Resumen Ejecutivo

Los resultados del Fortinet Threat Intelligence Insider Latin America para el tercer trimestre de 2019 revelan el continuo aumento de la actividad de malware, exploits y botnet en América Latina y el Caribe. Las actividades principales incluyen descargas no deseadas, criptominería, intrusiones de IoT, explotación de vulnerabilidades y malware para robar información de los usuarios.

¿Cuáles son las áreas de riesgo?

  • Silos en la red, secciones no visibles o sin gestión de seguridad integrada.
  • Software sin parches con vulnerabilidades críticas expuestas a Internet.
  • Dispositivos infectados o propensos a problemas de infecciones más graves.
  • Usuarios que usan mal los recursos, navegan por sitios peligrosos o descargan software no legal.
  • Publicidad engañosa para descargar malware.
  •  Dispositivos IoT sin control o políticas de seguridad adecuadas.

Con respecto a las vulnerabilidades más detectadas, DoublePulsar, el backdoor utilizado por el ransomware WannaCry, sigue siendo un mecanismo para distribuir malware en América Latina. Teniendo en cuenta que aprovecha vulnerabilidades ya resueltas, su uso continuo evidencia la gran huella de software sin actualizaciones en la región, que afecta tanto a empresas como a individuos.

Las diferentes variaciones de exploits para ransomware siguen siendo muy activas en América Latina.

¿Cómo defenderse de estos ataques múltiples?

  • Realizar inventario de todos los dispositivos
  • Automatizar parches
  • Segmentar la red
  • Hacer seguimiento de amenazas
  • Estar atento a los indicadores de compromiso
  • Fortalecer puntos finales y puntos de acceso
  • Implementar controles de seguridad
  • Utilizar seguridad automatizada
  • Tener copia de seguridad de sistemas críticos
  • Crear un entorno de seguridad integrado.

Las botnets siguen apareciendo y evidencian que los problemas comunes con los dispositivos IoT continúan. Las contraseñas predeterminadas o débiles son el vector de infección principal para la botnet Mirai. Millones de dispositivos están conectados y son controlados para aumentar las infecciones y los ataques de denegación de servicios. Las botnets están evolucionando y hoy en día pueden infectar no solo a los consumidores sino también a los dispositivos de IoT de negocios para usarlos como proxy para anonimizar las transacciones del mercado ilegal.

Durante el tercer trimestre de 2019, se detectó un número creciente de intentos de WIFICAM en América Latina, un ataque que tiene como objetivo tomar el control de las cámaras IP. Otra señal del riesgo de que los dispositivos IoT se ejecuten sin la protección adecuada de la red.

¿Cuáles son las implicaciones para los dispositivos IoT comprometidos?

  • Ransomware e infecciones para criptominería
  • Participación en ataques DDoS o SPAM
  • Robo de contraseña o información crítica para el negocio
  • Actividades ilegales en la red oscura.

El informe también revela las infecciones más comunes en América Latina y el Caribe:

  • Infecciones de malware que generan descargas o redireccionamientos no deseados a sitios infectados con malware.
  • Troyanos o backdoors que permiten al atacante tomar el control total de los dispositivos infectados.
  • Virus o infecciones de malware avanzado para la filtración de información como contraseñas y usuarios, entre otras.
  • Malware para la explotación de vulnerabilidades comunes que permiten el acceso remoto de los atacantes a dispositivos infectados.
  • Software de riesgo, uso de software libre o de origen no reconocido que ofrece características al usuario como protección, pero también permite la posibilidad de infecciones.
     
Consejos
  • Utilice contraseñas seguras o administradores de contraseñas para aplicaciones y acceso a dispositivos IoT, dispositivos SIP y aplicaciones.
  • Actualice sus aplicaciones e infraestructuras de forma regular.
  • Defina sus controles en cada uno de sus perímetros, incluidas las aplicaciones en la nube.
  • Monitoree y analice sus datos con Indicadores de Compromiso para obtener visibilidad y detener infecciones comunes.
  • Asegure su servidor SIP: proteja el servidor SIP de Internet: sea más restrictivo en cuanto a qué extensiones se pueden alcanzar desde direcciones IP externas.
  • Cree nombres de usuario diferentes de las extensiones: la mayoría de los intentos de fuerza bruta intentan nombres de usuario que coincidan con los números de extensión o nombres de usuario comunes.
  • Proteja sus dispositivos IoT con defensa perimetral que incluye control de acceso y políticas de prevención de intrusiones.
  • Siempre esté preparado para una infección o explotación, reduzca el impacto con planes de recuperación y acciones para evitar daños.
  • Implemente una estrategia de seguridad integrada, use controles de seguridad y seguridad automatizada.
seleccionar país