lunes, 19 de junio de 2017

Agradecidos y emocionados…

Como diría la canción: agradecidos y emocionados…solamente podemos decir… ¡gracias por venir!

Arrancamos una nueva semana y atrás dejamos la 3ª edición de Secure Payments & ID Congress, un evento que nos reunió en Madrid a un gran número de profesionales de entidades públicas y privadas con un mismo objetivo: buscar soluciones para garantizar a clientes y usuarios la seguridad de las conexiones y transacciones.

Un día intenso que nos permitió compartir numerosas experiencias -realmente enriquecedoras- y queremos aprovechar estas líneas para agradeceros vuestra presencia ya que sabemos que, en algunos casos, supuso un gran esfuerzo.
La tecnología avanza a una velocidad de vértigo. La innovación constante ya no es una opción sino una obligación si no queremos quedaremos atrás. Pero, por desgracia, la tecnología no sólo avanza para mejorar en el desarrollo de nuestra sociedad, también lo hace hacia la sofisticación de la ciberdelincuencia.

En este marco, en continuo crecimiento de amenazas, cada día son más los riesgos que afectan a todo tipo de dispositivos móviles, principalmente a los utilizados como medios de pago, temática que centró la intervención de GoNetFPI. “Seguridad en medios de pago: inteligencia” fue el título de la mesa redonda que nos permitió debatir, analizar y abordar las últimas novedades del sector. Nuestro COO, Fernando Carrazón, tuvo la oportunidad de moderar un encuentro con dos grandes expertos del sector como son José Ignacio Garrido, Head of Global CERT de BBVA, y Alfonso Piñeiro, Director Ejecutivo de SocialBrains.


Los TPVs, que centraron gran parte del debate, se han convertido en objetivo de este tipo de incidentes, ataques dirigidos a su infraestructura para la búsqueda en la memoria de patrones, redes bancarias, tarjetas y transacciones para poder vender posteriormente esa información en la llamada “Deep Web”. La ciberdelincuencia conoce todos los controles que estos dispositivos deben pasar y busca nuevas vulnerabilidades y técnicas de ataques para modificar los terminales en su propio beneficio. A pesar de este incremento de incidentes, y de la sofisticación de los mismos, tal y como se afirmó en la mesa redonda, España continua siendo un país con un alto grado de seguridad.

Pero, como toda seguridad es poca, si tenemos en cuenta las pérdidas que estos incidentes pueden causar, una de las principales recomendaciones es el uso de Forenses Remotos para Dispositivos Móviles ¿Qué son exactamente? Son análisis en profundidad a través del cuales los expertos en ciberseguridad pueden detectar los ataques a los que ha estado expuesto el dispositivo móvil (TPVs, teléfonos móviles, tablets, etc.) y las vulnerabilidades que pueda tener, para así informar sobre las medidas de precaución necesarias que se deben tener en cuenta para evitar futuros ataques.

Estos análisis son realmente importantes ya que protegen frente:
  • Incidentes de código malicioso
  • Incidentes de acceso no autorizado o uso inapropiado del dispositivo móvil
  • Filtración de documentos confidenciales
  • Comportamientos anómalos de los sistemas
  • Destrucción de datos y futuros ataques
  • A ataques contra la propiedad intelectual
  • A ataques contra el derecho a la intimidad
  • Fraude y sabotajes informáticos
  • En caso de un procedimiento judicial ante el ataque, el informe realizado en el forense remoto puede ser utilizado como evidencia.
Como comentábamos antes, el tipo de incidentes no han dejado de proliferar pero la realidad es que en las empresas de seguridad antifraude no hemos dejado de innovar, ni lo vamos a hacer, para seguir ofreciendo un servicio de prevención del fraude e inteligencia de máximo nivel. Una vez más os agradecemos vuestra asistencia y haber aportado vuestro granito de arena para esta enriquecedora experiencia. Nos vemos de nuevo el año que viene en Secure Payments Congress 2018.

viernes, 26 de mayo de 2017

La vanguardia de los servicios antifraude te espera en Infosecurity Europe 2017

¡La cuenta atrás ha comenzado! Ya quedan pocos días para volar a Londres y aterrizar en Infosecurity Europe 2017, el mayor escaparate de seguridad europeo, de la mano de nuestro socio Logtrust. Tal y como dice el claim del evento este año, durante tres días Londres reunirá “everyone and everything you need to know about information security” y, por este motivo, no podíamos faltar.

La dilatada experiencia y especialización de GoNetFPI en la prevención del fraude en medios de pago y e-commerce complementada con la solución Big Data Analytics de Logtrust, nos permite ofrecer a nuestros clientes un servicio antifraude de vanguardia que beneficia directamente a clientes en todo el mundo, y qué mejor lugar para mostrarlo que InfosecurityEurope: 360 expositores, más de 13.000 visitantes y el mayor programa de conferencias gratuitas de Europa. El lugar perfecto para hacer del networking nuestro día a día y crecer tanto en contactos como en nuevas experiencias.

Queremos aprovechar este post para invitarte a una demo que seguro te dará qué pensar. En tan sólo 30 minutos, Fernando Carrazón, nuestro COO, te mostrará como GoNetFPI, con la plataforma de Big Data Analytics, puede ofrecerte un servicio de prevención del fraude e inteligencia de máximo nivel:

  • Reduce la ventana de exposición al fraude y el volumen de amenazas gracias a la correlación de inteligencia relativa a fraude propia y de terceros.
  • Detecta fácilmente potenciales amenazas de seguridad a través de una visualización en tiempo real de grandes cantidades de información.
  • Ahorra millones de euros a través de una detección temprana e integrando eficazmente fuentes de datos.

 Infosecurity Europe GoNet FPI

En GoNetFPI ayudamos a las organizaciones en su lucha contra el fraude, en temas de ciberseguridad así como en la provisión de inteligencia y tenemos la suerte de contar con el apoyo de Logtrust a través del análisis de Big Data formando un gran equipo que hace que tanto las marcas como la reputación de nuestros clientes estén seguras.

El mundo de la ciberseguridad crece a una velocidad vertiginosa, apenas podemos pararnos a pensar si no queremos quedarnos atrás. Innovación continua y alianzas con partners, como Logtrust, es lo que demanda el mercado y lo que nos permite ofrecer los servicios más novedosos y efectivos.


Ahora ya sólo falta que nos escribas a marketing@gonetfpi.com y así podremos sorprenderte con nuestra demo, conocernos e intercambiar experiencias. Recuerda nos vemos en el stand #S58 ¡te esperamos en Londres!

jueves, 18 de mayo de 2017

WannaCry: Pagas y... ¿Rescatas?

Seguro que ya conoces a WannaCry, WCry, Wannacrypt o sus variantes. Son muchas las denominaciones que suenan estos días en los medios, pero son más las hipótesis sobre cómo y por qué ha entrado en cerca de 200.000 ordenadores en más de 179 países y cuáles serán las consecuencias.

El discurso es variado, la infoxicación dura, muy dura. Caos y locura en la red con el ciberataque del siglo. Esta es la razón por la que no queremos ser portadores de opiniones sin sustancia. Hablar por hablar es fácil. Nuestra intención es informarte con datos objetivos y resultados empíricos para que tú mismo llegues a una conclusión propia.

Muchos de los interrogantes que aparecen en los medios y que abren debate en las redes sociales están relacionados con el pago del rescate:

  • ¿Merece la pena pagar el rescate del ransomware?
  • ¿Deben mostrarse las empresas colaborativas en este tipo de chantajes cibernéticos?
  • ¿qué garantiza el pago de los mencionados 300 dólares en bitcoins?

Por esta razón, a continuación vamos a explicarte cómo funciona el sistema de cifrado de este virus que trae de cabeza a muchas empresas del mundo. También te vamos a mostrar una hipótesis que puede que debas tener en cuenta: todo apunta a la posibilidad de que, durante el proceso de pago del rescate, haya una o varias personas validando el mismo. Por lo que, si esas personas desaparecen o desaparece el servidor que contiene los datos, la empresa puede efectuar el pago y no recibir la información secuestrada.


¡Ojo! Nuestra postura es contraria al pago del rescate.

Obtención de la clave de cifrado Wannacrypt

Check Payment: se puede decir que la clave está en este nombre. Pero, ¿Qué es? Se trata del botón que permite descifrar todos los archivos que han sido cifrados previamente por WannaCrypt.

Botón Check Payment



¿Qué ocurre una vez que pulsas este botón? Nuestro protagonista, Wannacrypt, obtiene nombre de usuario y de sistema de tu ordenador y los envía al servidor de lo ciberdelincuentes. Junto con estos datos, también envía la dirección bitcoins en la que debes ingresar el dinero del rescate (en este caso que exponemos solicita $600, que a día de hoy está a 0.33 btc).

Envío de datos cifrados tras pulsar el botón Check Payment

Junto con toda esta información, también se envía el contenido del archivo 00000000.eky. Este archivo contiene la clave privada que se generó en el sistema cuando el malware cifró los ficheros del ordenador infectado.

A su vez, la clave privada de la que hablamos está asociada a la clave pública, que se usa para cifrar las claves AES128. Esta última se genera nuevamente para cifrar cada archivo.


Además, la clave privada está cifrada con la clave pública maestra de los autores del malware.

Clave privada cifrada que envía el malware al servidor de los ciberdelincuentes

Contenido del archivo 00000000.eky



Toda la comunicación pasa a través de la red TOR y el malware envía toda la información a una serie de dominios ONION controlados por los ciberdelincuentes. Para ello se usa una instancia de la aplicación legítima TOR y realiza la comunicación mediante socks5 en localhost.

Servidor donde se envía los datos



La comunicación, al canalizarse a través de TOR, se anonimiza y, además, los datos se cifran previamente a través de la siguiente función:



Muestra de la función que cifra los datos antes de ser enviados


En esta función, lo datos se cifran mediante XOR usando una custom key y agrupados en bloques. 

Pero, pagas y… ¿rescatas?

¿Cómo saben los ciberdelincuentes que has pagado el rescate? Es más… ¿Está automatizada la verificación del pago y el posterior descifrado o hay un humanoide pendiente de la validación?

Respondemos:


Una vez que has realizado el pago, tienes que ponerte en contacto con los ciberdelincuentes enviando un mensaje mediante el enlace Contact Us:

Enlace Contact Us


En el contenido del mensaje debes incluir el ID de transacción de haber realizado el pago. Esto permite a los ciberdelincuentes comprobar la cadena de bloques y cuántos nodos ha verificado dicha transacción.


Como puedes apreciar en la siguiente captura, además del contenido del mensaje, puedes ver también los parámetros que identifican tu ordenador ya infectado. 

Envío de los datos al servidor de los ciberdelincuentes al finalizar la operación de Contact Us


Una vez validado el pago por el ciberdelincuente, debemos pulsar de nuevo Check Payment inicial para que el servidor de los malos nos devuelva una clave privada, que supuestamente permite descifrar toda la información secuestrada.


Como demuestra la última imagen, no hay campos predefinidos para indicar el ID de la transacción, sino texto libre. Esto significa que la probabilidad de que se necesite inteligencia humana para interpretar ese texto es alta, muy alta.