Número 2

Bienvenida

Bienvenidos al lugar de lectura de nuestra newsletter, está dedicada especialmente a todos los miembros del Capítulo Español de ISC2.

En este número:

• Inteligencia Artificial y Ciberseguridad (Capítulo 2): Este artículo explora cómo la IA puede ayudar a detectar anomalías y prevenir ataques.

• NIS2 y DORA: Interconexión, similitudes y diferencias: Aclaramos las dudas sobre estas dos normativas que buscan reforzar la ciberseguridad en la Unión Europea.

• Primer gran incidente de ciberseguridad del 2024, AnyDesk comprometido por Hackers: Informamos sobre el ataque a AnyDesk y las recomendaciones para los usuarios.

Noticias Importantes acerca del ISC2:

• ISC2 colabora con IBM para lanzar un certificado de ciberseguridad de nivel Introductorio: Este nuevo programa de formación integral, proporciona a cualquier profesional, incluso sin conocimientos previos, experiencia práctica en ciberseguridad y habilidades muy demandadas para iniciar sus carreras en este campo.

• Evento virtual gratuito ISC2 Spotlight acerca de GRC: Únete a este evento para aprender sobre las mejores prácticas en gobierno, riesgo y cumplimiento (GRC)

Inteligencia Artificial y Ciberseguridad (Capítulo 2)

Aprovechamiento de la inteligencia artificial (AI) para el análisis de comportamiento en la detección de anomalías de ciberseguridad

En el panorama en constante evolución de la ciberseguridad, las organizaciones enfrentan una tarea abrumadora: detectar y mitigar anomalías que podrían significar amenazas o infracciones potenciales. A medida que los ciberataques se vuelven más sofisticados, las medidas de seguridad tradicionales por sí solas suelen resultar insuficientes. Sin embargo, la llegada de la Inteligencia Artificial (AI) ha marcado el comienzo de una nueva era de la ciberseguridad, ofreciendo capacidades avanzadas para el análisis de comportamiento y la detección de anomalías. Este artículo explora cómo la AI está revolucionando el análisis de comportamiento para la detección de anomalías en la ciberseguridad, sus metodologías, aplicaciones y las implicaciones para el futuro de la ciberdefensa.

Las tecnologías de inteligencia artificial, incluidos los algoritmos de aprendizaje automático y los modelos de aprendizaje profundo, están a la vanguardia de las estrategias modernas de ciberseguridad. Estas técnicas avanzadas permiten a las organizaciones analizar grandes cantidades de datos, identificar patrones y detectar anomalías con una precisión y eficiencia sin precedentes. En el análisis de comportamiento, los sistemas impulsados por AI pueden aprender de datos históricos para establecer comportamientos de referencia e identificar rápidamente desviaciones que pueden indicar actividades maliciosas o violaciones de seguridad.

El análisis del comportamiento impulsado por la AI en ciberseguridad abarca una variedad de metodologías y técnicas. Los algoritmos de aprendizaje automático, como el aprendizaje supervisado, el aprendizaje no supervisado y el aprendizaje por refuerzo, se emplean para entrenar modelos en conjuntos de datos etiquetados e identificar patrones anómalos. Las técnicas de aprendizaje profundo, incluidas las redes neuronales y las redes neuronales convolucionales (CNN), se destacan en la extracción de características complejas y la detección de anomalías sutiles dentro de conjuntos de datos a gran escala. Además, los sistemas de detección de anomalías impulsados por AI aprovechan técnicas de puntuación de anomalías y algoritmos de agrupación de anomalías para priorizar las alertas y minimizar los falsos positivos.

Las aplicaciones del análisis del comportamiento impulsado por la AI en la ciberseguridad son diversas y de gran alcance. En la seguridad de la red, los sistemas de detección de intrusiones (IDS) impulsados por AI analizan los patrones de tráfico de la red en tiempo real para detectar y responder a posibles amenazas. De manera similar, en la seguridad de punto final (endpoints), las soluciones de detección de anomalías basadas en AI monitorean las actividades de los usuarios, los procesos del sistema y los comportamientos de las aplicaciones para identificar intentos de acceso no autorizados o actividades maliciosas. Además, las plataformas de análisis de seguridad impulsadas por AI brindan una visibilidad integral de los incidentes de seguridad, lo que permite a los equipos de seguridad responder de manera rápida y efectiva a las amenazas emergentes.

A pesar de su inmenso potencial, el análisis del comportamiento en ciberseguridad impulsado por la AI enfrenta varios desafíos. Estos incluyen la necesidad de conjuntos de datos etiquetados de alta calidad, la interpretabilidad de los modelos de AI y el potencial de ataques adversarios. Además, a medida que las amenazas cibernéticas continúan evolucionando, los sistemas de detección de anomalías basados en AI deben adaptarse y evolucionar para seguir el ritmo de las amenazas emergentes. Las direcciones futuras en el análisis del comportamiento impulsado por la AI incluyen la integración de fuentes de inteligencia sobre amenazas, el desarrollo de modelos de AI explicables y la adopción de técnicas de aprendizaje federado para mejorar la privacidad y la seguridad.

El análisis de comportamiento impulsado por AI representa un cambio de paradigma en la ciberseguridad, al ofrecer a las organizaciones capacidades avanzadas para la detección de anomalías y la mitigación de amenazas. Al aprovechar el poder de las tecnologías de IA, las organizaciones pueden analizar grandes cantidades de datos, identificar patrones y detectar anomalías con una velocidad y precisión sin precedentes. A medida que las ciberamenazas sigan evolucionando, el análisis del comportamiento impulsado por la AI desempeñará un papel cada vez más vital para salvaguardar los activos sensibles y preservar la integridad de las infraestructuras digitales. A través de la innovación, la colaboración y la inversión continuas en soluciones de ciberseguridad impulsadas por la IA, las organizaciones pueden adelantarse a las amenazas emergentes y construir defensas resistentes contra los ciberataques.

En los próximos artículos de nuestra newsletter seguiremos explorando el tópico AI y cobrindo los siguientes temas:

• Respuesta y mitigación automatizadas

• Desafíos y consideraciones éticas / regulaciones

Autor: Diogo Donadoni

NIS2 y DORA: Interconexión, similitudes y diferencias:

La literatura publicada en relación con la directiva NIS2 (Network and Information Security 2) y el reglamento DORA (Digital Operational Resilience Act) es amplia y extensa desde que ambos documentos se promulgaron en el Diario Oficial de la Unión Europea en el mes de diciembre de 2022.

Es ya sobradamente conocido que ambas normativas persiguen reforzar la ciberseguridad y resiliencia en el conjunto de la Unión Europea y, sin embargo, algunas cuestiones siguen generando dudas a las distintas organizaciones que les son de aplicación e incluso entre los profesionales de la seguridad de la información. Intentaremos, en esta entrega, clarificar algunos conceptos básicos, pensando especialmente en aquellas personas no tan familiarizadas con el ámbito GRC (Gobierno, Riesgo y Cumplimiento) y a las que este tipo de directrices y regulaciones les pueden resultar de difícil comprensión.

Naturaleza

En la Unión Europea, los reglamentos y directivas son instrumentos legislativos usados para establecer normas y políticas que afectan a los estados miembros, pero existen sutiles diferencias entre ellos.

Podemos destacar como aspecto más significativo que, mientras que los reglamentos son directamente aplicables y vinculantes en todos los Estados miembros sin necesidad de transposición, las directivas establecen objetivos que deben alcanzarse, pero requieren acción (imperativamente) a nivel nacional para su implementación.

Objeto

La directiva NIS2 (Directiva UE 2022/2555) sustituye a la actual (NIS), estableciendo requisitos en materia de ciberseguridad y obligaciones de supervisión para los Estados miembros, medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades bajo el alcance de su aplicación, así como normas en cuanto al intercambio de información relacionada. También es reseñable añadir que esta directiva contempla especialmente la seguridad en la cadena de suministro y la responsabilidad de la ciberseguridad por parte de la alta dirección.

Por su lado, el reglamento DORA (Reglamento UE 2022/2554) nace con la intención de armonizar y elevar el nivel de resiliencia operativa digital de entidades del sector financiero y asegurador, estableciendo requisitos y normas relativos a la seguridad de las redes y los sistemas de información que sustentan los procesos de negocio de estas organizaciones: gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia, intercambio de información e inteligencia, acuerdos y supervisión de proveedores de servicios TIC, entre otros.

Alcance  

Por una parte, NIS2 define las entidades bajo su alcance en sus anexos I y II, siendo principalmente organizaciones medianas y grandes de los sectores críticos para la economía y la sociedad. Esta nueva directiva realiza una nueva categorización de las entidades a las que le afecta, distinguiendo entre esenciales e importantes. No obstante, corresponderá a los Estados miembros de la Unión elaborar una lista de las entidades esenciales e importantes, a más tardar, el 17 de abril de 2025.

En cuanto a DORA, su artículo 2 define el ámbito de aplicación de este reglamento, diferenciándose especialmente aquellas organizaciones denominadas como “entidades financieras”. Como muy relevante, cabe destacar que este reglamento afecta también a los proveedores terceros de servicios TIC de estas organizaciones.

Por tanto, ateniéndonos a las consideraciones aquí expuestas, amén de las disposiciones que podemos encontrar en la redacción del reglamento y directiva citados, DORA define las directrices a seguir en materia de ciberseguridad y resiliencia por parte de las entidades financieras definidas como tal en su alcance (apartado 2 del Artículo 2), no debiendo aplicarse a estas las disposiciones de la directiva NIS2 por parte de los estados miembros.

Entrada en Vigor  

Tanto la directiva NIS2 como el reglamento DORA entraron en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Ahora bien:

• Los Estados miembros deben adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la directiva NIS2. Estas disposiciones serán de aplicación a partir del 18 de octubre de 2024.

• El reglamento DORA será de aplicación a partir del 17 de enero de 2025, con lo que las entidades afectadas disponen de un pequeño lapso de tiempo adicional para adecuarse al mismo.

Estado actual y consideraciones

Como se ha indicado, España como estado miembro de la Unión, debe transponer la directiva NIS2 a su ordenamiento jurídico. En este sentido, nuestros legisladores ya se encuentran trabajando en la nueva norma que deje atrás el actual Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (NIS).

Si bien no se espera la promulgación de la citada transposición hasta fechas cercanas a la de aplicación, las organizaciones obligadas a su cumplimiento ya debieran estar adecuándose en pro de cumplir con los principales requisitos de esta regulación europea. Sin duda alguna, esta tarea será mucho más sencilla para aquellas organizaciones que se encuentren ya alineadas con la aún en vigor directiva NIS y con un marco de gestión reconocido para la gestión de su programa de seguridad de la información, como ISO/IEC 27001 o nuestro Esquema Nacional de Seguridad (ENS).

Igualmente, las entidades afectadas por el reglamento DORA aún tienen margen de maniobra para su adecuación. Para ello, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron el pasado 17 de enero el primer conjunto de proyectos finales de normas técnicas, donde se recogen requisitos específicos que complementan a aquellos exigidos por el reglamento. Cabe añadir que tanto para la promulgación del reglamento como de las normas técnicas relacionas se han considerado debidamente los estándares europeos e internacionales existentes sobre gestión de riesgos de TIC, así como las Directrices de la EBA ya existentes sobre TIC y gestión de riesgos de seguridad (2019), las Directrices de EIOPA sobre seguridad y gobernanza de las TIC (2020), la Directiva NIS2, así como NIST CSF y los estándares de la familia ISO/IEC 27000 entre otras medidas de relevancia.

En este sentido, aquellas entidades consideradas en el alcance del reglamento DORA necesitarán un esfuerzo mucho menor para evitar sanciones derivadas de su incumplimiento si ya se encuentran adecuadas, según su naturaleza, a las directrices sobre gestión de riesgos de TIC y de Seguridad (EBA/GL/2019/04) o bien a las directrices sobre gobernanza y seguridad de las tecnologías de la información y de las comunicaciones (EIOPA-BoS-20/600).

Autor: Luis Quian

Primer gran incidente de Ciberseguridad del 2024, AnyDesk comprometido por hackers 

AnyDesk, la popular solución de acceso remoto, confirmó que fue víctima de un ciberataque el 2 de febrero de 2024. Los atacantes lograron infiltrarse en los sistemas de producción de la empresa, robando el código fuente y las claves privadas de firma de código. 

Este programa es muy utilizado por empresas, con el que dan soporte remoto a ordenadores de usuarios o para acceder a servidores remotos.  El software también es usado por actores maliciosos que lo aprovechan para tener acceso persistente a los dispositivos y redes comprometidos.  La compañía afirma que tiene más de 170,000 clientes, entre los que se encuentran 7-Eleven, Comcast, Samsung, MIT, NVIDIA, y las Naciones Unidas.  

En un comunicado, AnyDesk dice que se dieron cuenta del ataque tras detectar señales de un incidente en sus servidores de producción. Tras realizar una auditoría de seguridad, descubrieron que sus sistemas estaban comprometidos y activaron un plan de respuesta con la colaboración de la empresa de ciberseguridad CrowdStrike.

AnyDesk no reveló si los atacantes accedieron a datos sensibles durante el incidente. Pero se ha sabido que los agresores se hicieron con el código fuente y los certificados de firma de código.

La empresa también indicó que no hubo ransomware involucrado, pero no dio mucha información sobre el incidente, aparte de decir que sus servidores fueron comprometidos, y el aviso se enfocó principalmente en cómo actuaron frente al problema.

Como parte de su actuación, AnyDesk dice que han anulado los certificados relacionados y han reparado o sustituido los sistemas según fuera necesario. También aseguraron a los clientes que AnyDesk era seguro de usar y que no había pruebas de que los dispositivos de los usuarios finales se vieran afectados por el incidente.

"Podemos confirmar que la situación está bajo control y que es seguro usar AnyDesk. Asegúrese de que está usando la última versión, con el nuevo certificado de firma de código", dijo AnyDesk en una declaración pública.

Aunque la empresa dice que no se robaron tokens de autenticación, por precaución, AnyDesk está anulando todas las contraseñas de su portal web y sugiere cambiar la contraseña si se usa en otros sitios.

Además, aunque AnyDesk dice que las contraseñas no fueron robadas en el ataque, los atacantes obtuvieron acceso a los sistemas de producción, por lo que se recomienda encarecidamente que todos los usuarios de AnyDesk cambien sus contraseñas. Además, si usan su contraseña de AnyDesk en otros sitios, también deben cambiarlas allí.

Sin embargo, el 3 de febrero, Resecurity identificó múltiples actores que vendían acceso a credenciales comprometidas de AnyDesk en foros de ciberdelincuentes. Uno de estos actores de amenazas, con el alias de "Jobaaaaa", enumeró más de 18,000 credenciales de clientes de AnyDesk a la venta en Exploit[.]en, un prominente foro de la Dark Web, a la venta por 15.000 USD. 

Los datos de este tipo pueden tener distintos orígenes dependiendo de las tácticas, técnicas y procedimientos (TTP) propios de cada actor. Aunque se piensa que esta filtración de credenciales se debe a infecciones de malware que roban información, esta incertidumbre plantea una nueva preocupación. Si se acepta como válida la hipótesis mayoritaria del malware que roba información y en vista del último incidente revelado, el cambio de contraseña sería una medida de mitigación imprescindible para todos los clientes de AnyDesk. Los usuarios finales de AnyDesk son administradores de TI, que suelen ser el blanco de estos actores. Por eso, es fundamental que AnyDesk se asegure de que este ciberataque no haya comprometido el acceso a ningún otro sistema crítico al que sus administradores de TI puedan tener acceso privilegiado.

Además de los operadores clandestinos de ransomware, los estafadores en línea han abusado previamente de AnyDesk y lo han puesto en práctica en varios esquemas fraudulentos. AnyDesk describe la tipología de ataque más común en su sitio web: Técnicos de soporte ficticios de Microsoft (u otra empresa tecnológica) que afirman que necesitan limpiar tu dispositivo de software malicioso y te piden que instales AnyDesk para el acceso remoto para parchear un error en tu sistema. Los estafadores siempre intentan ganarse tu confianza fingiendo representar a una empresa legítima.  Desafortunadamente, los estafadores han tenido éxito en el uso de técnicas avanzadas de ingeniería social, lo que ha llevado a las víctimas a caer en estafas, a pesar de las numerosas advertencias y avisos publicados por los proveedores de TI y la comunidad de ciberseguridad.

Conclusión

En resumen, un nuevo ejemplo de ataque sobre la cadena de suministro que realza la necesidad de medidas de seguridad adicionales, como son la utilización de autenticación de dos factores, listas blancas para restringir los sistemas remotos autorizados y el uso de sistemas de monitorización para detectar cambios inesperados de contraseña y MFA para las cuentas de los clientes, las sesiones sospechosas y los posibles correos electrónicos de phishing.

Fuentes: Anydesk, BleepingComputer, Resecurity

Autor: Alejandro Adalid

Formación y Educación ISC2 - Systems Security Certified Practicioner

Nuestra más reciente guía dedicada a la Certificación ISC2 (SSCP) en Formación y Educación! 

Esta certificación es reconocida como un sello de excelencia en el campo de la seguridad de sistemas. En nuestra guía, exploramos los detalles esenciales de esta certificación, desde los temas cubiertos hasta los requisitos para poder obtenerla. Descubre los beneficios profesionales y las oportunidades de crecimiento que esta certificación puede brindar a los profesionales en el competitivo mundo de la ciberseguridad.

¡No te pierdas esta valiosa información que podría impulsar su carrera en ciberseguridad!.