top of page

¿Cómo se propaga el Malware? Las 5 Formas principales en que el Malware ingresa a su Red


Un ataque de malware exitoso puede ser muy disruptivo para las operaciones diarias de una organización. Y con cientos de miles de nuevas muestras maliciosas creadas todos los días, nunca ha sido más importante que las empresas sean proactivas cuando se trata de combatir el malware.


En esta publicación de blog, exploraremos las formas más comunes en que se distribuye el malware y le proporcionaremos pasos prácticos que puede tomar hoy para proteger la red de su organización.


1. Suplantación de identidad (Phishing)

El phishing es una forma de ingeniería social mediante la cual los atacantes se hacen pasar por una entidad de confianza con el objetivo de engañar al objetivo para que revele información confidencial o instale malware. Los ataques de phishing se envían más comúnmente por correo electrónico (¡alrededor de 3.400 millones de correos electrónicos de phishing se envían todos los días!), Pero también se pueden distribuir a través de mensajes de texto, aplicaciones de redes sociales y llamadas telefónicas.


El phishing puede tomar muchas formas. Por lo general, un atacante puede enviar un correo electrónico que parece provenir de una fuente confiable, como un banco, una agencia gubernamental o una tienda de comercio electrónico importante, solicitando que el usuario haga clic en un enlace o descargue un archivo adjunto. Hacer clic en el enlace o abrir el archivo adjunto desencadena la descarga y ejecución de malware.


La selección de objetivos también varía mucho entre las campañas de phishing. Con un ataque de phishing tradicional, los actores de amenazas distribuyen mensajes de phishing a granel a miles o incluso millones de personas. Spear phishing es más selectivo e implica apuntar a miembros específicos de una organización en particular para obtener acceso a datos de alto valor. Los ataques balleneros vuelven a ser más selectivos y, por lo general, se utilizan para concentrarse en personas de alto rango que tienen acceso de alto nivel a información confidencial.


Cómo prevenir los ataques de phishing

  • Filtrado web: algunas soluciones de ciberseguridad pueden ayudar a prevenir ataques de phishing al bloquear el acceso a sitios web que se sabe que son maliciosos. Emsisoft Anti-Malware, por ejemplo, mantiene una base de datos masiva de hosts maliciosos y peligrosos recopilados de listas públicas, envíos de usuarios verificados y una red de organizaciones de inteligencia especializadas. La base de datos se actualiza continuamente para garantizar que los usuarios estén protegidos contra las últimas amenazas de phishing. Cuando un usuario intenta acceder a un sitio web malicioso, Emsisoft Anti-Malware bloquea la conexión para evitar el intercambio de datos.

  • Capacitación del personal: el phishing funciona al explotar las tendencias humanas naturales, lo que hace que la educación del personal sea una de las formas más efectivas de mitigación. El personal de todos los niveles de la organización debe estar capacitado para reconocer los signos potenciales de una estafa de phishing, como errores tipográficos, errores gramaticales, direcciones URL mal escritas y archivos adjuntos de correo electrónico no solicitados. Los procesos de escalamiento deben documentarse y difundirse para que el personal sepa a quién informar los correos electrónicos sospechosos y los incidentes de phishing, lo que a su vez puede ayudar a los equipos de TI a responder mejor a las amenazas y rastrear los patrones de phishing. Debido a que las técnicas de phishing cambian continuamente, se debe realizar capacitación periódicamente para garantizar que los equipos estén familiarizados con las tácticas más recientes.

  • Autenticación de correo electrónico: existen varios protocolos de autenticación de correo electrónico que las empresas pueden usar para verificar la autenticidad de los correos electrónicos, asegurándose de que provengan de remitentes legítimos y no hayan sido manipulados.

    • Marco de política del remitente (SPF): permite a los propietarios de dominios especificar qué direcciones IP están autorizadas para enviar correos electrónicos en su nombre.

    • DomainKeys Identified Mail (DKIM): utiliza firmas digitales para verificar que un mensaje de correo electrónico fue enviado por un remitente autorizado y no ha sido manipulado durante el tránsito.

    • Autenticación, informes y conformidad de mensajes basados en dominios (DMARC): se basa en SPF y DKIM para proporcionar una autenticación de correo electrónico más sólida. DMARC permite a los propietarios de dominios especificar cómo se deben manejar sus correos electrónicos si fallan las verificaciones de SPF o DKIM.

2. Credenciales comprometidas

Los actores de amenazas utilizan una variedad de métodos para obtener las credenciales de inicio de sesión. Pueden comprar contraseñas en la dark web o pueden engañar a sus usuarios para que entreguen sus contraseñas en sitios de phishing que se parecen mucho a los sitios web de organizaciones acreditadas. Podrían instalar silenciosamente un registrador de teclas en su sistema que registre automáticamente las pulsaciones de teclas, o podrían ir por la ruta de la fuerza bruta, utilizando herramientas automatizadas para intentar iniciar sesión en las cuentas de usuario utilizando todas las combinaciones de caracteres posibles hasta que se descifre la contraseña.


Una vez que las credenciales de inicio de sesión se han visto comprometidas, los atacantes pueden hacer más o menos cualquier cosa dentro de los privilegios de la cuenta pirateada. En algunos escenarios, los actores de amenazas pueden implementar malware de inmediato; en otros casos, pueden esperar su momento, aumentando los privilegios, moviéndose lateralmente dentro de la red y, en general, preparando el entorno para maximizar el impacto de un ataque.


Cómo mantener seguras las credenciales

  • Autenticación de dos factores (2FA): 2FA agrega una capa adicional de seguridad al requerir que los usuarios proporcionen dos formas de autenticación para acceder a sus cuentas. Esto generalmente incluye una contraseña y un código enviado por mensaje de texto o generado por una aplicación. En el caso de que las credenciales de un miembro del personal se vean comprometidas, los actores de amenazas aún no podrán acceder a la cuenta sin la forma secundaria de autenticación.

  • Administradores de contraseñas: hacer un seguimiento de los innumerables nombres de usuario y contraseñas que componen nuestra vida digital es más fácil decirlo que hacerlo. Por lo tanto, no sorprende que muchas personas recurran a usar la misma contraseña para varias cuentas. El riesgo aquí es que si las credenciales de inicio de sesión de una cuenta se ven comprometidas, los actores de amenazas pueden acceder fácilmente a otra cuenta usando las mismas credenciales. Mitigue este riesgo fomentando el uso de un administrador de contraseñas de confianza, que ayuda a los usuarios a almacenar de forma segura todas sus contraseñas en un espacio seguro.

  • Principio de privilegio mínimo: El principio de privilegio mínimo es un concepto de seguridad que implica otorgar a los usuarios el nivel mínimo de acceso requerido para realizar su función laboral. En otras palabras, cada cuenta de usuario solo debe tener los permisos y acceso necesarios para realizar sus tareas específicas, y nada más. Esto ayuda a limitar el impacto de un incidente; si las credenciales de inicio de sesión de un usuario se ven comprometidas, los atacantes solo tendrán acceso a los sistemas y datos para los que el usuario tiene permisos.

3. Paquetes de explotación

Un kit de explotación es un conjunto de herramientas que los actores de amenazas utilizan para detectar y explotar vulnerabilidades de seguridad conocidas en el software del lado del cliente, incluido el sistema operativo, el navegador y otras aplicaciones. Una vez que se ha detectado la falla de seguridad, el kit de explotación despliega automáticamente malware dirigido diseñado para aprovechar esa falla en particular.


Los actores de amenazas suelen alojar kits de explotación en sitios web comprometidos. Cuando un usuario visita un sitio web que ha sido comprometido, el kit de explotación escanea el sistema en busca de vulnerabilidades e intenta explotarlas automáticamente para enviar malware al sistema.


Esto se conoce como descarga oculta. Las descargas ocultas son únicas en el sentido de que no requieren una acción iniciada por el usuario para desencadenar la cadena de infección: ¡simplemente visitar el sitio web comprometido es suficiente para infectarse con malware!


Cómo evitar los kits de explotación

  • Aplicar actualizaciones: la mayoría de los kits de explotación funcionan aprovechando las vulnerabilidades de seguridad conocidas, es decir, las vulnerabilidades que ya se han solucionado. Mantenga su sistema seguro siendo proactivo con la administración de parches y siempre aplicando actualizaciones de seguridad importantes de manera oportuna. Cuanto más tiempo pase sin instalar actualizaciones de seguridad, más probable es que sea víctima de un exploit.

  • Refuerce su sistema: solo instale el software que sea necesario para la función de trabajo de cada individuo. Audite su pila de software actual y elimine las aplicaciones innecesarias, incluidas las extensiones de navegador y las herramientas del sistema superfluas.

4. Proveedores de servicios gestionados comprometidos

Los proveedores de servicios administrados (MSP) son objetivos atractivos para los ciberdelincuentes porque son responsables de administrar de forma remota la infraestructura de TI de varios clientes. Al comprometer con éxito un solo MSP, los actores de amenazas a menudo pueden obtener acceso a las redes de la base de clientes del MSP y utilizar la infraestructura del MSP, a menudo software de administración y monitoreo remoto (RMM), para implementar malware en múltiples objetivos a la vez.


Para los MSP, el impacto potencial de un compromiso es enorme. Los MSP deben implementar medidas de seguridad sólidas para protegerse a sí mismos y a sus clientes, lo que podría incluir la implementación de autenticación multifactor, el monitoreo de actividades inusuales y la realización periódica de auditorías de seguridad y escaneos de vulnerabilidades. Además, los MSP deben asegurarse de contar con un sólido plan de respuesta a incidentes en caso de una brecha de seguridad.


Cómo mitigar el malware entregado a través de MSP

  • Sea selectivo: los proveedores de software con los que elija trabajar pueden tener un impacto directo en la seguridad de su negocio, la integridad de sus datos y la reputación de su negocio. Entonces, sé selectivo. Al considerar un posible MSP, discuta sus preocupaciones. Pregunte acerca de sus credenciales. Mira su historial. ¿Cuentan con un plan de respuesta a incidentes? ¿Con qué marcos o estructuras de cumplimiento se alinean? ¿Con qué frecuencia auditan sus procesos de seguridad? Póngalo todo por escrito en sus acuerdos de servicio para garantizar que sus proveedores mantengan los estándares de ciberseguridad.

  • Use 2FA en el software RMM: si bien no es infalible, 2FA es una forma simple y efectiva de reducir el riesgo de una violación de seguridad a través del software RMM comprometido.

5. Software pirateado

El uso de software pirateado no solo es ilegal, sino que también es una fuente común de malware. Los actores de amenazas a menudo usan software pirateado como vehículo para entregar una amplia gama de malware, incluidos keyloggers, ransomware, troyanos, backdoors, cryptojackers, adware y más.


En algunos casos, el software podría funcionar realmente como se anuncia mientras entrega silenciosamente la carga útil maliciosa en segundo plano. En otros escenarios, los actores de amenazas pueden crear versiones falsas de software popular que no tienen otra función que infectar a los usuarios con malware. De hecho, incluso el software legítimo a veces puede incluir malware o software potencialmente no deseado.


Cómo evitar infecciones de malware de software pirateado

  • Evite el software pirateado: simplemente no vale la pena. Además del riesgo de infecciones de malware, el software pirateado generalmente no recibe actualizaciones oportunas, lo que significa que podría perderse importantes parches de seguridad que podrían hacer que sus aplicaciones sean vulnerables a la explotación en el futuro. Hay tantas aplicaciones, juegos y herramientas de software gratuitos (o freemium) que simplemente no tiene sentido seguir entrometiéndose con software pirateado.

  • Ni siquiera navegue: los sitios web que alojan software pirateado a menudo están plagados de anuncios que pueden redirigir a los usuarios a sitios web maliciosos o engañarlos para que descarguen e instalen malware. Mantenerse alejado.

Llevar

Los actores de amenazas utilizan una variedad de canales para distribuir malware, incluidos ataques de phishing, credenciales comprometidas, kits de explotación, MSP comprometidos y software pirateado. Es importante conocer estos vectores de ataque y tomar las precauciones necesarias para proteger su red.



Comments


Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!