BLOG

Defensa contra la ciberdelincuencia durante la Eurocopa 2020

Miniatura de David Warburton
David Warburton
Publicado el 14 de junio de 2021

La retrasada Eurocopa 2020 finalmente está en marcha, marcando el inicio de uno de los eventos deportivos más grandes que tendrá lugar en más de un año.

Y, como ocurre con cualquier evento de este tamaño, podemos esperar que los cibercriminales estén en forma y listos para actuar. Es probable que los juegos en línea, las apuestas y los servicios de comercio electrónico en particular sean el objetivo a medida que aumenta la expectativa por el evento y aumenta la actividad en línea asociada.

Estas son algunas de las amenazas que las empresas que ofrecen servicios centrados en la Eurocopa 2020 deben tener en cuenta durante el torneo (y más allá):

Defensa contra DDoS

Si bien un ataque DDoS puede tener un impacto masivo en cualquier negocio, los sitios de juegos en línea son especialmente vulnerables. A medida que se acercan los partidos, podemos esperar que el número de personas que apuestan por el resultado aumente y, a través de una variedad casi infinita de opciones a su alcance, continúe durante todo el juego. Los atacantes lo saben y a menudo ajustan sus tiempos en consecuencia.

La actividad DDoS ya está aumentando. Los datos recopilados por el Centro de operaciones de seguridad (SOC) de F5 Silverline y el Equipo de respuesta a incidentes de seguridad (SIRT) de F5 descubrieron recientemente que los ataques DDoS aumentaron un 55 % entre enero de 2020 y marzo de 2021 . La mayoría de esos incidentes (54%) utilizaron múltiples vectores de ataque, lo que sugiere una creciente sofisticación de atacantes cada vez más decididos.

Cabe destacar que el mayor ataque observado por el SOC tuvo como objetivo una empresa que brinda servicios de seguridad de la información para organizaciones de juegos y apuestas.  En este ejemplo, la empresa fue amenazada con un ataque si no pagaba. Cuando se negaron, se lanzó un ataque multivectorial que duró más de un mes.

Hay varias razones por las que los ciberdelincuentes deciden atacar a este tipo de empresas. La más obvia es la obtención de beneficios económicos, utilizando la amenaza de un ataque DDoS para obligarlos a pagar un rescate. Otras motivaciones podrían incluir ataques por parte de competidores, actores de amenazas que buscan utilizar un ataque DDoS como distracción o simplemente piratas informáticos que buscan hacerse un nombre.

La buena noticia es que hay varias formas de reforzar sus defensas. Cada vez más, esto implica evitar que los ataques lleguen a la red empresarial aprovechando servicios administrados basados en la nube.

Una solución como F5 Silverline DDoS Protection es un buen ejemplo.  Entregado a través de una plataforma basada en la nube, puede detectar y mitigar en tiempo real, impidiendo que incluso los ataques DDoS volumétricos más grandes lleguen a la red.  El servicio está respaldado por acceso las 24 horas, los 7 días de la semana a un equipo de expertos del SOC para mantener a las empresas en línea durante ataques DDoS mediante una protección integral de múltiples capas L3 a L7.

También se recomiendan los siguientes controles de seguridad técnicos/preventivos para protegerse contra ataques DDoS:

  • Utilice firewalls de red y de aplicação web.
  • Utilice un sistema de detección de intrusiones basado en red.
  • Aplique parches rápidamente para evitar que sus sistemas se utilicen para lanzar ataques.
  • Bloquear el tráfico con direcciones IP de origen falsificadas.
  • Utilice la limitación de velocidad para restringir el volumen del tráfico entrante.

Mostrando la tarjeta roja al formjacking

Otras tácticas cibercriminales oportunistas que hay que tener en cuenta incluyen el formjacking . Actualmente, una de las tácticas de ataque web más comunes consiste en desviar datos del navegador web de una organización a una ubicación controlada por el atacante.

A medida que más aplicações web se conectan a componentes críticos como carritos de compra, pagos con tarjeta, publicidad y análisis, los proveedores se convierten en un objetivo enorme. El código puede provenir de una amplia variedad de fuentes, casi todas las cuales están más allá de los límites de los controles de seguridad empresariales habituales, como servidores proxy y firewalls de aplicação web. Dado que muchos sitios web utilizan los mismos recursos de terceros, los atacantes saben que solo necesitan comprometer un solo componente para extraer datos de una enorme cantidad de víctimas potenciales.

Las medidas de seguridad típicas que pueden ayudar a las organizaciones a mantenerse seguras incluyen:

  • Creación de una lista de activos de aplicações web. Esto debería incluir una auditoría exhaustiva del contenido de terceros. El proceso se complica porque los terceros suelen enlazar a más sitios web y existe una tendencia a utilizar controles de seguridad deficientes.
  • Parcheando su entorno .  Si bien la aplicación de parches no necesariamente solucionará las fallas en el contenido de terceros, sí hace más difícil pasar de un punto de apoyo inicial a un compromiso sustancial. Dado que la inyección web es una técnica tan versátil, aplicar parches a las aplicações que se ejecutan en su propio entorno sigue siendo fundamental para evitar daños causados ​​por un activo de terceros comprometido.
  • Escaneo de vulnerabilidades. Durante años, los CISO han reconocido la importancia de ejecutar análisis externos para obtener una visión de la situación desde la perspectiva de un hacker. Esto se vuelve aún más importante cuando se reúnen grandes cantidades de contenido en el último minuto en el lado del cliente.
  • Monitoreo de cambios de código. Independientemente de dónde esté alojado el código, es importante obtener un mayor grado de visibilidad, independientemente de si surgen nuevas vulnerabilidades. Esto significa monitorear los depósitos de GitHub y AWS S3, así como los repositorios de código nativo.
  • Autenticación multifactor . Dado que la inyección se utiliza a menudo para eludir la autenticación y acceder al código del servidor web, la autenticación multifactor debe implementarse en cualquier sistema que se conecte a activos de alto impacto. Idealmente, el cifrado de la capa de aplicación también puede complementar TLS/SSL cifrando las credenciales y los detalles de la tarjeta de pago a medida que el usuario los ingresa en el navegador.  Algunos productos de firewall de aplicação web (WAF) conocidos tienen esta capacidad. Sin embargo, un Advanced WAF puede ofrecer niveles mejorados de visibilidad y control de la capa de aplicación para ayudar a mitigar los riesgos de inyección distribuida y polimórfica.
  • Explore el potencial de los encabezados de seguridad de aplicação web . Por ejemplo, es posible configurar una Política de Seguridad de Contenido (CSP) para bloquear inyecciones de código no autorizadas en un sitio web o aplicação. Además, los métodos web de SubResource Integrity (SRI) pueden verificar que las aplicaciones de terceros no hayan sido alteradas.  Ambas herramientas requieren trabajo para adaptarse adecuadamente a una aplicação web. Aquí es donde entra en juego un WAF robusto y flexible.
  • Monitorizar los nuevos dominios y certificados registrados . A menudo se utilizan para alojar scripts maliciosos que parecen genuinos para los usuarios finales.

Cómo combatir el flagelo del phishing

El phishing es otro de los favoritos de siempre. Los atacantes no tienen que preocuparse por hackear un firewall, encontrar un exploit de día cero, descifrar el cifrado o descender por el hueco de un ascensor con un juego de ganzúas en los dientes. Es mucho más fácil engañar a alguien para que entregue sus credenciales. La parte más difícil es elaborar un discurso de correo electrónico convincente para que la gente haga clic y un sitio falso al que acceder. Se espera una gran cantidad de estos durante todo el torneo.

Según el último informe sobre phishing y fraude de F5 Labs , el 52% de los sitios de phishing utilizaban nombres de marcas e identidades comunes en las direcciones de sus sitios web. Los estafadores también han intensificado sus esfuerzos para hacer que los sitios fraudulentos parezcan lo más genuinos posible: Los datos de F5 SOC citados en el informe descubrieron que la mayoría de los sitios de phishing aprovechaban el cifrado y que un 72 % utilizaba certificados HTTPS válidos para engañar a las víctimas. Esto significa que simplemente buscar el candado (o una dirección que comience con https://) ya no es suficiente. De hecho, es activamente peligroso recomendar esto, ya que implica que los sitios son inherentemente confiables simplemente por tener un certificado digital.

Toda organización será blanco de ataques de phishing en algún momento, ya sean dirigidos o indiscriminados. Desafortunadamente, no todas las organizaciones implementan marcos sólidos de gestión de seguridad de la información.

Las cinco funciones del NIST proporcionan una forma útil de pensar en cualquier amenaza cibernética pero, independientemente de los esfuerzos que hagan las empresas para proteger su marca y sus clientes, los ataques de phishing seguirán teniendo éxito siempre que haya un ser humano que pueda ser manipulado psicológicamente de alguna manera. Es por eso que tanto los controles de seguridad como los navegadores web deben volverse más competentes a la hora de señalar a los usuarios los sitios fraudulentos. Las personas y las organizaciones también necesitan recibir capacitación continua sobre las últimas técnicas utilizadas por los estafadores, desde URL engañosas hasta el abuso de certificados HTTPS.

Mantenerse en el balón

Las amenazas detalladas anteriormente no son una lista exhaustiva. Hay otros. Recuerde, los ciberdelincuentes son extremadamente hábiles para aprovechar los giros y vueltas relacionados con eventos como la Eurocopa 2020. Manténgase alerta, busque las soluciones de seguridad adecuadas y trate siempre de mantenerse al día con las cambiantes mentalidades y capacidades de los atacantes.