Newsletter - 2025-5

Tabla de Contenidos
  1. Newsletter - 2025-5
    1. La vulnerabilidad de MasterCard: un error de configuración DNS que podría haber sido catastrófico
    2. Brecha crítica en servicios en la nube expone datos sensibles de miles de usuarios
    3. Vulnerabilidad crítica en el modelo Llama de Meta permite la ejecución de código arbitrario
    4. Nueva campaña de malware utiliza MintsLoader y técnicas avanzadas para atacar sectores clave en Estados Unidos y Europa
    5. Nuevo marco de certificación en ciberseguridad de la UE para productos TIC: confianza, armonización y garantía a nivel europeo
    6. El ataque DDoS más grande de la historia bloqueado por Cloudflare
    7. La creciente importancia de la gestión automatizada de identidades en la escalabilidad de la seguridad

La vulnerabilidad de MasterCard: un error de configuración DNS que podría haber sido catastrófico

Categoría Seguridad de Redes
Nombre del tema La vulnerabilidad de MasterCard: un error de configuración DNS que podría haber sido catastrófico
Brecha Error de configuración en uno de los servidores DNS de MasterCard
Criticidad
Solución propuesta Corrección de la configuración DNS, auditorías periódicas y monitoreo constante de la infraestructura DNS
Beneficios esperados Prevención de interceptación de tráfico, protección de la información sensible y mejora de la integridad de la red
Artículo original Krebson Security

Krebson Security

En un descubrimiento alarmante, MasterCard corrigió recientemente un error crítico en la configuración de su servidor de nombres de dominio (DNS) que podría haber permitido a cualquier persona interceptar o desviar el tráfico de Internet de la empresa. Este error de configuración había estado presente durante casi cinco años, hasta que un investigador de seguridad, Philippe Caturegli, decidió registrar el dominio no utilizado y prevenir su posible explotación por parte de ciberdelincuentes.

El error se encontraba en uno de los cinco servidores DNS que MasterCard utiliza para dirigir el tráfico de su red mastercard.com. En lugar de terminar en “akam.net”, uno de los servidores fue configurado incorrectamente para depender del dominio “akam.ne”. Este pequeño pero potencialmente crítico error tipográfico podría haber tenido consecuencias devastadoras si hubiera sido explotado por atacantes malintencionados.

Philippe Caturegli, fundador de la consultora de seguridad Seralys, descubrió el error y decidió registrar el dominio “akam.ne”, que estaba bajo la autoridad del dominio de nivel superior del país de Níger. Caturegli gastó $300 y esperó casi tres meses para asegurar el dominio. Una vez habilitado el servidor DNS en “akam.ne”, notó cientos de miles de solicitudes de DNS diarias provenientes de todo el mundo.

MasterCard no era la única organización afectada por este error tipográfico, pero sí la más grande. Si Caturegli hubiera habilitado un servidor de correo electrónico en su nuevo dominio, podría haber recibido correos electrónicos desviados dirigidos a mastercard.com u otros dominios afectados. Además, podría haber obtenido certificados de cifrado web (SSL/TLS) autorizados para aceptar y retransmitir tráfico web para los sitios web afectados. Incluso podría haber recibido credenciales de autenticación de Microsoft Windows de computadoras de empleados de empresas afectadas.

Afortunadamente, Caturegli no intentó ninguna de estas acciones y, en su lugar, notificó a MasterCard sobre el dominio registrado, ofreciendo transferirlo a la empresa. MasterCard reconoció el error y afirmó que no había habido ningún riesgo real para la seguridad de sus operaciones. Sin embargo, la empresa solicitó que Caturegli eliminara una publicación en LinkedIn en la que divulgaba públicamente el problema.

Caturegli defendió su decisión, argumentando que había asegurado el dominio para prevenir su explotación antes de cualquier divulgación pública, demostrando su compromiso con las prácticas de seguridad ética y la divulgación responsable. No obstante, MasterCard no ofreció cubrir los costos del dominio ni agradeció públicamente a Caturegli por su intervención.

El incidente subraya la importancia de una gestión adecuada y una auditoría constante de la infraestructura DNS. La configuración incorrecta de un servidor DNS puede tener implicaciones significativas, especialmente para grandes organizaciones que manejan volúmenes masivos de tráfico de red. En este caso, la mayoría de los usuarios de Internet dependen de reenviadores de tráfico público o resolutores de DNS como Cloudflare y Google. Un error en la configuración puede propagar instrucciones envenenadas a través de estos grandes proveedores de la nube.

Para evitar futuros incidentes, MasterCard debe implementar auditorías periódicas y monitoreo constante de su infraestructura DNS. Además, otras organizaciones deben aprender de este error y asegurarse de que sus configuraciones DNS sean revisadas regularmente para prevenir fallos similares. La transparencia y el reconocimiento de los problemas de seguridad también son cruciales para fomentar una cultura de seguridad robusta y proactiva.

Finalmente, el caso de MasterCard destaca la necesidad de una mayor colaboración y comunicación entre las empresas y los investigadores de seguridad. La intervención de Caturegli evitó una posible catástrofe, pero su experiencia muestra que aún queda mucho por hacer para mejorar la respuesta y el reconocimiento ante las divulgaciones de vulnerabilidades.

Brecha crítica en servicios en la nube expone datos sensibles de miles de usuarios

Categoría Seguridad en la Nube
Nombre del tema Brecha crítica en servicios en la nube expone datos sensibles de miles de usuarios
Brecha Vulnerabilidad en la configuración de acceso que permitió el acceso no autorizado a datos personales y corporativos
Criticidad
Solución propuesta Revisión y corrección de configuraciones de acceso, implementación de políticas de seguridad más estrictas y auditorías regulares de seguridad
Beneficios esperados Mejora en la protección de datos sensibles, reducción de riesgos de acceso no autorizado y aumento de la confianza de los usuarios en los servicios en la nube
Artículo original Bleeping Computer

Bleeping Computer

En un reciente informe de ciberseguridad, se ha descubierto una vulnerabilidad crítica en un popular servicio de almacenamiento en la nube, exponiendo datos sensibles de miles de usuarios a potenciales atacantes. La brecha de seguridad fue identificada por investigadores que descubrieron que una configuración incorrecta de acceso permitió que terceros no autorizados accedieran a datos personales y corporativos almacenados en la nube.

La vulnerabilidad afectó a una amplia gama de usuarios, incluyendo pequeñas y medianas empresas, así como grandes corporaciones, que utilizan el servicio en la nube para almacenar datos sensibles como información financiera, documentos legales, y datos personales de empleados y clientes. La criticidad de la brecha es alta, ya que los datos expuestos podrían ser utilizados para realizar ataques adicionales, como phishing, fraude financiero y robo de identidad.

El problema radica en la configuración de acceso del servicio en la nube, que no estaba adecuadamente restringida, permitiendo que cualquier persona con el enlace correcto pudiera acceder a los archivos almacenados. Esta configuración incorrecta subraya la importancia de las prácticas de seguridad en la nube, especialmente en un entorno donde el acceso remoto a los datos es una característica clave.

Las implicaciones de esta brecha de seguridad son significativas. Los datos expuestos incluyen información de identificación personal (PII), como nombres, direcciones, números de teléfono, y en algunos casos, números de seguro social y detalles de tarjetas de crédito. Además, la información corporativa sensible, como contratos, planes estratégicos y documentos financieros, también estuvo comprometida.

Para abordar esta vulnerabilidad, los expertos en seguridad recomiendan varias medidas preventivas:

  1. Revisión y corrección de configuraciones de acceso: Las empresas deben revisar y corregir las configuraciones de acceso de sus servicios en la nube para asegurar que solo las personas autorizadas puedan acceder a los datos sensibles.
  2. Implementación de políticas de seguridad más estrictas: Es crucial establecer políticas de seguridad que incluyan la autenticación multifactor (MFA), el cifrado de datos tanto en tránsito como en reposo, y la segmentación de redes para limitar el acceso a los datos críticos.
  3. Auditorías regulares de seguridad: Realizar auditorías de seguridad periódicas para identificar y corregir vulnerabilidades antes de que puedan ser explotadas por atacantes.

Los beneficios esperados de estas medidas incluyen una mejora significativa en la protección de datos sensibles, una reducción de los riesgos de acceso no autorizado, y un aumento de la confianza de los usuarios en la seguridad de los servicios en la nube. Además, estas prácticas pueden ayudar a las empresas a cumplir con las normativas de protección de datos, como el Reglamento General de Protección de Datos (GDPR) en Europa y otras leyes de privacidad en todo el mundo.

El proveedor del servicio en la nube afectado ha trabajado rápidamente para corregir la configuración de acceso y ha implementado medidas adicionales para prevenir futuras brechas. Sin embargo, este incidente destaca la necesidad de un enfoque proactivo en la seguridad en la nube, tanto por parte de los proveedores de servicios como de los usuarios.

En conclusión, la brecha de seguridad en el servicio de almacenamiento en la nube subraya la importancia de las configuraciones de acceso adecuadas y las políticas de seguridad robustas. Las empresas deben estar vigilantes y tomar medidas preventivas para proteger sus datos sensibles y mantener la confianza de sus clientes. La implementación de prácticas de seguridad avanzadas y la realización de auditorías regulares son pasos esenciales para mitigar los riesgos asociados con el uso de servicios en la nube.

Vulnerabilidad crítica en el modelo Llama de Meta permite la ejecución de código arbitrario

Categoría Seguridad en la Nube
Nombre del tema Vulnerabilidad crítica en el modelo Llama de Meta permite la ejecución de código arbitrario
Brecha Deserialización de datos no confiables en el componente Llama Stack
Criticidad
Solución propuesta Cambio del formato de serialización de pickle a JSON en la comunicación por sockets
Beneficios esperados Eliminación del riesgo de ejecución de código arbitrario, mejora de la seguridad en la comunicación de datos
Artículo original The Hacker News

The Hacker News

La semana pasada, Meta reveló una vulnerabilidad crítica en su framework de modelo de lenguaje grande (LLM) conocido como Llama, que podría permitir a un atacante ejecutar código arbitrario en el servidor de inferencia llama-stack si se explota con éxito. Identificada como CVE-2024-50050, esta vulnerabilidad ha sido calificada con un puntaje CVSS de 6.3 sobre 10.0. Sin embargo, la firma de seguridad de la cadena de suministro Snyk ha asignado a esta vulnerabilidad una criticidad de 9.3.

La vulnerabilidad reside en un componente llamado Llama Stack, que define un conjunto de interfaces de API para el desarrollo de aplicaciones de inteligencia artificial (IA), incluyendo el uso de los modelos propios de Meta. En particular, se trata de una falla de ejecución de código remoto en la implementación de la API de inferencia de Python de referencia, que se encontró que deserializa automáticamente objetos de Python usando pickle, un formato que ha sido considerado arriesgado debido a la posibilidad de ejecución de código arbitrario cuando se cargan datos no confiables o maliciosos utilizando la biblioteca.

En escenarios donde el socket ZeroMQ está expuesto a través de la red, los atacantes podrían explotar esta vulnerabilidad enviando objetos maliciosos al socket, según el investigador de Oligo Security, Avi Lumelsky. Dado que recv_pyobj deserializa estos objetos, un atacante podría lograr la ejecución de código arbitrario (RCE) en la máquina host.

Después de la divulgación responsable el 24 de septiembre de 2024, Meta abordó el problema el 10 de octubre en la versión 0.0.41. También se ha remediado en pyzmq, una biblioteca de Python que proporciona acceso a la biblioteca de mensajería ZeroMQ. En un aviso emitido por Meta, la compañía declaró que solucionó el riesgo de ejecución de código remoto asociado con el uso de pickle como formato de serialización para la comunicación por sockets cambiando al formato JSON.

Esta no es la primera vez que se descubren vulnerabilidades de deserialización en frameworks de IA. En agosto de 2024, Oligo detalló una “vulnerabilidad en la sombra” en el framework Keras de TensorFlow, un bypass para CVE-2024-3660 (puntaje CVSS: 9.8) que podría resultar en la ejecución de código arbitrario debido al uso del módulo inseguro marshal.

El desarrollo se produce mientras el investigador de seguridad Benjamin Flesch revela una falla de alta severidad en el rastreador de ChatGPT de OpenAI, que podría ser utilizado para iniciar un ataque de denegación de servicio distribuido (DDoS) contra sitios web arbitrarios. El problema es el resultado del manejo incorrecto de las solicitudes HTTP POST a la API “chatgpt[.]com/backend-api/attributions”, diseñada para aceptar una lista de URLs como entrada, pero que ni verifica si la misma URL aparece varias veces en la lista ni impone un límite en el número de hipervínculos que se pueden pasar como entrada.

Esto abre un escenario donde un actor malicioso podría transmitir miles de hipervínculos dentro de una sola solicitud HTTP, causando que OpenAI envíe todas esas solicitudes al sitio de la víctima sin intentar limitar el número de conexiones o evitar emitir solicitudes duplicadas. Dependiendo del número de hipervínculos transmitidos a OpenAI, proporciona un factor de amplificación significativo para potenciales ataques DDoS, abrumando efectivamente los recursos del sitio objetivo. La compañía de IA ha parcheado el problema desde entonces.

“El rastreador de ChatGPT puede ser desencadenado para realizar un ataque DDoS a un sitio web víctima a través de una solicitud HTTP a una API no relacionada de ChatGPT,” dijo Flesch. “Este defecto en el software de OpenAI generará un ataque DDoS en un sitio web víctima desprevenido, utilizando múltiples rangos de direcciones IP de Microsoft Azure en los que se ejecuta el rastreador de ChatGPT.”

La divulgación también sigue un informe de Truffle Security que indica que los asistentes de codificación impulsados por IA populares “recomiendan” codificar de manera explícita las claves de API y contraseñas, un consejo arriesgado que podría inducir a programadores inexpertos a introducir debilidades de seguridad en sus proyectos.

“Los LLMs están ayudando a perpetuar esto, probablemente porque fueron entrenados con todas las prácticas de codificación inseguras,” dijo el investigador de seguridad Joe Leon.

Las noticias sobre vulnerabilidades en frameworks de LLM también siguen investigaciones sobre cómo los modelos podrían ser abusados para potenciar el ciclo de vida de un ciberataque, incluyendo la instalación de la carga útil final de un stealer y el comando y control.

“Las amenazas cibernéticas planteadas por los LLMs no son una revolución, sino una evolución,” dijo el investigador de Deep Instinct, Mark Vaitzman. “No hay nada nuevo allí, los LLMs solo están haciendo las amenazas cibernéticas mejores, más rápidas y más precisas a una escala mayor. Los LLMs pueden ser integrados con éxito en cada fase del ciclo de vida del ataque con la guía de un conductor experimentado. Estas habilidades probablemente crecerán en autonomía a medida que la tecnología subyacente avance.”

Investigaciones recientes también han demostrado un nuevo método llamado ShadowGenes que puede ser utilizado para identificar la genealogía del modelo, incluyendo su arquitectura, tipo y familia aprovechando su gráfico computacional. El enfoque se basa en una técnica de ataque previamente divulgada llamada ShadowLogic.

“Las firmas utilizadas para detectar ataques maliciosos dentro de un gráfico computacional podrían ser adaptadas para rastrear e identificar patrones recurrentes, llamados subgrafos recurrentes, permitiéndoles determinar la genealogía arquitectónica de un modelo,” dijo la firma de seguridad de IA HiddenLayer en una declaración compartida con The Hacker News.

“Comprender las familias de modelos en uso dentro de su organización aumenta su conciencia general sobre su infraestructura de IA, permitiendo una mejor gestión de la postura de seguridad.”

Nueva campaña de malware utiliza MintsLoader y técnicas avanzadas para atacar sectores clave en Estados Unidos y Europa

Categoría Seguridad en Endpoint
Nombre del tema Campaña MintsLoader y su distribución de malware StealC
Brecha Uso de correos electrónicos de phishing para distribuir malware mediante técnicas avanzadas de evasión.
Criticidad Alta
Solución propuesta Implementar soluciones de filtrado de correo electrónico, análisis de tráfico de red, y detección de scripts maliciosos basados en comportamiento.
Beneficios esperados Reducción del impacto de campañas de phishing, bloqueo proactivo de malware y mayor resiliencia frente a ataques basados en PowerShell.
Artículo original The Hacker News

The Hacker News

En enero de 2025, investigadores en ciberseguridad han descubierto una campaña maliciosa en curso que utiliza un cargador de malware conocido como MintsLoader para distribuir cargas secundarias, incluyendo el malware StealC y una plataforma de computación en red legítima llamada BOINC. Este ataque tiene como objetivo sectores estratégicos como electricidad, petróleo, gas y servicios legales en Estados Unidos y Europa.

MintsLoader es un malware basado en PowerShell que se distribuye a través de correos electrónicos no deseados con enlaces a páginas falsas de verificación humana, denominadas KongTuke o ClickFix, o mediante archivos JavaScript maliciosos. Estas páginas engañan a las víctimas para que ejecuten comandos de PowerShell desde el portapapeles en su ventana de ejecución de Windows.

El proceso comienza cuando las víctimas hacen clic en un enlace de un correo electrónico de phishing. Este enlace descarga un archivo JavaScript que, al ejecutarse, inicia un comando PowerShell para descargar MintsLoader. El malware se conecta a un servidor de comando y control (C2), donde descarga cargas adicionales diseñadas para evadir análisis y sandboxes mediante una combinación de comprobaciones y algoritmos avanzados, como el uso de un algoritmo de generación de dominios (DGA).

El objetivo principal de esta campaña es la implementación de StealC, un malware especializado en el robo de información, que se vende como parte del modelo Malware-as-a-Service (MaaS). Este malware, que evita infectar dispositivos localizados en Rusia, Ucrania, Bielorrusia, Kazajistán y Uzbekistán, ha sido reestructurado desde su versión original conocida como Arkei.

Por otro lado, el informe señala la evolución de otros cargadores de malware, como Astolfo Loader, una versión actualizada de JinxLoader, reescrita en C++ para mejorar su rendimiento. Estas herramientas están disponibles en foros públicos de hacking, lo que facilita su proliferación y accesibilidad para ciberdelincuentes de todo el mundo.

Además, la investigación destaca las tácticas empleadas por las campañas de GootLoader, que utilizan técnicas de envenenamiento de optimización para motores de búsqueda (SEO). Esto redirige a las víctimas hacia sitios de WordPress comprometidos, donde se les engaña para que descarguen archivos aparentemente legítimos relacionados con acuerdos y contratos. Para aumentar la eficacia, estos ataques restringen las visitas repetidas al sitio desde la misma dirección IP en un plazo de 24 horas y enmascaran las modificaciones realizadas en las páginas comprometidas.

Puntos destacados

  • MintsLoader se distribuye mediante correos de phishing que conducen a páginas de verificación falsa o archivos JavaScript maliciosos.
  • El malware utiliza técnicas avanzadas para evadir detección, como un algoritmo de generación de dominios (DGA).
  • StealC, una carga secundaria, es un malware especializado en el robo de información que forma parte del modelo MaaS.
  • La campaña ha atacado sectores críticos en Estados Unidos y Europa, incluyendo energía y servicios legales.
  • Herramientas como Astolfo Loader y campañas como GootLoader muestran cómo los ciberdelincuentes aprovechan foros públicos y SEO para ampliar el alcance de sus ataques.

Nuevo marco de certificación en ciberseguridad de la UE para productos TIC: confianza, armonización y garantía a nivel europeo

Categoría Gobernanza
Nombre del tema Nuevo marco de certificación en ciberseguridad de la UE
Brecha Falta de armonización entre los esquemas de certificación nacionales.
Criticidad Alta
Solución propuesta Implementación de un marco común para certificaciones válidas en toda la UE.
Beneficios esperados Eliminación de barreras comerciales, mayor confianza en productos TIC y estandarización de requisitos de ciberseguridad.
Artículo original Comisión Europea

Certificación Ciberseguridad

La Unión Europea (UE) ha desarrollado un marco de certificación de ciberseguridad para productos y servicios de Tecnologías de la Información y la Comunicación (TIC) con el objetivo de mejorar la confianza y la seguridad en el entorno digital. Actualmente, la UE cuenta con diversas certificaciones a nivel nacional, pero la falta de un marco común ha provocado fragmentación y barreras comerciales entre los Estados miembros.

Este nuevo marco proporciona un sistema armonizado de normas, requisitos técnicos y procedimientos para la evaluación de productos y servicios TIC. Los esquemas de certificación estarán basados en acuerdos alcanzados a nivel europeo y garantizarán que los productos certificados cumplan con los estándares de ciberseguridad establecidos.

Elementos clave de los esquemas europeos de certificación
Cada esquema especificará:

  • Las categorías de productos y servicios cubiertos.
  • Los requisitos de ciberseguridad, como estándares y especificaciones técnicas.
  • El tipo de evaluación, que puede ser autoevaluación o realizada por terceros.
  • Los niveles de garantía: básico, sustancial o alto, que informan sobre el nivel de riesgo asociado al uso del producto o servicio.

Un nivel de garantía alto indicará que el producto ha superado las pruebas de seguridad más rigurosas. Además, los certificados serán reconocidos en todos los Estados miembros, facilitando el comercio transfronterizo y ayudando a los compradores a comprender las características de seguridad de los productos.

EU Cybersecurity Certification Scheme on Common Criteria (EUCC)
El primer esquema de certificación adoptado bajo este marco, conocido como EUCC, se basa en el estándar internacional Common Criteria. Este estándar lleva casi 30 años emitiendo certificados en Europa y goza de gran prestigio global.

El esquema, que estará disponible a partir del 27 de febrero de 2025, se aplicará de manera voluntaria en toda la UE y certificará la ciberseguridad de productos TIC a lo largo de su ciclo de vida. Esto incluye:

  • Sistemas biométricos.
  • Firewalls (hardware y software).
  • Plataformas de detección y respuesta.
  • Routers, switches y software especializado (SIEM, IDS/IDP).
  • Sistemas operativos, dispositivos de almacenamiento cifrado y bases de datos.
  • Tarjetas inteligentes y elementos seguros, como los utilizados en pasaportes.

Unión Rolling Work Programme (URWP)
El Union Rolling Work Programme (URWP) es un documento estratégico que establece las áreas prioritarias y los posibles ámbitos de nuevos esquemas de certificación de ciberseguridad en Europa, tomando en cuenta desarrollos legislativos como el Cyber Resilience Act (CRA) y el Reglamento de Identidad Digital Europea.

Las áreas prioritarias identificadas incluyen:

  • Carteras de identidad digital (ID Wallets).
  • Servicios de seguridad gestionados.
  • Sistemas de automatización industrial y control.
  • Desarrollo del ciclo de vida de seguridad y mecanismos criptográficos.

Grupos de trabajo en ciberseguridad

  • European Cybersecurity Certification Group (ECCG): Ayuda a garantizar la implementación coherente del marco de certificación y está compuesto por representantes de autoridades nacionales de certificación en ciberseguridad.
  • Stakeholder Cybersecurity Certification Group (SCCG): Asiste a la Comisión Europea y ENISA en temas estratégicos y la preparación del programa de trabajo de certificación.

Este esfuerzo conjunto refuerza la coordinación entre los Estados miembros, fomenta la estandarización y contribuye a una mayor resiliencia frente a las amenazas cibernéticas.

El ataque DDoS más grande de la historia bloqueado por Cloudflare

Categoría Seguridad en Redes
Nombre del tema El ataque DDoS más grande de la historia bloqueado por Cloudflare
Brecha Vulnerabilidad ante ataques DDoS de alta capacidad utilizando dispositivos IoT infectados
Criticidad
Solución propuesta Mejora de la infraestructura de red para soportar ataques DDoS masivos y la implementación de medidas de mitigación avanzadas como la detección y bloqueo en tiempo real
Beneficios esperados Reducción del impacto de futuros ataques DDoS, protección mejorada de los servicios de internet y aumento de la resiliencia de la infraestructura de red
Artículo original The Hacker News

The Hacker News

El 29 de octubre de 2024, Cloudflare detectó y bloqueó un ataque de denegación de servicio distribuido (DDoS) de 5.6 Terabits por segundo (Tbps), el más grande registrado hasta la fecha. Este ataque, basado en el protocolo UDP, tuvo como objetivo un proveedor de servicios de internet (ISP) sin nombre de Asia Oriental. La actividad se originó a partir de una variante del botnet Mirai.

El ataque duró solo 80 segundos y se originó desde más de 13,000 dispositivos IoT. Según el informe de Cloudflare, el promedio de direcciones IP únicas observadas por segundo fue de 5,500, con una contribución media de cada dirección IP de alrededor de 1 Gbps por segundo.

La anterior marca para el ataque DDoS más grande también fue registrada por Cloudflare en octubre de 2024, con un pico de 3.8 Tbps. En 2024, Cloudflare bloqueó aproximadamente 21.3 millones de ataques DDoS, un aumento del 53% respecto a 2023, y los ataques que superaron 1 Tbps crecieron un 1,885% trimestre a trimestre. Solo en el cuarto trimestre de 2024, se mitigaron unos 6.9 millones de ataques DDoS.

Los botnets DDoS conocidos representaron el 72.6% de todos los ataques DDoS HTTP. Los tres vectores de ataque de capa 3/capa 4 (capa de red) más comunes fueron las inundaciones SYN (38%), los ataques de inundación DNS (16%) y las inundaciones UDP (14%). Los ataques DDoS de Memcached, los ataques DDoS de BitTorrent y los ataques DDoS de rescate experimentaron un aumento del 314%, 304% y 78% trimestre a trimestre, respectivamente. Alrededor del 72% de los ataques DDoS HTTP y el 91% de los ataques DDoS de capa de red terminan en menos de diez minutos.

Indonesia, Hong Kong, Singapur, Ucrania y Argentina fueron las mayores fuentes de ataques DDoS, mientras que China, Filipinas, Taiwán, Hong Kong y Alemania fueron los países más atacados. Los sectores de telecomunicaciones, internet, marketing, tecnología de la información y juegos de azar fueron los más atacados.

El desarrollo se produce cuando las empresas de ciberseguridad Qualys y Trend Micro revelaron que derivaciones del notorio malware botnet Mirai están atacando dispositivos de Internet de las Cosas (IoT) explotando fallos de seguridad conocidos y credenciales débiles para utilizarlos como conductos para ataques DDoS.

El ataque DDoS más grande de la historia bloqueado por Cloudflare destaca la necesidad crítica de mejorar la infraestructura de red y adoptar medidas avanzadas de mitigación para protegerse contra tales incidentes. La capacidad de Cloudflare para detectar y bloquear un ataque de esta magnitud subraya la importancia de una defensa proactiva en ciberseguridad. Sin embargo, la creciente frecuencia y sofisticación de estos ataques también pone de manifiesto la necesidad de una colaboración continua y el desarrollo de nuevas tecnologías para mantener la resiliencia en un entorno de amenazas en constante evolución.

La creciente importancia de la gestión automatizada de identidades en la escalabilidad de la seguridad

Categoría Seguridad en la Nube
Nombre del tema La creciente importancia de la gestión automatizada de identidades en la escalabilidad de la seguridad
Brecha Falta de gestión automatizada y eficiente de identidades no humanas (NHIs) que puede llevar a vulnerabilidades de seguridad
Criticidad
Solución propuesta Implementación de una plataforma de gestión de identidades automatizada que proporcione visibilidad y control centralizados, junto con políticas de cumplimiento y auditoría
Beneficios esperados Reducción de riesgos de brechas de datos, mejora del cumplimiento normativo, aumento de la eficiencia y reducción de costos operativos
Artículo original Security Boulevar

Security Boulevar

En un entorno digital que evoluciona rápidamente, la gestión automatizada de identidades se ha convertido en un componente esencial para la seguridad escalable. Las identidades no humanas (NHIs), como las máquinas y los dispositivos que interactúan en el ciberespacio, requieren una gestión precisa y eficiente para asegurar tanto sus credenciales de acceso como su comportamiento dentro del sistema.

Las NHIs juegan un papel crucial en la ciberseguridad moderna. Estas identidades de máquinas se crean acoplando un “secreto” único, como una contraseña cifrada o un token, con permisos otorgados por un servidor de destino. Al igual que un turista necesita un pasaporte y una visa para viajar internacionalmente, las identidades de las máquinas requieren estos identificadores y permisos únicos para funcionar dentro de un sistema.

La gestión de las NHIs y sus secretos es una tarea compleja pero vital que demanda un enfoque integral. Las soluciones tradicionales, como los escáneres de secretos, ofrecen una protección limitada. En cambio, una plataforma de gestión integral proporciona información sobre la propiedad, los permisos, los patrones de uso y las posibles vulnerabilidades, permitiendo así el desarrollo de una estrategia de seguridad contextual y proactiva.

Esta aproximación holística ofrece múltiples beneficios, tales como:

Reducción del riesgo: Al identificar y mitigar amenazas de manera proactiva, se disminuye significativamente el riesgo de brechas de datos y filtraciones. Mejora del cumplimiento: Ayuda a las organizaciones a cumplir con los requisitos regulatorios mediante la aplicación de políticas y el mantenimiento de registros de auditoría. Aumento de la eficiencia: La automatización de la gestión de NHIs y secretos libera al equipo de seguridad para que se concentre en iniciativas estratégicas. Mayor visibilidad y control: Proporciona un punto centralizado de gobernanza y gestión de accesos. Ahorro de costos: Al automatizar tareas cruciales como la rotación de secretos y la desactivación de NHIs, reduce los gastos operativos.

La conexión entre la gestión automatizada de identidades y la escalabilidad de la seguridad es innegable. A medida que una organización crece y se incorporan más NHIs, los métodos manuales de seguridad se vuelven inviables. Las herramientas de gestión automatizada de identidades pueden mantener el ritmo de este crecimiento y asegurar que las medidas de seguridad sigan siendo efectivas.

Diversos sectores como las finanzas, la salud, los viajes y equipos como DevOps y SOC pueden beneficiarse de este enfoque. No solo se trata de abordar las brechas de seguridad que surgen de la desconexión entre los equipos de seguridad y desarrollo, sino también de crear un entorno de nube seguro que pueda adaptarse y evolucionar al ritmo de la organización.

Implementar la gestión automatizada de identidades es un paso necesario en el dinámico y arriesgado panorama digital actual. No se trata solo de proteger las identidades de las máquinas y gestionar secretos, sino de allanar el camino para un crecimiento empresarial ininterrumpido de manera segura, eficiente y rentable.

La gestión de NHIs ya no es una opción, sino una necesidad. Mantenerse por delante de las amenazas y habilitar una seguridad escalable con la gestión automatizada de identidades no es solo una decisión inteligente, sino una parte integral de cualquier estrategia robusta de ciberseguridad.