Cortando el “Machete”: Nuevo Malware dirigido a Latinoamérica

Existe un nuevo contrincante en el campo de combate al malware, y utiliza el nombre de “Machete”. Machete es un malware desarrollado en Latinoamérica aparentemente para el robo de información relacionada a entidades gubernamentales de nuestra región. Sabemos que Machete fue desarrollado en Latinoamérica por el uso de español en el código del malware y por la ubicación de la mayoría de sus víctimas reportadas.

Machete inició su campaña de ataques dirigidos en el año 2010 y en 2012 mejoró su infraestructura. Este malware ha afectado mayormente a víctimas en Ecuador y Venezuela, pero otros países de Latinoamérica también han sido enfocados en los ataques, además de algunas víctimas afectadas en países lejanos como Rusia y hasta Malasia. Entre los afectados se han reportado organizaciones militares y de inteligencia, embajadas y otras agencias gubernamentales. De las casi 800 infecciones encontradas en organizaciones del mundo, más de 700 fueron organizaciones de Latinoamérica.

Vicepresidente de Symantec: El Antivirus “Ha Muerto”

¿Cuán efectivos son los programas antivirus para proteger sus sistemas? Al parecer no mucho, si nos guiamos por la opinión de Brian Dye, Vicepresidente de Symantec. El alto ejecutivo de la empresa declaró en una reciente entrevista al periódico Wall Street Journal que la industria del antivirus “ha muerto”. 

Symantec, la primera compañía en comercializar soluciones antivirus hace más de 20 años y reconocida mundialmente por su programa Norton AntiVirus, ha decidido aplicar un nuevo enfoque al combate al crimen cibernético. Symantec ahora comenzará a enfocarse en minimizar los daños causados por las intrusiones, en identificar los atacantesy en reconocer la forma en que los ataques funcionan. En lugar de combatir a las amenazas con programas de antivirus, que efectivamente solo pueden encontrar amenazas previamente reconocidas en sus listas negras, este nuevo enfoque trata de no solo borrar software malicioso previamente reconocido, sino también en entender el proceso de acción del malware para minimizar el daño que ocasiona y entender cómo es que el daño fue ocasionado, permitiendo corregir la falla y evitando que algún otro malware que actúe de forma similarpueda producir daño. 

Porque Las Ciber Defensas Basadas En Firma Están Destinadas A Fallar

Nunca verá una alerta de su herramienta de información de seguridad y administrador de eventos (SIEM, por sus siglas en inglés) pasar por un día de “cero ataques”. No hay firma alguna en su lista negra del malware que fue hecha a medida para su organización y colonizado de manera secreta en su servidor de mail hace un mes. No hay indicador, no hay coincidencia de patrón, no hay alerta.

¿Por qué es este el caso? Porque el malware está en constante cambio y porque las mentes sofisticadas y dedicadas bajo estos “sombreros negros” están trabajando noche y día para diseñar una brecha de datos específico para cada organización que decide invadir. Cuando le golpea, será la primera vez que aquella firma ha sido vista.

Esta es la razón por la cual algunas agencias de investigación nacional y líderes de seguridad informática corporativa están llamando a los equipos de seguridad a comenzar a operar bajo la asunción de que ya se encuentran comprometidos. De hecho, la próxima gran amenaza puede que venga de dentro de su organización, usando credenciales válidas y filtradas. En esta nueva realidad, incluso los enfoques de defensa del perímetro más robusto llegan a pelear apenas media batalla.

Art Coviello en el RSA: Es Hora de que Todos Tomemos Parte en las Amenazas Cibernéticas y Privacidad

El jefe de RSA, Art Coviello, tuvo mucho que cubrir en una conferencia fundamental del RSA esta semana. De hecho, el tuvo tanto para decir que desechó su discurso rutinario y fue directamente al grano: el involucramiento de su organización con la NSA, la urgencia de un panorama de ciber amenazas y cómo todos deberíamos estar haciendo mucho, mucho más para colaborar como una comunidad de seguridad.

Coviello comenzó la charla con el primer problema directo al negar alegaciones que su empresa tomó 10 millones de la NSA para crear una “puerta trasera” dentro de su software e hizo énfasis en que sus proyectos conjuntos jamás fueron secretos. El dice que, como otras organizaciones comerciales que trabajan con el gobierno, la RSA usó el algoritmo de encriptación (defectuoso) que nombraron de manera que llegue a cumplir sus requerimientos de certificación, luego lo quitaron cuando la NIST dijo que debían. También pasó unos minutos discutiendo la dualidad de la naturaleza de la NSA, la diferencia entre sus dos motivos de recopilamiento de inteligencia (ofensa) y la seguridad de la información (defensa), reiterando el llamado para dividirlas en dos agencias distintas.

EnCase Ayuda en la Detección de Corrupción

En la actualidad, un tema común en países latinoamericanos y países en vías de desarrollo de todo el mundo es el índice de corrupción elevado que existe en ellos. Las personas cometiendo este tipo de actos criminales buscan ya sea perjudicar una organización, institución o entidad sacando algún provecho (económico en muchos casos) de los mismos para beneficios propios o encomendados por terceros.

La corrupción no es un tema que debe ser tomado de manera leve, desafortunadamente en muchas ocasiones es tratada de esta manera, el ejemplo más claro, son los análisis superficiales que se realizan como respuesta a una alerta en las organizaciones. Las personas que cometen el delito de corrupción generalmente utilizan las mismas tecnologías que usan de manera diaria para comunicarse, comentar, llevar registros de lo que van haciendo, realizar doble contabilidad en algunas ocasiones, entre otros. Es por ésta razón que los laboratorios de informática forense, en su gran mayoría del estado, reciben bastantes casos en los que utilizan dispositivos de almacenamiento digital (USB, discos duros, medios ópticos, tarjetas flash, etc) para acciones de corrupción. 

Amenazas Internas en las Agencias Gubernamentales: Seguridad de Dispositivos y Análisis Humano

Manning, Snowden, Wikileaks… encabezados recientes han hecho que los peligros de las amenazas internas en agencias gubernamentales han hecho que prestemos aún más atención al tema. El riesgo de brechas de seguridad intencional en estas agencias es un problema crítico, pero ciertamente no el único. En el último reporte del Instituto Ponemon, el Costo del Estudio del Cibercrimen 2013: Estados Unidos (enlace en inglés), encontró que más de un tercio de todas las brechas de seguridad en agencias del gobierno son causadas accidentalmente por empleados internos. Intencional o no, ambas son problemáticas.