Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Las empresas no están aprendiendo de los incidentes pasados de ciberseguridad

Las empresas aún no están entendiendo los conceptos básicos y no están aprendiendo de los incidentes de seguridad pasados, de acuerdo con un blogger y entrenador de seguridad de fama mundial.

El incidente de seguridad cibernética después del incidente demuestra que las organizaciones aún fallan en lo básico,...

pero también muestra que pocos están aprendiendo de los errores del pasado de otros, según Troy Hunt, autor y experto en seguridad de Pluralsight.

"Un buen ejemplo de esto es el compromiso BrowseAloud que afecta a miles de sitios web y organizaciones gubernamentales en el Reino Unido y en todo el mundo", dijo a Infosecurity Europe 2018 en Londres.

"A pesar de que esto tuvo un impacto bastante significativo, muchas organizaciones no han aprendido la lección y la mayoría de los sitios web no aplican una solución gratuita y fácil, incluidos los que pertenecen a algunos departamentos gubernamentales del Reino Unido y EE.UU. y algunos minoristas importantes".

El problema fue causado por la corrupción de un archivo en el servicio de accesibilidad del sitio web Browsealoud que se ejecutó automáticamente en los navegadores de los visitantes del sitio.

Además de ejecutar el servicio BrowseAloud en el navegador, el archivo dañado también lanzó un software de minería de criptomoneda para permitir a los atacantes acceder a los recursos informáticos de los visitantes de los sitios afectados para extraer la criptomoneda Monero en beneficio de los atacantes.

"Esto se puede detener con el uso de una política de seguridad de contenido (CSP), que es solo unas pocas líneas de código que las organizaciones pueden agregar de forma gratuita a sus sitios web para garantizar que solo los scripts aprobados se ejecuten automáticamente cuando utilizan servicios de terceros como BrowseAloud", dijo Hunt.

"A pesar del incidente que destaca este problema, casi nadie está utilizando CSP. De hecho, solo el 2,5% del millón de sitios web más importantes en el mundo utilizan actualmente CSP para defenderse del contenido deshonesto", dijo.

Hunt dijo que un minero de criptomonedas era quizás una de las formas "más benignas" de contenido que los atacantes podrían haber elegido para lanzar a través del comprometido archivo BrowseAloud. "En realidad, esta vez tuvimos una ligera ventaja, pero no hemos visto ninguna acción significativa por parte de los propietarios del sitio web en respuesta".

Este incidente subraya el hecho de que muchos sitios web usan servicios y contenido de terceros, lo que representa un riesgo de seguridad porque los atacantes podrían comprometer esto tal y como comprometieron el archivo BrowseAloud, y ejecutar código malicioso a través de millones de sitios web.

"Un análisis del sitio web de los Tribunales de EE.UU. revela que su página de inicio representa 2,3 Mb de datos, que es del mismo tamaño que todo el juego Doom, y que casi un tercio de eso son scripts, que es bastante contenido activo que se carga automáticamente en los navegadores de los visitantes, especialmente cuando se considera que se puede hacer casi cualquier cosa con JavaScript", dijo Hunt.

Para agravar el problema, dijo, la mayoría de las organizaciones son pobres para detectar actividad maliciosa, lo cual fue bien ilustrado por el ataque cibernético de Sony Pictures en 2014. "Varios sistemas se vieron comprometidos al mismo tiempo y se robaron diferentes tipos de datos, pero la primera vez que la compañía supo de esto fue cuando los empleados intentaron iniciar sesión y fueron recibidos con un mensaje que decía: ‘Han sido pirateados’".

Según Hunt, quien dirige el sitio web HaveIBeenPwned que agrega registros vulnerados y hace que se puedan buscar para los afectados, la mayoría de las organizaciones no tienen idea de que han sido hackeadas, y aunque lo hagan, no tienen idea de qué datos pueden haber sido robados.

"Muchos de ellos solo se dan cuenta cuando reciben un correo electrónico diciéndoles que sus datos están disponibles en internet", dijo, y agregó que esto subraya el hecho de que la detección a menudo es difícil. "Pero elegir una herramienta de detección de brechas puede ser igualmente difícil. Hay tantos proveedores que venden soluciones de detección de fallas, pero es difícil determinar qué funciona realmente".

Organizaciones en la oscuridad

Otro indicador de que las organizaciones no cubren los aspectos básicos, dijo Hunt, es que muchas organizaciones aún no tienen idea de qué archivos de la empresa están expuestos a internet.

Según la firma de seguridad Varonis, 21% de todas las carpetas de las empresas están abiertas a cualquier persona en internet, y de esas carpetas abiertas, el 58% contiene más de 100.000 archivos.

En resumen, Hunt dijo que las organizaciones necesitan evaluar el estado de su seguridad cibernética y asegurarse de que, por lo menos, abordan los aspectos básicos porque los ataques simples y bien conocidos siguen funcionando.

Las organizaciones también deben entender que es más fácil que nunca para los ciberatacadores ganar dinero con sus datos gracias al advenimiento de las criptomonedas.

A continuación, las organizaciones deben comprender que sus sitios web y los que sus empleados visitan para realizar su trabajo están formados por código de múltiples fuentes, y cualquiera de estos podría representar un riesgo de seguridad.

Y finalmente, a la luz del hecho de que al elegir soluciones de seguridad efectivas y asequibles, las organizaciones no deben pasar por alto aquellas que son gratuitas y fáciles de implementar.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close