Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de cibercrimen

¿Qué es una APT en ciberseguridad?

En ciberseguridad, APT significa Amenaza Persistente Avanzada (Advanced Persistent Threat en inglés). Se refiere a un tipo de ataque en el que un actor malicioso, que generalmente tiene grandes recursos y habilidades técnicas, obtiene acceso a una red de forma sigilosa y mantiene ese acceso durante un largo período de tiempo para robar información o causar daño. Las APTs suelen ser dirigidas a organizaciones específicas y tienen como objetivo la recopilación de datos sensibles o la infiltración profunda en los sistemas.

Características principales de las APT:

  1. Persistencia: El atacante permanece dentro de la red durante un largo período de tiempo sin ser detectado.
  2. Avanzada: Utiliza técnicas sofisticadas y herramientas personalizadas para evitar la detección.
  3. Objetivos específicos: No se trata de ataques al azar, sino de ataques dirigidos a objetivos específicos (como gobiernos, empresas grandes o infraestructuras críticas).

Ejemplos de actores conocidos que llevan a cabo APTs incluyen:

  • APT28 (Fancy Bear): A menudo se ha asociado con Rusia.
  • APT29 (Cozy Bear): También se cree que está relacionado con Rusia.
  • APT10: Atribuido a China, conocido por su ataque a industrias tecnológicas y gubernamentales.

 

  1. Andrea Cristaldi – MAPA – Recopilación e historia de APT’s https://andreacristaldi.github.io/APTmap/
  2. MITRE  – Lista de APT’s https://attack.mitre.org/groups/

 

RDP en windows xp , windows server y windows 7 vulnerables, y agujeros última actualización windows 10

Os dejo enlace donde se dice que el RDP es vulnerable, conexión remota a nuestro PC, aconsejamos que utilicéis VPN previo a RDP si no hay mas remedio, podéis leer el
artículo:
https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-servicios-de-escritorio-remoto-de-microsoft-actualice-ahora/

  así que si tienes windows 7, server o windows xp parchea/actualiza según aparece en este artículo . Desde seguridad se están pasando
escaneo para ver las vulnerabilidades de vuestros equipos, ya se ha detectado bastantes. Os llegará correo de incidente de seguridad si se
detecta algo.

   Por otra parte  avisamos de otro artículo donde dice que la última actualización de windows 10, la de mayo que fué global, tiene agujeros
de seguridad:

https://computerhoy.com/noticias/tecnologia/windows-10-llena-agujeros-seguridad-429769

así que de momento no actualizar a la última, esperar un poco.

Con Respecto al RDP esto es lo que estamos enviando en las incidencias de seguridad como ayuda:
Hemos detectado que su sistema operativo Windows no está actualizado y que tiene habilitado el servicio de escritorio remoto de Windows. En concreto le falta el parche para la vulnerabilidad CVE-2019-0708, este permite a un atacante no autenticado realizar la ejecución de código remotamente con los privilegios más elevados del sistema, con lo que podría tomar de manera efectiva el control total del mismo y causar afectaciones, como robo de información y otros daños

Debe actualizar URGENTEMENTE su Windows ejecutando la opción de actualización del mismo (panel de control/Windows update). Así mismo le recomendamos que programe las actualizaciones para que se produzcan de forma automática. 
 
Si su equipo es un Windows que ya no reciben soporte estándar (XP, Server 2003 y Vista) y del que NO SE RECOMIENDA su uso, Microsoft ha publicado el siguientes parches de seguridad que puede descargar y ejecutar desde https://support.microsoft.com/es-es/help/4500705/customer-guidance-for-cve-2019-0708

A continuación pase el antivirus a su equipo por si le hubieran descargado un virus a su equipo, al permitir dicha vulnerabilidad el poder subir y ejecutar archivos en su equipo.

Es muy recomendable limitar las IP's que pueden conectarse a su equipo y no estar expuestos a ataques. Para ello debe indicar al cortafuegos de Windows que solo permita conexiones al puerto 3389 a las IP's de los equipos a los que autorice su conexión. Los pasos serían:
 1. Abrir el programa Windows Firewall with Advanced Security o en castellano Firewall de Windows con seguridad avanzada.
 2. Entramos en reglas de entrada y localizamos el acceso a escritorio remoto entre el inmenso número de entradas. Para ayudarnos un poco ordenamos por Puerto local (pulsamos un clic sobre el título de dicha columna) y localizamos el 3389, que es el que usa el RDP.
 3. Veremos que hay una regla RDP para TCP y otra para UDP.
 4. Hemos de incluir las IP autorizadas. Para ello primero hacemos doble click sobre una de las reglas y en la pantalla que aparece seleccionamos la pestaña Ámbito. Incluimos la/s IP/s autorizadas en Dirección IP remota y aceptamos. Luego hacemos lo mismo con la otra regla, de manera que el acceso a RDP esté limitado a las IPs seleccionadas tanto por el puerto TCP como por el UDP.
 5. Finalmente pulsamos el botón Aceptar y cerramos el cortafuegos.
 
Si precisa hacer conexiones desde fuera de la UGR, como no siempre se conectará con una misma IP, la solución es hacer las conexiones al escritorio remoto a través de VPN (https://csirc.ugr.es/informatica/RedUGR/VPN/ConfVPNSSL/), entonces le debe indicar a su cortafuegos que permita conexiones al rango de IP's 172.20.240.0/20 al puerto 3389 que son las que se le asignará a su equipo cuando se conecte a la VPN de la UGR. 

Cuando realice dicha actualización nos lo indica por email para que verifiquemos que ya no es vulnerable.

Para más información puede consultar: 
https://www.osi.es/es/actualidad/avisos/2019/05/detectada-nueva-vulnerabilidad-en-remote-desktop-services-de-windows
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-el-escritorio-remoto-windows-versiones-antiguas
https://www.incibe-cert.es/en/early-warning/vulnerabilities/cve-2019-0708
https://tutoriales.cect.org/limitar-el-acceso-por-remote-desktop-a-una-maquina-windows/

ALERTA: Correo SPAM con Phising del email falso csiic@ugr.es

Nos está llegando estos días un mensaje de correo falso desde la dirección de correo csiic@ugr.es ( no existe este email) , nuestros sistemas lo han catalogado como sospechosos de SPAM [ SUSPECTED SPAM], por lo que no le hagáis caso, borrar el mensaje. Como decimos siempre desde el CSIRC nos os vamos a pedir las claves de acceso a servicios de la UGR, por lo que no hagáis caso a ningún mensaje de este tipo.

De momento hemos bloqueado el acceso a la URL externa a UGR a la que se pide en ese mensaje que se acceda, se ha comunicado el CERT de RedIRIS este SPAM para que lo bloqueen también.

NO HAGAIS CASO A MENSAJES QUE OS PIDAN CLAVES DE ACCESO

Informe tendencias cibercrimen para el 2018

El CCN informa

Los Estados y el cibercrimen continúan siendo la principal ciberamenaza para la seguridad nacional

Publicado el:
lunes, 21 mayo 2018

  • Así lo recoge el recién publicado informe CCN-CERT IA-09/18 de Ciberamenazas y Tendencias. Edición 2018.
  • El documento hace balance de los principales ciberincidentes registrados el pasado año: los agentes de la amenaza, sus métodos de ataque, las vulnerabilidades explotadas y las principales medidas de mitigación a tener en cuenta a la hora de mejorar la protección.
  • El informe aborda también las tendencias para este 2018 que, junto a los informes CCN-CERT IA-07/18 Hacktivismo y Ciberyihadismo y CCN-CERT IA-10/18 Dispositivos y Comunicaciones Móviles, completan una visión general del panorama de la ciberseguridad.

El CCN-CERT ha hecho público su ya tradicional Informe de Ciberamenazas y Tendencias. Edición 2018, en el que realiza un análisis de las ciberamenazas nacionales e internacionales más destacadas, así como de su evolución y tendencias futuras. En él se concluye que los actores estatales y los criminales profesionales continúan siendo la amenaza más importante para los intereses del país y que los ciberataques se han utilizado para influir en procesos democráticos.

El documento hace balance de los principales ciberincidentes registrados en 2017 centrándose en los denominados ciberconflictos o guerra híbrida; las campañas dirigidas a influir en la opinión pública; los ataques disruptivos de sistemas; el ciberespionaje o las actividades dirigidas a obtener beneficios económicos como el ransomware, el fraude al CEO1 o los ciberataques contra entidades financieras (malware Cobalt2).

Agentes de las Amenazas

El informe, en su décima edición, examina los actores de la amenaza que de forma intencionada han desarrollado ataques, su motivo, así como sus capacidades.

Los Estados se sitúan en primer lugar como fuente de ciberespionaje, seguidos de ciberdelincuentes que han dirigido sus ataques contra los sistemas de empresas (bancos e instituciones financieras fundamentalmente), o ciberterrorismo y ciberyihadismo que, aunque todavía no parecen ser capaces de desarrollar ataques sofisticados, sí han realizado actividades de carácter propagandístico, así como ataques DDoS (Denegación de Servicio) y desfiguraciones o defacement.

GráficoLos grupos hacktivistas, los cibervándalos y los actores internos son los otros tres agentes de la amenaza abordados en el informe.

Las vulnerabilidades, los métodos de ataque y las principales medidas de protección son otros de los epígrafes de especial interés de este Informe.

Tendencias 2018

Para 2018, teniendo en cuenta la evolución de los ciberincidentes en el periodo considerado, el CCN-CERT espera que los futuros ciberataques incrementen su grado de sofisticación, de virulencia y de osadía.

Entre las principales tendencias para 2018 destacan los ataques por Denegación de Servicio (DoS-DDoS); la disminución de la tendencia al uso de exploits-kits; el crecimiento en el ciberespionaje debido a desencadenantes geopolíticos o sanciones económicas y el uso del ransomware.

Otras de las más importantes son el incremento de las brechas de seguridad, el nuevo reglamento general de protección de datos, la adopción de la biometría o los ataques contra las redes sociales.

 

1 Los ciberdelincuentes intentan que el departamento financiero de una empresa realice transacciones económicas utilizando nombres de dominio similar al de la organización en cuestión.

2 El líder del grupo que creó el malware Cobalt fue detenido en España en marzo de 2018. Con este código dañino atacaron a más de 100 instituciones financieras de más de 40 países, generando pérdidas de mil millones de euros.

 

CCN-CERT (21/05/2018)

informe CCN-CERT IA-09/18 de Ciberamenazas y Tendencias. Edición 2018.

Informe CCN-CERT IA-09/18 de Ciberamenazas y Tendencias 2018. Resumen Ejecutivo 2018

 
Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.