Las amenazas a la ciberseguridad están creciendo en frecuencia, diversidad y complejidad. Obtenga una revisión rápida y actualizada de 21 amenazas de ciberseguridad y cómo obtener la información que necesita para prevenir las violaciones de datos y reforzar la seguridad de su información.
En este post aprenderá:
- Qué son las amenazas de ciberseguridad
- 21 ciberamenazas: DDoS, MitM, ingeniería social y más
- Fuentes comunes de las amenazas de ciberseguridad
- Tendencias y retos de la ciberseguridad
- Cómo priorizar las amenazas: el modelo de amenazas OWASP
- Usar la inteligencia de amenazas para la prevención de las mismas
- ¿Qué son las amenazas de ciberseguridad?
- ¿Cuáles son los principales tipos de amenazas a la ciberseguridad?
- Denegación de servicio distribuida (DDoS)
- Ataque de hombre en el medio (MitM)
- Ataques de ingeniería social
- Ataque de malware y spyware
- Ataques a las contraseñas
- Amenazas persistentes avanzadas (APT)
- Fuentes de las ciberamenazas
- Principales problemas y tendencias de ciberseguridad
- Los principales retos de ciberseguridad
- Priorización de las ciberamenazas: El modelo de amenazas de OWASP
- Uso de la inteligencia sobre amenazas para la prevención de las mismas
- Aprenda más sobre las amenazas a la ciberseguridad
- Vea nuestras guías adicionales sobre seguridad de la información
- Guía de seguridad de SIEM
- Guía de análisis del comportamiento de usuarios y entidades
- Guía sobre amenazas internas
- Guía de centros de operaciones de seguridad
- Guía de DLP
- Guía de respuesta a incidentes
¿Qué son las amenazas de ciberseguridad?
Las amenazas de ciberseguridad reflejan el riesgo de sufrir un ciberataque. Un ciberataque es un esfuerzo intencionado y malicioso por parte de una organización o un individuo para violar los sistemas de otra organización o individuo. Los motivos del atacante pueden incluir el robo de información, el beneficio financiero, el espionaje o el sabotaje.
¿Cuáles son los principales tipos de amenazas a la ciberseguridad?
Los principales tipos de ciberamenazas son:
- Denegación de servicio distribuida (DDoS)
- Hombre en el medio (MitM)
- Ingeniería social
- Malware y spyware
- Ataques a contraseñas
- Amenazas persistentes avanzadas (APT)
A continuación cubrimos cada una de estas amenazas con más detalle.
Denegación de servicio distribuida (DDoS)
El objetivo de un ataque de denegación de servicio (DoS) es saturar los recursos de un sistema objetivo y hacer que deje de funcionar, negando el acceso a sus usuarios. La denegación de servicio distribuida (DDoS) es una variante de DoS en la que los atacantes comprometen un gran número de ordenadores u otros dispositivos, y los utilizan en un ataque coordinado contra el sistema objetivo.
Los ataques DDoS se utilizan a menudo en combinación con otras ciberamenazas. Estos ataques pueden lanzar una denegación de servicio para captar la atención del personal de seguridad y crear confusión, mientras llevan a cabo ataques más sutiles destinados a robar datos o causar otros daños.
Los métodos de los ataques DDoS incluyen:
- Botnets-sistemas bajo el control de hackers que han sido infectados con malware. Los atacantes utilizan estos bots para llevar a cabo ataques DDoS. Las grandes redes de bots pueden incluir millones de dispositivos y pueden lanzar ataques a escala devastadora.
- Ataque pitufo: envía solicitudes de eco del Protocolo de Mensajes de Control de Internet (ICMP) a la dirección IP de la víctima. Las peticiones ICMP se generan a partir de direcciones IP «falsificadas». Los atacantes automatizan este proceso y lo llevan a cabo a escala para abrumar a un sistema objetivo.
- Ataque de inundación TCP SYN: los ataques inundan el sistema objetivo con solicitudes de conexión. Cuando el sistema objetivo intenta completar la conexión, el dispositivo del atacante no responde, obligando al sistema objetivo a perder el tiempo. Esto llena rápidamente la cola de conexión, impidiendo que los usuarios legítimos se conecten.
Los siguientes dos ataques son menos comunes hoy en día, ya que se basan en las vulnerabilidades del protocolo de Internet (IP) que se han abordado en la mayoría de los servidores y redes.
- Ataque de lágrima: hace que los campos de longitud y compensación de fragmentación en los paquetes IP se superpongan. El sistema objetivo intenta reconstruir los paquetes, pero no lo consigue, lo que puede hacer que se bloquee.
- Ataque de ping de la muerte: envía un mensaje a un sistema objetivo utilizando paquetes IP mal formados o de gran tamaño, lo que hace que el sistema objetivo se bloquee o se congele.
Ataque de hombre en el medio (MitM)
Cuando los usuarios o dispositivos acceden a un sistema remoto a través de Internet, asumen que se están comunicando directamente con el servidor del sistema objetivo. En un ataque MitM, los atacantes rompen esta suposición, colocándose entre el usuario y el servidor de destino.
Una vez que el atacante ha interceptado las comunicaciones, puede ser capaz de comprometer las credenciales de un usuario, robar datos sensibles y devolver diferentes respuestas al usuario.
Los ataques MitM incluyen:
- Secuestro de sesión: un atacante secuestra una sesión entre un servidor de red y un cliente. El ordenador atacante sustituye su dirección IP por la del cliente. El servidor cree que se está comunicando con el cliente y continúa la sesión.
- Ataque de repetición: un ciberdelincuente escucha la comunicación de la red y reproduce los mensajes en un momento posterior, haciéndose pasar por el usuario. Los ataques de repetición se han mitigado en gran medida añadiendo marcas de tiempo a las comunicaciones de red.
- Suplantación de IP: un atacante convence a un sistema de que se está correspondiendo con una entidad conocida y de confianza. El sistema proporciona así acceso al atacante. El atacante falsifica su paquete con la dirección IP de origen de un host de confianza, en lugar de su propia dirección IP.
- Ataque de escucha: los atacantes aprovechan la comunicación de red insegura para acceder a la información transmitida entre el cliente y el servidor. Estos ataques son difíciles de detectar porque las transmisiones de red parecen actuar con normalidad.
Los ataques de ingeniería social funcionan manipulando psicológicamente a los usuarios para que realicen acciones deseables para un atacante o divulguen información sensible.
Los ataques de ingeniería social incluyen:
- Phishing: los atacantes envían correspondencia fraudulenta que parece provenir de fuentes legítimas, generalmente por correo electrónico. El correo electrónico puede instar al usuario a realizar una acción importante o a hacer clic en un enlace a un sitio web malicioso, llevándole a entregar información sensible al atacante o a exponerse a descargas maliciosas. Los correos electrónicos de phishing pueden incluir un archivo adjunto infectado con malware.
- Spear phishing-una variante de phishing en la que los atacantes se dirigen específicamente a personas con privilegios de seguridad o influencia, como administradores de sistemas o altos ejecutivos.
- Ataques homográficos-los atacantes crean sitios web falsos con direcciones web muy similares a un sitio web legítimo. Los usuarios acceden a estos sitios web falsos sin notar la ligera diferencia en la URL, y pueden enviar sus credenciales u otra información sensible a un atacante.
Ataque de malware y spyware
Los ataques utilizan muchos métodos para introducir el malware en el dispositivo de un usuario. Pueden pedir a los usuarios que realicen una acción, como hacer clic en un enlace o abrir un archivo adjunto. En otros casos, el malware utiliza las vulnerabilidades de los navegadores o los sistemas operativos para instalarse sin el conocimiento o el consentimiento del usuario.
Una vez instalado, el malware puede supervisar las actividades del usuario, enviar datos confidenciales al atacante, ayudarle a penetrar en otros objetivos dentro de la red e incluso hacer que el dispositivo del usuario participe en una red de bots aprovechada por el atacante con fines maliciosos.
Los ataques de ingeniería social incluyen:
- Virus troyano: engaña al usuario haciéndole creer que es un archivo inofensivo. Un troyano puede lanzar un ataque a un sistema y puede establecer una puerta trasera, que los atacantes pueden utilizar.
- Ransomware: impide el acceso a los datos de la víctima y amenaza con eliminarlos o publicarlos a menos que se pague un rescate.
- Malvertising: publicidad en línea controlada por piratas informáticos, que contiene código malicioso que infecta el ordenador de un usuario cuando hace clic, o incluso sólo ve el anuncio. El malvertising se ha encontrado en muchas de las principales publicaciones en línea.
- El malware Wiper: pretende destruir datos o sistemas, sobrescribiendo archivos específicos o destruyendo un sistema de archivos completo. Los wipers suelen tener como objetivo enviar un mensaje político u ocultar las actividades de los hackers tras la exfiltración de datos.
- Drive-by downloads: los atacantes pueden piratear sitios web e insertar scripts maliciosos en el código PHP o HTTP de una página. Cuando los usuarios visitan la página, el malware se instala directamente en su ordenador; o el script del atacante redirige a los usuarios a un sitio malicioso, que realiza la descarga. Las descargas «drive-by» se basan en las vulnerabilidades de los navegadores o de los sistemas operativos.
- El software de seguridad fraudulento finge buscar malware y luego muestra regularmente al usuario advertencias y detecciones falsas. Los atacantes pueden pedir al usuario que pague para eliminar las falsas amenazas de su ordenador o para registrar el software. Los usuarios que acceden transfieren sus datos financieros al atacante.
Ataques a las contraseñas
Un hacker puede acceder a la información de las contraseñas de una persona «husmeando» la conexión a la red, utilizando la ingeniería social, adivinando o accediendo a una base de datos de contraseñas. Un atacante puede «adivinar» una contraseña de forma aleatoria o sistemática.
Los ataques a las contraseñas incluyen:
- Adivinación de contraseñas por fuerza bruta: un atacante utiliza un software para probar muchas contraseñas diferentes, con la esperanza de adivinar la correcta. El software puede utilizar cierta lógica para intentar contraseñas relacionadas con el nombre del individuo, su trabajo, su familia, etc.
- Ataque de diccionario: se utiliza un diccionario de contraseñas comunes para obtener acceso al ordenador y a la red de la víctima. Un método consiste en copiar un archivo cifrado que contenga las contraseñas, aplicar el mismo cifrado a un diccionario de contraseñas de uso habitual y contrastar los resultados.
Amenazas persistentes avanzadas (APT)
Cuando un individuo o grupo obtiene acceso no autorizado a una red y permanece sin ser descubierto durante un largo período de tiempo, los atacantes pueden exfiltrar datos sensibles, evitando deliberadamente la detección por parte del personal de seguridad de la organización. Las APT requieren atacantes sofisticados e implican grandes esfuerzos, por lo que suelen lanzarse contra estados nacionales, grandes empresas u otros objetivos de gran valor.
Fuentes de las ciberamenazas
Cuando se identifica una ciberamenaza, es importante entender quién es el actor de la amenaza, así como sus tácticas, técnicas y procedimientos (TTP). Las fuentes comunes de ciberamenazas incluyen:
-
- Los ciberataques patrocinados por el Estado pueden interrumpir las comunicaciones, las actividades militares u otros servicios que los ciudadanos utilizan a diario.
- Los terroristas pueden atacar objetivos gubernamentales o militares, pero a veces también pueden dirigirse a sitios web civiles para interrumpir y causar daños duraderos.
- Los espías industriales: el crimen organizado y los espías corporativos internacionales llevan a cabo espionaje industrial y robos monetarios. Su principal motivo es el financiero.
- Grupos de crimen organizado: los grupos criminales se infiltran en los sistemas para obtener beneficios económicos. Los grupos de delincuencia organizada utilizan el phishing, el spam y el malware para llevar a cabo el robo de identidad y el fraude en línea.
- Hackers: existe una gran población mundial de hackers, que van desde los «script kiddies» principiantes o aquellos que aprovechan los kits de herramientas de amenazas ya creados, hasta los operadores sofisticados que pueden desarrollar nuevos tipos de amenazas y evitar las defensas de las organizaciones.
- Hacktivistas: los hackers son aquellos que penetran o interrumpen los sistemas por razones políticas o ideológicas más que por un beneficio económico.
- Los hackers internos maliciosos representan una amenaza muy seria, ya que tienen acceso a los sistemas corporativos y conocimiento de los sistemas objetivo y de los datos sensibles. Las amenazas internas pueden ser devastadoras y muy difíciles de detectar.
- Ciberespionaje: es una forma de ciberataque que roba datos intelectuales confidenciales o sensibles para obtener una ventaja sobre una empresa competitiva o una entidad gubernamental.
Principales problemas y tendencias de ciberseguridad
A medida que la tecnología evoluciona, también lo hacen las amenazas y los problemas a los que se enfrentan los equipos de seguridad. A continuación se presentan algunas de las principales tendencias y preocupaciones en materia de ciberseguridad hoy en día.
El creciente papel de la inteligencia artificial (IA)
La IA es un arma de doble filo; está mejorando las soluciones de seguridad al mismo tiempo que es aprovechada por los atacantes para eludir esas soluciones. Parte de la razón es la creciente accesibilidad a la IA. En el pasado, el desarrollo de modelos de aprendizaje automático sólo era posible si se tenía acceso a presupuestos y recursos importantes. Ahora, sin embargo, los modelos pueden desarrollarse en ordenadores portátiles personales.
Esta accesibilidad convierte a la IA en una herramienta que ha pasado de las grandes carreras armamentísticas digitales a los ataques cotidianos. Mientras que los equipos de seguridad utilizan la IA para tratar de detectar comportamientos sospechosos, los delincuentes la utilizan para crear bots que se hacen pasar por usuarios humanos y para cambiar dinámicamente las características y comportamientos del malware.
La brecha de habilidades de ciberseguridad sigue creciendo
Desde 2018 ha aumentado la preocupación por la brecha de habilidades de ciberseguridad. Simplemente no hay suficientes expertos en ciberseguridad para cubrir todos los puestos necesarios. A medida que se crean más empresas y otras actualizan sus estrategias de seguridad existentes, este número aumenta.
Las amenazas modernas, desde las identidades clonadas hasta las campañas de falsificación profunda, son cada vez más difíciles de detectar y detener. Los conocimientos de seguridad necesarios para combatir estas amenazas van mucho más allá de entender cómo implementar herramientas o configurar encriptaciones. Estas amenazas requieren conocimientos diversos de una gran variedad de tecnologías, configuraciones y entornos. Para obtener estas habilidades, las organizaciones deben contratar a expertos de alto nivel o dedicar los recursos a la formación de los suyos.
Aumentan las amenazas de hacking de vehículos e Internet de las Cosas (IoT)
La cantidad de datos que contiene un vehículo moderno es enorme. Incluso los coches que no son autónomos están cargados con una variedad de sensores inteligentes. Esto incluye dispositivos GPS, plataformas de comunicación incorporadas, cámaras y controladores de IA. Los hogares, lugares de trabajo y comunidades de muchas personas están llenos de dispositivos inteligentes similares. Por ejemplo, los asistentes personales integrados en los altavoces son dispositivos inteligentes.
Los datos de estos dispositivos pueden proporcionar información sensible a los delincuentes. Esta información incluye conversaciones privadas, imágenes sensibles, información de seguimiento y acceso a cualquier cuenta utilizada con los dispositivos. Estos dispositivos pueden ser fácilmente aprovechados por los atacantes para el chantaje o el beneficio personal. Por ejemplo, abusando de la información financiera o vendiendo información en el mercado negro.
Con los vehículos en particular, la amenaza de daño personal es también muy real. Cuando los vehículos están parcial o totalmente controlados por ordenadores, los atacantes tienen la oportunidad de hackear los vehículos como cualquier otro dispositivo. Esto podría permitirles utilizar los vehículos como armas contra otros o como medio para dañar al conductor o a los pasajeros.
Los principales retos de ciberseguridad
Además de las cuestiones más específicas tratadas anteriormente, también existen retos más amplios a los que se enfrentan muchos equipos de ciberseguridad. A continuación se presentan algunos de los retos actuales más comunes.
Los dispositivos móviles son difíciles de gestionar y proteger
Aunque la gente no haya adoptado completamente las tecnologías inteligentes, casi todo el mundo tiene un dispositivo móvil de algún tipo. Los teléfonos inteligentes, los ordenadores portátiles y las tabletas son comunes. Estos dispositivos suelen ser polivalentes, se utilizan tanto para el trabajo como para actividades personales, y los usuarios pueden conectar los dispositivos a múltiples redes a lo largo del día.
Esta abundancia y uso generalizado hacen de los dispositivos móviles un objetivo atractivo para los atacantes. Los ataques no son nuevos, pero el verdadero desafío proviene de que los equipos de seguridad no tienen un control total sobre los dispositivos. Las políticas de «traiga su propio dispositivo» (BYOD) son comunes, pero estas políticas a menudo no incluyen el control interno o la gestión.
A menudo, los equipos de seguridad sólo pueden controlar lo que ocurre con estos dispositivos dentro del perímetro de la red. Los dispositivos pueden estar desactualizados, ya infectados con malware o tener protecciones insuficientes. La única manera que tienen los equipos de seguridad de bloquear estas amenazas es rechazar la conectividad, lo cual no es práctico.
La complejidad del entorno de la nube
Con el paso de las empresas a los recursos de la nube cada día, muchos entornos son cada vez más complejos. Esto es especialmente cierto en el caso de los entornos híbridos y multi-nube, que requieren una amplia supervisión e integración.
Con cada servicio y recurso en la nube que se incluye en un entorno, el número de puntos finales y las posibilidades de desconfiguración aumentan. Además, como los recursos están en la nube, la mayoría de los puntos finales, si no todos, están orientados a Internet, lo que permite el acceso a los atacantes a escala global.
Para asegurar estos entornos, los equipos de ciberseguridad necesitan herramientas avanzadas y centralizadas y, a menudo, más recursos. Esto incluye recursos para la protección y la supervisión 24 horas al día, ya que los recursos están en funcionamiento y son potencialmente vulnerables incluso cuando la jornada laboral ha terminado.
El phishing es una táctica antigua pero todavía común utilizada por los atacantes para obtener datos sensibles, incluyendo credenciales e información financiera. En el pasado, los correos electrónicos de phishing eran vagos, y a menudo se hacían pasar por figuras de autoridad con amplias bases de usuarios. Por ejemplo, Facebook o Netflix. Ahora, sin embargo, el phishing suele aprovechar la ingeniería social.
Muchas personas hacen pública voluntariamente gran cantidad de información sobre sí mismas, incluyendo dónde viven y trabajan, sus aficiones y su lealtad a las marcas. Los atacantes pueden utilizar esta información para enviar mensajes dirigidos, aumentando la probabilidad de que los usuarios caigan en sus trucos.
Ataques patrocinados por el Estado
A medida que el mundo se traslada al ámbito digital, aumenta el número de ataques a gran escala y patrocinados por el Estado. Las redes de piratas informáticos ahora pueden ser aprovechadas y compradas por estados nacionales y grupos de interés opuestos para paralizar los sistemas gubernamentales y organizativos.
Para algunos de estos ataques, los resultados son fácilmente evidentes. Por ejemplo, se han identificado numerosos ataques que implican la manipulación de elecciones. Otros, sin embargo, pueden pasar desapercibidos, recopilando silenciosamente información sensible, como estrategias militares o inteligencia empresarial. En cualquier caso, los recursos que financian estos ataques permiten a los delincuentes utilizar estrategias avanzadas y distribuidas que son difíciles de detectar y prevenir
Priorización de las ciberamenazas: El modelo de amenazas de OWASP
El número de ciberamenazas está creciendo rápidamente, y es imposible que las organizaciones se preparen para todas ellas. Para ayudar a priorizar los esfuerzos de ciberseguridad, OWASP ha desarrollado un modelo para evaluar las ciberamenazas, que se resume de la siguiente manera:
Riesgo = Probabilidad + Impacto
Considere la probabilidad de una ciberamenaza: ¿qué tan fácil es para los atacantes llevar a cabo un ataque? ¿Existen atacantes con los conocimientos necesarios? ¿Qué probabilidad hay de detectar y mitigar la amenaza?
Además, considere el impacto de la amenaza: ¿cuán sensibles son los sistemas que pueden verse afectados, cuán valiosos y sensibles son los datos que pueden perderse y, en general, cuál sería el impacto financiero o de reputación de un ataque?
Al combinar la probabilidad con el impacto, puede identificar las amenazas que son significativas para su organización y asegurarse de que está protegida.
Uso de la inteligencia sobre amenazas para la prevención de las mismas
La inteligencia sobre amenazas es información organizada y preanalizada sobre los ataques que pueden amenazar a una organización. La inteligencia sobre amenazas ayuda a las organizaciones a comprender las ciberamenazas potenciales o actuales. Cuanta más información tenga el personal de seguridad sobre los actores de las amenazas, sus capacidades, infraestructura y motivos, mejor podrá defender a su organización.
Los sistemas de inteligencia sobre amenazas se utilizan habitualmente en combinación con otras herramientas de seguridad. Cuando un sistema de seguridad identifica una amenaza, se puede cruzar con los datos de inteligencia de amenazas para entender inmediatamente la naturaleza de la amenaza, su gravedad y los métodos conocidos para mitigar o contener la amenaza. En muchos casos, la inteligencia sobre amenazas puede ayudar a bloquear automáticamente las amenazas; por ejemplo, las direcciones IP malas conocidas pueden introducirse en un cortafuegos para bloquear automáticamente el tráfico de los servidores comprometidos.
La inteligencia sobre amenazas suele proporcionarse en forma de feeds. Hay feeds de inteligencia sobre amenazas gratuitos y otros proporcionados por organismos comerciales de investigación sobre seguridad. Varios proveedores ofrecen plataformas de inteligencia sobre amenazas que vienen con numerosos feeds de inteligencia sobre amenazas y ayudan a gestionar los datos sobre amenazas e integrarlos con otros sistemas de seguridad.
Aprenda más sobre las amenazas a la ciberseguridad
Amenazas a la seguridad de la información y herramientas para afrontarlas
El valor de la información hoy en día la convierte en un bien deseable y en un objetivo tentador para el robo y el sabotaje, lo que pone en riesgo de ataque a quienes la crean y la utilizan. Los delincuentes están encontrando constantemente nuevas formas de eludir las herramientas de seguridad y los desarrolladores de seguridad están trabajando para mantenerse a la vanguardia mediante la creación de soluciones más inteligentes.
La pérdida de información puede causar un gran daño a una empresa, pero si se toman las precauciones adecuadas y se utilizan las herramientas apropiadas, el riesgo se puede minimizar en gran medida. Siga leyendo para saber qué tipos de amenazas a la seguridad de la información debe tener en cuenta, incluyendo ejemplos de amenazas comunes, y cómo puede mitigar sus riesgos.
Lea más: Amenazas a la seguridad de la información y herramientas para afrontarlas
Drive By Downloads: Qué son y cómo evitarlas
La mayoría de las personas no piensan dos veces en los sitios web que visitan, haciendo clic rápidamente y sin prestar mucha atención a si un enlace les redirige o si se utiliza un protocolo seguro. A menudo, esto no es un problema, pero si usted visita un sitio que ha sido comprometido, su sistema puede ser rápidamente infectado por un drive by download.
Aquí, veremos qué es un drive by download, el tipo de daño que puede causar, y cubriremos algunas estrategias que su centro de operaciones de seguridad puede utilizar para minimizar su riesgo.
Lea más: Drive By Downloads: Qué son y cómo evitarlas
Cibercrimen: Tipos, ejemplos y lo que puede hacer su empresa
La ciberdelincuencia es la otra cara de la ciberseguridad: un enorme espectro de actividades dañinas e ilegales que se llevan a cabo utilizando ordenadores e Internet. Este artículo le ayudará a entender la ciberdelincuencia y cómo defender su organización contra ella.
Lea más: Ciberdelincuencia: Tipos, ejemplos y lo que puede hacer su empresa
Qué es MITRE ATT&CK: una explicación
MITRE ATT&CK es una base de conocimientos de acceso global sobre las tácticas y técnicas de los adversarios basada en observaciones reales de ciberataques. Se muestran en matrices ordenadas por etapas de ataque, desde el acceso inicial al sistema hasta el robo de datos o el control de la máquina. Hay matrices para las plataformas de escritorio más comunes -Linux, macOS y Windows- así como para las plataformas móviles.
Lee más: Qué es MITRE ATT&CK: un explicador
Qué es MITRE ATT&CK: un explicador
El marco, el modelo y la taxonomía de MITRE ATT&CK proporcionan un catálogo categorizado y estructurado de tácticas (el «por qué» de un ataque) y técnicas (el «cómo» y a veces el «qué» de un ataque). La relación entre tácticas y técnicas se organiza y presenta como la matriz ATT&CK. La filosofía del modelo ATT&CK es que al enfocar y priorizar su defensa contra el comportamiento de las amenazas documentadas, usted puede entender, prevenir y mitigar estas amenazas y ataques.
Lea más: Mitigación de amenazas de seguridad con MITRE ATT&CK
Defensa contra el ransomware: Prevención, protección y eliminación
Un ataque de ransomware puede ser demoledor para una organización. Durante un ataque, los ciberdelincuentes bloquearán el acceso a sus archivos o a la red, alegando que si se paga un rescate, se restablecerá el acceso. Una estrategia eficaz de defensa contra el ransomware es esencial para evitar daños importantes y debe incluir tres pilares: prevención, protección y eliminación rápida.
Lea más: Defensa contra el ransomware: Prevención, protección y eliminación
Las 5 principales técnicas de ingeniería social y cómo prevenirlas
La ingeniería social se aprovecha del eslabón más débil de nuestra cadena de seguridad -la mano de obra humana- para acceder a las redes corporativas. Los atacantes utilizan artimañas cada vez más sofisticadas y la manipulación emocional para hacer que los empleados, incluso los más veteranos, entreguen información sensible. Conozca las etapas de un ataque de ingeniería social, cuáles son las principales amenazas de ingeniería social según el InfoSec Institute y las mejores prácticas para defenderse de ellas.
Lea más: Las 5 principales técnicas de ingeniería social y cómo prevenirlas
Detección de escalada de privilegios: La clave para prevenir ataques avanzados
Los atacantes son cada vez más sofisticados, y grupos organizados de hackers están llevando a cabo ataques avanzados contra objetivos atractivos. Un componente clave en casi todos los ataques avanzados es la escalada de privilegios: un intento de comprometer una cuenta y luego ampliar los privilegios del atacante, ya sea obteniendo el control de más cuentas o aumentando el nivel de privilegios de la cuenta comprometida.
Siga leyendo para entender cómo funciona la escalada de privilegios, cómo detectarla en su organización y cómo proteger sus sistemas y detener los ataques avanzados antes de que lleguen a sus activos más sensibles.
Lea más: Detección de la Escalada de Privilegios: La clave para prevenir los ataques avanzados
Conceptos del SIEM: Incidentes de seguridad
Los incidentes de seguridad indican el fallo de las medidas de seguridad o la violación de los sistemas o datos de las organizaciones. Esto incluye cualquier evento que amenace la integridad, disponibilidad o confidencialidad de la información. Las causas de los incidentes de seguridad incluyen violaciones del perímetro, ciberataques y amenazas internas.
Los incidentes suelen requerir que un administrador de TI tome medidas. La respuesta a incidentes (IR) es un proceso organizado mediante el cual las organizaciones se defienden de los incidentes de seguridad.
Leer más: Conceptos de SIEM: Incidentes de seguridad
Vea nuestras guías adicionales sobre seguridad de la información
Para obtener guías más detalladas sobre temas adicionales de seguridad de la información, como las violaciones de datos, consulte a continuación:
Guía de seguridad de SIEM
La seguridad de SIEM se refiere a la integración de SIEM con herramientas de seguridad, herramientas de supervisión de la red, herramientas de supervisión del rendimiento, servidores y puntos finales críticos y otros sistemas de TI.
Vea los principales artículos de nuestra guía de seguridad siem
- 7 SIEMs de código abierto: Características vs. Limitaciones
- Soluciones SIEM: Cómo funcionan y por qué las necesita
- Cómo combatir los ciberataques con SOAR
Guía de análisis del comportamiento de usuarios y entidades
UEBA son las siglas de User and Entity Behavior Analytics (análisis del comportamiento de usuarios y entidades) que son una categoría de herramientas de ciberseguridad que analizan el comportamiento de los usuarios, y aplican análisis avanzados para detectar anomalías.
Vea los principales artículos de nuestra guía de Análisis del Comportamiento de Usuarios y Entidades
- Qué es UEBA y por qué debería ser una parte esencial de su respuesta a incidentes
- Análisis del Comportamiento de Usuarios (UBA/UEBA): La clave para descubrir amenazas de seguridad internas y desconocidas
- Perfiles de comportamiento: La base de la analítica de seguridad moderna
Guía sobre amenazas internas
Una amenaza interna es una actividad maliciosa contra una organización que proviene de usuarios con acceso legítimo a la red, las aplicaciones o las bases de datos de una organización.
Vea los principales artículos de nuestra guía sobre amenazas internas
- Cómo combatir las amenazas internas con la ciencia de los datos
- Indicadores de amenazas internas: Cómo encontrar al enemigo interior
- Cómo encontrar a los insiders maliciosos: Tackling Insider Threats Using Behavioral Indicators
Guía de centros de operaciones de seguridad
Un centro de operaciones de seguridad (SOC) es tradicionalmente una instalación física con una organización, que alberga un equipo de seguridad de la información.
Vea los principales artículos de nuestra guía de centros de operaciones de seguridad
- Cómo construir un centro de operaciones de seguridad para pequeñas empresas
- Roles y responsabilidades del centro de operaciones de seguridad
- SecOps: 7 pasos para : Taking DevOps One Step Further
- Guía sobre la violación de datos
Guía de DLP
DLP es un enfoque que busca proteger la información empresarial. Evita que los usuarios finales muevan la información clave fuera de la red.
Vea los principales artículos de nuestra guía DLP
- Plantilla de política de prevención de pérdida de datos
- Herramientas de prevención de pérdida de datos
- Brechas de seguridad: Lo que necesita saber
Guía de respuesta a incidentes
La respuesta a incidentes es un enfoque para manejar las brechas de seguridad.
Vea los principales artículos de nuestra guía de respuesta a incidentes
- La Guía completa para la organización de un CSIRT: Cómo construir un equipo de respuesta a incidentes
- Cómo desplegar rápidamente una política eficaz de respuesta a incidentes
- Plan de respuesta a incidentes 101: cómo construir uno, plantillas y ejemplos
Deja una respuesta