#CyberSecurityReport21H1: Más de 246 millones de eventos de ciberseguridad OT detectados en seis mesesÁrea de Innovación y Laboratorio de Telefónica Tech 21 julio, 2021 Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en Telefónica Tech queremos marcar una diferencia. Desde el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe sobre ciberseguridad que sintetiza lo más destacado de la primera mitad de 2021. Su filosofía es ofrecer una visión global, concreta y útil sobre los datos y hechos más relevantes sobre ciberseguridad, y está pensado para ser consumido tanto por profesionales como aficionados de una manera sencilla y visualmente atractiva. El objetivo de este informe es resumir la información sobre ciberseguridad de los últimos meses tomando un punto de vista que abarque la mayoría de los aspectos de esta disciplina, para así ayudar al lector a comprender los riesgos del panorama actual. La información recogida se basa, en buena parte, en la recopilación y síntesis de datos internos, contrastados con información pública de fuentes que consideramos de calidad. Extraemos a continuación algunos puntos que nos resultan importantes. Seguridad Móvil El primer semestre de 2021 se ha cerrado con más de 200 vulnerabilidades parcheadas en iOS, de las cuales, casi 50 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema. Típicamente, Google libera un grupo de parches se seguridad cada mes. Por lo que han sido publicados seis boletines que suman un total de 246 CVEs o vulnerabilidades corregidas en Android. 26 de ellas, críticas. Seguridad Windows En este período hemos analizado 384 vulnerabilidades acreditadas de un total de más de 440. De todas ellas hemos extraído su gravedad a través del CVSS oficial del NIST. Entendemos que la mayoría de los fallos no acreditados pueden provenir de vulnerabilidades encontradas en 0-days u otras circunstancias en las que no se conoce al autor y no ha sido reportada de forma anónima. En estos casos, Microsoft no acredita a nadie en particular. Esta diferencia entre vulnerabilidades acreditadas y “no acreditadas”, que no es lo mismo que anónimas, se ve reflejada en el siguiente gráfico: Seguridad OT La siguiente información procede del sistema para la captura y análisis de amenazas en el ámbito OT, Aristeo. Aristeo incorpora una red de señuelos, fabricados con hardware industrial real, que aparentan ser sistemas industriales en producción real, y se comportan como tales, pero que están extrayendo toda la información sobre las amenazas que acceden al sistema. Con la información de todos los dispositivos desplegados en los distintos nodos-señuelos, Aristeo aplica relaciones e inteligencia para ir más allá del dato, pudiendo detectar proactivamente campañas, ataques dirigidos o sectorizados, vulnerabilidades 0-day, etc. Cada nodo-señuelo dispone de sus propias características y reproduce un proceso distinto. Por lo tanto, los protocolos, dispositivos, sectores productivos… cambian en cada uno de ellos. Además, los nodos están vivos, lo que implica que pueden experimentar alteraciones en su configuración a gusto del equipo de investigadores que trabajan con ellos, o del cliente que dispone de su uso temporal o permanente. Esta variabilidad puede generar ligeras discrepancias en los datos mostrados en este apartado si se comparan entre semestres. Más información en: https://aristeo.elevenlabs.tech Siempre se ha comentado que los delincuentes son los que mejor conocen la sociedad y sus realidades, su legislación… Cuando desplegamos el primer nodo de Aristeo, comenzamos a percibir una variación en los datos a medida que la pandemia iba aumentando o disminuyendo su incidencia. Decidimos analizar la información para comprobar si nuestra percepción era correcta. La respuesta es el siguiente gráfico, en el que se enfrentan los datos Covid con los datos de eventos de RDP en el mes de enero de 2021 separado por semanas. La S0 es la última de diciembre de 2020 (para observar el cambio desde el inicio de aquella ola). Los datos de las amenazas cibernéticas provienen en su totalidad de nuestro sistema, mientras que los datos sobre la amenaza que supone el SARS-COV-2 provienen de varios gobiernos y entidades investigadoras de reconocido prestigio. Los atacantes incrementaban el número de ataques contra los dispositivos que exponían un RDP (en nuestro caso, una bahía de ingeniería que controla el proceso industrial y sirve para administrar los dispositivos industriales en un nodo). Además, en el primer semestre de 2021 se detectaron más de 246 millones de eventos de ciberseguridad. Mayoritariamente, los eventos han estado relacionados con ataques de RDP más o menos sofisticados. La distribución por países sería la siguiente: A continuación, podemos observar el Top-10 de las direcciones IP con más interacción con el sistema de Aristeo y sus países de referencia. Accede al informe completo Descubierta una vulnerabilidad en Kubernetes que permite acceso a redes restringidas (CVE-2020-8562)Las personas, el centro de nuestra tecnología
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.