Resumen Ejecutivo

Los resultados del Fortinet Threat Intelligence Insider Latin America para el segundo trimestre de 2019 revelan el aumento continuo de la actividad de malware, exploits y botnet en América Latina y el Caribe. Las amenazas principales incluyen descargas no deseadas, criptojacking, explotación de vulnerabilidades y malware para robar información de los usuarios.

¿Cuáles son las áreas de riesgo?

 

· Software sin parches con vulnerabilidades críticas expuestas a Internet.

· Dispositivos infectados o propensos a problemas de infecciones más graves.

· Usuarios que usan mal los recursos, navegan por sitios peligrosos o descargan software no legal.

· Publicidades engañosas con promoción de malware.

· Dispositivos IoT sin control o políticas de seguridad adecuadas.

Con respecto a las vulnerabilidades más detectadas, los sistemas de colaboración como el Protocolo de Voz sobre Internet (VoIP) y las videollamadas, entre otros que usan Protocolos de Inicio de Sesión (SIP) y servicios críticos como NTP, están siendo objeto de múltiples técnicas de reconocimiento e intrusión. Las viejas vulnerabilidades siguen siendo un vector principal para que los cibercriminales obtengan acceso a diferentes sistemas.

¿Cuáles son las áreas de riesgo?

 

· Soluciones de colaboración con problemas operativos debido a ataques de denegación de servicio.

· Acceso no autorizado de terceros a soluciones de VoIP con el objetivo de realizar llamadas de extorsión o abusar del uso de recursos como las llamadas de larga distancia.

· Acceso a redes corporativas a través de servidores con servicios basados en SIP, aprovechando múltiples vectores de ataque.

· Evidencia de plataformas sin actualizaciones o con contraseñas débiles.

 

DoublePulsar, el backdoor utilizado por el ransomware WannaCry, sigue siendo un mecanismo para distribuir malware en América Latina. Teniendo en cuenta que aprovecha vulnerabilidades ya resueltas, su uso continuo evidencia la gran huella de software sin actualizaciones en la región, que afecta tanto a empresas como a individuos.

Las botnets siguen apareciendo y evidencian que los problemas comunes con los dispositivos IoT continúan. Las contraseñas predeterminadas o débiles son el vector de infección principal para la botnet Mirai. Millones de dispositivos están conectados y controlados para aumentar las infecciones y los ataques de denegación de servicios. Las botnets están evolucionando y hoy en día pueden infectar no solo a los consumidores sino también a los dispositivos de IoT de negocios para usarlos como proxy para anonimizar las transacciones del mercado oscuro. ¿Cuáles son las áreas de riesgo?

 

· Ransomware e infecciones para criptojacking.

· Implicación de los dispositivos infectados en ataques DDoS o SPAM, negando el acceso de toda la compañía a los servicios.

· Robo de contraseñas e información crítica para el negocio.

· Actividades ilegales en la web oscura.

El informe también revela las infecciones más comunes en América Latina y el Caribe:

 

· Infecciones de malware que generan descargas de malware o redireccionamientos no deseados a sitios infectados.

· Troyanos o backdoors que permiten al atacante tomar el control total de los dispositivos infectados.

· Virus o infecciones de malware avanzado para la filtración de información como contraseñas y usuarios, entre otros.

· Malware para la explotación de vulnerabilidades comunes que permiten el acceso remoto de los atacantes a dispositivos infectados.

· Software de riesgo, uso de software libre o de origen no reconocido que ofrece características de usuario como protección, pero también permite la posibilidad de infecciones.

Consejos
  • Utilice contraseñas seguras o administradores de contraseñas para acceso a dispositivos IoT, dispositivos SIP y a las aplicaciones.
  • Actualice sus aplicaciones e infraestructuras de forma regular.
  • Defina sus controles en cada uno de sus perímetros, incluidas las aplicaciones en la nube.
  • Monitoree y analice sus datos con Indicadores de Compromiso para obtener visibilidad y detener infecciones comunes.
  • Asegure su servidor SIP: proteja el servidor SIP de Internet: sea más restrictivo en cuanto a qué extensiones se pueden alcanzar desde direcciones IP externas.
  • Cree nombres de usuario diferentes de las extensiones: la mayoría de los intentos de fuerza bruta prueban con nombres de usuario que coincidan con los números de extensión o nombres de usuario comunes.
  • Proteja sus dispositivos IoT con defensa perimetral que incluye control de acceso y políticas de prevención de intrusiones.
  • Siempre esté preparado para una infección o exploit, reduzca el impacto con planes de recuperación y acciones para evitar daños.
seleccionar país