A continuación listaré un conjunto de ciberataques que han ocurrido a personas, empresas, entidades del gobierno durante el año 2020 con los siguientes objetivos:

  • Concientizar a las personas y empresas con casos reales ocurridos en el año 2020.
  • Mostrar el reto que tenemos los profesionales de ciberseguridad en plantear una estrategia de protección para las empresas.

En todos los casos he tratado de ocultar datos personales, datos de las empresas, instituciones públicas afectadas para no entrar en conflicto con la ley de datos personales y guardar la confidencialidad que amerita.

Sobre la fuente: Todos los casos que tocaremos en el…


De acuerdo a los últimos incidentes se han reportado robo de cuentas WhatsApp dirigido a personas, por lo anterior el objetivo del post es concientizar y brindar recomendaciones efectivas para las personas. Este post se ha realizado en conjunto con Raul Chavez Centeno quien es Analista Informático Forense en Delitos Informáticos.

Victimas:

Dueños de Empresas, Personas de alta responsabilidad en Empresas, Entidades del Estado, Autoridades, Directores, etc.

Ejemplo del mensaje que le llega a la Victima:


En esta publicación haremos un resumen rápido de las Alertas AA20–296A y AA20–304A ambas del FBI y CISA. La alerta AA20–296A del 22 de Octubre 2020 sobre un APT Ruso que tiene como objetivo obtener credenciales de usuario, realizar movimiento lateral ubicar activos de alto valor y exfiltrar datos de redes gubernamentales de EUA.

Por medidas de precaución se recomienda bloquear los siguientes IoCs y resolver las siguientes vulnerabilidades, Este APT utiliza los siguientes IoCs:
213.74.101[.]65
213.74.139[.]196
212.252.30[.]170
5.196.167[.]184
37.139.7[.]16
149.56.20[.]55
91.227.68[.]97
138.201.186[.]43
5.45.119[.]124
193.37.212[.]43
146.0.77[.]60
51.159.28[.]101
columbusairports.microsoftonline[.]host
microsoftonline[.]host
email.microsoftonline[.]services
microsoftonline[.]services
cityname[.]westus2.cloudapp.azure.com

Revisar y parchar las siguientes vulnerabilidades:
-> CVE-2019–19781…


Deutsche Welle DW (1) informa que un ciberataque de tipo ransomware en un Hospital Universitario en Düsseldorf Alemania retrasó el tratamiento de una mujer y finalmente la condujo a la muerte, es posible que el hospital ni siquiera haya sido el objetivo del ataque. Las autoridades del estado alemán de Renania del Norte-Westfalia iniciaron una investigación después de que un ataque de ransomware paralizara un hospital en Düsseldorf. …


La presente publicación tiene como objetivo aprender del Ciberataque a través de recolección de información pública por ello no se puede tomar los datos, imagenes, twitts como hechos fidedignos ya que no han sido validados.

Sin embargo, la siguiente recolección de hechos, recomendaciones pueden servir como referencia para estudiar y tomar medidas preventivas para un futuro ciberataque.

Como todos sabemos el día sábado 18 de Julio en las redes sociales empezaron a circular mensajes sobre que Telecom Argentina había sido afectada por un ciberataque de dipersión global y que no había afectado servicios críticos:

Según Segu-Info donde en cada momento…


Diferentes Buenas Prácticas de Seguridad recomiendan habilitar un segundo factor para ingresar a nuestro servicios más usados como mensajeria, redes sociales, correo electrónico. En esta oportunidad voy a brindar un ejemplo para mejorar nuestros hábitos de autenticación:

Facebook:

Para habilitar en tu cuenta de facebook, hacer lo siguiente: Ir a tu perfil -> configuración -> Seguridad e inicio de sesión:

Hacer click en: Usar autenticación en dos pasos:


Microsoft ha publicado el día 10 de marzo una “ADV200005 Guía para desabilitar la compresión SMBv3”, esta vulnerabilidad permite
ejecución remota de código en la forma en que el protocolo SMBv3 maneja ciertas solicitudes.

Vulnerabilidad CVE-2020–0796 (#SMBGhost / #coronablue):

La vulnerabilidad ha estado en el dominio público desde el 10 de marzo. Un ataque podría comprometer otros equipos sin necesidad de interacción por parte del usuario, tal como el Ransomware WannaCry o NotPetya. Recordar que el Ransomware WannaCry explotaba un fallo bastante similar en la versión SMBv1.


Ultimamente hay un nuevo pico de ataques Ransomware a las empresas, por ello voy a realizar una actualización de medidas preventivas y si ya eres víctima como responder:

¿Qué es Ransomware?

“secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado, y pide un rescate a cambio de quitar esta restricción, frecuentemente el atacante dinero a través de bitcoins.

Métodos de Infección:

Hasta lo observado existen tres métodos de infección:

  1. SPAM de Correo electrónico, a la víctima le llega un correo con un archivo adjunto tipo: pdf, xls, word y al hacerle…


Como parte de un trabajo de la Universidad, que tiene como objetivo entender que tan inseguros estamos cuando exponemos dispositivos a internet vamos a instalar un equipo que nos permita capturar los ataques y su posterior análisis.

Honeypot.Para ello en mi casa he instalado un Honeypot (El cual es como una carnada para los atacantes), basado en Phype/telnet-iot-honeypot simulando un dispositivo con el servicio telnet puerto 23/tcp abierto y esta publicado a Internet, como si fuera una camara, para capturar las conexiones de los atacantes.

Diagrama general de la red:

Al publicar el Honeypot a Internet, se muestra que los…


On May 14, 2019 Microsoft [1] published a vulnerability security patch (CVE-2019–0708) [6] known as BlueKeep that affects the Terminal Server service and could be used by Petya-type Ransomware, Wannacry since the service could be exploited remotely and without the need to use credentials.

For this reason, together with a friend Andres Morales (andresmz), we have conducted a scanning with the academic objective of assessing how vulnerable we are, this study focuses on the CVE-2019–0708 vulnerability to the IP ranges assigned to Central America , South America and Spain, finding that there are more than 63,000 Vulnerable Hosts; To validate…

cesar farro

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store