ENTEL Weekly Threat Intelligence Brief del 03 al 09 de abril de 2023

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Ransomware falso, exige el pago sin cifrar los archivos.
• Ransomware Rorschach emerge con nuevas estrategias de evasión avanzadas.
• La empresa taiwanesa de hardware informático MSI confirma brecha de seguridad luego de reclamos de ataques de ransomware.
• El Grupo de Análisis de Amenazas (TAG de Google), advierte sobre ciberataques vinculados al grupo de Corea del Norte llamado “Archipelago”.
• Botnet Ramnit, contiene un malware activo en América Latina.
• El nuevo malware de MacOS roba información confidencial, incluida la base de datos completa del usuario.
• Compañías de criptomonedas encubiertas en el ataque a la cadena de suministro de 3CX.
• Malware OpcJacker se dirige a los usuarios con un servicio VPN falso.  
• Microsoft refuerza la seguridad de OneNote mediante el bloqueo automático de 120 extensiones de archivo riesgosas.  
• El malware Typhon Reborn Stealer resurge con técnicas avanzadas de evasión.  
• CryptoClippy: nuevo malware en Clipper dirigido a usuarios de criptomonedas portuguesas.  
• Los archivos WinRAR SFX pueden ejecutar PowerShell sin ser detectados.
• Campaña masiva de “Balada Injector” atacando sitios de WordPress desde 2017.
• Super FabriXss: una vulnerabilidad RCE en Azure Service Fabric Explorer.  
• HP está reparando un error crítico en las impresoras LaserJet.  
• CISA advierte sobre error de Zimbra que ha sido explotado en ataques contra países de la OTAN.
• Múltiples vulnerabilidades en productos de Autodesk. 
• Cisco publica nuevos avisos de seguridad que afectan a sus productos.
• Nuevas vulnerabilidades afectan a productos Trellix.  

Ransomware falso, exige el pago sin cifrar los archivos  

Un grupo llamado Midnight ha estado aprovechándose de las distintas campañas de ransomware, mintiéndole a sus víctimas a través de correos electrónicos falsos que, lo que buscan es causar pánico haciéndoles creer que se han infectado y se ha cifrado su información, utilizando nombres poco conocidos de este tipo de malware. Esta táctica se ha detectado que está siendo utilizada al menos desde el 16 de marzo de 2023 y todas las organizaciones afectadas parecen estar ubicadas en los EE. UU.
Si algún usuario desprevenido abre algunos de estos correos fraudulentos, puede entrar en pánico y llegar a pagar a los estafadores, convirtiéndose en un error muy costoso e innecesario. 

Ransomware Rorschach emerge con nuevas estrategias de evasión avanzadas  

Rorschach es un malware que se destaca de otras cepas de ransomware, ya que posee un alto nivel de personalización y sus características son técnicamente únicas y diferentes a los demás. Una de sus principales características es la velocidad  con que cifra los datos y que no ha sido observada en otras cepas de ransomware.
Según los investigadores es una cepa nueva que no se vincula de ninguna manera con otras ya conocidas. Al momento de la intrusión en el sistema víctima efectúa una carga lateral de DLL para inyectar la carga útil del ransomware, este método es poco visto en ataques de este tipo.
Otra de sus características únicas es la personalización y el uso de llamadas al sistema directas para manipular archivos y eludir los mecanismos de defensa. Este ransomware además tiene las capacidades para finalizar una lista predefinida de servicios, eliminar volúmenes ocultos y copias de seguridad, borrar los registros de eventos de Windows a fin de eliminar el rastro forense, deshabilitar el firewall de Windows e incluso auto eliminarse después de completar sus acciones.

La empresa taiwanesa de hardware informático MSI, confirma brecha de seguridad luego de reclamos de ataques de ransomware  

La banda de ransomware Money Message afirmó haberse infiltrado en algunos de los sistemas de MSI y anunció que si la compañía se niega a pagar un rescate de $4 millones, filtraran esta semana los archivos robados.
La compañía no ha entregado mayores detalles sobre el ataque, ni ha informado si alguno de los sistemas afectados estaba encriptado o si los atacantes extrajeron información comercial o de los clientes durante el incidente.
MSI informó que el ataque cibernético no ha tenido un impacto operativo y financiero "significativo", además anunció que ya implementaron mejoras de seguridad para garantizar que los datos almacenados en los sistemas afectados estén resguardados. Asimismo MSI también publicó una declaración el viernes advirtiendo a los clientes que se aseguren de obtener sus actualizaciones de BIOS y firmware de fuentes oficiales.

Grupo de Análisis de Amenazas (TAG de Google) advierte sobre ciberataques vinculados a grupo de Corea del Norte llamado “Archipelago”  

El Grupo TAG de Google detectó un actor de amenazas llamado “Archipelago” que estaría siendo respaldado por el gobierno de Corea del Norte y ha sido vinculado a ataques contra personal militar, de gobierno, grupos de expertos, legisladores, académicos e investigadores en Corea del Sur y EE. UU. respectivamente.
Este grupo pertenecería como subconjunto al ya conocido APT43 quienes buscan financiar económicamente sus operaciones de espionaje.
Archipelago, representa un subconjunto de actividades que se conoce comúnmente como Kimsuky. Durante los últimos 11 años, se ha visto una evolución de sus tácticas desde el phishing de credenciales bastante básico, hasta técnicas avanzadas y novedosas como extensiones de Chrome personalizadas y el uso de Google Drive para comando y control.
Los ataques de este grupo implican el uso de correos electrónicos de phishing que contienen enlaces maliciosos que, cuando los destinatarios hacen clic, redirigen a páginas de inicio de sesión falsas que están diseñadas específicamente para recolectar credenciales.
 

Botnet Ramnit, contiene malware muy activo en América Latina  

Ramnit es una botnet que en la actualidad es una de las cuatro amenazas con mayor actividad en América Latina, con más de 180 mil detecciones durante los primeros tres meses de 2023.  Su capacidad para infectar dispositivos y propagarse rápidamente, así como la sofisticación de las técnicas que implementa, la convierten en una de las botnets más riesgosas y persistentes de la actualidad. Su objetivo principal es robar credenciales bancarias, contraseñas y otra información financiera valiosa. Otra de sus capacidades es secuestrar cuentas de redes sociales y tomar el control de cuentas como Facebook, Twitter y otras plataformas sociales, para enviar mensajes tipo spam, propagar malware y realizar otras actividades maliciosas.
La botnet Ramnit se propaga, generalmente, a través de correos electrónicos fraudulentos, buscando suplantar la identidad de distintos tipos de organizaciones dedicadas a caridad, compañías privadas de renombre mundial, como Amazon, pasando por entidades bancarias y hasta los mismos proveedores del correo electrónico del receptor, como Microsoft.

El nuevo malware de MacOS roba información confidencial, incluida la base de datos completa del usuario   

Este malware (MacStealer), es capaz de robar varios archivos, billeteras de criptomonedas y detalles almacenados en navegadores específicos como Chrome, Firefox y Brave, también es capaz de extraer la forma codificada en base64 de la base de datos de Keychain, el administrador de contraseñas de Apple.
Algunas de las extensiones de archivos que roba son las siguientes: .TXT, .DOC, .DOCX, .PDF, .XLS, .XLSX, .PPT, .PPTX, .JPG, .PNG, .CVS, .BMP, .MP3, .ZIP, .RAR, .PY , .DB
Los usuarios de MacOS que aún poseen la versión Catalina (10.5) y versiones dependientes de Intel M1 y M2 se podrían ver afectados por este malware.
Para recibir instrucciones de su centro de comando y control (C2) usa canales en Telegram. Este malware se ha estado promocionado en un foro de la dark web desde principios de marzo, según los desarrolladores todavía se encuentra en la etapa beta inicial. Actualmente está siendo distribuido como un malware de servicio (MaaS), que se vende a un precio bajo de $100 USD y promete funciones más avanzadas a futuro. 

Compañías de criptomonedas encubiertas en el ataque a la cadena de suministro de 3CX  

Investigadores han detectado que algunas de las víctimas afectadas por el ataque a la cadena de suministro de 3CX también han tenido sus sistemas bloqueados con el malware Gopuram, y los actores de amenazas apuntan específicamente a las empresas de criptomonedas con esta carga maliciosa adicional.
Este ataque estaría siendo orquestado por los actores de amenazas de Corea del Norte rastreados como Lazarus Group para infectar a los clientes de la empresa VoIP 3CX, con versiones troyanizadas de sus aplicaciones de escritorio de Windows y MacOS en un ataque a la cadena de suministro a gran escala.
Este ataque tiene por finalidad descargar malware en las computadoras, a través de un troyano que roba información implantando una puerta trasera modular llamada Gopuram, en donde los ciber actores pueden usarla para manipular el registro y los servicios de Windows, realizar un control de tiempo de archivos para evadir la detección, inyectar cargas útiles en procesos que ya se están ejecutando, cargar controladores de Windows sin firmar utilizando el controlador del kernel de código abierto , así como gestión parcial de usuarios a través de comandos de red  en dispositivos infectados.
 

Malware OpcJacker se dirige a los usuarios con un servicio VPN falso  

OpcJacker es un malware que roba información utilizando publicidad engañosa, entre sus funciones principales incluyen el registro de teclas, tomar capturas de pantalla, robar datos confidenciales de los navegadores, cargar módulos adicionales y reemplazar las direcciones de criptomonedas en el portapapeles con fines de secuestro.
La primera aproximación a sus víctimas es a través de campañas que apuntan a sitios web falsos anunciando software aparentemente inofensivo y aplicaciones relacionadas con criptomonedas. En febrero de este año se centralizó en ofrecer un servicio falso de VPN a usuarios de Irán.
Este malware se oculta mediante un encriptador conocido como Babadeda y utiliza un archivo de configuración para activar sus funciones de recolección de datos, también puede ejecutar shellcode y otros ejecutables arbitrarios.
 

Microsoft refuerza la seguridad de OneNote mediante el bloqueo automático de 120 extensiones de archivo riesgosas  

Microsoft ha comunicado planes de mitigación para bloquear automáticamente archivos incrustados con "extensiones peligrosas" en OneNote, ya que este servicio está siendo cada vez más utilizado maliciosamente para distribuir malware.
Recientemente se ha informado que Microsoft tiene la intención de evitar que los usuarios abran directamente un archivo incrustado con una extensión peligrosa y muestren el mensaje: "Su administrador ha bloqueado su capacidad para abrir este tipo de archivo en OneNote".
Se espera que a finales de este mes la actualización comience a implementarse con la versión 2304 y solo afecta a OneNote para Microsoft 365 en dispositivos que ejecutan Windows. No afectaría a otras plataformas como MacOS, Android e iOS, así como a las versiones de OneNote disponibles en la web y para Windows 10.
OneNote bloqueará las mismas extensiones que Outlook, Word, Excel y PowerPoint. "Los scripts y ejecutables maliciosos pueden causar daños si el usuario hace clic en ellos. Si se agregan extensiones a esta lista permitida, pueden hacer que OneNote y otras aplicaciones, como Word y Excel, sean menos seguras", dijo Microsoft.
 

El malware Typhon Reborn Stealer resurge con técnicas avanzadas de evasión  

Typhon Reborn ha resurgido con una versión actualizada (V2) que incluye capacidades mejoradas para evadir la detección y resistir el análisis.
Typhon fue analizado primera vez en agosto de 2022, y entre sus innumerables características están el secuestro de contenido del portapapeles, la captura de pantalla, el registro de pulsaciones del teclado y el robo de datos desde la billetera criptográfica, mensajería, FTP, VPN, navegador y aplicaciones de juegos.
En noviembre de 2022, investigadores descubrieron una versión actualizada en donde los ciber actores han aumentado las técnicas de antianálisis y anti-virtualización, modificando las funciones de sustracción y captura de archivos, en donde se eliminaron funciones existentes como el registro de teclas y la minería de criptomonedas con el fin de reducir las posibilidades de detección.
Tras haber recopilado la información, esta es enviada en un archivo comprimido a través de HTTPS utilizando la API de Telegram, lo que marca un abuso continuo de la plataforma de mensajería.
Una vez que los datos se han transmitido con éxito al atacante, el archivo se auto elimina del sistema infectado para terminar la ejecución.
 

CryptoClippy: nuevo malware en Clipper dirigido a usuarios de criptomonedas portuguesas  

CryptoClippy es un nuevo malware que está afectando a usuarios Portugueses y es capaz de robar criptomonedas como parte de una campaña de publicidad maliciosa, utilizando la técnica de envenenamiento del SEO. Esta consiste en posicionar un dominio aparentemente legítimo en los primeros resultados de búsqueda de internet, con esto las víctimas no se dan cuenta que son sitios fraudulentos y acceden a los enlaces maliciosos que contienen malware. En este caso se estaba incitando a acceder a un sitio de “WhatsApp Web” fraudulento.
Este malware es un ejecutable basado en C, es un tipo de cryware conocido como malware clipper que monitorea el portapapeles de una víctima, en este caso buscando direcciones de criptomonedas legítimas, para sustituirla por otras con una dirección de billetera bajo el control del actor de amenazas.
Cuando la víctima pega la dirección del portapapeles para realizar una transacción, en realidad está enviando criptomonedas directamente al actor de la amenaza, concretando así el robo de criptomonedas.
 

Los archivos WinRAR SFX pueden ejecutar PowerShell sin ser detectados  

Investigadores han detectado que ciber actores de amenazas están agregando funciones maliciosas a los archivos autoextraíbles de WinRAR que contienen archivos inofensivos, esto les permite instalar puertas traseras sin activar el agente de seguridad en el sistema de destino.
Un atacante utilizó credenciales robadas para abusar de ”utilman[.]exe” y lo configuró para iniciar un archivo SFX protegido con contraseña que se había instalado en el sistema anteriormente.
La función real del archivo SFX es abusar de las opciones de configuración de WinRAR para ejecutar PowerShell, el símbolo del sistema de Windows (cmd[.]exe) y el administrador de tareas con privilegios del sistema.
Si bien no hay malware en el archivo, el actor de amenazas agregó comandos en el menú de configuración para crear un archivo SFX que abriría una puerta trasera en el sistema.
Existen altas probabilidades que este tipo de ataque no sea detectado por el software antivirus tradicional que busca malware dentro de un archivo (que a menudo también está protegido con contraseña) en lugar del comportamiento de un descompresor de archivo SFX.
Es aconsejable que los usuarios presten especial atención a los archivos SFX y utilicen el software adecuado para verificar el contenido del archivo y buscar posibles scripts o comandos programados para ejecutarse en la extracción.

Campaña masiva de “Balada Injector” atacando sitios de WordPress desde 2017  

Una nueva amenaza llamada Balada Inyector, es la que tiene comprometidos alrededor de 1 millón de sitios de WordPress que estaría explotando vulnerabilidades de complementos conocidos recientemente, con el objetivo de inyectar una puerta trasera (Backdoor) de Linux.
Esta campaña buscaría redirigir a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas de notificaciones automáticas.
Los métodos de inyección observados por los investigadores incluyen hacks de site URL, inyecciones de HTML, inyecciones de bases de datos e inyecciones de archivos arbitrarios.
Los scripts de Balada se enfocan en filtrar información confidencial como las credenciales de la base de datos de los archivos wp-config[.]php, copias de seguridad de archivos, registros de acceso, información de depuración, por lo que incluso si el propietario del sitio elimina una infección y parcha sus complementos, el atacante mantiene su acceso.

Super FabriXss: una vulnerabilidad RCE en Azure Service Fabric Explorer  

Si bien esta vulnerabilidad ya fue informada el martes de parches de marzo de 2023 . La base de datos de vulnerabilidades y exposiciones comunes (CVE) enumera las fallas de seguridad informática divulgadas públicamente. Esta vulnerabilidad recientemente descubierta aparece como  CVE-2023-23383  con una puntuación CVSS de 8.2 sobre 10.
El investigador detrás de esta brecha de seguridad, muestra que es posible encontrar nuevas vulnerabilidades de Cross-Site Scripting (XSS), la vulnerabilidad Super FabriXss permite a los atacantes remotos aprovechar una debilidad de tipo XSS para lograr la ejecución remota de código (RCE) en un contenedor alojado en un nodo de Service Fabric sin necesidad de autenticación.
 

HP está reparando un error crítico en las impresoras LaserJet  

Esta vulnerabilidad afecta a unos 50 modelos de impresoras HP Enterprise LaserJet y HP LaserJet Managed Printers, ya posee un CVE asignado como CVE-2023-1707. HP le asignó una puntuación de gravedad de 9.1 sobre 10 utilizando el estándar CVSS v3.1 y señala que de ser explotada podría dar lugar a la divulgación de información.
A pesar de la alta puntuación, existe un contexto de explotación restrictivo, ya que los dispositivos vulnerables deben ejecutar la versión 5.6 del firmware FutureSmart y tener habilitado IPsec.
IPsec (Seguridad de protocolo de Internet) es un conjunto de protocolos de seguridad de red IP utilizado actualmente en redes corporativas para proteger las comunicaciones remotas o internas y evitar el acceso no autorizado de terceros a los activos e impresoras.
HP informó que se lanzará una actualización de firmware para abordar la vulnerabilidad dentro de los 90 días, por lo que actualmente no hay una solución disponible.
La mitigación recomendada para los clientes que ejecutan FutureSmart 5.6 es degradar su versión de firmware a FS 5.5.0.3.


CISA advierte sobre error de Zimbra que ha sido explotado en ataques contra países de la OTAN  

Una vulnerabilidad de Zimbra identificada con el  CVE-2022-27926 fue explotada por un grupo de ciber actores ruso rastreado como Winter Vivern y TA473 a través de múltiples ataques dirigidos contra portales de correo web de gobiernos pertenecientes a la OTAN, con el objetivo de acceder a los buzones de correo electrónico de funcionarios, gobiernos, personal militar y diplomáticos.
Se ha detectado que estos ataques comienzan cuando los ciber actores de Winter Vivern comienzan a utilizar el escáner de vulnerabilidades de Acunetix para encontrar servidores ZCS vulnerables, para luego enviar a los usuarios correos electrónicos de phishing que falsifican a los remitentes con los que los destinatarios están familiarizados.
También realizan ataques con exploit, las URL también contienen un fragmento de JavaScript que descargará una carga útil de segunda etapa, para lanzar un ataque de falsificación de solicitud entre sitios (CSRF) robando las credenciales de los usuarios de Zimbra y los tokens CSRF.


Múltiples vulnerabilidades en productos de Autodesk  

Investigadores han informado de 6 vulnerabilidades de severidad alta.
La explotación de estas vulnerabilidades podría permitir a un atacante realizar una ejecución de código, una denegación de servicio o una divulgación de información.
Solución para Autodesk Maya USD Plugin: actualizar a la versión 0.23.0.
Solución para Autodesk® FBX® SDK: actualizar a la versión 2020.3.4.


Cisco publica nuevos avisos de seguridad que afectan a sus productos  

Cisco ha publicado 12 nuevos avisos de seguridad que contemplan 33 vulnerabilidades, las cuales se clasifican en 5 de severidad Alta y 28 de severidad Media.
Las vulnerabilidades de gravedad alta están relacionadas con ejecución remota de código (RCE) e inyección de comandos en algunos de sus productos.


Nuevas vulnerabilidades afectan a productos Trellix  

Trellix ha publicado un nuevo aviso de seguridad que contiene 2 vulnerabilidades, las cuales se clasifican como 1 de  severidad alta y 1 de severidad media. Estas afectan al producto Trellix Agent.
La de gravedad alta afecta a Trellix Agent para Windows versión 5.7.8 y anteriores , que permite a los usuarios locales, durante el flujo de trabajo de install/upgrade, reemplazar uno de los ejecutables del agente antes de que pueda ejecutarse. Esto permite al usuario elevar sus permisos.
La de gravedad media es de desbordamiento basado en almacenamiento dinámico en Trellix Agent (Windows y Linux) versión 5.7.8 y anteriores, permite que un usuario remoto altere el almacenamiento dinámico de la página en el bloque de memoria del proceso “macmnsvc” que da como resultado el servicio dejando de estar disponible.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 10 al 16 de abril de 2023.

Objetivos observados durante semana de análisis:

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Servicios legales y profesionales
• Educación
• Agricultura, ganadería, silvicultura y pesca - consumo
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Agricultura, ganadería, silvicultura y pesca - producción
• Retail y servicios de consumo
• Organizaciones sin fines de lucro
• Gobierno
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Shipment y cadena de suministros
• Petróleo
• Turismo, hoteles y restaurantes
• Transportes y servicios automotrices

• Banca y Finanzas
• Gobierno
• Defensa y orden público
• Infraestructura tecnológica - Componentes

• Industrias manufactureras, materiales y minería
• Retail y servicios de consumo
• Educación
• Servicios empresariales y comercio

• Servicios legales y profesionales
• Defensa y orden público
• Entretenimiento, cultura y arte
• Servicios de salud, sociales y farmacia.
• Petróleo

• Agricultura, ganadería, silvicultura y pesca - producción
• Construcción e inmobiliaria
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Servicios empresariales y comercio

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.