Un informe revela que hay menos ataques de ransomware que cifran datos.
El ransomware ha sido una gran amenaza para las empresas durante años, pero las tácticas de los ciberdelincuentes han evolucionado con el tiempo. El nuevo informe destaca uno de los ejemplos más significativos de esta evolución: la disminución del cifrado de datos en un ataque de ransomware.
La cifra del 50% que Sophos encontró este año representa un marcado descenso con respecto al año pasado, cuando el 70% de los ataques implicaban cifrado de datos. Este hallazgo sugiere que, según Sophos, «las organizaciones tienen mayor capacidad para detener los ataques antes de que se implemente la carga útil cifrada». El cifrado afectó con mayor gravedad a las grandes organizaciones (entre 3001 y 5000 empleados), que experimentaron el problema en el 65% de los ataques. Esto podría deberse a que, según Sophos, su tamaño dificulta la detección y el bloqueo de los intentos de cifrado.
Mientras que el cifrado pierde popularidad, los ataques exclusivamente extorsivos están en aumento. El número de estos ciberataques se duplicó este año, alcanzando el 6%, según el informe. Las organizaciones más pequeñas fueron más propensas a sufrir este tipo de ataque: el 13% de las empresas con entre 100 y 250 empleados reportaron haber sufrido uno, en comparación con el 3% de las empresas con entre 3001 y 5000 empleados.
Allan Liska, analista de inteligencia de amenazas y experto en ransomware de Recorded Future, declaró a Cybersecurity Dive que el informe de Sophos coincidía en gran medida con los hallazgos de su propia empresa sobre las tendencias de ataque, con una notable excepción. Sophos descubrió que los actores de ransomware accedían con mayor frecuencia a los sistemas de las víctimas explotando vulnerabilidades de software, pero según Liska, «la mayoría de los informes indican que las credenciales filtradas o robadas son el vector de ataque inicial».
Sophos descubrió que el porcentaje de ataques que comienzan con la vulneración de credenciales se redujo del 29 % el año pasado al 23 % este año. Liska señaló que las distintas firmas de investigación tienen diferentes perspectivas sobre la superficie de ataque.
Los ataques de ransomware tienen consecuencias humanas duraderas , como destaca el informe de Sophos. La compañía descubrió que el 41 % de los trabajadores de TI y ciberseguridad experimentaron más estrés o ansiedad ante futuros ataques tras responder a uno.
“Esto no es inesperado, pero a menudo no se contempla en los planes de respuesta a incidentes”, afirmó Liska de Recorded Future. “Las organizaciones deberían pensar en cómo ayudarán al personal de respuesta a incidentes a gestionar el estrés de la recuperación tras un ataque”.
Desde malware hasta deepfakes, la IA generativa está transformando los ataques.
Desde malware hasta deepfakes, la IA generativa está transformando los ataques
La IA generativa incluso está ayudando a los piratas informáticos a engañar a los desarrolladores de código abierto para que utilicen código malicioso, según Gartner.
NATIONAL HARBOR, Maryland — La inteligencia artificial está impulsando las operaciones de los hackers, desde la creación de malware hasta la preparación de mensajes de phishing. Sin embargo, el tan publicitado impacto de la IA generativa tiene sus límites, afirmó un experto en ciberseguridad en una conferencia del sector celebrada aquí el lunes.
“La IA generativa “se está utilizando para mejorar la ingeniería social y la automatización de ataques, pero en realidad no ha introducido técnicas de ataque novedosas”, dijo Peter Firstbrook, distinguido analista vicepresidente de Gartner, en la Cumbre de Seguridad y Gestión de Riesgos de su empresa.
Los expertos han predicho que la IA revolucionará la capacidad de los atacantes para desarrollar herramientas de intrusión personalizadas, reduciendo la cantidad de tiempo que le toma incluso a los piratas informáticos novatos compilar malware capaz de robar información, registrar la actividad de la computadora o borrar discos duros.
“No hay duda de que los asistentes de código de IA son una aplicación revolucionaria para la generación de IA”, afirmó Firstbrook. “Observamos enormes aumentos de productividad”.
En septiembre, investigadores de HP informaron que hackers habían usado IA para crear un troyano de acceso remoto . Refiriéndose a dicho informe, Firstbrook afirmó: «Es difícil creer que los atacantes no vayan a aprovechar el uso de IA de última generación para crear nuevo malware. Estamos empezando a verlo».
Los atacantes también están utilizando la IA de una manera aún más insidiosa: creando utilidades de código abierto falsas y engañando a los desarrolladores para que incorporen, sin saberlo, el código malicioso en sus aplicaciones legítimas.
“Si un desarrollador no tiene cuidado y descarga la utilidad de código abierto equivocada, su código podría sufrir una puerta trasera incluso antes de llegar a producción”, dijo Firstbrook.
Los piratas informáticos podrían haber hecho esto antes de la IA, pero la nueva tecnología les permite saturar repositorios de código como GitHub, que no pueden eliminar los paquetes maliciosos con la suficiente rapidez.
“Es un juego del gato y el ratón”, dijo Firstbrook, “y la inteligencia artificial les permite ser más rápidos a la hora de ofrecer estos servicios públicos”.
Los deepfakes siguen siendo poco comunes
La integración de la IA en las campañas tradicionales de phishing es una amenaza creciente, pero hasta el momento, su impacto parece ser limitado. Gartner descubrió en una encuesta reciente que el 28 % de las organizaciones habían sufrido un ataque de audio deepfake; el 21 % un ataque de vídeo deepfake; y el 19 % un ataque de medios deepfake que eludía las protecciones biométricas. Aun así, solo el 5 % de las organizaciones han sufrido ataques deepfake que resultaron en el robo de dinero o propiedad intelectual.
Aun así, dijo Firstbrook, “Esta es una gran área nueva”.
A los analistas les preocupa el potencial de la IA para que ciertos tipos de ataques sean mucho más rentables debido al volumen de ataques que puede generar. “Si soy vendedor y normalmente necesito 100 consultas para obtener un ‘sí’, ¿qué hago? Si hago 200, duplico mis ventas”, dijo Firstbrook. “Lo mismo ocurre con estos. Si pueden automatizar todo el espectro del ataque, pueden actuar con mucha más rapidez”.
Al menos un temor relacionado con la IA de la Generación Z parece exagerado, al menos por ahora. Los investigadores aún no han observado que cree técnicas de ataque completamente nuevas.
“Hasta ahora, eso no ha sucedido”, dijo Firstbrook, “pero es justo lo que nos preocupa”.
Firstbrook mencionó datos del marco MITRE ATT&CK, que cataloga las estrategias que los hackers han desarrollado para penetrar los sistemas informáticos. «Solo encontramos una o dos técnicas de ataque nuevas cada año», afirmó.
Por qué los equipos de TI bajo presión buscan acceder a los logs para obtener respuesta.
Por qué los equipos de TI bajo presión buscan acceder a los logs para obtener respuestas.
El gasto en ciberseguridad está aumentando, pero también lo hace la presión sobre los equipos de TI y seguridad. Gartner proyecta que los presupuestos globales de ciberseguridad ascenderán a 212 000 millones de dólares este año, lo que supone un aumento del 15 % con respecto a 2024. Sin embargo, a pesar del aumento del gasto en este ámbito, muchas organizaciones aún se enfrentan a la escasez de talento de TI, a deficiencias operativas y a una creciente presión para adaptarse al entorno de amenazas en constante aumento.
Según la Asociación de Auditoría y Control de Sistemas de Información (ISACA), más de la mitad (51%) de los profesionales de ciberseguridad afirmó que, a pesar del aumento, sus presupuestos siguen estando infrafinanciados, y el 47% prevé un ciberataque en su organización este año. Para compensar las dificultades de personal interno y cubrir estas carencias cruciales, las organizaciones recurren cada vez más a proveedores de servicios gestionados y consultores de seguridad externos. Si bien esto ofrece apoyo, también presenta nuevos desafíos: más usuarios remotos, más endpoints y mayor complejidad en un ecosistema ya fragmentado. A medida que se expanden los entornos híbridos y se aceleran los esfuerzos de modernización digital, la capacidad de detectar y actuar sobre lo que sucede en todos los usuarios, dispositivos y sistemas es esencial para cumplir con los estándares de cumplimiento y seguridad, y prepararse para la próxima amenaza.
Particularmente en entornos de dispositivos compartidos, sobre todo aquellos que abarcan sistemas heredados, locales y en la nube, los datos y análisis de gestión de acceso pueden proporcionar información práctica y en tiempo real sobre toda la actividad crítica de la organización. Al evolucionar la monitorización más allá de un registro de auditoría estático o obsoleto, cada vez más organizaciones utilizan los datos de logs de acceso como un activo estratégico, capaz de detectar ineficiencias, reducir riesgos y facilitar una toma de decisiones más inteligente y rápida en todos los sistemas de TI y operaciones comerciales críticas.
El valor desaprovechado de los datos de acceso
Los logs de acceso se han utilizado tradicionalmente para el cumplimiento normativo, como documentos puntuales recopilados y almacenados para auditorías. Sin embargo, al analizarlos a través del análisis de datos procesables, estos mismos logs se convierten en una fuente de información en tiempo real. Se captura cada inicio de sesión, autenticación o intento de acceso denegado, lo que proporciona visibilidad sobre las dificultades y las brechas de acceso, dónde los sistemas tienen un rendimiento deficiente, dónde se infiltran riesgos y dónde los recursos podrían estar desalineados.
Este tipo de inteligencia operativa es fundamental en el panorama de amenazas actual: en 2024, el 95 % de las infracciones se debieron a errores humanos y casi el 43 % de las organizaciones experimentaron un aumento en las amenazas internas o filtraciones de datos iniciadas por empleados comprometidos, descuidados o negligentes, según un informe de Mimecast de 2025 .
Hacer más con lo que ya tienes
A medida que los equipos se esfuerzan por dar soporte a más usuarios y tecnologías con menos recursos internos y un panorama de amenazas en expansión, la capacidad de hacer más con lo que ya se tiene se convierte en una ventaja competitiva.
Al aprovechar el análisis de acceso, los líderes pueden ir más allá de la resolución reactiva de problemas para descubrir patrones significativos en toda la organización, lo que les ayuda a tomar decisiones más intencionales. Los datos de acceso también pueden revelar cómo interactúan los proveedores y terceros con sistemas sensibles, si esos niveles de acceso son adecuados y cómo la automatización puede reemplazar los procesos manuales para reducir el riesgo y ahorrar tiempo valioso. Considerando que el 47% de las organizaciones reportaron haber sufrido una filtración de datos o un ciberataque que involucró a un tercero que accedió a su red en los últimos 12 meses, según un informe de Imprivata de 2025 , este nivel de inteligencia es clave para que los equipos puedan escalar de forma eficaz y segura.
Ver más, asegurar más
La gestión de acceso es un elemento fundamental de la seguridad de una organización y, gracias al análisis de acceso, se ha convertido en una herramienta que ayuda a las organizaciones a planificar el futuro. A medida que se intensifica el control presupuestario, los entornos se vuelven más complejos y persisten las limitaciones de recursos, los equipos de TI y seguridad más eficientes seguirán utilizando los datos de acceso como algo más que un simple registro de auditoría, sino como un recurso estratégico para optimizar las tecnologías y los flujos de trabajo existentes. En entornos de dispositivos compartidos, especialmente aquellos que abarcan sistemas heredados, en la nube y locales, la inteligencia de acceso unificada es esencial para mantener el control y la visibilidad total de todos los usuarios y endpoints, lo que ayuda a las organizaciones a escalar de forma segura, responder con agilidad y modernizarse con claridad y confianza.
El nuevo jailbreak con IA elude las barreras de seguridad con facilidad.
El nuevo jailbreak con IA elude las barreras de seguridad con facilidad.
El nuevo ataque “Echo Chamber” elude las protecciones avanzadas de LLM manipulando sutilmente el contexto conversacional, lo que demuestra una gran eficacia en los principales modelos de IA.
A través del envenenamiento progresivo y la manipulación del contexto operativo de un LLM, se puede engañar a muchos modelos líderes de IA para que proporcionen casi cualquier cosa, independientemente de las restricciones establecidas.
Desde sus inicios, los LLM han sido susceptibles a fugas de seguridad (jailbreaks): intentos de que el modelo gen-IA haga algo o proporcione información que podría ser perjudicial. Los desarrolladores de LLM han dificultado los jailbreaks añadiendo barreras de seguridad y filtros de contenido más sofisticados, mientras que los atacantes han respondido con jailbreaks cada vez más complejos y engañosos.
Uno de los tipos de jailbreak más exitosos ha sido la evolución de los jailbreaks multi-turno, que utilizan instrucciones conversacionales en lugar de instrucciones de una sola entrada. Hoy ha surgido un nuevo método, denominado Echo Chamber. Fue descubierto por NeuralTrust , una firma fundada en Barcelona, España, en 2024, y enfocada en proteger las implementaciones LLM de sus clientes contra este tipo de abusos.
Echo Chamber es similar, pero diferente, al jailbreak Crescendo de Microsoft. Este último formula preguntas e intenta inducir al LLM a una respuesta prohibida deseada. Echo Chamber nunca le indica al LLM adónde ir, sino que siembra “semillas” aceptables que guían progresivamente a la IA a proporcionar la respuesta requerida.
Fue descubierto por Ahmad Alobaid, investigador de NeuralTrust. Afirma que simplemente se topó con el proceso mientras realizaba pruebas en LLM (es su trabajo), pero no buscaba específicamente un nuevo jailbreak. “Al principio pensé que algo andaba mal, pero seguí insistiendo para ver qué pasaba”. Lo que sucedió fue la base de Echo Chamber. “Nunca imaginé que el LLM sería tan fácil de manipular”.
Echo Chamber funciona manipulando el contexto del LLM (lo que recuerda de una conversación para permitir una conversación coherente) mientras evita la llamada zona roja (consultas prohibidas) y permanece dentro de la zona verde (consultas aceptables). Desde la zona verde, se mantiene el contexto y la conversación puede continuar; pero si se entra en la zona roja, el LLM declina responder y se pierde el contexto. Los únicos criterios para el atacante son mantener el contexto en la zona verde, evitar la zona roja y completar el ataque dentro de los límites de tiempo o de consultas del contexto actual.
Entonces, para usar el ejemplo frecuentemente citado de obtener un LLM para explicar cómo construir un cóctel molotov, “molotov” dentro de una sola consulta es verde, “cóctel” es verde, pero “cóctel molotov” y “bomba” son rojos y deben evitarse.
El LLM responde porque no hay nada incorrecto en la solicitud. Al responder, esa respuesta se encuentra automáticamente en la zona verde y en un contexto de zona verde. El atacante puede entonces seleccionar esa respuesta, pero añadir palabras adicionales de la zona verde a la siguiente solicitud. La intención es aumentar sutilmente las respuestas más alineadas con la intención del ataque, iterativamente.
NeuralTrust describe este proceso como “semillas de dirección” o “ligeros impulsos semánticos que empiezan a cambiar el estado interno del modelo, sin revelar el objetivo final del atacante. Las indicaciones parecen inocuas y contextualmente apropiadas, pero están cuidadosamente diseñadas para preparar las asociaciones del modelo hacia tonos emocionales, temas o narrativas específicas”.
El ciclo de vida del ataque se puede definir como:
Definir el objetivo del ataque
Plante semillas venenosas (como ‘cóctel’ en el ejemplo de la bomba) mientras mantiene el mensaje general en la zona verde.
Invocar las semillas de dirección
Invocar un contexto envenenado (en ambas etapas de “invocación”, esto se hace indirectamente al solicitar más detalles sobre puntos específicos mencionados en respuestas anteriores del LLM, que están automáticamente en la zona verde y son aceptables dentro de los límites del LLM)
Encuentra el hilo en la conversación que pueda llevar al objetivo inicial, haciendo siempre referencia a él de forma oblicua.
Este proceso continúa en lo que se denomina el ciclo de persuasión. Las defensas del LLM se debilitan por la manipulación del contexto y la resistencia del modelo disminuye, lo que permite al atacante extraer información más sensible o dañina.
NeuralTrust ha realizado pruebas exhaustivas de este nuevo jailbreak contra múltiples modelos LLM (incluidos GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite y Gemini-2.5-flash), con 200 intentos por modelo. «Un jailbreak se consideró exitoso si el modelo generaba contenido dañino, restringido o que infringía las políticas sin generar un rechazo ni una advertencia de seguridad», afirma la empresa.
Los intentos de generar sexismo, violencia, discursos de odio y pornografía tuvieron una tasa de éxito superior al 90 %. La desinformación y las autolesiones tuvieron un éxito cercano al 80 %, mientras que las blasfemias y las actividades ilegales superaron el 40 %.
Un aspecto preocupante de Echo Chamber es su facilidad de uso y velocidad de operación. Requiere poca o ninguna experiencia técnica, es fácil de usar y obtiene resultados rápidamente. Las pruebas demostraron que el éxito se produce a menudo con tan solo uno a tres turnos de conversación, y los LLM muestran una creciente tolerancia a la distracción del atacante a medida que su contexto se ve contaminado progresivamente. “Con el acceso y uso generalizado a nivel mundial de LLM, el daño potencial de la desinformación, el sexismo, el discurso de odio y otras actividades ilegales generadas por IA podría ser considerable”, advierte Rodrigo Fernández de NeuralTrust.
Ataque DDoS récord de 7.3 Tbps dirigido a un proveedor de alojamiento.
Ataque DDoS récord de 7,3 Tbps dirigido a un proveedor de alojamiento
Cloudflare ha bloqueado otro ataque DDoS récord, que entregó el equivalente a 9.000 películas HD en solo 45 segundos.
Cloudflare bloqueó recientemente otro ataque de denegación de servicio distribuido (DDoS) récord, que alcanzó un máximo de 7,3 terabits por segundo (Tbps).
Los ataques DDoS récord anteriores detectados por Cloudflare alcanzaron los 5,6 y los 6,5 Tbps . El bloguero de ciberseguridad Brian Krebs informó el mes pasado que su sitio web había sido blanco de un ataque de 6,3 Tbps .
El ataque DDoS de 7,3 Tbps , visto por Cloudflare a mediados de mayo, duró solo 45 segundos y estaba dirigido a un proveedor de alojamiento.
“Los proveedores de alojamiento y la infraestructura crítica de Internet se han convertido cada vez más en objetivos de ataques DDoS”, dijo el proveedor de soluciones de seguridad y rendimiento web en una publicación de blog el jueves.
Cloudflare señaló que el ataque de 7,3 Tbps logró entregar 37,4 Tb de tráfico (el equivalente a más de 9000 películas HD) en solo 45 segundos.
“El ataque bombardeó masivamente un promedio de 21 925 puertos de destino de una sola dirección IP propiedad de nuestro cliente, con un pico de 34 517 puertos de destino por segundo”, explicó la empresa. “El ataque también se originó a partir de una distribución similar de puertos de origen”.
Según Cloudflare, el ataque DDoS récord consistió en más del 99 % de inundaciones UDP, mientras que el resto, que representa 1,3 Gb de tráfico, estuvo compuesto por reflexión QOTD, reflexión Echo, reflexión NTP, inundación UDP Mirai, inundación Portmap y ataques de amplificación RIPv1.
El ataque se originó desde más de 122.000 direcciones IP en 5.400 sistemas autónomos en 161 países.
Microsoft advierte sobre atacantes que explotan instalaciones mal configuradas de Apache Pinot.
Microsoft advierte sobre atacantes que explotan instalaciones mal configuradas de Apache Pinot.
Las instancias de Apache Pinot mal configuradas pueden permitir (y han permitido) que actores de amenazas obtengan acceso a información confidencial.
Una investigación realizada por Microsoft sobre la seguridad de las instalaciones de Kubernetes reveló que los actores de amenazas han atacado instancias de Apache Pinot mal configuradas.
Apache Pinot es una plataforma de análisis en tiempo real de código abierto diseñada para consultar grandes conjuntos de datos con alta velocidad y baja latencia. Pinot es utilizado por algunas de las empresas más grandes del mundo, como Walmart, Uber, Slack, LinkedIn, Wix y Stripe.
En el caso de las instalaciones de Kubernetes, la documentación oficial de Apache Pinot no informa a los usuarios de que la configuración predeterminada es altamente insegura y puede exponer datos confidenciales del usuario.
“La instalación predeterminada expone los componentes principales de Apache Pinot a Internet mediante los servicios LoadBalancer de Kubernetes sin proporcionar ningún mecanismo de autenticación de forma predeterminada”, explicaron los investigadores de Microsoft .
Advirtieron que un atacante no autenticado puede obtener acceso completo al panel de Pinot, lo que le permitiría consultar los datos almacenados y administrar las cargas de trabajo.
El riesgo no es solo teórico. Microsoft afirmó haber identificado varios casos de cargas de trabajo de Pinot mal configuradas que fueron atacadas indiscriminadamente para acceder a los datos de los usuarios.
El análisis de Microsoft sobre las configuraciones erróneas y la falta de mecanismos adecuados de autenticación o autorización mostró que “un grupo pequeño pero crítico de aplicaciones no proporcionaba ninguna autenticación o utilizaba un usuario y una contraseña predefinidos para iniciar sesión, lo que las convertía en objetivos principales para los atacantes”.
Investigadores de Microsoft descubrieron que Meshery, una plataforma de ingeniería para el diseño colaborativo y la operación de infraestructura en la nube está afectada por una vulnerabilidad que permite a un atacante ejecutar código arbitrario y obtener el control de los recursos subyacentes.
El atacante necesita tener acceso a la dirección IP externa que expone la interfaz de la aplicación, y los ataques se pueden prevenir restringiendo el acceso de Meshery a las redes internas.
“Muchas explotaciones in situ de aplicaciones en contenedores se originan en cargas de trabajo mal configuradas, a menudo cuando se utilizan configuraciones predeterminadas”, concluyó el gigante tecnológico.
Miles de aplicaciones SaaS aún podrían ser susceptibles a nOAuth.
Miles de aplicaciones SaaS aún podrían ser susceptibles a nOAuth.
Una nueva investigación sugiere que más de 10.000 aplicaciones SaaS podrían seguir siendo vulnerables a una variante de nOAuth a pesar de que el problema básico se reveló en junio de 2023.
Una nueva investigación sugiere que más de 10.000 aplicaciones SaaS podrían seguir siendo vulnerables a una variante de nOAuth a pesar de que el problema básico se reveló en junio de 2023.
nOAuth se describe mejor como una metodología de abuso utilizada para abordar una configuración incorrecta o una práctica de desarrollo deficiente en la interfaz entre las aplicaciones SaaS y Entra ID. El usuario de SaaS es la víctima.
Es prácticamente imposible para un usuario de SaaS saber si es víctima de nOAuth, y no existen opciones de mitigación. La víctima puede tener sus propios controles de seguridad exhaustivos, pero nOAuth se produce entre SaaS y Entra, fuera del alcance de cualquier sistema de seguridad local.
Hacia finales de 2024, los investigadores de Semperis comenzaron a analizar las aplicaciones SaaS incluidas en la Galería Microsoft Entra. El objetivo no era repetir la investigación de Descope , sino comprobar si la metodología nOAuth podía implementarse mediante un enfoque multiusuario en lugar del escenario de múltiples proveedores de identidad de Descope.
Los investigadores seleccionaron 104 aplicaciones SaaS de la Galería Microsoft Entra. “En esencia, el cliente objetivo (víctima) es un cliente de Microsoft con un inquilino de Entra ID, y el atacante utiliza un inquilino de Entra ID diferente para cometer el abuso”, explican . Funciona. La aplicación SaaS solo necesita ser compatible con Entra ID para que la autenticación sea susceptible a nOAuth. Si bien muchas aplicaciones pueden haber seguido el consejo de cerrar la puerta detectado por Descope (que involucra a múltiples proveedores de identidad), relativamente pocas son conscientes de que solo se necesita el Entra ID para invocar nOAuth.
El estudio de Descope se centró en los flujos de fusión de cuentas; por ejemplo, si la aplicación SaaS era compatible con Google y Microsoft (Entra ID). En nuestro estudio, descubrimos que el mismo tipo de abuso puede existir incluso si la aplicación solo usa Entra ID y solo consulta la solicitud de correo electrónico, explica Eric Woodruff, arquitecto jefe de identidad de Semperis.
Continuó: «Muchos desarrolladores podrían haber leído la investigación de Descope y pensar: ‘Esto no nos afecta’. También hubo algunos informes inexactos en aquel momento, que decían que nOAuth estaba ‘solucionado’. Los titulares harían creer que Microsoft hizo algo para resolverlo de forma generalizada».
No se solucionó. Microsoft proporcionó consejos sobre cómo configurar correctamente Entra ID. nOAuth se puede prevenir, pero no se puede solucionar.
De las 104 aplicaciones investigadas, Semperis descubrió que nueve eran vulnerables a nOAuth (aproximadamente el 9%). Es difícil saber cómo se podrían aplicar estos resultados a todo el ecosistema SaaS, pero Woodruff comenta: «Si hay, por ejemplo, 44 000 empresas SaaS, y varias de ellas tienen múltiples productos, no sería descabellado pensar que podría haber 150 000 aplicaciones SaaS en circulación».
De las aplicaciones analizadas, el 9 % resultó vulnerable. “Por lo tanto, si extrapolamos esta cifra a 150 000 aplicaciones, serían 13 500 las que podrían ser vulnerables”. Entre las aplicaciones SaaS vulnerables que Semperis encontró se encontraban una plataforma de gestión de recursos humanos (probablemente llena de información de identificación personal) y otras aplicaciones que se integraban con Microsoft 365. En este último caso, un abuso exitoso de nOAuth permitiría al atacante acceder a los datos SaaS y, potencialmente, acceder a los recursos de Microsoft 365.
Semperis informó a Microsoft sobre su investigación. Abrió un caso ante MSRC en diciembre de 2024, pero recibió poca respuesta de MSRC, que lo cerró sin proporcionar detalles en abril de 2025. SecurityWeek ha invitado a Microsoft a comentar sobre la investigación de Semperis, pero no ha recibido respuesta al momento de escribir este artículo (si recibimos una respuesta, la incluiremos como apéndice a este artículo).
Pero este no es un problema que Microsoft pueda solucionar; se trata fundamentalmente de un problema de arquitectura que afecta al punto final de autenticación/autorización para todos los inquilinos de Entra y a la necesidad legítima de que las cuentas de invitado tengan una dirección de correo electrónico, incluidas las direcciones no verificadas. Microsoft ha creado una plataforma que, si se configura e implementa correctamente, no será vulnerable a nOAuth.
Este es el problema. Los desarrolladores siempre están bajo presión para entregar con rapidez y pueden malinterpretar fácilmente las instrucciones detalladas y hacer suposiciones erróneas sobre lo que se requiere. Los detalles de la investigación de Semperis sugieren que esto es generalizado.
En definitiva, nOAuth no es una vulnerabilidad solucionable, sino una configuración incorrecta que puede explotarse. Microsoft puede ofrecer consejos e instrucciones sobre cómo hacerlo correctamente, pero no puede obligar a los desarrolladores a seguir las reglas.
El resultado final es que nOAuth continúa, las víctimas no saben que son víctimas, Microsoft no puede solucionar el problema y los desarrolladores, que son los únicos que pueden evitar nOAuth, hasta ahora no han podido hacerlo.
Cómo los estafadores usan la IA para robar ayuda financiera universitaria.
Cómo los estafadores usan la IA para robar ayuda financiera universitaria.
Las inscripciones falsas a universidades han ido en aumento a medida que las redes criminales despliegan “estudiantes fantasmas”: chatbots que se unen a aulas en línea y permanecen el tiempo suficiente para cobrar un cheque de ayuda financiera.
Era una pregunta inusual viniendo de un policía. Heather Brady dormía la siesta en su casa de San Francisco un domingo por la tarde cuando el policía llamó a su puerta para preguntarle: ¿Había solicitado admisión en Arizona Western College?
Ella no lo había hecho, y como sospechaba el oficial, alguien más había presentado solicitudes en colegios comunitarios de Arizona en su nombre para estafar al gobierno y conseguir que le pagara dinero de ayuda financiera.
Al revisar la cuenta de su administrador de préstamos estudiantiles, Brady vio que los estafadores no se habían detenido allí. Un préstamo de más de $9,000 se había pagado a su nombre, pero a otra persona, para cursar estudios en una universidad de California.
“No puedo imaginarme a cuántas personas les está pasando esto y no tienen idea”, dijo Brady.
El auge de la inteligencia artificial y la popularidad de las clases en línea han provocado un aumento repentino del fraude en la ayuda financiera. Las inscripciones universitarias falsas han aumentado a medida que las redes criminales utilizan “estudiantes fantasma”: chatbots que se unen a las clases en línea y permanecen el tiempo justo para cobrar un cheque de ayuda financiera.
En algunos casos, los profesores descubren que casi nadie en su clase es real.
Los estudiantes quedan excluidos de las clases que necesitan para graduarse, ya que los bots impulsan cursos que superan el límite de matrícula. Y las víctimas de robo de identidad que descubren préstamos fraudulentos obtenidos a su nombre deben pasar meses llamando a las universidades, a la oficina de Ayuda Federal para Estudiantes y a las entidades administradoras de préstamos para intentar cancelar la deuda.
El viernes, el Departamento de Educación de EE. UU. introdujo una norma temporal que exige a los estudiantes mostrar a las universidades una identificación oficial para comprobar su identidad. Esta norma se aplicará únicamente a quienes soliciten ayuda federal para estudiantes por primera vez para el semestre de verano, lo que afectará a unos 125,000 prestatarios. La agencia indicó que está desarrollando un sistema de evaluación más avanzado para el otoño.
“La tasa de fraude a través de identidades robadas ha alcanzado un nivel que pone en peligro el programa federal de ayuda estudiantil”, dijo el departamento en su guía a las universidades.
Las universidades públicas han perdido millones de dólares por fraude.
Un análisis de Associated Press sobre los informes de fraude obtenidos a través de una solicitud de registros públicos muestra que, en 2024, las universidades de California reportaron 1,2 millones de solicitudes fraudulentas, lo que resultó en 223.000 inscripciones presuntamente falsas. Otros estados se ven afectados por el mismo problema, pero con 116 colegios comunitarios, California es un objetivo particularmente importante.
Los delincuentes robaron al menos 11,1 millones de dólares en ayuda financiera federal, estatal y local de los colegios comunitarios de California el año pasado que no se pudieron recuperar, según los informes.
Las universidades suelen recibir una parte de los préstamos destinados a la matrícula, y el resto se destina directamente a los estudiantes para cubrir otros gastos. Los colegios comunitarios son el objetivo, en parte, porque sus matrículas más bajas implican que un mayor porcentaje de subvenciones y préstamos se destina a los prestatarios.
Los estafadores frecuentemente usan chatbots de IA para llevar a cabo el fraude, apuntando a cursos que son en línea y permiten a los estudiantes ver conferencias y completar los cursos en su propio tiempo.
En enero, Wayne Chaw empezó a recibir correos electrónicos sobre una clase a la que nunca se matriculó en el De Anza Community College, donde había cursado programación una década antes. Unos ladrones de identidad habían obtenido su número de Seguro Social y habían cobrado 1395 dólares en ayuda financiera en su nombre.
La clase de gestión energética requería que los estudiantes entregaran una tarea para demostrar su autenticidad. Pero alguien escribió las tareas haciéndose pasar por Chaw, probablemente usando un chatbot.
“Esta persona está escribiendo como yo, diciendo mi nombre y apellido… Me dio mucha impresión cuando lo vi”, dijo Chaw.
El fraude se refería a una subvención, no a préstamos, por lo que Chaw no perdió dinero. Llamó a la Administración del Seguro Social para denunciar el robo de identidad, pero tras cinco horas en espera, no logró contactar con nadie.
A medida que la administración Trump avanza para desmantelar el Departamento de Educación, los recortes federales podrían dificultar la captura de delincuentes y la ayuda a las víctimas de robo de identidad. En marzo, la administración Trump despidió a más de 300 personas de la oficina de Ayuda Federal para Estudiantes, y la Oficina del Inspector General del departamento, encargada de investigar el fraude, ha perdido más del 20% de su personal por bajas y jubilaciones desde octubre.
“Me preocupa tener que lidiar con esto”, dijo Brady. “La agencia estará tan desintegrada que no podré hacer nada, y tendré que lidiar con esos $9,000” en préstamos.
Los casos criminales en todo el país ofrecen una visión de la omnipresencia de estos esquemas.
El año pasado, investigadores acusaron formalmente a un hombre de liderar una red de fraude en Texas que utilizaba identidades robadas para obtener $1.5 millones en ayuda estudiantil. Otra persona en Texas se declaró culpable de usar los nombres de reclusos para solicitar más de $650,000 en ayuda estudiantil en universidades del sur y suroeste. Y una persona en Nueva York se declaró culpable recientemente de una estafa de $450,000 en ayuda estudiantil que duró una década.
Identifican a víctimas de fraude que nunca asistieron a la universidad y se ven afectadas por deudas estudiantiles
Brittnee Nelson, de Shreveport, Luisiana, llevaba a su hija a la guardería hace dos años cuando recibió una notificación de que su puntuación crediticia había bajado 27 puntos.
Descubrió que se habían solicitado préstamos a su nombre para universidades de California y Luisiana. Canceló uno antes de que se le pagara, pero era demasiado tarde para detener un préstamo de más de $5,000 para el Delgado Community College de Nueva Orleans.
Nelson dirige su propio negocio de limpieza de casas y no fue a la universidad. Ya estaba inscrita en el programa de protección contra el robo de identidad y monitoreaba cuidadosamente su crédito. Aun así, su deuda casi entró en cobranza antes de que el préstamo se suspendiera. Recientemente, logró que los préstamos fueran eliminados de su historial crediticio después de dos años de esfuerzo.
“Es como si alguien entrara en tu casa y te robara”, dijo.
Los esfuerzos del gobierno federal para verificar la identidad de los prestatarios podrían ayudar, dijo.
“Si pueden hacer que estos obstáculos sean un poco más difíciles y que estas verificaciones sean más demostrables, creo que eso realmente protegerá a las personas a largo plazo”, dijo.
La portavoz de Delgado, Barbara Waiters, dijo que la responsabilidad de aprobar los préstamos recae en última instancia en las agencias federales.
“Este es un asunto lamentable y grave, pero no es el resultado directo o indirecto de los procesos internos de Delgado”, dijo Waiters.
En San Francisco, los préstamos obtenidos a nombre de Brady están en período de gracia, pero aún están vigentes. Ese no ha sido su único desafío. Hace unos meses, la despidieron de su trabajo y decidió inscribirse en una clase en el City College de San Francisco para impulsar su carrera. Pero todas las clases estaban llenas.
Después de unas semanas, Brady por fin pudo inscribirse en una clase. El profesor se disculpó por la demora en la apertura de plazas: la universidad ha estado luchando con solicitudes fraudulentas.
SonicWall advierte sobre un NetExtender troyanizado que roba información del usuario.
SonicWall advierte sobre un NetExtender troyanizado que roba información del usuario.
SonicWall dice que una versión modificada de la aplicación legítima NetExtender contiene un código que roba información.
SonicWall ha emitido una alerta sobre una campaña que distribuye una versión modificada de su aplicación NetExtender para robar información de los usuarios.
NetExtender, una aplicación VPN SSL, proporciona a los usuarios remotos acceso seguro a los recursos empresariales, ofreciendo capacidades de descarga y carga de archivos, acceso a unidades de red y más.
“En colaboración con Microsoft Threat Intelligence (MSTIC), SonicWall ha identificado una campaña engañosa para distribuir una versión pirateada y modificada de la aplicación SSL VPN NetExtender de SonicWall que se parece mucho al software oficial SonicWall NetExtender”, anunció la compañía .
La versión troyanizada de la aplicación se creó utilizando la última versión de NetExtender (versión 10.3.2.27) y está firmada digitalmente con un certificado emitido para Citylight Media Private Limited, explica SonicWall.
El código malicioso en la aplicación modificada fue diseñado para obtener información relacionada con la configuración de VPN del usuario y enviarla a un servidor remoto.
Según SonicWall, el actor de amenazas modificó dos componentes del instalador de NetExtender, concretamente los ejecutables NeService y NetExtender.
En el primero, el atacante modificó una función que valida los certificados digitales de los componentes de NetExtender, de modo que los archivos se ejecutaran independientemente de los resultados de la validación.
Este último contiene código que se activa cuando el usuario hace clic en el botón “Conectar”, para realizar la validación de la configuración de VPN y enviar la información al servidor del atacante.
“La información de configuración robada incluye el nombre de usuario, la contraseña, el dominio y más”, dice SonicWall.
Junto con Microsoft, la compañía eliminó los sitios web suplantadores de identidad y revocó el certificado digital del instalador. Ambas empresas han añadido firmas a sus soluciones de seguridad para detectar la versión falsa de NetExtender.
“Se recomienda encarecidamente que los usuarios descarguen las aplicaciones de SonicWall solo de fuentes confiables: sonicwall.com o mysonicwall.com”, señala SonicWall.
SonicWall señala dos vulnerabilidades más como explotadas.
SonicWall señala dos vulnerabilidades más como explotadas.
SonicWall ha actualizado los avisos de dos vulnerabilidades para advertir que están siendo explotadas activamente.
SonicWall advirtió esta semana sobre la explotación in situ de dos vulnerabilidades que afectan a sus productos Secure Mobile Access (SMA) Serie 100.
El primer defecto de seguridad, identificado como CVE-2023-44221 (puntuación CVSS de 7,2), se describe como un error de inyección de comandos del sistema operativo que podría explotarse remotamente. Sin embargo, para explotarlo con éxito se requieren privilegios de administrador.
El segundo problema, CVE-2024-38475 (puntuación CVSS de 9,8), es una falla crítica de navegación de rutas en Apache HTTP Server que permite a un atacante asignar URL a ubicaciones del sistema de archivos que el servidor puede servir. Puede explotarse de forma remota, sin autenticación.
Las dos vulnerabilidades afectan a los productos de acceso remoto seguro SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500v de SonicWall y se abordaron en diciembre de 2023
SonicWall ha actualizado los avisos de dos vulnerabilidades para advertir que están siendo explotadas activamente.
SonicWall advirtió esta semana sobre la explotación in situ de dos vulnerabilidades que afectan a sus productos Secure Mobile Access (SMA) Serie 100.
El primer defecto de seguridad, identificado como CVE-2023-44221 (puntuación CVSS de 7,2), se describe como un error de inyección de comandos del sistema operativo que podría explotarse remotamente. Sin embargo, para explotarlo con éxito se requieren privilegios de administrador.
El segundo problema, CVE-2024-38475 (puntuación CVSS de 9,8), es una falla crítica de navegación de rutas en Apache HTTP Server que permite a un atacante asignar URL a ubicaciones del sistema de archivos que el servidor puede servir. Puede explotarse de forma remota, sin autenticación.
Las dos vulnerabilidades afectan a los productos de acceso remoto seguro SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500v de SonicWall y se abordaron en diciembre de 2023 y diciembre de 2024 en las versiones de software 10.2.1.10-62sv y 10.2.1.14-75sv, respectivamente.
SonicWall actualizó sus avisos para ambas fallas esta semana para advertir que han sido explotadas in situ. En el caso de CVE-2024-38475, la compañía también advirtió sobre una técnica de explotación adicional que podría provocar el secuestro de sesiones si el atacante tiene acceso a ciertos archivos.
La compañía insta a los clientes a actualizar sus dispositivos a las últimas versiones de software, que contienen parches para ambos problemas.
SonicWall advirtió sobre la explotación de CVE-2023-44221 y CVE-2024-38475 aproximadamente dos semanas después de advertir que un antiguo error de la serie SMA 100, identificado como CVE-2021-20035, había sido explotado en ataques .
Simultáneamente con la actualización por parte de SonicWall de su aviso para CVE-2021-20035, la agencia estadounidense de ciberseguridad CISA agregó la falla a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Se sabe que los actores de amenazas han atacado los dispositivos SMA 100, incluso explotando vulnerabilidades de día cero .
En las versiones de software 10.2.1.10-62sv y 10.2.1.14-75sv, respectivamente.
SonicWall actualizó sus avisos para ambas fallas esta semana para advertir que han sido explotadas in situ. En el caso de CVE-2024-38475, la compañía también advirtió sobre una técnica de explotación adicional que podría provocar el secuestro de sesiones si el atacante tiene acceso a ciertos archivos.
La compañía insta a los clientes a actualizar sus dispositivos a las últimas versiones de software, que contienen parches para ambos problemas.
SonicWall advirtió sobre la explotación de CVE-2023-44221 y CVE-2024-38475 aproximadamente dos semanas después de advertir que un antiguo error de la serie SMA 100, identificado como CVE-2021-20035, había sido explotado en ataques .
Simultáneamente con la actualización por parte de SonicWall de su aviso para CVE-2021-20035, la agencia estadounidense de ciberseguridad CISA agregó la falla a su catálogo de vulnerabilidades explotadas conocidas (KEV).
Se sabe que los actores de amenazas han atacado los dispositivos SMA 100, incluso explotando vulnerabilidades de día cero .
Posible parche de zero day en dispositivos SonicWall SMA
Posible parche de día cero en dispositivos SonicWall SMA
SonicWall parchea tres vulnerabilidades de SMA 100, incluida una posible de día cero, que podría encadenarse para ejecutar código arbitrario de forma remota.
SonicWall anunció el miércoles parches para tres vulnerabilidades en sus dispositivos de la serie Secure Mobile Access (SMA) 100 que podrían conducir a la ejecución remota de código (RCE).
El primero de los errores, identificado como CVE-2025-32819 (puntaje CVSS de 8.8), es un problema de eliminación arbitraria de archivos que puede ser explotado por atacantes autenticados con privilegios de usuario.
Un atacante podría eludir las comprobaciones de recorrido de ruta del dispositivo y eliminar un archivo arbitrario, lo que podría provocar que el dispositivo se reinicie a la configuración predeterminada de fábrica, explica SonicWall en su aviso .
Rapid7, que advierte que CVE-2025-32819 ha sido explotado como un día cero, explica que es probable que la falla sea una evasión de un parche de 2021 que resuelve un defecto de eliminación arbitraria de archivos no autenticados.
Al utilizar una cookie de sesión válida con privilegios bajos, un atacante puede eludir la verificación agregada por SonicWall para resolver la vulnerabilidad inicial, eliminar cualquier archivo como root y escalar sus privilegios a administrador.
“Basándonos en los IOC (privados) conocidos y las investigaciones de respuesta a incidentes de Rapid7, creemos que esta vulnerabilidad puede haber sido utilizada indiscriminadamente”, afirma la empresa de ciberseguridad.
Rapid7 no ha compartido ninguna información sobre estos ataques y el aviso de SonicWall no menciona ninguna explotación en la naturaleza.
El segundo problema, identificado como CVE-2025-32820 (puntaje CVSS de 8,3), permite a un atacante remoto con privilegios de usuario inyectar “una secuencia de recorrido de ruta para hacer que cualquier directorio en el dispositivo SMA sea escribible”.
La explotación exitosa de este error también podría permitir a un atacante sobrescribir cualquier archivo en el sistema con contenido basura, como root, creando una condición persistente de denegación de servicio (DoS), dice Rapid7.
Identificada como CVE-2025-32821 (puntaje CVSS de 6.7), la tercera falla permite a un atacante remoto y autenticado con privilegios de usuario “inyectar argumentos de comando de shell para cargar un archivo en el dispositivo”, dice SonicWall.
Según Rapid7, un atacante puede explotar el defecto para subir el archivo a cualquier parte del sistema. El archivo está bajo el control del atacante y el usuario “nobody” puede escribir en él.
“También es posible copiar archivos existentes que el usuario ‘nobody’ puede leer, como ‘/etc/passwd’ o la base de datos SQLite de la aplicación, al directorio raíz web para la exfiltración de datos”, afirma la firma de ciberseguridad.
Rapid7 advierte que un atacante autenticado como usuario de SSLVPN puede encadenar estos defectos de seguridad para “hacer que un directorio de sistema sensible sea escribible, elevar sus privilegios a administrador de SMA y escribir un archivo ejecutable en un directorio de sistema” para lograr RCE a nivel raíz.
SonicWall ha lanzado la versión de software 10.2.1.15-81sv para solucionar las vulnerabilidades en sus productos de acceso remoto seguro SMA 200, SMA 210, SMA 400, SMA 410 y SMA 500v. Se recomienda a los usuarios que actualicen sus dispositivos lo antes posible.
Cómo los agentes de IA podrían revolucionar el SOC con ayuda humana.
Cómo los agentes de IA podrían revolucionar el SOC con ayuda humana.
NATIONAL HARBOR, Maryland — La inteligencia artificial está preparada para transformar el trabajo de los centros de operaciones de seguridad, pero los expertos dicen que los humanos siempre tendrán que estar involucrados en la gestión de las respuestas de las empresas a los incidentes de ciberseguridad, así como en el control de los sistemas autónomos que los ayudan cada vez más.
Los agentes de IA pueden automatizar muchas tareas SOC repetitivas y complejas, pero en el futuro previsible tendrán limitaciones significativas, incluida la incapacidad de replicar el conocimiento humano único o comprender configuraciones de red personalizadas, según los expertos que se presentaron aquí en la Cumbre de Seguridad y Gestión de Riesgos de Gartner.
La promesa de la IA dominó la conferencia de Gartner de este año, donde los expertos compartieron cómo la tecnología podría hacer mucho más fácil el trabajo de los defensores cibernéticos, incluso si tiene un largo camino por recorrer antes de que pueda reemplazar a los humanos experimentados en un SOC.
“A medida que aumentan la velocidad, la sofisticación y la escala de los ataques, podemos usar la IA con agentes para afrontar estos desafíos”, declaró Hammad Rajjoub, director de marketing de productos técnicos de Microsoft, durante su presentación. “¿Qué mejor defensa que la propia IA para la velocidad de una máquina?”
Un socio silencioso
La IA ya puede ayudar al personal del SOC con varias tareas importantes, según expertos en seguridad en sus presentaciones. Pete Shoard, vicepresidente y analista de Gartner, afirmó que la IA puede ayudar a las personas a localizar información mediante la automatización de búsquedas complejas, a escribir código sin necesidad de aprender el lenguaje y a resumir informes de incidentes para ejecutivos sin conocimientos técnicos.
Pero automatizar estas actividades conlleva riesgos si se gestiona incorrectamente, afirmó Shoard. Los SOC deben revisar el código escrito por IA con los mismos “procesos de prueba robustos” que se aplican al código escrito por humanos, añadió, y los empleados deben revisar los resúmenes de IA para no “terminar enviando información sin sentido a la cadena de mando” a “alguien que tomará una decisión” basándose en ella.
En el futuro, la IA podría incluso automatizar la investigación y la remediación de intrusiones.
La mayoría de las startups de SOC de IA se centran actualmente en usar IA para analizar alertas y reducir la carga cognitiva de los humanos, afirmó Anton Chuvakin, consultor sénior de seguridad de la Oficina del CISO de Google Cloud. “Esto es muy útil”, añadió, pero “también es una visión muy limitada del problema”. En el futuro lejano, añadió, “sigo que las máquinas remedian y resuelven ciertos problemas”.
Algunos profesionales de TI podrían “asustarse” ante la perspectiva de dejar que la IA se desate en sus sistemas informáticos cuidadosamente personalizados, dijo Chuvakin, pero deberían prepararse para un futuro que se parezca a eso.
“Imagina un futuro en el que tienes un agente que trabaja en tu nombre y es capaz de protegerte y defenderte incluso antes de que un ataque sea posible en tu entorno”, dijo Rajjoub de Microsoft durante su presentación sobre inteligencia artificial con agentes.
Rajjoub predijo que, dentro de seis meses, los agentes de IA podrán razonar por sí solos e implementar automáticamente diversas herramientas en una red para lograr los objetivos específicos de sus operadores humanos. Dentro de un año y medio, afirmó, estos agentes podrán mejorar y modificarse para alcanzar dichos objetivos. Y, dentro de dos años, predijo, podrán modificar las instrucciones específicas que se les han dado para lograr los objetivos más generales que se les han asignado.
“No son dos, tres, cuatro, cinco o seis años”, dijo. “Estamos hablando literalmente de semanas y meses”.
Limitaciones y riesgos
Pero a medida que los agentes de IA asuman más tareas, monitorearlas se volverá más complicado.
″ ¿De verdad creemos que nuestros empleados pueden seguir el ritmo de desarrollo de los agentes?”, preguntó Dennis Xu, vicepresidente de investigación de Gartner. “Es probable que nunca podamos alcanzarlos”.
Propuso una solución audaz: «Necesitamos usar agentes para monitorear a los agentes. Pero eso está más lejos en el horizonte temporal».
Muchos analistas instaron a la cautela al implementar la IA en el SOC. Chuvakin describió varias categorías de tareas, algunas “plausibles pero arriesgadas” y otras que se negaba rotundamente a creer que la IA pudiera llevar a cabo a corto o mediano plazo.
En la categoría de riesgo, Chuvakin enumeró tareas autónomas como la instalación de parches en sistemas heredados, la respuesta a intrusiones y la certificación del cumplimiento normativo. “He visto gente que usa ChatGPT de consumo para rellenar cuestionarios de cumplimiento”, dijo. “Les deseo toda la suerte del mundo”.
Entre las tareas que Chuvakin afirmó no imaginar que la IA logre a corto plazo se incluyen el análisis estratégico de riesgos, la comunicación en situaciones de crisis y la búsqueda de amenazas contra adversarios de alto nivel de los estados-nación. Combatir grupos de hackers avanzados «es una tarea humana», afirmó, «porque, en última instancia, hoy, los humanos siguen siendo más inteligentes que las máquinas».
Shoard, de Gartner, señaló que usar IA para crear ejercicios prácticos podría hacer que el personal dependa excesivamente de ella para advertirles sobre amenazas en evolución, mientras que usar IA para crear consultas de detección de amenazas podría mermar sus habilidades de investigación. “Terminarás con personal poco capacitado”, afirmó, “personal que depende excesivamente de herramientas como la IA”.
Preservando el ‘conocimiento tribal’
La IA nunca reemplazará a los humanos en un SOC, dijeron varios expertos, porque el juicio humano es una parte esencial del análisis y la respuesta a los incidentes de seguridad.
“Muchas de las cosas que hacemos en un SOC real… implican conocimientos tribales”, dijo Chuvakin, refiriéndose a prácticas que no están documentadas formalmente. La IA tendrá dificultades para realizar estas actividades; Chuvakin comentó que ha visto muchos modelos que recomiendan acciones que no tienen sentido para las redes específicas en las que operan. En particular, señaló que la IA aún no puede crear reglas de detección de amenazas adaptadas a entornos de TI heredados altamente personalizados “debido a todas las peculiaridades” de su configuración.
Chuvakin instó a las empresas receptoras de las presentaciones “AI-SOC-in-a-box” de las startups a “preguntarles cómo esta magia [abordaría] las cosas que están en las cabezas humanas”.
La IA también puede mejorar las habilidades y capacidades de los analistas del SOC. Shoard la calificó como un “enorme multiplicador de fuerza” para la fuerza laboral del SOC, pero advirtió a las empresas que no dependan demasiado de ella.
“Si crees que puedes despedir a tu personal del SOC solo porque de repente has incorporado una función de IA, creo que te llevarás una gran decepción”, dijo Shoard. “La IA no reemplazará a tu personal de seguridad, así que úsala para mejorarlos y que sean mejores en su trabajo”.
En la IA (necesitamos) confiar
En el SOC del futuro, los humanos no solo trabajarán junto a los agentes de IA, según los expertos. También deberán supervisarlos.
“No queremos una autonomía completa”, dijo Upendra Mardikar, CISO de TIAA.
“Necesitamos tener un humano involucrado”.
Estos humanos deberán garantizar que las acciones de los agentes de IA sean auditables y controladas por las políticas de la empresa, según los expertos. José Veitia, director de seguridad de la información de Red Ventures, afirmó que las empresas deben “asegurarse de que todas las acciones estén validadas”.
Diseñar un sistema automatizado requiere suministrarle los datos correctos. «Si permitimos que una máquina simplemente tome las decisiones por nosotros», afirmó Shoard de Gartner, «entonces debemos confiar en que cuenta con toda la información relevante para tomar la decisión eficazmente».
La confianza y la verificación fueron temas comunes en las discusiones sobre IA durante la conferencia de Gartner esta semana.
“La confianza debe ser la base sobre la que se construyen estos agentes”, dijo Rajjoub. “Cuanto más prevalentes y capaces sean los agentes, más crucial será su seguridad para todos nosotros”.
Pero a medida que los agentes de IA se vuelven más capaces, su valor en el SOC podría aumentar significativamente.
“Desafortunadamente, la IA no es mágica. No creo que lo sea nunca”, dijo Shoard. “Pero mejorará las cosas para nosotros en el SOC. Deben considerarla con mucho cuidado, pero considérenla experimentalmente y úsenla”.
En el SOC del futuro, los humanos no solo trabajarán junto a los agentes de IA, según los expertos. También deberán supervisarlos.
“No queremos una autonomía completa”, dijo Upendra Mardikar, CISO de TIAA.
“Necesitamos tener un humano involucrado”.
Estos humanos deberán garantizar que las acciones de los agentes de IA sean auditables y controladas por las políticas de la empresa, según los expertos. José Veitia, director de seguridad de la información de Red Ventures, afirmó que las empresas deben “asegurarse de que todas las acciones estén validadas”.
Diseñar un sistema automatizado requiere suministrarle los datos correctos. «Si permitimos que una máquina simplemente tome las decisiones por nosotros», afirmó Shoard de Gartner, «entonces debemos confiar en que cuenta con toda la información relevante para tomar la decisión eficazmente».
La confianza y la verificación fueron temas comunes en las discusiones sobre IA durante la conferencia de Gartner esta semana.
“La confianza debe ser la base sobre la que se construyen estos agentes”, dijo Rajjoub. “Cuanto más prevalentes y capaces sean los agentes, más crucial será su seguridad para todos nosotros”.
Pero a medida que los agentes de IA se vuelven más capaces, su valor en el SOC podría aumentar significativamente.
“Desafortunadamente, la IA no es mágica. No creo que lo sea nunca”, dijo Shoard. “Pero mejorará las cosas para nosotros en el SOC. Deben considerarla con mucho cuidado, pero considérenla experimentalmente y úsenla”.
Las herramientas de acceso remoto son los puntos de entrada más frecuentes del ransomware.
Las herramientas de acceso remoto son los puntos de entrada más frecuentes del ransomware.
El riesgo en la cadena de suministro a través de proveedores externos aumentó drásticamente el año pasado, según un informe de At-Bay.
El informe de At-Bay muestra cómo se están explotando algunas herramientas de seguridad muy conocidas para lanzar ataques altamente disruptivos contra las empresas.
Las VPN y las herramientas de acceso remoto se han utilizado para ayudar a los trabajadores a acceder de forma segura a sus redes corporativas desde ubicaciones remotas. Sin embargo, los datos muestran que estas herramientas suelen utilizarse como arma para que los atacantes exfiltren datos o realicen otras actividades maliciosas.
“Las herramientas de acceso remoto esencialmente proporcionan una puerta de entrada a la red de una empresa y generalmente pueden verse desde Internet público, por lo que atraen la atención de los atacantes por ese motivo”, dijo Adam Tyra, CISO para clientes de At-Bay, por correo electrónico.
El informe también señala que las empresas del mercado medio, con ingresos anuales de entre 25 y 100 millones de dólares, han experimentado fuertes aumentos en los reclamos directos por ransomware.
El informe se basa en datos de reclamaciones de seguros de At-Bay desde 2021 hasta finales de 2024.
Los ciberataques y la disrupción tecnológica se ubican como las principales amenazas para el crecimiento empresarial.
Los ciberataques y la disrupción tecnológica se ubican como las principales amenazas para el crecimiento empresarial.
Dos de cada cinco ejecutivos consideran que las violaciones y filtraciones de datos son las amenazas de origen humano más onerosas desde el punto de vista financiero, según un estudio de Chubb.
El costo promedio global de una filtración de datos el año pasado fue de casi 4,9 millones de dólares, un aumento del 10% en comparación con los niveles de 2023, según una investigación de IBM.
UnitedHealth dijo a fines de octubre que un ciberataque masivo contra su subsidiaria Change Healthcare a principios de 2024 puede haber comprometido datos de 100 millones de personas , la violación de datos de atención médica más grande jamás reportada a los reguladores federales, informó anteriormente la publicación hermana de Industry Dive, Healthcare Dive.
A principios de octubre, el gigante de la salud reportó un impacto financiero total de $2.500 millones a causa del ataque durante los nueve meses finalizados el 30 de septiembre, incluyendo $1.700 millones en costos directos de respuesta. La compañía estimó un impacto de interrupción de negocios de $705 millones.
“Seguimos trabajando con nuestros clientes para recuperar el volumen de transacciones a los niveles previos al evento y captar nuevos clientes con nuestras ofertas, ahora más modernas, seguras y eficaces”, declaró el director financiero de UnitedHealth, John Rex, durante una conferencia telefónica sobre resultados en aquel momento. “Prevemos seguir recuperando el negocio a los niveles previos al ataque a lo largo de 2025 y estimamos que el impacto del próximo año será aproximadamente la mitad del de 2024”.
AT&T , el propietario de Ticketmaster, Live Nation Entertainment y Dell se encuentran entre otras empresas que informaron importantes violaciones de datos en 2024.
En el estudio de Chubb, el 40% de los ejecutivos informaron que las violaciones cibernéticas y las filtraciones de datos han sido las amenazas provocadas por el hombre más disruptivas y financieramente onerosas.
La investigación encontró que el 86% de las empresas ya tienen o pronto adoptarán cobertura de interrupción de negocios para eventos como ciberataques, desastres naturales o interrupciones de la cadena de suministro, y el 53% tiene cobertura implementada y otro tercio planea agregarla en los próximos 12 meses.
El monitoreo de incidentes y eventos cibernéticos surgió como la herramienta de mitigación de riesgos más comúnmente utilizada por las empresas.
“Los líderes corporativos deben adoptar un enfoque holístico para mitigar eficazmente, tanto los riesgos empresariales nuevos como los existentes”, señala el informe. “También deben desarrollar la capacidad de monitorear y mitigar todos estos riesgos de forma continua para garantizar su protección efectiva”.
El informe se basó en una encuesta a 517 ejecutivos de diversas industrias en Estados Unidos y Canadá.
Los depósitos de almacenamiento en la nube filtran datos secretos a pesar de las mejoras de seguridad.
Los depósitos de almacenamiento en la nube filtran datos secretos a pesar de las mejoras de seguridad.
Nuevos datos de Tenable destacaron mejoras significativas en la cantidad de empresas con sectores expuestos pública y críticamente vulnerables que almacenan datos confidenciales.
El informe de Tenable destaca los graves riesgos que enfrentan los usuarios de almacenamiento en la nube, así como algunas tendencias de seguridad prometedoras.
El informe mostró que Amazon Web Services alojó más datos confidenciales (16,7 % de sus buckets) que Google Cloud Platform (6,5 %) y Microsoft Azure (3,2 %). Según Tenable, esto podría deberse a que los usuarios confían en las medidas de seguridad de AWS implementadas o a la larga trayectoria de AWS como proveedor de servicios en la nube.
La configuración de los buckets en la nube podría estar filtrando información confidencial, según Tenable. Los investigadores encontraron información confidencial en el 54 % de las definiciones de tareas de Elastic Container Service de los usuarios de AWS y en el 52 % de las variables de entorno de Google CloudRun. Además, Tenable descubrió que más de una cuarta parte de los usuarios de AWS almacenaban información confidencial en sus datos.
En general, el 3,5 % de las instancias de AWS EC2 contenían secretos en los datos de los usuarios. Tenable calificó esto de “particularmente preocupante”, señalando que los atacantes que acceden a estos secretos “pueden usarlos para desencadenar una cascada de actividades de explotación”.
El informe de Tenable también analizó en profundidad las “trilogías de nube tóxica”: instancias expuestas públicamente en internet, que contienen vulnerabilidades críticas y datos con altos privilegios. Los investigadores observaron descensos prometedores en diversas métricas, como el número de organizaciones con al menos una de estas categorías en AWS o GCP (que descendió del 38 % al 29 %), el número de organizaciones con cinco (que descendió del 27 % al 13 %) y el número de organizaciones con 10 (que descendió del 15 % al 7 %). Aun así, Tenable afirmó que “estos hallazgos demuestran que las trilogías de nube tóxica siguen representando un problema urgente para las organizaciones”.
Boletin de Seguridad
Somos una empresa colombiana creada para prestar servicios de ciberseguridad a la pequeña y mediana empresa.
GUIA PRACTICA DE MONITOREO SOC A WINDOWS
BOLET脥N DE SEGURIDAD
Vulnerabilidades Cr铆ticas en SonicWall
DOBLEFACTOR
馃洝锔?Recomendaciones de Seguridad
- Aplicar actualizaciones inmediatamente - Instalar todos los parches de seguridad disponibles
- Implementar autenticaci贸n de doble factor - Reforzar el acceso a sistemas cr铆ticos
- Monitoreo continuo - Vigilar actividad sospechosa en dispositivos SonicWall
- Segmentaci贸n de red - Limitar el acceso a dispositivos de gesti贸n
- Respaldo y plan de contingencia - Mantener copias de configuraci贸n actualizadas
- Revisi贸n de logs - Analizar registros para detectar posibles intentos de explotaci贸n
CUMPLIMIENTO WAZUH PCI DSS 4.0
CUMPLIMIENTO DE WAZUH CON LA NORMA PCI V 4.0
CUMPLIMIENTO DE WAZUH CON LA NORMA PCI V 4.0
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información patentado para organizaciones que manejan tarjetas de crédito.
El estándar fue creado para aumentar los controles en torno a los datos de los titulares de tarjetas para reducir el fraude con tarjetas de crédito.
Wazuh ayuda a garantizar el cumplimiento de PCI DSS mediante la recopilación de registros, la comprobación de la integridad de los archivos, la evaluación de la configuración, la detección de intrusiones, las alertas en tiempo real y la respuesta activa.
El panel de control de Wazuh muestra información en tiempo real, lo que permite filtrar por diferentes tipos de campos de alerta, incluidos los controles de cumplimiento. También hemos desarrollado un par de paneles PCI DSS para una visualización conveniente de alertas relevantes.
Requisito 1: instalar y mantener controles de seguridad de red
1.1 Se definen y comprenden los procesos y mecanismos para instalar y mantener los controles de seguridad de la red.
1.2 Los controles de seguridad de la red (NSC) están configurados y mantenidos.
1.4 Se controlan las conexiones de red entre redes confiables y no confiables.
1.3 El acceso a la red hacia y desde el entorno de datos del titular de la tarjeta está restringido.
1.5 Los riesgos para el CDE de los dispositivos informáticos que pueden conectarse tanto a redes que no son de confianza como al CDE.
Requisito 2: aplicar la configuración segura a todos los componentes del sistema
2.1 Los procesos y mecanismos para aplicar una configuración segura a todos los componentes del sistema están definidos.
2.2 Los componentes del sistema se configuran y gestionan de forma segura
2.3 Los entornos inalámbricos se configuran y gestionan de forma segura.
Requisito 3: Proteger los datos de cuenta almacenados
3.1 Se definen y comprenden los procesos y mecanismos para proteger los datos almacenados de la cuenta.
3.2 El almacenamiento de los datos de la cuenta se mantiene al mínimo
3.3 Los datos confidenciales de autenticación SAD no se almacenan después de la autorización.
3.4 El acceso a las pantallas de PAN completo y la capacidad de copiar PAN están restringidos.
3.5 El número de cuenta principal PAN está protegido donde sea que esté almacenado.
3.6 Las claves criptográficas utilizadas para proteger los datos de cuenta almacenados están protegidas.
3.7 Cuando se utilice la criptografía para proteger los datos almacenados de la cuenta, los procesos de gestión de claves y los procedimientos que cubran todos los aspectos del ciclo de vida clave están definidos e implementados.
Requisito 4: Proteja los datos del titular de la tarjeta con criptografía fuerte durante la transmisión en abierto, público
4.1 Procesos y mecanismos para proteger los datos del titular de la tarjeta con criptografía sólida durante la transmisión
las redes abiertas y públicas están definidas y documentadas.
4.2 PAN está protegido con criptografía fuerte durante la transmisión.
Requisito 5: Proteger todos los sistemas y redes del software malicioso
5.1 Los procesos y mecanismos para proteger todos los sistemas y redes de software malicioso están definidos y comprendido.
5.2 El software malicioso (malware) se previene o detecta y aborda.
5.3 Los mecanismos y procesos antimalware están activos, mantenidos y monitoreados.
5.4 Los mecanismos antiphishing protegen a los usuarios contra ataques de phishing.
Requisito 6: desarrollar y mantener sistemas y software seguros
6.1 Los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos.
6.2 El software a medida y personalizado se desarrolla de forma segura.
6.3 Las vulnerabilidades de seguridad se identifican y abordan.
6.4 Las aplicaciones web públicas están protegidas contra ataques.
6.5 Los cambios en todos los componentes del sistema se gestionan de forma segura.
Requisito 7: Restringir el acceso a los componentes del sistema y los datos del titular de la tarjeta por necesidad comercial
7.1 Procesos y mecanismos para restringir el acceso a los componentes del sistema y los datos del titular de la tarjeta por necesidad comercial.
7.2 El acceso a los componentes y datos del sistema está adecuadamente definido y asignado
7.3 El acceso a los componentes y datos del sistema se gestiona a través de uno o varios sistemas de control de acceso.
Requisito 8: Identificación de usuarios y acceso de autenticación a los componentes del sistema.
8.1 Los procesos y mecanismos para identificar usuarios y autenticar el acceso a los componentes del sistema están definidos.
8.2 La identificación de usuario y las cuentas relacionadas para usuarios y administradores se gestionan estrictamente a lo largo de un ciclo de vida de la cuenta.
8.3 Se establece y administra una autenticación sólida para usuarios y administradores.
8.4 La autenticación multifactor MFA se implementa para asegurar el acceso al CDE.
8.5Los sistemas MFA de autenticación multifactor están configurados para evitar el uso indebido.
8.6 El uso de las cuentas de la aplicación y del sistema y los factores de autenticación asociados se gestiona estrictamente.
Requisito 9: restringir el acceso físico a los datos del titular de la tarjeta.
9.1 Se definen y comprenden los procesos y mecanismos para restringir el acceso físico a los datos del titular de la tarjeta.
9.2 Los controles de acceso físico gestionan la entrada a las instalaciones y sistemas que contienen datos de titulares de tarjetas.
9.3 Se autoriza y gestiona el acceso físico de personal y visitantes.
9.4 Los medios con datos del titular de la tarjeta se almacenan, acceden, distribuyen y destruyen de forma segura.
9.5 Los dispositivos de puntos de interés de punto de interacción están protegidos contra manipulaciones y sustituciones no autorizadas.
Requisito 10: Registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta.
10.1 Los procesos y mecanismos para registrar y monitorear todos los accesos a los componentes del sistema y los datos del titular de la tarjeta son definidos y documentados.
10.2 Los registros de auditoría se implementan para respaldar la detección de anomalías y actividades sospechosas, y el análisis forense.análisis de eventos.
10.3 Los registros de auditoría están protegidos contra la destrucción y las modificaciones no autorizadas.
10.4 Los registros de auditoría se revisan para identificar anomalías o actividades sospechosas.
10.5 El historial del registro de auditoría se conserva y está disponible para su análisis.
10.6 Los mecanismos de sincronización de tiempo admiten ajustes de tiempo consistentes en todos los sistemas.
10.7 Las fallas de los sistemas críticos de control de seguridad se detectan, informan y responden con prontitud.
Requisito 11: Probar la seguridad de los sistemas y redes con regularidad.
11.1 Se definen y comprenden los procesos y mecanismos para probar regularmente la seguridad de los sistemas y redes.
11.2 Los puntos de acceso inalámbrico se identifican y supervisan, y se abordan los puntos de acceso inalámbrico no autorizados.
11.3 Las vulnerabilidades externas e internas se identifican, priorizan y abordan periódicamente.
11.4 Se realizan regularmente pruebas de penetración externas e internas, y vulnerabilidades y seguridad explotables.se corrigen las debilidades.
11.5 Las intrusiones en la red y los cambios inesperados en los archivos se detectan y responden.
11.6 Los cambios no autorizados en las páginas de pago se detectan y responden.
Requisito 12: Apoyar la seguridad de la información con políticas y programas organizacionales.
12.1 Una política integral de seguridad de la información que gobierna y proporciona instrucciones para la protección de los datos de la entidad. los activos de información son conocidos y actuales
12.2 Se definen e implementan políticas de uso aceptable para las tecnologías de usuario final.
12.3 Los riesgos para el entorno de datos del titular de la tarjeta se identifican, evalúan y gestionan formalmente
12.4 Se gestiona el cumplimiento de PCI DSS
12.5 El alcance de PCI DSS está documentado y validado
12.6 La educación sobre seguridad es una actividad continua.
12.7 El personal es evaluado para reducir los riesgos de amenazas internas
12.8 Se gestiona el riesgo para los activos de información asociados con las relaciones TPSP de proveedores de servicios de terceros.
12.9 Los proveedores de servicios de terceros (TPSP) respaldan el cumplimiento de PCI DSS de sus clientes.
12.10 Los incidentes de seguridad sospechosos y confirmados que podrían afectar al CDE se responden de inmediato
Consúltenos en : www.doblefactor.co
MONITOREO SOC: CUMPLIMIENTO ISO 27001
MONITOREO SOC: CUMPLIMIENTO ISO 27001
MONITOREO SOC: CUMPLIMIENTO ISO 27001
El cumplimiento de ISO 27001 requiere la agregación de datos de eventos de múltiples sistemas y la gestión de seguridad de activos confidenciales dentro de una empresa.
Nuestro servicio de monitoreo SOC agrega registros de auditoría, red y sistema de varias fuentes. Estos pueden ser firewalls, enrutadores, IDS/IPS, dispositivos de red, Windows, Linux/Unix, bases de datos, VMware ESX, servidores de correo, servidores web y más.
Nuestro servicio de monitoreo SOC le permite revisar rápidamente la información de activos críticos requerida para el cumplimiento de la norma ISO 27001 y aumenta la conciencia de los posibles riesgos de seguridad, vulnerabilidades y amenazas en su empresa.
Nuestro servicio de monitoreo SOC ofrece controles de seguridad esenciales para lograr el cumplimiento de la norma ISO 27001.
Se visualiza la información de seguridad crítica. Los incidentes de seguridad y las amenazas se hacen visibles en informes y paneles de alto nivel para revisiones en tiempo real.
Estos incluyen monitoreo de integridad de archivos, recopilación de actividades de administración de cuentas y registros de auditoría.
El monitoreo continuo de seguridad detecta rápidamente violaciones de políticas, actividades maliciosas dirigidas a activos confidenciales y cambios en archivos críticos.
La personalización de las plantillas de informes garantiza que los usuarios puedan generar y distribuir fácilmente informes relevantes en varios formatos (PDF, correo electrónico, etc.) para el cumplimiento normativo.
ISO 27001 (NORMA INTERNACIONAL)
ISO/IEC 27001 especifica formalmente un Sistema de gestión de la seguridad de la información (SGSI), un conjunto de actividades relacionadas con la gestión de los riesgos de la información (llamados “riesgos de seguridad de la información” en la norma). El SGSI es un marco de gestión general a través del cual la empresa identifica, analiza y aborda sus riesgos de información.
Nuestro servicio de monitoreo SOC ofrece controles de seguridad esenciales para lograr el cumplimiento de la norma ISO 27001
Nuestro servicio de monitoreo SOC garantiza que los arreglos de seguridad estén ajustados para mantenerse al día con los cambios en las amenazas de seguridad, las vulnerabilidades y los impactos comerciales, un aspecto importante en un campo tan dinámico y una ventaja clave del enfoque flexible basado en el riesgo de ISO27001 en comparación con, digamos, PCIDSS.
El estándar cubre organizaciones de todo tipo (por ejemplo, empresas comerciales, agencias gubernamentales, sin fines de lucro) de todos los tamaños (desde microempresas hasta grandes multinacionales) y todas las industrias o mercados (por ejemplo, comercio minorista, banca, defensa, atención médica, educación y gobierno).
Esta es claramente una gama muy amplia. ISO 27001 es el marco de gestión que sigue el ciclo de proceso de cuatro etapas conocido como Plan-Do-Check-Act para los controles de seguridad de la información.
Esto tiene como objetivo mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) dentro del contexto de los riesgos comerciales generales de la empresa.
Consúltenos en: www.doblefactor.co
FILTRACIÓN DE DATOS Y NEGLIGENCIA DE EMPLEADOS, PRINCIPALES PROBLEMAS DE CIBERSEGURIDAD
FILTRACIÓN DE DATOS Y NEGLIGENCIA DE EMPLEADOS, PRINCIPALES PROBLEMAS DE CIBERSEGURIDAD
imagen
FILTRACIÓN DE DATOS Y NEGLIGENCIA DE EMPLEADOS, PRINCIPALES PROBLEMAS DE CIBERSEGURIDAD
Entre los problemas de seguridad más frecuentes a los que se enfrentan las pymes y grandes empresas de Latinoamérica están las filtraciones de datos de los sistemas internos causadas por ciberataques (25 %) o por empleados (24 %).
Así lo dio a conocer el reporte IT Security Economics de Kaspersky, en el que se estableció que las crecientes preocupaciones sobre la protección de datos también hacen que los líderes presten cada vez más atención a las políticas de transparencia de sus proveedores.
De igual forma, la digitalización global ha llevado inevitablemente a que se comparta y almacene en línea una cantidad masiva de información. Así mismo, se prevé que el volumen de datos generados, consumidos, copiados y almacenados alcance más de 180 zettabytes para 2025.
Es que la pérdida o exposición de información corporativa y de clientes debido a una violación de datos resulta en un gran dolor de cabeza para las empresas, pues el 53.8 % de las personas mencionaron este problema como el aspecto más desafiante relacionado con la seguridad informática.
Además, entre las preocupaciones más comunes se encuentran el costo de asegurar entornos tecnológicos cada vez más complejos (37.7 %) y problemas con la adopción de la infraestructura en la nube (34.3 %).
Datos de 1.500 millones de usuarios de Facebook están a la venta en la dark web
DESAFÍOS DE SEGURIDAD
Yuliya Shlychkova, directora de Asuntos Públicos, dio a conocer que, en cuanto a los desafíos de seguridad que se encontraron en América Latina, los encuestados en su mayoría indicaron las fugas de datos de los sistemas internos causadas por los ciberataques (25 %) y por empleados (24 %).
Particularmente, dichos incidentes superaron la identificación de vulnerabilidades en el sistema de TI (tecnologías de la información) de las empresas (18.4 %), así como los incidentes que afectan la infraestructura de TI alojada por un tercero (17.6 %).
Así mismo, ya que la protección de datos se ha convertido en el problema de seguridad empresarial más alarmante, las compañías están otorgando una gran importancia a las políticas de transparencia de sus proveedores y contratistas.
También, el 94 % de las personas en la región considera que la presencia o ausencia de políticas de transparencia es importante para hacer negocios con un proveedor o contratista. Aunque el 82 % de las organizaciones ya cuentan con políticas de transparencia, el 87% confirmó su disposición a invertir recursos para desarrollarlas aún más.
Anonymous publica los datos personales de 5.400 funcionarios de Policía Nacional
MAS CONSCIENTES
Según Shlychkova, actualmente “vemos que las organizaciones están siendo más conscientes de la seguridad de los datos y que un enfoque responsable para su gestión se está volviendo esencial al considerar proveedores y contratistas”.
Según la experta, con fin de minimizar el riesgo de cualquier ataque y violación de datos para las empresas, se recomienda utilizar una protección de endpoints con un historial comprobado que proporcione capacidades de detección y respuesta ante amenazas.
Así mismo, se requiere una capacitación integral de concientización sobre seguridad cibernética que enseñe cómo evitar las amenazas de seguridad comunes para reducir la probabilidad de incidentes causados por los empleados, entre otros. Igualmente, de acuerdo con la experta, los servicios de protección administrados ayudarán a las organizaciones en su investigación de ataques.
Tomado de:
https://www.semana.com/economia/empresas/articulo/filtracion-de-datos-y-negligencia-de-empleados-entre-los-principales-problemas-de-ciberseguridad/202346/
TUMBARON AGENCIA DE CIBERSEGURIDAD DEL PND
TUMBARON AGENCIA DE CIBERSEGURIDAD DEL PND
TUMBARON AGENCIA DE CIBERSEGURIDAD DEL PND
Durante el debate del Plan Nacional de Desarrollo se eliminaron los artículos 307 y 308 que daban vía a la denominada Agencia Nacional de Ciencia, Tecnología e Innovación, así como a la Agencia Nacional de Seguridad Digital y Asuntos Espaciales, esta última estructural en las políticas públicas de ciberseguridad y protección contra la delincuencia digital.
Agencia de Ciberseguridad del Plan Nacional de Desarrollo.
En palabras de Saúl Kattan, consejero de Transformación Digital de la Presidencia, se trata de una situación – “muy grave que abre un gran boquete para el país. Estamos desprotegidos y en riesgo de sufrir ataques informáticos”, explicó.
“En todos los países del mundo existen agencias de ciberseguridad.”
Esta semana, tras participar en una mesa de diálogo nacional en la Casa de Nariño, Saúl Kattan, asesor del presidente colombiano Gustavo Petro en materia de transformación digital, publicaba en Twitter que “una nueva Agencia Nacional de Seguridad Digital y Asuntos Espaciales, de carácter civil, permitirá fortalecer la economía digital, la protección contra los ciberataques e impulsar proyectos que posibiliten fortalecer el ecosistema digital”.
Con este anuncio, Kattan ha confirmado que Colombia creará una Agencia Nacional de Seguridad y Asuntos Espaciales que, previsiblemente, se hará realidad en el segundo semestre de 2023. Y a la misma se le asignarán, entre otros, los siguientes cometidos:
Diseñar e implementar una estrategia para proteger las infraestructuras críticas cibernéticas del país.
Definir las medidas de seguridad de la información de los organismos gubernamentales y de las personas frente a los ataques cibernéticos.
De igual manera, todo apunta a que la Agencia Nacional de Seguridad y Asuntos Espaciales contará con dos direcciones:
Dirección Nacional de Seguridad Digital. A través de ella se planificarán, coordinarán y articularán las actividades de seguridad del ecosistema digital. Asimismo, se generarán hábitos de uso seguro y mecanismos que faciliten actuar ante los riesgos digitales.
Dirección Nacional de Asuntos Espaciales. Una de sus principales misiones será la toma de imágenes satelitales que, entre otros objetivos, contribuyan a luchar contra la deforestación y la minería ilegal.
Según Kattan, la eliminación de dicha Agencia Nacional de Seguridad Digital y Asuntos Espaciales es una “visión miope y un error histórico de algunos congresistas que alegan un supuesto riesgo de que se utilice para interceptar o espiar al ciudadano del común, lo cual es ilógico”.
Para el consejero TIC de la Presidencia, “en todos los países del mundo existen agencias de ciberseguridad” las cuales articulan las tareas, acciones y políticas públicas y privadas para proteger a la ciudadanía, al sector privado y las entidades de ataques digitales.
“Se abren riesgos de que nos ataquen (bandas digitales) y nos paralicen como ya lo hemos sufrido con otras entidades, en EPM, Sanitas, la Fiscalía o como el mismo Congreso”, señaló Kattan como ironía de la eliminación del artículo en debate parlamentario.
¿Qué era la Agencia de Seguridad Digital y Asuntos Espaciales?
Según el Departamento Nacional de Planeación, dicha entidad tenía como “propósito planificar, coordinar y articular las actividades que fomenten la preparación y la resiliencia del país, la generación de hábitos de uso seguro y los mecanismos que aseguren el actuar del Estado ante posibles riesgos digitales”.
También, se encargaría de la “construcción de un Plan Nacional de Observación de la Tierra” para impulsar la adquisición de imágenes satelitales, con las cuales “se pueda trabajar de mejor manera en la solución de problemas estructurales como la deforestación, la minería ilegal, la gestión del riesgo y el ordenamiento territorial, entre otros”.
En su diseño y estructuración participaron expertos del sector privado, el Ministerio de las TIC, académicos e incluso contaba ya con el respaldo técnico y económico de la Comisión Europea.
Por otra parte, el Ministerio de Tecnologías de la Información y Comunicaciones (MinTIC) ha anunciado que el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (ColCERT) dispondrá de un presupuesto de 10.000 millones de pesos en 2023.
El ColCERT es el punto de contacto para coordinar la prevención, mitigación, gestión y respuesta ante incidentes de seguridad digital nacional tanto en el sector público como en el privado. En 2022 este grupo atendió 287 incidentes cibernéticos.
Tomado de: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/tumbaron-agencia-de-ciberseguridad-del-plan-nacional-de-desarrollo-752893
VENTAJAS DE LA CIBERSEGURIDAD COMO SERVICIO
VENTAJAS DE LA CIBERSEGURIDAD COMO SERVICIO
VENTAJAS DE LA CIBERSEGURIDAD COMO SERVICIO
BENEFICIOS
El esquema de ciberseguridad como servicio (CyberSaas) confiere muchísimas ventajas, donde la reina de todas es la enorme flexibilidad que brinda; a saber: se pueden elegir los servicios y las soluciones de ciberseguridad que realmente se necesitan para hacer frente a las prioridades de la organización, de acuerdo con el presupuesto disponible.
AHORRO DE TIEMPO
Al identificar las actividades correctas y tener el acceso a todos los recursos, optimizará el tiempo invertido. Esto permite, a su vez, reducir al máximo el tiempo perdido.
FACILIDAD Y SENCILLEZ
Contar con la disposición de todos los recursos de forma fácil y sencilla optimiza muchísimo la gestión del negocio.
REDUCCIÓN DE RIESGOS
Tener un esquema de CyberSaaS es clave para identificar y administrar de manera efectiva los riesgos y amenazas de ciberseguridad. Al conocer los riesgos se podrán tomar las medidas necesarias.
Poner el foco en CyberSaaS es un factor clave a la hora de gestionar la conectividad de los usuarios y los dispositivos. Ahora estamos cada vez más conectados, por ejemplo, con el Internet de las Cosas, con los startups que ya nacen nativas digitales y con la migración al iCloud, debemos ser mucho más exhaustivos con la seguridad.
Consúltanos en: https://doblefactor.co