Este nuevo acuerdo brindará a los clientes un mayor nivel de conocimiento sobre el panorama de amenazas con los beneficios de un firewall de última generación que proporciona sistemas de protección y detección de intrusos, antimalware y sandboxing.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, anuncia una alianza global con Teldat y Check Point Software, gracias a la cual la tecnológica española ha desarrollado un nuevo conjunto de herramientas Secure Access Service Edge (SASE) diseñadas para catalizar soluciones corporativas Zero Trust en la nube. Esta iniciativa es la primera en aprovechar la solución SASE de vanguardia basada en SD-WAN de Teldat desarrollada en conjunto con Check Point Software.

Los servicios de seguridad de Teldat para SASE incluyen los protocolos de estrategia Zero Trust de la empresa, los planos de SASE y una arquitectura de red moderna. También cuenta con capacidades SD-WAN, incluida la creación de procesos y políticas para administrar SASE.

La asociación entre Check Point Software y Teldat brindará a los clientes un mayor conocimiento sobre el panorama de amenazas. Los usuarios se benefician de un firewall de última generación, que proporciona sistemas de protección y detección de intrusos, antimalware y sandboxing; así como control de aplicaciones, antivirus, C&C, extracción de amenazas, prevención de pérdida de datos, antibot, descifrado SSL, filtrado de contenido e identificación de usuarios. Todo administrado a través de una única consola con los protocolos de red avanzados existentes.

La arquitectura de seguridad Zero Trust elimina la suposición de que una organización puede confiar en todos sus usuarios internos Teldat espera que, con sus reputados servicios propios de seguridad s, junto con la inteligencia contra amenazas de última generación de Check Point Software, un mayor número de empresas puedan adoptar la seguridad de Zero Trust basada en la nube de una manera sencilla y al ritmo adecuado.

El Día Mundial de la Contraseña se conmemora cada año el primer jueves del mes de mayo y es una fecha perfecta para recordar la importancia de las claves que se crean para los servicios online. En 2019, el Centro Nacional de CiberSeguridad de Reino Unido (NCSC) desvelaba que 23 millones de personas a nivel mundial utilizaban la contraseña “123456”, lo cual señala que aún son muchos los que no son conscientes del peligro que esto implica.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, quiere alertar sobre los peligros que suponen los muchos fallos que cometen los usuarios a la hora de crear y gestionar las contraseñas en las diferentes aplicaciones y herramientas que utilizan en el día a día. Una equivocación en la configuración de una de estas claves puede suponer no solo el robo de información personal, como el correo electrónico o sufrir un hurto económico, sino que también puede conllevar un acceso a la red corporativa y un daño significativo a nivel empresarial.

Ante esta situación, Check Point Software quiere señalar todas aquellas buenas prácticas que se deben aplicar a la hora de crear una contraseña segura y robusta:

1. En la combinación de caracteres está el secreto: usar palabras que están en el diccionario o que tengan relación con la vida personal del usuario es una práctica muy común. Pero esta costumbre pone en serio peligro la privacidad de los diferentes servicios a los que se accede cada día porque la clave en cuestión va a ser muy sencilla de averiguar para un ciberdelincuente. Para evitarlo, hay que usar siempre contraseñas que combinen números, letras y símbolos diferentes para cada plataforma.

2. Una contraseña diferente para cada cosa: son tantas las aplicaciones o servicios que los usuarios deben gestionar hoy en día que la tentación de usar una única contraseña para todos es grande. Aun así, es fundamental tener una distinta para cada servicio. Igual que no tenemos la misma llave para abrir nuestra casa, la oficina o el coche, usar una única contraseña es facilitar que puedan “abrir” toda nuestra vida digital. Es cierto que puede ser tedioso y complicado recordarlas todas, así que, para facilitar la tarea, se puede emplear un gestor de contraseñas, que permiten tanto administrar como generar diferentes combinaciones de acceso robustas para cada servicio y que el usuario sólo tenga que memorizar una clave maestra.

3. Cuanto más largas, más fuertes: es cierto que cuanto más extensa sea una combinación, más difícil será de recordar. Pero es la única forma de mantenerla a salvo. La longitud de una contraseña es una cualidad determinante. Se deben utilizar 8 dígitos como mínimo e incluir símbolos y letras para añadir robustez y un mayor nivel de seguridad.

4. Realizar cambios con regularidad: es cierto que la imaginación tiene sus límites, porque crear una contraseña diferente para cada aplicación es complicado y si, además, hay que cambiarla con regularidad puede parecer una misión casi imposible. Para lograrlo, la mejor técnica es utilizar un mismo patrón de base e ir añadiendo diferentes combinaciones a partir de ese. De esta manera, será más sencillo de recordar y más fácil para llevar a cabo los cambios con periodicidad.

5. El doble factor de autenticación como mejor amigo: a pesar de tomar todas las medidas anteriores, los ciberdelincuentes evolucionan a una velocidad cada vez más rápida y cuentan con técnicas que pueden llegar a traspasar todas esas protecciones. Por ello, para contar con una contraseña robusta y segura es imprescindible implementar un doble factor de autenticación. De esta manera, cada vez que algún atacante o persona no autorizada quiera acceder a una cuenta ajena el usuario dueño de esta recibirá un mensaje en su móvil para dar acceso.

“Los ciberdelincuentes crean cada día nuevas formas y ciberataques destinados a robar las contraseñas de cientos de usuarios. Técnicas como el phishing han logrado vulnerar miles de servicios a través del hurto de credenciales. Este riesgo puede remediarse fácilmente configurando combinaciones variadas y robustas de 8 caracteres como mínimo, que intercalen letras, símbolos y signos de puntuación. Si a esto le sumamos un doble factor de autenticación haremos nuestras claves mucho más fuertes. De esta forma, los cibercriminales tendrán mucho más difícil adueñarse de las combinaciones de acceso y garantizamos el más alto nivel de seguridad en nuestros dispositivos”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software.

• Check Point Research muestra que Emotet sigue siendo el número uno de los malware más frecuentes, mientras que Agent Tesla pasa del cuarto al segundo puesto tras varias campañas de mal-spam.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de marzo. Los investigadores informan que Emotet continúa su reinado como el malware más difundido, afectando al 10% de las empresas de todo el mundo, el doble que en febrero.

Emotet es un troyano avanzado, autopropagado y modular que utiliza múltiples métodos para ser persistente y aplica técnicas de evasión para evitar su detección. Desde su regreso en noviembre del año pasado y tras la reciente noticia del cierre de Trickbot, Emotet ha ido reforzando su posición como el malware más prevalente, especialmente este mes en el que se han realizado muchas campañas agresivas de correo electrónico, incluyendo varias estafas de phishing con temática de Semana Santa. Los emails se enviaron a víctimas de todo el mundo, uno de ellos con el asunto “buona pasqua, happy easter”, pero adjunto al email había un archivo XLS malicioso para distribuir Emotet.

El Agente Tesla, la RAT avanzada que funciona como un keylogger y ladrón de información, es el segundo malware más frecuente este mes, escalando posiciones desde el cuarto lugar del mes pasado. El aumento del Agente Tesla se debe a varios envíos nuevos de mal-spam que distribuyen el RAT a través de archivos maliciosos xlsx/PDF en todo el mundo. Algunas de estas campañas han aprovechado la guerra entre Rusia y Ucrania para atraer a las víctimas.

"La tecnología ha avanzado en los últimos años hasta el punto de que los ciberdelincuentes dependen cada vez más de la confianza de las personas para acceder a una red corporativa. Al centrar sus correos electrónicos de phishing en festividades estacionales como la Semana Santa, son capaces de explotar y atraer a las víctimas para que descarguen archivos adjuntos maliciosos que contienen malwares como Emotet. Se esperaba un aumento de estafas de este tipo el fin de semana de Pascua y, por ello, advertimos a los usuarios para que estuvieran alerta, incluso si el email parecía provenir de una fuente fiable. ", afirma Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este mes también hemos observado que Apache Log4j ha vuelto a ser la vulnerabilidad número uno más explotada. Incluso después de todo lo que se habló de ella a finales del año pasado, sigue causando daños meses después de la detección inicial. Las empresas deben tomar medidas inmediatas para evitar que se produzcan ataques".

Los investigadores han revelado que en marzo el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial, seguido por el Gobierno/Militar y el de ISP/MSP. "La revelación de información del servidor web Git" ha sido la vulnerabilidad más explotada y común - ha afectado al 26% de las empresas de todo el mundo-, seguida de “Apache Log4j Remote Code Execution” que impactó a más del 33%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 26% de los negocios en el mundo.

Ejemplos de correos electrónicos de phishing con temática de Pascua

Los 3 malware más buscados en Colombia en marzo:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Gupteba- Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.21% de las organizaciones en Colombia en marzo y su impacto global fue 2.03% en ese periodo.

2. ↑ Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en marzo tuvo un impacto en las empresas del 13.44% y a nivel global del 1.30%.

3. ↑ AsyncRat –. Es un troyano que se dirige a la plataforma Windows. Este malware envía información del sistema sobre el sistema de destino a un servidor remoto. Recibe comandos del sistema para descargar y ejecutar complementos, eliminar procesos, desinstalarse/actualizarse y hacer capturas de imágenes de pantalla del sistema infectado. En Colombia, ha afectado en marzo a un 12.25% de las empresas y globalmente al 0.69%.

Los sectores más atacados a nivel mundial:
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar y ISP/MSP.

1. Educación/Investigación
2. Gobierno/Militar
3. ISP/MSP

Top 3 vulnerabilidades más explotadas en marzo:

1. ↔ Filtración de información del repositorio Git - La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.

2. ↔ Ejecución remota de código en Apache Log4j (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en marzo:

1. AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. xHelper – Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies. La lista completa de las 10 familias principales de malware en marzo está disponible en el blog de Check Point Software.

Las redes sociales han pasado a ser el objetivo principal. El sector del transporte es la segunda categoría más atacada. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report del Q1 de 2022 (enero-marzo). El estudio destaca las marcas que los ciberdelincuentes suplantan para intentar robar información personal o credenciales de pago.

La red social LinkedIn encabeza la clasificación por primera vez en la historia, siendo protagonista de más de la mitad (52%) de los intentos de phishing durante este primer trimestre del año, lo que supone un espectacular aumento del 44% con respecto al pasado periodo, en el que ocupaba la quinta posición y sólo representaba el 8% de los intentos de phishing. LinkedIn ha superado a DHL como la firma más afectada, que ahora ocupa la segunda posición y representa el 14% de todos los intentos de phishing de estos primeros meses del año.

Este último índice pone de manifiesto cómo las redes sociales han pasado a ser el objetivo principal de los ciberdelincuentes, por delante de las empresas de transporte y los gigantes tecnológicos como Google, Microsoft y Apple. LinkedIn es la marca más usada por un margen considerable, pero también vemos a WhatsApp en el top diez, representando casi 1 de cada 20 ataques relacionados con el phishing en todo el mundo. El informe destaca un ejemplo particular en el que contactan con los usuarios de LinkedIn a través de un correo electrónico de apariencia oficial en un intento de atraerlos para que hagan clic en un enlace malicioso. Una vez allí, se pide a los usuarios que inicien sesión a través de un portal falso en el que se recogen sus credenciales.

El sector del transporte es la segunda categoría más atacada, ya que los ciberdelincuentes siguen aprovechando el aumento del comercio electrónico para dirigirse directamente a los consumidores y a las empresas de mensajería. DHL ocupa la segunda posición con el 14% de los intentos de phishing; FedEx ha pasado de la séptima posición a la quinta, y ahora representa el 6% de todos los casos; y Maersk y AliExpress se estrenan en la lista de los diez primeros. Dicho informe destaca una estrategia de phishing en particular que utilizaba correos electrónicos con la marca Maersk para fomentar la descarga de supuestos documentos de tránsito, infectando los equipos de trabajo con malware.

“Estos intentos de phishing son ataques oportunistas, simple y llanamente. Los grupos criminales los realizan a gran escala, con el fin de conseguir que el mayor número de personas facilite sus datos personales”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Algunos ataques intentarán aprovecharse de las personas o robar su información, como los que estamos viendo con LinkedIn. Otros serán tentativas de desplegar malware en las empresas, como los correos electrónicos fraudulentos que contienen documentos de envíos inexistentes que estamos viendo con empresas como Maersk. Si alguna vez hubo alguna duda de que las redes sociales se convertirían en uno de los sectores objetivo de los grupos delictivos, el primer trimestre ha despejado esas dudas. Mientras que Facebook ha salido de la lista de los diez primeros, LinkedIn se ha disparado al número uno y ha sido responsable de más de la mitad de los intentos de phishing en lo que va de año. La mejor defensa contra estas amenazas, como siempre, es el conocimiento. Los empleados, en particular, deben recibir formación para detectar anomalías sospechosas, como dominios mal escritos, errores tipográficos, fechas incorrectas y otros detalles que pueden poner al descubierto un correo electrónico o mensaje de texto falso. Los usuarios de LinkedIn, en particular, deberían estar muy atentos durante los próximos meses”, concluye Ivonne Pedraza.

En un ataque de phishing de marca los atacantes intentan imitar la página web oficial de una empresa conocida utilizando un nombre de dominio o una URL y un diseño de web similares a los del sitio genuino. El enlace que lleva a la página web falsa puede enviarse a las personas objetivo por correo electrónico o mensaje de texto, o también puede redirigirse al usuario durante la navegación, o activarse desde una aplicación móvil fraudulenta. El sitio web falso suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el primer trimestre de 2022

1. LinkedIn (relacionado con el 52% de todos los ataques de phishing a nivel mundial)
2. DHL (14%)
3. Google (7%)
4. Microsoft (6%)
5. FedEx (6%)
6. WhatsApp (4%)
7. Amazon (2%)
8. Maersk (1%)
9. AliExpress (0.8%)
10. Apple (0.8%)

Email de phishing de Maersk - Ejemplo de malware

Durante el primer trimestre de 2022, se ha identificado un correo electrónico de phishing malicioso que utilizaba la marca Maersk e intentaba descargar el RAT (troyano de acceso remoto) Agent Tesla en el equipo del usuario. Así, el mensaje (véase la figura 1) enviado desde “Maersk Notification (service@maersk[.]com)” una dirección falseada- con el asunto “Maersk: verify Copy for Bill of Lading XXXXXXXXX ready for verification”. El contenido solicitaba la descarga de un archivo excel “Transport-Document”que provocaría la infección del sistema con el troyano Tesla.

Correo electrónico de phishing de LinkedIn - Ejemplo de robo de cuenta
En este mensaje de phishing, se observa un intento de robar la información de la cuenta de LinkedIn de un usuario. El email se envió desde “LinkedIn (smtpfox-6qhrg@tavic[.]com[.]mx)”, contenía el asunto “M&R Trading Co.,Ltd 合作采购订单＃XXXXXX”. El atacante intentaba atraer a la víctima para que hiciera clic en un enlace fraudulento, que redirige al usuario a una página de inicio de sesión falsa de LinkedIn (véase la figura 2).
En el enlace malicioso (https://carriermasr.com/public/linkedIn[.]com/linkedIn[.]com/login[.]php) el usuario debía introducir su nombre de usuario y su contraseña.

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de introducir datos y credenciales personales en aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente de empresas como LinkedIn o DHL, ya que actualmente son los más utilizados para hacer suplantaciones.

Check Point Software ayudará a proteger la misión de la Estación Espacial Internacional. Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en las oficinas de Check Point Software en Tel Aviv albergando en su sede en Tel Aviv las instalaciones de la sala de control y los servicios de ciberseguridad. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, apoya la misión espacial israelí Rakia acogiendo la comunicación con el centro de control especializado, situado en su sede de Tel Aviv, donde también albergará un centro de visitantes. Hoy, el astronauta israelí Eytan Stibbe tiene previsto despegar de Cabo Cañaveral (Florida) en una misión a la Estación Espacial Internacional (ISS). Allí llevará a cabo 35 experimentos, que van desde la investigación en alimentación y agricultura, pasando por pruebas médicas, el impacto de la microgravedad en la degradación del plástico, hasta ensayos con eventos luminosos transitorios, entre otros. La misión está prevista que dure entre 8 y 10 días.

Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en las oficinas de Check Point Software en Tel Aviv que tiene una sala de control desde la que científicos, artistas y educadores podrán supervisar las actividades de Eytan Stibbe y les permitirá realizar los cambios necesarios en los experimentos en tiempo real, a la vez que mantienen un diálogo directo con la sala de control de la ISS en Estados Unidos.

“En los últimos años, las empresas han gastado miles de millones de dólares en intentar establecer un camino "sencillo" hacia el espacio, lo que ha creado nuevas tecnologías y, a su vez, nuevos retos para la ciberseguridad”, afirma Oded Vanunu, responsable de investigación de vulnerabilidades de productos en Check Point Software Technologies. “Con una gran cantidad de comunicaciones y datos entre la nave espacial y la Tierra, cada fase de la misión Rakia necesita protección entre ambos puntos”.

La misión permitirá a los empresarios e investigadores israelíes avanzar en sus ideas innovadoras y les proporcionará una oportunidad única de poner a prueba sus empresas en un entorno de estudio único, contribuyendo así a las industrias de investigación internacionales e israelíes. El centro de visitantes, albergado por Check Point Software, hará accesible el Centro de la Misión Rakia a miles de estudiantes, permitiéndoles experimentar la travesía hacia el espacio a través de elementos interactivos y actividades educativas inspiradoras. El centro está dividido en cinco complejos, cada uno de los cuales representa un aspecto diferente de la misión:

1. El complejo de la Estación Espacial Internacional.
2. El centro de la misión "Rakia".
3. El parque de Experimentos Científicos.
4. El complejo de la vida en la Estación Espacial Internacional.
5. El proyecto inspirador “There is no dream too far away” (no hay sueño demasiado lejano).

Los visitantes podrán realizar una visualización del experimento Crisper de la Universidad de Tel Aviv y el Instituto Volcánico, que probará el diagnóstico genético de virus y bacterias en misiones espaciales en condiciones de microgravedad. Además, se simulará un experimento médico a distancia -detección del estrés y seguimiento del bienestar de los astronautas en remoto- a cargo de “Sheba Medical Center”, que reconoce el desarrollo de la angustia emocional y las situaciones de estrés a través de una app. La aplicación analizará el estado emocional de los visitantes, al igual que el de los astronautas en la estación espacial. El área inspiradora “No Dream Too Far” es una exposición fotográfica especial que muestra la “Coppola”, es decir, la ventana a través de la cual los astronautas observan la Tierra desde la Estación Espacial Internacional.

Los investigadores siguen observando un aumento de los ciberataques desde el comienzo de la guerra tanto en Ucrania como en Rusia, un 39% y un 22% respectivamente. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Nombre del APT Origen APT Sector al que se dirige Países objetivo
El Machete Países hispanohablantes Financiero, Gubernamental Nicaragua, Venezuela
Lyceum La República Islámica de Irán Energía Israel, Arabia Saudí
SideWinder Posiblemente la India Desconocido Pakistán

Características del malware
Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:
• Keylogging: roba todo aquello que se introduce mediante el teclado.
• Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
• Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
• Captura de pantalla.
• Recogida de datos del portapapeles.
• Ejecución de comandos.
Metodología de ataque
El Machete
1. Correo electrónico de spear-phishing con texto sobre Ucrania.
2. Documento de Word adjunto con un artículo versado en Ucrania.
3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
4. Malware descargado en el PC.
Lyceum
1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
2. El documento ejecuta un macrocódigo cuando se cierra el documento.
3. El archivo .exe se guarda en el PC.
4. La próxima vez que se reinicie el PC se iniciará el malware.
SideWinder
1. La víctima abre el documento malicioso.
2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
4. Malware en el PC de la víctima.
Los documentos con temática de Rusia/Ucrania se convierten en un señuelo
El Machete:
Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.
Lyceum:
A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo “Researchers gather evidence of possible Russian war crimes in Ukraine”, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.
SideWinder:
Este documento malicioso de Sidewinder, que también se aprovecha de la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de ciberseguridad que protejan su red a todos los niveles”, concluye Ivonne Pedraza.
Últimas cifras globales de ciberataques a Ucrania, Rusia y los países de la OTAN
Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después de su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.

En América Latina, la media de amenazas semanales por compañía se elevó la semana pasada a 1.773, un 13% por encima de la cifra registrada antes del inicio del conflicto. En América del Norte, la cifra es del 14% de aumento. La semana pasada en Europa la media de ataques semanales por organización fue un 18% mayor que antes del inicio del conflicto. En APAC, el dato de crecimiento se sitúa en un 16%. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, alerta de que el número de ciberataques tanto en Rusia como en Ucrania sigue aumentando. En Ucrania, la semana pasada la media de ataques semanales por empresa fue de 1.697, un 39% más que antes del inicio del conflicto y un 17% más que la semana previa. Por su parte, en Rusia la semana pasada la media de amenazas semanales por organización se situó en 1.550, un 22% superior a la de antes del inicio del conflicto y un 10% más que la semana anterior.

Asimismo, los investigadores están realizando un seguimiento de los ciberataques en todo el mundo en el marco del actual conflicto entre Rusia y Ucrania y han detectado que la media de ataques semanales por compañía se situó hace siete días en 1.290, un 16% más que antes del inicio del conflicto, y un 2% menos que la semana anterior. Durante todo el periodo que dura la guerra, la media de amenazas semanales ha aumentado un 9% en comparación con el periodo anterior.

Ciberataques por región

• En África, la media de ataques semanales por organización se situó la semana pasada en 2.169, un 7% más que antes del comienzo del conflicto y un 1% más que la semana anterior. Durante su desarrollo, la tasa semanal de ataques subió un 2% en comparación con el periodo previo a los enfrentamientos.
• En Europa, la media de ataques semanales por empresa se situó la semana pasada en 1.101, un 18% mayor que antes del inicio de la guerra y un 5% menor que la semana anterior. Durante el conflicto, la media semanal aumentó un 10% en comparación con el periodo anterior a este.
• En América Latina, la media de amenazas semanales por compañía se elevó la semana pasada a 1.773, un 13% por encima de la cifra registrada antes del inicio del conflicto y un 6% por debajo de la semana precedente. Durante el mismo, la media de ataques semanales creció un 9% en comparación con los momentos anteriores al conflicto.
• En América del Norte, el promedio de ataques semanales por organización en la última semana fue de 957, un 14% superior al de antes del comienzo del conflicto y un 5% inferior respecto a la semana anterior. Durante la guerra, la tasa media semanal de atentados se incrementó en un 10% en comparación con el periodo anterior al estallido de la guerra.
En cuanto a los ciberataques dirigidos a los países de la OTAN, la tendencia continúa creciendo. La última semana en España se incrementaron un 5% frente a los números previos del conflicto, reduciéndose un 5% con respecto a la semana anterior.

"Los ciberataques en ambos bandos, tanto en Rusia como Ucrania, siguen aumentando a medida que avanza el conflicto. La semana pasada, han crecido un 10% y un 17% respectivamente, en comparación con la semana anterior. Parece que los ciberdelincuentes están incrementando sus esfuerzos para aprovecharse de la situación. La tendencia es visible no sólo en los dos países implicados, sino a nivel mundial donde vemos que el promedio de ataques semanales por entidad fue la semana pasada un 16% más alto que antes del comienzo del conflicto. Creo que están tratando de aprovechar el bombo y el interés en torno a la guerra siempre que pueden, ya que buscan atacar a organizaciones que abarcan tanto al sector público, ya sea una ONG, una entidad sin ánimo de lucro o gubernamental, como al sector privado. Desde Check Point Software seguiremos vigilando las tendencias de los ciberataques en las próximas semanas en relación con el actual conflicto entre Rusia y Ucrania", explica Ivonne Pedraza, Territory Manager CCA Check Point Software.

Check Point Research recomienda a las personas que quieran hacer donativos que tengan cuidado con los enlaces y los sitios web que eligen para enviar fondos. En la Darknet los investigadores de CPR han localizado a una mujer que dice llamarse "Marina" y que utiliza una foto de un periódico alemán para identificarse de forma fraudulenta. En otro ejemplo, un anuncio de la Darknet dirige a un sitio web legítimo que ya ha recaudado donativos por valor de casi 10 millones de dólares en criptomonedas
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado una tendencia en la Darknet en la que se publican anuncios para solicitar donaciones para ayudar a los ucranianos. Aunque algunos son legítimos, muchos por el contrario son fraudulentos. Todos los ejemplos encontrados solicitan donaciones en criptomonedas.

La Darknet es un apartado de Internet no visible para los motores de búsqueda y a la que se accede utilizando navegadores anónimos. Los investigadores advierten a los usuarios que no se deben realizar donaciones a Ucrania a través de ella, ya que los ciberdelincuentes buscan sacar provecho rápidamente del gran interés que despierta el conflicto con Rusia.

Según el fundador de la bolsa de criptomonedas Kina, con sede en Kiev, el gobierno ucraniano ha recaudado más de 26 millones de dólares en criptomonedas desde el comienzo de la guerra. Los investigadores de Check Point Research, que escanean con frecuencia la Darknet, han detectado varios anuncios y páginas web cuyo objetivo es recaudar dinero para el pueblo ucraniano, en su mayoría en forma de criptodivisas. La investigación realizada muestra que mientras algunos de estos sitios son parte de la campaña oficial de recaudación de fondos del gobierno ucraniano, otros parecen ser sospechosos y promovidos por ciberdelincuentes que aprovechan la crisis actual para realizar actividades fraudulentas.

Aunque no es ilegal acceder y utilizar la Darknet, muchas de las actividades que se realizan en ella son ventas y transacciones ilegítimas. Durante la pandemia, las investigaciones de CPR descubrieron anuncios relacionados con el Coronavirus y pequeñas webs que ofrecían desde certificados COVID falsos, a vacunas o resultados de pruebas falsas. Ahora, los investigadores han encontrado ejemplos de anuncios en esta red, tanto legítimos como cuestionables, en los que se solicita dinero para ayudar a las víctimas de la guerra.

Marina solicita ayuda en la Darknet

En la Darknet, los investigadores han hallado una página web (onion) que solicita donaciones para "Marina".
Una breve descripción afirma que "Marina" y sus hijos están tratando de escapar de Ucrania debido a una "muy mala situación" y están pidiendo dinero en criptomonedas El llamamiento también dice: "cada moneda ayuda".

Aunque los códigos QR adjuntos son direcciones de monederos de criptomonedas, una rápida comprobación muestra que la imagen principal de la página está tomada de un artículo de periódico de la cadena internacional de noticias alemana Deutsche Welle (DW). No parece proporcionarse ninguna otra información, lo que plantea dudas sobre la autenticidad y legitimidad general de la página.

Una rápida exploración de más sitios web en la Darknet muestra más mini sites que contienen solicitudes de donaciones. Algunos redireccionan a webs oficiales legítimas del gobierno y piden la recaudación de fondos, pero otros enlaces son nulos o a páginas vacías. Algunos sitios remiten a lo que parecen ser páginas web fraudulentas.

Algunas de las páginas web a las que se hace referencia en la Darknet apuntan realmente a lugares fiables. El que destaca es: https://www.defendukraine.org/donate-, un sitio online que llama a los usuarios a "ayudar al ejército ucraniano y a sus heridos, así como a las familias y niños atrapados en el conflicto en desarrollo". También hace referencia a la cuenta de Twitter "Defiende Ucrania". El dominio se registró el 16 de febrero, una semana antes de que comenzara la guerra en Ucrania. La web en sí es sencilla y contiene una lista de diferentes organizaciones y ONG de Ucrania, así como de criptomonedas: Bitcoin, Ethereum y USDT.

Direcciones de Bitcoin: https://www.blockchain.com/btc/address/357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P
Este sitio ha recibido actualmente (desde 2022-02-24 12:58, primera transacción) 261.16141073 BTC valorados en 9.880.525,93 dólares.

En tiempos de crisis y circunstancias extremas, -como en este caso es la guerra- siempre hay una proliferación de ciberdelincuentes que intentan aprovechar la situación y se produce un aumento de las actividades fraudulentas. En un informe reciente, Check Point Research publicó datos sobre el incremento de las amenazas que los investigadores han observado desde el comienzo de la guerra. Los ataques contra el Gobierno y el sector militar de Ucrania crecieron un asombroso 196% en los tres primeros días de combate. No es de extrañar que los atacantes se dirijan ahora a la Darknet en busca de nuevas actividades ofensivas.

“Check Point Research siempre vigila de cerca la Darknet. El año pasado, encontramos anuncios de servicios falsos de Coronavirus. Ahora, estamos viendo cómo aparecen estafas de donaciones a medida que se intensifica el conflicto entre Rusia y Ucrania. Estos anuncios utilizan nombres falsos e historias personales para atraer a la ciudadanía a donar. En uno de los ejemplos, vemos a alguien que dice llamarse "Marina" y que muestra una foto personal con sus hijos de la mano. Resulta que la imagen está sacada en realidad de un periódico alemán”, advierte Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Al mismo tiempo, estamos observando anuncios legítimos de donaciones para ayudar a los ucranianos, donde mostramos un ejemplo que logró recaudar casi diez millones de dólares. Así pues, en la Darknet se mezclan anuncios legítimos y fraudulentos. Pero esta red puede ser un lugar peligroso. Insto encarecidamente a todos los que quieran hacer donaciones a que utilicen fuentes y medios de confianza. Check Point Research la seguirá vigilando durante todo el tiempo que dure la guerra e informará de cualquier otra acción indebida”, destaca Ivonne Pedraza.

El grupo Conti cuenta con oficinas físicas en varios países, incluida Rusia. El equipo de RR. HH de Conti ofrece bonificaciones mensuales, primas, premio al empleado del mes y revisiones de rendimiento. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha recabado nuevos detalles sobre el funcionamiento interno del grupo de ransomware Conti. Conti es un grupo de Ransomware-as-a-Service (RaaS), que permite alquilar el acceso a su infraestructura para lanzar ataques. Expertos del sector han afirmado que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia de este país. A Conti se le han atribuido ataques de ransomware dirigidos a docenas de empresas, entre ellas el gigante de la ropa Fat Face y Shutterfly, así como a infraestructuras críticas, como el servicio sanitario irlandés y otras organizaciones de asistencia.

El 27 de febrero de este año un presunto infiltrado difundió en Internet un caché de registros de chat pertenecientes al Conti, que afirmaba haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania. Los investigadores analizaron los archivos filtrados y descubrieron que este conjunto de ransomware opera como una gran empresa tecnológica. La compañía tiene un departamento de Recursos Humanos, un proceso de contratación, salarios y pago de bonificaciones.

1. Características de las operaciones internas de Conti:

• Conti actúa como una empresa tecnológica:
- Estructura jerárquica y definida.
- Responsables de equipo que dependen de la alta dirección.
- Principales grupos observados: RR. HH, programadores, verificadores, criptógrafos, administradores de sistemas, ingenieros informáticos, especialistas en OSINT y personal de negociación.
- Check Point Research ha identificado a los principales implicados con sus nombres: Stern (gran jefe), Bentley (jefe técnico), Mango (gestor de cuestiones generales), Buza (director técnico), Target (responsable de los codificadores y sus productos), Veron alias Mors (coordinador de las operaciones del grupo con Emotet).
• Trabajar desde una oficina física en Rusia:
- El grupo Conti dispone de diversas oficinas físicas. El responsable es "Target", socio de Stern y responsable efectivo de la operativa de las oficinas, que también es el encargado del fondo salarial, del equipamiento técnico, del proceso de contratación de Conti y de la formación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por los técnicos de pruebas, los equipos ofensivos y los negociadores; Target señala 2 oficinas dedicadas a los trabajadores que hablan directamente con los representantes de las víctimas.
- En agosto de 2020, se abrió una adicional para administradores de sistemas y programadores, bajo la supervisión del "Profesor, que es quien se encarga de todo el proceso técnico de garantizar las infecciones”.
• Remuneración. Primas mensuales, multas, empleado del mes, evaluaciones de rendimiento:
- Los miembros del equipo de negociación de Conti (incluidos los especialistas en OSINT) cobran mediante comisiones, calculadas como un porcentaje del valor del rescate pagado que oscila entre el 0,5% y el 1%. Los programadores y algunos de los directivos reciben un salario en bitcoin, transferido una o dos veces al mes.
- Los empleados de Conti no están sindicados, por lo que están expuestos a prácticas como ser sancionados por su bajo rendimiento.
2. El talento se recluta tanto de fuentes legítimas como clandestinas
- El principal recurso que suele utilizar Conti HR para la contratación son los servicios de búsqueda de personal de habla rusa, como headhunter.ru. También han utilizado otros portales como superjobs.ru, pero al parecer con menos éxito. Conti OPSec prohíbe dejar rastros de las ofertas de trabajo para desarrolladores en esos sitios web, una norma que aplica estrictamente uno de los altos cargos, "Stern".
- Así que, para contratar desarrolladores, Conti se salta el sistema de empleo de headhunter.ru, y en su lugar accede directamente a la bolsa de currículums y se pone en contacto con los candidatos por correo electrónico. Es posible que alguien se pregunte "¿por qué headhunter.ru ofrece este servicio?", y la respuesta es que no lo hace. Conti simplemente "ha tomado prestada" la bolsa de currículums sin permiso, lo que parece ser una práctica habitual en el mundo de la ciberdelincuencia.
3. Conti y los planes de futuro: intercambio de criptomonedas y una red social de darknet
- Una de las ideas discutidas es la creación de una bolsa de criptomonedas en el propio ecosistema del grupo.
- Otro proyecto es la "red social de la Darknet" (también: "VK para la Darknet" o "Carbon Black para los hackers"), un proyecto inspirado por Stern y llevado a cabo por Mango, como una acción comercial. En julio de 2021, Conti ya se puso en contacto con un diseñador, que realizó algunas maquetas.
“Por primera vez, tenemos la oportunidad de acceder a un grupo conocido en el mundo del ransomware. Conti actúa como una empresa de alta tecnología. Nos encontramos con cientos de empleados en una jerarquía de directivos. Vemos una función de RR. HH, con responsables de diferentes departamentos. De forma alarmante, tenemos pruebas de que no todos los asalariados son plenamente conscientes de que forman parte de un grupo de ciberdelincuentes. En otras palabras, Conti ha podido reclutar profesionales de fuentes legítimas. Estos trabajadores creen que están colaborando con una empresa de publicidad, cuando en realidad están haciéndolo con un conocido grupo de ransomware”, explica Ivonne Pedraza, Territory Manager CCA de Check Point technologies. “Algunos de ellos se enteran de la verdad y deciden quedarse, lo que revela que el equipo directivo de Conti ha desarrollado un proceso para conseguir retenerlos. Nos queda claro que Conti ha desarrollado una cultura interna para aumentar los beneficios, además de multar a los empleados por comportamientos inadecuados. También es evidente que Conti tiene oficinas en Rusia. Nuestra publicación presenta conclusiones sobre su funcionamiento interno y su cultura”, concluye Ivonne Pedraza

Para celebrar el Día Internacional de la Mujer 2022, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, explica cómo han hecho grandes avances en el reconocimiento y la importancia de las mujeres en la ciberseguridad. En este sentido, Check Point actúa y lleva a cabo acciones cada día para aumentar la representación femenina dentro de su empresa y apoyar la proliferación de estas en la industria de la ciberseguridad.

En 2013, las mujeres ocupaban solo el 11% de los puestos de trabajo en el mundo de la ciberseguridad. En 2020, las mujeres europeas representaban el 23% de la fuerza laboral en este campo según el informe Women in Cybersecurity, realizado por la organización de certificaciones en seguridad (ISC)2. Aunque es cierto que cada vez son más las mujeres que ocupan puestos en ciberseguridad, aún queda mucho camino por recorrer para romper las diferencias de género.

Para lograr la meta de tener una organización más equilibrada en términos de género, Check Point Software participa en diferentes conferencias y eventos que promueven la diversidad de género con el fin de incorporar candidatas a la compañía. También ha establecido iniciativas como el programa Woman Mentoring, una campaña de desarrollo del liderazgo para futuras líderes femeninas o el programa de mentoría FIERCE en Estados Unidos, que se llevan a cabo en la región de EMEA cada seis meses. El funcionamiento contempla una dinámica en la que se nombra a una mujer con experiencia, directora o líder de equipo para que guíe a una alumna con menor recorrido. Se trata de una asociación de aprendizaje y desarrollo con un intercambio bidireccional de orientación y asesoramiento, para apoyar a las mujeres que desean desarrollar su carrera en el mundo de la ciberseguridad.

Otra iniciativa llevada a cabo en colaboración con la empresa estadounidense FIERCE es el programa FIERCE Mentorship, cuyo objetivo es formar a las mujeres jóvenes para que se involucren en la ciberseguridad. Este foro de divulgación comunitaria trabaja con comunidades y programas locales para ofrecer actividades innovadoras que inspiren a las chicas a elegir y seguir carreras relacionadas con la ciberseguridad.

"En Check Point Software siempre hemos estado muy comprometidos no sólo con la igualdad, sino con romper los prejuicios en el lugar de trabajo a la hora de contratar, formar y evaluar a nuestros empleados. Para ello, llevamos a cabo programas especiales dedicados a desarrollar las carreras de todas nuestras empleadas, por ejemplo, en el ámbito de la formación. Hemos puesto en marcha un programa de mentoría de alto rendimiento para desarrollar las carreras de las mujeres en nuestros equipos y otro centrado en el desarrollo del liderazgo para las futuras directivas, para preparar a las próximas líderes de nuestra empresa", explica Maya Horowitz, vicepresidenta de investigación de Check Point Software.

"Han sido muchas las mujeres sobresalientes que han sido cruciales en el éxito de Check Point Software desde su nacimiento. La mejor ciberseguridad se basa en tener a las mejores mujeres y hombres trabajando en ella, y nuestra diversidad es siempre un beneficio", destaca Gil Shwed, fundador y CEO de Check Point Software. “Check Point se esfuerza cada día por aumentar la representación femenina y sigue promoviendo campañas y asociaciones con organizaciones para aumentar el número de mujeres en puestos relacionados con la tecnología y formarlas para que crezca su formación en ciberseguridad. En la actualidad, más de la mitad de los altos cargos ejecutivos de Check Point Software están ocupados por mujeres, como la directora de producto (CPO), la directora financiera (CFO), la directora de operaciones (COO) y la directora comercial (CCO)”.

Se ha descubierto que títulos populares como "Temple Run" o "Subway Surfer" son maliciosos, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total de los equipos de las víctimas. Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado la existencia de un nuevo malware que se está distribuyendo activamente a través de la tienda oficial de Microsoft, apodado Electron Bot.

Con más de 5.000 equipos ya afectados, el malware ejecuta continuamente comandos de los ciberdelincuentes, como por ejemplo el control de cuentas de redes sociales en Facebook, Google y Sound Cloud. De esta forma, es capaz de registrar nuevas cuentas, iniciar sesión, dejar comentarios y dar "me gusta" a otras publicaciones.

Electron Bot es un malware modular de envenenamiento SEO, que se utiliza para la promoción en redes sociales y el fraude de clics. Se distribuye principalmente a través de la plataforma de la tienda de Microsoft y aparece a partir de docenas de aplicaciones infectadas, en su mayoría videojuegos, que los ciberdelincuentes suben constantemente. La actividad de los atacantes comenzó como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una app llamada "Album by Google Photos" que decía ser publicada por Google LLC. Ahora ha evolucionado de forma constante a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.

El bot está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, dándole las capacidades de un navegador controlado por scripts como JavaScript.

Para evitar la detección, la mayoría de los scripts que controlan el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los ciberdelincuentes. Esto les permite modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento. Electron imita el comportamiento de la navegación humana y evadir las protecciones de los sitios web.

Las principales capacidades de Electron bot son:

1. Envenenamiento SEO, un método de ataque en el que los ciberdelincuentes crean sitios web maliciosos y utilizan tácticas de optimización de motores de búsqueda para que aparezcan de forma destacada en los resultados de búsqueda. Este método también se utiliza para vender como un servicio y promover el ranking de otros sitios web.
2. Ad Clicker, una infección informática que se ejecuta en segundo plano y se conecta constantemente a páginas web remotas para generar "clics" en la publicidad, con lo que se obtiene un beneficio económico por la cantidad de veces que se hace clic en un anuncio.
3. Promover cuentas de redes sociales, como YouTube y SoundCloud, para dirigir el tráfico a contenidos específicos y aumentar las visitas y los clics en los anuncios para generar beneficios.
4. Promocionar productos online para generar beneficios con los clics en los anuncios o aumentar la valoración de la tienda con el objetivo de aumentar las ventas.

Además, como la carga útil de Electron Bot se hace de forma dinámica, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total del dispositivo de la víctima.

Distribución a través de aplicaciones de videojuegos en Microsoft Store

Hay docenas de aplicaciones infectadas en la tienda de Microsoft. Se han encontrado títulos populares como "Temple Run" o "Subway Surfer" que son maliciosos.

Figura 1: Templo Endless Runner 2

Hasta ahora, los investigadores han contabilizado 5.000 víctimas en 20 países. La mayoría de las víctimas son de Suecia, Bermudas, Israel y España. Además, han detectado varios distribuidores de videojuegos maliciosos, donde todas las aplicaciones bajo los mismos están relacionadas con la campaña maliciosa:

• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• Bizon case

Cómo funciona el malware

1. El ciberataque comienza con la instalación de una aplicación de la tienda de Microsoft que se hace pasar por legítima.
2. Tras la instalación, el ciberdelincuente descarga archivos y ejecuta scripts.
3. El malware, que ha sido descargado, gana persistencia en el equipo de la víctima, ejecutando repetidamente varios comandos enviados desde el C&C del atacante.

En cuanto al origen de este ciberataque, hay evidencias de que la campaña de malware se inició en Bulgaria, incluyendo:

• Todas las variantes entre 2019 - 2022 fueron subidas a un almacenamiento público en la nube "mediafire.com" desde Bulgaria.
• La cuenta de Sound Cloud y el canal de YouTube que el bot promociona están bajo el nombre de "Ivaylo Yordanov", un popular luchador de fútbol búlgaro.
• Bulgaria es el país más promocionado en el código fuente.

Los investigadores de Check Point Research ha informado a Microsoft de todos los distribuidores de videojuegos detectados que están relacionados con esta campaña.

"Esta investigación ha analizado un nuevo malware llamado Electron-Bot que ha atacado a más de 5.000 víctimas en todo el mundo. Electron-Bot se descarga y se propaga fácilmente desde la plataforma oficial de la tienda de Microsoft. El framework Electron proporciona a las aplicaciones Electron acceso a todos los recursos informáticos, incluida la computación GPU. Como el payload del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo. Por ejemplo, pueden inicializar otra segunda etapa y enviar un nuevo malware como un ransomware o una RAT. Todo esto puede ocurrir sin el conocimiento de la víctima. La mayoría de las personas piensan que se puede confiar en las reseñas de las tiendas de aplicaciones, y no dudan en descargar una aplicación desde allí. Esto conlleva un riesgo increíble, ya que nunca se sabe qué elementos maliciosos se pueden estar descargando", alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Consejos de seguridad

Para estar lo más seguro posible, antes de descargar una aplicación de la tienda de aplicaciones:

1. Hay que evitar descargar una aplicación con poca cantidad de reseñas
2. Se debe buscar aplicaciones con buenas reseñas, consistentes y confiables
3. En caso de que el nombre de la aplicación sea sospechoso y no coincida con el nombre original, hay que prestar atención.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de enero. Los investigadores señalan que Emotet ha desbancado a Trickbot del primer puesto tras una larga temporada en la cima, y es el malware más extendido de este mes, afectando al 6% de las empresas de todo el mundo. Log4j también sigue siendo un gran problema, ya que afecta al 47,4% de las organizaciones a escala mundial, y el sector más atacado sigue siendo el de la educación/investigación.

Después de sólo dos meses y medio desde su regreso, Emotet ha alcanzado la primera posición. Esta famosa red de bots se propaga sobre todo a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Su creciente uso se ha visto favorecido por la prevalencia de Trickbot, que actúa como catalizador, extendiendo este malware aún más. Mientras tanto, Dridex ha desaparecido de la lista de los diez primeros, por Lokibot, un InfoStealer que se utiliza para obtener datos como credenciales de correo electrónico, contraseñas de carteras de criptomonedas y servidores FTP.

"No es de extrañar que Emotet haya vuelto con fuerza. Se trata de un malware evasivo, lo que dificulta su detección, mientras que el hecho de que utilice múltiples métodos para infectar las redes no hace más que contribuir al continuo aumento de esta amenaza. Difícilmente será un problema de corta duración", destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este mes también hemos visto desaparecer a Dridex de nuestra lista de los diez principales y resurgir a Lokibot, que se aprovecha de las víctimas en sus momentos de mayor actividad, distribuyéndose a través de emails de phishing bien disfrazados. Estas amenazas, junto con la batalla en curso contra la vulnerabilidad Log4j, enfatizan la importancia de tener la mejor seguridad a través de las redes, la nube, los móviles y los endpoints de los usuarios".

Check Point Research ha revelado este mes que el sector de la educación/investigación continúa siendo el más atacado a nivel mundial, seguido por el gubernamental/militar y el de ISP/MSP. Asimismo, "Apache Log4j Remote Code Execution" sigue siendo la vulnerabilidad más explotada y común - que ha afectado al 47,4% de las empresas de todo el mundo-, seguida de “La revelación de información del servidor web Git” que impactó a más del 45%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.

Los 3 malware más buscados en Colombia en enero:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en enero tuvo un impacto en las empresas del 13.81% y a nivel global del 1.83%.
2. ↔ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 12.55% de las organizaciones en Colombia en enero y su impacto global fue del 1.87%.

3. ↔ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. En enero atacó a un 11,72% de las organizaciones en Colombia. Su impacto global en ese mismo periodo fue del 1.87%.

Los sectores más atacados a nivel mundial:
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Gobierno/Militar
3. ISP/MSP

Top 3 vulnerabilidades más explotadas en enero:

1. ↑ Apache Log4j Remote Code Execution (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
2. ↔ Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en enero:

1. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot – esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

Los sectores de la educación y la investigación fueron los más atacados, con una media de 1.605 ataques semanales, lo que supone un aumento del 75%. Las redes de bots fueron la principal categoría de ataque en todo el mundo, después los infostealers y las criptomonedas. Los ciberataques contra los 16 principales sectores aumentaron una media del 55%. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado el Security Report 2022. Desde el innovador sistema de propagación del ataque a SolarWinds a principios de año, hasta la afluencia de explotaciones de la vulnerabilidad Apache Log4j que hemos visto en diciembre el Security Report 2022 revela las claves de los vectores y técnicas de ataque registrados por Check Point Research durante 2021.

Durante el año pasado, las empresas experimentaron un 50% más de ciberataques semanales que en 2020. Por grupos de sectores, educación/investigación, con 1.605 ataques semanales, se sitúa a la cabeza (75% de aumento) seguido por Gobierno/Militar con 1.136 ataques semanales (47% de aumento) y el ámbito de las comunicaciones con 1.079 ataques semanales (51% de aumento). Los proveedores de software experimentaron un crecimiento interanual del 146%, lo que va de la mano de los ataques a la cadena de suministro de software observados en 2021. Este último año también se ha visto una evolución de los ataques a dispositivos móviles, un aumento de las principales vulnerabilidades de los servicios en la nube y el regreso de la famosa red de bots Emotet.

Entre los aspectos más destacados del Security Report 2022 se encuentran:

• Ataques a la cadena de suministro: el ataque de SolarWinds sentó las bases y en 2021 tuvieron lugar numerosos y sofisticados ataques como el de Codecov en abril y el de Kaseya en julio, concluyendo con la vulnerabilidad de Log4j que se expuso en diciembre. El sorprendente impacto logrado por esta única vulnerabilidad en una biblioteca de código abierto demuestra el inmenso riesgo al que están expuestas las cadenas de suministro de software.
• Ciberataques que perturban la vida cotidiana: en 2021 se produjo un gran número de ataques dirigidos a infraestructuras críticas que provocaron enormes trastornos en la vida cotidiana y, en algunos casos, incluso amenazaron su seguridad física.
• Los servicios en la nube están bajo amenaza: las vulnerabilidades de los proveedores de la nube se volvieron mucho más alarmantes en 2021. Las debilidades expuestas a lo largo del año han permitido a los ciberdelincuentes ejecutar un código arbitrario, escalar hasta los privilegios de root y acceder a cantidades masivas de contenido privado.
• Evolución de las amenazas en los dispositivos móviles: a lo largo del año, los ciberdelincuentes han utilizado cada vez más el smishing (suplantación de identidad por SMS) para la distribución de malware y han invertido importantes esfuerzos en vulnerar las cuentas de las redes sociales para obtener acceso a los dispositivos móviles. La continua digitalización del sector bancario en 2021 condujo a la introducción de varias aplicaciones diseñadas para limitar las interacciones cara a cara, y éstas a su vez han llevado a la distribución de nuevas amenazas.
• Grietas en el entorno del ransomware: los gobiernos y las fuerzas del orden cambiaron su postura frente a los grupos organizados de ransomware en 2021, pasando de medidas preventivas y reactivas a ofensivas proactivas contra los operadores de ransomware, su capital y sus infraestructuras de apoyo. El cambio más importante se produjo tras el incidente de Colonial Pipeline en mayo, que hizo que el gobierno de Biden se diera cuenta de que tenía que intensificar los esfuerzos para combatir esta amenaza.
• El regreso de Emotet: una de las redes de bots más peligrosas de la historia ha vuelto. Desde el regreso de Emotet en noviembre, CPR comprobó que la actividad del malware era al menos un 50% del nivel visto en enero de 2021, poco antes de su desmantelamiento inicial. Esta tendencia al alza continuó durante el mes de diciembre con varias campañas de fin de año, y se espera que continúe hasta bien entrado el año 2022.

"En un año que comenzó con uno de los ataques a la cadena de suministro más devastadores de la historia, hemos visto a los ciberdelincuentes crecer en confianza y sofisticación", destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. "El exploit de la vulnerabilidad Log4j ha cerrado un año cogiendo a los responsables de la ciberseguridad con la guardia baja, poniendo de manifiesto el enorme nivel de riesgo inherente a las cadenas de suministro de software. En los meses intermedios, vimos cómo atacaban a los servicios en la nube y se centraban cada vez más en los dispositivos móviles, el rescate de Colonial Pipeline y el resurgimiento de una de las redes de bots más peligrosas de la historia".

"Pero no todo es pesimismo. También vimos que al aumentar las grietas en el ecosistema del ransomware en 2021, los Gobiernos y las fuerzas de seguridad de todo el mundo decidieron adoptar una postura más dura contra los grupos de ransomware. En lugar de confiar en una acción reactiva y correctiva, los Estados han cambiado de estrategia con un enfoque más proactivo para hacer frente a los ciberriesgos. Esta misma filosofía se extiende a las empresas, que ya no pueden permitirse adoptar un enfoque inconexo, aislado y reaccionario para hacer frente a las amenazas. Necesitan una visibilidad de 360 grados, información sobre los ciberataques en tiempo real y una infraestructura de ciberseguridad que pueda movilizarse de manera eficaz y conjunta", concluye Ivonne Pedraza.

Categorías de ciberataques por región en 2021

Promedio de ataques semanales por organización, por industria 2021, comparado con 2020

El informe “Cyber Attack Trends: 2022 Security Report” ofrece una visión detallada del panorama de las ciberamenazas. Estas conclusiones se basan en los datos extraídos de ThreatCloud Intelligence de Check Point Software entre enero y diciembre de 2021, destacando las principales tácticas que los ciberdelincuentes están utilizando para atacar a las empresas.

Cada año se celebra el Día Internacional de la Protección de Datos, una fecha señalada en la que es importante recordar la relevancia de mantener a salvo toda la información personal y empresarial. Según el Security Report 2022 realizado por Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, los ciberataques han aumentado una media de un 50% en un año.

El sector de la educación y la investigación es el que ha sufrido el mayor golpe, con una media de 1.605 ataques cada semana a lo largo del año. En el caso de las empresas, este año se han visto en serio riesgo ante el notable aumento de los ciberataques. Ejemplo de ello ha sido la reciente vulnerabilidad de “Log4Shell”, que el año pasado afectó 48,3% de las organizaciones se vieron afectadas por intentos de explotación de esta vulnerabilidad según los investigadores de Check Point Research.

Incluso los ataques al sector de la sanidad aumentaron un 71% respecto a los niveles anteriores a la pandemia, lo que demuestra que nada está fuera del alcance de los ciberdelincuentes. El nombrado Security Report 2022, también señaló que el correo electrónico se había convertido en un vector cada vez más popular para la distribución de malware durante la pandemia, representando ahora el 84% de la distribución del mismo.

“El Día Internacional de la Protección de Datos es el momento perfecto para que usuarios y empresas evalúen sus protocolos de ciberseguridad a la hora de proteger los datos, con el objetivo de garantizar que su información se mantenga lo más segura posible”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Sabemos que las empresas no pueden permitirse el lujo de conformarse cuando se trata de defenderse en un panorama de amenazas en constante evolución. Por eso, estamos trabajando intensamente en tecnologías de vanguardia, como nuestros cortafuegos Quantum Lightspeed, y por eso todas y cada una de nuestras soluciones de software están impulsadas por una plataforma global de inteligencia sobre amenazas en tiempo real”, concluye Ivonne Pedraza.

El Comité Internacional de la Cruz Roja (CICR) ha sido víctima de un ciberataque en el que los ciberdelincuentes se han apoderado de los datos personales y la información de más de 515.000 personas extremadamente vulnerables, entre ellas las que han sido separadas de sus familias debido a conflictos armados, migraciones y catástrofes, entre otras. Ahora la mayor preocupación del CICR tras el impacto de la amenaza son los riesgos potenciales que conlleva esta filtración -incluida la divulgación de información confidencial- para las personas a las que la red de la Cruz Roja y la Media Luna Roja trata de proteger y asistir, así como para sus familiares.

"La sanidad es uno de los sectores más atacados por los ciberdelincuentes según nuestros datos, y seguirá siendo uno de los objetivos más importantes en 2022. Estamos hablando de 830 ciberataques semanales a organizaciones sanitarias en 2021, esto supone un aumento de más del 71% en solo un año. Los atacantes no tienen piedad con la sanidad ni con otros objetivos humanitarios de este tipo, y la Cruz Roja no es la única. Estos grupos son conscientes de la sensibilidad de estos datos, y los ven como "objetivos de dinero rápido". Los hospitales y las entidades sanitarias no pueden permitirse el lujo de interrumpir sus operaciones, ya que esto podría conducir literalmente a situaciones de vida o muerte”, destaca Lotem Finkelsteen, jefe de inteligencia de amenazas e investigación de Check Point Software.

“Los ciberdelincuentes implicados en el ciberataque a la Cruz Roja fueron directamente a la yugular. Buscaron los datos más sensibles de la organización, con el fin de crear la máxima ventaja posible contra la Cruz Roja. El mayor riesgo en este caso es la filtración de los datos comprometidos, que podría tener consecuencias potencialmente devastadoras para las víctimas. El ciberataque a la Cruz Roja hace que las personas indefensas sean aún más vulnerables, obligándolas potencialmente a sufrir más tiempo y a soportar más dolor. Por desgracia, los atacantes consideran estos objetivos como un negocio, y el mundo de los ciberataques es despiadado. Por ello, esperamos que la tendencia de dirigirse a las instituciones sanitarias continúe a medida que nos adentramos en 2022”, concluye Finkelsteen.

Microsoft, que volvió a liderar la clasificación en el tercer trimestre al representar el 29% de todos los intentos, sólo representó el 20% de las estafas de phishing en el cuarto trimestre. FedEx apareció en la lista de los diez primeros por primera vez en el último trimestre de 2021. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report del Q4 de 2021. Con el aumento de los casos de COVID y la temporada compras, DHL puso fin al largo reinado de Microsoft como la firma más frecuentemente imitada. Las redes sociales consolidan su posición entre los tres sectores más suplantados, ya que WhatsApp y LinkedIn ocupan los primeros puestos en la lista de las 10 marcas más plagiadas.
Por primera vez, el 23% de todos los intentos de phishing de marcas estaban relacionados con la compañía global de logística y envíos DHL, frente a sólo el 9% en el tercer trimestre, ya que los ciberdelincuentes trataron de aprovecharse de los consumidores online durante el periodo de mayor actividad comercial del año. Microsoft, que volvió a encabezar la clasificación en el Q3 (29% de todos los intentos de phishing), sólo representó el 20% de las estafas en el último trimestre del año. FedEx también apareció en el ranking por primera vez en el Q4 de 2021, sin duda como resultado de que los atacantes quisieran dirigirse a los usuarios online en el período previo a las navidades, ya que la pandemia seguía siendo una preocupación clave.
"Es importante recordar que los ciberdelincuentes son ante todo oportunistas. En sus intentos por robar los datos personales o desplegar malware en los equipos de los usuarios, los grupos criminales a menudo se aprovechan de las tendencias de los consumidores imitando las marcas populares", explica Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este trimestre, por primera vez, hemos visto que la empresa de logística global DHL encabeza la clasificación, presumiblemente para capitalizar el creciente número de nuevos compradores online”.".
El informe también refuerza una tendencia emergente, las redes sociales parecen consolidar su posición entre los tres principales sectores imitados en los intentos de phishing. Mientras que Facebook ha salido del ranking de las diez marcas con mayor probabilidad de ser suplantadas, WhatsApp ha pasado de la 6ª posición a la 3ª, representando ahora el 11% de todos los casos. LinkedIn ha pasado de la 8ª posición a la 5ª, representando ahora el 8% de todos los ataques relacionados con el phishing.
"El cuarto trimestre también ha confirmado lo que muchos esperábamos: las RRSS seguirán siendo el blanco de los ciberdelincuentes que buscan aprovecharse de aquellos que se apoyan más en canales como WhatsApp, Facebook y LinkedIn como resultado del teletrabajo. Desgraciadamente, las marcas como DHL, Microsoft y WhatsApp -que representan las tres marcas más imitadas en el Q4- no pueden hacer mucho para combatir los intentos de phishing. Es fácil pasar por alto detalles como dominios mal escritos, errores tipográficos o fechas incorrectas, y eso es lo que abre la puerta a más daños. Instamos a todos los usuarios a tener muy en cuenta estos detalles cuando traten con empresas como DHL en los próximos meses", concluye Pedraza.
En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una marca conocida utilizando un nombre de dominio o una URL y un diseño de página web similares a los del sitio auténtico. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. Eeste espacio suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.
Top phishing por marcas en el cuarto trimestre de 2021
1. DHL (relacionado con el 23% de todos los intentos de phishing de marcas a nivel mundial)
2. Microsoft (20%)
3. WhatsApp (11%)
4. Google (10%)
5. LinkedIn (8%)
6. Amazon (4%)
7. FedEx (3%)
8. Roblox (3%)
9. Paypal (2%)
10. Apple (2%)
Una de las mejores formas de protección ante estas amenazas es la cautela a la hora de divulgar datos personales y credenciales a aplicaciones o páginas web empresariales, y a pensárselo dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente de empresas como DHL, Microsoft o WhatsApp, ya que son los más propensos a ser suplantados.

Los ciberataques al sector de la educación/investigación aumentaron un 75% el año pasado. La aplicación de parches, la segmentación de las redes y la formación de los empleados son clave en la prevención. En 2021 hubo un aumento del 50% en los ataques globales por semana a las redes corporativas en comparación con 2020.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado las estadísticas globales de los aumentos de ciberataques observados en 2021 por región, país y sector. El año pasado, Check Point Research detectó un aumento del 50% de amenazas por semana en las redes corporativas en comparación con el año 2020.
Esta tendencia alcanzó un máximo histórico a finales de año, llegando a 925 amenazas a la semana por organización, a nivel mundial. Los atacantes se dirigieron en mayor medida a África, Asia-Pacífico y América Latina, pero Europa registró el mayor aumento porcentual de ciberataques año tras año. La educación/investigación se situó en primer lugar como sector industrial más atacado en todo el mundo.
Menos de un mes después de que el mundo fuera testigo de una de las vulnerabilidades más graves de Internet, con millones de ofensivas por hora que intentaban explotar la vulnerabilidad Log4J, 2021 ha sido un año récord en cuanto a ciberseguridad. Ya en octubre, Check Point Research (CPR) informaba de un aumento del 40% en los ataques a nivel mundial, con 1 de cada 61 organizaciones en todo el mundo afectadas por el ransomware cada semana.
En 2021, la educación/investigación fue el sector que experimentó el mayor volumen de ofensivas, con una media de 1.605 ataques por organización cada semana. Esto supuso un crecimiento del 75% respecto a 2020. Le siguieron el ramo gubernamental/militar, que tuvo 1.136 asaltos por semana (47% de subida), y la industria de las comunicaciones, que tuvo 1.079 por organización (51% de incremento).
África experimentó el mayor volumen de ataques en 2021, con una media de 1.582 semanales por organización. Esto representa un aumento del 13% con respecto a 2020.
Le siguen APAC, con una media de 1.353 ofensivas semanales por empresa (25% de incremento); América Latina, con 1.118 de media (38% de ascenso); Europa, con 670 por semana (68% de aumento); y América del Norte, con una media de 503 agresiones semanales por empresa (61% de alza).
"Los ciberdelincuentes siguen innovando. El año pasado, vimos un sorprendente 50% más de ataques por semana en las redes corporativas en comparación con 2020, lo que supone un aumento significativo. Observamos que las cifras alcanzaron su punto álgido hacia finales de año, en gran parte debido a los intentos de explotación de la vulnerabilidad Log4J. Las nuevas técnicas de penetración y los métodos de evasión han facilitado a los atacantes la ejecución de intentos maliciosos. Lo más alarmante es que estamos presenciando la aparición de algunos sectores sociales fundamentales en la lista de los más atacados. Los sistemas educativos, gubernamentales y sanitarios se encuentran entre los cinco sectores más atacados del mundo. Prevemos que estas cifras aumenten de cara a 2022, ya que los ciberdelincuentes seguirán innovando y encontrando nuevos métodos para ejecutar las amenazas, especialmente el ransomware”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Estamos en una ciberpandemia, por así decirlo. Recomendamos encarecidamente a los usuarios, especialmente a los de los sectores de la educación, la administración y la sanidad, que aprendan lo básico sobre cómo protegerse. Medidas sencillas como la aplicación de parches, la segmentación de las redes y la formación de los empleados pueden contribuir en gran medida a que el mundo sea más seguro", concluye Pedraza.
Recomendaciones de seguridad
1. Prevención, no detección
2. Asegurar todo
3. Parchear a menudo
4. Segmentar sus redes
5. Educar a los empleados
6. Implementar tecnologías de seguridad avanzadas

*Las estadísticas y datos utilizados en este informe presentan datos detectados por las tecnologías de prevención de amenazas de Check Point Software, almacenados y analizados en ThreatCloud. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. ThreatCloud es en realidad el cerebro detrás del poder de prevención de amenazas de Check Point Software, combina la inteligencia de amenazas de big data con tecnologías avanzadas de IA para proporcionar una prevención precisa a todos los clientes de Check Point Software.

Check Point Research revela que Emotet es ahora el séptimo malware más prevalente, y su regreso se considera "extremadamente preocupante". Los sectores de la educación y la investigación siguen encabezando la lista de objetivos de los ciberdelincuentes.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de noviembre. Los investigadores informan que, mientras Trickbot sigue encabezando la lista de malware más predominante, afectando al 5% de las empresas a nivel mundial, el recientemente resurgido Emotet vuelve a aparecer en el índice en séptima posición. Asimismo, Check Point Research también revela que el sector que más se ha visto atacado es el de la educación/investigación.

A pesar de los grandes esfuerzos de Europol y de numerosos organismos policiales a principios de este año para acabar con Emotet, se ha confirmado que la famosa red de bots ha vuelto a la acción en noviembre y ya es el séptimo malware más utilizado. Trickbot encabeza el índice por sexta vez, e incluso está implicado en la nueva variante de Emotet, que se está instalando en máquinas infectadas utilizando la infraestructura de Trickbot.

Emotet se propaga a través de correos electrónicos de phishing que contienen archivos Word, Excel y Zip infectados que despliegan este malware en el host de la víctima. Los emails contienen líneas de asunto intrigantes como noticias de actualidad, facturas y falsos memorándums corporativos para atraer a las víctimas a abrirlos. Recientemente, Emotet también comenzó a propagarse a través de paquetes maliciosos de Windows App Installer que simulan ser software de Adobe.

"Emotet es una de las redes de bots más exitosas de la historia de la cibernética y es responsable de la explosión de ataques de ransomware dirigidos que hemos presenciado en los últimos años", dijo Maya Horowitz, VP de Investigación de Check Point Software. "La reaparición de la botnet en noviembre es extremadamente preocupante, ya que puede conducir a un mayor aumento de este tipo de ataques. El hecho de que esté utilizando la infraestructura de Trickbot significa que está acortando el tiempo que le llevaría a Emotet construir un punto de apoyo suficientemente significativo en las redes de todo el mundo. Dado que se está propagando a través de correos electrónicos de phishing con archivos adjuntos maliciosos, es crucial que la concienciación y la educación de los usuarios estén en lo más alto de la lista de prioridades de las empresas cuando se trata de ciberseguridad. Y cualquiera que quiera descargar el software de Adobe debe recordar, como con cualquier aplicación, que sólo debe hacerlo a través de los medios oficiales".

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar. Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 44% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 43.7%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.

Los 3 malware más buscados en Colombia en noviembre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en noviembre fue del 2.31%.
2. ↓Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en noviembre tuvo un impacto en las empresas del 13.69% y a nivel global del 2.16%.
3. ↑ Asyncrat - es un troyano que se dirige a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, matar procesos, desinstalarse / actualizarse y capturar impactos de pantalla del sistema infectado. En Colombia en noviembre tuvo un impacto en las empresas del 9.96% y a nivel global del 0.65%.

Los sectores más atacados en Europa
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Servicios públicos
3. Comunicaciones

Top 3 vulnerabilidades más explotadas en noviembre:

1. ↔ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↔ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.

Top 3 del malware móvil mundial en noviembre:

1. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

En 12 meses, se sustrajeron 3,64 Bitcoin, 55,87 Ether y 55.000 dólares en tokens ERC20. En uno de los casos, se secuestraron 26 ETH. La mayoría de las víctimas residen en Etiopía, Nigeria y la India.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado una variante de botnet que ha robado casi medio millón de dólares en criptodivisas a través de una técnica llamada "crypto clipping". La nueva variante, llamada Twizt y descendiente de Phorpiex, roba las criptomonedas durante las transacciones sustituyendo automáticamente la dirección de la cartera de víctima por la del ciberdelincuente. Los investigadores advierten a los inversores en criptodivisas que tengan cuidado con los destinatarios de los fondos, ya que se han interceptado 969 transacciones y se están multiplicando. Twizt puede operar sin servidores de C&C activos, lo que le permite evadir los mecanismos de seguridad, lo que significa que cada ordenador que infecta puede ampliar la red de bots.
Twizt se ha hecho con casi medio millón de dólares en criptodivisas
Check Point Research estima que Twizt se ha hecho con casi medio millón de dólares en criptodivisas. Sus características han llevado a pensar que la red de bots puede ser aún más estable y, por tanto, más peligrosa. Twizt aprovecha una técnica llamada "crypto clipping", que consiste en el robo de criptodivisas durante las transacciones mediante el uso de malware que sustituye automáticamente la dirección del monedero del destinatario real por la dirección del monedero del ciberdelincuente. El resultado es que los fondos van a parar a manos equivocadas.
En el plazo de un año, entre noviembre de 2020 y noviembre de 2021, los bots de Phorpiex secuestraron 969 transacciones, robando 3,64 Bitcoin, 55,87 Ether y 55.000 dólares en tokens ERC20. El valor de los activos robados en precios actuales es de casi medio millón de dólares estadounidenses. En varias ocasiones, Phorpiex pudo secuestrar transacciones de gran cantidad. La mayor cantidad de una transacción de Ethereum interceptada fue de 26 ETH.
Figura 1. Víctimas por país

“La nueva variante de Phorpiex entraña tres riesgos principales. En primer lugar, Twizt utiliza el modelo peer-to-peer y es capaz de recibir comandos y actualizaciones de miles de otros equipos infectados. Una red de bots peer-to-peer es más difícil de derribar e interrumpir su funcionamiento. Esto hace que Twizt sea más estable que las versiones anteriores de los bots Phorpiex. En segundo lugar, al igual que las antiguas versiones de Phorpiex, Twizt es capaz de robar criptografía sin necesidad de comunicarse con el C&C, por lo que es más fácil evadir los mecanismos de seguridad, como los cortafuegos. En tercer lugar, Twizt es compatible con más de 30 carteras de criptodivisas de diferentes Blockchain, incluyendo las principales como Bitcoin, Ethereum, Dash, Monero, lo que pone a su disposición una enorme superficie de ataque, y básicamente cualquiera que esté utilizando criptografía podría verse afectado” alerta Ivonne Pedraza, Gerente de Territorio CCA de Check Point Software Technologies. “Pedimos a los usuarios de criptomonedas que comprueben dos veces las direcciones de las carteras que copian y pegan, ya que podrían estar enviando inadvertidamente su cripto a las manos equivocadas”, concluye Ivonne Pedraza.
Recomendaciones de seguridad
1. Comprobar la dirección del monedero: cuando los usuarios copien y peguen la dirección de un monedero criptográfico, siempre deben comprobar que la dirección original y la pegada coinciden.
2. Transacciones de prueba: antes de enviar grandes cantidades en cripto, hay que mandar primero una transacción de "prueba" con una cantidad mínima.
3. Mantenerse actualizado: es imprescindible mantener el sistema operativo actualizado y no descargar software de fuentes no verificadas.
4. Omitir los anuncios: si se buscan carteras o plataformas de intercambio de criptomonedas en el espacio de las criptomonedas, siempre hay que fijarse en el primer sitio web de la búsqueda y no en el anuncio. Estos pueden inducir a error, ya que CPR ha encontrado estafadores que utilizan Google Ads para robar criptocarteras.
5. Mira las URLs: siempre hay que comprobar dos veces las URLs.

Un viernes cualquiera de febrero de 2021, la ciudad de Oldsmar (Florida) se despertó y descubrió que el sistema de agua había sido vulnerado. Un ciberdelincuente había intentado envenenar a los habitantes de la ciudad aumentando la cantidad de hidróxido de sodio (lejía) en el agua hasta niveles tóxicos. Afortunadamente, los empleados de la empresa municipal se dieron cuenta de la intrusión inmediatamente y lo detuvieron a tiempo. Esta situación es la peor pesadilla para cualquier proveedor o empresa que trabaje con dispositivos IoT.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, alerta de la gran vulnerabilidad, en cuestiones de ciberseguridad, que supone el aumento del uso de dispositivos IoT. Está claro que con esta nueva tecnología no se puede dar por sentado que un dispositivo es seguro o que es improbable que lo ataquen.
Los ciberdelincuentes se dirigen allí donde pueden encontrar la mayor recompensa y a medida que el uso de la IoT se expande, toda esta área se convierte en un objetivo cada vez más atractivo. Ahora, más que nunca, hay que asegurar los aparatos desde el principio para proteger a los clientes de los ciberataques. Pero, ¿qué dispositivos IoT son los más vulnerables a las ciberdelincuentes?:
• Dispositivos de automoción: la concienciación sobre la vulnerabilidad de los vehículos conectados ha crecido desde que un equipo de especialistas en seguridad consiguió vulnerar un todoterreno Jeep y sacarlo de la carretera. Según un informe de McKinsey, “los coches actuales tienen hasta 150 ECU [unidades de control electrónico] y unos 100 millones de líneas de código de software; para 2030, muchos expertos esperan que lleguen a tener unos 300 millones”, lo que los hace más complejos que un avión de pasajeros. Toda esta situación convierte a estos dispositivos en algunos de los más vulnerables frente a los ciberdelincuentes de no contar con el mejor software de ciberseguridad.
• Infraestructuras críticas: este tipo de ataques comprenden los ataques DDoS que han hecho caer incluso sistemas de calefacción y refrigeración. Dado que el IoT lo controla todo, desde las puertas de los garajes hasta la seguridad de los edificios, pasando por la iluminación y los sistemas de proyección, el potencial de caos en caso de que los ciberdelincuentes consigan acceder es casi infinito. Además, los dispositivos IoT sirven como puerta trasera de entrada a la red de una empresa puesto que dan a los atacantes acceso de raíz y permitiéndoles alterar el código fuente y moverse libremente por la misma, amenazando los servidores y datos sensibles.
• Dispositivos médicos: el aparato cardíaco implante de St. Jude's Medical contenía una vulnerabilidad que permitía a los ciberdelincuentes poner en peligro la vida de los pacientes. Aunque parece poco probable que un atacante llegue a detener literalmente el corazón de un paciente, esto habría sido un objetivo fácil para pedir un rescate importante. La ciberseguridad se está proclamando como uno de los aspectos más imprescindibles en una sociedad en la que la tecnología forma parte del día a día de las personas.
“La falta de normas y regulaciones, el acceso inseguro a la red o las contraseñas débiles son algunas de las principales razones por las cuales estos dispositivos entrañan ese nivel de vulnerabilidad. Si a eso le sumamos la gran dificultad para implementar la seguridad basada en el software o que los componentes de terceros pueden contener vulnerabilidades adicionales es el caldo de cultivo perfecto para provocar el caos de cualquier empresa o institución. Ahora que cada día se multiplican el número de objetos con conexión a Internet, es importante tener presente la ciberseguridad en todos los aparatos y blindar todos estos dispositivos extremando las medidas de protección necesarias”, destaca xxxx,
Check Point Software cuenta con el Quantum IoT Protect Firmware que proporciona a los fabricantes de dispositivos integrados una solución completa de extremo a extremo para todas sus necesidades de seguridad del firmware. Desde la detección de los riesgos de seguridad del firmware, pasando por el refuerzo de sus dispositivos con protección en tiempo de ejecución, hasta la gestión de sus dispositivos con políticas granulares, los fabricantes de IoT obtienen la visibilidad, la seguridad y los controles que necesitan para ofrecer a sus clientes productos conectados altamente seguros.

"Apache HTTP Server Directory Traversal", entra en Top Ten de principales vulnerabilidades. La investigación de Check Point revela que Trickbot es el malware más frecuente y que una nueva vulnerabilidad en Apache es una de las más explotadas en todo el mundo. La educación y la investigación encabezan la lista de objetivos de los ciberdelincuentes. Los malware Remcos, Glupteba y XMRig son los más buscados en Colombia. Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de octubre. Los investigadores informan que el botnet y troyano bancario, Trickbot, sigue encabezando la lista de los programas maliciosos más frecuentes, afectando al 4% de las empresas de todo el mundo, mientras que "Apache HTTP Server Directory Traversal" ha entrado en la lista de las diez vulnerabilidades más explotadas. CPR también revela que el sector más atacado es el de la educación/investigación.

Trickbot es capaz de robar datos financieros, credenciales de cuentas e información personal identificable, así como de propagarse lateralmente dentro de una red y lanzar ransomware. Desde el desmantelamiento de Emotet en enero, Trickbot ha figurado cinco veces en el primer puesto de la lista de malware más frecuentes. Se actualiza constantemente con nuevas capacidades, características y vectores de distribución, lo que le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas con múltiples propósitos.

Una nueva vulnerabilidad, "Apache HTTP Server Directory Traversal", ha entrado en la lista de las diez principales vulnerabilidades explotadas en octubre, en el décimo lugar. Cuando se descubrió por primera vez, los desarrolladores de Apache publicaron correcciones para CVE-2021-41773 en Apache HTTP Server 2.4.50. Sin embargo, se descubrió que el parche era insuficiente y que seguía existiendo una brecha en el acceso a directorios en Apache HTTP Server. La explotación exitosa podría permitir a un ciberdelincuentes acceder a archivos arbitrarios en el sistema afectado.

"La vulnerabilidad de Apache apareció a principios de octubre y ya es una de las diez vulnerabilidades más explotadas en todo el mundo, lo que demuestra la rapidez con la que se mueven los ciberdelincuentes. Esta vulnerabilidad puede llevar a los ciberdelincuentes a mapear URLs a archivos fuera de la raíz del documento esperada, lanzando un ataque path transversal", afirma Maya Horowitz, vicepresidenta de investigación de Check Point Software. "Es imperativo que sus usuarios cuenten con las tecnologías de protección adecuadas". Este mes, Trickbot, que a menudo se utiliza para lanzar ransomware, vuelve a ser el malware más frecuente. A nivel mundial, una de cada 61 empresas sufre ransomware cada semana. Es una cifra impactante y las empresas deben hacer más. Muchos ataques comienzan con un simple correo electrónico, por lo que educar a los usuarios sobre cómo identificar una amenaza potencial es una de las defensas más importantes que una empresa puede desplegar."

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar.
Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 60% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 55%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 54% de los negocios en el mundo.

Colombia: Los 3 malware más buscados en octubre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en octubre tuvo un impacto en las empresas del 17.43% y a nivel global del 2.39%.
2. ↔ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en octubre fue del 2.19%.
3. ↓ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 13,69% de las organizaciones en Colombia en octubre. Su impacto global fue del 2.56%.

Los sectores más atacados a nivel mundial
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Comunicaciones
3. Gobierno/Militar

Top 3 vulnerabilidades más explotadas en octubre:

1. ↑ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↓ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en octubre:

1. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. XLoader – es un troyano espía y bancario para Android desarrollado por Yanbian Gang, un grupo de hackers chinos. Este malware utiliza la suplantación de DNS para distribuir aplicaciones Android infectadascon el fin de recopilar información personal y financiera.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

En Estados Unidos hay un déficit de casi 465.000 profesionales de la ciberseguridad. A nivel mundial, se calcula que esta cifra es de unos 35 millones. Check Point Mind tiene el objetivo de hacer frente a la escasez mundial de competencias en ciberseguridad, para que los usuarios aprendan de los expertos del sector con la participación de más de 200 partners de formación. La Escuela de Ingeniería Tandon de la NYU se enorgullece de asociarse con Check Point Software
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha lanzado Check Point Mind, un portal de formación del conocimiento, con la colaboración de más de 200 partners de formación entre los que se encuentran algunos de los más reconocidos del mundo.

En agosto de 2021, el presidente de EE.UU., Joe Biden, se reunió con las principales empresas tecnológicas para tratar temas de ciberseguridad, entre ellos la necesidad de contratar y formar a más profesionales. Solo en Estados Unidos hay un déficit de casi 465.000 profesionales de la ciberseguridad y, a nivel mundial, se calcula que esta cifra es de unos 35 millones.

"Con el continuo aumento de ciberataques que cada vez son más sofisticados, Check Point Software se compromete a hacer accesible a todo aquel que lo necesite, la formación y el conocimiento en este campo", destaca Antonio Amador, Country Manager para el Norte de Latino América de Check Point Software. "A través de Check Point Mind, nuestro objetivo es dotar a cualquier persona, desde estudiantes hasta quienes tienen conocimientos y habilidades para contribuir a satisfacer la demanda global de más profesionales de esta disciplina".

Algunos de los programas que se pueden encontrar en el portal Check Point Mind incluyen:
• CISO Academy: un programa de educación global para ejecutivos de nivel C para ayudar a dominar todo tipo de prácticas de ciberseguridad y maximizar la seguridad, mientras se aprende a equilibrar el manejo de asuntos tácticos con las responsabilidades de liderazgo estratégico.
• HackingPoint: un programa educativo global para expertos en seguridad con el objetivo de ayudar a dominar todo tipo de técnicas de Pen Testing y prácticas. Los estudiantes que completen los cursos de HackingPoint entenderán cómo proteger mejor los recursos de arena de la red corporativa.
• SecureAcademy: educación en ciberseguridad en colaboración con las principales instituciones de enseñanza superior del mundo.
• CyberPark: una colección de asociaciones y desafíos gamificados que permiten a los usuarios aprender sobre los desafíos de seguridad y entrenar utilizando las soluciones de Check Point de una manera interactiva y divertida.
"El lanzamiento del portal de formación Check Point Mind es otro paso positivo que apoyará a los profesionales y a la industria en general a la hora de abordar la brecha global de habilidades en ciberseguridad. Al proporcionar una mayor elección en el acceso a la formación y las oportunidades de desarrollo profesional, podemos ayudar y animar a más personas a seguir carreras de esta disciplina", afirma Greg Clawson, EVP Global Sales, Marketing and Customer Experience en (ISC)². "La actual asociación entre (ISC)2 y Check Point Software, reforzada además por la posibilidad de acceder a nuestros cursos a través de la plataforma Check Point Mind, es una poderosa combinación".

"La Escuela de Ingeniería Tandon de la NYU se enorgullece de asociarse con Check Point Software en nuestro objetivo compartido de educar a todos los trabajadores de la ciberseguridad de hoy y de mañana", dijo Nasir Memon, vicedecano de Asuntos Académicos y Estudiantiles, director de Tandon Online y profesor de Ciencias de la Computación e Ingeniería en la NYU Tandon. "Además de una base de ingeniería rigurosa y técnica, ponemos un fuerte énfasis en el aprendizaje práctico aplicado para asegurar la preparación de sus alumnos en este campo. La insignia de Check Point proporciona habilidades prácticas en Seguridad de Redes, Seguridad en la Nube, Seguridad de Endpoints y Móviles y es un componente clave de NYU Cyber Fellows, nuestro máster de élite en ciberseguridad online".

"El portal de formación Mind de Check Point Software responde a las necesidades de formación de las empresas que necesitan la máxima protección contra los cada vez más numerosos y sofisticados ciberataques. Arrow Education Services - número 1 en el mundo para la formación de Check Point Software (2021) - se enorgullece de poder apoyar a Check Point en la aportación de las habilidades adecuadas al mercado", resalta Jacques Assant, director de Negocios de Educación ECS EMEA.

"Apoyamos a Check Point Software en su plataforma Mind que permite a cualquier persona adquirir nuevas habilidades y certificaciones de ciberseguridad", dijo Wesley Samuel, vicepresidente senior de Ventas Globales de Cybrary. "Respetamos mucho a nuestros partners que también ponen tanto énfasis en hacer más accesible la formación para, en última instancia, hacer frente a la creciente brecha de habilidades en ciberseguridad que sigue persistiendo. ".

"Para nuestra compañía es un honor haber sido elegidos para formar parte de Check Point Cyber Range, uno de los programas de Check Point Mind. Creemos que la formación continua con herramientas innovadoras y accesibles aumentan la resiliencia de las empresas. Con la misión de reducir la escasez mundial de profesionales de la ciberseguridad, Cympire construyó la plataforma más avanzada de formación y evaluación nativa de la nube, un simulador altamente personalizable y gamificado con un catálogo de contenido completo. Utilizando nuestra plataforma, los profesionales de la ciberseguridad pueden practicar enfrentándose a amenazas reales”, afirma Yaniv Shachar, CEO de Cympire.

"edX se suma al portal de formación Mind de Check Point Software en un momento en el que las habilidades de ciberseguridad son más relevantes y necesarias que nunca", ha declarado Johannes Heinlein, director comercial y vicepresidente senior de Asociaciones Estratégicas de edX. "Como colaborador de edX, Check Point Software ha tenido un impacto increíble compartiendo su experiencia con la comunidad de alumnos de edX, y estamos encantados de ampliar ese impacto para llegar a más personas interesadas en una carrera en ciberseguridad".

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha sido reconocida como líder en el informe Grid® de G2 para software de firewalls por su enfoque en la incursión de la seguridad en la nube, la mejora del rendimiento e integración y su gestión centralizada y unificada.
G2 clasifica los productos y los fabricantes basándose en las reseñas de la experiencia de los usuarios, así como en los datos de fuentes online y redes sociales calcula las puntuaciones de satisfacción y presencia en el mercado en tiempo real. En cada categoría, los clientes señalaron su satisfacción con la solución y Check Point Software recibió puntuaciones de liderazgo en seis categorías.
Alrededor de 940 usuarios calificaron sistemáticamente a Check Point Software como líder con una presencia excepcional en el mercado para el software de firewalls, la seguridad de datos en la nube y de datos móviles, así como para la prevención avanzada de amenazas, las operaciones automatizadas de centros de datos y la gestión escalable y el compliance. Con más de 3.500 expertos en seguridad, una unidad de investigación e inteligencia a nivel mundial y un amplio ecosistema de socios empresariales y tecnológicos, Check Point Software se compromete a ayudar a proteger a las empresas de los ciberataques de quinta generación.
"Este reconocimiento como Líderes por G2 en nuestras soluciones de firewalls es muy importante para nosotros, sobre todo porque supone la validación de la comunidad de usuarios. Gracias a la plataforma de Check Point Quantum y a los gateways, somos capaces de ofrecer a nuestros clientes seguridad y rendimiento con una prevención de amenazas avanzada", afirma Itai Greenberg, vicepresidente de gestión de productos en Check Point Software Technologies. "Proteger el nuevo entorno de trabajo híbrido es una prioridad absoluta para nosotros. Con la inteligencia de amenazas en tiempo real, la visibilidad y la flexibilidad para distribuir las cargas de trabajo entre el centro de datos y la nube, Check Point Software ha transformado el centro de datos híbrido proporcionando a los empleados remotos y a las empresas una protección inigualable".
Los clientes, desde las pequeñas y medianas empresas hasta las empresas globales, calificaron a Check Point Next Generation Firewalls con cinco estrellas. Aproximadamente, el 90% de los usuarios dijeron que recomendarían los firewalls de nueva generación de Check Point Software a otras empresas.
Check Point Software está transformando la forma en que las empresas aseguran sus centros de datos híbridos con Check Point R81.10, Quantum Maestro y los dispositivos de gestión de seguridad Quantum Smart-1. Dados los resultados de las evaluaciones de G2, los clientes de Check Point Software pueden sentirse seguros de que la tecnología simplificará la orquestación del flujo de trabajo de su centro de datos y escalará sus gateways bajo demanda.

Microsoft, con un 29%, se mantiene como líder de las marcas más utilizadas para ataques de phishing a nivel mundial, aunque a un ritmo más lento, por debajo del 45% del segundo trimestre de 2021. Por primera vez este año, las redes sociales se sitúan entre los tres primeros sectores con más intentos de phishing. Check Point Research un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report correspondiente al tercer trimestre de 2021. El informe destaca las marcas más imitadas por los ciberdelincuentes en sus intentos de robar información personal o credenciales de pago de los usuarios durante los meses de julio, agosto y septiembre de 2021.

En el tercer trimestre, Microsoft continúa su reinado como la más atacada por los ciberdelincuentes, aunque con una tasa levemente inferior. El 29% de todos los intentos de phishing de marca estaban relacionados con el gigante tecnológico, frente al 45% del segundo trimestre de 2021. Amazon ha sustituido a DHL en la segunda posición, representando el 13% de todos los intentos de phishing frente al 11% del trimestre anterior, motivado por las compras online en el periodo previo a la temporada navideña.

El informe también revela que, por primera vez este año, las redes sociales se encuentran entre los tres sectores más imitados en los intentos de phishing, ya que WhatsApp, LinkedIn y Facebook aparecen en la lista de las 10 marcas más imitadas.

"Los ciberdelincuentes intentan innovar de forma constante en sus intentos de robar los datos personales de los internautas suplantando a las principales marcas. Por primera vez este año, las redes sociales están entre las tres categorías más explotadas, sin duda por el creciente número de personas que trabajan y se comunican a distancia tras la pandemia", afirma Omer Dembinsky, director de Inteligencia de datos de Check Point Software. "Desgraciadamente, no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de phishing. A menudo, es el elemento humano el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico. Como siempre, animamos a los usuarios a ser precavidos a la hora de divulgar sus datos, y a pensarlo dos veces antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser imitados. Tras los datos del tercer trimestre, también instamos a los consumidores a estar atentos a cualquier email u otras comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp".

En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una empresa conocida, utilizando un nombre de dominio o una URL y un diseño de sitio web similares a los de la marca auténtica. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. La página web falsa suele contener un formulario encaminado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el tercer trimestre de 2021
1. Microsoft (relacionado con el 29% de todos los intentos de phishing de marcas a nivel mundial)
2. Amazon (13%)
3. DHL (9%)
4. Best Buy (8%)
5. Google (6%)
6. WhatsApp (3%)
7. Netflix (2.6%)
8. LinkedIn (2.5%)
9. Paypal (2.3%)
10. Facebook (2.2%)

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser suplantados.

• Microsoft, con un 29%, se mantiene como líder de las marcas más utilizadas para ataques de phishing a nivel mundial, aunque a un ritmo más lento, por debajo del 45% del segundo trimestre de 2021
• Por primera vez este año, las redes sociales se sitúan entre los tres primeros sectores con más intentos de phishing

- Check Point Research un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report correspondiente al tercer trimestre de 2021. El informe destaca las marcas más imitadas por los ciberdelincuentes en sus intentos de robar información personal o credenciales de pago de los usuarios durante los meses de julio, agosto y septiembre de 2021.

En el tercer trimestre, Microsoft continúa su reinado como la más atacada por los ciberdelincuentes, aunque con una tasa levemente inferior. El 29% de todos los intentos de phishing de marca estaban relacionados con el gigante tecnológico, frente al 45% del segundo trimestre de 2021. Amazon ha sustituido a DHL en la segunda posición, representando el 13% de todos los intentos de phishing frente al 11% del trimestre anterior, motivado por las compras online en el periodo previo a la temporada navideña.

El informe también revela que, por primera vez este año, las redes sociales se encuentran entre los tres sectores más imitados en los intentos de phishing, ya que WhatsApp, LinkedIn y Facebook aparecen en la lista de las 10 marcas más imitadas.

"Los ciberdelincuentes intentan innovar de forma constante en sus intentos de robar los datos personales de los internautas suplantando a las principales marcas. Por primera vez este año, las redes sociales están entre las tres categorías más explotadas, sin duda por el creciente número de personas que trabajan y se comunican a distancia tras la pandemia", afirma Omer Dembinsky, director de Inteligencia de datos de Check Point Software. "Desgraciadamente, no hay mucho que estas empresas puedan hacer para ayudar a combatir los intentos de phishing. A menudo, es el elemento humano el que no detecta un dominio mal escrito, una fecha incorrecta u otro detalle sospechoso en un texto o correo electrónico. Como siempre, animamos a los usuarios a ser precavidos a la hora de divulgar sus datos, y a pensarlo dos veces antes de abrir archivos adjuntos o enlaces, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser imitados. Tras los datos del tercer trimestre, también instamos a los consumidores a estar atentos a cualquier email u otras comunicaciones que parezcan proceder de canales de redes sociales como Facebook o WhatsApp".

En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una empresa conocida, utilizando un nombre de dominio o una URL y un diseño de sitio web similares a los de la marca auténtica. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. La página web falsa suele contener un formulario encaminado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el tercer trimestre de 2021
1. Microsoft (relacionado con el 29% de todos los intentos de phishing de marcas a nivel mundial)
2. Amazon (13%)
3. DHL (9%)
4. Best Buy (8%)
5. Google (6%)
6. WhatsApp (3%)
7. Netflix (2.6%)
8. LinkedIn (2.5%)
9. Paypal (2.3%)
10. Facebook (2.2%)

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de divulgar datos personales y credenciales a aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente los que dicen ser de empresas como Amazon, Microsoft o DHL, ya que son los más propensos a ser suplantados.

Durante las últimas semanas, los investigadores de Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, han detectado varios casos de usuarios tuiteados sobre la pérdida del saldo de su cartera de criptomonedas tras recibir un mensaje con un enlace ofreciendo un regalo del marketplace OpenSea.

OpenSea es el mayor mercado actual peer-to-peer para cripto coleccionables y tokens no fungibles, también conocidos como NFT. OpenSea llegó a registrar 3.400 millones de dólares en volumen de transacciones solo en agosto de 2021, y ha crecido hasta convertirse en el mayor mercado de tokens no fungibles del mundo.

El hecho de que las criptomonedas no estén reguladas en muchos países del mundo deja a estos monederos de los consumidores como un objetivo atractivo para los ciberdelincuentes. De hecho, últimamente, han surgido varios informes que afirman que algunas carteras digitales de diferentes compradores han desaparecido, lo que ha hecho que los coleccionistas pierdan cientos de miles de dólares en NFT. Los informes especulaban con que el ataque podía comenzar tras recibir un mensaje con un regalo gratuito de un desconocido, o un enlace a OpenSea:

En los informes se teorizaba, además, con que al aceptar dicho regalo o pulsar el enlace a OpenSea, el receptor perdía todas sus criptomonedas. Este ejemplo, junto con otros que informaron de diferentes estafas dentro de este mercado, ha motivado a los investigadores a buscar y encontrar vulnerabilidades dentro de la plataforma, que podrían haber permitido a los ciberdelincuentes a secuestrar las cuentas y robar las criptomonedas de las carteras digitales.
Desde Check Point Research fueron capaces de identificar fallos de seguridad críticos en OpenSea, demostrando que una NFT maliciosa podría utilizarse para secuestrar cuentas y robar estos monederos. La explotación exitosa de las vulnerabilidades habría requerido los siguientes pasos:
• El atacante crea y regala una NFT maliciosa a la víctima.
• La víctima ve la NFT maliciosa, lo que desencadena una ventana emergente del dominio de almacenamiento de OpenSea, solicitando la conexión a la cartera de criptomonedas (este tipo de ventanas emergentes son comunes en la plataforma en otras actividades).
• Tras hacer clic para conectar su billetera, con el fin de realizar una acción en la NFT regalada, permitiendo así el acceso al monedero.
• El ciberdelincuente puede obtener el dinero de la cartera activando una ventana emergente adicional, que también se envía desde el dominio de almacenamiento de OpenSea. El usuario está obligado a pinchar en la ventana emergente, si no se da cuenta de la nota en la misma que describe la transacción.
• El resultado final podría ser el robo de toda la cartera de criptomonedas del usuario.

"Nuestro interés en OpenSea surgió cuando vimos que se hablaba de carteras de criptomonedas robadas en Internet. Especulamos sobre la existencia de un método de ataque en torno a OpenSea, así que iniciamos una investigación exhaustiva de la plataforma. El resultado fue el descubrimiento de un método para robar las criptocarteras de los usuarios, simplemente enviando una NFT maliciosa a través de la misma. Inmediatamente y de forma responsable revelamos nuestros hallazgos a OpenSea, que rápidamente trabajó con nosotros para desplegar una solución. Creo que los datos de nuestra investigación, y la rápida actuación de OpenSea, evitarán los robos de carteras de criptomonedas de los usuarios”, explica Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point Software.

“La innovación de la cadena de suministro (blockchain) está en pleno desarrollo y las NFT están aquí para quedarse. Dado el enorme ritmo de la innovación, existe un desafío inherente a la integración segura de las aplicaciones de software y los mercados de criptomonedas. La comunidad de ciberseguridad debe dar un paso adelante para ayudar a las tecnologías pioneras de blockchain a proteger los criptoactivos de los consumidores. Advertimos seriamente a la comunidad de OpenSea que esté atenta a las actividades sospechosas que puedan conducir al robo”, concluye Vanunu.

Check Point Research comunicó a OpenSea de forma inmediata y responsable sus hallazgos detectados el pasado 26 de septiembre. En menos de una hora después de la notificación, OpenSea solucionó el problema y verificó la solución. CPR trabajó estrechamente y en colaboración con su equipo para garantizar que la solución funcionara correctamente. OpenSea se mostró muy receptivo y compartió los archivos svg que contenían objetos iframe de su dominio de almacenamiento, para que CPR pudiera revisarlos juntos y asegurarse de que todos los vectores de ataque estuvieran cerrados.

Declaración de OpenSea:
"La seguridad es fundamental para OpenSea. Apreciamos que el equipo de CPR nos informara de esta vulnerabilidad y colaborara con nosotros mientras investigábamos el caso e implementábamos una solución una hora después de que se nos informara. Estos ataques se basaban en que los usuarios autorizaran la actividad maliciosa a través de un proveedor de monederos de terceros, conectando su cartera aportando una firma para la transacción maliciosa. No hemos podido identificar ningún caso en el que se haya explotado esta vulnerabilidad, pero estamos actuando directamente con los monederos de terceros que se integran en nuestra plataforma para ayudar a los usuarios a identificar mejor las solicitudes de firma maliciosas, así como otras iniciativas para que los usuarios puedan frustrar las estafas y los ataques de phishing con mayor eficacia. También estamos redoblando la educación de la comunidad en torno a las mejores prácticas de seguridad y hemos puesto en marcha una serie de posts en el blog sobre cómo mantenerse a salvo en la web. Animamos tanto a los nuevos miembros como a los veteranos a leer esta serie. Nuestro objetivo es capacitar a la comunidad para detectar, mitigar y denunciar ataques en el ecosistema blockchain, como el demostrado por CPR”.

Cómo protegerse frente a estos ciberataques
Los investigadores de Check Point Research recomiendan extremar las precauciones cuando se reciban solicitudes para firmar su cartera online. Antes de aprobar una solicitud, se debe revisar cuidadosamente lo que se solicita, y considerar si la solicitud es anormal o sospechosa. En caso de tener alguna duda, conviene rechazar la solicitud y examinarla más a fondo, antes de dar dicha autorización.

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado un preocupante incremento en el número de vendedores de certificados de vacunación falsos. El pasado 10 de agosto, se localizaron aproximadamente 1.000 vendedores que afirmaban ofrecer certificados falsos en Telegram, y en apenas un mes, esa cifra se ha multiplicado por 10 hasta alcanzar los 10.000.

Ya en diciembre de 2020, CPR detectó cientos de anuncios en la Darknet en los que se ofrecían y vendían vacunas a la venta, y crecieron un 400% en comparación con los meses anteriores. En marzo de 2021, mientras el despliegue mundial de las vacunas COVID-19 comenzaba a acelerarse, el número de ofertas se triplicó, con puntos de venta principalmente en Estados Unidos y en países europeos como España, Alemania, Francia y Rusia. Los precios de los "pasaportes de vacunas" falsos eran de 250 dólares cada uno, mientras que los resultados negativos falsos de las pruebas de COVID-19 costaban sólo 25 dólares.
Un bot de Telegram que crea certificados falsos de forma gratuita
No es la primera vez que los investigadores informan de esta tendencia mundial; desde que comenzó la pandemia en 2020, se ha monitorizado el crecimiento de esta "industria". Sin embargo, parece que a medida que la pandemia alcanza nuevos picos, también lo hace este mercado, ya que sigue mejorando sus capacidades, ampliando su distribución y aumentando sus seguidores.
Actualmente, se están detectando nuevas técnicas que los ciberdelincuentes utilizan para vender más. Por ejemplo, en Austria, se ha descubierto un bot de Telegram que crea certificados falsos de forma gratuita. Todo lo que hay que hacer es rellenar los datos pertinentes y se compartirá con ellos un archivo pdf con todos sus datos rellenados, como en el caso adjunto: una prueba de PCR negativa.
Un código QR muestra un enlace a la falsa base de datos europea
Asimismo, se ha descubierto una nueva técnica adicional que utilizan los vendedores de certificados de vacunas falsos. Una gran cantidad de ellos afirman tener acceso a una base de datos europea de personas vacunadas, también conocida como Centro Europeo para la Prevención y el Control de las Enfermedades (sostienen que los posibles compradores pueden registrarte allí y que, si alguien lo llega a comprobar más tarde, se daría cuenta de que han sido registrados como una persona vacunada).
Si el comprador no es lo suficientemente prudente como para comprobar los datos de la página web, podría pensar que se trata de una web auténtica y una base de datos real, y que está registrado como vacunado, lo que claramente no es el caso. Los investigadores de Check Point Research han detectado una URL incrustada en el código QR recibido del vendedor, un código QR que muestra un enlace a la falsa base de datos europea.
“Mientras seguimos vigilando el mercado negro en el que se venden certificados falsos de la vacuna COVID-19, el equipo de Check Point Research (CPR) ha descubierto una nueva técnica: el supuesto acceso a la página web del Centro Europeo para la Prevención y el Control de las Enfermedades, que almacena los datos de las personas vacunadas en toda Europa. Este hecho es absolutamente falso”, explica Ivonne Pedraza, Territory manager CCA de Check Point Software.
En el último informe de Check Point Software, en agosto de 2021, los certificados falsos de "pasaporte de vacunación" se vendían a un precio de entre 100 y 120 dólares, y que la mayoría de estos ciberdelincuentes procedían de países europeos. Actualmente, también puede encontrarse el certificado COVID digital de la UE, las tarjetas de vacunas COVID-19 del CDC y del NHS, y las pruebas falsas de PCR COVID-19. El número de grupos de anuncios y su tamaño se han multiplicado en un 100% desde principios de 2021.
Cuanto más crezca la necesidad y la demanda, más ampliarán los ciberdelincuentes sus actividades. Hoy se sabe que los vendedores ofrecen certificaciones falsas de muchos más países, entre ellos: Italia, Francia, España, Portugal, Alemania, Bélgica, Países Bajos, Grecia, Finlandia, Rumanía, Rusia, Bulgaria, Suiza, Austria, Polonia, República Checa, Letonia, Irlanda, Malta, Reino Unido y Ucrania.
"Los vendedores envían documentación falsa desde un sitio web falso del Centro Europeo para la Prevención y el Control de las Enfermedades, que podría pasar por lícitos en un control de fronteras o a la entrada de un local. Nuestro equipo descubrió una URL incrustada en un código QR, que muestra un enlace a la base de datos fraudulenta. No sólo las personas no vacunadas tienen un acceso fácil y barato a documentos falsos, sino que además esos documentos parecen enlazar con sitios web que parecen creíbles, lo que facilita aún más que los estafadores se cuelen en la red. Hasta que no haya una colaboración internacional entre los gobiernos y una base de datos mundial común y unificada para verificar los certificados legítimos, esto seguirá causando problemas y socavando los esfuerzos para controlar la pandemia”, alerta Ivonne Pedraza.

Recomendaciones para la concienciación
• Como afirmación de carácter general: los certificados auténticos relacionados con la salud no se venden por Internet. Cualquiera que se ofrezca a vender este tipo de documentos online lo está haciendo claramente de forma ilegal. Se recomienda no contratar con los ciberdelincuentes que publiquen en estos grupos o mercados en cualquier lugar de la red.
• Cada país debería gestionar internamente un registro central de pruebas y personas vacunadas, que puede y debe ser compartido de forma segura entre los organismos autorizados pertinentes dentro del país.
• Todos los "pases verdes" y certificados de vacunación deberían ser gestionados y encriptados de forma segura por los organismos oficiales pertinentes dentro de cada país, así como un código QR que pueda ser escaneado con fines de autentificación.
• Los países deberían cooperar y compartir la información relativa a estos datos y crear un archivo seguro con claves de encriptación para permitir que las personas puedan circular utilizando únicamente certificados legítimos y para poder detectar los falsos.

El modelo de trabajo híbrido implica que el número de dispositivos conectados a la red empresarial es mayor, aumentando de forma exponencial los puntos de entrada para los cibercriminales . De cara al futuro, el 74% de las organizaciones permitirán a los empleados trabajar desde casa o en "modo híbrido" de forma permanente, algo que ha obligado a que los trabajadores utilicen diferentes dispositivos para que les sea posible realizar todas sus tareas.
Según una encuesta realizada por Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, en la actualidad el 59% de las empresas tiene como principal prioridad la protección de los endpoints y dispositivos móviles. Los motivos principales por los que es primordial actualizar su seguridad y así lograr mantener los sistemas empresariales a salvo de cualquier ciberataque son:
• Más dispositivos, más puntos de entrada: en el 46% de las empresas al menos un empleado ha descargado una aplicación móvil maliciosa, según el Security Report 2021 de la compañía. Este dato evidencia que cuantos más trabajadores en remoto se conectan desde diferentes aparatos a la red empresarial, más posibilidades hay de que un cibercriminal consiga introducir una ciberamenaza para poder robar sus datos, archivos etc. Contar con una solución que ofrezca protección integral y multidispositivo ya no es una opción, es una cuestión de supervivencia.
• Los dispositivos desactualizados implican más peligro: estamos en una etapa de constante transformación tecnológica en la que los ciberataques irán desarrollándose a medida que se vayan implementando de forma masiva las nuevas tecnologías como el IoT, o el desarrollo de las ya existentes como la inteligencia artificial o la infraestructura cloud. Está claro que cuantos más hardware tengan acceso a la red, más probabilidad hay de que alguna aplicación no esté actualizada y aumente el riesgo. Los cibercriminales van evolucionando y las empresas deben hacerlo también para mantenerse protegidas frente a las nuevas generaciones de ciberataques.
• Bloquear las vulnerabilidades aisladas: basta con que un equipo que no esté adecuadamente protegido sea víctima de un cibercriminal para poner en peligro toda una red empresarial. La protección de los endpoints ayudará, sobre todo, a limitar la entrada de vulnerabilidades de los dispositivos individuales conectados. Si un aparato concreto sufre un ataque, el sistema será capaz de bloquear las posibles vulnerabilidades de cada uno de los integrados en la red.
• Prevenir los problemas antes de que se produzcan: el hecho de limitar la protección a un único software de antivirus convencional implica que tan solo se está recurriendo a medidas reactivas que funcionan una vez que el endpoint ha sufrido una infección. Ahora las empresas necesitan adoptar un enfoque proactivo de la ciberseguridad con capas adicionales de protección, como la detección, bloqueo y prevención de amenazas en la web. Dado que los endpoints están en la primera línea de la defensa de los datos, es fundamental que se tomen todas las medidas necesarias para evitar que se produzcan incidentes en este punto. Otra de las actividades proactivas imprescindibles es la de proveer de formación en ciberseguridad a la plantilla, ya que de esta manera serán la primera barrera contra cualquier tipo de ciberataque.
“La pandemia ha hecho más vulnerables los puntos de acceso corporativos, puesto que entran en juego más dispositivos en el nuevo formato de trabajo, por lo que tener una seguridad de endpoints sólida y actualizada debe ser una de las prioridades de las empresas este año”, explica Ivonne Pedraza, Territory Manager CCA de Check Point Software.

● Partido Colombia vs. Chile con un aforo de 25 mil personas.
● Rentokil Initial, líder mundial en aplicar protocolos de bioseguridad, ya tiene preparado el estadio para recibir a los seleccionados y al público.
● Bioseguridad integral del Metropolitano

Nuevamente la multinacional inglesa Rentokil Initial fue seleccionada como proveedor, para alistar y manejar los protocolos de bioseguridad durante el partido de las eliminatorias al mundial de fútbol Catar 2022, en el estadio Metropolitano de Barranquilla Roberto Meléndez. En esta oportunidad para el encuentro Colombia frente a Chile.

Barranquilla, se vistió de fiesta para recibir a la selección Colombia en su casa y a la selección de Chile, en un nuevo encuentro por las eliminatorias para acceder a un cupo, al mundial de fútbol que se celebrará en Catar el próximo año y para lo cual preparó su estadio Metropolitano, con todos los protocolos de bioseguridad para recibir a 25 mil espectadores.

La multinacional inglesa Rentokil Initial, con más de 100 años de experiencia en el mundo y 30 años en Colombia, cuenta con una solución integral de higiene preventiva, desinfección y purificación del aire, para asegurar el estricto y adecuado cumplimiento de los protocolos de bioseguridad sustentados en tecnología inteligente. La desinfección de las distintas zonas del estadio Metropolitano, se ejecutaron previo al partido de fútbol y durante el mismo. Dichas actividades se cumplieron con personal especializado de la empresa; expertos conocedores del protocolo y su aplicación.

Para el cumplimiento de la sanitización del Estadio Metropolitano de Barranquilla, se activaron diversos frentes de control, entre los que se destacan la desinfección preventiva de tribunas, camerinos, sala de prensa, cabinas de radio, palcos de prensa y palcos VIP. Estas mismas áreas contaron con purificación del aire durante el tiempo en que se ocuparon por periodistas e invitados. Al igual que la zona mixta. También, se instalaron en las zonas de ingreso de público, camerinos, palcos y zona mixta más de 50 tótems dispensadores de gel antibacterial y detectores de temperatura.

La bioseguridad lo primero
La Federación Colombiana de Fútbol con su proveedor, con rigor y altos estándares internacionales de bioseguridad recibió a los combinados y al público, para vivir este encuentro deportivo, con protocolos que permitieron celebrar la emoción de este decisivo partido, protegiendo y cuidando a los asistentes a la casa de la Selección Colombia.

“Estamos orgullosos de ser seleccionados nuevamente, para manejar la bioseguridad de un nuevo partido de la selección Colombia en el Estadio Metropolitano de Barranquilla Roberto Meléndez, en este regreso de público a los estadios. Con nuestra experiencia y calidad estamos construyendo un esquema de confianza y tranquilidad, para hacer sostenible la presencia segura de los colombianos en los partidos de la Selección Colombiana de Fútbol en el país”, dijo Gerardo Gutiérrez Mata, Gerente General de Rentokil Initial Colombia.
La multinacional inglesa Rentokil Initial es experta en protección integral de ambientes, control de plagas e higiene, con presencia, soporte y soluciones en más de 80 países, y que tiene como objetivo corporativo proporcionar entornos saludables y seguros, “Proteger a las personas y mejorar sus vidas” es su misión.

Rentokil Initial aliado y partner de grandes encuentros deportivos internacionales

Para el Abierto de Australia 2021, la compañía suministró entre otros servicios, unidades de desinfección de manos y desinfección especializada de la flota de vehículos que transportaron a los jugadores y al personal hacia y desde el complejo deportivo Melbourne Park, en donde se jugó este abierto de tenis y primer Grand Slam del año.

Igualmente, Rentokil tiene una alianza para desinfectar los campos deportivos de clubes de La Liga Española, como Real Madrid Club de Fútbol, Sevilla Fútbol Club, Real Club Deportivo Mallorca, Real Sociedad de Fútbol, entre otros. En Latinoamérica, atiende el Estadio Azteca en Ciudad de México y el Estadio Arena Do Grêmio en Porto Alegre, Brasil.

Importantes empresas como Marriott, McDonald’s, Almacenes Éxito, Grupo Nutresa, Kellogg, PepsiCo, Alpina, Quala, CAFAM, Colsubsidio entre otras, son clientes de Rentokil.

Check Point Research (CPR) ha detectado una vulnerabilidad de seguridad en la función de filtro de imágenes de WhatsApp, que, al aplicarse en una foto y enviarla, dejaba la puerta abierta para que un ciberdelincuente pudiese acceder a información sensible almacenada en la memoria de WhatsApp. La división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial, expuso una vulnerabilidad de seguridad en WhatsApp, la aplicación de mensajería más popular del mundo con más de 2.000 millones de usuarios activos. Esta vulnerabilidad habría permitido a un ciberdelincuente acceder a información sensible en la memoria de WhatsApp.
Función de filtro de imágenes
La vulnerabilidad tenía su origen en la función de filtro de imagen de WhatsApp, un proceso mediante el cual se modifican los píxeles de la imagen original para conseguir algunos efectos visuales, como el desenfoque o la nitidez. Durante su estudio de investigación, CPR descubrió que el cambio entre varios filtros en archivos GIF elaborados provocaba efectivamente el bloqueo de WhatsApp. En este sentido, CPR identificó uno de los bloqueos como una alteración de la memoria. CPR informó rápidamente del problema a WhatsApp, que denominó la vulnerabilidad CVE-2020-1910, detallándola como un problema de lectura y escritura. Para que un ciberdelincuente hubiese podido explotar este fallo tendría que enviar una imagen tratada con este tipo de filtros.
Se calcula que se envían más de 55.000 millones de mensajes diarios a través de WhatsApp, y que se comparten 4.500 millones de fotos y 1.000 millones de vídeos al día.
"Con más de dos mil millones de usuarios activos, WhatsApp es un objetivo atractivo para los ciberdelincuentes. Una vez que descubrimos la vulnerabilidad de seguridad, informamos rápidamente de nuestros hallazgos a WhatsApp, que se mostró colaborador a la hora de emitir una solución. El resultado de nuestros esfuerzos colectivos es un WhatsApp más seguro para los usuarios de todo el mundo”, señala Oded Vanunu, jefe de Investigación de Vulnerabilidades de Productos en Check Point
"Trabajamos regularmente con investigadores de seguridad para mejorar las numerosas formas en que WhatsApp protege los mensajes de la gente, y apreciamos el trabajo que Check Point hace para investigar cada rincón de nuestra app. La comunidad no debería tener ninguna duda de que el cifrado de extremo a extremo sigue funcionando y los mensajes de los usuarios siguen estando seguros. No tenemos ninguna razón para creer que los usuarios se hayan visto afectados por este fallo. Dicho esto, incluso los escenarios más complejos que los investigadores identifican pueden ayudar a aumentar la seguridad de los usuarios. Como con cualquier producto tecnológico, recomendamos a los usuarios que mantengan sus aplicaciones y sistemas operativos al día, que descarguen las actualizaciones siempre que estén disponibles, que informen de los mensajes sospechosos y que se pongan en contacto con nosotros si tienen problemas al utilizar WhatsApp.", comentan desde WhatsApp.