Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

¡Hola a todos!

Hace poco salió a la luz una información digna de la sección Noticias de ciberseguridad desde el lado oscuro. Seguro que has escuchado algo sobre el asunto, ya que ha invadido los titulares de los últimos días. Se trata de un ataque de drones en Saudi Aramco que ha destruido millones de barriles de petróleo crudo al día y que ha causado pérdidas de cientos de millones de dólares.

Por desgracia, me temo que esto no es más que el principio. ¿Recuerdas aquellos drones que paralizaron Heathrow hace unos meses? ¿O era Gatwick? Bueno, es una progresión natural. Habrá mucho más, eso seguro. En Arabia Saudí, los hutíes reivindican la autoría, pero tanto Arabia Saudí como Estados Unidos culpan a Irán, que niega toda responsabilidad. En resumen, los enfrentamientos típicos de Oriente Medio. Pero no quiero hablar de eso aquí (no hablamos de geopolítica aquí, ¿recuerdas?). Lo que me gustaría decir es que, mientras las acusaciones continúan, nosotros hemos dado con una solución que evita los ataques de drones como este que ha sufrido Aramco. Por tanto, señoras y señores, ¡hoy presento al mundo el nuevo Antidrone!

Pero ¿cómo funciona?

El dispositivo calcula las coordenadas de un objeto en movimiento, una red neuronal determina si se trata de un dron y, en ese caso, bloquea la conexión entre él y su piloto en remoto. Como consecuencia, el dron vuelve al lugar de su lanzamiento o aterriza justo debajo de donde ha sido interceptado. El sistema puede estar parado o en movimiento, por ejemplo, para su instalación en un vehículo de motor.

El objetivo principal de nuestro Antidrone es la protección de infraestructuras importantes, aeropuertos, objetos industriales, etc. El incidente de Saudi Aramco recalca la necesidad de esta tecnología para la prevención de casos similares: en el 2018 el mercado mundial de drones se estimó en 14 mil millones de dólares, para el 2024 la predicción es de 43 mil millones de dólares.

Evidentemente, el mercado de la protección contra los drones maliciosos también crecerá. No obstante, por ahora nuestro Antidrone es el único del mercado ruso que puede detectar objetos mediante vídeo utilizando redes neurales y el primero en el mundo en utilizar el análisis láser para rastrear la ubicación de los drones.

Seguir leyendo:Noticias de ciberseguridad: ¿Y si Aramco tuviera nuestro Antidrone? ¿Podrían los honeypots frenar el malware en el IdC?

Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

¡Hola a todos!

¿Os imagináis cuál es la pregunta que más me hacen en las entrevistas y conferencias de prensa?

Todo comenzó en los 90 y pronto se convirtió en la pregunta más temida, era casi imposible resistirse a poner los ojos en blanco, pero lo conseguí. Con el tiempo me resigné y acepté que para ellos resultaba inevitable, por lo que comencé a improvisar y añadir información adicional a mis respuestas. Todavía hoy, a pesar de que mis declaraciones se han publicado y emitido en los medios de todo el mundo (y más de una vez), me siguen preguntando lo mismo. Ahora ya parece que el círculo se ha cerrado y cuando me preguntan me gusta recordar aquellos días.

¿La habéis adivinado ya?

La pregunta es: “¿Cuál fue el primer virus que descubriste?” (además de las preguntas relacionadas: cuándo lo encontraste, cómo pudiste curar el ordenador infectado, etc.).

Evidentemente, se trata de una pregunta importante, ya que, si no hubiera infectado mi ordenador hace años, es probable que mi carrera no hubiera experimentado un cambio drástico: no hubiera creado el mejor antivirus del mundo, ni hubiera fundado una de las empresas privadas más importantes de la ciberseguridad, entre otras muchas cosas. Por tanto, sí, ese virus juega un papel fundamental, pues fue uno de los propulsores de todo lo que vino después: mil millones de sus “descendientes” y, después, las ciberamenazas, la guerra informática, el ciberespionaje y todos los ciberdelincuentes que hay detrás de todo esto, en todo el mundo.

Entonces, ¿cuál es la respuesta?

El nombre del virus era Cascade.

Pero ¿a qué viene toda esta nostalgia repentina con Cascade?

Seguir leyendo:Si me hubieran dado dinero cada vez que he escuchado esta pregunta en 30 años…

Album de fotos de Flickr

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Threat Intelligence Portal: Hay que profundizar más

Entiendo perfectamente que para el 95 % de los lectores, esta publicación no va a resultar útil. Pero, al 5 % restante le puede simplificar su semana laboral (y muchas semanas laborales más). Es decir, tenemos buenas noticias para los expertos en ciberseguridad (equipos SOC, investigadores independientes y aficionados a la tecnología): las herramientas que usan nuestros pájaros carpinteros y el equipo de GReAT en su rutina para seguir generando la mejor investigación de amenazas cibernéticas del mundo ya está disponible para todos y gratis, con la versión lite de nuestro Threat Intelligence Portal, también llamado TIP para acortar. No te pierdas sus características.

El Threat Intelligence Portal resuelve dos problemas principales de los expertos de ciberseguridad. En primer lugar: “¿Cuál de estos cientos de archivos sospechosos debería elegir primero?” y, segundo, “Vale, mi antivirus dice que el archivo está limpio, ¿qué es lo próximo?”.

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

 

A diferencia de los “clásicos” (la seguridad para endpoint), aquellos productos de calidad que devuelven un veredicto conciso sobre la peligrosidad del objeto, las herramientas de analítica incorporadas en el Threat Intelligence Portal ofrecen información detallada sobre el carácter sospechoso de un archivo y en qué aspectos específicos. Y no solo los archivos. Hashes, direcciones IP y URL también pueden analizarse. Nuestra nube analiza rápidamente todos estos artículos y los resultados de cada uno vuelven en bandeja de plata: qué tienen de malo (en caso de que lo sean), con qué frecuencia se produce la infección, a qué amenazas se asemejan aún en remoto, qué herramientas se usaron para crearlo, etc. Además, los archivos se ejecutan en nuestra sandbox de la nube patentada, estando los resultados disponibles en un par de minutos.

Seguir leyendo:Threat Intelligence Portal: Hay que profundizar más

Introduce tu dirección de e-mail para suscribirte a este blog

Una trampa irresistible para el malware

No he visto la sexta entrega de la película Misión Imposible, ni creo que la vea. Vi la quinta entrega (en estado zombi durante un largo vuelo a casa después de una semana dura de trabajo) solamente porque una escena se había filmado en nuestra nueva y flamante oficina de Londres. Se trataba de otra entrega más de Misión Imposible, una película que no es para nada de mi estilo. Bofetadas, disparos, golpes, choques, explosiones, conmoción. Uf. Yo prefiero algo más desafiante, intelectualmente estimulante y sencillamente interesante. Después de todo, mi tiempo es escaso y valioso.

Parece que estoy despotricando contra Tom Cruise y compañía, ¿verdad? Pero no es así. De hecho, tengo que reconocer el mérito de al menos una escena que está muy bien hecha (es decir, que resulta intelectualmente estimulante y sencillamente interesante). Se trata de la parte en la que los buenos necesitan que uno de los malos delate a sus secuaces, o algo parecido. Para ello, instalaron un ambiente falso en un “hospital” con la “CNN” en la “televisión” informando sobre el Armagedón nuclear. Satisfecho por la transmisión mundial de su manifiesto apocalíptico, el villano entrega a sus secuaces (¿o era un código de inicio de sesión?) como parte del trato realizado con sus interrogadores. Disculpad, aquí está la secuencia.

¿Por qué me gusta tanto esta escena? ¡Pues porque ilustra muy bien uno de los métodos para detectar ciberamenazas desconocidas! De hecho, existen muchos métodos, que varían según el área de aplicación, la efectividad, el uso de recursos y otros parámetros (escribo mucho sobre esto aquí). Pero hay uno que siempre destaca: la emulación (también he hablado mucho de ella aquí).

Al igual que en la película MI, un emulador inicia el objeto investigado en un ambiente artificial aislado, de esta forma lo anima a revelar su carácter malicioso.

Pero esta estrategia presenta una gran desventaja: el hecho de que el ambiente sea artificial. El emulador se esfuerza para que ese entorno artificial parezca un sistema operativo real, pero el malware, cada vez más inteligente, consigue diferenciarlo de un entorno real. Cuando el emulador se percata de que el malware lo ha reconocido, se reagrupa y mejora su emulación, y así sucesivamente en un ciclo interminable que a menudo abre la ventana a una posible vulnerabilidad en un ordenador protegido. El problema principal es que ningún emulador ha podido retratar la viva imagen de un sistema operativo real.

Por otra parte, existe otra opción para abordar el análisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real) dentro de una máquina virtual. Y bueno, ¿por qué no? Si el emulador no lo detiene por completo, ¡deja que lo intente una máquina (real) virtual! Sería el “interrogatorio” ideal: se lleva a cabo en un ambiente real, no artificial, pero sin las consecuencias negativas.

Seguir leyendo:Una trampa irresistible para el malware

Noticias de ciberseguridad desde el lado oscuro: ciberhipocresía, Mirai, el GCHQ que te vigila y BlueKeep a raya

¡Hola a todos!

Hoy arrancamos con muy buenas noticias…

Seguimos siendo el producto “más probado, más premiado”.

Hace poco, el respetado laboratorio de pruebas independientes AV-Comparatives publicó los resultados de su análisis anual. En su estudio encuestó a 3.000 personas de todo el mundo durante la última etapa del 2018 y, de las 19 preguntas que debió responder cada uno de los encuestados, una era “¿Qué solución de seguridad antimalware para ordenador utilizas principalmente?“. ¿Adivinas qué marca queda en primer lugar en Europa, Asia y América Central y del Sur? Pues sí: ¡K! En Norteamérica quedamos segundos (y estoy seguro de que se trata de algo temporal). Además, en Europa hemos sido escogidos como la solución de seguridad más utilizada en smartphones. También nos encontramos entre las empresas que reciben más solicitudes de prueba de productos por parte de los usuarios, tanto en el apartado doméstico como en los productos destinados a empresas. ¡Genial! ¡Nos gustan las pruebas y creo que puedes ver el por qué! Por cierto, aquí encontrarás más información sobre las evaluaciones y pruebas independientes a las que se someten nuestros productos.

“Hipócrita, saca primero la viga de tu ojo y entonces verás claro para sacar la paja del ojo de tu hermano”, Mateo 7, 5.

En mayo se descubrió otra puerta trasera con funciones muy útiles para el espionaje. ¿Y dónde se encontró esta puerta trasera? ¿En Rusia? ¿En china? ¡Pues fue en Cisco (sí, otra vez)! ¿Ha habido revuelo en las redes? ¿Titulares y discusiones sobre amenazas a la seguridad nacional? ¿Se ha hablado de prohibir los productos de Cisco fuera de Estados Unidos? Espera, ¿también te lo has perdido? Pero, al mismo tiempo, Huawei está sufriendo un linchamiento internacional en pleno apogeo, aunque sin puertas traseras ni pruebas convincentes de los hechos.

fuente

Seguir leyendo:Noticias de ciberseguridad desde el lado oscuro: ciberhipocresía, Mirai, el GCHQ que te vigila y BlueKeep a raya

¿Eres una empresa emergente con la ambición de una empresa internacional?

Hace unos cinco años lanzamos nuestra incubadora de empresas, un proyecto que tenía como objetivo hacer crecer y desarrollar las ideas más interesantes de otras empresas. Y, como tenemos los recursos necesarios para ayudarlas, hemos estado buscando ideas innovadoras y le hemos dado a las empresas emergentes alas para volar.

Uno de los ejemplos más exitosos de nuestra incubadora de empresas es Polys, una idea lanzada en el 2017 de la que ya hemos hablado anteriormente en este blog. Se trata de una plataforma online de voto electrónico basada en la cadena de bloques y que ofrece seguridad, anonimato, una protección perfecta contra hackeos y, lo que es más importante, es fácil de utilizar y apta para todo tipo de votación. Creo firmemente que el futuro de las votaciones está online y en la cadena de bloques. Partidos políticos rusos, asociaciones estudiantiles y organizaciones gubernamentales regionales ya la han utilizado y seguro que tan solo estamos ante los primeros pasos de este retoño de KL.

Ya tenemos otro proyecto en la incubadora: Verisium, una plataforma de IdC dedicada al compromiso con el cliente y a la autentificación de producto. Resulta especialmente útil en la industria de la moda, ya que ayuda a combatir la falsificación de productos de lujo y ofrece a las marcas la posibilidad de rastrear los ciclos de vida del producto y entender cómo “viven” y se comportan estos. Verisium ya ha lanzado una serie de proyectos junto con marcas de diseño rusas que incluyen ropa, chips NFC y la cadena de bloques.

Fuente

Seguir leyendo:¿Eres una empresa emergente con la ambición de una empresa internacional?

Nuestra nueva tecnología de emulador: la peor pesadilla del malware más escurridizo

¿Alguna vez te has preguntado por qué los virus de los ordenadores se conocen como virus? Bueno, lo cierto es que hoy en día la palabra “virus” se utiliza de un modo un tanto impreciso para referirse a casi “cualquier tipo de programa malicioso o para describir el daño que genera un programa en un ordenador”. Por cierto, he cogido esta definición de nuestra enciclopedia.

Sin embargo (y sigo citando nuestra enciclopedia), “en el sentido más estricto… un virus se define como un código de programación que se reproduce” y expande del mismo modo que un virus biológico, como, por ejemplo, la gripe.

Seguir leyendo:Nuestra nueva tecnología de emulador: la peor pesadilla del malware más escurridizo

SAS-2019: Noticias de ciberseguridad desde el lado oscuro

¡Hola a todos!

Hoy os traigo una nueva actualización de noticias de ciberseguridad desde el lado oscuro, esta vez dedicada a las presentaciones de nuestra Security Analyst Summit anual del mes pasado en Singapur.

Una de las características principales de todas las SAS son las presentaciones de los expertos. A diferencia de otras conferencias geopolíticamente correctas, los analistas comparten sus descubrimientos sobre cualquier ciberamenaza, sin importar de dónde proceda, ya que siguen sus principios. Después de todo, el malware sigue siendo malware y los usuarios tienen que estar protegidos de las amenazas, independientemente de las intenciones de sus creadores. ¿Recuerdas el efecto bumerán?

Y si algún medio de comunicación decide mentir abiertamente sobre nuestros principios, que así sea. Pero que sepan que no solo van en contra de nuestros principios, nos gusta predicar con el ejemplo y esto demuestra nuestro liderazgo en la resolución de operaciones de ciberespionaje. Además, deben saber que no tenemos pensado cambiar nuestra posición en perjuicio de los usuarios.

Dicho esto, aquí os dejo las charlas más interesantes, increíbles y aterradoras que han tenido lugar en la SAS.

1. TajMahal

El año pasado destapamos un ataque a una organización diplomática de Asia Central. Evidentemente, que una organización como esta interese a los ciberdelincuentes no debería sorprender a nadie. Los sistemas de información de embajadas, consulados y misiones diplomáticas siempre han atraído el interés de otros estados y sus agencias de espionaje o de cualquiera con los conocimientos y recursos financieros necesarios. Sí, todos leemos novelas de espías, pero seguro que esto no lo has leído en ningún libro. Los atacantes construyeron un auténtico “TajMahal”, una plataforma APT con un gran número de complementos utilizados (nunca habíamos visto el uso de tantos complementos en una sola plataforma APT hasta la fecha) para todos los escenarios de ataque utilizando varias herramientas.

La plataforma consiste en dos partes: Tokyo, la puerta trasera principal, que también completa la función de envío del último programa malicioso, y Yokohama, que tiene distintas funcionalidades, como robar cookies, interceptar documentos de la cola de impresión, registrar llamadas VoIP (incluidas las de WhatsApp y FaceTime), realizar capturas de pantalla y mucho más. La operación TajMahal ha estado activa al menos 5 años y su complejidad podría sugerir que se ha desarrollado con más de un objetivo en mente; para descubrir el resto, tuvimos que indagar un poco más.

Puedes encontrar toda la información sobre esta APT aquí.

Seguir leyendo:SAS-2019: Noticias de ciberseguridad desde el lado oscuro

Lo mejor del mundo de la ciberseguridad en el 2018

Hola, chicos, aquí os traigo la última edición de noticias del mundo de la ciberseguridad del 2018. Todos los años sobre estas fechas me decido a publicar un ligero resumen y recopilatorio, para que podamos recibir el año nuevo de buen humor. Por tanto, hoy vamos a hablar de las noticias más llamativas, absurdas, divertidas y raras del mundo de la informática y de la ciberseguridad que han aparecido en nuestras pantallas este pasado 2018.

En primer lugar, vamos a hablar de la profesionalidad de los medios, ya sabes, la objetividad, el periodismo de investigación y la comprobación de los hechos. Bueno, o para ser más precisos, de la ausencia de todas estas características.

En octubre, Bloomberg Businessweek publicó una “investigación” con un titular sensacionalista. La primera parte de este lo dice todo (El gran hackeo). La historia se basa en la información de fuentes anónimas (¡sorpresa, sorpresa!) y afirma que el hardware fabricado por Super Micro incluye errores y, por lo visto, lo lleva haciendo durante años. Supuestamente, estos chips fueron descubiertos por el personal de Apple y Amazon y las autoridades estadounidenses llevan investigando el caso desde el 2015. Y aquí es donde empieza lo bueno…

Amazon ha negado el conocimiento de estos errores y Tim Cook, de Apple, ha afirmado que es falso, por lo que ha solicitado que el diario se retracte del artículo. Por su parte, Super Micro ha declarado que nunca ha recibido quejas de los clientes, ni ha sido interrogado por las autoridades. (¿No os resulta familiar?). A las 24 horas de la publicación, las acciones de Super Micro cayeron un 60 %. Ante esto, la compañía recurrió a los servicios de una empresa externa para que llevara a cabo una investigación que no consiguió encontrar pruebas que respaldaran las afirmaciones de los periodistas. Aun así, Bloomberg no solo no se apresuró a pedir perdón por las acusaciones, sino que le asignó a otro de sus empleados que siguiera investigando.

Seguir leyendo:Lo mejor del mundo de la ciberseguridad en el 2018

Los consumidores pueden tomar sus propias decisiones

Además de un mercado para sus bienes y servicios, una empresa también necesita recursos. Existen recursos financieros: dinero; recursos humanos: empleados; recursos intelectuales: ideas comerciales y la capacidad de ponerlos en marcha. En algunas empresas, incluso a veces en industrias enteras, otro recurso necesario es la confianza.

Imagínate que decides comprar un aspirador. ¿Necesitas la confianza del fabricante? No. Simplemente compras el que parece el adecuado, según sus características técnicas, su apariencia, calidad y precio. La confianza no entra en este juego.

No obstante, en algunas industrias, como por ejemplo la financiera o la sanitaria, la confianza juega un papel fundamental. Si no confías en un asesor financiero o en una marca farmacéutica, es complicado que te conviertas en su cliente o que compres sus productos, de hecho, puede que nunca lo hagas. Hasta que el asesor financiero o la empresa farmacéutica demuestren que son de confianza.

Pues nuestro negocio (la ciberseguridad) no solo requiere confianza, sino que dependemos de ella. Sin ella, la ciberseguridad no existe. Y algunos (a lo que podemos llamar detractores) lo saben perfectamente e intentan destruir la confianza de la gente en la ciberseguridad por todos los medios.

Puede que pienses que algo va mal en nuestros productos si hay alguien está intentando minar su confianza. No obstante, yo confío plenamente en la calidad de nuestros productos y los resultados de las pruebas independientes lo demuestran. Además, algo más ha cambiado estos últimos años: la turbulencia geopolítica. Y nos ha pillado justo en el medio.

La maquinaria propagandística se alzó contra nosotros. Hoy, son muchos los que siguen escuchando y leyendo alegaciones sin fundamento sobre nosotros, que proceden de informes de los medios que citan “fuentes anónimas” (sin verificar). No queda claro si estas historias están influenciadas por la agenda política o las necesidades comerciales para impulsar las ventas, pero estas falsas acusaciones deberían de ser inadmisibles (al igual que otras injusticias). Por ello, hemos cuestionado y refutado todas las declaraciones que han ido en contra de nosotros, una por una. Utilizo el verbo refutar con cautela (recuerda que no han demostrado nada; ni podrían, ya que no se ha cometido ningún delito).

De todas formas, después de casi un año desde la última ola de alegaciones, he decidido realizar por mí mismo una especie de auditoría, para intentar ver cómo nos concibe el mundo actualmente y para hacerme una idea de si los que se han visto expuestos a estas historias han sido influenciados y en qué medida nuestra presentación de los hechos les ha permitido sacar sus propias conclusiones sobre este tema.

¿Y sabes qué? Hemos descubierto que todas las alegaciones falsas hechas por los consumidores que solo toman en cuenta los hechos no han dado frutos. Ya te puedo escuchar decir: “¡demuéstramelo!”.

En primer lugar, hace un año, la empresa de investigación más importante del mundo, Gartner, lanzó un nuevo proyecto de investigación (Gartner Peer Insights) para analizar cómo valoran los clientes a las marcas. Muy simple, pero muy útil: se recopilaron las valoraciones de clientes corporativos y, durante el proceso, los analistas de Gartner realizaron comprobaciones para asegurarse de que no hubiera preferencias de los proveedores, sin intenciones ocultas, ni troles.

El año pasado, gracias a las valoraciones de los clientes corporativos, ¡ganamos el premio más importante del proyecto! Los resultados de este año no están todavía, pero puedes comprobar por ti mismo la gran cantidad de clientes que han querido contar a Gartner su experiencia con nosotros y dejar sus puntuaciones generales y sus valoraciones positivas. Es un trabajo bien hecho, se trata de empresas confirmadas de diferentes tamaños, perfiles, geografía y calibre.

Por cierto, hablando de geografía, resulta que la actitud puede cambiar dependiendo de la zona geográfica.

Como, por ejemplo, en Alemania la cuestión de la confianza en las empresas se toma muy en serio. Por ello, la revista WirtschaftsWoche publica regularmente su investigación sobre el nivel de confianza en las empresas después de sondear a más de 300.000 personas. En la categoría de “software” (es decir, ni antivirus ni ciberseguridad), estamos en un cuarto puesto y el nivel general de confianza en Kaspersky Lab es alto (más alto en comparación con la competencia directa, sin importar su país de origen).

¿Qué pasa cuando los gobiernos utilizan los hechos para decidir si confiar en una compañía o no? Por ejemplo, la semana pasada el Centre for Cyber Security de Bélgica investigó las informaciones relacionadas con KL y descubrió que no corroboraban las alegaciones contra nosotros. Ante esto, el primer ministro de Bélgica anunció que no hay ningún dato técnico objetivo (ni siquiera en investigaciones independientes) que indique que nuestros productos puedan suponer una amenaza. Yo añadiría que, teóricamente, podrían suponer una amenaza, pero al igual que cualquier otro producto de ciberseguridad de otra empresa o de otro país. Ya que, en teoría, cualquier producto tiene vulnerabilidades técnicas. Si tenemos en cuenta nuestros esfuerzos por la transparencia de nuestra tecnología, podría decir que nuestros productos suponen una amenaza inferior que cualquier otro producto.

Seguir leyendo:Los consumidores pueden tomar sus propias decisiones