Category Archives: Ciberseguridad

FortiMonitor: potenciando la monitorización de la experiencia digital en casos de uso clave

Posted on

Por: Rami Rammaha / Fortinet

En los complejos entornos de TI actuales, garantizar un rendimiento y una experiencia de usuario sin inconvenientes es fundamental para mantener la continuidad del negocio y la satisfacción del cliente. Fortinet FortiMonitor aborda estos desafíos con una plataforma integral de monitoreo de la experiencia digital (DEM). Los siguientes cuatro casos de uso clave (cargas de trabajo en la nube, experiencia de usuario remota, monitoreo unificado de la infraestructura y resiliencia de SD-WAN) demuestran la capacidad de FortiMonitor para brindar una visibilidad inigualable y simplificar las operaciones en diversos entornos de TI.

Si bien estos casos de uso atienden distintas necesidades comerciales, comparten un objetivo común: mejorar la resiliencia digital y la satisfacción del usuario. Ya sea que se trate de una empresa que gestiona infraestructuras híbridas, una organización que prioriza el trabajo remoto y garantiza una conectividad perfecta entre los empleados o una empresa que busca optimizar las redes distribuidas, FortiMonitor tiene una solución adaptada a sus desafíos.

Vídeo de vista previa

Cargas de trabajo en la nube: monitoreo simplificado en entornos híbridos

El cambio a la nube y a las infraestructuras híbridas ha transformado la forma en que operan las empresas. Sin embargo, si bien ofrecen flexibilidad y escalabilidad críticas, también pueden crear desafíos de gestión de rendimiento y visibilidad. FortiMonitor aborda estos problemas al proporcionar una vista centralizada de todas las aplicaciones y recursos, ya sea que se implementen en centros de datos locales o en proveedores de nube líderes como AWS, Azure y Google Cloud. Al ofrecer una integración perfecta con entornos de múltiples nubes, FortiMonitor elimina los puntos ciegos que suelen ocurrir en las configuraciones de TI híbridas.

El descubrimiento dinámico de la carga de trabajo es otra función esencial, que detecta y supervisa automáticamente los recursos recién añadidos sin intervención manual. Esta visibilidad en tiempo real permite a las organizaciones optimizar la asignación de recursos para evitar costes innecesarios asociados a los activos de la nube inactivos o subutilizados. Además, la supervisión granular del rendimiento ofrece información sobre el estado de las aplicaciones y la utilización de los recursos, lo que ayuda a los equipos de TI a identificar posibles cuellos de botella y resolver problemas antes de que afecten a las operaciones. Las empresas que adoptan infraestructuras híbridas o nativas de la nube se benefician significativamente de este enfoque integral, lo que garantiza que sus sistemas funcionen con la máxima eficiencia y escalabilidad en entornos distribuidos y dinámicos.

Vídeo de vista previa

Trabajo remoto: seguimiento de la fuerza laboral híbrida

Los entornos de trabajo híbridos y remotos se han convertido en una piedra angular de las operaciones comerciales actuales. Sin embargo, la mayoría de las soluciones tradicionales tienen dificultades para proporcionar a los empleados un acceso constante y seguro a las aplicaciones empresariales desde cualquier ubicación. FortiMonitor está en una posición única para garantizar experiencias de usuario fluidas mediante la supervisión proactiva de métricas de rendimiento como la latencia, la inestabilidad y la pérdida de paquetes.

Por ejemplo, la monitorización de puntos finales proporciona a los equipos de TI una visibilidad detallada del rendimiento de las aplicaciones desde la perspectiva de los usuarios individuales, lo que les permite diagnosticar problemas rápidamente. La monitorización sintética de transacciones va más allá al simular interacciones de usuarios reales mediante la identificación proactiva de problemas potenciales antes de que puedan interrumpir los flujos de trabajo. Y el análisis de la ruta de la red proporciona a los equipos de TI una visión integral de los cuellos de botella del rendimiento en redes públicas y privadas, lo que permite una resolución de problemas más rápida y una mejor conectividad.

Este caso de uso es particularmente adecuado para organizaciones con una importante fuerza laboral remota, ya que les permite mantener altos niveles de productividad y satisfacción del usuario independientemente de dónde se encuentren.

Vídeo de vista previa

Monitoreo unificado de infraestructura: eliminando los silos

Si bien la mayoría de las infraestructuras de TI modernas están interconectadas, suelen estar fragmentadas y los distintos equipos utilizan herramientas independientes para supervisar las distintas partes del ecosistema. Este enfoque compartimentado suele generar ineficiencias, lo que ralentiza la resolución de incidentes e impide que los equipos de TI mantengan una comprensión coherente del rendimiento general del sistema. FortiMonitor elimina estos silos al integrar DEM y la supervisión de la infraestructura de TI en una plataforma unificada.

Este enfoque unificado proporciona una única fuente de información para las métricas de rendimiento, lo que permite a los equipos de TI detectar anomalías y resolver problemas más rápidamente. La capacidad de personalizar los paneles garantiza que cada parte interesada, ya sea un ingeniero de red o un administrador de aplicaciones, pueda acceder a la información específica que necesita para desempeñar su función de manera eficaz. Además, FortiMonitor agiliza la colaboración entre equipos al consolidar los datos de toda la empresa, lo que fomenta una comprensión compartida del rendimiento del sistema y promueve una resolución más rápida de incidentes. Este caso de uso ofrece una forma invaluable de mejorar la eficiencia y reducir la fricción operativa para las empresas con entornos de TI complejos.

Vídeo de vista previa

Resiliencia de SD-WAN: cómo garantizar la continuidad de las aplicaciones

Los entornos de TI distribuidos dependen de las soluciones SD-WAN para optimizar la conectividad y mantener el rendimiento de las aplicaciones en sucursales, sitios remotos y entornos de nube. Sin embargo, garantizar la resiliencia en redes tan distribuidas es un desafío que requiere monitoreo proactivo y análisis en tiempo real. FortiMonitor se destaca en esta área al brindar una visibilidad profunda de los enlaces de los miembros de SD-WAN y permitir que los equipos de TI identifiquen y resuelvan los problemas antes de que se agraven.

La monitorización sintética simula el tráfico de aplicaciones, lo que ayuda a las organizaciones a detectar problemas de rendimiento, como pérdida de paquetes o picos de latencia en las conexiones SD-WAN. El análisis de rutas en tiempo real ofrece una vista histórica de los cambios en la red, lo que proporciona información sobre cómo los ajustes afectan el rendimiento de las aplicaciones y permite el ajuste proactivo de las configuraciones de red. Y las alertas configurables basadas en acuerdos de nivel de servicio predefinidos garantizan que los equipos de TI puedan responder de inmediato a posibles interrupciones, lo que minimiza el tiempo de inactividad y mantiene una entrega de aplicaciones sin problemas. Las empresas que dependen de SD-WAN para operaciones críticas encontrarán este caso de uso indispensable para garantizar la continuidad y la resiliencia.

Vídeo de vista previa

Adaptación de FortiMonitor a las necesidades de su negocio

FortiMonitor aborda una amplia variedad de casos de uso, lo que demuestra su versatilidad para satisfacer las necesidades de las empresas actuales. Ofrece monitoreo centralizado y descubrimiento dinámico de cargas de trabajo para quienes administran infraestructuras híbridas, lo que garantiza operaciones fluidas y optimización de recursos. Las organizaciones que priorizan el trabajo remoto se benefician del monitoreo de puntos finales y las herramientas de transacciones sintéticas para mantener la productividad y la satisfacción de los usuarios en diversas ubicaciones. Las empresas con operaciones de TI complejas pueden eliminar los silos y fomentar la colaboración en equipo aprovechando las capacidades de monitoreo de infraestructura unificada de FortiMonitor. Y los entornos distribuidos que dependen de SD-WAN obtienen herramientas críticas para la gestión proactiva del rendimiento y la resiliencia, lo que garantiza una entrega constante de aplicaciones incluso en condiciones difíciles.

Al abordar estos desafíos distintos, FortiMonitor brinda a las organizaciones las herramientas y los conocimientos necesarios para prosperar en el dinámico panorama de TI actual y ofrecer mejores resultados para los usuarios y clientes.

FortiMonitor: una solución unificada para los desafíos de TI modernos

La versatilidad de FortiMonitor lo convierte en una herramienta indispensable para empresas de todos los sectores. Ya sea para garantizar un trabajo remoto sin inconvenientes, optimizar las implementaciones en la nube o mejorar la resiliencia de la red, FortiMonitor proporciona la flexibilidad y la inteligencia que necesita para abordar los desafíos digitales actuales.

Ciberamenazas avanzadas dirigidas a los compradores durante las festividades

Posted on

Por: FortiGuard Labs / Fortinet

A medida que se acerca la temporada de fiestas, los compradores de todo el mundo esperan con ansias aprovechar las ofertas del Black Friday, el Cyber ​​Monday y otras rebajas de las fiestas. Sin embargo, esta mayor actividad en línea también atrae la atención de los cibercriminales.

Un informe reciente de FortiGuard Labs, Understanding Threat Actor Readiness for the Upcoming Holiday Season (Comprender la preparación de los actores de amenazas para la próxima temporada navideña ), revela las tácticas avanzadas que los atacantes han estado desarrollando para explotar el frenesí de compras de este año. Este blog destaca los hallazgos clave del informe en la darknet y ofrece algunos consejos prácticos para ayudar a los compradores y las empresas a mantenerse seguros durante esta temporada.

El panorama de las ciberamenazas

La temporada de fiestas presenta una oportunidad irresistible para que los cibercriminales aprovechen el aumento de las transacciones en línea. Las herramientas y los servicios disponibles ahora en la darknet permiten a los atacantes atacar plataformas de comercio electrónico y compradores desprevenidos con más eficacia que nunca. Este año, los actores de amenazas están aprovechando técnicas de vanguardia, incluidos señuelos de phishing impulsados ​​por IA, sofisticadas herramientas de clonación de sitios web y exploits de ejecución remota de código (RCE) para obtener acceso no autorizado a las plataformas de compras. Los métodos impulsados ​​por IA permiten a los atacantes crear correos electrónicos convincentes y réplicas de sitios web legítimos para robar datos o engañar a los usuarios para que revelen información confidencial.

El informe también destaca el creciente uso de dominios engañosos con temática navideña que imitan a minoristas confiables para atraer a los compradores con ofertas tentadoras pero fraudulentas. Las herramientas de rastreo son otra arma fundamental que permite a los cibercriminales interceptar datos confidenciales, como los datos de tarjetas de crédito, durante las transacciones en línea. Los puntos clave del informe incluyen:

  • Los señuelos de phishing con temática de compras utilizan inteligencia artificial generativa. El informe incluye ejemplos de cibercriminales que utilizan modelos de inteligencia artificial como ChatGPT para crear correos electrónicos de phishing convincentes, imitando comunicaciones legítimas de minoristas y bancos. Esto aumenta la eficacia de sus estafas, especialmente durante los períodos pico de compras.
Cómo usar ChatGPT para crear un correo electrónico de phishing

Cómo usar ChatGPT para crear un correo electrónico de phishing

  • Las amenazas al comercio electrónico abundan en esta temporada navideña . Los actores de amenazas están intensificando sus esfuerzos para explotar las tendencias de compras en línea. El informe de este año señala que se están registrando miles de dominios con temas navideños que imitan marcas confiables como Amazon y Walmart para engañar a los consumidores con ofertas y promociones falsas. Las plataformas populares como Adobe Commerce, Shopify y WooCommerce son los principales objetivos debido a configuraciones débiles y complementos obsoletos. Los atacantes están implementando sniffers para capturar datos de los clientes y utilizando exploits RCE para obtener acceso de administrador a las plataformas de compras.
Sitio de compras falso de J. Crew

Sitio de compras falso de J. Crew

Puntuación de phishing del sitio falso de J. Crew

Puntuación de phishing del sitio falso de J. Crew

  • Una multitud de servicios lucrativos en la darknet alimentan el cibercrimen. El equipo de FortiGuard Labs ha observado un aumento en la venta de tarjetas de regalo robadas, datos de tarjetas de crédito y bases de datos de sitios de comercio electrónico comprometidos. Los kits de phishing que permiten a los atacantes configurar operaciones de phishing avanzadas, incluidos servicios, se venden por entre 100 y 1.000 dólares, según la complejidad y las personalizaciones. Otros servicios, como herramientas de rastreo y de fuerza bruta personalizadas, también están disponibles, lo que permite que incluso los atacantes poco cualificados exploten las vulnerabilidades.
Anuncio de reclutamiento de traficantes

Anuncio de reclutamiento de traficantes

  • Riesgos crecientes para las empresas. Las empresas son igualmente vulnerables y se enfrentan a riesgos significativos, desde estafas de phishing hasta el robo de información financiera a través de sitios web falsos. Los paneles de administración comprometidos, el software sin parches y las credenciales débiles pueden provocar filtraciones de datos, transacciones fraudulentas y daños a la reputación.
Recopilación de amenazas a sitios web de compras

Recopilación de amenazas a sitios web de compras

Cómo mantenerse a salvo durante las fiestas

Para mitigar estos riesgos, los compradores y las empresas deben adoptar medidas proactivas.

La vigilancia es fundamental para los compradores. Verifique las URL antes de ingresar información confidencial y utilice métodos de pago seguros, como tarjetas de crédito con protección contra fraudes. Evite comprar en redes wifi públicas, ya que pueden dejarlo vulnerable al secuestro de sesión. Además, habilitar la autenticación multifactor en sus cuentas puede brindar una capa adicional de seguridad. También es fundamental controlar sus estados financieros regularmente para detectar transacciones no autorizadas.

Las empresas deben priorizar su postura en materia de ciberseguridad. Mantener las plataformas y los complementos de comercio electrónico actualizados y realizar análisis de vulnerabilidades periódicos puede reducir significativamente el riesgo. La implementación de herramientas avanzadas de detección de fraudes ayuda a identificar actividades inusuales, como intentos de inicio de sesión por fuerza bruta o tráfico falso. Educar a los clientes para que reconozcan los intentos de phishing y promover hábitos de compra seguros es igualmente importante. Monitorear los registros de dominios para detectar posibles suplantaciones de identidad e informar sobre ellos de inmediato puede ayudar a proteger su marca. Por último, proteger los paneles de administración con contraseñas seguras y acceso restringido puede evitar infracciones no autorizadas.

Un llamado a la acción

La temporada navideña debería ser un momento de alegría y celebración, no de riesgo y vulnerabilidad. Sin embargo, para que esto suceda, las empresas deben adoptar una postura proactiva en materia de ciberseguridad, mientras que los consumidores deben mantenerse informados y cautelosos sobre las amenazas que acechan en línea.

Descargue el informe de FortiGuard Labs, Comprender la preparación de los actores de amenazas para la próxima temporada navideña , para comprender mejor el cambiante panorama de amenazas de este año y obtener información útil para protegerse a sí mismo, a su negocio y a sus clientes.

A medida que los atacantes adoptan la IA, todas las organizaciones deben hacer estas cinco cosas

Posted on

Por: Derek Manky / Fortinet

La IA beneficia a nuestra sociedad en general de muchas maneras, pero los cibercriminales están utilizando esta nueva tecnología con fines nefastos. Desde la recopilación de datos de manera más eficiente hasta el uso de grandes modelos de lenguaje para elaborar comunicaciones de phishing, los actores de amenazas experimentados y novatos confían en la IA para optimizar sus esfuerzos.

Las organizaciones de todo el mundo están tomando nota y los ejecutivos están implementando medidas para combatir este y otros cambios en el panorama de amenazas. El 62 % de los líderes empresariales afirman que exigirán capacitación en ciberseguridad en forma de certificaciones para el personal de TI y seguridad. Casi la misma cantidad (61 %) afirma que están introduciendo nuevos programas de capacitación y concienciación en seguridad para todos los empleados.

Qué hacer ahora para protegerse de las amenazas impulsadas por la IA

Los actores maliciosos están aprovechando cada vez más la IA para aumentar el volumen y la velocidad de los ataques que implementan. También están utilizando esta tecnología para hacer que el phishing y las amenazas relacionadas sean más creíbles que nunca. Si bien existen numerosas medidas que su equipo puede tomar para proteger mejor a su organización de estos cambios en la actividad de los atacantes, aquí hay cinco cosas que puede hacer hoy para que todos en la empresa sean más conscientes y estén más preparados para defenderse de un panorama de amenazas cada vez más complejo.

  • Construir una cultura de ciberseguridad

La ciberseguridad es tarea de todos, no solo de los equipos de seguridad y TI. Para crear una cultura de ciberseguridad en la organización, hay que empezar por asegurarse de que los empleados de todos los niveles conozcan los riesgos cibernéticos comunes y comprendan el papel que desempeñan en el mantenimiento de una seguridad sólida. Para ello, los ejecutivos de todos los departamentos deben tener una visión compartida de la ciberseguridad y comunicarse periódicamente sobre la importancia de proteger la empresa. Otras actividades deben incluir la realización de sesiones periódicas de formación en ciberseguridad, la implementación de planes de concienciación a largo plazo y la realización de simulacros para poner a prueba los conocimientos de los empleados sobre las ciberamenazas actuales.

  • Eduque a sus empleados

Los empleados siguen siendo objetivos de gran valor para los actores de amenazas, pero con el conocimiento adecuado, también pueden ser una primera línea de defensa sólida contra las infracciones. A medida que los cibercriminales adoptan la IA (usándola para generar más ataques y crear phishing y amenazas relacionadas que son más difíciles de identificar como maliciosas para la persona promedio), la educación continua en ciberseguridad debe ser una parte fundamental de su estrategia de gestión de riesgos. Si actualmente tiene un programa de educación de concienciación cibernética, reevalúelo y actualícelo con frecuencia para reflejar el panorama cambiante de amenazas. Si aún no ha implementado una iniciativa de educación, existen muchas ofertas basadas en SaaS disponibles, como el Servicio de capacitación y concientización sobre seguridad de Fortinet , que ofrece material de capacitación oportuno, le permite realizar un seguimiento del progreso de los usuarios y personalizar el contenido de acuerdo con las necesidades de su organización o industria.

  • Desarrolle (o reevalúe) sus procesos y planes de ciberseguridad

En lo que respecta a los incidentes de ciberseguridad, ya no se trata de si una organización sufrirá una vulneración, sino de cuándo. Casi el 90 % de las empresas sufrieron al menos una vulneración durante el último año.

La ciberseguridad no es una tarea que se puede realizar “y olvidar”. El desarrollo de un programa continuo de gestión de la exposición a amenazas permite a las empresas evaluar y reevaluar sus esfuerzos, lo que garantiza que cuentan con las personas, los procesos y la tecnología adecuados para gestionar el riesgo organizacional. Estas comprobaciones periódicas le permiten identificar posibles brechas de seguridad antes de que se conviertan en un problema.

  • Implementar la autenticación multifactor y el acceso a la red de confianza cero

Teniendo en cuenta que más del 80 % de las violaciones de datos se deben al robo o la obtención de credenciales mediante ataques de fuerza bruta, es fundamental implementar la autenticación multifactor (MFA) y el acceso a la red de confianza cero (ZTNA). La MFA agrega otra capa de seguridad al exigir a los usuarios que verifiquen su identidad de varias maneras, como mediante una combinación de contraseña y datos biométricos, como una huella digital. Esto reduce significativamente el riesgo de que los ciberdelincuentes obtengan acceso no autorizado a su red, incluso si las credenciales de un usuario están comprometidas. Agregar ZTNA aumenta el acceso seguro a la información confidencial a través de túneles cifrados, controles de acceso granulares, acceso por aplicación y monitoreo de conexión continuo.

  • Aplicar parches al software y las aplicaciones periódicamente

La falta de parches en el software y las aplicaciones sigue siendo un factor importante en las infracciones. Según nuestro reciente Informe sobre el panorama de amenazas globales , en casi el 90 % de los casos, nuestro equipo de respuesta a incidentes investigó dónde se produjo un acceso no autorizado mediante la explotación de una vulnerabilidad, la vulnerabilidad era conocida y había un parche disponible. Es fundamental mantener todo el software, los sistemas operativos y las aplicaciones actualizados con los últimos parches de seguridad. Si no cuenta con un proceso de gestión de parches, establezca uno hoy mismo para ayudar a agilizar las actualizaciones y garantizar que los parches se implementen rápidamente. En muchos casos, la IA puede ayudar a automatizar las tediosas tareas de aplicación de parches.

La educación y la colaboración son clave para frenar los delitos cibernéticos y los ataques basados ​​en inteligencia artificial

A medida que los atacantes aumentan su juego, todas las organizaciones deben reforzar sus defensas en respuesta. Implementar iniciativas de educación y concientización sobre ciberseguridad ayuda a sentar las bases de una cultura de ciberseguridad. Desarrollar prácticas de ciberseguridad sólidas, que van desde MFA hasta ZTNA, y adoptar las tecnologías adecuadas también contribuyen en gran medida a proteger los activos digitales de su organización. Recuerde que la colaboración en toda la organización es vital para el éxito. La seguridad no es solo responsabilidad de sus equipos de seguridad y TI. Por sobre todas las cosas, las medidas sólidas de gestión de riesgos requieren que la ciberseguridad sea tarea de todos, ya que cada persona de su organización tiene un papel que desempeñar para interrumpir el cibercrimen.

Cómo la IA ayudará a potenciar la ciberseguridad de las pymes

Posted on

Por: Ian Thompson / Cisco Systems

Desde que los grandes modelos de lenguaje como ChatGPT se han vuelto comunes, la inteligencia artificial (IA) y su papel en nuestro día a día están en la mente de todos. Gran parte de la atención en torno a la IA se ha centrado en sus posibles impactos negativos en la seguridad. Sin embargo, la IA ya ha demostrado que tiene el potencial de hacer mucho bien en la protección de los datos de los clientes, y su relativa asequibilidad la hace ideal para las necesidades de las pymes. La IA puede detectar patrones y reconocer inconsistencias mucho más rápido que los humanos. Dicho esto, hemos compilado una lista de formas en las que la IA ya está mejorando la ciberseguridad y cómo seguirá haciéndolo en el futuro.

Identificar vulnerabilidades

Las PYMES son el objetivo de ataques casi tanto como las grandes empresas: representan el 43 % de todos los ciberataques . Una de las razones por las que las empresas más pequeñas suelen ser el objetivo es porque los piratas informáticos saben que es posible que no tengan los recursos necesarios para proteger adecuadamente sus redes. Los equipos de TI locales pueden ser costosos y supervisar la seguridad requiere mucho tiempo y esfuerzo. Sin embargo, la IA tiene el potencial de mantenerse al día con las últimas amenazas e identificar posibles vulnerabilidades.

El aprendizaje automático de la IA abre la puerta a la solución de vulnerabilidades antes de que se explote un sistema. En los próximos años, la IA podrá escanear códigos y aplicaciones para identificar puntos débiles y hacer correcciones rápidamente. A través del análisis del comportamiento de usuarios y eventos (UEBA), también podremos ver cómo el aprendizaje automático de la IA detecta comportamientos fuera de lugar de los usuarios que pueden indicar un ataque.

Predecir los ataques antes de que ocurran

La forma más habitual en que los piratas informáticos acceden a los sistemas de una empresa es iniciando sesión con credenciales robadas. Es una forma increíblemente eficaz de acceder a su red, ya que inician sesión como cualquier otra persona y hurgan sin que nadie lo sepa. Esto es especialmente preocupante para las pymes que han adoptado un modelo de trabajo híbrido o remoto en los últimos años. Con tantos dispositivos fuera de la oficina, solo hace falta un teléfono o una computadora portátil perdidos o desatendidos para que los piratas informáticos entren y obtengan lo que necesitan.

Sin embargo, a través de UEBA, el aprendizaje automático de IA puede detectar comportamientos fuera de lugar de los usuarios antes de que se produzcan daños reales. Por ejemplo, supongamos que un empleado hace clic en un enlace de correo electrónico que desencadena una estafa de phishing. La IA podrá detectar el cambio en el comportamiento del usuario y alertar al departamento de TI sobre el problema antes de que se produzcan daños. En general, la ciberseguridad asistida por IA tiene el potencial de analizar enormes cantidades de datos en una fracción del tiempo, lo que nos permite identificar patrones que probablemente conduzcan a un ataque de ciberseguridad.

En la ciberseguridad tradicional, se produce un ataque y las empresas o los equipos de seguridad informática toman nota de las firmas e indicadores que llevaron al ataque. A partir de ahí, pueden crear una contramedida viable. Esto es excelente para abordar futuros ataques, pero solo después de que ocurran. ¿Qué sucede con las firmas que aún no se han descubierto?

Según el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE), las técnicas modernas basadas en firmas pueden detectar alrededor del 90 % de las amenazas . ¡No está mal! Pero al combinar las técnicas actuales basadas en firmas con IA, podemos ver una tasa de detección de hasta el 100 %, con IA identificando rápidamente los indicadores potenciales y los métodos tradicionales descartando los falsos positivos.

Responda a las incidencias más rápido que nunca

Hasta ahora hemos hablado de cómo la IA puede prevenir ataques, pero ¿qué pasa cuando ocurre un incidente?

Dado que la IA ya ha demostrado que es buena para detectar patrones, sería igualmente fácil para ella ejecutar rápidamente procesos de respuesta a incidentes para neutralizar las amenazas antes de que causen demasiado daño.

Al dejar en manos de la IA la planificación de incidentes cibernéticos, estos procesos se automatizarán mucho más que nunca. Los algoritmos de IA podrán analizar amenazas potenciales, investigar infracciones y hacer recomendaciones a los equipos de seguridad para mantener seguros los datos empresariales.

Autenticación mejorada

En la actualidad, la autenticación multifactor es una de las mejores formas que tienen las PYMES de protegerse de los intentos de inicio de sesión no autorizados. Sin embargo, los piratas informáticos son astutos y siempre están buscando formas de eludir estos sistemas y presentarse como entidades de confianza. El aprendizaje automático con inteligencia artificial puede proporcionar una forma de detectar cuándo un individuo no autorizado intenta eludir los sistemas de autenticación a través de patrones de comportamiento del usuario y datos biométricos.

Combinado con algunas de las medidas de ciberseguridad que hemos enumerado anteriormente, esto puede proporcionar un entorno de seguridad más integral que neutraliza las amenazas antes y mientras ocurren.

Identificar malware

Desde los tiempos de la conexión telefónica, el malware ha plagado a los usuarios de Internet. En el entorno actual, las PYMES aún deben estar atentas al spam malicioso que contiene malware para robar credenciales de equipos infectados con virus desagradables.

Capacitar a sus empleados para que identifiquen este tipo de correos electrónicos es fundamental, pero la detección avanzada de malware asistida por IA puede agregar un nivel adicional de protección, identificando programas maliciosos en función de varios criterios. El potencial en esta área es enorme, ya que la IA puede procesar enormes cantidades de datos y detectar patrones que son casi imposibles de reconocer para los humanos. Por ejemplo, el aprendizaje automático de la IA puede aprender a identificar malware a través de ciertas características de archivos, análisis de comportamiento y tráfico de red.

El potencial de la IA para hacer el bien sin duda será muy atractivo para las empresas que buscan proteger sus datos y los de sus clientes. Cisco ya está utilizando la IA para ayudar a las pymes a mejorar su ciberseguridad y ayudar a los equipos a automatizar flujos de trabajo complejos. Hasta que la IA se utilice más ampliamente, Cisco hará un seguimiento de su progreso y seguirá integrando las mejores soluciones en nuestra gama de productos de seguridad. Si tiene alguna pregunta sobre cómo proteger mejor a su empresa de las amenazas, póngase en contacto con un experto de Cisco hoy mismo y estaremos encantados de encontrar la solución adecuada para su pyme.

Uso de inteligencia artificial para detectar imágenes ocultas en correos electrónicos

Posted on

Por: Greg Barnes / Cisco Systems

En la actualidad, la seguridad del correo electrónico es más importante que nunca. Con el aumento de las sofisticadas amenazas cibernéticas, los atacantes están constantemente desarrollando sus técnicas para eludir las medidas de seguridad tradicionales. Uno de esos métodos es el uso de fraudes basados ​​en imágenes, que pueden ser especialmente difíciles de detectar y prevenir.

El desafío del fraude basado en imágenes

¿Alguna vez ha recibido un correo electrónico de un servicio al que no recuerda haberse suscrito? ¿O quizás un correo electrónico que parece legítimo pero que no le parece correcto? La sobrecarga de información es una táctica común que utilizan los atacantes para tomar desprevenidas a sus víctimas. A medida que mejoran los controles de seguridad tradicionales, los actores de amenazas modifican sus técnicas, con frecuencia con el objetivo de sacar transacciones de la red corporativa monitoreada. Esto ha llevado a un aumento de los ataques de entrega de ataques orientados al teléfono (TOAD) y otros tipos de fraudes basados ​​en imágenes.

Imagen de campaña de correo electrónico real con información de contacto redactada

Si bien esta imagen puede ser claramente fraudulenta para los analistas de seguridad, puede resultar muy difícil impedir que se utilicen métodos tradicionales como reglas de bloqueo o expresiones regulares. En este caso, el correo electrónico en sí no contenía texto real que las tecnologías antispam tradicionales pudieran detectar. A pesar de las señales de alerta obvias, como el abuso de marca, estos correos electrónicos pueden eludir las defensas convencionales.

El enfoque innovador de Cisco para la seguridad del correo electrónico

En Cisco, seguimos innovando en el campo de la seguridad del correo electrónico aprovechando los modelos de aprendizaje automático (ML) y aprendizaje profundo (DL). Estas tecnologías avanzadas nos permiten comprender la intención detrás de los mensajes e identificar al verdadero remitente. Nuestro enfoque va más allá del simple análisis para comprender las llamadas a la acción dentro del contenido del correo electrónico.

Técnicas de detección avanzadas

Nuestro equipo de ciencia de datos utiliza la detección por reconocimiento óptico de caracteres (OCR) que aprovecha las redes neuronales de memoria a corto y largo plazo (LSTM) para la extracción de contenido. La seguridad del correo electrónico se enfrenta al desafío adicional de la escala, ya que procesa millones de imágenes, URL, archivos, códigos QR y otros objetos. Los nuevos métodos de inteligencia artificial nos permiten utilizar la heurística para determinar qué imágenes vale la pena analizar, procesar e interpretar señales y llamadas a la acción. Estos datos valiosos mejoran nuestros motores de detección al evaluar la intención.

Las imágenes de vacaciones son geniales, pero no es probable que sean fraudulentas.

El uso de datos e inteligencia artificial para determinar las intenciones de los atacantes y detectar tendencias en evasiones populares permite a Cisco Secure Email Threat Defense detener a los actores maliciosos. Puede ver estas imágenes sospechosas y otras señales marcadas en Email Threat Defense iniciando una prueba gratuita hoy mismo. Contáctanos: https://mcs.com.mx/contacto/

Consejos sobre contraseñas para el resto de nosotros

Posted on

Por: Steve Ragan / Cisco Systems

Octubre es el Mes de Concientización sobre Ciberseguridad (CAM). Durante todo el mes, presentaremos consejos y trucos, así como recomendaciones sobre diversos temas de seguridad, con el objetivo de ayudar a informar y educar al público.

Comenzaremos con una mala noticia que quizás algunos de ustedes no conozcan: las contraseñas son un problema y es difícil crear una buena. Esto deja a muchas personas vulnerables y expuestas. Entonces, ¿qué es exactamente lo que hace que una contraseña sea buena?

Si hay una regla que debemos recordar cuando se trata de buenas contraseñas, es que cuanto más largas, mejor.

El consejo que suelo compartir con la gente es que hagan sus contraseñas tan largas que no puedan recordarlas.

Suena extraño, ¿verdad? ¿Crear contraseñas que no puedas recordar?

Lo es, pero el objetivo de esa regla es doble: primero, es hacerte pensar en la longitud de las contraseñas y su importancia, y segundo, es hacerte pensar en los administradores de contraseñas. Porque si no puedes recordar las contraseñas debido a su longitud y complejidad, ¿por qué no conseguir un programa que las recuerde por ti?

Longitud y complejidad de la contraseña

La razón por la que desea contraseñas largas es para evitar que las adivinen y las descifren.

Cracking es exactamente lo que parece. Después de poner en peligro un sitio web donde se almacena su contraseña, un delincuente intentará descifrar el hash que representa su contraseña utilizando un conjunto de palabras (diccionarios) y reglas (conjeturas fundamentadas).

La misma mentalidad se aplica a la adivinación directa de contraseñas. Si su contraseña es AprilMarry95 y usted se casó con April en 1995 (datos que son de dominio público), su contraseña podría ser fácilmente adivinada o descifrada.

A continuación se muestra un ejemplo utilizando datos reales.

Cada grupo tardó menos de tres minutos en descifrar las contraseñas de seis (6), siete (7), ocho (8), nueve (9) y diez (10) caracteres de entre las 100.000 contraseñas más comunes. Se trata de más de 80.000 contraseñas, y se descifraron en menos tiempo del que llevó escribir hasta este punto del blog.

Dado que la mayoría de los sitios web requieren contraseñas con una longitud mínima de ocho (8) caracteres, compuestos de letras mayúsculas y minúsculas, números y símbolos, uno pensaría que descifrar o adivinar contraseñas sería difícil.

Pero no es así, gracias a la reutilización de contraseñas (también llamada reciclaje de contraseñas) y a las contraseñas creadas con palabras, frases y patrones comunes.

Lo único que protegerá sus cuentas en otros sitios web es el uso de contraseñas únicas y largas sin palabras o frases comunes. De esta manera, una contraseña comprometida en un sitio web no hace que todas sus cuentas se vean comprometidas.

En ese sentido, si tu contraseña contiene alguna de las siguientes palabras, debes cambiarla lo antes posible. Se trata de palabras raíz que se encuentran entre las 100.000 contraseñas más comunes y son un ejemplo de palabras fáciles de adivinar que se utilizan para crear contraseñas.

  • amar
  • QWERTY
  • fútbol americano
  • mono
  • dragón
  • papá
  • guerrero
  • corte
  • verano
  • caer
  • contraseña
  • ángel
  • Alex
  • Cristóbal
  • rojo
  • mamá
  • cohete
  • camino
  • invierno
  • primavera

Tenga en cuenta que la lista que se presenta aquí es una pequeña muestra. La lista completa tiene cientos de elementos e incluye nombres, estados, ciudades, deportes, términos automotrices, términos religiosos, términos militares, términos explícitos, términos familiares, términos emocionales, nombres de bandas e incluso colores.

Básicamente, si puedes encontrar la palabra en un diccionario, probablemente no sea una buena contraseña.

Por más que lo intentemos, los humanos no podemos hacer algo verdaderamente aleatorio. Y el problema es que, cuando intentamos hacerlo, solemos ceñirnos a esas palabras y frases comunes. Incluso usamos un ‘!’ o una ‘@’ junto con uno o dos números por si acaso.

Aunque !RubyRed2024 puede parecer una buena contraseña, no lo es.

Es cierto que tiene 12 caracteres, utiliza letras mayúsculas y minúsculas, números e incluso símbolos, pero hay dos razones por las que nunca deberías usar una contraseña de este tipo. En primer lugar, tanto Ruby como Red son palabras comunes. En segundo lugar, añadir un signo de exclamación (!) al principio de una contraseña y el año actual al final de la contraseña son patrones comunes y fáciles de adivinar.

Usando un patrón de máscara básico de -1 ?u?l !?1?1?1?1?1?1?12024 se puede descifrar !RubyRed2024 en 12 segundos bajo hash SHA1, o poco más de dos minutos bajo hash SHA3 256.

Lo que significa ese patrón y por qué se probaron dos opciones de hash diferentes (recuerde, el hash es la forma en que se almacenan las contraseñas en un sitio web) realmente no es importante.

Sin embargo, si la contraseña que se utiliza con este patrón fuera realmente aleatoria, no descifraría nada. De hecho, intentar adivinar una contraseña verdaderamente aleatoria de 12 caracteres puede llevar aproximadamente 54 días con SHA1, e incluso más tiempo con SHA3.

Pero si esa contraseña se codificara con bcrypt (muchos sitios web lo usan), podría llevar millones de años descifrarla (164 para ser exactos).

Introduzca los administradores de contraseñas

El objetivo de todo este debate sobre las contraseñas es dejar en claro dos hechos.

En primer lugar, los humanos no pueden realizar operaciones aleatorias reales. Por ello, si tu contraseña ya se filtró o se puede adivinar fácilmente, ningún algoritmo de hash podrá protegerla ni a ella ni a las cuentas asociadas a ella.

En segundo lugar, cuanto más larga sea la contraseña, más única será y, por lo tanto, más segura y protegida será, siempre y cuando no se reutilice en varios sitios web.

Sólo con un administrador de contraseñas puedes obtener contraseñas verdaderamente aleatorias, largas y únicas para cada sitio web al que accedas.

Entonces, ¿qué administrador de contraseñas deberías usar? Esa es la mejor parte: puedes usar el que quieras.

Si bien no son todos iguales, su funcionalidad principal sí lo es.

La revista Wired tiene una reseña sólida de los administradores de contraseñas , que incluye un desglose de precios y funcionalidades. PC Mag también tiene un desglose completo de varios administradores de contraseñas. Vale la pena dedicar un tiempo a leer ambos.

La función clave que usted espera de un administrador de contraseñas es la capacidad de crear contraseñas que tengan al menos veinte (20) caracteres, con toda la combinación típica de letras, números y símbolos, así como la capacidad de crear una contraseña única para cada sitio web.

Si el sitio web no admite contraseñas muy largas, aún puedes usar el administrador de contraseñas para crear contraseñas realmente aleatorias, por lo que no es un inconveniente total.

Al fin y al cabo, un gestor de contraseñas significa que ya no habrá que reciclar contraseñas ni utilizar palabras o frases fáciles de adivinar. Las contraseñas son realmente aleatorias.

Ahora, existe otra capa de protección junto con el administrador de contraseñas: la autenticación multifactor (MFA). Analizaremos la MFA en otro blog próximamente. Por ahora, si su administrador de contraseñas ofrece habilitar esta opción de defensa (la mayoría lo hace), debería aprovecharla y habilitarla.

Por último, tenemos claves de acceso.

Es posible que haya oído hablar de ellas. Si hay tiempo este mes, profundizaremos en ese tema. En resumen, las claves de acceso son el reemplazo de las contraseñas. Sin embargo, implementarlas (desarrollo de software) y administrarlas (bloqueo del ecosistema) puede ser un poco complicado, algo en lo que están trabajando las industrias de seguridad y desarrollo. Es seguro que las claves de acceso se convertirán en una característica común en un futuro no muy lejano a medida que las cosas se desarrollen.

¡A mantenerse seguro!

Cómo crear una arquitectura de seguridad de red y carga de trabajo resiliente desde cero

Posted on

Por: Jorge Quintero / Cisco Systems

Desarrollar arquitecturas de seguridad de redes y cargas de trabajo puede ser una tarea abrumadora. No solo implica elegir la solución adecuada con el conjunto de capacidades adecuado, sino también garantizar que las soluciones ofrezcan el nivel adecuado de resiliencia.

La resiliencia suele considerarse una función de red, que debe ser lo suficientemente robusta como para manejar fallas y ofrecer rutas alternativas para transmitir y recibir datos. Sin embargo, la resiliencia a nivel de punto final o carga de trabajo a menudo se pasa por alto. Como parte de la creación de una arquitectura resiliente, es esencial incluir y planificar escenarios en los que la solución de punto final o carga de trabajo podría fallar.

Cuando examinamos el panorama actual de soluciones, generalmente se reduce a dos enfoques diferentes:

  • Agente
  • Sin agente
Enfoques basados ​​en agentes

Al elegir una solución de seguridad para proteger las cargas de trabajo de las aplicaciones, la discusión suele girar en torno a la correlación de los requisitos empresariales con las capacidades técnicas. Estas capacidades suelen incluir funciones de seguridad como la microsegmentación y la visibilidad del tiempo de ejecución. Sin embargo, un aspecto que suele pasarse por alto es la arquitectura del agente.

En general, existen dos enfoques principales para las arquitecturas basadas en agentes:

  • Instalación de módulos/controladores basados ​​en kernel en el espacio de usuario (en la ruta de datos)
  • Espacio de usuario transparente para el kernel (fuera de la ruta de datos)

La arquitectura del agente de Secure Workload fue diseñada desde cero para proteger las cargas de trabajo de las aplicaciones, incluso en el caso de un mal funcionamiento del agente, evitando así fallas en las cargas de trabajo de las aplicaciones.

Esta robustez se debe a nuestra arquitectura de agente, que opera completamente en el espacio de usuario sin afectar la ruta de datos de la red ni las bibliotecas de la aplicación. Por lo tanto, si el agente fallara, la aplicación seguiría funcionando con normalidad, evitando interrupciones en el negocio.

Agente transparente para aplicaciones
Figura 1: Arquitectura del agente de Secure Workload

Otro aspecto de la arquitectura del agente es que fue diseñada para brindarles a los administradores control sobre cómo, cuándo y qué agentes desean actualizar aprovechando los perfiles de configuración. Este enfoque brinda la flexibilidad de implementar actualizaciones de manera escalonada, lo que permite realizar las pruebas necesarias antes de pasar a producción.

Figura 2: Perfil de configuración del agente y actualizaciones del agente a pedido
Enfoques sin agentes

La mejor manera de proteger las cargas de trabajo de sus aplicaciones es, sin duda, mediante un enfoque basado en agentes , ya que ofrece los mejores resultados. Sin embargo, hay casos en los que no es posible instalar un agente.

Los principales impulsores para elegir soluciones sin agente a menudo se relacionan con dependencias organizacionales (por ejemplo, colaboración entre departamentos) o, en ciertos casos, el sistema operativo de la carga de trabajo de la aplicación no es compatible (por ejemplo, sistema operativo heredado, sistema operativo personalizado).

Al optar por soluciones sin agente, es importante comprender las limitaciones de estos enfoques. Por ejemplo, sin un agente, no es posible lograr visibilidad en tiempo de ejecución de las cargas de trabajo de la aplicación.

Sin embargo, la solución elegida debe seguir ofreciendo las características de seguridad necesarias, como visibilidad integral de los flujos de tráfico y segmentación de la red para proteger las cargas de trabajo de las aplicaciones.

Secure Workload ofrece un enfoque holístico para obtener visibilidad de múltiples fuentes, como:

  • Fijación IP
  • Flujo de red
  • Cortafuegos seguro NSEL
  • Telemetría segura de clientes
  • Registros de flujo de nube
  • Cisco ISE
  • F5 y Citrix
  • ERSPAN
  • Unidades de procesamiento de datos (DPU)

…y ofrece múltiples formas de hacer cumplir esta política:

  • Cortafuegos seguro
  • Grupos de seguridad en la nube
  • Unidades de procesamiento de datos (DPU)
Cisco Secure Workload: microsegmentación desde las instalaciones locales hasta la nube
Figura 3: Puntos de cumplimiento sin agente con carga de trabajo segura
Puntos clave

Al elegir la solución de microsegmentación de red y carga de trabajo adecuada, tenga siempre en cuenta los riesgos, incluido el panorama de amenazas y la resiliencia de la propia solución. Con Secure Workload, obtiene:

  • Arquitectura de agente resiliente
  • Visibilidad y cumplimiento del tiempo de ejecución de la aplicación con microsegmentación
  • Conjunto diverso de características de aplicación sin agente

Obtenga más información sobre Cisco Secure Workload

Los firewalls y las VPN bajo fuego: por qué las empresas están migrando a ZTNA

Posted on

Por: Jaye Tillson / HPE Aruba Networking

El año pasado se observó una tendencia alarmante de vulnerabilidades que afectaron a los principales proveedores de firewall y VPN, lo que generó serias preocupaciones sobre la seguridad de las soluciones tradicionales de acceso remoto.

En este artículo, exploraré parte de la información reciente sobre CVE (vulnerabilidades y exposiciones comunes) y explicaré por qué estos problemas están impulsando a las empresas a considerar Zero Trust Network Access (ZTNA) como una alternativa más segura a las soluciones VPN tradicionales.

Vulnerabilidades recientes de firewall y VPN

A continuación se muestran algunos ejemplos de CVEs de alto perfil recientes que afectan a productos de firewall y VPN:

  • Palo Alto Networks PAN-OS (CVE-2024-3400, abril de 2024): esta vulnerabilidad crítica, explotada de forma espontánea, permitió a atacantes no autenticados ejecutar código arbitrario con privilegios de root en los firewalls afectados. Palo Alto Networks lanzó parches rápidamente, pero la facilidad de explotación y las posibles consecuencias resaltan la gravedad del problema que enfrentan las empresas para mantener segura a su fuerza laboral.
  • Enrutador VPN multicanal Viprinet (varios CVE, en curso): una serie de vulnerabilidades (incluidas varias de 2023) permitieron a los atacantes inyectar scripts maliciosos o HTML en el enrutador VPN, lo que podría provocar el robo de credenciales o la vulneración de la cuenta.
  • Fortinet FortiOS VPN (CVE-2022-29944): esta vulnerabilidad crítica de 2022 eludió la autenticación, lo que permitió a los atacantes obtener potencialmente acceso no autorizado a una red.
  • Pulse Secure Pulse Connect Secure (CVE-2021-30144): esta falla de alta gravedad de 2021 podría permitir a los atacantes ejecutar código arbitrario en un servidor VPN vulnerable, lo que les otorgaría un control total sobre el sistema. Esto ha llevado a muchas empresas a cerrar esta solución de acceso remoto sin una solución alternativa, lo que ha obligado a sus usuarios a regresar a las oficinas y ha provocado malestar y frustración.
  • Citrix ADC y Gateway (CVE-2019-19781): esta vulnerabilidad crítica de 2019 afectó a varios productos de Citrix y permitió a los atacantes ejecutar código de forma remota. La explotación de esta vulnerabilidad podría haber otorgado a los atacantes control total sobre los sistemas afectados. Muchos de los sistemas en producción aún no han sido parcheados.

Estos son solo algunos ejemplos, pero se pueden encontrar muchos otros con una búsqueda rápida en Internet. Estas vulnerabilidades ponen de relieve los riesgos de seguridad inherentes asociados con la confianza en soluciones de seguridad basadas en perímetro, como cortafuegos y VPN.

Además de esta mayor superficie de ataque, las soluciones VPN tradicionales también tienen otras fallas que las hacen vulnerables en nuestro nuevo mundo laboral híbrido:

  • Complejidad: Administrar y configurar varios firewalls y VPN puede ser complejo, lo que dificulta mantener una postura de seguridad adecuada. Los errores de configuración suelen dejar brechas importantes en la seguridad.
  • Granularidad limitada: las soluciones tradicionales suelen ofrecer un control de acceso limitado, lo que permite a los usuarios acceder a una red de forma amplia una vez autenticados. Este enfoque de “todo o nada” genera un riesgo innecesario.
¿Por qué las empresas están avanzando hacia la ZTNA?

El acceso a la red de confianza cero (ZTNA) ofrece un enfoque más seguro para el acceso remoto al eliminar el concepto de confianza implícita en la red. Así es como ZTNA aborda las limitaciones de las soluciones tradicionales:

  • Superficie de ataque reducida: ZTNA elimina la necesidad de VPN y puntos de acceso remotos expuestos. Los usuarios solo se conectan a las aplicaciones específicas que necesitan, lo que minimiza la superficie de ataque y los posibles daños por infracciones.
  • Gestión simplificada: las soluciones ZTNA suelen estar basadas en la nube y son más fáciles de gestionar que las complejas configuraciones de firewall y VPN. Esto reduce el riesgo de error humano en las configuraciones de seguridad.
  • Control de acceso granular: ZTNA aplica un control de acceso granular, otorgando a los usuarios acceso solo a aplicaciones y recursos autorizados en función de factores como la identidad, el dispositivo, la ubicación y el contexto. Esto minimiza el daño potencial si se produce una infracción.

El aumento de las vulnerabilidades de los cortafuegos y las VPN, junto con los beneficios de ZTNA, está impulsando a las empresas a explorar este nuevo enfoque. ZTNA ofrece una solución más segura, manejable y adaptable para las fuerzas de trabajo dinámicas y distribuidas de la actualidad.

Cómo monitorear el tráfico de red: hallazgos del informe de tendencias de amenazas cibernéticas de Cisco

Posted on

Por: Ben Nahorney / Cisco Systems

El panorama de amenazas está lleno de objetivos en movimiento. Con el tiempo, las herramientas, tácticas y procedimientos populares cambian. Las técnicas maliciosas pasan de moda y vuelven con fuerza meses, si no años, después. Mientras tanto, los profesionales de la seguridad monitorean el tráfico de la red y adaptan sus defensas para proteger a sus usuarios y redes. Mantenerse al tanto de estas tendencias es una de las tareas más desafiantes para cualquier equipo de seguridad.

Un área excelente para buscar tendencias es la actividad DNS maliciosa. Hoy en día, casi todas las actividades maliciosas requieren una conexión a Internet para llevar a cabo un ataque con éxito. Por ejemplo, un atacante utiliza una puerta trasera para conectarse a un sistema remoto y enviarle instrucciones. Los ladrones de información necesitan una conexión a una infraestructura maliciosa para extraer datos confidenciales. Los grupos de ransomware deben poder “activar el interruptor” de forma remota para cifrar los sistemas de la víctima.

En nuestro último informe, Informe de tendencias de amenazas cibernéticas: desde adquisiciones de troyanos hasta ruleta de ransomware , tomamos el extraordinario volumen de dominios maliciosos que Cisco ve y bloquea (más de 1 millón cada hora) y los examinamos en busca de tendencias y patrones maliciosos. Estos datos nos llegan gracias a la seguridad de la capa DNS que está disponible en Cisco Umbrella y   Cisco Secure Access .

Echemos un vistazo más de cerca a cómo llevamos a cabo esta investigación, un par de tendencias destacadas en el informe y qué puede hacer usted para defenderse mejor contra estas amenazas.

Cómo se analizaron los datos DNS para el informe

Para crear una imagen clara a partir de un conjunto de datos tan grande, analizamos las categorías que Umbrella aplica a dominios maliciosos conocidos. Estas categorías de tipos de amenazas son agrupaciones funcionales de amenazas que utilizan técnicas similares en sus ataques.

Examinamos un período de ocho meses (agosto de 2023 a marzo de 2024) y calculamos el volumen promedio mensual para cada categoría de tipo de amenaza. Para examinar las tendencias, luego calculamos cuánto estuvo cada mes por encima o por debajo del volumen promedio. Esto nos brinda una visión simplificada de cómo la actividad de las amenazas cambia con el tiempo.

Aquí es donde comenzaron a surgir patrones a partir de grandes cantidades de tráfico malicioso de Internet, y los resultados son bastante interesantes. A modo de ejemplo, veremos las tres categorías de tipos de amenazas más activas que se encuentran en este informe.

Ladrones de información

La categoría de amenaza que experimentó la mayor actividad durante el período fue la de los ladrones de información. Esto no sorprende, ya que es una categoría que incluye la exfiltración de grandes lotes de documentos y el monitoreo de comunicaciones de audio/video generará una gran cantidad de tráfico DNS.

Actividad de DNS en torno a los ladrones de información

Aquí aparece una tendencia interesante: tres meses de actividad superior al promedio, seguidos de un mes de actividad inferior al promedio. Especulamos que estas caídas en la actividad podrían estar relacionadas con grupos de ataque que procesan los datos que roban. Cuando nos enfrentamos a una montaña de documentos y grabaciones que examinar, a veces tiene sentido tomarnos un descanso para ponernos al día.

Troyanos frente a ransomware

A continuación, comparemos dos categorías aparentemente dispares: troyanos y ransomware. La actividad troyana fue mayor al comienzo de nuestro período de tiempo y luego disminuyó con el tiempo. Esta actividad no indica que el uso de troyanos esté perdiendo popularidad, sino que resalta la naturaleza de flujo y reflujo que a menudo vemos en el panorama de amenazas. Cuando la actividad troyana disminuye, a menudo vemos surgir otros tipos de amenazas.

Actividad de DNS en torno a los troyanos

A diferencia de la actividad de los troyanos, la actividad del ransomware parece tener una tendencia en la otra dirección. Los primeros meses del período registraron una actividad por debajo del promedio, pero luego, en enero, saltó muy por encima del promedio y se mantuvo así.

Actividad de DNS en torno al ransomware

¿Por qué estos dos tipos diferentes de amenazas podrían tener tendencias opuestas? En muchos casos, los actores de amenazas utilizarán troyanos para infiltrarse y tomar el control de una red y luego, una vez que hayan obtenido suficiente control, implementarán ransomware.

Estos son sólo un par de ejemplos de tendencias del Informe de tendencias de amenazas cibernéticas . En el informe cubrimos varias categorías adicionales, incluidas algunas que siguen patrones similares a los troyanos y ransomware.

Cómo proteger y monitorear su propio tráfico de red

Una conexión a Internet es un componente principal de las amenazas modernas. Entonces, ¿por qué no bloquear esa conexión a Internet para bloquear las amenazas? Al monitorear y controlar las consultas de DNS, los profesionales de la seguridad a menudo pueden identificar y bloquear el tráfico malicioso antes de que llegue a los dispositivos de los usuarios finales. Algunas sugerencias de alto nivel, cubiertas con más detalle en el informe, incluyen las siguientes:

  1. Aprovechando la seguridad DNS
  2. Protegiendo sus puntos finales
  3. Implementación de una estrategia de defensa de la seguridad

Cisco tiene un punto de vista único aquí. No se puede proteger lo que no se puede ver y, dado que resolvemos un promedio de 715 mil millones de solicitudes de DNS diarias, vemos más amenazas, más malware y más ataques que cualquier otro proveedor de seguridad.

Con más de 30.000 clientes que ya eligen a Cisco como su socio de confianza en seguridad de la capa DNS, las organizaciones pueden estar seguras de que sus usuarios estarán mejor protegidos a través de su trabajo híbrido continuo, la transformación de la nube y los entornos distribuidos:

Aprende más

Descargue el informe completo para obtener más información clave sobre el panorama actual de amenazas:
Informe de tendencias de amenazas cibernéticas: de la adquisición de troyanos a la ruleta de ransomware

Obtenga más información sobre los hallazgos del nuevo informe Cyber ​​Threat Trends, donde compartiré más información sobre esta investigación, en nuestro seminario web el 20 de junio de 2024: The Web’s Most Wanted: A Cyber ​​Threat Trend Briefing.

Navegando por el panorama de las VPN en 2024

Posted on

Por: John Spiegel / Director de estrategia y CTO de campo, plataforma Axis Atmos SSE, impulsada por HPE Aruba Networking

A medida que nos acercamos al año 2024, las revoluciones digitales dentro de las empresas, lideradas por la nube, las soluciones XaaS y ahora la IA, se están acelerando. Si a esto le sumamos una nueva tendencia que surgió en 2020, la fuerza laboral híbrida, los líderes de TI tienen las manos ocupadas. Gran parte de este cambio se sustenta en una tecnología fundamental que nació a mediados de la década de 1990: la VPN de acceso remoto.

Originalmente diseñada para proporcionar a los empleados y al personal de soporte de TI acceso al centro de datos privado, esta misma tecnología ahora conecta a la fuerza laboral con aplicaciones públicas y privadas y admite recursos críticos de terceros. ¿A qué se debe esto y cuál es el estado actual de las VPN de acceso remoto? HPE Aruba Networking patrocinó una encuesta con Cybersecurity Insiders para comprender el panorama actual, cómo se utilizará en 2024 y hacia dónde se dirige el futuro de esta tecnología crítica. Se puede acceder al informe completo de riesgos de VPN aquí, que proporciona algunos resultados interesantes de 593 expertos en ciberseguridad y profesionales de TI.

Empecemos por el uso. Actualmente, el 96% de las organizaciones todavía utilizan VPN. Si bien una gran mayoría, el 80 %, utiliza acceso remoto seguro para aplicaciones públicas y privadas, el 33 % también utiliza VPN para conectar recursos críticos de terceros. Como era de esperar, el 92% utiliza esta tecnología una vez a la semana, y el 58% de los usuarios finales dicen que dependen de VPN para sus actividades diarias. Con toda esta actividad, uno pensaría que la solución sería fácil de usar, pero es todo lo contrario. El 65% de los encuestados informó que sus empresas alojan hasta 3 puertas de enlace VPN, y el 39% aloja 4 o más. Esto afecta tanto al empleado que debe seleccionar la puerta de enlace adecuada como al administrador de TI que debe administrar, parchear y solucionar problemas de diseños de sistemas cada vez más complejos. Esta es probablemente una de las razones por las que el 81% de los usuarios informaron insatisfacción con la solución. Las principales quejas incluyeron velocidades de conexión lentas, caídas, problemas constantes de autenticación y, lo que es peor, una experiencia de usuario inconsistente en diferentes dispositivos.

¿Qué tal la seguridad? El 92% de los encuestados expresaron aprensión con respecto a la seguridad de las VPN. El 24% tenía un nivel alto de preocupación, el 68% tenía un nivel moderado y sólo el 8% no estaba preocupado en absoluto. Esto se alinea con otros estudios sobre VPN de acceso remoto que encontraron un aumento del 270 % en los ataques de ingeniería social en 2021, un aumento del 1500 % en los ataques contra VPN de acceso remoto y al 71 % le preocupa que la tecnología comprometa sus negocios. Las principales vulnerabilidades incluyen phishing con un 43%, malware con un 42% y ransomware con un 47%. Además, existe el movimiento lateral, la capacidad del atacante de moverse por la red empresarial en busca de datos críticos y secretos corporativos. El 43% de los encuestados afirmó que no confiaba en la eficacia de la VPN para ayudar a segmentar la red de los ciberactores que deambulan por su red.

Con una insatisfacción extrema por la experiencia de los empleados, crecientes amenazas a la seguridad y un nivel de seguridad bajo, ¿qué nos depara el futuro? Aquí hay varios puntos brillantes. En primer lugar, las empresas están buscando nuevas soluciones para resolver este problema que ya lleva 30 años. El 56% de los encuestados está en el proceso de buscar o ya ha implementado soluciones alternativas, que se basan cada vez más en Zero Trust. Estas tecnologías colocan la identidad primero y luego ejecutan la solicitud de una aplicación o datos a través de una serie de pruebas adaptativas basadas en riesgos que incluyen: quién solicita el recurso, cuál es el estado del dispositivo, cuál es la ubicación, a qué hora del día. ¿Qué tan críticos son los datos para la organización? Basadas en la política empresarial, estas nuevas soluciones también tienen en cuenta la experiencia de los empleados. De hecho, pueden medir e informar el estado de la conexión e incluso tomar medidas para incluir tecnologías de “enrutamiento inteligente” para resolver problemas antes de que se conviertan en un problema. La complejidad también se puede reducir, ya que estas plataformas son soluciones de software entregadas desde la nube de forma similar a SaaS. Según el informe, el 59% de las organizaciones que respondieron están dando prioridad a las alternativas denominadas Zero Trust Network Access (ZTNA) a las VPN tradicionales en los próximos 24 meses. Dicho de otra manera, la migración a ZTNA está en marcha y se está acelerando.

Si bien ZTNA es una tecnología crítica y una piedra angular para implementar una estrategia general de Confianza Cero, el 83% informó que está dando un paso más y considerando una solución Secure Service Edge (SSE). SSE se basa en una base ZTNA al proteger a la empresa de las amenazas de Internet con Secure Web Gateway (SWG), proteger las soluciones SaaS con Cloud Access Security Broker (CASB), bloquear datos con Data Loss Prevention (DLP) y comprender la experiencia de los empleados con Digital. Monitoreo de Experiencia (DEM). Con SSE, lo que antes eran soluciones puntuales se agrupan en una plataforma unificada para reducir la carga de gestión, mejorar la seguridad y proporcionar a TI y al negocio un sólido retorno de la inversión (ROI). Para obtener más detalles sobre los riesgos de una VPN y elegir una alternativa segura, lea el Informe de riesgos de VPN de 2024 completo.