Contexto y problemática

Actualmente, la difusión de información en Internet se realiza con un control parcial, tanto a nivel empresarial como personal, derivado de la gran cantidad de servicio en línea que se tienen y los datos que se dejan en estos, ya sean propios o mediante las plataformas de un tercero. En este punto, los incidentes de seguridad y vulnerabilidades, como la exposición de información, credenciales comprometidas, servicios apócrifos, venta de productos ilegales y la suplantación de identidad, son ejemplos de eventos que  afectan los activos de las organizaciones y que también repercuten en la confianza e imagen que se tiene con clientes, colaboradores, proveedores, entre otros.

Derivado de lo anterior surgen necesidades de servicios específicos para proteger la imagen de una marca en Internet,  que les permitan tener visibilidad y establecer acciones para los diferentes escenarios maliciosos que puedan ser identificados en Internet.

Entre las amenazas que podrían afectar negativamente la imagen de una organización, así como la reputación de sus productos y servicios se encuentran los siguientes ejemplos:

  • SPAM y ataques de phishing

El correo basura, también conocido como SPAM, y los ataques de phishing comúnmente utilizan la imagen de una marca reconocida para intentar engañar a sus víctimas y así llegar a obtener sus objetivos, los que van desde instalar software malicioso en los dispositivos del usuario, hasta obtener información personal, de una organización y/o financiera. Estos correos pueden provenir de varias fuentes como son:

  • Cuentas comprometidas; Usuarios malintencionados obtienen acceso a cuentas legítimas de las organizaciones desde las cuales envían los correos maliciosos con el propósito de que la víctima no desconfié del remitente.
  • Servidores comprometidos; Los usuarios malintencionados toman el control de servidores de correo expuestos en Internet pertenecientes a alguna organización, los cuales son utilizados para el envío de campañas de phishing desde cuentas de correo electrónico ya creadas o para generar cuentas de correo muy semejantes a las empleadas por la organización objetivo de ser comprometida. Dependiente de la cantidad de infraestructura comprometida  pueden llegar a alojar servidores de correo, páginas Web falsas y/o software malicioso que posteriormente utilizan.
  • Cuentas de correo de proveedores de servicios en línea; los usuarios malintencionados recurren a la utilización de cuentas de correo de proveedores de servicios en línea como Gmail, Outlook, Yahoo! o incluso de servicios que no requieren información para la creación de cuentas de correo, como Mailinator para realizar sus campañas maliciosas.
  • Sitios Web

En la mayoría de los ataques que involucren afectación a la imagen de marca de una organización, los usuarios malintencionados buscan que la victima de clic en un enlace malicioso, que descargue aplicativos con malware, que se comunique a los medios definidos en las páginas web maliciosas para llegar a su objetivo de compromiso. Estos sitios Web pueden ser implementados de la siguiente forma:

  • Registro de nombres de dominio; Los usuarios malintencionados registran nombres de dominio semejantes a los de la marca que intentan suplantar, ya sea pagando por el dominio o utilizando servicios de registro de dominio gratuitos.
  • Compromiso de dominio de terceros; Los atacantes logran obtener el control de un dominio legítimo, que posteriormente utilizan para sus compañas maliciosas.
  • Sitios web con formularios; El sitio Web malicioso es una copia idéntica del sitio legítimo de la marca suplantada y busca que el usuario ingrese su información personal, financiera y/o de otra índole mediante formularios.
  • Copia de sitio Web idéntica sin captura de datos; Muchas veces los atacantes publican los sitios maliciosos sin terminar por lo que la funcionalidad de captura de datos no está implementada y solo se tiene una copia idéntica del sitio Web original o en otros casos los desarrolladores de los sitios legítimos tienen publicados sitios de prueba con funcionalidad limitada, los cuales pueden ser localizados por un usuario y darles la impresión de que el sitio no funciona correctamente, afectando su imagen.
  • Descarga de software malicioso; El sitio Web es utilizado para alojar software malicioso y busca engañar a la víctima para que lo descargue e instale.
  • Imagen semejante; El sitio Web trata de engañar al usuario haciéndole creer que es la marca suplantada mediante el uso de elementos similares a los de la organización, sin que tenga por completo la misma estructura.
  • Redes Sociales

Con el auge de las redes sociales los atacantes han visto una oportunidad para aprovecharse de los usuarios de estas plataformas y/o para afectar la imagen de las organizaciones en busca de obtener beneficios económicos, entre las amenazas que pueden encontrarse en estas plataformas destacan las siguientes:

  • Perfiles falsos; cuentas en redes sociales que se hacen pasar por las cuentas oficiales de las organizaciones o personal de las mismas, mediante estas cuentas falsas buscan engañar a los usuarios para que entreguen información personal o descarguen software malicioso.
  • Menciones negativas; este tipo de amenazas no necesariamente involucra a usuarios malintencionados, pues usuarios legítimos que hayan sido afectados por alguna de las amenazas antes mencionadas y pueden realizar publicaciones negativas en estas redes contra las organizaciones creyendo que estas son las culpables de las afectaciones cometidas en su contra. Además, es muy común que los usuarios publiquen sus inconformidades por los servicios y/o productos ofrecidos por las organizaciones, las cuales afectan la reputación de las marcas.

 

  • Divulgación de datos sensibles / personales; Muchas organizaciones tienen información financiera, operativa, sensible y personal de sus clientes, empleados y proveedores, almacenada en su infraestructura, pero también muchas de ellas no cuentan con los controles adecuados de seguridad que protejan esta información, por lo que son susceptibles a que esta información sea vulnerada y publicada en Internet. Si la divulgación de información se hace pública afectará negativamente la reputación de la organización afectada.
  • Productos o servicios

Los usuarios maliciosos buscan obtener los mayores beneficios económicos posibles, por lo que en muchas ocasiones después de vulnerar a una organización venden toda la información que lograron obtener para aumentar sus ganancias.

  • Venta de productos forma ilegal; Los atacantes venden productos o engañan a los usuarios haciéndoles creer que tienen los productos que buscan por un menor precio al que se venden en el mercado.
  • Venta de servicios ilegales; Los usuarios malintencionados ofrecen los servicios de una organización de forma ilegal a un costo menor o herramientas que permitan al usuario acceder a los servicios de una organización de forma gratuita.
  • Venta de información expuesta; Los usuarios maliciosos ofrecen a la venta información obtenida de una brecha en las organizaciones en comercios clandestinos de Internet y la Dark Web.

Para entender mejor esta problemática es necesario conocer un poco del contexto que se vive actualmente, por lo tanto a continuación se enlistan algunas de las estadísticas recopiladas por diferentes instituciones de seguridad al respecto.

  • Las estafas de phishing contribuyen fuertemente a los $ 6 billones de dólares en delito cibernético esperado para 2021.
  • El número de sitios phishing que se identifican han crecido 30% en el último año.
  • El 30% de todos los mensajes de phishing que se genera es abierto por usuarios.
  • Los expertos de TI de las organizaciones no consideran que la protección de marca sea su responsabilidad.
  • Las brechas de datos están consideradas como una de las tres principales razones que dañan la reputación de una marca.
  • Los expertos consideran que el mayor costo de un incidente de seguridad es la perdida de reputación y el valor de la marca.

Casos destacados

En los últimos años casos como el de Equifax, Yahoo! o las constantes brechas de Facebook han puesto en evidencia la importancia de cuidar la imagen en Internet y de invertir en soluciones de seguridad que busquen proteger a las organizaciones de estas amenazas. Independientemente del daño ocasionado por el incidente de seguridad, un efecto secundario es irremediablemente el daño a la imagen, pues los usuarios pierden la confianza en las organizaciones que sufren este tipo de incidentes y en algunas ocasiones alientan a otros usuarios mediante publicaciones de redes sociales o dejar de utilizar los productos y/o servicios de las organizaciones afectadas.

Medios de identificación de actividad maliciosa

MNEMO cuenta con varios servicios que se enfocan en la protección de marca y reputación en Internet.

  • Se brindan los servicios con diversas fuentes de información.
  • Se da seguimiento tanto a la notificación de actividad sospechosa en Internet y se realizan las notificaciones correspondientes a nuestros clientes.
  • La gestión de baja es realizada por nuestro CERT
  • El capital humano cuenta con más de 5 años brindando servicios de este tipo
  • Se cuenta con colaboración internacional para aquellos casos que así lo requieran.

Fases de respuesta

  • Identificación y análisis.

En este primer paso se debe identificar si el evento en particular que se está presentando es en realidad un incidente. Durante el análisis se realizara una inspección minuciosa de la evidencia para identificar detalles de la amenaza como:

¿Cuándo ocurrió el incidente?

¿Cómo fue descubierto?

¿Cuál es el impacto al negocio?

¿Cuáles fueron las áreas afectadas?

  • Notificación.

Una vez identificado el incidente, este debe reportado lo antes posible al equipo de respuesta a incidentes para que tengan el tiempo suficiente para recolectar la evidencia que se utilizará en el análisis.

  • Gestión

Durante esta etapa se busca gestionar la eliminación  de contenido malicioso que es publicado en sitios Web de terceros, siempre en apego a las políticas de este.

  • Medios de identificación que emplea mnemo-cert

Para identificar este tipo de amenazas se puede recurrir a varias estrategias como las que se describen a continuación:

  • Monitoreo en Internet

Realizar el monitoreo de Internet en busca de contenido perjudicial para las organizaciones en:

  • Redes sociales; Búsqueda de publicaciones con comentarios negativos, divulgación de información, campañas de desprestigio, suplantación de identidad, venta ilegal de productos y/o servicios.
  • Sitios de publicación de contenido anónimos; Búsqueda de publicaciones con divulgación de información, venta ilegal de servicios y/o productos.
  • Infraestructura de las organizaciones; Búsqueda de divulgación de información en infraestructura expuesta a Internet de las organizaciones.
  • Notas Generales; Búsqueda de notas de interés en Internet como artículos en medios de comunicación y menciones en foros
  • Monitoreo en la Dark Web; Realizar el monitoreo en la Dark Web en busca de contenido perjudicial para las organizaciones en:
    • Foros

Búsqueda de información confidencial publicada en Foros de la Dark Web.

  • Sitios de publicación de contenido anónimos

Al igual que en Internet existen sitios especializados donde los usuarios publican contenido de forma anónima y en estos sitios se busca principalmente la divulgación de información confidencial.

  • Mercados ilegales

Búsqueda de información confidencial publicada en mercados de la Dark Web

  • Proyectos de seguridad públicos; Existen varios proyectos dedicados a recolectar este tipo de información y ofrecerla de manera pública para que las organizaciones la utilicen a su conveniencia.
  • Proyectos de investigación; otros proyectos de investigación que publican la información que recolectan, los cuales son compartidos solo entre grupos de seguridad especializados como.
    • Team Cymru
    • APGW
    • Shadow Server
    • Por mencionar algunos
  • FIRST; MNEMO-CERT es parte de “Forum of Incident Response and Security Teams” (FIRST), organización a nivel mundial en la que participan más de 500 equipos de respuesta a incidentes en 94 países, con el objetivo de intercambiar información sobre amenazas para fortalecer la seguridad de las organizaciones.
  • Fuentes comerciales; en este punto MNEMO-CERT ha elegido a algunos partners que apoyan la ejecución de sus servicios en el cumplimiento de los LSA que requiera cada cliente.
  • Desarrollos propios de automatización; Finalmente se puede optar por desarrollar herramientas propias que recolecten la información de fuentes abiertas como las mencionadas anteriormente. Los scripts pueden ser escritos en cualquier lenguaje de programación y no necesariamente se deben implementar desde cero, ya que existen muchos desarrollos que ya tienen varias funcionalidades.

Como reflexión, hoy en día la cantidad de información que se publica en Internet está orillando a todas las organizaciones que tengan presencia en línea a mejorar su visibilidad de información  que les ayude a proteger la marca de las diversas amenazas que hemos mencionado, es un hecho que mientras más visibilidad se tenga, se identificaran los puntos que ayuden a mejorar su esquema de seguridad desde este enfoque de monitoreo complementario.