\u00bfQu\u00e9 hizo cuando se enfrent\u00f3 a una filtraci\u00f3n de datos cr\u00edticos?<\/p><\/blockquote>\n
Daniel Ruf<\/a>, Desarrollador y Consultor de Seguridad<\/strong><\/h2>\nLas respuestas iniciales son esenciales para contener una filtraci\u00f3n de datos. Daniel Ruf fue contratado para trabajar para un propietario an\u00f3nimo de un proyecto. Ruf describi\u00f3<\/a> lo primero que sucedi\u00f3 que condujo al descubrimiento de una filtraci\u00f3n de datos. Sus acciones r\u00e1pidas y cuidadosas son un gran ejemplo de c\u00f3mo manejar una \u00a0vulnerabilidad.<\/p>\n\u201cUna noche, mediante una alerta de monitoreo del sistema, me di cuenta de que el CPU estaba siendo utilizado al 99 por ciento en nuestro servidor ra\u00edz, lo cual caus\u00f3 un impacto en la disponibilidad de otros sitios web que utilizan el mismo servidor. Inform\u00e9 al propietario del proyecto del sitio web pirateado y despu\u00e9s comenc\u00e9 mi primer an\u00e1lisis. Posteriormente, inclu\u00ed en la lista negra la direcci\u00f3n IP del atacante, bloque\u00e9 su acceso al sistema y despu\u00e9s elimin\u00e9 los procesos sospechosos. Archiv\u00e9 tantos archivos como pude del servidor web del propietario del proyecto para analizarlos posteriormente y llev\u00e9 a cabo una verificaci\u00f3n de integridad del sistema, luego inform\u00e9 al propietario del proyecto.<\/p>\n
\u201c\u00bfEl culpable? Una instancia de CMS pirateada. No me informaron sobre la creaci\u00f3n de esta instancia que despu\u00e9s utiliz\u00f3 diferentes webshells para iniciar los ataques, incluida la miner\u00eda maliciosa de criptomonedas<\/a> (criptominer\u00eda ilegal), la cual agot\u00f3 todos nuestros recursos inform\u00e1ticos disponibles\u201d.<\/p>\nLos principales factores que condujeron a la vulneraci\u00f3n fueron el uso de contrase\u00f1as d\u00e9biles y reutilizadas, y la falta general de medidas de seguridad s\u00f3lidas. \u00a1No dejen que esto les pase a ustedes!<\/p>\n
Teagan M<\/a>, profesional de seguridad, fundador de Green Duck Consulting, LLC<\/strong><\/h2>\nTeagan describi\u00f3 la filtraci\u00f3n de datos que debi\u00f3 enfrentar. Esta es una forma com\u00fan en que las personas pueden comprometer sus datos en el trabajo. Las empresas m\u00e1s peque\u00f1as y las nuevas empresas deben tener cuidado de ser m\u00e1s exhaustivas sobre su seguridad y darse cuenta de que no se trata solo de un problema que se puede resolver simplemente con ayuda de la tecnolog\u00eda.<\/p>\n
\u201cUna fuente autorizada tuvo acceso a un entorno de correo electr\u00f3nico no autorizado y esto ocurri\u00f3, la primera vez, durante cuatro semanas. Esta empresa era muy desorganizada y trataba la seguridad como un problema de cumplimiento normativo en vez de como una funci\u00f3n empresarial necesaria.<\/p>\n
\u201cLas credenciales de la cuenta de usuario probablemente fueron capturadas por un ataque de phishing, y los atacantes establecieron una regla de reenv\u00edo de correo electr\u00f3nico para enviar todos los correos electr\u00f3nicos a una cuenta Gmail controlada por el atacante. La segunda vez que sucedi\u00f3 fue igual, pero los atrap\u00e9 mucho antes. Fue despu\u00e9s del segundo incidente cuando la empresa finalmente sigui\u00f3 mi recomendaci\u00f3n de implementar 2FA (autenticaci\u00f3n de dos factores). Esto evento ocasion\u00f3 una exposici\u00f3n que hizo necesario que la empresa tuviera que notificar acerca del incidente, de acuerdo con las leyes estatales de privacidad de datos.<\/p>\n
\u201cEsta era una peque\u00f1a empresa que estaba creciendo r\u00e1pidamente. Carec\u00edan de liderazgo donde lo necesitaban y tampoco quer\u00edan invertir en los especialistas en seguridad que necesitaban. Contrataron y despidieron a una sucesi\u00f3n de analistas de seguridad debido a un nivel gerencial d\u00e9bil e inexperto en el \u00e1rea de seguridad, y a un deseo de solo cumplir con los requisitos de las auditor\u00edas, en vez de garantizar la protecci\u00f3n de la empresa.<\/p>\n
\u201cConsideraron que la seguridad era un problema tecnol\u00f3gico y siguieron comprando servicios y equipos sin tener un plan claro sobre c\u00f3mo integrarlos o administrarlos. Tomaron su estrategia de los representantes de ventas en vez de planificar adecuadamente su propio camino.<\/p>\n
\u201cTrabaj\u00e9 estrechamente con el nivel gerencial para tratar de mejorar su programa y todo el tiempo me enfrentaba a resistencias. Aseguraban priorizar la seguridad, pero no permit\u00edan las acciones ni brindaban el empoderamiento necesario. Las cosas comenzaron a cambiar un poco hacia el final de mi estancia all\u00ed, pero para ese momento me sent\u00eda agotado y necesitaba irme para preservar mi propio estado mental\u201d.<\/p>\n
Esta ingenuidad a la que Teagan se enfrent\u00f3 es una de las razones por las que las vulneraciones de los datos son tan alarmantemente frecuentes.<\/p>\n
\u201cBM<\/a>\u201c, ex analista de Infosec<\/strong><\/h2>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2020\/05\/07080815\/024_security_bytes_data_breaches__inline-1024x768-1.jpg\")
\nEs importante recordar que las grandes empresas tambi\u00e9n necesitan mejorar la seguridad de sus datos. BM comparte con nosotros una lecci\u00f3n \u00fatil para ayudar a cualquier persona a proteger sus datos en cualquier \u00e1rea.<\/p>\n
\u201cBM\u201d trabaj\u00f3 anteriormente como analista, ingeniero de seguridad y m\u00e1s tarde como consultor, para varias empresas. Ha efectuado an\u00e1lisis forenses de datos post vulneraci\u00f3n, respuesta a incidentes y clasificaci\u00f3n de incidentes. \u201cBM\u201d describi\u00f3 una vulnerabilidad con la que debi\u00f3 lidiar.<\/p>\n
\u201cCuando era asesor, me enviaron a una compa\u00f1\u00eda del listado Fortune 500 para un evento de respuesta a incidente. Su sistema estaba totalmente comprometido y el atacante amenazaba al CEO de la empresa con exponer la vulneraci\u00f3n. Tomamos un vuelo de inmediato.<\/p>\n
\u201cDurante toda una semana, mi gerente y yo revisamos los registros de seguridad y desarrollamos un plan de correcci\u00f3n para la empresa. Aunque la empresa era muy valiosa, contaba con un personal de TI relativamente peque\u00f1o. Gran parte de nuestro trabajo consisti\u00f3 en informar al equipo sobre lo que sucedi\u00f3 exactamente, revisar sus registros y trabajar junto con ellos para actualizar su infraestructura. Por ejemplo, usaban versiones obsoletas de Windows en toda su red.<\/p>\n
\u201cAfortunadamente, se determin\u00f3 que fue un incidente menor. Se trataba m\u00e1s bien de un hacker novato que utilizaba software descargado de Internet para explotar versiones desactualizadas de Windows. Esto se convirti\u00f3 en una semana completa de m\u00e1s de veinte horas de trabajo y numerosas conversaciones para determinar qu\u00e9 podr\u00eda haberse hecho mejor\u201d.<\/p>\n
\u00bfM\u00e1s de veinte horas de trabajo al d\u00eda? \u00a1Eso es rid\u00edculo! Es importante formar a todos los empleados en conocimientos sobre seguridad<\/a>. Y tambi\u00e9n debe hacerse un uso m\u00e1s efectivo del personal de seguridad, no permita que este tipo de situaciones se conviertan en crisis, a tal grado que asesores externos deban resolverlo.<\/p>\nSameep Agarwal<\/a>, Asesor de Seguridad de la Informaci\u00f3n y Evaluador de Penetraci\u00f3n<\/strong><\/h2>\nYa he hablado antes con Sameep sobre sus experiencias en cuanto a la filtraci\u00f3n de datos, y me informa que ha tenido varias a lo largo de su carrera. En esta historia se muestra c\u00f3mo los conflictos personales pueden interferir con la respuesta a los incidentes y por qu\u00e9 deben superarse.<\/p>\n
\u201cEl proveedor proporcion\u00f3 un servidor para alojar una aplicaci\u00f3n web espec\u00edfica en una zona de prueba. Un d\u00eda, el equipo de seguridad lanz\u00f3 una alerta sobre una aplicaci\u00f3n que no se hab\u00eda probado ni verificado. Se decidi\u00f3 que, dado que hab\u00eda prisa en configurar el hosting, la actividad de fortalecimiento del servidor, que requiere por lo menos menos cinco d\u00edas h\u00e1biles, no podr\u00eda completarse. Por lo tanto, nunca se permiti\u00f3 el acceso a Internet al servidor de la zona de prueba durante la inicializaci\u00f3n.<\/p>\n
\u201cDado que el representante del proveedor no estaba presente en el sitio del cliente, se solicit\u00f3 acceso al servidor para la administraci\u00f3n remota. Esto tambi\u00e9n se plante\u00f3 como un riesgo de seguridad, pero fue ignorado por la agencia federal.<\/p>\n
\u201cLas operaciones comenzaron en el servidor de destino. Despu\u00e9s de tres d\u00edas, se instalaron algunas actualizaciones de Microsoft sin verificar el paquete de actualizaciones. El servidor virtual estaba alojado en hardware obsoleto que hab\u00eda sido extra\u00eddo de un proyecto gubernamental anterior que ten\u00eda muchos defectos cr\u00edticos. Dado que el servidor f\u00edsico estaba fuera de servicio, no fue registrado en el inventario de la agencia federal. Esto significaba que la prevenci\u00f3n de intrusiones y los clientes antimalware no estaban instalados, pero el mismo estaba accesible desde su infraestructura de red.<\/p>\n
\u201cEl atacante instal\u00f3 la aplicaci\u00f3n de escritorio de Telegram y se uni\u00f3 al grupo de hackers iran\u00edes en Telegram. Comenzaron a descargar aplicaciones para permanecer an\u00f3nimos, tales como herramientas proxy, VPN y bots. Posteriormente, el atacante agreg\u00f3 muchos diccionarios y listas combinadas que contienen contrase\u00f1as comunes de aplicaciones para hackear cuentas de redes sociales como Instagram y cuentas de juegos como Fortnite.<\/p>\n
\u201cEl tr\u00e1fico del servidor afectado no fue interceptado por el firewall debido a las excepciones configuradas por la agencia federal. Y debido a esta excepci\u00f3n, no se pudo detectar f\u00e1cilmente la filtraci\u00f3n de datos.<\/p>\n
\u201cLa investigaci\u00f3n de la agencia de inteligencia concluy\u00f3 que el equipo azul (los especialistas en seguridad defensiva) cre\u00f3 muchas excepciones basadas en relaciones personales para complacer al jefe de la agencia federal. Los hallazgos clave en seguridad por parte del equipo rojo (los especialistas en pruebas de seguridad) fueron ignorados una y otra vez. El investigador sugiri\u00f3 hacer una investigaci\u00f3n a fondo sobre las intenciones del personal involucrado y la mentalidad que permiti\u00f3 que ocurrieran los ataques, incluso despu\u00e9s de que la inteligencia de seguridad<\/a> previa estuviera disponible un mes antes\u201d.<\/p>\nA menudo las personas son el eslab\u00f3n m\u00e1s d\u00e9bil en el \u00e1rea de seguridad. Es importante contar con personal de TI que tenga integridad y el nivel correcto de formaci\u00f3n en seguridad<\/a>.<\/p>\nC\u00f3mo proteger su empresa de las filtraciones de datos<\/h2>\n
\u201cUna noche, mediante una alerta de monitoreo del sistema, me di cuenta de que el CPU estaba siendo utilizado al 99 por ciento en nuestro servidor ra\u00edz, lo cual caus\u00f3 un impacto en la disponibilidad de otros sitios web que utilizan el mismo servidor. Inform\u00e9 al propietario del proyecto del sitio web pirateado y despu\u00e9s comenc\u00e9 mi primer an\u00e1lisis. Posteriormente, inclu\u00ed en la lista negra la direcci\u00f3n IP del atacante, bloque\u00e9 su acceso al sistema y despu\u00e9s elimin\u00e9 los procesos sospechosos. Archiv\u00e9 tantos archivos como pude del servidor web del propietario del proyecto para analizarlos posteriormente y llev\u00e9 a cabo una verificaci\u00f3n de integridad del sistema, luego inform\u00e9 al propietario del proyecto.<\/p>\n
\u201c\u00bfEl culpable? Una instancia de CMS pirateada. No me informaron sobre la creaci\u00f3n de esta instancia que despu\u00e9s utiliz\u00f3 diferentes webshells para iniciar los ataques, incluida la miner\u00eda maliciosa de criptomonedas<\/a> (criptominer\u00eda ilegal), la cual agot\u00f3 todos nuestros recursos inform\u00e1ticos disponibles\u201d.<\/p>\n Los principales factores que condujeron a la vulneraci\u00f3n fueron el uso de contrase\u00f1as d\u00e9biles y reutilizadas, y la falta general de medidas de seguridad s\u00f3lidas. \u00a1No dejen que esto les pase a ustedes!<\/p>\n Teagan describi\u00f3 la filtraci\u00f3n de datos que debi\u00f3 enfrentar. Esta es una forma com\u00fan en que las personas pueden comprometer sus datos en el trabajo. Las empresas m\u00e1s peque\u00f1as y las nuevas empresas deben tener cuidado de ser m\u00e1s exhaustivas sobre su seguridad y darse cuenta de que no se trata solo de un problema que se puede resolver simplemente con ayuda de la tecnolog\u00eda.<\/p>\n \u201cUna fuente autorizada tuvo acceso a un entorno de correo electr\u00f3nico no autorizado y esto ocurri\u00f3, la primera vez, durante cuatro semanas. Esta empresa era muy desorganizada y trataba la seguridad como un problema de cumplimiento normativo en vez de como una funci\u00f3n empresarial necesaria.<\/p>\n \u201cLas credenciales de la cuenta de usuario probablemente fueron capturadas por un ataque de phishing, y los atacantes establecieron una regla de reenv\u00edo de correo electr\u00f3nico para enviar todos los correos electr\u00f3nicos a una cuenta Gmail controlada por el atacante. La segunda vez que sucedi\u00f3 fue igual, pero los atrap\u00e9 mucho antes. Fue despu\u00e9s del segundo incidente cuando la empresa finalmente sigui\u00f3 mi recomendaci\u00f3n de implementar 2FA (autenticaci\u00f3n de dos factores). Esto evento ocasion\u00f3 una exposici\u00f3n que hizo necesario que la empresa tuviera que notificar acerca del incidente, de acuerdo con las leyes estatales de privacidad de datos.<\/p>\n \u201cEsta era una peque\u00f1a empresa que estaba creciendo r\u00e1pidamente. Carec\u00edan de liderazgo donde lo necesitaban y tampoco quer\u00edan invertir en los especialistas en seguridad que necesitaban. Contrataron y despidieron a una sucesi\u00f3n de analistas de seguridad debido a un nivel gerencial d\u00e9bil e inexperto en el \u00e1rea de seguridad, y a un deseo de solo cumplir con los requisitos de las auditor\u00edas, en vez de garantizar la protecci\u00f3n de la empresa.<\/p>\n \u201cConsideraron que la seguridad era un problema tecnol\u00f3gico y siguieron comprando servicios y equipos sin tener un plan claro sobre c\u00f3mo integrarlos o administrarlos. Tomaron su estrategia de los representantes de ventas en vez de planificar adecuadamente su propio camino.<\/p>\n \u201cTrabaj\u00e9 estrechamente con el nivel gerencial para tratar de mejorar su programa y todo el tiempo me enfrentaba a resistencias. Aseguraban priorizar la seguridad, pero no permit\u00edan las acciones ni brindaban el empoderamiento necesario. Las cosas comenzaron a cambiar un poco hacia el final de mi estancia all\u00ed, pero para ese momento me sent\u00eda agotado y necesitaba irme para preservar mi propio estado mental\u201d.<\/p>\n Esta ingenuidad a la que Teagan se enfrent\u00f3 es una de las razones por las que las vulneraciones de los datos son tan alarmantemente frecuentes.<\/p>\n \u201cBM\u201d trabaj\u00f3 anteriormente como analista, ingeniero de seguridad y m\u00e1s tarde como consultor, para varias empresas. Ha efectuado an\u00e1lisis forenses de datos post vulneraci\u00f3n, respuesta a incidentes y clasificaci\u00f3n de incidentes. \u201cBM\u201d describi\u00f3 una vulnerabilidad con la que debi\u00f3 lidiar.<\/p>\n \u201cCuando era asesor, me enviaron a una compa\u00f1\u00eda del listado Fortune 500 para un evento de respuesta a incidente. Su sistema estaba totalmente comprometido y el atacante amenazaba al CEO de la empresa con exponer la vulneraci\u00f3n. Tomamos un vuelo de inmediato.<\/p>\n \u201cDurante toda una semana, mi gerente y yo revisamos los registros de seguridad y desarrollamos un plan de correcci\u00f3n para la empresa. Aunque la empresa era muy valiosa, contaba con un personal de TI relativamente peque\u00f1o. Gran parte de nuestro trabajo consisti\u00f3 en informar al equipo sobre lo que sucedi\u00f3 exactamente, revisar sus registros y trabajar junto con ellos para actualizar su infraestructura. Por ejemplo, usaban versiones obsoletas de Windows en toda su red.<\/p>\n \u201cAfortunadamente, se determin\u00f3 que fue un incidente menor. Se trataba m\u00e1s bien de un hacker novato que utilizaba software descargado de Internet para explotar versiones desactualizadas de Windows. Esto se convirti\u00f3 en una semana completa de m\u00e1s de veinte horas de trabajo y numerosas conversaciones para determinar qu\u00e9 podr\u00eda haberse hecho mejor\u201d.<\/p>\n \u00bfM\u00e1s de veinte horas de trabajo al d\u00eda? \u00a1Eso es rid\u00edculo! Es importante formar a todos los empleados en conocimientos sobre seguridad<\/a>. Y tambi\u00e9n debe hacerse un uso m\u00e1s efectivo del personal de seguridad, no permita que este tipo de situaciones se conviertan en crisis, a tal grado que asesores externos deban resolverlo.<\/p>\n Ya he hablado antes con Sameep sobre sus experiencias en cuanto a la filtraci\u00f3n de datos, y me informa que ha tenido varias a lo largo de su carrera. En esta historia se muestra c\u00f3mo los conflictos personales pueden interferir con la respuesta a los incidentes y por qu\u00e9 deben superarse.<\/p>\n \u201cEl proveedor proporcion\u00f3 un servidor para alojar una aplicaci\u00f3n web espec\u00edfica en una zona de prueba. Un d\u00eda, el equipo de seguridad lanz\u00f3 una alerta sobre una aplicaci\u00f3n que no se hab\u00eda probado ni verificado. Se decidi\u00f3 que, dado que hab\u00eda prisa en configurar el hosting, la actividad de fortalecimiento del servidor, que requiere por lo menos menos cinco d\u00edas h\u00e1biles, no podr\u00eda completarse. Por lo tanto, nunca se permiti\u00f3 el acceso a Internet al servidor de la zona de prueba durante la inicializaci\u00f3n.<\/p>\n \u201cDado que el representante del proveedor no estaba presente en el sitio del cliente, se solicit\u00f3 acceso al servidor para la administraci\u00f3n remota. Esto tambi\u00e9n se plante\u00f3 como un riesgo de seguridad, pero fue ignorado por la agencia federal.<\/p>\n \u201cLas operaciones comenzaron en el servidor de destino. Despu\u00e9s de tres d\u00edas, se instalaron algunas actualizaciones de Microsoft sin verificar el paquete de actualizaciones. El servidor virtual estaba alojado en hardware obsoleto que hab\u00eda sido extra\u00eddo de un proyecto gubernamental anterior que ten\u00eda muchos defectos cr\u00edticos. Dado que el servidor f\u00edsico estaba fuera de servicio, no fue registrado en el inventario de la agencia federal. Esto significaba que la prevenci\u00f3n de intrusiones y los clientes antimalware no estaban instalados, pero el mismo estaba accesible desde su infraestructura de red.<\/p>\n \u201cEl atacante instal\u00f3 la aplicaci\u00f3n de escritorio de Telegram y se uni\u00f3 al grupo de hackers iran\u00edes en Telegram. Comenzaron a descargar aplicaciones para permanecer an\u00f3nimos, tales como herramientas proxy, VPN y bots. Posteriormente, el atacante agreg\u00f3 muchos diccionarios y listas combinadas que contienen contrase\u00f1as comunes de aplicaciones para hackear cuentas de redes sociales como Instagram y cuentas de juegos como Fortnite.<\/p>\n \u201cEl tr\u00e1fico del servidor afectado no fue interceptado por el firewall debido a las excepciones configuradas por la agencia federal. Y debido a esta excepci\u00f3n, no se pudo detectar f\u00e1cilmente la filtraci\u00f3n de datos.<\/p>\n \u201cLa investigaci\u00f3n de la agencia de inteligencia concluy\u00f3 que el equipo azul (los especialistas en seguridad defensiva) cre\u00f3 muchas excepciones basadas en relaciones personales para complacer al jefe de la agencia federal. Los hallazgos clave en seguridad por parte del equipo rojo (los especialistas en pruebas de seguridad) fueron ignorados una y otra vez. El investigador sugiri\u00f3 hacer una investigaci\u00f3n a fondo sobre las intenciones del personal involucrado y la mentalidad que permiti\u00f3 que ocurrieran los ataques, incluso despu\u00e9s de que la inteligencia de seguridad<\/a> previa estuviera disponible un mes antes\u201d.<\/p>\n A menudo las personas son el eslab\u00f3n m\u00e1s d\u00e9bil en el \u00e1rea de seguridad. Es importante contar con personal de TI que tenga integridad y el nivel correcto de formaci\u00f3n en seguridad<\/a>.<\/p>\nTeagan M<\/a>, profesional de seguridad, fundador de Green Duck Consulting, LLC<\/strong><\/h2>\n
\u201cBM<\/a>\u201c, ex analista de Infosec<\/strong><\/h2>\n
\nEs importante recordar que las grandes empresas tambi\u00e9n necesitan mejorar la seguridad de sus datos. BM comparte con nosotros una lecci\u00f3n \u00fatil para ayudar a cualquier persona a proteger sus datos en cualquier \u00e1rea.<\/p>\nSameep Agarwal<\/a>, Asesor de Seguridad de la Informaci\u00f3n y Evaluador de Penetraci\u00f3n<\/strong><\/h2>\n
C\u00f3mo proteger su empresa de las filtraciones de datos<\/h2>\n