Un sistema de alerta temprana (alias, Control de anomalías adaptativo).

Lo más probable es que, si de normal trabajas en una oficina, esta esté todavía bastante vacía o por completo, como la nuestra. En nuestras oficinas centrales, las únicas personas que verás de forma ocasional son los guardias de seguridad y el único ruido que escucharás será el zumbido de los sistemas de refrigeración de nuestros servidores que trabajan a tope, ya que todos están conectados desde casa.

Nunca imaginarías que, sin verlos, nuestras tecnologías, expertos y productos están trabajando las 24 horas, los 7 días de la semana, protegiendo el cibermundo. Y ahí están. Mientras, los chicos malos siguen haciendo de las suyas. Por ello, tenemos un sistema de alerta temprana en nuestra colección de herramientas de ciberprotección. Pero retomaré este tema más adelante…

El papel de un experto en seguridad informática se asemeja en cierto modo al de un guardabosques: atrapar a los cazadores furtivos (malware) y neutralizar la amenaza que representan para los habitantes del bosque, pero, primero tienes que encontrarlos. Por supuesto, puedes esperar a que se dispare el rifle de un cazador furtivo y correr hacia el estruendo, pero eso no excluye la posibilidad de que llegues demasiado tarde y que lo único que puedas hacer sea limpiar el desastre.

Podrías volverte completamente paranoico: colocando sensores y cámaras de vídeo en todo el bosque, pero podrías acabar reaccionando a cualquier susurro (y pronto perderías el sueño y, después, la cabeza). Pero cuando te das cuenta de que los cazadores furtivos han aprendido a esconderse realmente bien, hasta el punto de no dejar rastro de su presencia, queda claro que el aspecto más importante de la seguridad es la capacidad de diferenciar los eventos sospechosos de los normales e inofensivos.

Cada vez son más los cibercazadores furtivos que se camuflan con la ayuda de herramientas y operaciones perfectamente legítimas.

Por ejemplo: abriendo un documento en Microsoft Office, otorgando acceso remoto a un administrador del sistema, iniciando un script en PowerShell y activando un mecanismo de cifrado de datos. Luego está la nueva ola del llamado malware sin archivo, que no deja ni un solo rastro en un disco duro, lo que limita seriamente la efectividad de las estrategias tradicionales de protección.

Algunos ejemplos son (i) el actor de la amenaza Platinum que utilizó tecnologías sin archivo para penetrar en los ordenadores de las organizaciones diplomáticas o, por otro lado, (ii) los documentos de Office con carga maliciosa que se utilizaron para las infecciones por phishing en las operaciones de la APT DarkUniverse; y hay muchos más. Un ejemplo más: el cifrador de ransomware sin archivo “Mailto” (también conocido como Netwalker), que utilizó un script de PowerShell para cargar código malicioso directamente en la memoria de los procesos de confianza del sistema.

Ahora bien, si la protección tradicional no está a la altura, se puede intentar y prohibir a los usuarios una amplia gama de operaciones e introducir políticas estrictas sobre el acceso y el uso del software. Sin embargo, tanto los usuarios como los malos probablemente acabarían encontrando la forma de sortear estas prohibiciones (al igual que pasa con la prohibición del alcohol).

Lo mejor sería encontrar una solución que pueda detectar anomalías en los procesos estándar y que informe al administrador del sistema sobre ellas. Pero lo que es crucial es que esta solución pueda aprender a determinar automáticamente y con precisión el grado de “sospecha” de los procesos en toda su gran variedad, para no atormentar al administrador del sistema con constantes falsos positivos.

Bueno, lo has adivinado, tenemos esa solución: Adaptive Anomaly Control, un servicio basado en tres componentes principales: reglas, estadísticas y excepciones.

Seguir leyendo:Un sistema de alerta temprana (alias, Control de anomalías adaptativo).

El ciberpasado, octava parte: 1998-2000 (3 primeras veces: restructuración, oficina en el extranjero, conferencia de socios).

Los primeros años posteriores a la fundación de la compañía fueron los más difíciles de todos, ya que tuvimos que dedicar muchos esfuerzos, es decir, reventarnos. Era como si estuviéramos comprimiendo un muelle que solo se lanzaría más tarde para llevar a la compañía a lo más alto y en la dirección correcta de nuestros sueños más inimaginables (ten cuidado con lo que sueñas :). Después del registro formal de KL en 1997, con muy poco conseguimos mucho. No teníamos dinero ni recursos, pero el transportador de ciberseguridad no esperaba a nadie: se necesitaban nuevas tecnologías y el mercado demandaba nuevos productos. Así que trabajamos sin descanso, incluso los fines de semana y casi sin vacaciones. Pero ¿en qué estábamos trabajando? Aquí te dejo un ejemplo…

Junio ​​de 1998: la epidemia mundial del virus Chernobyl (CIH). Todas las demás compañías de AV no lo notaron o no se molestaron en ello o, simplemente, estaban de vacaciones; fuimos casi los únicos que lanzamos un producto que no solo atrapaba, sino que también curaba los sistemas infectados con este patógeno. La red informática mundial (es decir, ya no solo Runet) estaba repleto de enlaces a nuestro sitio. Así es como fuimos recompensados ​​por nuestras rápidas reacciones a las nuevas amenazas, eso y nuestra capacidad de lanzar actualizaciones rápidas con procedimientos para el tratamiento de amenazas específicas. Esta amenaza de virus específica se instalaba de forma astuta en la memoria de Windows, interceptaba las llamadas de acceso a archivos y los archivos ejecutables infectados, por lo que requería un proceso de disección diseñado a medida que hubiera sido imposible de entregar sin una funcionalidad flexible de actualizaciones.

Fue duro: sí; pero empezábamos a crecer y a recoger nuestros frutos. Y luego, dos meses después, recibimos una mano amiga (¿del destino?) y de lo más inesperada…

Agosto de 1998: la crisis financiera rusa, que supuso la devaluación del rublo y el incumplimiento de la deuda rusa. Esta crisis perjudicó a la mayoría de los rusos, pero tuvimos mucha suerte: todos nuestros socios extranjeros nos pagaron por adelantado en moneda extranjera. Éramos un exportador. Nuestra moneda operativa/en circulación: un rublo muy devaluado; nuestros ingresos: dólares, libras esterlinas, yenes, etc. ¡Estábamos ganando mucho dinero!

Pero no descansamos en medio de esta crisis financiera. Usamos este período para incorporar nuevos gerentes profesionales, ¡muy caros! Pronto tuvimos directores comerciales, técnicos y financieros. Y un poco más tarde, comenzamos a contratar también gerentes de nivel medio. Esta fue nuestra primera “reestructuración”, cuando el “equipo” se convirtió en una “empresa”; cuando las relaciones amistosas y orgánicas fueron reemplazadas por una estructura organizacional más formal, de subordinación y responsabilidad. La reestructuración pudo haber sido dolorosa, pero afortunadamente no fue así: simplemente seguimos adelante sin sentir demasiada nostalgia por los viejos tiempos más familiares.

// Para todo este tema de reorganización-reestructuración-“reingeniería”, recomiendo este libro realmente bueno de Michael Hammer y James Champy. Para más libros interesantes, no te pierdas este artículo.

En 1999 abrimos nuestra primera oficina en el extranjero, en Cambridge, Reino Unido. Pero, si el mercado británico es posiblemente uno de los más difíciles de descifrar para los extranjeros, ¿por qué elegimos ese sitio? En realidad, fue pura casualidad (te contaré cómo a continuación). Aun así, teníamos que comenzar por algún lugar y, de todos modos, nuestras primeras experiencias en el Reino Unido, que incluyen muchos errores y lecciones aprendidas, ayudaron a que el desarrollo de la empresa en otros países fuera mucho más fácil…

Nuestra primera gira de prensa tuvo lugar en Londres, pues ya estábamos en la capital británica para una conferencia de seguridad informática (InfoSecurity Europe). En esa gira de prensa, anunciamos con orgullo nuestra intención de abrir una oficina en el Reino Unido. Pero, como los periodistas simplemente se limitaron a preguntar el por qué, dado que ya estaban cómodamente establecidos en el país Sophos, Symantec, McAfee, etc., rápidamente cambiamos el discurso al modo geek: les contamos todo sobre la innovación de nuestra empresa y sobre nuestras tecnologías y productos únicos y cómo, gracias a ellos, éramos mejores que la competencia que acababan de mencionar. La reacción fue de interés y sorpresa (y otra de las ventajas fue que ¡desde entonces nunca se hemos recibido este tipo de preguntas tontas!). Mientras tanto, en InfoSecurity Europe pronuncié mi primer discurso ante una audiencia de habla inglesa compuesta por… dos periodistas, que resultaron ser de nuestros amigos de Virus Bulletin que ya sabían mucho sobre nosotros. Aun así, esa fue la primera, y la última, vez en la que no llenamos una representación (por cierto: más información, aquí).

En cuanto a nuestra primera conferencia de socios, así fue como sucedió…

En algún momento del invierno de 1998-1999 fuimos invitados a la conferencia de socios de nuestro socio OEM F-Secure (Data Fellows). Y así es como aprendimos el formato completo de este tipo de conferencias y cuál es la idea principal: reunir a todos, compartir toda la información más reciente sobre las tecnologías y productos, escuchar las preocupaciones y problemas de los socios y discutir nuevas ideas. Así que, un año después (en 1999) organizamos nuestra propia conferencia, invitando a unos 15 socios de Europa, Estados Unidos y México a Moscú. Aquí estamos todos, en la Plaza de la Revolución al lado de la Plaza Roja y el Kremlin:

Seguir leyendo:El ciberpasado, octava parte: 1998-2000 (3 primeras veces: restructuración, oficina en el extranjero, conferencia de socios).

Album de fotos de Flickr

Instagram

El juego del escondite con el malware sin archivo.

El código malicioso llega a todas partes…

Es un poco como el gas, que siempre llena el espacio en el que se encuentra, solo que diferente: siempre atravesará los “agujeros” (vulnerabilidades) de un sistema informático. Por tanto, nuestro trabajo (más bien, uno de ellos) es encontrar esos agujeros y taponarlos. Nuestro objetivo es hacerlo de forma proactiva; es decir, antes de que el malware los haya descubierto. Y, si encuentra los agujeros, estaremos esperando, listos para eliminarlo.

De hecho, es la protección proactiva y la capacidad de prever las acciones de los atacantes y crear de antemano una barrera lo que distingue una ciberseguridad excelente y de alta tecnología del marketing de pacotilla.

Hoy quiero hablarte sobre otra de las formas que utiliza nuestra protección proactiva para protegerte contra otro tipo de malware particularmente astuto. Sí, quiero hablarte de algo que se llama código malicioso sin archivo (también conocido como sin cuerpo): una clase de malware fantasma muy peligrosa que ha aprendido a usar los inconvenientes en la arquitectura de Windows para infectar ordenadores. Y también sobre nuestra tecnología patentada que combate esta ciberenfermedad cibernética. Y lo voy a hacer como te gusta a ti: explicando cosas complejas de una forma simple, a la luz, como un apasionante ciberthriller con elementos de suspenso).

En primer lugar, ¿qué significa sin archivo?

Bueno, el código sin archivo, una vez que se introduce dentro de un sistema informático, no crea copias de sí mismo en forma de archivos en el disco, evitando así la detección por métodos tradicionales, por ejemplo, con un monitor antivirus.

Entonces, ¿cómo existe ese “malware fantasma” dentro de un sistema? En realidad, ¡reside en la memoria de procesos confiables! ¡Oh sí, oh no!

En Windows (bueno, en realidad, no solo en Windows), siempre ha existido la capacidad de ejecutar código dinámico, que, en particular, se utiliza para la compilación en tiempo de ejecución; es decir, convertir el código del programa en código máquina no de forma inmediata, sino cuando sea necesario. Este enfoque aumenta la velocidad de ejecución en algunas aplicaciones. Y, para disponer de esta funcionalidad, Windows permite que las aplicaciones ubiquen código en la memoria de proceso (o incluso en otra memoria de proceso confiable) y lo ejecuten.

Desde el punto de vista de la seguridad no es la panacea, pero ¿qué puedes hacer? Es la forma en la que millones de aplicaciones escritas en Java, .NET, PHP, Python y otros lenguajes y para otras plataformas han funcionado durante décadas.

Como era de esperar, los ciberdelincuentes aprovecharon la capacidad de usar código dinámico, inventando varios métodos para abusar de él. Y uno de los métodos más prácticos y, por lo tanto, más extendidos que usan es algo llamado inyección de PE con reflexión. ¡¿Un qué?! Déjame que te lo explique (en realidad es bastante interesante, así que ten paciencia conmigo) …

Para lanzar una aplicación simplemente hay que hacer clic en su icono: bastante simple y directo, ¿verdad? Parece sencillo, pero detrás de ese movimiento hay mucho más: se activa un cargador del sistema, que toma el archivo respectivo del disco, lo carga en la memoria y lo ejecuta. Y este proceso estándar es controlado por monitores antivirus, que comprueban la seguridad de la aplicación sobre la marcha.

Ahora, cuando se produce una “reflexión”, el código se carga sin pasar por el cargador del sistema (y, por lo tanto, sin pasar por el monitor antivirus). El código se coloca directamente en la memoria de un proceso confiable, creando una “reflexión” del módulo ejecutable original. Dicha reflexión puede ejecutarse como un módulo real cargado por un método estándar, pero no está registrado en la lista de módulos y, como ya he dicho antes, no tiene un archivo en el disco.

Además, a diferencia de otras técnicas para la inyección de código (por ejemplo, mediante una shellcode), una inyección de reflexión permite crear código funcionalmente avanzado en lenguajes de programación de alto nivel y marcos de desarrollo estándar sin apenas limitaciones. Entonces, lo que obtienes es: (i) cero archivos, (ii) ocultación detrás de un proceso confiable, (iii) invisibilidad frente a las tecnologías de protección tradicionales y (iv) vía libre para causar estragos.

Así que, evidentemente, las inyecciones de reflexión tuvieron un gran éxito entre los desarrolladores de códigos maliciosos: al principio aparecían en paquetes de exploits y, más tarde, los ciberespías entraron en el juego (por ejemplo, Lazarus y Turla), después los ciberdelincuentes avanzados (ya que es una forma útil y legítima de ejecutar código complejo) y, por último, los pequeños ciberdelincuentes.

Ahora, al otro lado de las barricadas, encontrar una infección sin archivo no es nada fácil en el mundo cibernético. Por lo tanto, no es de extrañar que la mayoría de las marcas de ciberseguridad no pongan solución a este problema. Algunas apenas pueden hacerlo.

Seguir leyendo:El juego del escondite con el malware sin archivo.

Introduce tu dirección de e-mail para suscribirte a este blog

El ciberpasado, séptima parte: 1997 (la fundación de Mi Lab).

Vuelvo con otro episodio de cibernostalgia de la historia K, esta publicación nos lleva a un año muy especial para la compañía, ¡el año de su fundación! Y, como puedes ver por la fecha que aparece en nuestro certificado de registro de empresa, ese momento tuvo lugar el 26 de junio de 1997:

Y por eso celebramos una megafiesta de aniversario cada mes de junio, menos este año: la primera vez que nos hemos quedado sin fiesta. Una pena, ¿verdad? Pero ¿qué se va a hacer?

Recuerdo nuestra primera fiesta de aniversario en 1998, en una bolera bastante accidentada. No muy impresionados con el entorno, compensamos al año siguiente: y nos ramificamos aún más en el campo que rodea Moscú, donde ha tenido lugar el evento todos los años desde entonces, y donde espero que vuelva el año que viene.

Y otro dato curioso de este cuento de K del verano de 1997…

Seguir leyendo:El ciberpasado, séptima parte: 1997 (la fundación de Mi Lab).

Explorando Rusia: Turismo ÷ encierro × acelerador = ¡podio de ganadores!

A mediados de esta pasada primavera, cuando todos estábamos encerrados en casa, se hizo evidente que las cosas se veían turbias para el mundo y se mantendrían así durante mucho tiempo. Las empresas se verían muy afectadas, por decirlo suavemente, mientras que la industria del turismo acabaría bastante devastada, y muchas de sus empresas no superarían la crisis. Así que en K hicimos lo que a menudo siempre hacemos: pensar seriamente y encontrar una solución para ayudar a las industrias más afectadas.

A principios de mayo anuncié que el acelerador de turismo “Kaspersky Exploring Russia” había comenzado a aceptar solicitudes. Pero nunca pensé que recibiríamos más de 500, desde 47 países (¡casi una cuarta parte de todos los países del mundo!) de los cinco continentes (¡todos menos la Antártida!). Al analizar todas estas propuestas, me di cuenta del potencial que hay en la industria del turismo: tantas ideas y tantas empresas emergentes y proyectos. En el caso de las solicitudes, no pusimos ningún tipo de limitación geográfica: podrían haber venido, y de hecho así fue, de cualquier parte del mundo, pero tenían que describir ideas turísticas que pudieran aprovechar el potencial del turismo ruso o aplicarse en Rusia. Revisamos todas las aplicaciones para elegir las 10 mejores ideas, y esas 10 se introdujeron en el programa acelerador.

Y durante dos semanas, los 10 proyectos participaron en clases magistrales y conferencias online. Cada equipo tenía una serie de reuniones especialmente diseñadas con mentores. Las principales figuras de la industria compartieron sus experiencias y conocimientos con los participantes para construir un negocio de éxito. Entre los mentores se incluían: Vikas Bhola, director regional de Booking.com; Gemma Rubio, fundadora de Define the Fine; Vadim Mamontov, director general de Russia Discovery; y otros profesionales de la industria. Durante esas dos semanas, los participantes pulieron sus presentaciones, que acabaron presentando ante el jurado, entre los que me encontraba yo mismo.

La semana pasada, los finalistas hicieron sus presentaciones y respondieron nuestras preguntas en el último día de demostración del acelerador. De entre los participantes, elegimos a tres ganadores, que recibieron premios por parte de nuestros socios. Déjame contarte un poco sobre cada uno de ellos…

El primer puesto lo ocupó 360 Stories, una aplicación de realidad aumentada con visitas guiadas en vivo. Afirman que su misión es “modernizar la experiencia del turismo tradicional impulsando los tours interactivos en vivo utilizando visitas en tiempo real”. Con 360 Stories, la gente ahora puede recorrer de forma remota sus ciudades y atracciones favoritas registrándose para una experiencia turística personalizada con un guía local en tiempo real.

Por cierto: ¡360 Stories casi acaba perdiendo, se durmió y desapareció! Su presentación se realizó a las 5:30 de la mañana, hora local de Nueva York. Dado el madrugón, el Sr. 360 Stories se durmió, a pesar de haber puesto la alarma. Finalmente se despertó y llamó a los organizadores para preguntar por qué tenía 20 llamadas perdidas en su teléfono: “¡Has ganado!, ¿dónde estás?”.

Seguir leyendo:Explorando Rusia: Turismo ÷ encierro × acelerador = ¡podio de ganadores!

Noticias de ciberseguridad desde el lado oscuro: vulnerabilidades inesperadas, los ataques como servicio y spaceOS

Primer mes de verano en encierro: superado. Y, aunque el mundo parece estar abriéndose, en K optamos por no arriesgarnos, y trabajamos prácticamente al completo desde casa. Pero eso no significa que trabajemos de una forma menos efectiva: lo hacemos igual de bien, ya que los ciberdelincuentes no suspendido su trabajo. De hecho, lo cierto es que no ha habido cambios importantes en la imagen global de las amenazas en los últimos tiempos. Ya que, esos ciberdelincuentes han seguido sacando cibertrucos sorprendentes de sus sombreros. Aquí os dejo con algunos de ellos que tuvieron lugar el mes pasado.

Una vulnerabilidad de día cero en “tan seguro” Tails de Linux

Facebook sabe cómo gastar el dinero. Y es que resulta que gastó una suma de seis cifras cuando patrocinó la creación de un exploit de día cero de una vulnerabilidad en el sistema operativo Tails (= Linux, especialmente adaptado para una mayor privacidad) para una investigación del FBI, que condujo a la captura de un pedófilo. Se sabía ya de antemano que este paranoico trastornado usaba este sistema operativo, particularmente seguro. El primer paso de FB fue usar su fuerza en el mapeo de cuentas para conectar todas las que usaba el criminal. Sin embargo, esa cibervictoria no dio lugar a una dirección postal física. Aparentemente, ordenaron el desarrollo de un exploit para una aplicación de reproductor de vídeos. La elección de este software tenía sentido, ya que seguramente este delincuente pediría los vídeos de sus víctimas y los vería en el mismo ordenador.

De acuerdo con las informaciones, los desarrolladores de Tails no fueron informados sobre la vulnerabilidad explotada, pero luego resultó que ya estaba parcheada. Los empleados de la compañía están al tanto de todo esto, pero lo que está claro es que la demanda de una vulnerabilidad no es la mejor publicidad. Aún hay esperanzas de que este exploit fuera único y que se dedicara exclusivamente para algo particularmente desagradable, y que esto no se repita con ningún usuario normal.

La conclusión: no importa lo seguro que sea un proyecto basado en Linux, no hay garantía de que no haya vulnerabilidades en él. Para poder garantizarlo, es necesario revisar todos los principios básicos de trabajo y la arquitectura de todo el sistema operativo. Sí, en realidad, esta es una atrevida buena oportunidad para dar la bienvenida a esto.

El ataque como servicio

Aquí os traigo otra historia de cibermaldad hecha a medida. El grupo de ciberdelincuentes Dark Basin (supuestamente indio) ha sido atrapado con las manos en la masa. Este grupo es responsable de más de mil ataques por encargo. Entre los objetivos se incluyen burócratas, periodistas, candidatos políticos, activistas, inversores y empresarios de varios países. Curiosamente, los ciberdelincuentes de Delhi usaron herramientas realmente simples y primitivas: primero creaban correos electrónicos de phishing que se hacían pasar por los de un colega o amigo, improvisaron noticias falsas en Google Noticias sobre temas interesantes para el usuario y enviaron mensajes directos similares en Twitter. Luego enviaban correos electrónicos y mensajes con enlaces abreviados a sitios web de phishing para introducir credenciales que parecían auténticos, y eso fue todo: robaron las credenciales y, con ellas, unas cuantas cosas más. ¡Y eso es! ¡Sin malware ni exploits complejos! Y, por cierto: parece que la información inicial sobre lo que los datos relevantes que interesaban a las víctimas siempre provenían de la parte que había ordenado el ciberataque.

La ciberdelincuencia bajo demanda es popular y existe desde hace siglos. En este caso, sin embargo, los ciberdelincuentes lo llevaron a un nivel completamente diferente, a nivel de transportador, externalizando miles de visitas.

Fuente

Seguir leyendo:Noticias de ciberseguridad desde el lado oscuro: vulnerabilidades inesperadas, los ataques como servicio y spaceOS

El ciberpasado, sexta parte: aprender a hablar con los medios.

La semana pasada me di cuenta de que había estado aislado en cuarentena durante un cuarto de año completo. Tres meses sentado en casa, con solo un par de visitas breves a una oficina desierta, además de las estancias todos los fines de semana en la casa de campo con la familia, también aislada. Como para todos, se trata de una experiencia realmente extraordinaria, que a mí me ha privado de los aviones/aeropuertos, hoteles, reuniones o discursos. En resumen, he viajado muy poco.

Sin embargo, todo es relativo: en tres meses, ¡todos hemos recorrido más de 230 millones de kilómetros (un cuarto de una órbita completa de la Tierra alrededor del sol)! Y eso sin tener en cuenta el hecho de que el propio Sistema Solar viaja a una velocidad de vértigo. Una cosa que no ha cambiado mucho desde que comenzó el encierro han sido las reuniones de negocios: simplemente ahora se han pasado al formato online. Ah, sí, y todas nuestras funciones en general se siguen llevando a cabo como de costumbre, sin verse afectadas por virus biológicos).

Pero dejemos a un lado el encierro, probablemente ya estés cansado de escuchar hablar de este tema. Por tanto, dicho esto, continúo con mis historias del ciberpasado; esta vez, me centraré en las entrevistas con periódicos, revistas, radio, televisión, además de otras representaciones públicas variadas. Recordé mis “relaciones con los medios” mientras relataba mi semana de entrevistas del infierno en el CeBIT en mis recuerdos sobre esta exposición (El ciberpasado, cuarta parte). Y resulta que tengo muchas más experiencias interesantes sobre entrevistas y charlas en público: muchas cosas divertidas e inusuales, además, por supuesto, algunas fotos (brillantes e iluminadoras) también.

Y también habrá historias mediáticas de todo tipo: desde discursos en salas prácticamente vacías hasta estadios repletos. ¡Desde pequeñas publicaciones en medios locales desconocidos hasta conglomerados de medios globales de primer nivel! Desde conferencias profesionales en universidades líderes y/o con audiencias con altos conocimientos en tecnología, hasta conferencias informales sobre las maravillas de la aritmética en un barco que navega hacia… ¡la Antártida a través de Pasaje de Drake!

Efectivamente. Creo que lo más lógico es comenzar por el principio…

Seguir leyendo:El ciberpasado, sexta parte: aprender a hablar con los medios.

El ciberpasado, quinta parte: 1996 (el año del cambio de juego).

A continuación, os dejo otra historia más de antaño sobre cómo nuestra empresa pasó de un humilde comienzo a lo que somos hoy. Y esta serie del ciberpasado es gracias al… ¡encierro! De lo contrario, nunca habría encontrado el tiempo para profundizar tanto en mi cibermemoria…

En el caso de que te las hayas perdido, estas son las entregas anteriores:

Primera parte

Segunda parte

Tercera parte

Cuarta parte

Bien, comencemos con la quinta parte: 1996. Un año realmente fatídico y decisivo…

Primero, en KAMI, donde seguía trabajando, los propietarios decidieron separarse. Como resultado, KAMI se dividió en varias organizaciones independientes. Y en el año siguiente, 1997, también nos separamos.

En segundo lugar, firmamos un contrato OEM (Fabricante de Equipo Original por sus siglas en inglés) con la empresa alemana G-Data para suministrarles nuestro motor antivirus. Ese contrato estuvo vigente durante 12 años completos, ¡hasta el 2008!, cuando nos convertimos en el número 1 en el mercado minorista alemán. Y así fue. ¡Nuestra destreza tecnológica original era imparable! ¿Pero qué íbamos a hacer? De todos modos, fue G-Data quien se nos acercó (no pudimos buscar activamente socios tecnológicos en ese momento), ofreciéndole cooperación a Remizov, jefe de KAMI, que culminó con la firma del contrato en CeBIT, como se describe en la cuarta parte. Y así fue como despegó nuestro negocio de licencias de tecnología.

Después de los alemanes (en 1995) llegaron los finlandeses: F-Secure (en 1996), entonces conocidos como Data Fellows. Déjame contarte cómo comenzó nuestra cooperación con ellos.

En agosto de 1995, apareció el primer virus de macros, que infectó documentos de Microsoft Word. Resultó que escribir virus de macros era muy sencillo y se estaban extendiendo a un ritmo alarmante entre una gran cantidad de usuarios desprevenidos. Esto llamó la atención de otros diseñadores de virus, y muy rápidamente los virus de macros se convirtieron en el mayor quebradero de cabeza para la industria antivirus. Detectarlos no resultaba nada fácil, ya que el formato de un documento de Word es más complejo (¿quién iba a saberlo). Por lo tanto, durante varios meses, las empresas de antivirus jugaron a los chamanes utilizando varios métodos, hasta que, a principios de 1996, McAfee (la compañía : ) anunció el método de desarticulación “correcto” para el formato de los documentos de Word. Nuestro colega Andrey Krukov (que se unió a nosotros en 1995) se enteró de la noticia y rápidamente se le ocurrió la solución tecnológica más elegante y efectiva. Hice correr la voz sobre esto, y muy pronto las empresas comenzaron a acercarse a nosotros con ofertas para comprar nuestra tecnología. Tras escuchar ofertas, organizamos una reunión con todos ellos, en el próximo Virus Bulletin Conference en Brighton, Reino Unido, donde Andrey y yo viajamos en el otoño de 1996.

En Brighton, las cosas no salieron según lo planeado: ¡ninguna de esas reuniones llegó a nada! Sin embargo…

Seguir leyendo:El ciberpasado, quinta parte: 1996 (el año del cambio de juego).

El ciberpasado, cuarta parte: el CeBIT

Ha costado, pero ¡aquí está el verano! El problema es que no estoy seguro de que sea la bendición que normalmente es, ya que todos estamos sentados en casa teletrabajando. Claro, ha habido “facilidades” aquí y allá en todo el mundo, pero nosotros en K no tenemos prisa por… apresurar las cosas. Creo que eso también se aplica a otras empresas informáticas que trabajarán desde casa hasta, como mínimo, otoño, mientras que algunas han señalado que seguirán en casa hasta fin de año. Y, por supuesto, los viajes de negocios siguen cancelándose, al igual que las exposiciones y conferencias, los Juegos Olímpicos y el Festival de Cannes y una gran cantidad de eventos a gran escala. De hecho, algunos países todavía tienen sus fronteras cerradas.

Así que sí: todavía estamos todos encerrados, sin salir mucho y volviéndonos locos con la claustrofobia. Al menos así es para muchos, estoy seguro. ¡Otros aprovechan todo el tiempo extra para hacer más ejercicio que nunca! Yo me encuentro en un punto intermedio: a veces cansado de la misma marmota todos los días, pero manteniéndome ocupado. Y eso incluye desempolvar y profundizar en mis archivos para desenterrar algunas fotos antiguas, lo que trae buenos recuerdos (además de recordatorios de lo rápido que está cambiando el mundo) y, por tanto, ¡mi próxima publicación del ciberpasado!

Sí, esta serie combina la cibernostalgia, además de varias ideas personales y comerciales que he recogido a lo largo del camino cibernético, que espero sean útiles para algunos o simplemente interesantes para otros. En consecuencia, continúo aquí hoy con la cuarta parte, sigo con mis cuentos, que comenzaron en la tercera parte, sobre CeBIT

CeBIT: ¡nos encantaba! Era tan nuevo, diferente, masivo y…

Seguir leyendo:El ciberpasado, cuarta parte: el CeBIT

¿Qué grupo de ciberdelincuentes está atacando tu red corporativa? ¡No lo adivines, compruébalo!

Hace unos cuatro años, la ciberseguridad se convirtió en un peón en los juegos geopolíticos de ajedrez. Los políticos de todas las tendencias y nacionalidades se señalan y se culpan mutuamente por las operaciones hostiles del ciberespionaje, mientras que, al mismo tiempo (aparentemente sin ironía) amplían las ofensivas ciberarmasherrramientas en sus propios países. Y atrapados en el fuego cruzado de travesuras geopolíticas están las compañías independientes de ciberseguridad, que tienen la capacidad y el valor para descubrir este juego tan peligroso.

¿Pero por qué? Todo es muy simple.

En primer lugar, “ciber” sigue siendo un término genial/romántico/de ciencia ficción/hollywoodiense/glamuroso desde su inicio. Además, también vende suscripciones a periódicos online. Es popular, incluso entre los políticos. Y es una distracción útil, dada su frescura y popularidad, cuando la distracción es necesaria, algo que ocurre muy a menudo.

En segundo lugar, “ciber” es muy tecno. La mayoría de la gente no lo entiende. Por ello, cuando los medios cubren algo que tiene que ver con esto y siempre con el objetivo de obtener más clics en sus historias, pueden escribir todo tipo de cosas que no son del todo ciertas (o que son completamente falsas), pero pocos lectores se dan cuenta. El resultado son muchas historias en la prensa que afirman que este o ese otro grupo de ciberdelincuentes de tal país es responsable de este o aquel ciberataque vergonzoso/costoso/dañino/indignante. Pero ¿podemos creer algo de todo eso?

Nos atenemos a los aspectostécnica. Es nuestro deber y lo que hacemos como empresa.

En general, es difícil saber qué podemos creer. Dicho esto, ¿es realmente posible atribuir con tanta precisión un ciberataque a esta o aquella nación o, incluso, organización?

La respuesta consta de dos partes:

Desde un punto de vista técnico, los ciberataques poseen una serie de características particulares, pero el análisis imparcial del sistema de estos solo puede llegar a determinar la apariencia de un ataque para determinar si se trata de la obra de este o aquel grupo de ciberdelincuentes. Sin embargo, si el grupo de ciberdelincuentes pertenece a la Subunidad de Inteligencia Militar 233, el Grupo Nacional de Proyectos de Investigación de Defensa Avanzada o el Grupo de Trabajo Conjunto de Capacidades Estratégicas y Reducción de Amenazas (ninguno existe, puedes ahorrarte la búsqueda en Google) … se trata de un problema político, y allí, la probabilidad de manipulación objetiva es casi total. La atribución pasa de ser técnica, basada en pruebas, y precisa a… bueno, lo puedes imaginar. Por esta razón, dejamos esta parte a la prensa. Nos mantenemos bien alejados. Mientras tanto, curiosamente, el porcentaje políticos que se basan en los hechos de la ciberseguridad pura aumenta con la llegada de eventos políticos clave. ¡Oh, como el que está programado para dentro de cinco meses!

Conocer la identidad del atacante hace que combatirlo sea mucho más fácil: la respuesta a un incidente se puede implementar sin problemas y con un riesgo mínimo para la empresa.

Por lo que sí, evitamos la atribución política. Nos atenemos a los aspectos técnicos; de hecho, es nuestro deber y lo que hacemos como empresa. Y podría agregar con modestia que lo hacemos mejor que nadie.Vigilamos de cerca a todos los grandes grupos de ciberdelincuentes y sus operaciones (más de 600), y no prestamos atención a su posible afiliación. Un ladrón es un ladrón y debería estar en la cárcel. Y ahora, finalmente, después de más de 30 años en este juego, después de recopilar tantos datos sin parar sobre las irregularidades digitales, sentimos que estamos listos para comenzar a compartir lo que tenemos, en el buen sentido.

El otro día lanzamos un nuevo servicio increíble para expertos en ciberseguridad. Se llama Kaspersky Threat Attribution Engine. Analiza archivos sospechosos y determina de qué grupo de ciberdelincuentes proviene un ataque cibernético determinado. Conocer la identidad del atacante facilita mucho la lucha, ya que permite una serie de contramedidas contrastadas. Se pueden tomar decisiones, elaborar un plan de acción, establecer prioridades y, en general, implementar una respuesta a incidentes sin problemas y con un riesgo mínimo para el negocio.

Seguir leyendo:¿Qué grupo de ciberdelincuentes está atacando tu red corporativa? ¡No lo adivines, compruébalo!