempo real, la IA no solo mejora la seguridad, sino que también incrementa la confianza de los asistentes y participantes en la integridad de los Juegos Olímpicos”, concluyó el CEO de OlimpIA.

La entrada La Inteligencia Artificial revoluciona la seguridad de los Juegos Olímpicos de París 2024 se publicó primero en Tecnogus.

IBM publicó su informe anual  Cost of a Data Breach Report,  que revela que el costo promedio global de una filtración de datos alcanzó los 4,88 millones de dólares en 2024, a medida que las filtraciones se vuelven más disruptivas y amplían aún más las demandas de los equipos cibernéticos. Los costos de las filtraciones aumentaron un 10 % con respecto al año anterior, el mayor salto anual desde la pandemia, ya que el 70 % de las organizaciones afectadas informaron que la filtración causó una interrupción significativa o muy significativa.

La pérdida de negocios y los costos de respuesta de clientes y terceros posteriores a la filtración impulsaron el aumento de costos interanual, ya que el daño colateral de las filtraciones de datos solo se ha intensificado. Los efectos disruptivos que las filtraciones de datos están teniendo en las empresas no solo están aumentando los costos, sino que también están extendiendo el efecto posterior de una filtración, y la recuperación demora más de 100 días para la mayoría del pequeño número (12 %) de organizaciones filtradas que pudieron recuperarse por completo.

El informe Cost of a Data Breach Report de 2024 se basa en un análisis profundo de las violaciones de datos del mundo real que experimentaron 604 organizaciones a nivel mundial entre marzo de 2023 y febrero de 2024. La investigación, realizada por Ponemon Institute, y patrocinada y analizada por IBM, se ha publicado durante 19 años consecutivos y ha estudiado las violaciones de más de 6.000 organizaciones, convirtiéndose en un referente del sector.  

Algunas de las conclusiones clave del informe de IBM de 2024 incluyen:

• Equipos de seguridad con escasez de personal: más organizaciones enfrentaron una grave escasez de personal en comparación con el año anterior (un aumento del 26 %) y observaron un promedio de $1,76 millones en costos de infracciones más altos que aquellas con problemas de personal de seguridad de bajo nivel o sin ellos.
• La prevención basada en IA da sus frutos: dos de cada tres organizaciones estudiadas están implementando inteligencia artificial y automatización de seguridad en todo su centro de operaciones de seguridad (SOC). Cuando estas tecnologías se utilizaron ampliamente en los flujos de trabajo de prevención, las organizaciones incurrieron en un promedio de $2,2 millones menos en costos por infracciones, en comparación con aquellas que no las usaban: el mayor ahorro de costos revelado en el informe de 2024.
• Brechas de visibilidad de los datos: el cuarenta por ciento de las infracciones afectaron a datos almacenados en varios entornos, como la nube pública, la nube privada y las instalaciones locales. Estas infracciones costaron más de 5 millones de dólares en promedio y fueron las que tardaron más en identificarse y contenerse (283 días).

«Las empresas se encuentran atrapadas en un ciclo continuo de violaciones, contención y respuesta a las consecuencias. Este ciclo ahora incluye a menudo inversiones en el fortalecimiento de las defensas de seguridad y la transferencia de los gastos de las violaciones a los consumidores, lo que convierte a la seguridad en el nuevo costo de hacer negocios», dijo Kevin Skapinetz , vicepresidente de Estrategia y Diseño de Productos de IBM Security. «A medida que la IA generativa se infiltra rápidamente en las empresas, expandiendo la superficie de ataque, estos gastos pronto se volverán insostenibles, lo que obligará a las empresas a reevaluar las medidas de seguridad y las estrategias de respuesta. Para avanzar, las empresas deben invertir en nuevas defensas impulsadas por la IA y desarrollar las habilidades necesarias para abordar los riesgos y las oportunidades emergentes que presenta la IA generativa».

La escasez de personal de seguridad elevó los costos de las infracciones

Más de la mitad de las organizaciones estudiadas tuvieron escasez de personal grave o de alto nivel el año pasado y experimentaron costos de infracciones significativamente más altos como resultado ( 5,74 millones de dólares para niveles altos frente a 3,98 millones de dólares para niveles bajos o ninguno). Esto ocurre en un momento en el que las organizaciones se apresuran a adoptar tecnologías de IA generativa (gen AI), que se espera que introduzcan nuevos riesgos para los equipos de seguridad. De hecho, según un estudio del IBM Institute for Business Value , el 51% de los líderes empresariales encuestados estaban preocupados por los riesgos impredecibles y las nuevas vulnerabilidades de seguridad que surgen, y el 47% estaban preocupados por los nuevos ataques dirigidos a la IA.

Los crecientes desafíos de dotación de personal podrían verse pronto aliviados, ya que más organizaciones declararon que planean aumentar los presupuestos de seguridad en comparación con el año pasado (63 % frente al 51 %), y la capacitación de los empleados surgió como una de las principales áreas de inversión planificadas. Las organizaciones también planean invertir en planificación y prueba de respuesta a incidentes, tecnologías de detección y respuesta a amenazas (por ejemplo, SIEM, SOAR y EDR), gestión de identidades y accesos y herramientas de protección de seguridad de datos.  

Hackear el reloj con IA

El informe encontró que el 67% de las organizaciones implementaron IA y automatización de seguridad, un salto de casi el 10% respecto del año anterior, y el 20% afirmó que utilizaba algún tipo de herramientas de seguridad de IA de última generación. Las organizaciones que emplearon IA y automatización de seguridad detectaron y contuvieron un incidente, en promedio, 98 días más rápido que las organizaciones que no usaban estas tecnologías. Al mismo tiempo, el ciclo de vida promedio global de la filtración de datos alcanzó un mínimo de 7 años de 258 días, por debajo de los 277 días del año anterior y revelando que estas tecnologías pueden estar ayudando a recuperar tiempo del lado de los defensores al mejorar las actividades de mitigación y remediación de amenazas.

Los ciclos de vida más cortos de las infracciones también se pueden atribuir al aumento de la detección interna: el 42 % de las infracciones fueron detectadas por el propio equipo de seguridad o las herramientas de la organización, en comparación con el 33 % del año anterior. La detección interna acortó el ciclo de vida de las infracciones de datos en 61 días y les ahorró a las organizaciones casi un millón de dólares en costos de infracciones en comparación con los que reveló un atacante.

Las inseguridades de los datos alimentan el robo de propiedad intelectual

Según el informe de 2024, el 40 % de las infracciones involucraron datos almacenados en múltiples entornos y más de un tercio de las infracciones involucraron datos ocultos (datos almacenados en fuentes de datos no administradas), lo que resalta el creciente desafío del seguimiento y la protección de los datos.

Estas brechas en la visibilidad de los datos contribuyeron al marcado aumento (27 %) del robo de propiedad intelectual (PI). Los costos asociados con estos registros robados también aumentaron casi un 11 % con respecto al año anterior, hasta los 173 dólares por registro. La PI puede volverse aún más accesible a medida que las iniciativas de inteligencia artificial general saquen a la luz estos datos y otros datos altamente confidenciales. A medida que los datos críticos se vuelven más dinámicos y activos en todos los entornos, las empresas deberán reevaluar la seguridad y los controles de acceso que los rodean.

Otros hallazgos clave del Informe sobre el costo de una violación de datos de 2024 incluyen:

• Las credenciales robadas encabezaron los vectores de ataque iniciales : con un 16 %, las credenciales robadas o comprometidas fueron el vector de ataque inicial más común. Estas infracciones también fueron las que tardaron más en identificarse y contenerse, casi 10 meses.
• Se pagan menos rescates cuando intervienen las fuerzas del orden: al recurrir a las fuerzas del orden, las víctimas de ransomware ahorraron en promedio casi un millón de dólares en costos de vulneración en comparación con quienes no lo hicieron; ese ahorro excluye el pago del rescate para quienes sí lo hicieron. La mayoría de las víctimas de ransomware (63 %) que recurrieron a las fuerzas del orden también pudieron evitar pagar un rescate.
• Las organizaciones de infraestructura crítica son las que registran los mayores costos por infracciones : las organizaciones de atención médica, servicios financieros, industria, tecnología y energía incurrieron en los costos por infracciones más altos en todas las industrias. Por decimocuarto ^año consecutivo, los participantes del sector de atención médica sufrieron las infracciones más costosas en todas las industrias, con costos promedio por infracciones que alcanzaron los $9,77 millones .
• Los costos de la violación se trasladan a los consumidores: el sesenta y tres por ciento de las organizaciones afirmaron que aumentarían el costo de los bienes o servicios debido a la violación este año, un ligero aumento respecto del año pasado (57%). Esto marca el tercer año consecutivo en que la mayoría de las organizaciones estudiadas afirmaron que tomarían esta medida.

La entrada La creciente perturbación causada por la filtración de datos eleva los costos a nuevos máximos se publicó primero en Tecnogus.

¿Cómo impacta un error humano en una organización?  La respuesta:  Es invaluable. Se entiende por error humano las acciones involuntarias -o la falta de acción-  de los empleados y usuarios que provocan,  propagan o permiten que se produzca una violación de la seguridad. Un  error humano puede hacer jaque mate en las operaciones de las organizaciones y así afectar a empleados,  clientes y proveedores.

Ante cualquier descuido intencional o no, nos lleva a destacar la importancia de contar con personal altamente capacitado y experto, que en materia de ciberseguridad o seguridad de la Información, sigue siendo preocupante. Como se sabe, existe una brecha de cuatro millones de profesionales para cubrir la creciente brecha de la fuerza laboral en ciberseguridad, de este número 1,3 millones corresponden a América Latina y el Caribe.

Al respecto, Oswaldo Palacios, Latam Senior Account Executive de Akamai, destacó que el aumento exponencial de amenazas cibernéticas ha creado una demanda sin precedentes de profesionales en ciberseguridad a nivel mundial. “Los ataques cada vez más sofisticados y la rápida evolución del panorama digital han generado una urgente necesidad de expertos capaces de enfrentar estas amenazas de manera proactiva y eficiente. De hecho, la ciberdelincuencia aprovecha cualquier situación para establecer campañas de phishing y lanzar ataques de ingeniería social. Tanto el responsable de seguridad como su equipo deben de estar preparados para contener cualquier amenaza”.

El directivo agregó que organizaciones de todo el mundo están lidiando con la búsqueda constante de profesionales altamente calificados en este campo, y América Latina se posiciona como una región prometedora para abordar esta brecha. Incluso, las empresas que brindan servicios especializados en TI buscan perfiles enfocados en el desarrollo de software, análisis de datos y ciberseguridad, los cuales pueden representar hasta un 80% de sus puestos laborales. 

La asociación para profesionales de la ciberseguridad ISC2 ha detectado una tendencia creciente de recién llegados a la profesión de ciberseguridad a edades más avanzadas que las que hemos visto anteriormente, ya que el 48% de los nuevos participantes se incorporan a la profesión a los 39 años o más. Esto demuestra el aumento de personas que cambian de carrera y entran en el campo. De acuerdo con un estudio de ISC2, en 2023 descubrió que el 39% de los profesionales nuevos en ciberseguridad (un año o menos) provenían de un puesto no relacionado con TI.

Oswaldo Palacios destacó que  la evolución constante de las amenazas cibernéticas, junto con el desarrollo de nuevas tecnologías, exige contar con profesionales capaces de adaptarse y anticiparse a las tácticas cambiantes de los actores maliciosos. Este desafío global ha llevado a las empresas a reevaluar sus estrategias de adquisición de talento y a explorar diversas fuentes para satisfacer sus necesidades.

De acuerdo con información de Hireline.io,  portal de empleos de tecnología en LATAM, los perfiles más demandados en ciberseguridad en la actualidad son: Chief Infiormation Security Officer (CISO) o Gerente de Seguridad de la Información, Arquitecto de Seguridad, Ingeniero de Ciberseguridad, Pentester y Especialista Forense Digital. Por otra parte, los sectores más afectados por dicha escasez de profesionales son el público, telecomunicaciones, medios de comunicación, comercio y salud.

De acuerdo con un estudio de la consultora KPMG, el principal elemento de mejora en las organizaciones es la capacitación a los usuarios y el personal responsable de la ciberseguridad, por lo que se debe pensar en formas innovadoras de sensibilización, ya que los riesgos se multiplican debido al incremento significativo en las actividades remotas.

Por último, Oswaldo Palacios opinó que minimizar el impacto de los errores humanos, aunado a una mejor capacitación, no solo protegerá los activos y datos sensibles, sino también fortalecerán las operaciones y funcionamiento de las organizaciones, colaboradores, proveedores y clientes. “Las amenazas a la ciberseguridad ponen en riesgo el crecimiento empresarial, por lo que  es importante crear una estrategia que contemple invertir en cursos de ciberseguridad para el personal, así como el empleo de soluciones tecnológicas  que aminoren la carga de trabajo del equipo de seguridad y ayuden a  reducir los errores humanos”, concluyó el especialista. 

La entrada Falta de profesionales en ciberseguridad afecta en la operación de las empresas en LATAM se publicó primero en Tecnogus.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, publica su Índice Global de Amenazas del mes de junio de 2024. El mes pasado, los investigadores han observado un cambio en el panorama del Ransomware-as-a-Service (RaaS), con el relativamente recién llegado RansomHub que ha desbancado a LockBit3 para convertirse en el grupo más prevalente. Mientras tanto, se ha identificado una puerta trasera de Windows apodada BadSpace, que implica sitios web de WordPress infectados y falsas actualizaciones del navegador.

El mes pasado, RansomHub fue el grupo RaaS más prevalente después de que la acción de las fuerzas de seguridad contra LockBit3 en febrero le hiciera perder lealtad entre sus afiliados. Como resultado, LockBit3 ha informado de un mínimo histórico de sólo 27 víctimas en abril, seguido de una cifra inexplicablemente alta en mayo de más de 170, y menos de 20 en junio, lo que indica su posible declive.

Muchos afiliados a LockBit3 utilizan ahora cifradores de otros grupos RaaS, lo que ha provocado un aumento de las denuncias de víctimas por parte de otros ciberdelincuentes. RansomHub, que apareció por primera vez en febrero de 2024 y, según se informa, es una reencarnación del ransomware Knight, ha experimentado un aumento significativo en junio, con casi 80 nuevas víctimas. Sólo el 25% de sus víctimas publicadas procede de EE.UU., con un número significativo de Brasil, Italia, España y Reino Unido.

Por otra parte, los investigadores han destacado una reciente campaña de FakeUpdates (también conocida como SocGholish), que se ha situado como el malware más prevalente, y que ahora ofrece un nuevo backdoor llamado BadSpace. La proliferación de FakeUpdates se ha facilitado a través de una red de afiliados de terceros, que redirige el tráfico de los sitios web comprometidos a las páginas de destino de FakeUpdates. Estas invitan a los usuarios a descargar lo que parece ser una actualización del navegador. Sin embargo, contiene en realidad un cargador basado en JScript que posteriormente descarga y ejecuta la puerta trasera de BadSpace. BadSpace emplea sofisticadas técnicas de ofuscación y antisandbox para evitar su detección y mantiene su persistencia mediante tareas programadas. Su comunicación de mando y control está cifrada, lo que dificulta su interceptación.

“Parece que las acciones contra LockBit3 han tenido el impacto deseado. Sin embargo, como se sugirió anteriormente, su declive sólo abre paso a otros grupos para tomar el control y continuar sus campañas de ransomware contra organizaciones a nivel mundial”, afirma Maya Horowitz, VP de Investigación de Check Point Software.

Principales familias de malware

*Las flechas se refieren al cambio de rango en comparación con el mes anterior.

FakeUpdates fue el malware más prevalente este mes, con un impacto del 7% en organizaciones de todo el mundo, seguido de Androxgh0st, con un impacto global del 6%, y AgentTesla, con un impacto global del 3%.

Los tres malware más buscados en Colombia en junio

*Las flechas indican el cambio en el ranking en comparación con el mes anterior.

1. Remcos – Remcos es un RAT que apareció primero en estado salvaje en 2016. Este malware se distribuye a través de documentos de Microsoft Office maliciosos que están adjuntos en emails de SPAM, y está diseñado para eludir la seguridad del UAC (Control de Cuentas de Usuario) de Microsoft y ejecutar malware con altos privilegios. Este RAT impactó en junio en un 11.64% a las empresas en Colombia y en 1.90% a las empresas en el mundo.
2. FakeUpdates. Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en junio al 10.75% de las empresas en Colombia y en 7.03% a las compañías en el mundo.
3. ↑ AsyncRat – AsyncRat es un troyano dirigido a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, finalizar procesos, desinstalarse/actualizarse y capturar capturas de pantalla del sistema infectado. Ha impactado en junio el 6.57% de las empresas en Colombia y en el mundo al 1.55%.

Vulnerabilidades más explotadas

1. ↑ VPN Information Disclosure (CVE-2024-24919) – se descubrió una vulnerabilidad de revelación de información en Check Point VPN. Esta permite potencialmente a un atacante leer cierta información en Gateways conectados a Internet con VPN de acceso remoto o acceso móvil habilitado.
2. Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260): existe una vulnerabilidad de traspaso de directorios en diferentes servidores web. Esta se debe a un error de validación de entrada en un servidor web que no sanea correctamente el URI para los patrones de directory traversal. Una explotación exitosa permite a atacantes remotos no autenticados divulgar o acceder a archivos arbitrarios en el servidor vulnerable.
3. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – las cabeceras HTTP permiten al cliente y al servidor pasar información adicional con una petición HTTP. Un atacante remoto puede utilizar una cabecera HTTP vulnerable para ejecutar código arbitrario en la máquina víctima.

Principales programas maliciosos para móviles

El mes pasado, Joker ocupó el primer puesto como malware para móviles más extendido, seguido de Anubis y AhMyth.

1. ↑ Joker – Un spyware Android en Google Play, diseñado para robar mensajes SMS, listas de contactos e información del dispositivo. Además, el malware registra a la víctima en silencio para servicios premium en páginas web de publicidad.
2. ↓ Anubis – Malware troyano bancario diseñado para teléfonos móviles Android. Desde que se detectó ha ido sumando funciones adicionales como capacidades de troyano de acceso remoto (RAT), keylogger, grabación de audio y varias características de ransomware. Se ha detectado en cientos de aplicaciones diferentes disponibles en Google Store.
3. ↓ AhMyth – Es un troyano de acceso remoto (RAT) descubierto en 2017. Se distribuye a través de aplicaciones de Android que se pueden encontrar en tiendas de aplicaciones y varios sitios web. Cuando un usuario instala una de estas apps infectadas, el malware puede recopilar información sensible del dispositivo y realizar acciones como keylogging, tomar capturas de pantalla, enviar mensajes SMS y activar la cámara, que suele utilizarse para robar información sensible.

Los sectores más atacados a escala mundial

El mes pasado, Educación/Investigación se mantuvo en el primer puesto de los sectores más atacados a escala mundial, seguido de Gobierno/Militar y Sanidad.

1. Educación/Investigación.
2. Gobierno/Militar.
3. Sanidad.

Principales grupos de ransomware

Los datos se basan en los «shame sites» de grupos de ransomware de doble extorsión que publicaron información sobre las víctimas. RansomHub fue el grupo de ransomware más prevalente el mes pasado, responsable del 21% de los ataques publicados, seguido de Play con un 8% y Akira con un 5%.

1. RansomHub – Es una operación de ransomware como servicio (RaaS) que surgió como una versión renovada del anteriormente conocido ransomware Knight. RansomHub, que apareció a principios de 2024 en foros clandestinos de ciberdelincuencia, ha ganado notoriedad rápidamente por sus agresivas campañas dirigidas a varios sistemas, como Windows, macOS, Linux y, en particular, entornos VMware ESXi. Este malware es conocido por emplear sofisticados métodos de cifrado.
2. Play – Play Ransomware, también conocido como PlayCrypt – Ransomware que apareció por primera vez en junio de 2022. Se ha dirigido a un amplio espectro de empresas e infraestructuras críticas en Norteamérica, Sudamérica y Europa, afectando a aproximadamente 300 entidades en octubre de 2023. El ransomware Play suele obtener acceso a las redes a través de cuentas válidas comprometidas o aprovechando vulnerabilidades no parcheadas, como las de las VPN SSL de Fortinet. Una vez dentro, emplea técnicas como el uso de binarios vivientes (LOLBins) para tareas como la exfiltración de datos y el robo de credenciales.
3. Akira – Se dio a conocer por primera vez a principios de 2023, se dirige tanto a sistemas Windows como Linux. Utiliza cifrado simétrico con CryptGenRandom y Chacha 2008 para cifrar archivos y es similar al ransomware Conti v2 filtrado. Akira se distribuye a través de varios medios, incluidos adjuntos de correo electrónico infectados y exploits en endpoints VPN. Una vez infectado, cifra los datos y añade la extensión «.akira» a los nombres de los archivos, tras lo cual presenta una nota de rescate exigiendo el pago del descifrado.

La entrada RansomHub ocupa el primer puesto global como grupo de ransomware más prevalente en junio se publicó primero en Tecnogus.

Uno de los principales desafíos que enfrentan las empresas en la actualidad, es contar con procesos de respuesta definidos al momento de tener un ciberataque o falla en el acceso a sus datos. Por esta razón, SONDA, multinacional chilena líder en soluciones tecnológicas, explica la importancia de los tiempos de respuesta y las medidas que las empresas deben tomar para minimizar este tiempo crítico.

1. La velocidad de la recuperación

El tiempo de recuperación tras un ataque puede ser la diferencia entre la continuidad operativa y una crisis devastadora. “El impacto que tiene una falla de ciberseguridad está estrechamente relacionado con el tiempo de respuesta ante un incidente”, explica Gerardo González, Gerente de Ciberseguridad para la región andina de SONDA.

Según Gartner, para 2026, las organizaciones que inviertan el 20% de sus fondos de seguridad en programas de resiliencia cibernética y diseño flexible reducirán a la mitad el tiempo total de recuperación tras un ataque de gran envergadura.^[1]

2. Soluciones que garanticen respuestas rápidas

Según González, “el uso de la IA generativa y automatizaciones en las respuestas pueden ser determinantes al momento de responder a un incidente de ciberseguridad. Cada vez más los atacantes utilizan procesos automatizados con IA por lo que la respuesta también debe apoyarse en este tipo de herramientas.”

El uso de SOAR (Security Orchestration Automation and Response) en los centros de operaciones de seguridad (SOC) permite respuestas más rápidas y eficientes, aunque se requiere un nivel de madurez alto para ser completamente efectivos.

3. Pruebas de seguridad

Las actualizaciones de software deben ser una práctica permanente, “para evitar fallas que impacten la operación, hay que hacer pruebas controladas. Los despliegues de actualizaciones deben realizarse después de asegurar que haya estabilidad y no afecten el normal funcionamiento del software.” sostiene Gerardo.

Para prepararse ante ataques de ciberseguridad existen prácticas como el análisis de vulnerabilidades, el hacking ético y el pentesting, que buscan anticiparse a vulneraciones que puedan darse debido a exposiciones de la infraestructura tecnológica.

El equipo de respuesta a incidentes debe estar preparado, con procesos claros, capacidades humanas y especialmente herramientas adecuadas. Esto determinará el tiempo de respuesta.

La entrada Tres aspectos clave para responder a tiempo en una falla de ciberseguridad se publicó primero en Tecnogus.