Panorama Mes de la Ciberseguridad

Durante lo que va del 2022 se han evidenciado cada vez más amenazas en torno a la ciberseguridad en Chile y Latinoamérica que han puesto en tela de juicio la seguridad de múltiples organizaciones, tanto del sector privado como de gobierno, logrando comprometer y exponer datos sensibles que podrían afectar incluso la seguridad nacional.

Si bien la gravedad y riesgo de estos actos es conocida desde larga data, suelen no ser considerados en el momento oportuno, ya sea por la burocracia, los recursos, las capacidades o similares, los cuales finalmente convergen en un actuar reactivo y no predictivo ante las diferentes amenazas presentes, dando con esto paso al compromiso la seguridad de la información e infraestructura de las diferentes organizaciones e industrias, generando con esto costos monetarios mayores a los que se hubiesen necesitado para actuar de forma preventiva, sumado a que si las motivaciones de los atacantes son en su gran mayoría financieras, se debe tener en cuenta que el impacto económico para la organización podría ser aún mayor. 

Ante esto, entender objetivamente la posición actual de madurez de ciberseguridad en que se encuentra  su organización será clave para desarrollar técnicas, estrategias y operaciones que permitan cubrir adecuadamente aquellos riesgos, mientras se aplican las mitigaciones que permitan solventarlos. De esta forma se busca que los recursos tanto humanos como económicos sean direccionados en áreas que así lo requieran, para de esta forma lograr que la seguridad de la red sea homogénea, objeto una vez se hayan entendido los riesgos y las posibles amenazas se diseñen planes de trabajo de acuerdo a sus necesidades, logrando así resguardar la información de forma adecuada según el escenario en donde se despliegue.

Para lo anterior es importante comprender que los riesgos de ciberseguridad no se encuentran solo en un plano digital, ya que si la organización víctima es suficientemente llamativa para los actores de amenazas indudablemente estos en sus esfuerzos de comprometer a la organización, pueden apelar a la evaluación del plano físico y sus controles de acceso para inclusive implantar equipos electrónicos dentro de una red con tan solo conseguir una conexión ethernet en algún punto de sus instalaciones, lo que lanza por la borda todos los esfuerzos e inversión de seguridad aplicados en el plano digital.

Es por esta razón que los enfoques de ciberseguridad deben ser diseñados considerando variables ad-hoc al entorno de operación, de forma que permitan proteger los activos digitales de manera integral, por lo que es fundamental que cada colaborador de su organización sea consciente de la sensibilidad de la información que maneja, ya que apelar a la ingeniería social suele ser una técnica ampliamente utilizada por cibercriminales, tal como se ha visto por ejemplo en los TTP´s de grupos como LAPSUS$, quienes han logrado acceder a sistemas de gigantes tecnológicos principalmente mediante el engaño de sus colaboradores.

Entre las principales motivaciones por actores de amenazas se identifica:

• Financiera: Suele ser direccionada a entidades con grandes flujos de dinero mediante ataques de larga duración y gran sofisticación, en donde una parte importante de los ataques se basa en la ingeniería social y no necesariamente en el compromiso de sistemas tecnológicos.
• Hacktivismo: Usualmente direccionada a gobiernos o entidades con conflictos con la ciudadanía, suelen ser ataques de mediana duración y apelan a la velocidad de obtención más que a la cantidad de información, debido a que usualmente se reacciona debido a la contingencia de una situación en particular, y no se requiere pasar desapercibido en el tiempo por lo que la meticulosidad del acceso se considera un objetivo secundario.
• Espionaje: Altamente direccionada, principalmente a Gobiernos, Infraestructura crítica e industrias con gran relevancia e innovación. Estos ataques suelen ser de muy larga duración con el objetivo principal de no ser identificado y obtener la mayor cantidad de información posible, aunque esta tarea lleve años.
• Político / Religioso: No siempre son ataques directivos y suelen ser más comunes en países de medio oriente, en donde el conflicto religioso es de larga data, por lo que los actores no escatiman ni en tiempo ni en esfuerzos con tal de lograr su objetivo.
• Oportunismo: No son ataques direccionados y solo se basan en atacar a quien sea vulnerable, en donde las motivaciones dependen de a donde se esté accediendo, ya que podría ser utilizado para el robo de dinero, criptominería, secuestro de información, propagación de ransomware, abuso de infraestructura para siguientes operaciones, entre otros. El tiempo para llevar a cabo estos ataques es bajo ya que se basa en la facilidad y rapidez del ataque.

Chile

De acuerdo a datos y estadísticas, 2021 y 2022 han sido años marcados por la prosperidad del Ransomware en Latinoamérica el cual ha crecido considerablemente inclusive en Chile, haciendo de estos ataques un panorama cada vez más habitual en que si bien el pasado año se finalizó con un total de 12 víctimas conocidas, en lo que va del año se han contabilizado 8 de ellas aun restando dos meses para la finalización de 2022.

Estos casos suelen ser expuestos públicamente por los actores maliciosos, principalmente debido a negociaciones fallidas o porque el afectado contaba con capacidades de restauración suficientes para que el impacto sea mitigado total o parcialmente sin ser parte del proceso de extorsión, mientras que por otra parte existen casos en donde las víctimas son publicadas brevemente a modo de presión o en el “mejor” de los casos, no son publicados en absoluto, debido a  que las negociaciones son favorables para los atacantes.

Entre los casos altamente mediáticos dentro de Chile se ecuentran los que afectaron a instituciones de gobierno. Junto a los casos locales, se ha notado un incremento de organizaciones afectadas por bandas de ransomware que antes se encontraban dirigidas a otros sectores geográficos del mundo y que recientemente han comenzado a sumar un alto número de víctimas como es el caso de LockBit, que corresponde a una de las bandas de ransomware más activas del momento y que cuenta con el registro histórico más alto, superando con creces a la cantidad de organizaciones afectadas por Conti (APT Ruso).

Por otra parte, al analizar un registro de casos conocidos de Ransomware en Chile entre 2020 y 2022 se obtiene que LockBit (Online) lidera el listado como actor de amenaza con mayor incidencia, seguido de Prometheus (Offline) para luego compartir el tercer puesto entre Conti (Offline), BlackByte (Online) y Spook (Offline).

En cuanto al panorama de Ransomware en LATAM durante 2022, este ha mantenido con gran actividad pudiendo observar entre las víctimas múltiples entidades gubernamentales junto a organizaciones del sector privado de diferentes envergaduras, sumando un total de aproximadamente 152 víctimas, en donde la mayoría de ellas corresponden a Brasil, seguido de México y luego Argentina.

Por otra parte, en cuanto al análisis de los actores de amenazas detrás de estos ataques es indudable identificar a LockBit como el líder, a nivel nacional, latinoamericano y el mundo, quien se encuentra en su tercera versión y se mantiene operativo desde 2019 a la fecha.

Seguido de este grupo, otro de los actores que predomina en la gráfica corresponde a Hive (Online) y Conti (Offline).

Cabe destacar que, del total de actores, solo una parte de ellos se encuentra actualmente activo ya que como ha sido la dinámica durante los últimos años, existe una constante renovación.

Otro actor importante y que no aparece en listados anteriores, se debe a DeadBolt, quien ha utilizado la técnica de ransomware dando un enfoque diferente a como es comúnmente, ya que en vez de atacar a una organización en particular, se centra en vulnerar mediante ataques Zero-Day servicios que utilizan muchas organizaciones alrededor del mundo, logrando comprometer incluso miles de dispositivos expuestos a internet en un día como ha sido el caso de NAS QNAP en 2 ocasiones y el caso de NAS Asustor en una oportunidad, sin embargo, es importante destacar que este actor se centra en tecnologías y no en organizaciones.

• Dataleak corporativo, ha sido constantemente visualizado junto a amenazas como ransomware, que entre sus funciones es publicar la información secuestrada cuando los responsables no pagan por su rescate. En este tipo de leak, suelen incluirse registros de usuarios de Active Directory.
• Por otra parte, también existen dump de bases de datos de sitios web, sin embargo, esto suele ser mayormente enfocado en el secuestro de tarjetas bancarias, más que de acceso a sus cuentas corporativas. 
• Dataleak por vulnerabilidades, tiene gran similitud con dataleak corporativo, ya que al ser un ataque dirigido, usualmente se suelen explotar vulnerabilidades perimetrales o configuraciones deficientes para acceder a sus sistemas o en su defecto aplicar técnicas como el phishing, pero que sin embargo estos también finalmente utilizan vulnerabilidades del software para concretar la infección (Macros, Follina) por lo que suele ser una generalidad que los ataques de Dataleak dirigidos involucran explotación de vulnerabilidades en algún momento de la intrusión.
• Dataleak a usuarios individuales en Chile y LATAM, está dado principalmente por infección con malware infostealers, de forma que estos una vez dentro del equipo víctima roban la mayor cantidad de información posible, pudiendo incluso lograr un perfilamiento con gran detalle del usuario afectado que podría conducir a casos de suplantación de identidad.
  
  Este tipo de amenazas suele ser principalmente distribuido por medio de troyanos en software fraudulento ofrecido en internet.

Las vulneraciones a fuentes de información son hechos que ocurren con gran frecuencia a nivel global y que suelen estar dirigidas a organizaciones que satisfagan las necesidades del atacante, lo que se puede definir como las motivaciones, que además determinan cuánto tiempo y esfuerzo está dispuesto a gastar el atacante para lograr su objetivo.

Dentro de las motivaciones vinculadas a este tipo de ataques en Chile durante 2022 se debe al hacktivismo y en segunda instancia al robo de información comercial de organizaciones.

Estas actividades ilícitas suelen buscar el compromiso de información sensible de forma de permitir que la comunidad logre acceso a informaciones clasificadas, como ha sido el renombrado caso de WikiLeaks y Pandora Papers, en donde para ambos casos ha surgido información comprometedora para individuos Chilenos causando gran revuelo en la sociedad civil, sin embargo algunos de los hechos claves de mayor relevancia nacional se destacan:

• La filtración realizada por el grupo Guacamaya ha sido netamente un acto de hacktivismo, en donde el mayor impacto ha sido reputacional, pero podría también comprometer la seguridad Nacional, debido a la extensa cantidad de archivos de diferentes ramas de las FF.AA.
• La liberación de información vinculada a instituciones gubernamentales ha generado un impacto principalmente reputacional, afectando a todos aquellos usuarios finales que utilizan sistemas de gobierno.

Guacamaya

Uno de los mayores eventos de dataleak vinculados a LATAM luego de Pandora Papers ha resultado ser la actividad del grupo Guacamaya, quienes de acuerdo a las evidencias obtenidas podrían tener operadores de nacionalidad chilena, y han sido quienes se han adjudicado haber vulnerado servidores de correo electrónico de diferentes organismos gubernamentales y privados de Latinoamérica con una lucha bajo la causa del respeto a las comunidades indígenas y  la naturaleza, con un papel en contra de la sobre explotación del territorio tanto por gobiernos locales o extranjeros.

Entre las víctimas publicadas bajo la operación Fuerzas Represivas de Guacamaya, se identifican los siguientes:

• Diferentes Fuerzas Armada de LATAM (Chile, Colombia, Perú, El salvador)
• Secretaría de la Defensa Nacional de México (6 TB - SEDENA).
• Policía Nacional Civil de El Salvador (4 TB, @pnc.gob.sv).
• Quiborax Chile.

Cabe destacar que los ataques llevados a cabo sobre las instituciones mencionadas fueron principalmente realizados mediante la explotación de vulnerabilidades conocidas que disponían de parches y PoC disponibles, por lo que no requieren un alto nivel de sofisticación para ser explotadas.

Distribución y comercialización

De acuerdo a las motivaciones de las filtraciones es que se determina como va a ser manejada esta información; ya que si corresponde a temas gubernamentales o APT es altamente probable que se mantenga en estricto secreto para usos posteriores, mientras que si se trata de bases de datos (BB. DD.) comerciales o empresariales no auspiciadas por estados, es factible ver su ofrecimiento en foros de la Deep y Dark Web, en donde se pueden vender por fracciones o en su totalidad, de acuerdo a las necesidades del comprador. En variados casos estos costos monetarios son elevados, es por esto que es altamente probable que se utilice la información obtenida para realizar ataques posteriores, ya que para terceros esta “inversión” en la adquisición se debe compensar.

Por otra parte, la sustracción de credenciales personales de gente aleatoria suele ser ofrecida por Malware as a Service (MaaS), que por medio de suscripciones entregan a los compradores toda la data que sea robada de las víctimas para que estos la utilicen con los fines que estimen convenientes, mientras que aquellos que consiguen esta data y la filtran, podrían luego publicar estos leaks en otros foros asignándoles un valor según la información contenida.

En un último caso si las filtraciones han sido con motivaciones hacktivistas, estas son liberadas de forma gratuita, intentando que el mayor número de usuarios la conozca ya que el principal objetivo es causar daño reputacional más que monetizar el ataque en sí.

Al observar datos relativos a LATAM, entre los malware con mayor actividad en se identifican:

1. Emotet:
   
   Catalogado como el malware con mayor actividad a nivel mundial independiente de la región donde sea analizado, se mantiene activo desde 2014 y es operado por el grupo TA542 el cual está constantemente actualizado, desarrollando y modificando sus TTP´s para evadir la detección del malware.
   
   Cabe destacar que dentro de una familia de malware es usual ver que modifiquen sus IoC´s debido a la facilidad de la tarea, sin embargo, modificar TTP´s es una tarea que requiere gran expertiz y desarrollo, revelando así las grandes capacidades de los operadores de este malware quienes incluso mantienen segmentaciones geográficas en sus redes de bots, denominadas desde Epoch 1 a Epoch 6 .
   
   Dentro de sus campañas de este malware, se identificaron casos donde la distribución estaba siendo dirigidas específicamente a Chile.
   
   Mayores antecedentes en:
   • https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1186/
   • https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1119/
   • https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1076/
      
2. FormBook: 
   
   Es un troyano con capacidades de infostealer‍ disponible como malware-as-service (MaaS) principalmente distribuido por correos electrónicos con adjuntos maliciosos y se puede utilizar para robar diversa información de máquinas infectadas.
   El malware tiene funciones de robo avanzadas, incluida la capacidad de extraer información almacenada y registrada del usuario, es capaz de buscar, ver e interactuar con archivos, tomar capturas de pantalla y recibir órdenes directas mediante C&C.
    
3. XMRig:
   
   XMRig es un software de minería de código abierto completamente legal para facilitar el acceso a la criptominería de Monero (criptomoneda difícil de rastrear), lo cual mal utilizado otorga mayor anonimato para los ciberdelincuentes en los equipos que se comprometen. Visto por primera vez el 26 de mayo de 2017, ha sido adoptada por los cibercriminales como parte de sus campañas maliciosas para añadir funcionalidades de criptominería a su malware.
   
   Dentro de algunas de las amenazas que utilizan a XMRig se encuentran: VictoryGate y la botnet Phorpiex, quienes se dedican a distribuir a este minero en todos equipos que infectan.
    
4. AgentTesla:
   
   Desde el año 2014 que se conoce de la existencia del malware Infostealer Agent Tesla y desde sus primeras campañas fue ligada al robo de datos y credenciales principalmente distribuido mediante correo electrónico con archivos adjuntos maliciosos, hoy en día sigue vigente gracias a su gran capacidad de adaptarse con variantes y nuevos módulos que permiten robar credenciales de apps descargadas, de navegadores web, de clientes VPN, FTP o de correo electrónico, por lo que su peligrosidad es máxima.

De acuerdo a lo anterior y a registros obtenidos diariamente, la mayor actividad se encuentra orientada hacia los malware con capacidades de Infostealer producto de un negocio bastante lucrativo que suma gran cantidad de víctimas diariamente y que permite otorgar a los operadores accesos iniciales a plataformas restringidas con mayor facilidad que atacando las plataformas directamente, con un porcentaje de detección inferior debido a que se minimiza la actividad directa sobre la infraestructura del afectado y que además logra realizarse en un tiempo inferior a un ataque directo.

Por otro lado, si se analiza únicamente este tipo de amenaza en Chile, bajo una mirada de hallazgos y de ofrecimientos en foros de Deep y Dark Web, se identifica que los malware con mayor actividad son:

Para mayores antecedentes de estas familias de malware:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1305/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1295/

Para analizar el panorama de vulnerabilidades es importante revisar en el pasado como estas mismas han afectado sistemas y la forma en que se han trabajado, para poder abordar las nuevas de un modo más apropiado, es por esto que mediante una revisión de qué enseñanzas nos deja el pasado 2021, tenemos que se pueden analizar las siguientes vulnerabilidades que han sido el centro de atención debido a la alta criticidad y facilidad de explotación, que además cuentan con PoC públicamente disponibles para que cualquier persona pueda explotarlas.

Entre las vulnerabilidades más destacadas de 2021 que continúan siendo explotadas en 2022 se destacan Log4J de Apache y ProxyShell de Microsoft.

• APACHE LOG4J REMOTE CODE EXECUTION VULNERABILITY (CVE-2021-44228) - CVSS 10 - 10/12/2021

La vulnerabilidad clasificada con el puntaje de gravedad más alto se publicó junto con un exploit en GitHub y que permite a un atacante ejecutar código arbitrario inyectando datos más conocido como ejecución de código remoto no autenticado (RCE).

Se han observado múltiples actores maliciosos utilizando esta vulnerabilidad para lograr acceso inicial a redes corporativas.

Por otra parte, existe evidencia de que distintos actores de amenazas de alta sofisticación han estado explotando activamente esta vulnerabilidad mucho antes de que se difundiera de forma masiva, mientras que Investigadores de Microsoft informaron que ciber actores de China, Irán, Corea del Norte y Turquía ahora están abusando de esta vulnerabilidad.

• ProxyShell

Este conjunto de vulnerabilidades permite a los actores de amenazas lograr comprometer completamente un servidor de correos MSExchange, y pese a que han surgido en 2021, desde su aparición han sido constantemente explotadas, llevando con sigo ataques de diferente envergadura, ya sea para compromiso de ransomware (Hive, entre otros) como para exfiltración de información sensible como han sido los  ataques del grupo hacktivista Guacamaya.

Este conjunto de vulnerabilidades permite a los actores de amenazas lograr comprometer completamente un servidor de correos MSExchange, y pese a que han surgido en 2021, desde su aparición han sido constantemente explotadas, llevando con sigo ataques de diferente envergadura, ya sea para compromiso de ransomware (Hive, entre otros) como para exfiltración de información sensible como han sido los ataques del grupo hacktivista Guacamaya.

• ProxyLogon
  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065
     
• ProxyToken
  • CVE-2021-33766
     
• ProxyOracle
  • CVE-2021-31195 
  • CVE-2021-31196
     
• ProxyShell
  • CVE-2021-34473
  • CVE-2021-34523
  • CVE-2021-31207
  • CVE-2021-31206

En base a los antecedentes y una mirada hacia inicios de 2022 se obtienen las siguientes vulnerabilidades críticas que forman parte de los antecedentes más destacables del año y que si bien cada uno cuenta con sus parches disponibles, con el paso del tiempo surgen nuevas vulnerabilidades críticas que podrían comprometer sus sistemas dependiendo de las tecnologías afectadas, por lo que el trabajo de monitoreo y parchado de vulnerabilidades debe ser una tarea recurrente y programada que contemple todos sus activos digitales.

Teniendo en consideración los antecedentes de vulnerabilidad  que han causado gran impacto debido a la alta exposición y facilidad de explotación de las mismas, es posible añadir las siguientes vulnerabilidades críticas que han destacado en el segundo periodo de 2022 y que han puesto en máxima alerta a administradores de sistemas, por lo que es esperable que las técnicas comiencen a ser utilizadas comúnmente por actores maliciosos que buscan lograr accesos iniciales a redes corporativas, permitiendo ahorrar tiempo en la preparación y ejecución de sus campañas.

• F5 BIG IP (CVE-2022-1388) - CVSS 9.8 - 05/05/2022 

Esta vulnerabilidad puede permitir que un atacante no autenticado ejecute comandos arbitrarios del sistema, para crear/eliminar archivos o deshabilitar servicios.
Actualmente ya es utilizada por familias de malware para lograr un compromiso inicial mediante la instalación de BackDoors.

• POC

• Nuevo Zero-day MSExchange (CVE-2022-41040, CVE-2022-41082)  CVSS 8.8 - 02/10/2022

Vulnerabilidad crítica de MS Exchange (2013, 2016 y 2019) está siendo explotada activamente por actores maliciosos, los cuales mediante dos vulnerabilidades Zero-Day permiten acceder al servidor de correo electrónico para cargar backdoors que posteriormente permitan movimiento lateral y carga de webshells para luego ejecutar comandos de forma remota.

• TEXT4SHELL (CVE-2022-42889) - CVSS 9.8 - 13/10/2022

Es una reciente vulnerabilidad de gravedad crítica en ciertas versiones de la biblioteca Apache Commons Text, que podría permitir la ejecución remota de código (RCE).

Si bien se ha catalogado como el nuevo Log4J algunos investigadores no comparten esa afirmación debido a diferencias en su explotación.

• FortiProxy y FortiSwitchManager (CVE-2022-40684) - CVSS 9.8 - 18/10/2022

Una omisión de autenticación en FortiOS y FortiProxy puede permitir que un atacante no autenticado realice operaciones en la interfaz administrativa a través de solicitudes HTTP o HTTPS especialmente diseñadas.

De acuerdo a lo alertado recientemente en portal de noticias de CCI durante el día 07 del presente mes, esta vulnerabilidad que se ha alertado a Fortinet adecuadamente y que actualmente cuenta con parche disponible continúa siendo explotada activamente por actores maliciosos.

Pese a que Log4J fue identificada a fines de 2021 y de inmediato comenzó a ser explotada, la mayor parte de su impacto ha sido durante 2022 dejando como precedente que cada año puede existir al menos una vulnerabilidad de esta envergadura por lo que es necesario encontrarse preparado para este tipo de situaciones de forma que la brecha de seguridad se pueda mitigar de la mejor manera en el periodo de tiempo más corto posible.

Si bien la tarea de parchado y actualización resulta ardua es importante mantener procesos y responsables debidamente coordinados para que el trabajo laborioso pueda realizarse de la manera óptima posible en consideración del tiempo, de forma que se prioricen vulnerabilidades críticas o que pueden exponer información sensible sin despreocupar el resto de sistemas y servicios.

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación, además: son frecuentes los intentos vía SMS (a veces llamados smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.

El objetivo del Phishing siempre es la suplantación de identidad o lo que es lo mismo, el fraude: 

• Robo de contraseñas
• Tarjetas de crédito
• Datos financieros
• Usurpación de identidad en redes sociales
• Robo de criptomonedas (Crypto-scam)
• Entre otros

A pesar de la evolución y mejora en la seguridad para las tecnologías corrientes y emergentes, los delincuentes constantemente se encuentran mejorando sus procesos para el despliegue de nuevos modelos de ataque, pero sin perder la discreción que les ha caracterizado.

En este punto, el phishing se ha vuelto una potente herramienta de despliegue de campañas de distribución de diferentes amenazas, desde infostealers hasta ransomware y malware del tipo RAT.

De acuerdo con datos proporcionados por CheckPoint se identifica que la mayoría de los archivos maliciosos contenidos en campañas de phishing corresponden a:

Es común que, durante el progreso en el tiempo de un determinado ataque, cada vez busque ser generado mediante mayor sofisticación para evitar ser reconocido como fraudulento, es por eso que ciber delincuentes perfeccionan sus técnicas día a día para continuar engañando a sus víctimas, como las descritas a continuación:

• Browser in the browser (BITB)
  
  Es una técnica que se visualizó por primera vez en 2020 pero fue popularizada durante el presente año, que permite mediante la inserción de una ventana emergente en un sitio web, desplegar sitios de login que sustraen los datos del usuario y que son muy difíciles de detectar para un ojo inexperto, ya que el sitio fraudulento resulta idéntico al original, inclusive en su URL, solo que no corresponde a un sitio web si no a una ventana dentro de otra ventana (Browser in the browser).

Esta técnica se popularizó luego de que se publicará en sitios como GitHub plantillas para desplegar este ataque, reduciendo drásticamente el nivel de sofisticación para su despliegue.

La principal característica para su detección radica en que las ventanas comunes de un navegador pueden ser movidas dentro de la pantalla, maximizar y minimizar, mientras que aquellas alojadas como emergentes, solo se pueden mover dentro de la ventana donde se alojan.

• Para mayores antecedentes: Ataque de Phishing BITB: lo que debes saber

• Google CAPTCHA

Los ciberdelincuentes están utilizando reCAPTCHA de Google (también conocido como la función "No soy un robot") y servicios CAPTCHA para ocultar varias campañas de phishing utilizando técnicas de evasión cuyo objetivo final es escapar de la detección de los rastreadores de seguridad automatizados.

“Las URL maliciosas protegidas por CAPTCHA se están multiplicando” - informan los investigadores de Unit 42.

Es así que, por medio de la utilización de recaptcha, logran bloquear el contenido de sus páginas de phishing y evitar que los servicios de escaneo de URL escaneen detectando el contenido malicioso, logrando finalmente otorgar un aspecto legítimo a las páginas de inicio de sesión de phishing.

• Crypto-scam

Para este tipo de ataques los actores maliciosos suelen realizar campañas de suplantación de identidad o secuestro de cuentas verificadas en RRSS, de modo que utilizan la reputación de una persona legítima y reconocida dentro del sector de las criptomonedas para que usuarios menos experimentados caigan en la trampa y terminan por ser engañados de 3 principales formas:

1. Se engaña al usuario para transferir voluntariamente su dinero a una billetera maliciosa con la premisa de ser multiplicado rápidamente.
2. Se invita al usuario a comprar criptomonedas de proyectos falsos, que prometen altas rentabilidades, pero en donde realmente los dueños de la criptomoneda escapan con el dinero recaudado.
3. Se convence al usuario de firmar un SmartContract, en donde sin saberlo, se le entrega la totalidad de los fondos a manos de actores maliciosos.

Cabe destacar que para los tres principales mecanismos de robo de dinero, los actores malintencionados suelen utilizar la reputación de algún referente del área, es por eso que como mecanismo de ataque se suelen secuestrar cuentas válidas para redireccionar a sus seguidores hacia el sitio de estafa, o en su defecto suelen clonar perfiles de redes sociales con nombres aparentemente similares (Typosquatting) en donde se contacta personalmente a los seguidores del referente legítimo para invitarlo a oportunidades de inversión irrepetibles que terminan siendo fraude.

Smart Contract: refiere a un tipo de contrato inteligente que debe ser programado y desarrollado en su propio lenguaje, que en resumidas cuentas, mediante obligaciones y deberes, actuará y se ejecutará automáticamente cuando los parámetros o cláusulas se hayan cumplido de forma que no existe la posibilidad de interacción humana para revertir o modificar el contrato ya firmado.

• Ejemplo: ante acción X, realizar A y ante acción Y realizar B, las cuales se realizarán de forma inmediata apenas se cumpla la condición dada y de forma automatizada, por lo que no es necesaria la interacción de un usuario para ejecutar la toma de decisión 

Debido a que el Smart contract está escrito determinado por código, es difícil de interpretar para usuarios no experimentados, por lo que suelen ser firmados sin previa revisión, pudiendo aprobar voluntariamente la entrega de la totalidad de sus fondos sin tener conocimiento de ello.

Boletines sugeridos:

• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1382/
• https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1324/

Además de lo anterior es posible identificar que con el paso de los años se ha comenzado a utilizar sitios web que además cuentan con certificados de seguridad generalmente abusando de servicios gratuitos, que permiten generar mayor credibilidad ante los usuarios ya que se evitan los mensajes de sitio riesgos que generan automáticamente los navegadores web para sitios HTTP, siendo más fácil que la víctima caiga en el engaño.

Para protocolo HTTP se puede ver una constante disminución en su uso desde 2018 a la fecha, mientras paralelamente protocolo HTTPS gana terreno en las campañas de phishing.

Por estas razones es cada vez más importante implementar y adoptar las últimas medidas de seguridad disponibles a medida que se concientiza a los usuarios finales ya que el objetivo de los actores maliciosos es  imitar el comportamiento de entidades válidas para engañar a la víctima por ende en un área que lleva años de desarrollo cada vez existen técnicas en donde se hace más complejo diferenciar un sitio web legítimo de uno fraudulento, sin embargo, esto conlleva más tiempo de desarrollo para campañas que suelen durar como máximo un par de días con un costo/beneficio poco atractivos menos que sean estudiadas y dirigidas para objetivos mayores.

Dentro de las tendencias globales se ha visto un fuerte incremento en vulnerar tecnologías nuevas en el mercado que permiten monetizar rápidamente o que han servido como fuerte barrera de seguridad para accesos ilegítimos y por tanto un dolor de cabeza para actores malintencionados, por lo que se espera que el desarrollo de los ataques y por ende la industria en general continúe innovando como ha sido la tónica de la historia de internet.

Entre los elementos que más destacan son:

Bypass o captura de 2FA

Debido a la masiva adopción que ha tenido el 2FA en la protección de accesos y la gran barrera limitante que se ha impuesto sobre ciber actores es que estos no han escatimado en tiempo ni recursos ni desarrollo para la creación de nuevas herramientas y/o mecanismos que permitan de alguna u otra forma capturar este valioso código, ya que por más que se cuenten con credenciales de acceso válidas para algún servicio y/o plataforma, estas no serán útiles.

Phishing crypto

Si bien esta tecnología y ecosistema es relativamente nuevo, el principal uso es el movimiento de dinero, por lo que ha sido un objetivo bastante apreciado y que cuenta con recompensas bastante grandes para quienes logren vulnerar los sistemas, es por esto que existen múltiples actores y APT’s como Lazarus que han incursionado en este mundo robando miles de millones de dólares en cortos periodos de tiempo aprovechando los beneficios del anonimato que esta tecnología brinda.

Pese a lo anterior es necesario destacar que la principal barrera para el lavado de este dinero viene de la conversión de criptomonedas a Fiat (dinero corriente) ya que al ser sumas tan grandes es difícil pasar desapercibidos por entidades bancarias, las cuales cuentan con capacidades de rastreo de flujos de dinero que pueden determinar fácilmente al individuo que ha realizado el robo.

Mientras que en otro lado del sector crypto, los malware que distribuyen criptomineros tales como XMRig, van cada vez en aumento, por lo que este módulo ha sido bastante utilizado en el despliegue de diferentes familias de malware que buscan monetizar al máximo sus ataques.

Ransomware y Data Leak

Estos elementos no resultan nuevos, sin embargo han sido una tendencia en constante aumento y desarrollo durante los últimos años, siendo causa de cuantiosos costos monetarios tanto para el sector público como privado así como un alto impacto en la fuga de información relevante comercial o estratégica y que en una era como la actual donde la información tienen un enorme valor  monetario resulta un elemento importante de obtener, por lo que no se escatiman esfuerzos en conseguirlo, siendo una importante motivación al momento de  la planificación y desarrollo de un ataque, es por eso que la seguridad de la información digital cada vez mantiene mayor relevancia dentro de las organizaciones. 

1. Entendiendo que menos del 17% de las vulnerabilidades se corrigen dentro de los 7 días posteriores a la notificación por parte de las marcas, nos gustaría recalcar que si las organizaciones continúan con políticas de parcheado inmaduras u obsoletas y no dan prioridad a estos procesos de seguridad, continuaremos evidenciando organizaciones sin la capacidad de solventar las operaciones de sus negocios por presentar disrupciones en sus quehaceres, lo cual en algunos casos puede llevarlas a desaparecer.
2. Lamentablemente, las estadísticas han demostrado un escenario favorable para la facilidad de explotación de los sistemas en Chile. Menos del 39% de las empresas tienen políticas maduras para el parcheado de su infraestructura. Por este motivo, es clave para las empresas proteger adecuadamente estos servidores.

Entendiendo lo anterior se puede concluir que las principales carencias de seguridad en Chile se encuentran abordadas por un mal manejo de los activos digitales, ya que, dependiendo de la dimensión de la organización, se puede llegar a contar con miles de activos en los que trabajar sin contar con los profesionales requeridos para llevar a cabo operaciones de tal dimensión, pese a que existe un alto número de profesionales capacitados.

Por esta razón se destacan dos problemáticas principales que radican en la cultura de ciberseguridad y en los recursos disponibles donde el económico juega un papel crucial ya que muchas pequeñas y medianas empresas no cuentan con el dinero necesario para llevar a cabo inversiones de gran envergadura en algo que no verá un retorno monetario sin embargo no se entiende que se están protegiendo la inversión existente.

Ante esto es imperante que tal como se ha mencionado en otros puntos de este boletín, se necesita cambiar el enfoque de ciberseguridad aplicando métodos mecanismos y modelos propuestos por expertos.

Es sabido que la ciberseguridad va en constante aumento y desarrollo, donde Chile no se queda atrás ya que existen profesionales calificados para responder a diversas necesidades del mercado, sin embargo, por más que se cuente con ellos, las organizaciones no aseguran su infraestructura ya que esta depende de la toma de decisiones de la alta dirección en donde muchas veces solo se ve el tema digital como algo existente  y que funciona, pero no se entiende que finalmente los activos digitales terminan siendo parte fundamental de un desarrollo de negocio exitoso, en donde muchas cosas se dan por sentadas porque siempre han existido, pero no se suele evaluar el panorama sin estos elementos, ocasionando que en caso de  respuesta a incidentes las acciones sean tardías y/o deficientes ya que no se entiende lo que se protege ni cómo hacerlo.

Por esta razón es importante que la alta dirección comprenda la problemática de la seguridad como una inversión mediante actos concretos, como por ejemplo:

• Un ciberataque puede costar millones solo en mitigarlo
• En caso de ataque, indudablemente se intentará sustraer dinero
• La detención de los sistemas para contención podría tardar días o incluso meses en recuperarse de forma óptima, disminuyendo la productividad.
• La imagen reputacional se ve importantemente mermada ya que socios o proveedores podrían ver arriesgada información personal por errores de terceros, lo que se traduce en una reducción de ingresos.

Como primera instancia se deben identificar los High Target Value de la organización para entender que donde y cuando se debe proteger y los riesgos que conlleva su exposición, para de esta forma direccionar adecuadamente los recursos disponibles.

Lo anterior va estrechamente ligado con mantener equipos físicos en óptimas condiciones por lo que es necesario contar con profesionales capacitados que puedan actualizar y/o parchar, segmentar adecuadamente los sistemas y servicios a la vez que se mantiene un monitoreo constante de los registros de sus activos mediante tecnologías SIEM ya que el acceso inicial por servidores mal configurados se encuentra en el TOP de causas de ataques.

Por otra parte, es necesario concientizar a los usuarios finales con tal de prevenir ataques por diferentes flancos para que sean capaces de identificar campañas fraudulentas de phishing y/o malspam ya que este vector de ataque se encuentra en el TOP de vectores de entrada a redes corporativas.

Para abordar esta problemática de forma integral existen diferentes métodos y marcos de trabajo que facilitan la tarea de planificación de defensas.

La autenticación sólida es la primera línea de defensa en la batalla para proteger los recursos de la red, los procesos que respaldan este requisito se conocen como administración de identidad y acceso (IAM).

Dentro de IAM, las tecnologías de autenticación aseguran que sólo los sujetos válidos (usuarios o dispositivos) puedan operar una cuenta. Pero la autenticación no es un proceso único; existen muchos métodos y mecanismos diferentes, algunos de los cuales se pueden combinar para formar productos más efectivos. Un sistema de administración de identidad y acceso (IAM) generalmente se describe en términos de cuatro procesos principales:

• Identificación: creación de una cuenta o ID que represente de manera única al usuario, dispositivo o proceso en la red.
• Autenticación: probar que un sujeto es quién o qué dice ser cuando intenta acceder al recurso.
• Autorización: determinar qué derechos deben tener los sujetos sobre cada recurso y hacer cumplir esos derechos.
• Accounting (Registros): seguimiento del uso autorizado de un recurso o uso de derechos por parte de un sujeto y alertas cuando se detecta o intenta un uso no autorizado. 

Ya no existe una red fija, todo se migra aceleradamente a las nubes. Por lo tanto, ¿cómo podemos proteger los activos que no están en nuestra red física?, es esta interrogante la que marcó la pauta en 2021, redes cada vez más descentralizadas donde los controles de autenticación fueron la prioridad para la seguridad, entendiendo que cada usuario inicia sesión en diferentes plataformas o aplicaciones.

Aquí se puede visualizar una situación poco favorable para muchas empresas que no cuentan con políticas y buenas prácticas de seguridad. Muchos de estos portales expuestos a Internet, sufren constantes ataques que muchas veces los administradores desconocen.

Además, debido a los Malware-as-a-Service Infostealer, capaces de obtener distintas credenciales directamente desde terminales comprometidos, ya no basta pensar en contraseñas complejas, ni aquellas con más de 14 caracteres. Todos los años vemos nuevas estadísticas que nos demuestran la facilidad con que los actores de amenazas podrían "romper" un sistema de autenticación por credenciales "poco robustas", sin embargo, en la actualidad éstas son extraídas en texto plano directamente de los terminales comprometidos: ¿qué sentido tiene entonces?.

En conclusión, ya no basta tan solo en concentrarse con tener una contraseña robusta: las campañas de phishing, la presencia activa de malware infostealers a nivel nacional y la falta de concienciación, son los factores claves a abordar para la protección de identidades. Si no tomamos acciones inmediatas, no habrá método o tecnología que evite un ataque. Por tanto, si conocemos este nuevo escenario, ¿cómo nos debemos proteger?, ¿estamos dispuestos a seguir exponiendo nuestros activos de información?.

Las estrategias actuales se basan en el entendimiento de estas amenazas, implementando metodologías capaces de minimizar las brechas de seguridad existentes con la integración de diversos métodos de autenticación.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA, por sus siglas en inglés) agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" que podrían exponer la infraestructura crítica, así como las entidades gubernamentales y del sector privado, a ataques cibernéticos devastadores. De esta forma, la lista mantiene 3 entradas principales:

1. Uso de software deprecado o al final de su vida útil
2. Uso de contraseñas y credenciales conocidas/por defecto/predeterminadas
3. Uso de autenticación de un solo factor para el acceso remoto o administrativo a los sistemas

Del mismo modo, a pesar de los años de esfuerzos promocionales para lograr crear hábitos respecto a la implementación de mecanismos de autenticación múltiples, Microsoft dijo que solo el 22% de sus clientes empresariales en Azure Active Directory (AD) han adoptado una solución multifactorial para proteger sus cuentas.

MFA es la solución más simple que se puede ofrecer a los usuarios para bloquear ataques de fuerza bruta e intentos de phishing por correo electrónico, los cuales sabemos que se han incrementado a números récord el año pasado. 

También es aconsejable implementar un enfoque de defensa en profundidad en capas que incluya protección contra malware, parches oportunos, seguridad de DNS, cifrado y copia de seguridad. Sin embargo, quizás el método más eficaz para bloquear el malware sea la educación y la formación. La gran mayoría de las infecciones son causadas por empleados que hacen clic en enlaces incorrectos o tienen malas prácticas de contraseñas que facilitan que los delincuentes entren por la puerta principal, pero la educación ayuda a las personas a detectar intentos y otros métodos de ingeniería social.

Debido a que el ciberdelito siempre está evolucionando, no existe una solución perfecta. Sin embargo, las organizaciones que adoptan un marco de defensa en profundidad y tienen un plan de contingencia para hacer frente a un ataque tienen muchas menos probabilidades de enfrentarse a un ataque costoso y debilitante, especialmente porque los modelos como servicio lo hacen más fácil para los delincuentes entrar en el juego.

Para esto debemos buscar romper el paradigma del perímetro de seguridad tradicional y priorizar la seguridad de la Identidad (Identity-first Security) transfiriendo al nuevo perímetro un enfoque de defensa en profundidad, con herramientas, procesos, seguimiento y políticas integradas.

La tendencia CyberSecurity Mesh nos propone rediseñar el perímetro con una visión de malla de ciberseguridad basada principalmente en la identidad, combinando tendencias de años anteriores que efectivamente nos ayudaron por separado a resolver problemáticas de accesos y confianza, SASE & Zero Trust respectivamente, que ahora nos invita a integrar y consolidar bajo una arquitectura de malla de ciberseguridad (CSMA).

Perímetro Cloud: La pandemia distribuyó a los equipos de trabajo de las organizaciones fuera de las oficinas comerciales y desarmó con eso uno de los más antiguos controles de seguridad: el de las defensas perimetrales. Sin este control, la navegación de los usuarios a través de Internet se ha convertido en una actividad mucho más riesgosa, donde aumenta la probabilidad de navegar en un sitio malicioso o en aquellos que fueron atacados y contaminados. Si bien el perímetro tradicional ha sido sostenidamente sobrepasado por ataques de phishing, ataques a la cadena de suministro y otros, su utilidad para detener una miríada de amenazas, y contribuir a la detección de ataques más sofisticados, sigue vigente. Esto obliga a recomponer la estructura de controles de seguridad perimetrales de una organización que difícilmente, volverán a ser como antes de la pandemia.

La respuesta de la industria ha situado el nuevo perímetro de la organización en la nube. Las tecnologías SASE, (Secure Access Service Edge) proveen una capa de variados controles de seguridad en la nube, desde la cual los usuarios navegan no sólo a los recursos de la red interna, también, a las nubes públicas dónde la organización tenga recursos o a la misma Internet. Las soluciones SASE han incorporado en esta capa, controles de acceso, detección de tráfico anómalo, identificación de malware, análisis de reputación de sitios, cifrado, detección de fuga de información, control de acceso a las nubes públicas y aislación del browser entre otros, expanden las capacidades de la organización generando nuevos casos de uso, como la navegación protegida que permite a los usuarios tener un perímetro de seguridad local cuando viajan, trabajan desde un café como así también la integración a la red de oficinas remotas, en este punto único y escalable.

1. Implementar una arquitectura SASE que sea punto de acceso a la navegación, acceso a recursos internos y acceso a la nube pública, que cuente con capacidades de control de seguridad como URL Filtering, detección de malware, detección de tráfico anómalo entre otros.
2. Implementación de tecnologías de CASB para acceso a la nube SAAS.

Zero Trust, es el modelo de ciberseguridad con el que la industria se ha alineado con rapidez. Zero Trust, provee una mirada dónde debemos desconfiar de los accesos aun cuando estos provengan de zonas confiables como la red interna. Zero Trust, nos pide localizar controles lo más cerca posible de los datos y activos a proteger para monitorear, controlar y validar cada acceso dentro de otras cosas. El problema del modelo Zero Trust, es lograr su implementación integral. Al ser una estrategia que considera varios elementos en todo el ambiente de una organización, implica, por un lado, la expansión de controles en mayor escala y nuevas capacidades que no necesariamente se encuentran disponibles dentro de los controles ya existentes. En estricto rigor, casi el control de seguridad aporta un grano de arena a cualquier modelo Zero Trust, pero son pocos los que ayudan a implementar de manera amplia y profunda esta filosofía de protección.

La microsegmentación, es uno de los controles que hace una diferencia profunda en una estrategia Zero Trust, pero su implementación requiere algunas capacidades que no todas las tecnologías de control de acceso proveen. Una tecnología de microsegmentación debe proveer la capacidad de identificar las interacciones entre sistemas (tráfico este-oeste). Adicionalmente, debe proveer la capacidad de construir políticas entre sistemas individuales o grupos de sistemas. Dichas políticas, deben mantenerse, aún cuando modifiquemos la localización lógica del activo. Finalmente, debe forzar el cumplimiento de dichas políticas. Para que la microsegmentación tenga el efecto que se busca, debe poder implementarse sin tener que hacer profundos cambios en la red de la organización y debe cubrir además los mundos del datacenter y la nube. La microsegmentación limitará, seriamente, el movimiento lateral de un atacante, su exploración, la propagación de malware y el acceso a sistemas críticos dentro de su cadena de ataque. Igualmente reducirá el abuso interno y limitará el efecto que puede tener el robo de credenciales de un usuario, contribuyendo a la implementación de la estrategia Zero Trust de manera relevante y sobre todo a disminuir el riesgo de la organización.

1. Desarrollar una estrategia para adoptar el modelo Zero Trust.
2. Implementar la microsegmentación a nivel de servidores en la nube y en el datacenter.
3. Implementación de microsegmentación a nivel de Endpoint.

En base a lo anteriormente expuesto, analizado y a la contingencia nacional, es altamente esperable que el aumento de amenazas dirigidas a LATAM se vea en constante aumento, tal como se ha vivido durante 2022, lo cual sugiere que actores están centrando la mirada en este territorio posiblemente debido a que es un nicho escasamente explotado, en donde existe un desarrollo tecnológico pero que no se encuentra debidamente protegido como en países más desarrollados en este ámbito, lo que abre una ventana para realizar ataques con menos resistencia por parte de las víctimas y con menos repercusiones como en países que la materia digital está desarrollada.

Entendiendo esto, un ejemplo claro son las capacidades de persecución de los atacantes, teniendo en cuenta el ataque a Colonial Pipeline en Estados Unidos, donde la presión política aplicada sobre Rusia llevó a que los actores fueran “capturados”, ya sea de forma legítima o para dar tranquilidad a un determinado país, sin embargo, actos de este tipo en donde se considere alegatos de LATAM para llevar a cabo operaciones de captura internacionales resulta altamente complejo, ya que hoy en día variadas instituciones de los gobierno afectados recientemente en diferentes países del cono sur, han tenido una capacidad de respuesta de tal envergadura, en donde solo queda intentar remediar lo sucedido mientras que los actores maliciosos quedan en total impunidad al no tener capacidades y/o recursos tecnológicos, investigativos o políticos que permitan dar con los involucrados.

De esta forma, es altamente esperable que los ataques a Chile y LATAM continúen en la misma vía, a la vez que se comienzan a identificar actores locales como ha sido el caso de Chile Locker y los posibles colaboradores nacionales en la agrupación Guacamaya que ha logrado vulnerar diferentes sistemas críticos en países de la región, donde hasta el momento aún no existen responsabilidades individualizadas.

Por otra parte, dentro de la misma línea, es posible prever un aumento en las actividades hacktivistas que respalden diferentes motivaciones, sin embargo, no todo es negativo, ya que al mantenerse una mayor presencia de ataques locales es el momento en donde las organizaciones público-privadas deben comenzar a comprender los riesgos digitales y a invertir en su prevención, lo que podría llevar a una cultura de ciberseguridad con un rápido desarrollo que debe apresurarse para lograr estar a la par con las últimas tendencias, ya que en un mundo globalizado no solo nos debemos preocupar por las amenazas locales sino que también de lo que sucede en el otro extremo del orbe, esto ya que con solo un par de clic se puede estar realizando ataques desde cualquier lugar geográfico con acceso a internet.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente

• Aplicar modelos de ciberseguridad recomendados por expertos, como la Defensa en Profundidad
• En el caso de identificar filtraciones es imperante tomar contacto con los usuarios identificados para gestionar la limpieza y eliminación del malware desde su equipo a la brevedad.
• En el caso de identificar filtraciones es imperante formatear el equipo afectado en su totalidad para eradicar la amenaza.
• Es importante conocer si el usuario afectado corresponde a un proveedor conocido y si cuenta con un equipo organizacional o con equipo propio para que cada uno según corresponda, actúe de acuerdo con sus protocolos de contención de amenazas.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.