Los ciberataques al sector de la educación/investigación aumentaron un 75% el año pasado. La aplicación de parches, la segmentación de las redes y la formación de los empleados son clave en la prevención. En 2021 hubo un aumento del 50% en los ataques globales por semana a las redes corporativas en comparación con 2020.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado las estadísticas globales de los aumentos de ciberataques observados en 2021 por región, país y sector. El año pasado, Check Point Research detectó un aumento del 50% de amenazas por semana en las redes corporativas en comparación con el año 2020.
Esta tendencia alcanzó un máximo histórico a finales de año, llegando a 925 amenazas a la semana por organización, a nivel mundial. Los atacantes se dirigieron en mayor medida a África, Asia-Pacífico y América Latina, pero Europa registró el mayor aumento porcentual de ciberataques año tras año. La educación/investigación se situó en primer lugar como sector industrial más atacado en todo el mundo.
Menos de un mes después de que el mundo fuera testigo de una de las vulnerabilidades más graves de Internet, con millones de ofensivas por hora que intentaban explotar la vulnerabilidad Log4J, 2021 ha sido un año récord en cuanto a ciberseguridad. Ya en octubre, Check Point Research (CPR) informaba de un aumento del 40% en los ataques a nivel mundial, con 1 de cada 61 organizaciones en todo el mundo afectadas por el ransomware cada semana.
En 2021, la educación/investigación fue el sector que experimentó el mayor volumen de ofensivas, con una media de 1.605 ataques por organización cada semana. Esto supuso un crecimiento del 75% respecto a 2020. Le siguieron el ramo gubernamental/militar, que tuvo 1.136 asaltos por semana (47% de subida), y la industria de las comunicaciones, que tuvo 1.079 por organización (51% de incremento).
África experimentó el mayor volumen de ataques en 2021, con una media de 1.582 semanales por organización. Esto representa un aumento del 13% con respecto a 2020.
Le siguen APAC, con una media de 1.353 ofensivas semanales por empresa (25% de incremento); América Latina, con 1.118 de media (38% de ascenso); Europa, con 670 por semana (68% de aumento); y América del Norte, con una media de 503 agresiones semanales por empresa (61% de alza).
"Los ciberdelincuentes siguen innovando. El año pasado, vimos un sorprendente 50% más de ataques por semana en las redes corporativas en comparación con 2020, lo que supone un aumento significativo. Observamos que las cifras alcanzaron su punto álgido hacia finales de año, en gran parte debido a los intentos de explotación de la vulnerabilidad Log4J. Las nuevas técnicas de penetración y los métodos de evasión han facilitado a los atacantes la ejecución de intentos maliciosos. Lo más alarmante es que estamos presenciando la aparición de algunos sectores sociales fundamentales en la lista de los más atacados. Los sistemas educativos, gubernamentales y sanitarios se encuentran entre los cinco sectores más atacados del mundo. Prevemos que estas cifras aumenten de cara a 2022, ya que los ciberdelincuentes seguirán innovando y encontrando nuevos métodos para ejecutar las amenazas, especialmente el ransomware”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Estamos en una ciberpandemia, por así decirlo. Recomendamos encarecidamente a los usuarios, especialmente a los de los sectores de la educación, la administración y la sanidad, que aprendan lo básico sobre cómo protegerse. Medidas sencillas como la aplicación de parches, la segmentación de las redes y la formación de los empleados pueden contribuir en gran medida a que el mundo sea más seguro", concluye Pedraza.
Recomendaciones de seguridad
1. Prevención, no detección
2. Asegurar todo
3. Parchear a menudo
4. Segmentar sus redes
5. Educar a los empleados
6. Implementar tecnologías de seguridad avanzadas

*Las estadísticas y datos utilizados en este informe presentan datos detectados por las tecnologías de prevención de amenazas de Check Point Software, almacenados y analizados en ThreatCloud. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. ThreatCloud es en realidad el cerebro detrás del poder de prevención de amenazas de Check Point Software, combina la inteligencia de amenazas de big data con tecnologías avanzadas de IA para proporcionar una prevención precisa a todos los clientes de Check Point Software.

Check Point Research revela que Emotet es ahora el séptimo malware más prevalente, y su regreso se considera "extremadamente preocupante". Los sectores de la educación y la investigación siguen encabezando la lista de objetivos de los ciberdelincuentes.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de noviembre. Los investigadores informan que, mientras Trickbot sigue encabezando la lista de malware más predominante, afectando al 5% de las empresas a nivel mundial, el recientemente resurgido Emotet vuelve a aparecer en el índice en séptima posición. Asimismo, Check Point Research también revela que el sector que más se ha visto atacado es el de la educación/investigación.

A pesar de los grandes esfuerzos de Europol y de numerosos organismos policiales a principios de este año para acabar con Emotet, se ha confirmado que la famosa red de bots ha vuelto a la acción en noviembre y ya es el séptimo malware más utilizado. Trickbot encabeza el índice por sexta vez, e incluso está implicado en la nueva variante de Emotet, que se está instalando en máquinas infectadas utilizando la infraestructura de Trickbot.

Emotet se propaga a través de correos electrónicos de phishing que contienen archivos Word, Excel y Zip infectados que despliegan este malware en el host de la víctima. Los emails contienen líneas de asunto intrigantes como noticias de actualidad, facturas y falsos memorándums corporativos para atraer a las víctimas a abrirlos. Recientemente, Emotet también comenzó a propagarse a través de paquetes maliciosos de Windows App Installer que simulan ser software de Adobe.

"Emotet es una de las redes de bots más exitosas de la historia de la cibernética y es responsable de la explosión de ataques de ransomware dirigidos que hemos presenciado en los últimos años", dijo Maya Horowitz, VP de Investigación de Check Point Software. "La reaparición de la botnet en noviembre es extremadamente preocupante, ya que puede conducir a un mayor aumento de este tipo de ataques. El hecho de que esté utilizando la infraestructura de Trickbot significa que está acortando el tiempo que le llevaría a Emotet construir un punto de apoyo suficientemente significativo en las redes de todo el mundo. Dado que se está propagando a través de correos electrónicos de phishing con archivos adjuntos maliciosos, es crucial que la concienciación y la educación de los usuarios estén en lo más alto de la lista de prioridades de las empresas cuando se trata de ciberseguridad. Y cualquiera que quiera descargar el software de Adobe debe recordar, como con cualquier aplicación, que sólo debe hacerlo a través de los medios oficiales".

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar. Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 44% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 43.7%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.

Los 3 malware más buscados en Colombia en noviembre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en noviembre fue del 2.31%.
2. ↓Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en noviembre tuvo un impacto en las empresas del 13.69% y a nivel global del 2.16%.
3. ↑ Asyncrat - es un troyano que se dirige a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, matar procesos, desinstalarse / actualizarse y capturar impactos de pantalla del sistema infectado. En Colombia en noviembre tuvo un impacto en las empresas del 9.96% y a nivel global del 0.65%.

Los sectores más atacados en Europa
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Servicios públicos
3. Comunicaciones

Top 3 vulnerabilidades más explotadas en noviembre:

1. ↔ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↔ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.

Top 3 del malware móvil mundial en noviembre:

1. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

En 12 meses, se sustrajeron 3,64 Bitcoin, 55,87 Ether y 55.000 dólares en tokens ERC20. En uno de los casos, se secuestraron 26 ETH. La mayoría de las víctimas residen en Etiopía, Nigeria y la India.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado una variante de botnet que ha robado casi medio millón de dólares en criptodivisas a través de una técnica llamada "crypto clipping". La nueva variante, llamada Twizt y descendiente de Phorpiex, roba las criptomonedas durante las transacciones sustituyendo automáticamente la dirección de la cartera de víctima por la del ciberdelincuente. Los investigadores advierten a los inversores en criptodivisas que tengan cuidado con los destinatarios de los fondos, ya que se han interceptado 969 transacciones y se están multiplicando. Twizt puede operar sin servidores de C&C activos, lo que le permite evadir los mecanismos de seguridad, lo que significa que cada ordenador que infecta puede ampliar la red de bots.
Twizt se ha hecho con casi medio millón de dólares en criptodivisas
Check Point Research estima que Twizt se ha hecho con casi medio millón de dólares en criptodivisas. Sus características han llevado a pensar que la red de bots puede ser aún más estable y, por tanto, más peligrosa. Twizt aprovecha una técnica llamada "crypto clipping", que consiste en el robo de criptodivisas durante las transacciones mediante el uso de malware que sustituye automáticamente la dirección del monedero del destinatario real por la dirección del monedero del ciberdelincuente. El resultado es que los fondos van a parar a manos equivocadas.
En el plazo de un año, entre noviembre de 2020 y noviembre de 2021, los bots de Phorpiex secuestraron 969 transacciones, robando 3,64 Bitcoin, 55,87 Ether y 55.000 dólares en tokens ERC20. El valor de los activos robados en precios actuales es de casi medio millón de dólares estadounidenses. En varias ocasiones, Phorpiex pudo secuestrar transacciones de gran cantidad. La mayor cantidad de una transacción de Ethereum interceptada fue de 26 ETH.
Figura 1. Víctimas por país

“La nueva variante de Phorpiex entraña tres riesgos principales. En primer lugar, Twizt utiliza el modelo peer-to-peer y es capaz de recibir comandos y actualizaciones de miles de otros equipos infectados. Una red de bots peer-to-peer es más difícil de derribar e interrumpir su funcionamiento. Esto hace que Twizt sea más estable que las versiones anteriores de los bots Phorpiex. En segundo lugar, al igual que las antiguas versiones de Phorpiex, Twizt es capaz de robar criptografía sin necesidad de comunicarse con el C&C, por lo que es más fácil evadir los mecanismos de seguridad, como los cortafuegos. En tercer lugar, Twizt es compatible con más de 30 carteras de criptodivisas de diferentes Blockchain, incluyendo las principales como Bitcoin, Ethereum, Dash, Monero, lo que pone a su disposición una enorme superficie de ataque, y básicamente cualquiera que esté utilizando criptografía podría verse afectado” alerta Ivonne Pedraza, Gerente de Territorio CCA de Check Point Software Technologies. “Pedimos a los usuarios de criptomonedas que comprueben dos veces las direcciones de las carteras que copian y pegan, ya que podrían estar enviando inadvertidamente su cripto a las manos equivocadas”, concluye Ivonne Pedraza.
Recomendaciones de seguridad
1. Comprobar la dirección del monedero: cuando los usuarios copien y peguen la dirección de un monedero criptográfico, siempre deben comprobar que la dirección original y la pegada coinciden.
2. Transacciones de prueba: antes de enviar grandes cantidades en cripto, hay que mandar primero una transacción de "prueba" con una cantidad mínima.
3. Mantenerse actualizado: es imprescindible mantener el sistema operativo actualizado y no descargar software de fuentes no verificadas.
4. Omitir los anuncios: si se buscan carteras o plataformas de intercambio de criptomonedas en el espacio de las criptomonedas, siempre hay que fijarse en el primer sitio web de la búsqueda y no en el anuncio. Estos pueden inducir a error, ya que CPR ha encontrado estafadores que utilizan Google Ads para robar criptocarteras.
5. Mira las URLs: siempre hay que comprobar dos veces las URLs.

Un viernes cualquiera de febrero de 2021, la ciudad de Oldsmar (Florida) se despertó y descubrió que el sistema de agua había sido vulnerado. Un ciberdelincuente había intentado envenenar a los habitantes de la ciudad aumentando la cantidad de hidróxido de sodio (lejía) en el agua hasta niveles tóxicos. Afortunadamente, los empleados de la empresa municipal se dieron cuenta de la intrusión inmediatamente y lo detuvieron a tiempo. Esta situación es la peor pesadilla para cualquier proveedor o empresa que trabaje con dispositivos IoT.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, alerta de la gran vulnerabilidad, en cuestiones de ciberseguridad, que supone el aumento del uso de dispositivos IoT. Está claro que con esta nueva tecnología no se puede dar por sentado que un dispositivo es seguro o que es improbable que lo ataquen.
Los ciberdelincuentes se dirigen allí donde pueden encontrar la mayor recompensa y a medida que el uso de la IoT se expande, toda esta área se convierte en un objetivo cada vez más atractivo. Ahora, más que nunca, hay que asegurar los aparatos desde el principio para proteger a los clientes de los ciberataques. Pero, ¿qué dispositivos IoT son los más vulnerables a las ciberdelincuentes?:
• Dispositivos de automoción: la concienciación sobre la vulnerabilidad de los vehículos conectados ha crecido desde que un equipo de especialistas en seguridad consiguió vulnerar un todoterreno Jeep y sacarlo de la carretera. Según un informe de McKinsey, “los coches actuales tienen hasta 150 ECU [unidades de control electrónico] y unos 100 millones de líneas de código de software; para 2030, muchos expertos esperan que lleguen a tener unos 300 millones”, lo que los hace más complejos que un avión de pasajeros. Toda esta situación convierte a estos dispositivos en algunos de los más vulnerables frente a los ciberdelincuentes de no contar con el mejor software de ciberseguridad.
• Infraestructuras críticas: este tipo de ataques comprenden los ataques DDoS que han hecho caer incluso sistemas de calefacción y refrigeración. Dado que el IoT lo controla todo, desde las puertas de los garajes hasta la seguridad de los edificios, pasando por la iluminación y los sistemas de proyección, el potencial de caos en caso de que los ciberdelincuentes consigan acceder es casi infinito. Además, los dispositivos IoT sirven como puerta trasera de entrada a la red de una empresa puesto que dan a los atacantes acceso de raíz y permitiéndoles alterar el código fuente y moverse libremente por la misma, amenazando los servidores y datos sensibles.
• Dispositivos médicos: el aparato cardíaco implante de St. Jude's Medical contenía una vulnerabilidad que permitía a los ciberdelincuentes poner en peligro la vida de los pacientes. Aunque parece poco probable que un atacante llegue a detener literalmente el corazón de un paciente, esto habría sido un objetivo fácil para pedir un rescate importante. La ciberseguridad se está proclamando como uno de los aspectos más imprescindibles en una sociedad en la que la tecnología forma parte del día a día de las personas.
“La falta de normas y regulaciones, el acceso inseguro a la red o las contraseñas débiles son algunas de las principales razones por las cuales estos dispositivos entrañan ese nivel de vulnerabilidad. Si a eso le sumamos la gran dificultad para implementar la seguridad basada en el software o que los componentes de terceros pueden contener vulnerabilidades adicionales es el caldo de cultivo perfecto para provocar el caos de cualquier empresa o institución. Ahora que cada día se multiplican el número de objetos con conexión a Internet, es importante tener presente la ciberseguridad en todos los aparatos y blindar todos estos dispositivos extremando las medidas de protección necesarias”, destaca xxxx,
Check Point Software cuenta con el Quantum IoT Protect Firmware que proporciona a los fabricantes de dispositivos integrados una solución completa de extremo a extremo para todas sus necesidades de seguridad del firmware. Desde la detección de los riesgos de seguridad del firmware, pasando por el refuerzo de sus dispositivos con protección en tiempo de ejecución, hasta la gestión de sus dispositivos con políticas granulares, los fabricantes de IoT obtienen la visibilidad, la seguridad y los controles que necesitan para ofrecer a sus clientes productos conectados altamente seguros.

"Apache HTTP Server Directory Traversal", entra en Top Ten de principales vulnerabilidades. La investigación de Check Point revela que Trickbot es el malware más frecuente y que una nueva vulnerabilidad en Apache es una de las más explotadas en todo el mundo. La educación y la investigación encabezan la lista de objetivos de los ciberdelincuentes. Los malware Remcos, Glupteba y XMRig son los más buscados en Colombia. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de octubre. Los investigadores informan que el botnet y troyano bancario, Trickbot, sigue encabezando la lista de los programas maliciosos más frecuentes, afectando al 4% de las empresas de todo el mundo, mientras que "Apache HTTP Server Directory Traversal" ha entrado en la lista de las diez vulnerabilidades más explotadas. CPR también revela que el sector más atacado es el de la educación/investigación.

Trickbot es capaz de robar datos financieros, credenciales de cuentas e información personal identificable, así como de propagarse lateralmente dentro de una red y lanzar ransomware. Desde el desmantelamiento de Emotet en enero, Trickbot ha figurado cinco veces en el primer puesto de la lista de malware más frecuentes. Se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas con múltiples propósitos.

Una nueva vulnerabilidad, "Apache HTTP Server Directory Traversal", ha entrado en la lista de las diez principales vulnerabilidades explotadas en octubre, en el décimo lugar. Cuando se descubrió por primera vez, los desarrolladores de Apache publicaron correcciones para CVE-2021-41773 en Apache HTTP Server 2.4.50. Sin embargo, se descubrió que el parche era insuficiente y que seguía existiendo una brecha en el acceso a directorios en Apache HTTP Server. La explotación exitosa podría permitir a un ciberdelincuentes acceder a archivos arbitrarios en el sistema afectado.

"La vulnerabilidad de Apache apareció a principios de octubre y ya es una de las diez vulnerabilidades más explotadas en todo el mundo, lo que demuestra la rapidez con la que se mueven los ciberdelincuentes. Esta vulnerabilidad puede llevar a los ciberdelincuentes a mapear URLs a archivos fuera de la raíz del documento esperada, lanzando un ataque path transversal", afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. "Es imperativo que sus usuarios cuenten con las tecnologías de protección adecuadas". Este mes, Trickbot, que a menudo se utiliza para lanzar ransomware, vuelve a ser el malware más frecuente. A nivel mundial, una de cada 61 empresas sufre ransomware cada semana. Es una cifra impactante y las empresas deben hacer más. Muchos ataques comienzan con un simple correo electrónico, por lo que educar a los usuarios sobre cómo identificar una amenaza potencial es una de las defensas más importantes que una empresa puede desplegar."

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar.
Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 60% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 55%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 54% de los negocios en el mundo.

Colombia: Los 3 malware más buscados en octubre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en octubre tuvo un impacto en las empresas del 17.43% y a nivel global del 2.39%.
2. ↔ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en octubre fue del 2.19%.
3. ↓ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 13,69% de las organizaciones en Colombia en octubre. Su impacto global fue del 2.56%.

Los sectores más atacados a nivel mundial
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Comunicaciones
3. Gobierno/Militar

Top 3 vulnerabilidades más explotadas en octubre:

1. ↑ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↓ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en octubre:

1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. XLoader – es un troyano espía y bancario para Android desarrollado por Yanbian Gang, un grupo de hackers chinos. Este malware utiliza la suplantación de DNS para distribuir aplicaciones Android infectadascon el fin de recopilar información personal y financiera.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

En Estados Unidos hay un déficit de casi 465.000 profesionales de la ciberseguridad. A nivel mundial, se calcula que esta cifra es de unos 35 millones. Check Point Mind tiene el objetivo de hacer frente a la escasez mundial de competencias en ciberseguridad, para que los usuarios aprendan de los expertos del sector con la participación de más de 200 partners de formación. La Escuela de Ingeniería Tandon de la NYU se enorgullece de asociarse con Check Point Software
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha lanzado Check Point Mind, un portal de formación del conocimiento, con la colaboración de más de 200 partners de formación entre los que se encuentran algunos de los más reconocidos del mundo.

En agosto de 2021, el presidente de EE.UU., Joe Biden, se reunió con las principales empresas tecnológicas para tratar temas de ciberseguridad, entre ellos la necesidad de contratar y formar a más profesionales. Solo en Estados Unidos hay un déficit de casi 465.000 profesionales de la ciberseguridad y, a nivel mundial, se calcula que esta cifra es de unos 35 millones.

"Con el continuo aumento de ciberataques que cada vez son más sofisticados, Check Point Software se compromete a hacer accesible a todo aquel que lo necesite, la formación y el conocimiento en este campo", destaca Antonio Amador, Country Manager para el Norte de Latino América de Check Point Software. "A través de Check Point Mind, nuestro objetivo es dotar a cualquier persona, desde estudiantes hasta quienes tienen conocimientos y habilidades para contribuir a satisfacer la demanda global de más profesionales de esta disciplina".

Algunos de los programas que se pueden encontrar en el portal Check Point Mind incluyen:
• CISO Academy: un programa de educación global para ejecutivos de nivel C para ayudar a dominar todo tipo de prácticas de ciberseguridad y maximizar la seguridad, mientras se aprende a equilibrar el manejo de asuntos tácticos con las responsabilidades de liderazgo estratégico.
• HackingPoint: un programa educativo global para expertos en seguridad con el objetivo de ayudar a dominar todo tipo de técnicas de Pen Testing y prácticas. Los estudiantes que completen los cursos de HackingPoint entenderán cómo proteger mejor los recursos de arena de la red corporativa.
• SecureAcademy: educación en ciberseguridad en colaboración con las principales instituciones de enseñanza superior del mundo.
• CyberPark: una colección de asociaciones y desafíos gamificados que permiten a los usuarios aprender sobre los desafíos de seguridad y entrenar utilizando las soluciones de Check Point de una manera interactiva y divertida.
"El lanzamiento del portal de formación Check Point Mind es otro paso positivo que apoyará a los profesionales y a la industria en general a la hora de abordar la brecha global de habilidades en ciberseguridad. Al proporcionar una mayor elección en el acceso a la formación y las oportunidades de desarrollo profesional, podemos ayudar y animar a más personas a seguir carreras de esta disciplina", afirma Greg Clawson, EVP Global Sales, Marketing and Customer Experience en (ISC)². "La actual asociación entre (ISC)2 y Check Point Software, reforzada además por la posibilidad de acceder a nuestros cursos a través de la plataforma Check Point Mind, es una poderosa combinación".

"La Escuela de Ingeniería Tandon de la NYU se enorgullece de asociarse con Check Point Software en nuestro objetivo compartido de educar a todos los trabajadores de la ciberseguridad de hoy y de mañana", dijo Nasir Memon, vicedecano de Asuntos Académicos y Estudiantiles, director de Tandon Online y profesor de Ciencias de la Computación e Ingeniería en la NYU Tandon. "Además de una base de ingeniería rigurosa y técnica, ponemos un fuerte énfasis en el aprendizaje práctico aplicado para asegurar la preparación de sus alumnos en este campo. La insignia de Check Point proporciona habilidades prácticas en Seguridad de Redes, Seguridad en la Nube, Seguridad de Endpoints y Móviles y es un componente clave de NYU Cyber Fellows, nuestro máster de élite en ciberseguridad online".

"El portal de formación Mind de Check Point Software responde a las necesidades de formación de las empresas que necesitan la máxima protección contra los cada vez más numerosos y sofisticados ciberataques. Arrow Education Services - número 1 en el mundo para la formación de Check Point Software (2021) - se enorgullece de poder apoyar a Check Point en la aportación de las habilidades adecuadas al mercado", resalta Jacques Assant, director de Negocios de Educación ECS EMEA.

"Apoyamos a Check Point Software en su plataforma Mind que permite a cualquier persona adquirir nuevas habilidades y certificaciones de ciberseguridad", dijo Wesley Samuel, vicepresidente senior de Ventas Globales de Cybrary. "Respetamos mucho a nuestros partners que también ponen tanto énfasis en hacer más accesible la formación para, en última instancia, hacer frente a la creciente brecha de habilidades en ciberseguridad que sigue persistiendo. ".

"Para nuestra compañía es un honor haber sido elegidos para formar parte de Check Point Cyber Range, uno de los programas de Check Point Mind. Creemos que la formación continua con herramientas innovadoras y accesibles aumentan la resiliencia de las empresas. Con la misión de reducir la escasez mundial de profesionales de la ciberseguridad, Cympire construyó la plataforma más avanzada de formación y evaluación nativa de la nube, un simulador altamente personalizable y gamificado con un catálogo de contenido completo. Utilizando nuestra plataforma, los profesionales de la ciberseguridad pueden practicar enfrentándose a amenazas reales”, afirma Yaniv Shachar, CEO de Cympire.

"edX se suma al portal de formación Mind de Check Point Software en un momento en el que las habilidades de ciberseguridad son más relevantes y necesarias que nunca", ha declarado Johannes Heinlein, director comercial y vicepresidente senior de Asociaciones Estratégicas de edX. "Como colaborador de edX, Check Point Software ha tenido un impacto increíble compartiendo su experiencia con la comunidad de alumnos de edX, y estamos encantados de ampliar ese impacto para llegar a más personas interesadas en una carrera en ciberseguridad".

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha sido reconocida como líder en el informe Grid® de G2 para software de firewalls por su enfoque en la incursión de la seguridad en la nube, la mejora del rendimiento e integración y su gestión centralizada y unificada.
G2 clasifica los productos y los fabricantes basándose en las reseñas de la experiencia de los usuarios, así como en los datos de fuentes online y redes sociales calcula las puntuaciones de satisfacción y presencia en el mercado en tiempo real. En cada categoría, los clientes señalaron su satisfacción con la solución y Check Point Software recibió puntuaciones de liderazgo en seis categorías.
Alrededor de 940 usuarios calificaron sistemáticamente a Check Point Software como líder con una presencia excepcional en el mercado para el software de firewalls, la seguridad de datos en la nube y de datos móviles, así como para la prevención avanzada de amenazas, las operaciones automatizadas de centros de datos y la gestión escalable y el compliance. Con más de 3.500 expertos en seguridad, una unidad de investigación e inteligencia a nivel mundial y un amplio ecosistema de socios empresariales y tecnológicos, Check Point Software se compromete a ayudar a proteger a las empresas de los ciberataques de quinta generación.
"Este reconocimiento como Líderes por G2 en nuestras soluciones de firewalls es muy importante para nosotros, sobre todo porque supone la validación de la comunidad de usuarios. Gracias a la plataforma de Check Point Quantum y a los gateways, somos capaces de ofrecer a nuestros clientes seguridad y rendimiento con una prevención de amenazas avanzada", afirma Itai Greenberg, vicepresidente de gestión de productos en Check Point Software Technologies. "Proteger el nuevo entorno de trabajo híbrido es una prioridad absoluta para nosotros. Con la inteligencia de amenazas en tiempo real, la visibilidad y la flexibilidad para distribuir las cargas de trabajo entre el centro de datos y la nube, Check Point Software ha transformado el centro de datos híbrido proporcionando a los empleados remotos y a las empresas una protección inigualable".
Los clientes, desde las pequeñas y medianas empresas hasta las empresas globales, calificaron a Check Point Next Generation Firewalls con cinco estrellas. Aproximadamente, el 90% de los usuarios dijeron que recomendarían los firewalls de nueva generación de Check Point Software a otras empresas.
Check Point Software está transformando la forma en que las empresas aseguran sus centros de datos híbridos con Check Point R81.10, Quantum Maestro y los dispositivos de gestión de seguridad Quantum Smart-1. Dados los resultados de las evaluaciones de G2, los clientes de Check Point Software pueden sentirse seguros de que la tecnología simplificará la orquestación del flujo de trabajo de su centro de datos y escalará sus gateways bajo demanda.

Microsoft, con un 29%, se mantiene como líder de las marcas más utilizadas para ataques de phishing a nivel mundial, aunque a un ritmo más lento, por debajo del 45% del segundo trimestre de 2021. Por primera vez este año, las redes sociales se sitúan entre los tres primeros sectores con más intentos de phishing. Check Point Research un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report correspondiente al tercer trimestre de 2021. El informe destaca las marcas más imitadas por los ciberdelincuentes en sus intentos de robar información personal o credenciales de pago de los usuarios durante los meses de julio, agosto y septiembre de 2021.

En el tercer trimestre, Microsoft continúa su reinado como la más atacada por los ciberdelincuentes, aunque con una tasa levemente inferior. El 29% de todos los intentos de phishing de marca estaban relacionados con el gigante tecnológico, frente al 45% del segundo trimestre de 2021. Amazon ha sustituido a DHL en la segunda posición, representando el 13% de todos los intentos de phishing frente al 11% del trimestre anterior, motivado por las compras online en el periodo previo a la temporada navideña.

El informe también revela que, por primera vez este año, las redes sociales se encuentran entre los tres sectores más imitados en los intentos de phishing, ya que WhatsApp, LinkedIn y Facebook aparecen en la lista de las 10 marcas más imitadas.

"Los ciberdelincuentes intentan innovar de forma constante en sus intentos de robar los datos personales de los internautas suplantando a las principales marcas. Por primera vez este año, las redes sociales están entre las tres categorías más explotadas, sin duda por el creciente número de personas que trabajan y se comunican a distancia tras la pandemia", afirma Omer Dembinsky, director de Inteligencia de datos de Check Point Software. "Desgraciadamente, no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de phishing. A menudo, es el elemento humano el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico. Como siempre, animamos a los usuarios a ser precavidos a la hora de divulgar sus datos, y a pensarlo dos veces antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser imitados. Tras los datos del tercer trimestre, también instamos a los consumidores a estar atentos a cualquier email u otras comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp".

En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una empresa conocida, utilizando un nombre de dominio o una URL y un diseño de sitio web similares a los de la marca auténtica. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. La página web falsa suele contener un formulario encaminado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el tercer trimestre de 2021
1. Microsoft (relacionado con el 29% de todos los intentos de phishing de marcas a nivel mundial)
2. Amazon (13%)
3. DHL (9%)
4. Best Buy (8%)
5. Google (6%)
6. WhatsApp (3%)
7. Netflix (2.6%)
8. LinkedIn (2.5%)
9. Paypal (2.3%)
10. Facebook (2.2%)

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser suplantados.

• Microsoft, con un 29%, se mantiene como líder de las marcas más utilizadas para ataques de phishing a nivel mundial, aunque a un ritmo más lento, por debajo del 45% del segundo trimestre de 2021
• Por primera vez este año, las redes sociales se sitúan entre los tres primeros sectores con más intentos de phishing

- Check Point Research un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report correspondiente al tercer trimestre de 2021. El informe destaca las marcas más imitadas por los ciberdelincuentes en sus intentos de robar información personal o credenciales de pago de los usuarios durante los meses de julio, agosto y septiembre de 2021.

En el tercer trimestre, Microsoft continúa su reinado como la más atacada por los ciberdelincuentes, aunque con una tasa levemente inferior. El 29% de todos los intentos de phishing de marca estaban relacionados con el gigante tecnológico, frente al 45% del segundo trimestre de 2021. Amazon ha sustituido a DHL en la segunda posición, representando el 13% de todos los intentos de phishing frente al 11% del trimestre anterior, motivado por las compras online en el periodo previo a la temporada navideña.

El informe también revela que, por primera vez este año, las redes sociales se encuentran entre los tres sectores más imitados en los intentos de phishing, ya que WhatsApp, LinkedIn y Facebook aparecen en la lista de las 10 marcas más imitadas.

"Los ciberdelincuentes intentan innovar de forma constante en sus intentos de robar los datos personales de los internautas suplantando a las principales marcas. Por primera vez este año, las redes sociales están entre las tres categorías más explotadas, sin duda por el creciente número de personas que trabajan y se comunican a distancia tras la pandemia", afirma Omer Dembinsky, director de Inteligencia de datos de Check Point Software. "Desgraciadamente, no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de phishing. A menudo, es el elemento humano el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico. Como siempre, animamos a los usuarios a ser precavidos a la hora de divulgar sus datos, y a pensarlo dos veces antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser imitados. Tras los datos del tercer trimestre, también instamos a los consumidores a estar atentos a cualquier email u otras comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp".

En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una empresa conocida, utilizando un nombre de dominio o una URL y un diseño de sitio web similares a los de la marca auténtica. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. La página web falsa suele contener un formulario encaminado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el tercer trimestre de 2021
1. Microsoft (relacionado con el 29% de todos los intentos de phishing de marcas a nivel mundial)
2. Amazon (13%)
3. DHL (9%)
4. Best Buy (8%)
5. Google (6%)
6. WhatsApp (3%)
7. Netflix (2.6%)
8. LinkedIn (2.5%)
9. Paypal (2.3%)
10. Facebook (2.2%)

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser suplantados.

Durante las últimas semanas, los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, han detectado varios casos de usuarios tuiteados sobre la pérdida del saldo de su cartera de criptomonedas tras recibir un mensaje con un enlace ofreciendo un regalo del marketplace OpenSea.

OpenSea es el mayor mercado actual peer-to-peer para cripto coleccionables y tokens no fungibles, también conocidos como NFT. OpenSea llegó a registrar 3.400 millones de dólares en volumen de transacciones solo en agosto de 2021, y ha crecido hasta convertirse en el mayor mercado de tokens no fungibles del mundo.

El hecho de que las criptomonedas no estén reguladas en muchos países del mundo deja a estos monederos de los consumidores como un objetivo atractivo para los ciberdelincuentes. De hecho, últimamente, han surgido varios informes que afirman que algunas carteras digitales de diferentes compradores han desaparecido, lo que ha hecho que los coleccionistas pierdan cientos de miles de dólares en NFT. Los informes especulaban con que el ataque podía comenzar tras recibir un mensaje con un regalo gratuito de un desconocido, o un enlace a OpenSea:

En los informes se teorizaba, además, con que al aceptar dicho regalo o pulsar el enlace a OpenSea, el receptor perdía todas sus criptomonedas. Este ejemplo, junto con otros que informaron de diferentes estafas dentro de este mercado, ha motivado a los investigadores a buscar y encontrar vulnerabilidades dentro de la plataforma, que podrían haber permitido a los ciberdelincuentes a secuestrar las cuentas y robar las criptomonedas de las carteras digitales.
Desde Check Point Research fueron capaces de identificar fallos de seguridad críticos en OpenSea, demostrando que una NFT maliciosa podría utilizarse para secuestrar cuentas y robar estos monederos. La explotación exitosa de las vulnerabilidades habría requerido los siguientes pasos:
• El atacante crea y regala una NFT maliciosa a la víctima.
• La víctima ve la NFT maliciosa, lo que desencadena una ventana emergente del dominio de almacenamiento de OpenSea, solicitando la conexión a la cartera de criptomonedas (este tipo de ventanas emergentes son comunes en la plataforma en otras actividades).
• Tras hacer clic para conectar su billetera, con el fin de realizar una acción en la NFT regalada, permitiendo así el acceso al monedero.
• El ciberdelincuente puede obtener el dinero de la cartera activando una ventana emergente adicional, que también se envía desde el dominio de almacenamiento de OpenSea. El usuario está obligado a pinchar en la ventana emergente, si no se da cuenta de la nota en la misma que describe la transacción.
• El resultado final podría ser el robo de toda la cartera de criptomonedas del usuario.

"Nuestro interés en OpenSea surgió cuando vimos que se hablaba de carteras de criptomonedas robadas en Internet. Especulamos sobre la existencia de un método de ataque en torno a OpenSea, así que iniciamos una investigación exhaustiva de la plataforma. El resultado fue el descubrimiento de un método para robar las criptocarteras de los usuarios, simplemente enviando una NFT maliciosa a través de la misma. Inmediatamente y de forma responsable revelamos nuestros hallazgos a OpenSea, que rápidamente trabajó con nosotros para desplegar una solución. Creo que los datos de nuestra investigación, y la rápida actuación de OpenSea, evitarán los robos de carteras de criptomonedas de los usuarios”, explica Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point Software.

“La innovación de la cadena de suministro (blockchain) está en pleno desarrollo y las NFT están aquí para quedarse. Dado el enorme ritmo de la innovación, existe un desafío inherente a la integración segura de las aplicaciones de software y los mercados de criptomonedas. La comunidad de ciberseguridad debe dar un paso adelante para ayudar a las tecnologías pioneras de blockchain a proteger los criptoactivos de los consumidores. Advertimos seriamente a la comunidad de OpenSea que esté atenta a las actividades sospechosas que puedan conducir al robo”, concluye Vanunu.

Check Point Research comunicó a OpenSea de forma inmediata y responsable sus hallazgos detectados el pasado 26 de septiembre. En menos de una hora después de la notificación, OpenSea solucionó el problema y verificó la solución. CPR trabajó estrechamente y en colaboración con su equipo para garantizar que la solución funcionara correctamente. OpenSea se mostró muy receptivo y compartió los archivos svg que contenían objetos iframe de su dominio de almacenamiento, para que CPR pudiera revisarlos juntos y asegurarse de que todos los vectores de ataque estuvieran cerrados.

Declaración de OpenSea:
"La seguridad es fundamental para OpenSea. Apreciamos que el equipo de CPR nos informara de esta vulnerabilidad y colaborara con nosotros mientras investigábamos el caso e implementábamos una solución una hora después de que se nos informara. Estos ataques se basaban en que los usuarios autorizaran la actividad maliciosa a través de un proveedor de monederos de terceros, conectando su cartera aportando una firma para la transacción maliciosa. No hemos podido identificar ningún caso en el que se haya explotado esta vulnerabilidad, pero estamos actuando directamente con los monederos de terceros que se integran en nuestra plataforma para ayudar a los usuarios a identificar mejor las solicitudes de firma maliciosas, así como otras iniciativas para que los usuarios puedan frustrar las estafas y los ataques de phishing con mayor eficacia. También estamos redoblando la educación de la comunidad en torno a las mejores prácticas de seguridad y hemos puesto en marcha una serie de posts en el blog sobre cómo mantenerse a salvo en la web. Animamos tanto a los nuevos miembros como a los veteranos a leer esta serie. Nuestro objetivo es capacitar a la comunidad para detectar, mitigar y denunciar ataques en el ecosistema blockchain, como el demostrado por CPR”.

Cómo protegerse frente a estos ciberataques
Los investigadores de Check Point Research recomiendan extremar las precauciones cuando se reciban solicitudes para firmar su cartera online. Antes de aprobar una solicitud, se debe revisar cuidadosamente lo que se solicita, y considerar si la solicitud es anormal o sospechosa. En caso de tener alguna duda, conviene rechazar la solicitud y examinarla más a fondo, antes de dar dicha autorización.

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado un preocupante incremento en el número de vendedores de certificados de vacunación falsos. El pasado 10 de agosto, se localizaron aproximadamente 1.000 vendedores que afirmaban ofrecer certificados falsos en Telegram, y en apenas un mes, esa cifra se ha multiplicado por 10 hasta alcanzar los 10.000.

Ya en diciembre de 2020, CPR detectó cientos de anuncios en la Darknet en los que se ofrecían y vendían vacunas a la venta, y crecieron un 400% en comparación con los meses anteriores. En marzo de 2021, mientras el despliegue mundial de las vacunas COVID-19 comenzaba a acelerarse, el número de ofertas se triplicó, con puntos de venta principalmente en Estados Unidos y en países europeos como España, Alemania, Francia y Rusia. Los precios de los "pasaportes de vacunas" falsos eran de 250 dólares cada uno, mientras que los resultados negativos falsos de las pruebas de COVID-19 costaban sólo 25 dólares.
Un bot de Telegram que crea certificados falsos de forma gratuita
No es la primera vez que los investigadores informan de esta tendencia mundial; desde que comenzó la pandemia en 2020, se ha monitorizado el crecimiento de esta "industria". Sin embargo, parece que a medida que la pandemia alcanza nuevos picos, también lo hace este mercado, ya que sigue mejorando sus capacidades, ampliando su distribución y aumentando sus seguidores.
Actualmente, se están detectando nuevas técnicas que los ciberdelincuentes utilizan para vender más. Por ejemplo, en Austria, se ha descubierto un bot de Telegram que crea certificados falsos de forma gratuita. Todo lo que hay que hacer es rellenar los datos pertinentes y se compartirá con ellos un archivo pdf con todos sus datos rellenados, como en el caso adjunto: una prueba de PCR negativa.
Un código QR muestra un enlace a la falsa base de datos europea
Asimismo, se ha descubierto una nueva técnica adicional que utilizan los vendedores de certificados de vacunas falsos. Una gran cantidad de ellos afirman tener acceso a una base de datos europea de personas vacunadas, también conocida como Centro Europeo para la Prevención y el Control de las Enfermedades (sostienen que los posibles compradores pueden registrarte allí y que, si alguien lo llega a comprobar más tarde, se daría cuenta de que han sido registrados como una persona vacunada).
Si el comprador no es lo suficientemente prudente como para comprobar los datos de la página web, podría pensar que se trata de una web auténtica y una base de datos real, y que está registrado como vacunado, lo que claramente no es el caso. Los investigadores de Check Point Research han detectado una URL incrustada en el código QR recibido del vendedor, un código QR que muestra un enlace a la falsa base de datos europea.
“Mientras seguimos vigilando el mercado negro en el que se venden certificados falsos de la vacuna COVID-19, el equipo de Check Point Research (CPR) ha descubierto una nueva técnica: el supuesto acceso a la página web del Centro Europeo para la Prevención y el Control de las Enfermedades, que almacena los datos de las personas vacunadas en toda Europa. Este hecho es absolutamente falso”, explica Ivonne Pedraza, Territory manager CCA de Check Point Software.
En el último informe de Check Point Software, en agosto de 2021, los certificados falsos de "pasaporte de vacunación" se vendían a un precio de entre 100 y 120 dólares, y que la mayoría de estos ciberdelincuentes procedían de países europeos. Actualmente, también puede encontrarse el certificado COVID digital de la UE, las tarjetas de vacunas COVID-19 del CDC y del NHS, y las pruebas falsas de PCR COVID-19. El número de grupos de anuncios y su tamaño se han multiplicado en un 100% desde principios de 2021.
Cuanto más crezca la necesidad y la demanda, más ampliarán los ciberdelincuentes sus actividades. Hoy se sabe que los vendedores ofrecen certificaciones falsas de muchos más países, entre ellos: Italia, Francia, España, Portugal, Alemania, Bélgica, Países Bajos, Grecia, Finlandia, Rumanía, Rusia, Bulgaria, Suiza, Austria, Polonia, República Checa, Letonia, Irlanda, Malta, Reino Unido y Ucrania.
"Los vendedores envían documentación falsa desde un sitio web falso del Centro Europeo para la Prevención y el Control de las Enfermedades, que podría pasar por lícitos en un control de fronteras o a la entrada de un local. Nuestro equipo descubrió una URL incrustada en un código QR, que muestra un enlace a la base de datos fraudulenta. No sólo las personas no vacunadas tienen un acceso fácil y barato a documentos falsos, sino que además esos documentos parecen enlazar con sitios web que parecen creíbles, lo que facilita aún más que los estafadores se cuelen en la red. Hasta que no haya una colaboración internacional entre los gobiernos y una base de datos mundial común y unificada para verificar los certificados legítimos, esto seguirá causando problemas y socavando los esfuerzos para controlar la pandemia”, alerta Ivonne Pedraza.

Recomendaciones para la concienciación
• Como afirmación de carácter general: los certificados auténticos relacionados con la salud no se venden por Internet. Cualquiera que se ofrezca a vender este tipo de documentos online lo está haciendo claramente de forma ilegal. Se recomienda no contratar con los ciberdelincuentes que publiquen en estos grupos o mercados en cualquier lugar de la red.
• Cada país debería gestionar internamente un registro central de pruebas y personas vacunadas, que puede y debe ser compartido de forma segura entre los organismos autorizados pertinentes dentro del país.
• Todos los "pases verdes" y certificados de vacunación deberían ser gestionados y encriptados de forma segura por los organismos oficiales pertinentes dentro de cada país, así como un código QR que pueda ser escaneado con fines de autentificación.
• Los países deberían cooperar y compartir la información relativa a estos datos y crear un archivo seguro con claves de encriptación para permitir que las personas puedan circular utilizando únicamente certificados legítimos y para poder detectar los falsos.

El modelo de trabajo híbrido implica que el número de dispositivos conectados a la red empresarial es mayor, aumentando de forma exponencial los puntos de entrada para los cibercriminales . De cara al futuro, el 74% de las organizaciones permitirán a los empleados trabajar desde casa o en "modo híbrido" de forma permanente, algo que ha obligado a que los trabajadores utilicen diferentes dispositivos para que les sea posible realizar todas sus tareas.
Según una encuesta realizada por Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, en la actualidad el 59% de las empresas tiene como principal prioridad la protección de los endpoints y dispositivos móviles. Los motivos principales por los que es primordial actualizar su seguridad y así lograr mantener los sistemas empresariales a salvo de cualquier ciberataque son:
• Más dispositivos, más puntos de entrada: en el 46% de las empresas al menos un empleado ha descargado una aplicación móvil maliciosa, según el Security Report 2021 de la compañía. Este dato evidencia que cuantos más trabajadores en remoto se conectan desde diferentes aparatos a la red empresarial, más posibilidades hay de que un cibercriminal consiga introducir una ciberamenaza para poder robar sus datos, archivos etc. Contar con una solución que ofrezca protección integral y multidispositivo ya no es una opción, es una cuestión de supervivencia.
• Los dispositivos desactualizados implican más peligro: estamos en una etapa de constante transformación tecnológica en la que los ciberataques irán desarrollándose a medida que se vayan implementando de forma masiva las nuevas tecnologías como el IoT, o el desarrollo de las ya existentes como la inteligencia artificial o la infraestructura cloud. Está claro que cuantos más hardware tengan acceso a la red, más probabilidad hay de que alguna aplicación no esté actualizada y aumente el riesgo. Los cibercriminales van evolucionando y las empresas deben hacerlo también para mantenerse protegidas frente a las nuevas generaciones de ciberataques.
• Bloquear las vulnerabilidades aisladas: basta con que un equipo que no esté adecuadamente protegido sea víctima de un cibercriminal para poner en peligro toda una red empresarial. La protección de los endpoints ayudará, sobre todo, a limitar la entrada de vulnerabilidades de los dispositivos individuales conectados. Si un aparato concreto sufre un ataque, el sistema será capaz de bloquear las posibles vulnerabilidades de cada uno de los integrados en la red.
• Prevenir los problemas antes de que se produzcan: el hecho de limitar la protección a un único software de antivirus convencional implica que tan solo se está recurriendo a medidas reactivas que funcionan una vez que el endpoint ha sufrido una infección. Ahora las empresas necesitan adoptar un enfoque proactivo de la ciberseguridad con capas adicionales de protección, como la detección, bloqueo y prevención de amenazas en la web. Dado que los endpoints están en la primera línea de la defensa de los datos, es fundamental que se tomen todas las medidas necesarias para evitar que se produzcan incidentes en este punto. Otra de las actividades proactivas imprescindibles es la de proveer de formación en ciberseguridad a la plantilla, ya que de esta manera serán la primera barrera contra cualquier tipo de ciberataque.
“La pandemia ha hecho más vulnerables los puntos de acceso corporativos, puesto que entran en juego más dispositivos en el nuevo formato de trabajo, por lo que tener una seguridad de endpoints sólida y actualizada debe ser una de las prioridades de las empresas este año”, explica Ivonne Pedraza, Territory Manager CCA de Check Point Software.

● Partido Colombia vs. Chile con un aforo de 25 mil personas.
● Rentokil Initial, líder mundial en aplicar protocolos de bioseguridad, ya tiene preparado el estadio para recibir a los seleccionados y al público.
● Bioseguridad integral del Metropolitano

Nuevamente la multinacional inglesa Rentokil Initial fue seleccionada como proveedor, para alistar y manejar los protocolos de bioseguridad durante el partido de las eliminatorias al mundial de fútbol Catar 2022, en el estadio Metropolitano de Barranquilla Roberto Meléndez. En esta oportunidad para el encuentro Colombia frente a Chile.

Barranquilla, se vistió de fiesta para recibir a la selección Colombia en su casa y a la selección de Chile, en un nuevo encuentro por las eliminatorias para acceder a un cupo, al mundial de fútbol que se celebrará en Catar el próximo año y para lo cual preparó su estadio Metropolitano, con todos los protocolos de bioseguridad para recibir a 25 mil espectadores.

La multinacional inglesa Rentokil Initial, con más de 100 años de experiencia en el mundo y 30 años en Colombia, cuenta con una solución integral de higiene preventiva, desinfección y purificación del aire, para asegurar el estricto y adecuado cumplimiento de los protocolos de bioseguridad sustentados en tecnología inteligente. La desinfección de las distintas zonas del estadio Metropolitano, se ejecutaron previo al partido de fútbol y durante el mismo. Dichas actividades se cumplieron con personal especializado de la empresa; expertos conocedores del protocolo y su aplicación.

Para el cumplimiento de la sanitización del Estadio Metropolitano de Barranquilla, se activaron diversos frentes de control, entre los que se destacan la desinfección preventiva de tribunas, camerinos, sala de prensa, cabinas de radio, palcos de prensa y palcos VIP. Estas mismas áreas contaron con purificación del aire durante el tiempo en que se ocuparon por periodistas e invitados. Al igual que la zona mixta. También, se instalaron en las zonas de ingreso de público, camerinos, palcos y zona mixta más de 50 tótems dispensadores de gel antibacterial y detectores de temperatura.

La bioseguridad lo primero
La Federación Colombiana de Fútbol con su proveedor, con rigor y altos estándares internacionales de bioseguridad recibió a los combinados y al público, para vivir este encuentro deportivo, con protocolos que permitieron celebrar la emoción de este decisivo partido, protegiendo y cuidando a los asistentes a la casa de la Selección Colombia.

“Estamos orgullosos de ser seleccionados nuevamente, para manejar la bioseguridad de un nuevo partido de la selección Colombia en el Estadio Metropolitano de Barranquilla Roberto Meléndez, en este regreso de público a los estadios. Con nuestra experiencia y calidad estamos construyendo un esquema de confianza y tranquilidad, para hacer sostenible la presencia segura de los colombianos en los partidos de la Selección Colombiana de Fútbol en el país”, dijo Gerardo Gutiérrez Mata, Gerente General de Rentokil Initial Colombia.
La multinacional inglesa Rentokil Initial es experta en protección integral de ambientes, control de plagas e higiene, con presencia, soporte y soluciones en más de 80 países, y que tiene como objetivo corporativo proporcionar entornos saludables y seguros, “Proteger a las personas y mejorar sus vidas” es su misión.

Rentokil Initial aliado y partner de grandes encuentros deportivos internacionales

Para el Abierto de Australia 2021, la compañía suministró entre otros servicios, unidades de desinfección de manos y desinfección especializada de la flota de vehículos que transportaron a los jugadores y al personal hacia y desde el complejo deportivo Melbourne Park, en donde se jugó este abierto de tenis y primer Grand Slam del año.

Igualmente, Rentokil tiene una alianza para desinfectar los campos deportivos de clubes de La Liga Española, como Real Madrid Club de Fútbol, Sevilla Fútbol Club, Real Club Deportivo Mallorca, Real Sociedad de Fútbol, entre otros. En Latinoamérica, atiende el Estadio Azteca en Ciudad de México y el Estadio Arena Do Grêmio en Porto Alegre, Brasil.

Importantes empresas como Marriott, McDonald’s, Almacenes Éxito, Grupo Nutresa, Kellogg, PepsiCo, Alpina, Quala, CAFAM, Colsubsidio entre otras, son clientes de Rentokil.

Check Point Research (CPR) ha detectado una vulnerabilidad de seguridad en la función de filtro de imágenes de WhatsApp, que, al aplicarse en una foto y enviarla, dejaba la puerta abierta para que un ciberdelincuente pudiese acceder a información sensible almacenada en la memoria de WhatsApp. La división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial, expuso una vulnerabilidad de seguridad en WhatsApp, la aplicación de mensajería más popular del mundo con más de 2.000 millones de usuarios activos. Esta vulnerabilidad habría permitido a un ciberdelincuente acceder a información sensible en la memoria de WhatsApp.
Función de filtro de imágenes
La vulnerabilidad tenía su origen en la función de filtro de imagen de WhatsApp, un proceso mediante el cual se modifican los píxeles de la imagen original para conseguir algunos efectos visuales, como el desenfoque o la nitidez. Durante su estudio de investigación, CPR descubrió que el cambio entre varios filtros en archivos GIF elaborados provocaba efectivamente el bloqueo de WhatsApp. En este sentido, CPR identificó uno de los bloqueos como una alteración de la memoria. CPR informó rápidamente del problema a WhatsApp, que denominó la vulnerabilidad CVE-2020-1910, detallándola como un problema de lectura y escritura. Para que un ciberdelincuente hubiese podido explotar este fallo tendría que enviar una imagen tratada con este tipo de filtros.
Se calcula que se envían más de 55.000 millones de mensajes diarios a través de WhatsApp, y que se comparten 4.500 millones de fotos y 1.000 millones de vídeos al día.
"Con más de dos mil millones de usuarios activos, WhatsApp es un objetivo atractivo para los ciberdelincuentes. Una vez que descubrimos la vulnerabilidad de seguridad, informamos rápidamente de nuestros hallazgos a WhatsApp, que se mostró colaborador a la hora de emitir una solución. El resultado de nuestros esfuerzos colectivos es un WhatsApp más seguro para los usuarios de todo el mundo”, señala Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point
"Trabajamos regularmente con investigadores de seguridad para mejorar las numerosas formas en que WhatsApp protege los mensajes de la gente, y apreciamos el trabajo que Check Point hace para investigar cada rincón de nuestra app. La comunidad no debería tener ninguna duda de que el cifrado de extremo a extremo sigue funcionando y los mensajes de los usuarios siguen estando seguros. No tenemos ninguna razón para creer que los usuarios se hayan visto afectados por este fallo. Dicho esto, incluso los escenarios más complejos que los investigadores identifican pueden ayudar a aumentar la seguridad de los usuarios. Como con cualquier producto tecnológico, recomendamos a los usuarios que mantengan sus aplicaciones y sistemas operativos al día, que descarguen las actualizaciones siempre que estén disponibles, que informen de los mensajes sospechosos y que se pongan en contacto con nosotros si tienen problemas al utilizar WhatsApp.", comentan desde WhatsApp.

En el campo móvil los más fuertes globalmente son xHelper, AlienBot y Hiddad. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de julio. Los investigadores señalan que, aunque a nivel Trickbot sigue siendo el malware más extendido, Snake Keylogger, detectado por primera vez en noviembre de 2020, ha subido al segundo puesto tras realizar una intensa campaña de phishing.

Snake es un keylogger.NET modular y ladrón de credenciales. Su función principal es registrar las pulsaciones de los usuarios en ordenadores o dispositivos móviles y transmitir los datos recogidos a los ciberdelincuentes. En las últimas semanas, Snake ha crecido rápidamente a través de emails de phishing bajo diferentes temáticas en diferentes países y sectores empresariales.

Las infecciones de Snake suponen una gran amenaza para la privacidad y la ciberseguridad de los usuarios, ya que este malware puede sustraer prácticamente todo tipo de información sensible, además de ser un keylogger especialmente evasivo y persistente. Actualmente existen foros clandestinos de hacking en los que se puede adquirir este Keylogger por precios que oscilan entre los 25 y los 500 dólares, dependiendo del nivel de servicio ofrecido.

Este tipo de ataque puede ser especialmente peligroso debido a que las propias víctimas tienden a utilizar la misma contraseña y nombre de usuario para diferentes cuentas, y una vez que una de las credenciales de inicio de sesión se vulnera, el ciberdelincuente obtiene acceso a todas las que tienen la misma clave. Para poder detenerlo, es esencial utilizar una opción exclusiva para cada uno de los diferentes perfiles. Para ello, se puede recurrir a un gestor de contraseñas que permita tanto gestionar como generar distintas combinaciones de acceso robustas para cada servicio en función de las pautas decididas.

"Siempre que sea posible, los usuarios deberían contar con tecnologías de autenticación multifactor (MFA) o de inicio de sesión único (SSO)", afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. "Además, cuando se trata de políticas de contraseñas, elegir una clave fuerte y única para cada servicio es el mejor consejo, ya que así, incluso si los ciberdelincuentes se hacen con una de tus credenciales, ésta no les dará inmediatamente acceso a múltiples portales y servicios. Los keyloggers, como Snake, se distribuyen a menudo a través de correos electrónicos de phishing, por lo que es esencial que los usuarios sepan estar atentos a las pequeñas discrepancias, como las faltas de ortografía en los enlaces y las direcciones de email, y sean educados para no hacer clic en enlaces sospechosos ni abrir archivos adjuntos desconocidos".

Asimismo, los expertos de la compañía advierten que “Revelación de información del servidor web Git", es la vulnerabilidad explotada más común - afectó al 45% de las empresas a nivel mundial-, seguida de "Ejecución de Código Remoto en encabezados HTTP” que impactó a más del 44%. “Ejecución de código en remoto de MVPower DVR"Dasan" se sitúa en tercer lugar, afectando al 42% de los negocios a nivel mundial.

Los 3 malware más buscados en Colombia en julio:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 15,38% de las organizaciones en Colombia en junio. Su impacto global fue del 2.91%.
2. ↔Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 12.82% de las organizaciones en Colombia en este periodo. Su impacto global en junio fue del 2.15%.
3. ↑ Remcos – Es una RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos maliciosos de spam, y está diseñado para eludir la seguridad de UAC de Microsoft Windows y ejecutar malware con privilegios de alto nivel. En Colombia en julio tuvo un impacto del 9.40% y a nivel global del 1.28%.

Otros malwares muy activos en Colombia en julio fueron xHelper, Floxif, Phorpiex y WBNA.

Top 3 vulnerabilidades más explotadas en julio

1. Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.
2. Ejecución remota de código en encabezados HTTP (CVE-2020-13756) – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
3. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.

Top 3 del malware móvil mundial en julio

1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. Hiddad – es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

El Índice de Impacto Global de las Amenazas de Check Point Software y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point Software, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.

El número de seguidores de estos grupos aumenta en un 566%, con una media de 100.000 seguidores cada uno, y algunos grupos superan los 450.000 seguidores. “Rebajas” en estas credenciales: pasan de costar 200 dólares en marzo de éste mismo año a 100 dólares en la actualidad.
El abanico de países para los documentos de vacunación falsos se amplía, ya que hace cuatro meses la mayoría de los anuncios eran de EE.UU., Reino Unido y Alemania. Hoy, los vendedores de la darknet publicitan credenciales fraudulentas para todo el mundo, incluidos Suiza, Pakistán, Países Bajos, Italia, Grecia, Indonesia o Francia.
Desde el mes de marzo, Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado un aumento del 257% en el número de vendedores que utilizan Telegram para anunciar credenciales de vacunación falsas a aquellos "que no quieren vacunarse", a medida que aumenta la presión para vacunarse con la variante Delta, que se está extendiendo rápidamente. Por tan solo 100 dólares, cualquiera puede comprar certificados falsos de los CDC, del NHS y del COVID digital de la UE, entre otros.
Los ciberdelincuentes están organizando sus servicios en grupos en Telegram, con algunos grupos que superan los 450.000 seguidores, ya que los vendedores consideran que Telegram es un medio mucho más eficiente para escalar la distribución. Se pueden comprar certificados de vacunación para casi todos los países. La mayoría de los certificados fraudulentos se venden en países europeos.
"Estamos aquí para salvar al mundo de esta venenosa vacuna": eslogan para la venta de pasaportes COVID falsos
En marzo de 2021, CPR publicó un informe que detallaba por primera vez la tendencia de los "pasaportes de vacunas" falsos que se vendían online en la darknet. Desde entonces, los investigadores de Check Point Research han seguido vigilando el mercado negro en busca de actividad en torno a supuestos servicios de coronavirus.
Los anuncios están destinados específicamente a las personas "que no quieren recibir la vacuna". Una de las publicidades analizadas decía "estamos aquí para salvar al mundo de esta venenosa vacuna". Estos reclamos realzan la capacidad de viajar y trabajar libremente como beneficios de su producto. Además, los argumentos publicitarios afirman que sus credenciales de vacunación están registradas y verificadas en el sistema del NHS y de los CDC online, así como en la base de datos de la UE.
Para realizar el pago, los ciberdelincuentes aceptan mayoritariamente pagos a través de PayPal y de criptodivisas (Bitcoin, Monero, Dogecoin, Litecoin, Ethereum y otras). En algunos casos, se aceptan credenciales de regalo de Steam, Amazon y ebay. La manera de contactar con estos delincuentes es sencilla, ellos mismos indican que su método de contacto es Telegram, WhatsApp, correo electrónico, Wickr y Jabber.
Ahora la actividad del mercado negro de venta de certificados falsos se centra en Telegram
En marzo, la mayoría de los certificados fraudulentos de coronavirus se anunciaban en la darknet. Ahora, CPR ha detectado que la mayor parte de la actividad del mercado negro se centra en Telegram. Los investigadores sospechan que el cambio a Telegram ha ayudado a los ciberdelincuentes a escalar sus esfuerzos de distribución, llegando a más consumidores, más rápido.
"Llevamos todo el año estudiando la darknet y la aplicación Telegram en busca de servicios relacionados con el coronavirus. Ahora mismo, se pueden comprar credenciales de vacunación falsas para casi todos los países. Lo único que hay que hacer es indicar el país del que se es y lo que se quiere. Los vendedores están optando por anunciarse y hacer negocios en Telegram porque escala su distribución. El uso de Telegram es menos técnico en comparación con la red oscura y puede llegar a una cantidad desmesurada de personas, rápidamente. Creemos que el aumento del mercado se debe a la rápida propagación de la variante Delta y a la urgencia de que todo el mundo se vacune”, alerta Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point Software. “En efecto, hay personas que no quieren vacunarse, pero que quieren las libertades que conlleva su certificado y estas recurren cada vez más a la darknet y a Telegram. Desde marzo, los precios de las credenciales de vacunación falsas han bajado a la mitad y los grupos online de estos servicios fraudulentos contra el coronavirus cuentan con cientos de miles de seguidores. Recomiendo encarecidamente a la gente que no contrate a estos vendedores para nada, ya que estos vendedores buscan algo más que venderte credenciales de vacunación amañadas”, concluye Vanunu.
Consejos de concienciación:
1. No hay que involucrarse. La darknet funciona principalmente como el mercado negro de Internet y suele estar implicada en transacciones relacionadas con drogas, armas cibernéticas, falsificaciones, etc. Recomendamos a los usuarios que no se involucren con los vendedores que publican en dichos grupos o mercados publicados en la darknet.
2. Compartir de forma segura. Cada país debería gestionar internamente un repositorio central de pruebas y personas vacunadas, que puede y debe compartirse de forma segura entre los organismos autorizados únicamente dentro del país.
3. Utilizar la encriptación. Todos los "pases verdes" y certificados de vacunación deberían ser gestionados y encriptados de forma segura por los organismos oficiales pertinentes dentro de cada país y permitir escanear un código QR y autentificarlo.
4. Fomentar la cooperación. Los Estados deberían cooperar para compartir la información relativa a estos datos y crear un repositorio seguro con claves de encriptación, para permitir que la ciudadanía se desplace utilizando únicamente certificaciones legítimas y poder detectar las falsificadas.

El informe ‘Cyber Attack Trends: 2021 Mid-Year Report’ de Check Point señala cómo los ciberdelincuentes han seguido explotando la pandemia de Covid-19 y destaca un aumento del 93% en el número de ataques de ransomware a nivel mundial. La región de EMEA experimentó el mayor aumento de ciberataques del mundo con un 36%, seguido por América con un 34% y APAC con un 13%. Las empresas de APAC sufrieron 1.338 ataques semanales, seguidas de las de EMEA, con 777, y las de América, con 688.

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado “Cyber Attack Trends: 2021 Mid-Year Report” que muestra cómo los ciberdelincuentes han seguido explotando el trabajo híbrido y apuntan a organizaciones de todos los sectores, incluyendo la Administración Pública, la sanidad y las infraestructuras críticas.

Las empresas han experimentado un aumento del 29% en los ciberataques a nivel mundial. La región de EMEA fue la que más creció, con un 36%, seguida de América, con un aumento del 34%, y APAC, con un 13% de crecimiento de los ataques. Este año, también ha surgido una nueva técnica de ransomware de "triple extorsión". Si bien ha habido operaciones internacionales exitosas contra la ciberdelincuencia, como el desmantelamiento de la conocida red de bots Emotet, los autores de las amenazas han diseñado sofisticados ataques que explotaron las cadenas de suministro de las organizaciones para causar interrupciones generalizadas.

Las principales conclusiones del informe son:

• Aumento global de los ciberataques: en 2021, las organizaciones estadounidenses sufrieron una media de 443 ataques semanales, lo que supone un aumento del 17% respecto a principios de año. En EMEA, la media semanal de ataques por compañía fue de 777, un aumento del 36%. En APAC también sufrieron 1.338 ataques semanales, un aumento del 13%. En concreto, en Europa se produjo un aumento del 27%, mientras que en América Latina se registró un incremento del 19%.
• El aumento de los ataques de ransomware y la "triple extorsión": a nivel mundial, el número de ataques de este tipo contra empresas aumentó un 93% en el primer semestre de 2021, en comparación con el mismo período del año anterior. Además de robar datos confidenciales de las mismas y amenazar con hacerlos públicos a menos que se realice un pago, los atacantes se dirigen ahora a los clientes y/o socios comerciales de las compañías y les exigen también un rescate.
• Los ataques a la cadena de suministro se intensifican: el conocido ataque de SolarWinds destaca en 2021 por su impacto, pero se han producido otros como el de Codecov en abril, y más recientemente el de Kaseya.
• La carrera por convertirse en el sucesor de Emotet: tras el desmantelamiento de la botnet en enero, otros malwares están ganando rápidamente popularidad, concretamente: Trickbot, Dridex, Qbot e IcedID.
• Predicciones para el segundo semestre de 2021: el ransomware crecerá, a pesar de que las medidas de seguridad se intensifiquen. El aumento del uso de herramientas de penetración para dar a los cibercriminales la capacidad de personalizar los ataques sobre la marcha y la tendencia a los daños colaterales más allá de la víctima inicial exigen una estrategia centrada en la misma.

"En la primera mitad de 2021, los ciberdelincuentes han seguido adaptando sus prácticas de operación para explotar el cambio al trabajo híbrido, apuntando a las cadenas de suministro de las empresas y a los enlaces de red con los colaboradores para lograr la máxima interrupción", dijo Maya Horowitz, vicepresidenta de investigación de Check Point Software. "Este año los ciberataques han seguido batiendo récords e incluso hemos visto un gran aumento en el número de ataques de ransomware, con incidentes de alto perfil como Solarwinds, Colonial Pipeline, JBS o Kayesa. De cara al futuro, los entornos corporativos deben ser conscientes de los riesgos y asegurarse de que cuentan con las soluciones adecuadas para prevenir, sin interrumpir el flujo normal del negocio, la mayoría de los ataques, incluidos los más avanzados."

Entre las principales predicciones para el H2 destacadas en el informe se encuentran:

La guerra contra el ransomware se intensificará - Los ataques de ransomware seguirán proliferando a pesar del aumento de la inversión por parte de los gobiernos y las fuerzas de seguridad, especialmente cuando la sea una prioridad para la Administración Biden . Con dicha inversión y herramientas cada vez más avanzadas, las autoridades disfrutarán de algunos éxitos, pero los actores de las amenazas evolucionarán y surgirán nuevos grupos en la carrera armamentística del ransomware.

El Ataque de intermediario o Man-in-the-Middle se convierte en el hacker de la red - En los últimos dos años, hemos visto una aceleración en el uso de herramientas de penetración, como Cobalt Strike y Bloodhound. Estas herramientas no sólo suponen un verdadero reto desde el punto de vista de la detección, sino que también conceden a los ciberdelincuentes acceso a las redes comprometidas, lo que les permite escanear y desplazarse a voluntad y personalizar los ataques sobre la marcha. Los profesionales de la seguridad necesitarán todo un nuevo conjunto de herramientas para detectar esta forma de ataque y evitar que se produzca en el futuro.

Daños colaterales más allá del objetivo inicial - La creciente tendencia a la triple extorsión, los ataques a la cadena de suministro e incluso los simples ciberataques remotos pueden afectar a las empresas más que nunca. La tendencia a la triple extorsión en el ransomware incluye ahora no sólo a la organización objetivo original, sino también a sus clientes, socios y proveedores. Esto multiplica las víctimas reales de cada ataque y requiere una estrategia de seguridad especial.

Categorías de ciberataques por región en el primer semestre de 2021:

Check Point proporciona protección contra las vulnerabilidades Zero-day con sus soluciones de seguridad de redes, nube, usuarios y acceso. Nuestra tecnología resistente a la evasión maximiza la protección de día cero sin comprometer la productividad del negocio. Por primera vez, las empresas pueden reducir el riesgo de ataques desconocidos implementando un enfoque de "prevenir primero".

Está previsto que en las vacaciones de mitad de año o de verano de 2021 se batan récords de viajes en todo el mundo, sobre todo, gracias al avance de la vacunación en muchos países y el levantamiento de restricciones para viajar. Los ciberdelincuentes suelen aprovechar este momento para lanzar ataques contra los viajeros, con más ahínco ahora que llevan más de un año sin poder desplazarse de forma más o menos libre por el mundo y tienen ganas de volver a la normalidad en todos los aspectos.

Por ello, Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha elaborado una serie de consejos básicos para que los viajeros estén protegidos contra cualquier ciberriesgo en estas vacaciones:

• Evitar los puntos Wi-Fi públicos: el acceso gratuito a las numerosas Wi-Fi presentes en espacios públicos es un aliciente muy grande para los viajeros, pero también puede plantear algunas amenazas graves para la seguridad. No es raro que los ciberdelincuentes se sienten en cafeterías o aeropuertos, esperando a que las personas que van a tomar un vuelo entren en la Wi-Fi pública, y así poder aprovecharse de los más despistados. Es importante rehuir las Wi-Fi que no estén protegidas por una contraseña y, además, asegurarse de que son fiables. Para ello, hay que extremar las precauciones evitando conectarse a cualquier punto de acceso Wi-Fi gratuito. Y en caso de utilizarlas es primordial no acceder a las cuentas personales o datos sensibles al conectarse a esas redes.
• Comprobar dos veces los sitios web en los que se reserva un viaje: los ciberataques relacionados con los viajes pueden producirse incluso antes de que éstos comiencen. Hay que asegurarse de que el sitio web de viajes que se está utilizando es de confianza. Los ciberdelincuentes tienden a copiar sitios web reales y fingir que ofrecen vacaciones o viajes de lujo con descuento, con el fin de robar su información personal. Si una oferta parece o suena demasiado buena para ser verdad, probablemente no lo sea. Antes de seguir adelante, es recomendable investigar a fondo la empresa que la ofrece. Además, es preferible utilizar una tarjeta de crédito para las transacciones online en lugar de una de débito. Las compañías de tarjetas de crédito suelen tener protecciones contra el fraude en caso de ser víctima de la ciberdelincuencia, mientras que en otro caso es probable que el dinero desaparezca.
• Desconfiar de los cajeros automáticos: una de las principales medidas para sortear cualquier posible riesgo es fijarse en posibles indicios de que no es seguro el cajero automático del que se va a sacar dinero. Es común que los ciberdelincuentes, especialmente en las zonas turísticas, conecten con los ladrones de credenciales de tarjetas de crédito en cajeros automáticos independientes. Para estar seguro, se recomienda utilizar los cajeros oficiales del banco en cuestión, preferiblemente los situados en el vestíbulo de la sucursal.
• No compartir ubicación: compartir la ubicación con los amigos en las redes sociales es divertido, pero también es peligroso desde el punto de vista de la seguridad. Evitar anunciar las fechas y la ubicación de las futuras vacaciones y en los mensajes fuera de la oficina es un buen hábito que aportará un extra de seguridad. Compartir ese tipo de datos personales a través de las diferentes RRSS, no sólo invita a que invadan la privacidad, sino que también proporciona pistas a los posibles atacantes para que se organicen ciberataques.

"Los viajes van a batir récords este verano. Por ese motivo, esperamos que crezcan los ciberataques que se aprovecharán de los veraneantes que quieren salir, por fin, después de toda la cuarentena. Todo el mundo debería tener presente las medidas de ciberseguridad cuando viaje estos próximos meses. Hay algunas precauciones fundamentales y básicas que las personas puede tomar para mantenerse a salvo, como no compartir su ubicación o no utilizar cualquier cajero automático que vean. También evitaría utilizar puntos de Wi-Fi públicos en la medida de lo posible. Una buena acción es preguntar en el hotel qué medidas de seguridad tienen en su conexión a Internet, o utilizar un protector de pantalla en los dispositivos mientras se viaja, ya que nunca se sabe quién está mirando por encima del hombro. Desgraciadamente, ahora vivimos en la era de la ciberpandemia, así que puede pasar cualquier cosa", afirma Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point Software.

El 53% de las víctimas residen en los Estados Unidos, incluyendo usuarios de Mac y Windows. Check Point Research (CPR), proveedor líder de soluciones de ciberseguridad a nivel mundial, informa de la evolución de una variedad de malware que roba información a los usuarios de MacOS. Por tan solo 49 dólares en la Darknet, los hackers pueden comprar licencias para el nuevo malware, que permite obtener credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones de teclado y ejecutar archivos maliciosos.

Check Point Research (CPR) resalta que el malware bautizado como "Clonador" proviene de la famosa familia de malware "Formbook", dirigida principalmente a los usuarios de Windows, pero que desapareció de la venta en 2018. Formbook se rebautizó como XLoader en 2020. Durante los últimos seis meses, CPR ha estudiado las actividades de XLoader para concluir que es prolífico y que no se dirige sólo a Windows, sino también a usuarios de Mac.

Los hackers pueden comprar licencias de XLoader en la Darknet por un precio tan bajo como 49 dólares, lo que les permite recopilar credenciales de inicio de sesión, recoger capturas de pantalla, registrar las pulsaciones del teclado y ejecutar archivos maliciosos.

A través de correos electrónicos falsos que contienen documentos maliciosos de Microsoft Office se engaña a las víctimas para que se descarguen la cepa de malware. Se trata de una amenaza potencial para todos los usuarios de Mac, que en 2018 la marca de la manzana estimó den más de 100 millones.

Objetivos del malware

CPR rastreó la actividad de Xloader entre el 1 de diciembre de 2020 y el 1 de junio de 2021. Tras los análisis detectaron solicitudes de XLoader provenientes de 69 países. Más de la mitad (53%) de las víctimas residen en Estados Unidos. El desglose de las víctimas por país se presenta en el siguiente gráfico de barras:

XLoader suele propagarse mediante correos electrónicos falsos que atraen a sus víctimas para que descarguen y abran un archivo malicioso, normalmente documentos de Microsoft Office.

Consejos de prevención

Para evitar la infección, CPR recomienda a los usuarios de Mac y Windows los siguientes recaudos:
1. No abrir archivos adjuntos sospechosos.
2. Evitar visitar sitios web sospechosos.
3. Utilizar software de protección de terceros para ayudar a identificar y prevenir comportamientos maliciosos en su ordenador.

Guía de detección y eliminación

Dado que este malware es de naturaleza sigilosa, probablemente sea difícil para un ojo "no técnico" reconocer si ha sido infectado. Por lo tanto, si existe la sospecha de haber sido atacado, es recomendable consultarlo con un profesional de la seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza del ordenador. Para obtener más detalles técnicos de ayuda, CPR recomienda ir a Autorun y:

1. Compruebe su nombre de usuario en el sistema operativo.
2. Vaya al directorio /Users/[nombre de usuario]/Librería/LaunchAgents.
3. Compruebe si hay nombres de archivo sospechosos en este directorio (el ejemplo siguiente es un nombre aleatorio).
4. /Usuarios/usuario/Biblioteca/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
5. Elimine el archivo sospechoso.

"Como parte de nuestro seguimiento de la ciberdelincuencia, hemos observado interesantes desarrollos de la conocida familia de malware 'Formbook'. 'XLoader' es una nueva cepa de malware derivada del malware Formbook original y es mucho más maduro y sofisticado que sus predecesores, además de compatible con diferentes sistemas operativos, concretamente con ordenadores MacOS, un hecho no común. Existe una creencia errónea entre los usuarios de MacOS de que las plataformas de Apple son más seguras, pero la brecha entre el malware de Windows y el de MacOS se ha estrechado mucho con el tiempo". Destaca Yaniv Balmas, Jefe de Investigación Cibernética de Check Point Software. "La verdad es que el malware para MacOS es cada vez más frecuente y peligroso. Nuestros hallazgos recientes son un ejemplo perfecto que confirman esta tendencia. Con la creciente popularidad de las plataformas MacOS, tiene sentido que los ciberdelincuentes muestren más interés y personalmente preveo que veremos más ciberamenazas siguiendo la familia de malware Formbook."

Los ciberdelincuentes enviaron un correo electrónico falso en el que se instaba a actuar en una próxima conferencia de prensa organizada por el NSC. Utilizaron Dropbox como herramienta para pasar desapercibidos, aprovechando la API como centro de mando y control. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones de ciberseguridad a nivel mundial, ha descubierto una operación de ciberespionaje dirigida contra el Gobierno afgano. Se cree que el grupo de ciberdelincuentes de habla china conocido como "IndigoZebra" está detrás de la amenaza y que han utilizado Dropbox para infiltrarse en el Consejo de Seguridad Nacional de Afganistán (NSC). Una investigación más profunda de Check Point Research ha revelado que se trata de la más reciente actividad de estos atacantes, pero también ha sido dirigida a otros países de Asia Central, Kirguistán y Uzbekistán, desde al menos 2014.
"Desde la Oficina del Presidente de Afganistán"
La investigación de CPR comenzó en abril, cuando un funcionario del Consejo de Seguridad Nacional de Afganistán recibió un correo electrónico supuestamente de la Oficina Administrativa del Presidente de Afganistán. El email instaba al destinatario a revisar las modificaciones del documento relacionadas con una próxima conferencia de prensa del NSC.

Figura 1. Correo electrónico malicioso enviado a los empleados del gobierno afgano

La cadena de infección comenzó con el engaño entre ministerios
El CPR resumió la metodología del ciberespionaje en los siguientes pasos:
1. Enviar un email bajo la apariencia de una entidad de alto nivel: los ciberdelincuentes planifican un engaño de ministerio a ministerio, en el que se envía un correo electrónico a un funcionario de alto perfil desde los buzones de otra víctima de alto nivel.
2. Adjunto malicioso de enlace: los ciberdelincuentes añaden un archivo comprimido que contiene malware, pero que se hace pasar por un adjunto legítimo. En este caso, el correo electrónico contenía un archivo RAR protegido por contraseña llamado NSC Press conference.rar.
3. Abrir el primer documento: el archivo extraído, NSC Press conference.exe, actúa como dropper. El contenido del "mensaje señuelo" sugiere que el archivo adjunto es el citado documento, por lo que, para reducir la sospecha a la hora de que la víctima ejecute el archivo, los ciberdelincuentes utilizan un sencillo truco: el primer documento del escritorio de la víctima se abre para el usuario tras la ejecución del dropper. Tanto si el dropper encuentra un documento para abrir como si no, pasará a la siguiente fase: soltar el backdoor.
4. Utilizar Dropbox como centro de mando y control: el backdoor se comunica con una carpeta preconfigurada y única para cada víctima en Dropbox. Esta sirve como dirección donde la puerta trasera extrae más comandos y almacena la información que roba.

Figura 2: Diagrama de la cadena de infección

Ocultarse y perdurar con Dropbox
Los ciberdelincuentes utilizaron la API de Dropbox para enmascarar sus actividades maliciosas, ya que no se produce ninguna comunicación con las páginas web anómalas. El backdoor creado instauraba una carpeta única para la víctima en una cuenta de Dropbox controlada por el atacante. Cuando necesitaban enviar un archivo o un comando a la máquina del perjudicado, los colocaban en la carpeta llamada "d" en la carpeta de Dropbox de la víctima. El malware la recuperaba y descargaba todo su contenido. El backdoor establecía la persistencia mediante la configuración de una clave de registro diseñada para ejecutarse cada vez que un usuario se conectaba.
Acciones de ciberespionaje detectadas por Check Point Research
• Descarga y ejecución de una herramienta de escaneo ampliamente utilizada por múltiples actores de APT, incluido el prolífico grupo chino APT10.
• Ejecución de herramientas de utilidad de red integradas en Windows.
• Acceso a los archivos de la víctima, especialmente a los documentos ubicados en el escritorio.
Objetivos: Afganistán, Kirguistán y Uzbekistán
Mientras que los investigadores de Check Point Research vieron que la variante de Dropbox tenía como objetivo a funcionarios del gobierno afgano, sus variantes se centran en entidades políticas de dos países concretos de Asia Central, Kirguistán y Uzbekistán.
"La detección del cualquier tipo de ciberespionaje sigue siendo una prioridad para nosotros. Esta vez hemos detectado una campaña de spear-phishing en curso dirigida contra el Gobierno afgano, pero tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Hemos atribuido nuestros hallazgos a ciberdelincuentes de habla china. Lo que llama la atención aquí es cómo utilizaron la táctica del engaño de ministerio a ministerio en los más altos niveles de la Administración Pública”, destaca Lotem Finkelsteen, jefe de inteligencia de amenazas de Check Point Software. “Además, preocupa cómo los ciberdelincuentes utilizan Dropbox para enmascararse y evitar ser detectados, una técnica que creo que todos deberíamos conocer y de la que deberíamos estar pendientes. Es posible que otros países también hayan sido objetivo de este grupo de atacantes, aunque no sabemos ni cuántos ni cuáles”.

El acuerdo comunitario de la UE, que entrará en vigor el próximo 7 de junio y se pondrá en marcha el 1 de julio, proporcionará un certificado gratuito en forma de código QR a través de un smartphone o mediante un documento en papel, en el que se demostrará que una persona está vacunada, tiene cierta inmunidad por haber tenido el virus o ha obtenido un resultado negativo reciente en la prueba PCR.

Ante este contexto, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, advierte que el pasaporte Covid de la Unión Europea podría llegar a fracasar, si no se toman las medidas necesarias para combatir la amenaza de los certificados de vacunación y de pruebas falsos, que se están vendiendo cada vez más, tanto en la darknet, como a través de la aplicación de mensajería Telegram. En este sentido, los expertos de Check Point Research han detectado un aumento del 500% en el número de vendedores de certificados de vacunación falsos entre marzo y mayo, lo que demuestra que la demanda para eludir las inspecciones crece exponencialmente a medida que nos acercamos a la temporada de vacaciones de verano.

Los certificados Estados Unidos (CDC), Reino Unido (NHS), Alemania, India, Rusia y el certificado amarillo de vacunación internacional ya están disponibles

Es una realidad que son muchos los países que pretenden lanzar sus propios pasaportes Covid, como la República Checa, Francia, Alemania y España, entre otros. A raíz de este hecho, los expertos de Check Point Research llegaron a detectar un aumento del 25% en los dominios relacionados con los pasaportes de coronavirus desde finales de 2020, cuando comenzaron las vacunas. Además, ya se ha comprobado que ya están disponibles en Telegram los pasaportes falsos de países como Estados Unidos (CDC), Reino Unido (NHS), Alemania, India, Rusia, así como el certificado amarillo de vacunación internacional. Los investigadores advierten que, de no existir un enfoque global unificado para verificar su validez, esa fragmentación de las normas y la ambigüedad de las mismas jugarán claramente a favor de ciberdelincuentes.

Es evidente que los posibles compradores podrían ser personas que han dado positivo, que se han negado a someterse a la prueba o que no están dispuestas a vacunarse, lo cual pone de manifiesto el peligro de los certificados falsos, sobre todo para la salud comunitaria y el control real de la Covid-19. De los 703 dominios registrados relacionados con el tema, 86 fueron marcados como dominios fraudulentos o sospechosos. Además, hay que tener en cuenta que, se puede llegar a dar el caso de que los ciberdelincuentes aprovechen la oportunidad para beneficiarse de usuarios inocentes que están en busca de información y orientación, atrayéndopolos hacia dominios fraudulentos o sospechosos, pensando que son auténticos.

Códigos QR que pueden ser la entrada de cualquier ciberataque

Por otro lado, ahora que estos pasaportes van a gestionarse a través de códigos QR, hay que tener cuidado con ellos, ya que pueden servir de puerta de entrada para acceder a la información almacenada en el dispositivo. Los ciberdelincuentes pueden sustituir los códigos QR legítimos por uno que, al ser escaneado, lanza una URL maliciosa o intenta descargar malware personalizado. El código malicioso puede entonces robar las credenciales de inicio de sesión utilizadas para otras aplicaciones en el teléfono del usuario -como las aplicaciones bancarias y de comercio- e incluso realizar pagos.

"Instamos encarecidamente a que los gobiernos se unan y actúen rápidamente para combatir el aumento de la venta de certificados falsos en Telegram y la darknet. Sin un sistema central unificado, es mucho más fácil caer en la trampa de los ciberdelincuentes", destaca Antonio Amador, Country Manager para la Región Norte de Latinoamérica de Check Point Software. "Es tremendamente relevante que los usuarios recuerden que un código QR no es más que una forma rápida y cómoda de acceder a un enlace de un sitio web; un enlace que en muchos casos ni siquiera ven. Por lo tanto, no es posible tener la certeza de que el recurso es legítimo. La Unión Europea afirma que sus pasaportes de vacunación previstos serán seguros, pero las amenazas están en constante evolución para conseguir explotar nuevas vulnerabilidades, por lo que aconsejamos instalar una solución de seguridad móvil que proteja dispositivos y datos contra el phishing, las aplicaciones maliciosas y el malware", concluye Amador.

Dridex se mantiene en la primera posición en medio de un aumento global de los ataques de ransomware, seguido de AgentTesla, que ocupa el segundo puesto del Índce Global de Amenazas de Check Point Research. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de abril. Los investigadores informan de que, por primera vez, AgentTesla ha ocupado el segundo lugar en el Índice, mientras que el consolidado troyano Dridex sigue siendo el malware más extendido, situándose en el primer puesto en marzo tras ser séptimo en febrero.

Este mes, Dridex, el troyano orientado a atacar a la plataforma Windows, se propagó a través de la campaña de Malspam de QuickBooks. Los correos electrónicos de phishing utilizaban la marca de QuickBooks e intentaban atraer al usuario con falsas notificaciones de pago y facturas. El contenido del email solicitaba la descarga de un archivo adjunto malicioso de Microsoft Excel que infectaba el sistema.

Este malware se usa a menudo como punto inicial de infección en las operaciones de ransomware, en las que los ciberdelincuentes cifran los datos de un negocio y exigen un rescate para desencriptarlos. Es cada vez más frecuente que los ciberdelincuentes utilicen métodos de doble extorsión: roban archivos sensibles de una empresa y amenazan con hacerlos públicos a menos que se realice un pago. Check Point Research informó en marzo sobre el aumento del 57% de los ataques de ransomware a principios de 2021, pero esta tendencia ha seguido en aumento y se han incrementado en un 107% con respecto al mismo periodo del año anterior. Recientemente, Colonial Pipeline, una importante compañía de combustible estadounidense, fue víctima de un ataque de este tipo y en 2020 se estima que el ransomware costó a las empresas de todo el mundo unos 20.000 millones de dólares, una cifra que es casi un 75% superior a la de 2019.

Por primera vez, AgentTesla, un RAT (troyano de acceso remoto) avanzado que lleva activo desde 2014 y funciona como un registrador de teclas y un ladrón de contraseñas, se sitúa en el segundo puesto de la lista de top malware.es. Puede monitorizar y recoger las entradas del teclado y el portapapeles del sistema de la víctima, y puede grabar capturas de pantalla y extraer credenciales introducidas para una variedad de software instalado en el dispositivo de la víctima (incluyendo Google Chrome, Mozilla Firefox y el usuario de correo electrónico Microsoft Outlook). Este mes han aumentado las campañas de AgentTesla, que se están propagando a través de malspam. El contenido del email solicita la descarga de un archivo (es válido de cualquier tipo) que puede hacer que el sistema se infecte con este troyano.

"Estamos detectando un gran aumento de los ataques de ransomware en todo el mundo, por lo que no es de extrañar que el principal malware de este mes esté relacionado con esta tendencia. De media, cada 10 segundos una empresa es víctima de ransomware en el mundo", explica Maya Horowitz, directora de Inteligencia e Investigación de Amenazas y Productos en Check Point Software. "Recientemente se han realizado llamamientos para que los gobiernos hagan frente a esta creciente amenaza. Todas las compañías deben ser conscientes de los riesgos y asegurarse de que cuentan con las soluciones antiransomware adecuadas. La formación integral de todos los empleados también es crucial, para que estén capacitados para identificar los tipos de correos electrónicos maliciosos que propagan Dridex y otros malware, ya que así es como comienzan muchos exploits de ransomware".

Asimismo, los expertos de la compañía advierten de que “Revelación de información del servidor web Git” es la vulnerabilidad explotada más común - afectó al 46% de las empresas en todo el mundo-, seguida de “Ejecución de Código Remoto en encabezados HTTP (CVE-2020-13756)", que impactó a más del 45.5%. "Ejecución de código en remoto de MVPower DVR" se sitúa el tercer lugar en la lista, afectando al 44% de los negocios a nivel mundial.

Los 3 malwares más buscados en Colombia en abril:
*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. Trickbot - Trickbot es un troyano bancario dominante que se actualiza constantemente con nuevas capacidades, características y vectores de distribución. Esto permite que sea un malware flexible y personalizable que puede ser distribuido como parte de campañas multipropósito. Ha afectado a un 16.83% de las empresas colombianas.
2. Dridex - Dridex es un troyano bancario que afecta al sistema operativo Windows, se envía mediante una campaña de spam y kits de vulnerabilidad para interceptar y redirigir las credenciales bancarias a un servidor controlado por el cibercriminal. Dridex, que ha afectado al 16.83%% de las empresas de Colombia, se pone en contacto con un servidor remoto, es capaz de enviar información sobre el sistema infectado, así como descargar y ejecutar módulos adicionales para el control remoto.
3. XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 10,10% de las organizaciones en Colombia

Top 3 vulnerabilidades más explotadas en abril
1. Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.
2. Ejecución remota de código en encabezados HTTP (CVE-2020-13756) – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. El ciberdelincuente puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en remoto en el equipo infectado.
3. Ejecución de código en remoto de MVPower DVR – Se ha descubierto una vulnerabilidad de ejecución remota de código en dispositivos MVPower DVR. Un atacante en remoto puede explotar esta vulnerabilidad para ejecutar código arbitrario en el router objetivo a través de una petición hecha a medida.

Top 3 del malware móvil mundial en abril
1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. Triada - Backdoor modular para Android que garantiza privilegios de superusuario para descargar malware.
3. Hiddad – es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves de seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

El Índice de Impacto Global de las Amenazas de Check Point Software y su Mapa de ThreatCloud se basan en la inteligencia ThreatCloud de Check Point Software, la red de colaboración más grande para combatir la ciberdelincuencia que ofrece datos de amenazas y tendencias de ataque desde una red global de sensores de amenazas. La base de datos ThreatCloud inspecciona más de 3.000 millones de sitios web y 600 millones de archivos diariamente e identifica más de 250 millones de actividades de malware cada día.

Bogotá, mayo 15 de 2021.- Houm es una plataforma tecnológica que llegó a Colombia, para revolucionar la industria inmobiliaria y que tiene como objetivo facilitar los procesos de arriendo, compra y venta de inmuebles, con un diferencial innovador que permite cerrar las colocaciones de forma muy rápida, ágil y todos los pasos desde el entorno digital.

Esta proptech fue creada en Chile en el año 2018, posteriormente a mediados del 2020 se abrió la operación en Colombia y su más reciente apertura fue en México en enero de 2021.

Houm tiene un crecimiento sostenido mensual de doble dígito en manejo de nuevas propiedades y cierre de negocios. Cuenta con un equipo humano multifuncional, de 200 personas que se sintonizan con las necesidades y expectativas del cliente, para entregar una solución óptima en tiempo record con precisión y alcanzando la satisfacción.

Sus más de 200 “Houmers”; una fuerza freelance son quienes revisan, toman las fotos de las propiedades, acompañan a los clientes en sus visitas y están presentes a lo largo de todo el proceso.

Con Houm ya es posible arrendar un inmueble en Colombia sin codeudor y de manera rápida, donde hace todo el proceso por ti: pone en arriendo, encuentra un arrendatario y luego se ocupa de la administración.

Una de las mayores dificultades hoy para un arrendatario, es poder cumplir con el requisito de contar con codeudores aprobados y el estudio financiero, al momento de diligenciar la documentación requerida para clasificar y acceder a un inmueble en arrendamiento. Houm soluciona esto sin requerir de codeudor, pero si trabaja con el filtro de la compañía aseguradora que permite identificar los comportamientos transaccionales y determinar que el interesado en arrendar cumpla con el perfil financiero para continuar en el proceso.

Para el arrendador por su parte, las principales preocupaciones son el tiempo de colocación del inmueble, que hoy puede demorar bastante y que su inquilino cumpla a cabalidad con los términos del convenio de arrendamiento, en particular con los pagos del canon y la administración. Para solucionar los riesgos de incumplimiento, Houm tiene una alianza con las aseguradoras Libertador y SURA, que amparan con pólizas especiales estos posibles siniestros, cubriendo hasta 12 meses de arriendo impago o la restitución del inmueble.

Otra característica clave de Houm al momento de ofrecer un inmueble para arrendamiento, está sustentada en el manejo de otros procesos tecnológicos que permiten reducir los tiempos de estudio de las solicitudes, agregando celeridad en las gestiones de aceptación del cliente. En tres horas es posible asignar un inmueble, proceder a diligenciar la documentación y paso seguido a cumplir con su inmediata entrega.

Al disminuir los tiempos y procesos, se facilita el poder colocar en muy corto tiempo los inmuebles en los portales especializados, para el beneficio de arrendadores y arrendatarios, y alcanzar acuerdos exitosos y de largo aliento.

Todos los inmuebles arrendados por Houm, cuentan con un servicio de administración, lo cual abre una oportunidad al propietario y arrendatario de recibir atención y mantenimiento, para la solución de problemas o requerimientos.

Compra o venta 100% de forma digital

Para el proceso de compra o venta, la plataforma inmobiliaria Houm, ofrece soluciones digitales, ágiles e innovadoras, que incluyen contrato digital, con cero papeleos y sin burocracia. Opciones muy atractivas para esta época donde es preferible quedarse en casa.

Para Camilo Marroquín, CSO y Co - fundador de Houm: “Estamos renovando y entregando un nuevo aire al sector inmobiliario en Latinoamérica, sustentados en experiencias positivas, apalancados en procesos tecnológicos, innovadores y transparentes. Todo esto nos permite hacer de la experiencia de arrendar, comprar o vender una propiedad, algo simple, agradable y positivo”.

Houm tiene como objetivo llegar a ser la mayor proptech de la región, seguir con su crecimiento y consolidación en los países en donde opera.

La Darknet, el nuevo escenario de ciberriesgo. Check Point® Software Technologies Ltd. (NASDAQ: CHKP) un proveedor líder de soluciones de ciberseguridad a nivel global, señala que los retos más importantes en ciberseguridad hoy y en el futuro del nuevo mundo, deben ser dirigidos con atención especial sobre los dispositivos corporativos, BYOD (Bring Your own Device) y conexiones a internet de ataques conocidos de día cero (zero day). El año pasado, los ataques y amenazas se centraron en la Covid 19, una tendencia que se ha mantenido este año. Diversos países de América Latina fueron impactados en términos de técnicas de ingeniería social, aumentando los ataques sofisticados de diferentes orígenes y vectores de expansión de superficie de ataque.

Los vectores de ataque están aumentando con mucha fuerza
Una premisa del nuevo mundo, es que todos queremos utilizar cualquier dispositivo para acceder a cualquier aplicación, sin tomar medidas de prevención. Los vectores de ataque más comunes son el correo electrónico, la web, aplicaciones maliciosas, Hombre en el Medio (Man-in-the-Middle), phishing e intercambio o compartición de archivos (File Sharing). Las plataformas más usadas a su vez son, las que más peligro enfrentan como la nube, la red, el computador y el celular.

El impacto mundial que ha tenido el cambio a trabajar a modo remoto en 2020, como resultado de la pandemia causada por el Covid 19, desencadenó un aumento de todo tipo de ciberataques, con un crecimiento del 50% en los llamados sofisticados.

“Los ataques a instituciones prestadoras de servicios de salud y a hospitales, fueron la tendencia en 2020 y a inicios de 2021, con agresión en la cadena de abastecimiento. Las instituciones sanitarias registraron un 45% en incremento de ciberataques en el mundo. Otro ejemplo, es el de SolarWinds de finales de 2020, que hubiera pasado como un ataque más a una compañía, si no fuera por el tipo de clientes que manejaba. Empezó como un malware “Sunburst” que atacó un software de esta empresa y terminó derivando en el acceso a un código fuente, afectando a 18 mil compañías y oficinas gubernamentales en todo el mundo. También, de gran impacto es `Emotet’, un troyano gusano que se difunde vía correo electrónico, afectando a una de cada cinco organizaciones a nivel global”, señala Francisco Robayo, Líder de Ingeniería en América Latina de Check Point Software Technologies.

Tras la reciente revelación de las vulnerabilidades que afectaron a los servidores Microsoft Exchange, Check Point Research (CPR) ha observado un aumento global en el número de ataques de ransomware. De acuerdo con el Threat Intelligence Report de Check Point, los intentos de ataques se han multiplicado por diez. En concreto, el 11 de marzo de 2021 se contabilizaron 700 y solo cuatro días después, el 15 de marzo habían subido a 7.200. Entre los sectores más afectados están gobierno y militar con un 23%, manufactura 15%, servicios bancarios y financieros 14%, proveedores de software 7% y salud 6%. Por su parte, el porcentaje de ataques generales por países en Latinoamérica posiciona en primer lugar a México con un 54%, le siguen Colombia y Perú cada uno con 14%, Argentina con 11% y Chile con un 7%.

El número de ataques en América Latina superó a los globales
Acorde al Threat Intelligence Report, una organización en América Latina está siendo atacada en promedio 968 veces por semana en los últimos 6 meses, en comparación con 681 ataques por organización en todo el mundo. El principal malware identificado en la región es Dridex, que afecta al 16% de las organizaciones. También, sobresalen el troyano bancario Qbot, el Cryptominer (XMRig) y el infostealer (Lokibot). El correo electronico, es el principal vector de ataque. El 58% de los archivos maliciosos en América Latina se entregaron por este medio. El tipo de explotación de vulnerabilidades más común es ‘Remote Code Execution’, que afecta al 63% de las organizaciones.

La Darknet es el nuevo escenario de peligro en el mundo
Otro poderoso escenario de ciberriesgo global, destacado durante los últimos meses es la Darknet. Los investigadores de Check Point Research, informaron a principios de 2021 por primera vez, sobre la detección de cientos de anuncios en la Darknet que promovían la venta de vacunas falsas contra la Covid-19 por un valor aproximado de $500 dólares. Por otro lado, documentó 7.056 nuevos dominios relacionados con la vacuna, de los cuales 294 se consideraron potencialmente peligrosos. Se evidenció que el número de anuncios se triplicó a más de 1.200. México es uno de los países en donde más se ha detectado esta tendencia.

Por esta razón, Check Point Software Technologies resalta la necesidad urgente de proteger estos nuevos espacios de trabajo de ataques avanzados. El nuevo mundo al que nos enfrentamos, empieza a confirmar la tendencia de que el 74% de las organizaciones hoy permiten a sus empleados trabajar desde casa o en un modelo híbrido permanentemente, y el 67% de las compañías a nivel global, planean migrar a un modelo de trabajo remoto. Adicionalmente, se identificó que los empleados que trabajan en modo remoto, son más propensos a errores involuntarios. El 21% de estos, permite que los miembros de la familia utilicen sus dispositivos corporativos para tareas escolares, juegos, compras, entre otros. (Investigación de Check Point Software / Dimensional Research).

En general, lo que enfrentan estos nuevos espacios remotos son ciberataques de quinta generación (GEN V), que incluyen múltiples vectores polimórficos y evasivos. Sin embargo, el reto más grande para la mayoría de organizaciones es que solo están usando tecnología de seguridad de tercera generación (Gen III), que no es capaz de detectar el estado actual de los ataques. “Nuestro objetivo es cerrar la brecha entre las generaciones de ataques y llevar a las organizaciones a tecnologías de seguridad Gen V para proteger su futuro”, afirma Ramón Ray Jiménez, Vicepresidente para América Latina y el Caribe de Check Point.

En este sentido, Check Point Software Technologies apunta a la consolidación de la ciberseguridad, primero, por medio de soluciones unificadas que permitan conectividad segura en cualquier recurso tecnológico en cualquier parte, y proveer protección ‘endpoint’ completa para usuarios de cualquier equipo. Esto es, protección de dispositivos corporativos y BYOD y conexiones de internet contra cualquier ataque conocido y de día cero (zero day), proporcionando acceso Zero Trust a aplicaciones empresariales en una solución simple y fácil de administrar. Recomienda a las organizaciones tres pilares más de tecnología para protección y prevención de sofisticados ataques a cadenas de abastecimiento, ransomware y tomar ventaja de vulnerabilidades del sistema, para proteger las redes corporativas e implementar y configurar correctamente la nube y la protección de los datos de usuarios y empleados en cualquier ubicación.

En resumen, el manejo seguro de una nube pública y múltiples nubes, cubriendo la protección de la consolidación de servicios (Cloud SASE), endpoints, conectividad (Zero Trust) acceso remoto (VPN y trabajo remoto), correos, buscadores y equipos móviles, es una postura recomendada para todas las organizaciones. Es necesario mantener protegidos a los usuarios, los accesos remotos, las aplicaciones corporativas y los datos de negocio en donde sea que estén, con seguridad unificada en varias capas, para enfrentar una ciber pandemia, en la cual la tasa de infección es mayor y más rápida que la de una pandemia biológica, que requiere prevención en tiempo real.

Frente a la pandemia cibernética, se debe empezar por la prevención, que siempre será mejor que el tratamiento. Es importante asegurar todo (IoT, Nube, Endpoints y Moblie). Es fundamental educar y generar conciencia en los colaboradores de la organización en lo relativo a prevención y autocuidado. Finalmente, es clave eliminar puntos ciegos de las infecciones.

Arquitectura Infiny Next
Check Point desde su visión, unificó los conceptos y las necesidades, en una solución de manejo
para asegurar el todo corporativo, contemplando los aspectos clave a proteger: la red, la nube y el usuario y el acceso.

Check Point Software explica cómo evitar el robo de contraseñas creando una clave única y robusta. Cada año, el primer jueves de mayo, se celebra el Día Mundial de la Contraseña, que en este 2021 de trabajo remoto generalizado cobra aún más relevancia. Muchos usuarios tienen la falsa creencia de que un ciberdelincuente no tiene por qué tener ningún interés en su persona o su equipo. Por este motivo, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, quiere recordar en esta fecha la importancia de la educación en ciberseguridad y el uso eficaz de las contraseñas.

El aumento del trabajo en remoto eleva notablemente las posibles brechas de seguridad en una empresa y, es por esta razón que la robustez y firmeza de las claves de acceso son más importantes que nunca. Las contraseñas continúan siendo el sistema más utilizado para mantener a salvo los datos personales o para permitir el acceso a un servicio, tanto personal como profesionalmente y, por tanto, un blanco claro para los ciberdelincuentes. Check Point Software quiere alertar sobre las principales tácticas que utilizan para robar contraseñas y aportar los consejos necesarios para evitar que cualquier persona o empresa se convierta en su víctima:

• Ataque de phishing o suplantación de identidad: esta metodología se ha convertido en una de las herramientas más utilizadas para el hurto de contraseñas y nombres de usuario. Su funcionamiento es sencillo: enviar un correo electrónico que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que, en realidad, pretenden manipular al receptor para robar información confidencial. En este sentido, una de las mejores recomendaciones es optar por habilitar la autenticación de dos pasos. Esta capa de seguridad extra solicita al usuario introducir una segunda clave que, por lo general, llega a través de un SMS. De esta forma, se evita el acceso a una cuenta incluso aunque tengan información previa de sus credenciales.
• Por fuerza bruta o con el diccionario del hacking: este tipo de ciberataque consiste en intentar descifrar una contraseña mediante la repetición, literalmente a base de ensayo y error. Los ciberdelincuentes prueban distintas combinaciones al azar, conjugando nombres, letras y números, hasta que dan con el patrón correcto. Para impedir que logren su objetivo, es imprescindible implantar una clave complicada para ponérselo difícil. Para ello, es necesario dejar de lado nombres, fechas o palabras muy comunes. En su lugar, lo más recomendable es crear una consigna única de al menos ocho caracteres que combine letras (tanto mayúsculas como minúsculas), números y símbolos.
• Keyloggers: estos programas son capaces de permitir registrar cada tecleo que se realiza desde un ordenador e incluso lo que se ve en la pantalla para, a continuación, enviar toda la información registrada (contraseñas incluidas) a un servidor externo. Estos ciberataques suelen ser parte de algún tipo de malware ya presente en el equipo. Lo peor de estos ataques es que, muchas personas suelen utilizar la misma clave y usuario para diferentes cuentas, y una vez vulnerado uno, el ciberdelincuente llega a tener acceso a todos los que tienen la misma. Para frenarlos es fundamental usar una única opción en cada uno de distintos perfiles. Para ello, se puede emplear un gestor de contraseñas, que permiten tanto administrar como generar diferentes combinaciones de acceso robustas para cada servicio basadas en las pautas decididas.

“A la hora de garantizar el máximo nivel de ciberseguridad, es igual de relevante contar con las tecnologías más avanzadas como prevenir riesgos como el robo de contraseñas”, señala Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point. “Tanto el phishing, como los Keylogger son dos tipos de ataques que se emplean en cientos de dispositivos. Este riesgo puede remediarse fácilmente configurando combinaciones variadas y robustas de 8 caracteres que como mínimo que intercalen letras, símbolos y signos de puntuación. De esta forma, los cibercriminales tendrán mucho más difícil adueñarse de las claves y garantizaremos el más alto nivel de seguridad en nuestros equipos”, concluye Amador.

Check Point Research advierte de una creciente ciberamenaza en la que se utiliza Telegram, la app de mensajería instantánea con más de 500 millones de usuarios activos, como sistema para distribuir malware de forma remota en una empresa. La alerta ha saltado después de que Check Point Research rastreara más de 130 ciberataques que han utilizado malware gestionado a través de Telegram en los últimos tres meses. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones de ciberseguridad a nivel mundial, advierte de una creciente ciberamenaza en la que se utiliza Telegram, la app de mensajería instantánea con más de 500 millones de usuarios activos, como sistema de control para distribuir malware por las empresas. Permite a los ciberdelincuentes enviar comandos y operaciones maliciosas de forma remota a través de la aplicación de mensajería instantánea, incluso cuando Telegram no está instalado o no se utiliza.

Telegram, la plataforma de mensajería instantánea basada en la nube, ha aumentado su popularidad este año debido a los polémicos cambios en la configuración de privacidad de su rival, WhatsApp. Fue la aplicación más descargada en todo el mundo en enero de 2021, con más de 63 millones de instalaciones, y ha superado los 500 millones de usuarios activos mensuales. No obstante, esta gran fama también se extiende a la comunidad de ciberdelincuentes. Los autores del malware utilizan cada vez más Telegram como un sistema de mando y control (C&C) hecho a medida para sus programas maliciosos, ya que ofrece varias ventajas en comparación con la forma convencional de distribución de malware a través de la web.

CPR ha rastreado más de 130 ciberataques en los últimos tres meses en los que se ha utilizado un troyano de acceso remoto (RAT) denominado "ToxicEye". Un RAT es un tipo de malware que proporciona al ciberdelincuente un control remoto total sobre los sistemas. Los ciberdelincuentes manejan ToxicEye a través de Telegram, comunicándose con su servidor y extrayendo los datos de la víctima. Finalmente, ToxicEye se propaga a través de correos electrónicos de phishing que contienen un archivo .exe malicioso. Una vez que el destinatario abre el archivo adjunto, ToxicEye se instala en el PC de la víctima, realizando una serie de exploits sin que ésta lo sepa.

Peligros de la RAT de Telegram
Cada RAT que utiliza este método tiene sus propias funcionalidades, pero CPR pudo identificar una serie de capacidades clave que caracterizan a la mayoría de los de los ataques observados:

• Función de robo de datos: el RAT puede localizar y robar contraseñas, información del equipo, historial del navegador y cookies.
• Control del sistema de archivos: a través del borrado y la transferencia de archivos, o de la eliminación de procesos y el control del administrador de tareas del ordenador.
• Secuestro de E/S: la RAT puede desplegar un keylogger, o grabar audio y vídeo del entorno de la víctima a través del micrófono y la cámara del equipo, o apropiarse del contenido del portapapeles.
• Funciones de ransomware: capacidad de cifrar y descifrar los archivos de la víctima.

Cadena de infección

1. Creación de una cuenta de Telegram y un bot "Telegram" exclusivo. Una cuenta de bot de Telegram es una cuenta remota especial en la que los usuarios pueden interactuar mediante el chat de la app, o agregándolo a grupos de la misma, o enviando peticiones directamente desde el formulario de entrada escribiendo el nombre de usuario del bot y una consulta.
2. El bot (su identificación o token) se incorpora en el fichero de configuración del RAT ToxicEye y se compila en un fichero ejecutable.
3. El malware se propaga a través de campañas de spam como un archivo adjunto de correo electrónico. Un ejemplo de nombre de archivo encontrado por CPR fue 'paypal checker by saint.exe'
4. La víctima abre el archivo adjunto malicioso que se conecta a Telegram. Cualquier víctima infectada con este payload malicioso puede ser atacada a través del bot de Telegram, que conecta el dispositivo del usuario con el C&C del ciberdelincuente a través de la app.
5. El ciberdelincuente se hace con el control total del dispositivo de la víctima y puede llevar a cabo una serie de actividades maliciosas.

Por qué los ciberdelincuentes se centran en Telegram

La última investigación de CPR revela una tendencia creciente en la popularidad del malware fundamentado en Telegram relacionada con el aumento del uso de este servicio de mensajería en todo el mundo. Se han encontrado docenas de nuevos tipos de malware basados en Telegram, como amenazas en las herramientas de hacking en los repositorios de GitHub. Los ciberdelincuentes encuentran en Telegram una plataforma integral para realizar sus ataques debido a una serie de ventajas que ofrece su funcionamiento, como, por ejemplo:

• Está desbloqueado: Telegram es un servicio legítimo, fácil de usar y estable que no lo bloquean los motores antivirus de las empresas, ni las herramientas de gestión de la red.
• Mantiene el anonimato: los ciberdelincuentes pueden permanecer en el anonimato, ya que el proceso de registro sólo requiere un número de móvil.
• Fácil extracción de datos: las características únicas de comunicación de Telegram hacen que los ciberdelincuentes puedan extraer los datos de los ordenadores de las víctimas o transferir nuevos archivos maliciosos a las unidades infectadas de forma muy sencilla.
• Desde cualquier lugar: Telegram también permite utilizar los dispositivos móviles para acceder a los ordenadores infectados desde casi cualquier lugar del mundo.

"Hemos descubierto una tendencia creciente en la que se está utilizando la plataforma de Telegram como un sistema para la distribución de malware en las empresas que recibe comandos y operaciones de forma remota, incluso si Telegram no está instalado o no se utiliza. El malware que los ciberdelincuentes emplearon en esta ocasión se encuentra en lugares de fácil acceso como Github. Creemos que están aprovechando el hecho de que Telegram se utiliza de forma amplia en los entornos corporativos, haciendo uso de este sistema para realizar ciberataques, que pueden saltarse las restricciones de seguridad”, explica Idan Sharabi, director del grupo de I+D de Check Point Software Technologies. “Pedimos tanto a empresas como a los usuarios de Telegram que presten especial atención a los correos electrónicos maliciosos y a que sean más recelosos con los emails que incluyan su nombre de usuario en el asunto, o con los que tengan un lenguaje confuso o incorrecto. Dado que esta app puede usarse para distribuir archivos maliciosos, o como un canal de comando y control para malware en remoto, esperamos que en el futuro se sigan desarrollando nuevos ciberataques que se aprovechen de esta plataforma", concluye Sharabi.

Consejos de seguridad e inspección

• Buscar un archivo llamado C:\Users\ToxicEye\rat.exe: si este se encuentra en el ordenador, ha sido infectado y se debe contactar inmediatamente con el servicio de asistencia y borrar este archivo del sistema.
• Supervisar el tráfico generado desde los equipos de la empresa hacia un C&C de Telegram: si se detecta dicho tráfico, y Telegram no está instalado como solución empresarial, es un posible indicador de peligro.
• Cuidado con los archivos adjuntos que contienen nombres de usuario: los correos electrónicos maliciosos suelen utilizar el nombre del usuario en el asunto o en el nombre del archivo adjunto. Ello indica que se trata de un email sospechoso: es preciso borrarlo y no abrir nunca el archivo adjunto ni responder al remitente.
• Buscar destinatarios no incluidos en la lista: si el destinatario del email no tiene un nombre, o no está incluido en la base de datos, es un buen indicio de que se trata de un email malicioso y/o de un email de phishing.
• Es importante fijarse en el lenguaje del correo electrónico: las técnicas de ingeniería social están diseñadas para aprovecharse de la naturaleza humana. Esto incluye el hecho de que las personas son más propensas a cometer errores cuando tienen prisa y se inclinan a seguir las órdenes de las personas en posiciones de autoridad. Los ataques de phishing suelen utilizar estas técnicas para convencer a sus objetivos de que ignoren sus posibles sospechas sobre un correo electrónico y hagan clic en un enlace o abran un archivo adjunto.
• Implantar una solución antiphishing automatizada: para minimizar el riesgo de ataques de phishing dentro de una empresa, es necesario un software antiphishing basado en IA que sea capaz de identificar y bloquear este contenido en todos los servicios de comunicación de la empresa (correo electrónico, aplicaciones de productividad, etc.) y en todas las plataformas (puestos de trabajo de los empleados, dispositivos móviles, etc.). Esta cobertura integral es necesaria ya que este contenido puede llegar a través de cualquier medio, y los empleados pueden ser más vulnerables a los ataques cuando utilizan dispositivos móviles.

El malware le permitía a un ciberdelincuente propagar ataques de phishing, difundir información falsa o robar credenciales y datos de las cuentas de WhatsApp de los usuarios. Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto recientemente una nueva amenaza maliciosa en Google Play Store que se propagaba a través de los mensajes de WhatsApp. El malware estaba diseñado con capacidad para responder automáticamente a los mensajes entrantes con mensajes provenientes de un servidor remoto en nombre de sus víctimas. CPR encontró el software malicioso escondido en una aplicación falsa de "Netflix" en Play Store llamada FlixOnline, que prometía "entretenimiento ilimitado" desde cualquier parte del mundo.
Al responder a los mensajes entrantes de WhatsApp con una payload o carga útil de un servidor de comando y control (C&C), este método podría permitir a los ciberdelincuentes distribuir ataques de phishing, propagar malware adicional difundir información falsa o robar credenciales y datos bancarios, así como tener acceso a las conversaciones de los usuarios.
La seguridad de los dispositivos móviles es una de las principales preocupaciones de las empresas en la actualidad, y por una buena razón. En el último año, los investigadores de CPR han observado un aumento del número de ataques relacionados con los dispositivos móviles y de nuevos métodos de ataque. Desde un nuevo malware encontrado en Google Play, hasta una investigación que desvela el APT iraní Rampant Kitten, el panorama de las amenazas móviles está en constante crecimiento.
Un nuevo malware para Android que se propaga a través de respuestas automáticas de WhatsApp
A medida que el panorama de los ciberataques a los dispositivos móviles evoluciona, los ciberdelincuentes buscan siempre desarrollar nuevas técnicas para transformar y distribuir con éxito programas maliciosos. En el caso de esta última acción, los investigadores de Check Point han descubierto una nueva e innovadora amenaza maliciosa en la tienda de aplicaciones de Google Play que se propaga a través de las conversaciones de WhatsApp móvil, y que también puede enviar más ciberataques a través de respuestas automáticas a los mensajes de WhatsApp entrantes.
Los investigadores han encontrado el malware escondido dentro de una aplicación que se encuentra en Google Play llamada 'FlixOnline'. La app es un servicio falso que dice permitir a los usuarios ver contenidos de Netflix de todo el mundo en sus teléfonos móviles. Sin embargo, en realidad la aplicación está diseñada para monitorizar las notificaciones de WhatsApp del propietario y enviar respuestas automáticas a los mensajes entrantes del mismo, utilizando el contenido que recibe por medio de un servidor remoto de comando y control (C&C).
Dicho malware enviaba la siguiente respuesta a sus víctimas, atrayéndolas con la oferta de un servicio gratuito de Netflix:
“2 Months of Netflix Premium Free at no cost For REASON OF QUARANTINE (CORONA VIRUS)* Get 2 Months of Netflix Premium Free anywhere in the world for 60 days. Get it now HERE https://bit[.]ly/3bDmzUw.”
"2 Meses de Netflix Premium Gratis Por Motivo de Cuarentena (CORONA VIRUS) * Consigue 2 Meses de Netflix Premium gratis en cualquier parte del mundo durante 60 días. Consíguelo ahora AQUÍ https://bit[.]ly/3bDmzUw".
Mediante esta técnica, un ciberdelincuente podía llevar a cabo una amplia gama de actividades maliciosas:
• Propagar malware adicional a través de enlaces maliciosos
• Robar datos de las cuentas de WhatsApp de los usuarios
• Difundir mensajes falsos o maliciosos a los contactos y grupos de WhatsApp de los usuarios (por ejemplo, grupos relacionados con el trabajo)

Cómo funciona el malware
Cuando la aplicación se descarga de la Play Store y se instala, esta solicita permisos de 'Superposición', para 'Ignorar Optimización de la Batería' y 'Notificación'. El propósito detrás de la obtención de dichos permisos es:
1. La superposición permite a una aplicación maliciosa crear nuevas ventanas encima de otras aplicaciones. Suele solicitarlo el software malicioso para crear una pantalla de "Inicio de sesión" falsa para otras aplicaciones, con el objetivo de robar las credenciales de la víctima.
2. Ignorar las optimizaciones de la batería evita que el malware se apague por la propia rutina de la misma, incluso después de estar inactivo durante un período prolongado.
3. El permiso más destacado es el acceso a las notificaciones, más concretamente, al servicio Notification Listener. Una vez habilitado, este permiso proporciona al malware acceso a todas las notificaciones relacionadas con los mensajes enviados al dispositivo, y la capacidad de realizar automáticamente acciones designadas como "descartar" y "responder" a los mismos.
Si se conceden estos permisos, el malware tiene todo lo que necesita para empezar a distribuir sus payloads maliciosos y emitir respuestas autogeneradas a los mensajes entrantes de WhatsApp, a través de las que es posible. robar datos, causar interrupciones en grupos de chat e incluso extorsionar enviando datos sensibles a todos los contactos del usuario.
CPR ha notificado a Google de la existencia de la aplicación maliciosa y ha compartido los detalles de su investigación, por lo que la aplicación se ha eliminado rápidamente de la Play Store. En el transcurso de 2 meses, la aplicación "FlixOnline" se ha descargado aproximadamente 500 veces.
"Se trata de una técnica de malware bastante nueva e innovadora que consiste en secuestrar la conexión a WhatsApp capturando las notificaciones, junto con la posibilidad de realizar acciones predefinidas, como 'descartar' o 'responder' a través del gestor de notificaciones. El hecho de que el software malicioso haya podido camuflarse con tanta facilidad y, en última instancia, eludir las protecciones de Play Store, dispara serias alarmas. Aunque hemos podido detener una campaña, es probable que esta familia de malware haya llegado para quedarse y puede volver a esconderse en una aplicación diferente”, destaca Antonio Amador, Country Manager para la Región Norte de América Latina de Check Point”. “Para evitar que estos ataques tengan éxito, los usuarios deben desconfiar de los enlaces de descarga o los archivos adjuntos que reciban a través de WhatsApp u otras aplicaciones de mensajería, incluso cuando parezcan proceder de contactos o grupos de confianza. Si crees que eres una víctima, elimina inmediatamente la aplicación del dispositivo, y cambia todas las contraseñas", concluye Amador.
Consejos de seguridad para usuarios de Android
1. Instalar una solución de seguridad en el dispositivo
2. Descargar aplicaciones sólo de los mercados oficiales
3. Mantener el dispositivo y las aplicaciones actualizadas
Check Point Harmony Mobile (anteriormente conocido como SandBlast Mobile) es la solución líder del mercado de Defensa contra Amenazas Móviles (MTD), que ofrece la más amplia gama de capacidades para proteger un dispositivo móvil personal. Harmony Mobile proporciona protección para todos los vectores de ataque móviles, incluyendo la descarga de aplicaciones maliciosas y aplicaciones con malware incrustado.

Aunque el despliegue mundial de las vacunas contra la COVID-19 sigue acelerándose, hay que recordar que sólo alrededor del 1% de la población mundial ha recibido el ciclo completo de inyecciones. Todavía hay miles de millones de personas esperando su primera dosis, lo que hace que inevitablemente se pregunten cuándo la van a recibir exactamente. Además, hay que tener en cuenta que a nivel internacional se están haciendo planes para que las personas que se han vacunado, o que pueden demostrar que han dado negativo en una prueba reciente, para que tengan la libertad de viajar a otros países, asistir a eventos a gran escala, aceptar un nuevo trabajo, etc.

En enero de 2021, los investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, informaban por primera vez de la detección de cientos de anuncios en la Darknet que promovían la venta de la vacuna por tan sólo 500 dólares. En la actualidad, el número de anuncios se ha triplicado hasta alcanzar los 1.200. Y según los investigadores, la actividad en la Darknet se ha ampliado hasta ofrecer tarjetas de vacunación falsas de los Centros de Control y Prevención de Enfermedades (CDC) por 200 dólares cada una. Asimismo, la red oscura también está ofreciendo la posibilidad de comprar pruebas COVID-19 negativas falsas con ofertas de "compre dos y llévese la tercera gratis", así como una versión de una prueba COVID-19 negativa que puede generarse en menos de 30 minutos por tan solo 25 dólares.

El Santo Grial - Certificados de vacunación falsos en venta
Con el objetivo de preparar a la sociedad para la reanudación del turismo, la rutina de los vuelos y el cruce de fronteras, la Comisión Europea, brazo ejecutivo de la UE, está proponiendo un certificado de vacunación que se utilizará como " apertura de puertas" por excelencia en todos los países. La Comisión ha sugerido que los ciudadanos de la UE puedan utilizar un "certificado verde digital" para demostrar que han sido vacunados contra el virus, que han dado negativo en la prueba Covid-19 o que se han recuperado tras contraer el coronavirus.

En otras palabras, el certificado de vacunación se convertirá, en un futuro próximo, en el pasaporte, acordado bilateralmente entre los países, que dará a sus titulares un billete de entrada y les permitirá participar en numerosas actividades (por ejemplo, espectáculos en vivo, actividades culturales y entrada a espacios públicos).

En este sentido, los ciberdelincuentes se han dado cuenta rápidamente del enorme potencial del mercado de la falsificación de estos documentos, y se han apresurado a aprovechar la oportunidad de obtener beneficios. En un anuncio de la Darknet, un cibercriminal, supuestamente del Reino Unido, ofrece una tarjeta de vacunación por 150 dólares, aceptando criptomonedas como método de pago:

Falsa cartilla de vacunación de los "CDC- Centers for Disease control and prevention" - parte del Departamento de Salud y Servicios Humanos del Gobierno de Estados Unidos
Check Point Research ha detectado también diferentes webs que ofrecen la posibilidad de crear rápidamente documentos de prueba COVID negativa de aspecto auténtico, que se crean rápidamente de acuerdo con los datos introducidos por los usuarios por sólo 25 dólares. Los resultados se consiguen en 30 minutos y se envían con total discreción a la bandeja de entrada del correo electrónico de los usuarios.
Venta de las vacunas de Johnson & Johnson, AstraZeneca, Sputnik y SinoPharm
Una serie de vacunas falsificadas contra el coronavirus se están ofreciendo en la red oscura por tan solo 500 dólares la dosis. Desde enero de 2021, el número de anuncios ha superado los 1.200, lo que supone un aumento del 300%. Las vacunas anunciadas incluyen:
• Oxford - AstraZeneca: 500 dólares
• Johnson & Johnson: 600 dólares
• La vacuna rusa Sputnik: 600 dólares
• La vacuna china SINOPHARM: 500 dólares
"La Darknet está en auge debido a la actividad relacionada con las vacunas. Este no era el caso cuando empezamos a estudiar la Darknet en torno a este tema hace tres meses. Entonces, sólo vimos unos cientos de anuncios de la vacuna Moderna o Pfizer. Hoy en día, se pueden ver múltiples oportunidades para poder comprar todas las marcas de vacunas disponibles. La nueva tendencia que estamos empezando a ver es que los ciberdelincuentes están empezando a ofrecer certificados de vacunación falsos.”, señala alerta señala Oded Vanunu, jefe de investigación de vulnerabilidades de producto en Check Point. “Es imperativo entender que intentar obtener una vacuna, una tarjeta de vacunación o un COVID-19 negativo por medios no oficiales es extremadamente arriesgado, ya que los ciberdelincuentes están más interesados en su información e identidad. Las personas que no están vacunadas y que utilizan documentos o pruebas de COVID falsas cuando tienen coronavirus, están perjudicando la lucha contra la enfermedad. También es muy importante no compartir las tarjetas de vacunación o las pruebas negativas de COVID-19 en las redes sociales, ya que lo que se comparte puede llegar a la Darknet de alguna manera”, concluye Vanunu.
Recomendaciones de Check Point Research para reconocer y prevenir el uso de documentos falsos:
1. Autentificar: hay que estar atento a los indicadores de autenticidad en los documentos, como faltas de ortografía, errores, logotipos de baja calidad y erratas en la redacción (por ejemplo, "enfermedad de la corona" o " La epidemia de Covid-19)".
2. Gestionar internamente: cada país debería gestionar internamente un registro central de pruebas y personas vacunadas, que pueda compartirse de forma segura entre los organismos autorizados pertinentes del país.
3. Firmar de forma digital: todos los datos de las pruebas y de la población vacunada deberían estar firmados digitalmente con claves encriptadas
4. Escanear códigos: los aeropuertos, los controles de fronteras y cualquier agente oficial encargado de hacer cumplir la ley deberían tener la capacidad de escanear un código QR o de barras (que esté firmado digitalmente - ¡sin esta firma digital el código es altamente vulnerable!). Dicho código debería enlazar con un registro seguro que pueda validar la autenticidad del documento y si el nombre que figura en él se vacunó o se sometió a la prueba de COVID y obtuvo un resultado (negativo).
5. Compartir datos válidos: en el futuro, los diferentes países deberían poder compartir los datos firmados digitalmente para que los propietarios de los certificados puedan circular con seguridad y cruzar las fronteras. Por ejemplo, Grecia e Israel ya han acordado reconocer sus respectivos certificados de vacunación (también conocidos como "pasaportes verdes").

Los países más afectados han sido Turquía (19% del total de ataques), Estados Unidos (18%) e Italia (10%). Los sectores más castigados han sido el gubernamental/militar (17% de todos los intentos de explotación de vulnerabilidades), seguido por el industrial (14%) y el bancario (11%).
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha registrado cientos de intentos de explotación de vulnerabilidades contra empresas de todo el mundo relacionados con las cuatro vulnerabilidades Zero-days que actualmente afectan a Microsoft Exchange Server. Sólo en las últimas horas, CPR ha observado que el número de intentos de explotación en las empresas que rastrea se duplican cada dos o tres horas.
Expertos en ciberseguridad de todo el mundo están realizando grandes esfuerzos de prevención para combatir a los cibercriminales que producen exploits para aprovechar las debilidades de Microsoft Exchange. Tras una importante investigación, CPR señala en su informe las vulnerabilidades detectadas, las empresas afectadas por país y sector, y las recomendaciones para prevenir los ataques, que aún están por llegar:
Intentos de ataque actuales en cifras
De todas las empresas atacadas, el 17% proceden del sector público y militar y un 14% del sector industrial. Desde el punto de vista geográfico, el país más atacado resultó ser Turquía (19%), seguido de Estados Unidos (18%) e Italia (10%).
Tras las líneas de los Zero Days
A principios de marzo, Microsoft publicó un parche de emergencia para Exchange Server, el servidor de correo más popular del mundo. Todos los correos electrónicos entrantes y salientes, las invitaciones del calendario y prácticamente cualquier cosa a la que se acceda dentro de Outlook pasa por el servidor Exchange.
Orange Tsai (Cheng-Da Tsai) de DEVCORE, una empresa de seguridad situada en Taiwán informó en el mes enero de dos vulnerabilidades. Aun sin conocimiento de la magnitud de los hechos, Microsoft se vio obligado a investigar más a fondo su conocido servidor Exchange. Finalmente, la investigación los llevó a descubrir otras cinco vulnerabilidades críticas que permitían a un cibercriminal la lectura de los correos electrónicos de un servidor Exchange sin necesidad de autenticarse o llegar a acceder a la cuenta de correo de un usuario. Además, las diferentes vulnerabilidades permiten a los ciberdelincuentes tomar el control total del propio servidor.
Una vez que un ciberdelincuente se apodera del servidor Exchange, puede abrir la red a Internet y acceder a ella de forma remota. Dado que muchos servidores Exchange están conectados a Internet (concretamente a la función Outlook Web Access) y están integrados en la red general, esto supone un riesgo de seguridad crítico para millones de empresas.
¿Qué empresas están en riesgo?
Si el servidor de Microsoft Exchange de una empresa tiene acceso a Internet y no se ha actualizado con los últimos parches ni se ha protegido con un software de terceros como Check Point, entonces debería considerar que el servidor está en peligro. Los servidores comprometidos podrían permitir a un cibercriminal no autorizado extraer todos los correos electrónicos corporativos y ejecutar un código malicioso dentro de una empresa con elevados permisos.
¿Cómo funcionan estas vulnerabilidades?
• CVE-2021-26855 - es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange que permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
• CVE-2021-26857 - es una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. La deserialización insegura es cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a HAFNIUM la capacidad de ejecutar código como SYSTEM en el servidor Exchange. Esto requiere el permiso del administrador u otra vulnerabilidad para explotarla.
• CVE-2021-26858 - es una vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si HAFNIUM pudiera autenticarse en el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
• CVE-2021-27065 - es una vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si HAFNIUM pudiera autenticarse con el servidor Exchange, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podrían autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
Después de su publicación, CPR ha recibido numerosas preguntas sobre la identidad de los ciberdelincuentes, su motivación y el amplio contexto de los últimos ciberataques.
“En este caso, al igual que en el de Sunburst, se ha utilizado una plataforma común como puerta de entrada para acceder a la red sin ser visto y permanecer en ella durante mucho tiempo. La buena noticia es que sólo los cibercriminales altamente cualificados y bien financiados son capaces de utilizarla para entrar en decenas de miles de empresas de todo el mundo”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “Aunque el ciberataque al servidor Exchange Zero Days es bastante impactante, aún se desconoce el propósito de este y lo que buscaban los ciberdelincuentes dentro de la red. Las empresas que se encuentren en situación de riesgo no sólo deben tomar medidas preventivas en su Exchange, sino también escanear sus redes en busca de amenazas reales y evaluar todos los equipos”, concluye Nieva.
En este sentido, Check Point cuenta con Check Point Harmony, la primera solución unificada que permite la conectividad segura a cualquier recurso en cualquier lugar con una protección total de endpoint en todos los dispositivos. Harmony asegura tanto los dispositivos corporativos como los BYOD y las conexiones a Internet frente a los ataques existentes y de día cero, a la vez que proporciona acceso Zero-Trust a las aplicaciones corporativas en una única solución fácil de gestionar.

El mundo se enfrenta diariamente a más de 100.000 páginas web 10.000 archivos maliciosos, el 46% de las empresas tienen al menos un empleado que ha descargado una aplicación móvil maliciosa. Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado el Security Report 2021. El informe desvela los principales métodos y técnicas de ataque detectados por los investigadores de CPR de los que los cibercriminales se beneficiaron de las consecuencias de la pandemia de COVID-19 para atacar a empresas de todos los sectores. Este informe ofrece a los profesionales de la ciberseguridad y a los directivos de alto nivel la información necesaria para proteger a sus empresas contra las amenazas y los ciberataques de quinta generación.
"En 2020, las empresas de todo el mundo se sorprendieron a sí mismas por la rapidez de sus estrategias digitales: se estima que la transformación digital se ha llegado a adelantar hasta siete años. Pero al mismo tiempo, los ciberdelincuentes han cambiado sus tácticas para poder beneficiarse de estos cambios y de la disrupción de la pandemia, con un incremento de los ataques en todos los sectores", afirma Dorit Dor, vicepresidenta de productos de Check Point Software. "Debemos actuar ahora para evitar que esta ciber pandemia se extienda sin control. Las empresas necesitan inmunizar sus redes hiperconectadas para prevenir estos dañinos ciberataques que causan tantas rupturas”.
Entre las principales claves del Security Report 2021 de Check Point Research destacan las siguientes:
● La adopción de la Cloud va por delante de la ciberseguridad: en 2020 los programas de transformación digital de las empresas experimentaron un salto de más de cinco años para responder a la pandemia, pero la seguridad en la nube pública continúa siendo una de las principales preocupaciones para el 75% de las empresas. A su vez, más del 80% de las compañías han comprobado que sus herramientas de seguridad actuales no funcionan en absoluto o sólo tienen funciones limitadas en la nube, lo que demuestra que los problemas de seguridad en la cloud continuarán durante 2021.
● El teletrabajo en el punto de mira: los ciberdelincuentes intensificaron los ataques de "secuestro de hilos" contra el personal remoto para conseguir robar datos o infiltrarse en las redes corporativas mediante los troyanos Emotet y Qbot, afectando al 24% de las empresas en todo el mundo. Igualmente, aumentaron los ciberataques contra sistemas de acceso remoto como RDP y VPN.
● Los ataques de ransomware de doble extorsión aumentan: en el tercer trimestre de 2020, casi la mitad de los incidentes de ransomware implican la amenaza de liberar datos robados de la empresa atacada. De media, una nueva empresa se convierte en víctima del ransomware cada 10 segundos en todo el mundo.
● Los ataques al sector sanitario se convierten otra epidemia: en el cuarto trimestre de 2020, CPR señaló que los ciberataques (especialmente los ataques de ransomware) a hospitales habían aumentado un 45% en todo el mundo, porque los cibercriminales creen más probable que se paguen las peticiones de rescate debido a las presiones de los casos de COVID-19.
● Los dispositivos móviles son objetivos fáciles: El 46% de las empresas ha tenido al menos un empleado que ha descargado una aplicación móvil maliciosa, lo cual pone en peligro sus sistemas y datos en 2020. El aumento del uso de los móviles durante los cierres globales también ha impulsado el crecimiento de los troyanos bancarios.
El Security Report 2021 de Check Point se ha elaborado a partir de datos procedentes de la inteligencia ThreatCloud de Check Point, la mayor red de colaboración para la lucha contra la ciberdelincuencia que ofrece datos sobre amenazas y tendencias de ataque procedentes de una red global de sensores de amenazas; de las investigaciones realizadas por Check Point en los últimos 12 meses; y de recientes informes de encuestas realizadas por Check Point a profesionales de TI y ejecutivos de nivel C. El informe examina las últimas amenazas emergentes en todos los sectores de la industria, y ofrece una visión general de las tendencias observadas en el panorama del malware, en los vectores emergentes de vulneración de datos y en los ciberataques de Estados. También incluye el análisis de expertos de los líderes de Check Point; para ayudar a las empresas a entender y prepararse para el complejo panorama de amenazas de hoy y de mañana.